Jeżeli warszawski sąd przychyli się do wniosku Ewy Siedleckiej, TSUE będzie miał okazję rozstrzygnąć, czy prawo umożliwiające służbom dostęp do danych telekomunikacyjnych i internetowych bez wymogu poinformowania później inwigilowanych, jest zgodne z dyrektywą e-privacy.

Konrad Siemaszko, Helsińska Fundacja Praw Człowieka

Wojciech Klicki, Fundacja Panoptykon

Czy impuls do zmiany polskich przepisów dotyczących inwigilacji może popłynąć z Trybunału Sprawiedliwości Unii Europejskiej? Walczy o to w postępowaniu przed stołecznym sądem dziennikarka, która pozwała państwo za to, że nie została poinformowana, czy była inwigilowana, i oczekuje od sądu, że skieruje sprawę do Luksemburga. Orzecznictwo TSUE ustala bowiem wiele warunków, jakie musi spełniać prawo UE w obszarze dostępu służb do billingów. To próba włączenia instytucji unijnych w walkę z niekontrolowaną inwigilacją w Polsce. Na razie zaangażowanie zadeklarował Parlament Europejski, który powołał komisję śledczą ds. Pegasusa.
Dyskusję o inwigilacji w ostatnim czasie zdominowała kwestia Pegasusa właśnie. Jest to zrozumiałe, gdy weźmiemy pod uwagę skrajny stopień ingerencji w prywatność, jaki system ten umożliwia, a jednocześnie profil osób, które były jego ofiarami. To jednak tylko czubek góry lodowej. Służby dysponują też innymi instrumentami inwigilacji i jak pokazują informacje uzyskane przez Fundację Panoptykon, szeroko z nich korzystają. Co roku zakładanych jest ok. 8–10 tys. podsłuchów, a policja i służby pozyskują ok. 1,35 mln danych telekomunikacyjnych, czyli przede wszystkim billingów i informacji o lokalizacji. Dane telekomunikacyjne są prawdziwą kopalnią informacji: dają wgląd w to, z kim się kontaktujemy, jak często i kiedy, a także gdzie przebywamy o określonych godzinach.
TSUE o dostępie do billingów
Zgodnie z dyrektywą e-privacy państwa członkowskie mają obowiązek zapewnienia poufności komunikacji elektronicznej (telefonicznej, internetowej) i związanych z nią danych. Dyrektywa ta pozwala przyjąć państwom środki ustawodawcze ograniczające zasadę poufności w celu ochrony m.in. bezpieczeństwa publicznego czy ścigania przestępstw, ale tylko pod warunkiem, że są one niezbędne i towarzyszą im odpowiednie gwarancje ochrony przed nadużyciami. Trybunał Sprawiedliwości UE wielokrotnie (m.in. w orzeczeniach La Quadrature du Net i in., C-511/18 i C-512/18, Privacy International, C-623/17) definiował warunki dopuszczalności ingerencji w poufność komunikacji. Zdaniem trybunału dostęp do danych powinien być możliwy po uzyskaniu zgody niezależnego organu i musi być ograniczony do wyjątkowych przypadków (poważne przestępstwa, zagrożenia dla bezpieczeństwa). Innym mechanizmem chroniącym przed nadużyciami, który można wywnioskować z orzeczeń TSUE, jest wymóg informowania osób, których dane zostały pozyskane, o tym fakcie, gdy przekazanie takich informacji nie zaszkodzi już prowadzonym postępowaniom. Celem tej gwarancji jest stworzenie im realnej możliwości zażądania niezależnej kontroli tego, czy ich inwigilacja była zgodna z prawem.
Bezpieczeństwo i prywatność
Niektóre państwa członkowskie wskazywały w postępowaniach przed TSUE, że dyrektywa e-privacy nie ma zastosowania m.in. do działalności dotyczącej np. obronności i bezpieczeństwa państwa. Trybunał stwierdził jednak, że jeżeli państwo przyjmuje środki ograniczające poufność komunikacji elektronicznej, które nakładają jednocześnie obowiązki przetwarzania danych na operatorów telekomunikacyjnych i dostawców internetowych, to są one objęte zakresem dyrektywy e-privacy. Także wtedy, gdy służby sięgają po dane np. w celu zapewnienia bezpieczeństwa narodowego, które – co do zasady – nie jest objęte prawem UE.
Polskie przepisy zakładają, że wszystkie dziewięć instytucji uprawnionych do pozyskiwania danych raz na sześć miesięcy przedstawia zbiorczą informację na temat swojej aktywności sądom, które mają na tej podstawie weryfikować legalność działania służb. Dostęp do danych możliwy jest nie tylko w sprawie poważnych przestępstw, lecz także np. prowadzenia przez CBA działalności analitycznej. W oczywisty sposób jest to niezgodne z prawem unijnym (orzecznictwo TK i ETPC pozostawiamy tu na marginesie) i samo w sobie stanowi podstawę do uznania niezgodności krajowych przepisów z prawem UE.
Prawo, by wiedzieć
Rozpoznawana przez Sąd Okręgowy w Warszawie, przywołana na wstępie sprawa Ewy Siedleckiej przeciwko komendantowi głównemu policji i szefom ABW i CBA jest szansą na kolejne istotne orzeczenie trybunału w Luksemburgu oraz klarowne przedstawienie przez niego jeszcze jednego warunku zgodności z prawem UE zasad pozyskiwania danych. Jeżeli warszawski sąd przychyli się do wniosku dziennikarki i skieruje pytanie prejudycjalne do TSUE, ten będzie miał okazję rozstrzygnąć, czy prawo krajowe, które – tak jak w Polsce – umożliwia służbom dostęp do danych telekomunikacyjnych i internetowych, nie przewidując jednocześnie wymogu poinformowania później osób, których dane pozyskano, jest zgodne z dyrektywą e-privacy. Wyrok potwierdzający niezgodność takich regulacji z prawem unijnym mógłby być impulsem do zmiany prawa w Polsce i wprowadzenia – nareszcie – jednoznacznych gwarancji prawa do informacji o byciu inwigilowanym w przeszłości.
Przed wytoczeniem powództwa dziennikarka próbowała uzyskać informację, czy w latach 2012–2016 była inwigilowana. Zwróciła się z takim pytaniem bezpośrednio do służb. Zapytała też operatorów telekomunikacyjnych, czy przekazywali jej dane organom państwa. Za każdym razem spotykała się z odmową udzielenia informacji. Negatywne decyzje były podtrzymywane przez GIODO oraz sąd administracyjny. W końcu w sierpniu 2020 r. dziennikarka – reprezentowana pro bono przez mec. Macieja Dudka z kancelarii LSW Leśnodorski Ślusarek Wspólnicy i wspierana przez Helsińską Fundację Praw Człowieka – złożyła pozew, w którym wskazała, że odmowa przekazania jej takich informacji narusza jej dobra osobiste w postaci prawa do informacji o stosowanych wobec niej środkach inwigilacji, a także prawa do niezaburzonego spokoju psychicznego i emocjonalnego związanego z niepewnością, czy była inwigilowana i czy w związku z tym udało się zachować w tajemnicy tożsamość jej źródeł dziennikarskich. Ponieważ prawo do informacji o stosowanych wobec jednostki środkach inwigilacji objęte jest prawem UE co najmniej w zakresie pozyskiwania danych telekomunikacyjnych i internetowych, dziennikarka wskazała, że wykładnia prawa unijnego ma kluczowe znaczenie dla rozstrzygnięcia, czy władze bezprawnie naruszyły jej dobra osobiste. Dlatego złożyła wniosek, by sąd w trybie prejudycjalnym skierował pytanie do TSUE, co poparli uczestnicy postępowania: Fundacja Panoptykon i rzecznik praw obywatelskich.
Kwestia podniesiona we wniosku Ewy Siedleckiej nie jest jedynym mankamentem polskiego prawa, które sprawia, że inwigilacji w Polsce nie towarzyszą odpowiednie mechanizmy chroniące przed nadużyciami. Tych braków jest więcej i nie wiążą się tylko z dyrektywą e-privacy, lecz także z niewłaściwą implementacją tzw. dyrektywy policyjnej (która mogłaby być szczególnie ważna dla pozostałych środków inwigilacji, takich jak np. podsłuchy). Zmiana prawa w tym zakresie stanowiłaby prawdziwą rewolucję dla ochrony praw człowieka w kontekście działalności służb w Polsce. Czy tak się stanie? Zależy to nie tylko od dalszego losu pytania prejudycjalnego i reakcji polskiego ustawodawcy na ewentualny wyrok TSUE, lecz także od woli działania jeszcze jednego podmiotu, którego rolą jest zapewnianie, że prawo UE jest stosowane prawidłowo i terminowo – „strażniczki traktatów”, czyli Komisji Europejskiej. Jak dotąd, mimo apeli europejskich organizacji społecznych KE nie podejmowała żadnych realnych kroków wobec państw, których prawo krajowe odnoszące się do danych telekomunikacyjnych jest niezgodne z prawem UE. Wobec wojny w Ukrainie istnieje ryzyko, że Komisja wciąż nie podejmie działań związanych z kontrolą nad działalnością służb, obawiając się zarzutu osłabiania potencjału obronnego państw członkowskich. Jednocześnie decyzja Parlamentu Europejskiego o powołaniu komisji śledczej ds. Pegasusa pokazuje, że poza absolutnie kluczowym tematem działań za naszą wschodnią granicą aktualne pozostają problemy związane z brakiem kontroli nad służbami specjalnymi państw członkowskich. ©℗
Co roku zakładanych jest ok. 8–10 tys. podsłuchów, a policja i służby pozyskują ok. 1,35 mln danych telekomunikacyjnych, czyli przede wszystkim billingów i informacji o lokalizacji