Zespół prawników z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego w składzie: dr hab. Agnieszka Barczak-Oplustil, dr hab. Mikołaj Małecki, dr hab. Szymon Tarapata, dr Adam Behan oraz dr Witold Zontek, w przygotowanej ekspertyzie „Dopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych (casus Pegasusa)”, skupił się na podstawowych przesłankach pozwalających polskim służbom wykorzystanie systemów teleinformatycznych, które pozwalają utrwalać, bez wiedzy i zgody użytkownika, prowadzone rozmowy telefoniczne i wiadomości SMS.

Z ekspertyzy wnika jasno, że takie przesłanki nie zachodzą, a system nie spełnia żadnych warunków, aby mógł zgodnie z polskim prawem być wykorzystywany.

Pegasus a ochrona informacji niejawnych

Reklama

Przede wszystkim Pegasus nie może być stosowany na gruncie polskiego prawa już to z uwagi na niemożność urzeczywistnienia prawidłowej i skutecznej akredytacji i weryfikacji podstawowych wymagań bezpieczeństwa teleinformatycznego związanego z ochroną informacji niejawnych. Polski system prawny nie dopuszcza stosowania programów, w ramach których pozyskiwane dane operacyjne poddane są transferowi w niekontrolowanych przez właściwe służby kanałach transmisji, co rodzi ryzyko naruszenia ich integralności oraz nie zapewnia im wymaganej prawem poufności.

Tym samym za niezgodne z przepisami polskiego prawa należy uznać wszelkie działania operacyjne z wykorzystaniem nieakredytowanych programów komputerowych, które nie zapewniają bezpieczeństwa informacji niejawnych, bądź których użycie wiąże się z udostępnianiem tych danych osobom trzecim nieuprawnionym do dostępu do informacji niejawnych.
Autorzy ekspertyzy zauważają ponadto, że wytworzenie, pozyskanie lub używanie programu Pegasus z wykorzystaniem jego funkcjonalności „aktywnego zbierania danych” oraz łamania lub omijania zabezpieczeń systemów informatycznych jest w polskim porządku prawnym dozwolone w ściśle sprecyzowanej sytuacji, w ramach działalności ABW, a w tym zakresie wyłącznie w wąskim celu badania podatności systemów informatycznych na przestępne (praw. - niezgodne z prawem) ataki.

Reklama

Co więcej, należy zaznaczyć, że pozyskane w toku kontroli operacyjnej dane pozostają pod szczególną ochroną określoną w ustawie o ochronie informacji niejawnych (ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, t.j. Dz. U. z 2019 r. poz. 742, dalej: uoin.) i jako takie nie mogą być bez określonej w prawie kompetencji przekazywane osobom trzecim, nieuprawnionym do dostępu czy przetwarzania informacji objętych klauzulą tajności.

Pegasus a klauzula tajności

Należy także zauważyć, że procedura nadania informacjom pozyskiwanym w ramach kontroli operacyjnej klauzuli tajności (oklauzulowanie informacji) ma służyć zapewnieniu obywatelowi ochrony jego wolności i praw, tak aby dane wrażliwe i liczne informacje o życiu prywatnym jednostki nie były dostępne dla nieokreślonego grona osób, a także aby zapewnić bezpieczeństwo ich przetwarzania oraz umożliwić ich skuteczne zniszczenie zgodnie z przewidzianą procedurą. Z perspektywy konstytucyjnej – o której będzie jeszcze mowa później – niedopuszczalne jest pozyskiwanie tak głęboko ingerujących w prawo do prywatności informacji w ramach kontroli operacyjnej, którym nie zostanie nadana stosowna klauzula poufności i będą one w konsekwencji, w sposób niekontrolowany, dostępne dla osób postronnych zwłaszcza, jeśli ich pozyskiwanie odbywać się będzie przez nieakredytowane systemy teleinformatyczne.

Główne wnioski z ekspertyzy pt. „Dopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych (casus Pegasusa)”

1. Użycie systemów teleinformatycznych, których integralną częścią są programy komputerowe, pozwalające utrwalać, bez wiedzy i zgody użytkownika, prowadzone rozmowy telefoniczne oraz pobierać wiadomości SMS/MMS oraz wiadomości z komunikatorów używanych przez osobę poddaną kontroli operacyjnej, w tym wiadomości wysyłane i otrzymywane przed datą rozpoczęcia kontroli operacyjnej, jest zgodne z przepisami polskiego prawa, pod warunkiem wykorzystania do tego celu akredytowanych przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programów komputerowych zapewniających bezpieczeństwo informacji niejawnych, których funkcjonalności nie umożliwiają ingerencji w treść danych zgromadzonych w urządzeniu ani udostępniania tych danych osobom trzecim, nieuprawnionym do dostępu do informacji niejawnych.

2. Użycie programów komputerowych pozwalających utrwalać treść rozmów i obraz w pomieszczeniach, w których znajduje się telefon/tablet/inne urządzenie, po przejęciu kontroli nad urządzeniem i uruchomieniu przez służby mikrofonu lub kamery, jest sprzeczne z przepisami polskiego prawa, które nie przewidują kompetencji służb do aktywnego wykorzystywania funkcjonalności systemu informatycznego lub urządzenia końcowego w celu agregowania danych nie znajdujących się w systemie informatycznym objętym kontrolą w wyniku aktywności użytkownika tego systemu bądź na skutek jego indywidualnej konfiguracji.

3. Użycie programów komputerowych pobierających z telefonu/ tabletu/innego urządzenia osoby objętej kontrolą operacyjną dane dostępowe (hasła/klucze) pozwalające na logowanie się na serwerach z pocztą elektroniczną, bankowych, portalach społecznościowych jest zgodne z przepisami polskiego prawa, przy czym jest sprzeczne z przepisami polskiego prawa przeglądanie i pobieranie danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych (haseł/kluczy).

4. Użycie programów komputerowych pobierających z telefonu/ tabletu/innego urządzenia osoby objętej kontrolą operacyjną całą jego zawartość zgromadzoną w urządzeniu w trakcie trwania oraz przed rozpoczęciem kontroli operacyjnej budzi wątpliwości co do zgodności z przepisami polskiego prawa w kontekście spełnienia in concreto konstytucyjnej zasady proporcjonalności, a jest sprzeczne z przepisami polskiego prawa, gdy wykorzystane są do tego celu nieakredytowane przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programy komputerowe nie zapewniające bezpieczeństwa informacji niejawnych, bądź których funkcjonalności umożliwiają ingerencję w treść danych zgromadzonych w urządzeniu, bądź których użycie wiąże się z udostępnianiem tych danych osobom trzecim nieuprawnionym do dostępu do informacji niejawnych.

5. Użycie w ramach kontroli operacyjnej programów komputerowych pozwalających na uzyskanie dostępu do całości lub części systemu informatycznego w telefonie/tablecie/innym urządzeniu osoby poddanej kontroli operacyjnej i dokonywanie zmian w ich zawartości (w tym dodawanie, edytowanie lub usuwanie plików) jest sprzeczne z przepisami polskiego prawa.

6. Nabycie i używanie programów komputerowych, których wykorzystywanie w ramach kontroli operacyjnej wiąże się z przekazywaniem pozyskiwanych danych do osób trzecich, nieuprawnionych do dostępu do informacji niejawnych, w szczególności administratorów lub służb wywiadowczych obcych państw, jest sprzeczne z przepisami polskiego prawa.

7. Wniosek o kontrolę operacyjną kierowany do sądu powinien określać cele, zakres i sposób kontroli, w tym wykorzystywane programy komputerowe wraz ze wskazaniem ich funkcjonalności w kontekście rodzaju, źródeł i liczby pozyskiwanych informacji, a także zakres czasowy gromadzenia danych.

8. Osoba kontrolowana, w świetle standardu konstytucyjnego, powinna mieć prawo do powiadomienia o zakończonej wobec niej kontroli operacyjnej i złożenia zażalenia do niezależnego organu kontroli na podjęte wobec niej czynności operacyjne.

Pełny tekst ekspertyzy:

Ekspertyza Pegasus
pobierz plik