Dostęp do danych bez żadnej kontroli

Panoptykon od lat domaga się zmian, m.in.: wprowadzenia kontroli nad działaniami służb. Podważamy też obowiązujące w Polsce zasady przetwarzania danych osobowych przez służby. A raczej brak tych zasad, bo służb także w tym zakresie nikt nie kontroluje.

Retencja danych w innych państwach UE

We Francji obowiązuje zakaz ogólnej, dotyczącej wszystkich osób, retencji danych. Wyjątkiem są sytuacje, gdy dochodzi do „rzeczywistego, przewidywalnego i poważnego” zagrożenia dla bezpieczeństwa narodowego (wtedy dane o ruchu i lokalizacji mogą być przechowywane przez okres jednego roku). Istnieje też możliwość, by „w celu zwalczania poważnych przestępstw” organ sądowy nakazał natychmiastowe zamrożenie danych dotyczących ruchu i lokalizacji przechowywanych przez dostawców usług.

W Belgii istnieje obowiązek przechowywania danych dotyczących tożsamości wszystkich użytkowników. Inne rodzaje danych telekomunikacyjnych mogą być przechowywane w związku z bezpieczeństwem narodowym lub zwalczaniem poważnych przestępstw. Zróżnicowany jest okres przechowywania tych danych – od 6 do 12 miesięcy, w zależności od miejsca i poziomu zagrożenia bezpieczeństwa (dane przechowywane są najdłużej w miejscach o wysokim poziomie zagrożenia bezpieczeństwa i miejscach strategicznych, takich jak lotniska czy porty). W Belgii obowiązuje też zasada quick-freeze, która pozwala na natychmiastowe zamrożenie danych o ruchu i lokalizacji.

Dania ogranicza retencję danych o ruchu i lokalizacji do konkretnych osób lub lokalizacji – oraz celów (zwalczanie poważnych przestępstw i zapobieganie poważnym atakom na bezpieczeństwo publiczne). Powszechna retencja danych wszystkich osób (na okres jednego roku) może być zarządzona, gdy państwo stanie w obliczu poważnego zagrożenia, które jest „prawdziwe, obecne lub przewidywalne”.

W Irlandii o powszechną retencję danych dotyczących ruchu i lokalizacji może zawnioskować minister sprawiedliwości – w okolicznościach, w których jest przekonany, że istnieje „poważne, rzeczywiste i aktualne” zagrożenie dla bezpieczeństwa narodowego. Taki wniosek rozpatruje wyznaczony sędzia. Poza tym o zabezpieczenie i dostęp do danych telekomunikacyjnych zarówno na potrzeby związane z ochroną bezpieczeństwa narodowego, jak i dochodzeń w sprawie poważnych przestępstw może zawnioskować policja (An Garda Síochána) – taki wniosek rozpatruje upoważniony sędzia.

Również w Austrii nie wolno przechowywać danych o lokalizacji – z wyjątkami wyraźnie określonymi w prawie karnym, kiedy można wnioskować o szybkie zamrożenie danych. Billingi muszą być usuwane w ciągu trzech miesięcy od uregulowania płatności za usługę telekomunika cyjną.

W Polsce niezbędne są zmiany

Przed objęciem władzy w grudniu 2023 r. obecna koalicja rządząca obiecywała reformę służb. Miało dojść do wzmocnienia kontroli nad nimi, a „obywatele (mieli uzyskać) prawo do informacji o zainteresowaniu nimi ze strony służb, w szczególności informacji o prowadzonej wobec nich kontroli operacyjnej”.

W marcu 2024 r. Europejski Trybunał Praw Człowieka wydał wyrok w sprawie o inwigilację (Pietrzak oraz Bychawska-Siniarska i inni przeciwko Polsce). ETPC stwierdził w nim, że obowiązujące w Polsce przepisy dotyczące retencji danych telekomunikacyjnych naruszają prawa człowieka. Jeszcze tego samego dnia ministrowie sprawiedliwości i koordynator służb specjalnych zapowiedzieli zmiany w kontroli nad służbami. Minął rok, a kontroli nie ma.

Dlatego w marcu 2025 r. związani z Panoptykonem aktywiści i adwokat zdecydowali się wypróbować inną drogę podważenia obowiązujących w Polsce zasad retencji danych. Do czterech największych telekomów złożyli wnioski o usunięcie ich danych zebranych w ciągu poprzednich 12 miesięcy. Powołali się przy tym na art. 17 ust. 1 lit. d RODO, który pozwala na żądanie usunięcia danych przetwarzanych niezgodnie z prawem.

Jeśli telekomy odmówią – a tego się spodziewamy – złożymy skargi do prezesa Urzędu Ochrony Danych Osobowych. Mamy nadzieję, że sprawa zawędruje do Trybunału Sprawiedliwości Unii Europejskiej, bo ta instytucja ma możliwość nakazania Polsce wprowadzenia zmian w przepisach.

ProtectEU czyli ujednolicanie zasad

1 kwietnia 2025 r. Komisja Europejska opublikowała komunikat dotyczący ProtectEU – strategii odnoszącej się do bezpieczeństwa wewnętrznego UE. Proponuje w nim m.in. ujednolicenie zasad dotyczących retencji danych w całej Unii. Pojawiają się też wątki dotyczące stosowania aktu o usługach cyfrowych (czyli przepisów dotyczących platform internetowych) czy suwerenności cyfrowej.

Najbardziej zainteresowała nas część dotycząca retencji danych. Komisja zauważa, że panująca obecnie w Europie różnorodność w tym zakresie nie ułatwia pracy służbom i nie sprzyja bezpieczeństwu. Dlatego jeszcze w pierwszej połowie 2025 r. zaproponuje mapę drogową, w której przedstawi prawne i praktyczne zasady sięgania po dane telekomunikacyjne tak aby były one zarówno skuteczne, jak i zgodne z prawem.

To, co w większości krajów europejskich budzi obawy o zwiększenie nadzoru, dla Polski może oznaczać poprawę fatalnej dziś sytuacji, kiedy służby mają na wyciągnięcie ręki ogromne ilości danych, przy tym bez żadnej kontroli.

Służby nie lubią szyfrowania

O ile wydaje nam się, że harmonizacja zasad retencji danych jest pożądana, o tyle mieszane uczucia budzą w nas jednak zapowiedzi „przyjrzenia się” przez KE szyfrowanym komunikatorom. Dziś ich dostawcy nie muszą gromadzić żadnych danych (jeśli zaś je gromadzą, jak należący do Mety WhatsApp, muszą udostępniać je służbom na żądanie). Dlatego wiele osób ceniących sobie prywatność korzysta np. z Signala, który nie gromadzi żadnych metadanych (poza datą założenia konta).

Niepokój wzbudza to, że Komisja w swoich pracach chce oprzeć się na wnioskach wypracowanych przez grupę roboczą (High Level Group). W sygnowanym przez KE opracowaniu „Council conclusions on access to data for effective law enforcement” grupa robocza wskazuje na konieczność zobowiązania dostawców szyfrowanych komunikatorów do (co najmniej!) gromadzenia metadanych, takich jak adres IP czy numer portu. Dowodzi też, że przez szyfrowanie end-to-end służby nie mają jak kontrolować komunikacji, stąd konieczność stosowania oprogramowania szpiegującego, takiego jak Pegasus.

Problem w tym, że grupa ta jest złożona wyłącznie z przedstawicieli organów ścigania. Organizacje społeczne, w tym Panoptykon, już wcześniej krytykowały ją za brak przejrzystości. Zwracają też uwagę, że rozwiązania proponowane przez tę grupę podważają bezpieczeństwo i poufność komunikacji elektronicznej, w ten sposób narażając na szwank bezpieczeństwo ludzi i uderzając w prawa podstawowe. Domagają się, by zmiany, w tym harmonizacja zasad retencji danych, były zgodne z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (który w 2014 r. opowiedział się przeciwko powszechnej retencji danych – chociaż Polska nie respektuje tego wyroku, to w wielu państwach po jego ogłoszeniu zmieniono zasady przechowywania danych).

Służby przekonują, że brak możliwości sięgania po metadane z szyfrowanych komunikatorów (choćby pod kontrolą sądu) powoduje, że „ślepną na jedno oko”. Jednak nakazanie operatorom gromadzenia metadanych byłoby pogorszeniem ochrony prywatności – także w Polsce, która szoruje po dnie, jeśli chodzi o ochronę komunikacji elektronicznej. Trudno też nie obawiać się, że dostęp do metadanych z szyfrowanych komunikatorów to pierwszy krok do podważenia szyfrowanej komunikacji w ogóle. ©℗