Choć od dobrych kilku lat wiadomo, że polskie przepisy o retencji danych są bezprawne, nasz rząd wciąż udaje, że nie ma problemu. A służby wciąż bez krępacji, a co ważniejsze bez jakiejkolwiek kontroli, mogą sprawdzić, z kim się kontaktuje dowolny obywatel i gdzie przebywa.

Służby sięgnęły po 1,85 mln danych

Słynny Pegasus, tak przynajmniej wynika ze słów Marka Suskiego, mógł być wykorzystywany do inwigilowania góra kilkuset osób rocznie. Tymczasem polskie prawo zobowiązuje do przechowywania danych telekomunikacyjnych wszystkich obywateli posiadających smartfony. Tylko w minionym roku służby sięgnęły po 1,85 mln takich danych, skala jest więc nieporównywalna. Owszem, chodzi o mocno okrojone informacje, głównie billingi oraz dane lokalizacyjne, ale i one pozwalają bardzo dużo się o nas dowiedzieć. O każdym z nas, wliczając zawody objęte tajemnicą zawodową. Policja i inne służby mogą bez pytania się kogokolwiek o zgodę sprawdzić, do kogo dzwonił czy esemesował i gdzie w tym momencie znajdował się dowolny radca prawny, dziennikarz czy polityk. Jeśli korzystają z tej możliwości prawie 2 mln razy rocznie, to siłą rzeczy większość danych jest pobierana w sprawach, w których nie potwierdzono złamania prawa. Powtarzane tak chętnie przez władze powiedzenie, że uczciwi nie mają się czego bać, pozwolę sobie skwitować jedynie gorzkim śmiechem.

TSUE o retencji danych

Już w 2014 r. Trybunał Sprawiedliwości Unii Europejskiej uchylił dyrektywę 2006/24/WE o retencji danych telekomunikacyjnych, uznając, że zbytnio ingeruje ona w prywatność. Mimo to większość państw członkowskich wciąż utrzymywała przepisy nakazujące telekomom przechowywanie danych telekomunikacyjnych i udostępnianie ich na żądanie służb. Z czasem zaczęły do TSUE wpływać kolejne sprawy, w których konsekwentnie orzekano, że uogólniony nakaz retencji danych i dostęp do nich bez kontroli jest niezgodny z prawem unijnym. Mówiąc wprost – prawo krajowe nie może nakazywać operatorom telekomunikacyjnym zatrzymywania danych wszystkich obywateli, nawet gdy jest to argumentowane walką z poważną przestępczością. Państwo nie może również wymagać od nich, by przekazywały te dane bez kontroli sądowej lub innego niezależnego organu. W kolejnych wyrokach TSUE dookreślał granice dopuszczalnej retencji danych (m.in. sprawy C-203/15, C-698/15, C-511/18, C-512/18 i C-623/17). Część państw próbowała dostosowywać do nich swe regulacje. Niemcy np. bardzo mocno skrócili okres retencji. W przypadku danych lokalizacyjnych do 4 tygodni, w przypadku pozostałych do 10 miesięcy. Najnowszy wyrok TSUE dotyczący tych przepisów (sprawy: C-793/19 i C-794/19) pokazuje, że i to nie wystarcza. Nadal bowiem operatorzy muszą przechowywać dane wszystkich obywateli, a to jest niedozwolone. Znamienny jest fragment uzasadnienia, w którym trybunał wyjaśnia, dlaczego zbyt mocno ingeruje to w prawo do prywatności:
„Ten całościowy zbiór danych o ruchu lub danych dotyczących lokalizacji może dostarczyć bardzo precyzyjnych wskazówek dotyczących życia prywatnego osób, których dane są zatrzymywane, takich jak ich codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, podejmowane czynności, relacje społeczne i środowiska społeczne, w których osoby te się obracają i, w szczególności, pozwolić na sporządzenie na ich podstawie profilu tych osób”.
Skoro dużo bardziej szanujące prywatność obywateli przepisy niemieckie są bezprawne, to tym bardziej dotyczy to też polskich, które nakazują roczną retencję danych. Nie mam jednak złudzeń, że skłoni to nasz rząd do ich zmiany. Gdy kilka miesięcy temu, po jednym z wcześniejszych orzeczeń, poprosiłem kilka resortów o zajęcie stanowiska, nie doczekałem się żadnej odpowiedzi. Prawdopodobnie nadal więc rząd będzie udawał, że nie ma problemu, bo przecież żaden z wyroków TSUE nie dotyczył Polski.
Problem jednak jest i to coraz poważniejszy. Już słychać wątpliwości, czy zebrane w sposób sprzeczny z unijnymi regulacjami dowody mogą być brane pod uwagę w sądzie. Co prawda kilka lat temu polskie prawo dopuściło możliwość korzystania z „owoców zatrutego drzewa”, ale nie rozwiewa to do końca wszystkich wątpliwości.

Operatorzy nie buntują się przeciwko obowiązkowi retencji

Jak na razie polscy operatorzy nie buntują się przeciwko obowiązkowi retencji, choć mogliby przestać się do niego stosować już na podstawie dotychczasowego orzecznictwa TSUE. To jednak może się zmienić, gdyby obywatele zaczęli ich pozywać o bezprawne przechowywanie danych. I nie ma znaczenia, że wynika to z polskiej ustawy. Bo ta jest bezsprzecznie niezgodna z prawem unijnym. Zresztą ostatnia z opisanych spraw została wywołała właśnie przez dwóch niemieckich dostawców internetu, którzy zaskarżyli niemieckie przepisy o retencji przed tamtejszymi sądami.
Wbrew temu, co twierdzą służby, ograniczenie retencji nie musi oznaczać, że będziemy bezbronni w walce z przestępczością. Chodzi jedynie o to, by inwigilować osoby, co do których rzeczywiście zachodzi choćby cień podejrzenia, a nie wszystkie jak leci. TSUE jednoznacznie dopuścił możliwość nakładania na operatorów obowiązku przetrzymywania danych określonych osób (nawet grup), ale wskazanych według jakichś obiektywnych kryteriów. No i nie permanentnie, tylko przez z góry określony czas i pod kontrolą sądu. To naprawdę jest do zrobienia, tylko oczywiście służbom wygodniej jest mieć dostęp do informacji o wszystkich. Pytanie tylko, czy w państwie prawa wygoda służb powinna stać ponad prawami obywatelskimi.