Zasady dostępu polskich służb do danych telekomunikacyjnych są niezgodne z prawem unijnym – wynika z najnowszej opinii rzecznika generalnego TSUE.
Dane operatorów telekomunikacyjnych i dostawców internetowych pozwalają nie tylko ustalić, do kogo dzwoniliśmy, czy na jakie strony internetowe wchodziliśmy, ale także, gdzie w danej chwili się znajdowaliśmy. Od lat Trybunał Sprawiedliwości Unii Europejskiej uznaje te informacje za poważną ingerencję w naszą prywatność i uważa, że służby powinny mieć do nich dostęp tylko w przypadku poważnych przestępstw oraz pod sądową kontrolą. Przepisy państw członkowskich nadal zaś nakazują operatorom przechowywać te dane i udostępniać je na żądanie służb. W przedstawionej w środę opinii rzecznik generalny Campos Sánchez-Bordona uznał za niezgodne z prawem unijnym regulacje trzech państw: Francji, Belgii i Wielkiej Brytanii. Jeśli TSUE podtrzyma w wyroku tę opinię, to będzie to oznaczać również wadliwość polskich przepisów. Operatorzy telekomunikacyjni są bowiem dzisiaj zobligowani do przechowywania przez rok takich danych i udostępniania ich na każde żądanie policji i służb.
– Rozstrzygnięcie będzie miało fundamentalne znaczenie dla całego systemu ochrony prywatności i danych osobowych. Przewidziane w przepisach gwarancje nie obejmują wykorzystania danych w celu zapewnienia bezpieczeństwa narodowego. Przełamanie tej zasady pozwoli stosować jednolite gwarancje wobec wykorzystywania danych przez wszystkie służby, uporządkuje sytuację i znacząco podwyższy standard ochrony danych osobowych przetwarzanych w kontekście przeciwdziałania przestępczości – zauważa Wojciech Klicki, prawnik z Fundacji Panoptykon.
Dostęp z ograniczeniami
Rozpoznawana sprawa jest konsekwencją wcześniejszego orzecznictwa TSUE w zakresie dostępu służb do danych telekomunikacyjnych. W 2014 r. trybunał uznał, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych zbytnio ingeruje w prawo do prywatności i wykracza poza granice tego, co niezbędne do zapewniania bezpieczeństwa (połączone sprawy C-293/12 i C-594/12). Dyrektywa została uznana za nieważną, a tym samym państwa UE straciły podstawę prawną dla krajowych regulacji przewidujących przechowywanie danych na potrzeby służb. Zaraz po wydaniu tego orzeczenia szwedzki operator Tele2 Sverige AB zapowiedział, że w związku ze stwierdzeniem nieważności dyrektywy nie będzie już przetrzymywał danych telekomunikacyjnych. To stało się powodem kolejnych pytań prejudycjalnych. W 2016 r. TSUE przesądził o niezgodności z prawem unijnym przepisów krajowych, które nakazują ogólną retencję danych (połączone sprawy C-203/15 oraz C-698/15). Zgodnie z tym wyrokiem państwa członkowskie nie mogą nakładać na dostawców usług elektronicznych obowiązku uogólnionego i niezróżnicowanego przechowywania danych. Trybunał dopuścił możliwość gromadzenia danych, ale tylko w indywidualnych sprawach w celu zwalczania poważnej przestępczości. Zostało to natomiast obwarowane dodatkowymi warunkami. Dostęp do danych jest możliwy po uzyskaniu zgody sądu lub innego niezależnego organu, a inwigilowana osoba powinna zostać o tym poinformowana.
Wspomniane wyroki wywołały zaniepokojenie wielu państwach członkowskich, które uważają, że ograniczanie dostępu do danych telekomunikacyjnych utrudnia im zapewnienie bezpieczeństwa narodowego oraz walkę z przestępczością i terroryzmem. Znalazło to odbicie w pytaniach prejudycjalnych przesłanych przez francuską Radę Stanu Conseil d’État (sprawy połączone La Quadrature du Net i in., C-511/18 i C-512/18), belgijski Trybunał Konstytucyjny Cour constitutionnelle (Ordre des barreaux francophones et germanophone i in., C-520/18) oraz brytyjski Sąd ds. Uprawnień Dochodzeniowych Investigatory Powers Tribunal (Privacy International, C-623/17). Wszystkie są rozpoznawane łącznie. Sprawa budzi olbrzymie zainteresowanie rządów, o czym świadczyć może fakt, że aż 13 państw przedstawiło w niej swe stanowiska.
W pierwszej kolejności Campos Sánchez-Bordona rozwiał wątpliwości co do możliwości zastosowania dyrektywy o prywatności i łączności elektronicznej 2002/58/WE w zakresie dostępu służb do danych. Państwa biorące udział w postępowaniu zwracały uwagę, że spod jej przepisów są wyłączone działania mające na celu zapewnienie bezpieczeństwa narodowego. Rzecznik generalny zgodził się z tym, ale jednocześnie zastrzegł, że chodzi wyłącznie o działalność samych władz publicznych. Jeśli zaś jest ona prowadzona przy współpracy dostawców usług elektronicznych, to dyrektywa i wszystkie wynikające z niej ograniczenia znajdują zastosowanie.
Konieczne gwarancje
Rzecznik generalny uznał za sprzeczne z prawem unijnym przepisy regulujące retencję i dostęp do danych we wszystkich trzech państwach, których dotyczyły pytania prejudycjalne. Każda z krajowych regulacji przewiduje bowiem uogólniony i niezróżnicowany obowiązek przechowywania informacji, co zostało już wcześniej zakwestionowane przez TSUE.
Campos Sánchez-Bordona uważa natomiast za dopuszczalną retencję danych podlegającą określonym ograniczeniom i zróżnicowaniom.
„Chociaż to trudne, to jednak możliwe jest dokładne określenie zgodnie z obiektywnymi kryteriami, zarówno kategorii danych, których przechowywanie uważa się za niezbędne, jak i kręgu osób, których dane te dotyczą” – podkreślił w swej opinii.
Nawet tak ograniczonej retencji muszą towarzyszyć dodatkowe obostrzenia. Dostęp do danych powinien być możliwy za zgodą sądu lub niezależnego organu administracyjnego, a osoby, których dane pobrano, muszą zostać o tym fakcie poinformowane, chyba że mogłoby to narazić na szwank prowadzone dochodzenia.
– Postulowane przez TSUE wprowadzenie mechanizmu informowania jednostki, że była inwigilowana, jest kluczowe. Poinformowanie użytkownika telefonu, oczywiście po zakończeniu działań operacyjnych, o zainteresowaniu ze strony służb to skuteczne narzędzie do przeciwdziałania ewentualnym nadużyciom – podkreśla Wojciech Klicki.
Polski problem
Jeśli wyrok TSUE będzie zgodny z przedstawioną opinią, to kłopoty będą miały nie tylko państwa, których bezpośrednio dotyczy sprawa, ale także inne, w tym Polska. Nasze regulacje nie spełniają bowiem wskazanych warunków. Nakazują ogólne przechowywanie danych, do których służby mają potem niczym nieskrępowany dostęp. Nie przewidują również informowania o inwigilacji, nawet po zakończeniu śledztwa, gdy osoba będąca w zainteresowaniu służb okaże się niewinna.
– Jeżeli wyrok TSUE będzie zgodny z opinią rzecznika generalnego, a tak należy założyć, to linia orzecznicza przesądzająca o niezgodności z dyrektywą ogólnego i niezróżnicowanego obowiązku retencji danych będzie ugruntowana. W konsekwencji polski ustawodawca powinien znowelizować przepisy, by były zgodne z tym orzecznictwem – zauważa Witold Chomiczewski, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy. Jeśli Polska tego nie zrobi, to musi się liczyć z konsekwencjami.
– Po pierwsze, otworzy to szerzej drogę dla dochodzenia odszkodowań przez każdego objętego retencją od Skarbu Państwa za niewłaściwą implementację dyrektywy. Nie będą to łatwe postępowania, ale moim zdaniem są możliwe do przeprowadzenia. Po drugie, Komisja Europejska będzie mogła podjąć działania związane z uchybieniem przez Polskę swoim zobowiązaniom, czyli brakiem pełnej implementacji dyrektywy – wyjaśnia prawnik.
Część państw już po wyroku w sprawie Tele2 Sverige AB podjęła pewne próby dostosowania do niego swoich regulacji. Nasz ustawodawca całkowicie go zignorował.
– Polskie przepisy od lat są niezgodne zarówno z orzecznictwem TSUE, jak i Trybunału Konstytucyjnego (wyrok sygn. akt K 23/11). Nie istnieje nie tylko uprzednia, ale nawet następcza kontrola nad dostępem do danych. Bo za realną nie można uznać kontroli polegającej na wysłaniu przez służbę sądowi raz na sześć miesięcy tabeli zestawiającej liczbę pobranych danych – podkreśla Wojciech Klicki.