Nowelę przygotowaną przez posłów PiS Sejm uchwalił 15 stycznia, przy sprzeciwie całej opozycji. Senat przyjął ją bez poprawek 29 stycznia, a prezydent Andrzej Duda podpisał ją 3 lutego.
Nowela dotyczy kilkunastu ustaw regulujących działania: Policji, Straży Granicznej, Żandarmerii Wojskowej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu, a także Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Służby Celnej i kontroli skarbowej.
Nowelę kwestionowały: cała opozycja, RPO Adam Bodnar (zapowiedział zaskarżenie jej do TK), GIODO, Krajowa Rada Sądownictwa, Rada ds. Cyfryzacji, Naczelna Rada Adwokacka, Krajowa Rada Radców Prawnych oraz organizacje pozarządowe. Najbardziej krytykowano zapisy o danych internetowych - chodzi o zakres każdorazowego skorzystania z usługi świadczonej drogą elektroniczną (np. adresy odwiedzanych stron, wpisy w wyszukiwarce, adresy email itp.). Według PO swobodne pobieranie przez służby tych danych to "gigantyczne zagrożenie dla swobód obywatelskich". "Internet powinien pozostać przestrzenią wolności" - podkreślano.
Z przedstawicielami organizacji pozarządowych krytykujących nowelę spotkał się w piątek prezydent Andrzej Duda. Szefowa jego kancelarii Małgorzata Sadurska powiedziała w sobotę, że prezydent złożył deklarację, iż w Kancelarii Prezydenta rozpocznie się dyskusja o tym, żeby stworzyć ustawę, która ureguluje pracę służb. Jak mówiła, jeśli będzie dobra wola i dialog pomiędzy organizacjami, które mają wątpliwości a rządem czy parlamentem, będzie można uchwalić kolejną nowelizację "naprawiającą, czyszczącą".
Dotąd po te dane do operatorów i firm internetowych służby występowały "na potrzeby prowadzonych postępowań" pisemnie - i taką drogą je dostawały. Nowela wprowadza dostęp do tych danych on line - przez tzw. bezpieczne połączenie internetowe (największe firmy utworzą je na swój koszt - Sejm przyjął poprawkę Nowoczesnej, by zwolnić od tego mniejsze firmy). Obecnie po dane służby będą mogły sięgać nie tylko na potrzeby postępowań, ale także w celu "zapobiegania lub wykrywania przestępstw", "ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych" czy "realizacji zadań ustawowych". Na pozyskanie treści np. maila czy czatu nadal będzie - tak jak dziś - potrzebna uprzednia zgoda sądu.
"Podnoszenie larum, że włączenie danych internetowych do ustawy o służbach zwiększy inwigilację internetu, jest po prostu kłamstwem, bo obecnie dostęp służb do tych danych jest nieograniczony" - mówił zastępca koordynatora służb specjalnych Maciej Wąsik w toku prac legislacyjnych. Dodał, że obawy są płonne, bo ustawa ogranicza uprawnienia służb, a nie wolność w internecie. Podkreślał, że nowela wprowadza sądową kontrolę następczą pobierania wszelkich danych oraz niszczenie danych zbędnych, a zapis o sięganiu po dane internetowe na "potrzeby postępowań" pozostanie. Dodał, że po te dane wiele razy sięgano pod rządami koalicji PO-PSL. Dziś można pobierać dane nawet do spraw o wykroczenia, co nowela likwiduje - mówił.
Gdyby nowela nie weszła w życie 7 lutego, służby nie miałyby podstaw do wielu działań. 6 lutego wszedł bowiem w życie wyrok TK z lipca 2014 r. - zakwestionowane wtedy przepisy przestały obowiązywać. TK orzekł wówczas, że niekonstytucyjne są: część podstaw prawnych kontroli operacyjnej; brak niezależnej kontroli pobierania danych telekomunikacyjnych przez służby; brak zasad niszczenia podsłuchów osób zaufania publicznego (np. adwokatów czy dziennikarzy); brak obowiązku niszczenia przez ABW, CBA i SKW zgromadzonych danych nieprzydatnych. TK nakazał też określić maksymalny czas trwania czynności operacyjnych wobec jednostki, która w rozsądnym czasie po ich zakończeniu powinna być o nich informowana. TK odroczył wejście wyroku w życie na 18 miesięcy.
Rząd PO-PSL nie przygotował projektu wykonującego wyrok. W czerwcu 2015 r. grupa senatorów PO zgłosiła swój projekt jako inicjatywę ustawodawczą Senatu, ale nie został on uchwalony przez Sejm. W sierpniu 2015 r. Sejm skierował projekt do komisji, odrzucając wniosek PiS i SLD o jego odrzucenie. Projekt był krytykowany przez ówczesną opozycję, Prokuratora Generalnego, GIODO, kilka ministerstw, Biuro Analiz Sejmowych, NRA. Zarzucano mu m.in. niewystarczające wypełnienie wyroku TK.
W grudniu 2015 r. posłowie PiS wnieśli do Sejmu projekt mający wykonywać wyrok TK. PO podkreślała, że w zasadzie jest to powielony przez PiS projekt senacki - co przyznawał koordynator służb specjalnych Mariusz Kamiński. Wyjaśniał on, że skoro koalicja PO-PSL zaniechała uchwalenia noweli, to musi to być projekt poselski, bo jest za mało czasu na konsultacje; skoro wyrok TK wchodzi w życie w lutym 2016 r., pozbawi to służby możliwości działań. "Działamy z nożem na gardle" - mówił Wąsik. "Nie ma wolności bez bezpieczeństwa" - dodawał Kamiński. Deklarowali, że będą prace doskonalące przepisy o służbach.
W toku prac odrzucano poprawki opozycji, m.in. ograniczające czas kontroli operacyjnej do roku; eliminujące możliwość sięgania po dane internetowe oraz zakładające, że po dane telekomunikacyjne sięga się, gdy inne metody okazały się nieskuteczne.
Zgodnie z uchwaloną nowelą, kontrola operacyjna - po uprzedniej zgodzie sądu - ma polegać na: podsłuchu; podglądzie osób w "pomieszczeniach, środkach transportu lub miejscach innych niż publiczne"; kontroli korespondencji (w tym elektronicznej); kontroli przesyłek; uzyskiwaniu danych z "informatycznych nośników danych, telekomunikacyjnych urządzeń końcowych, systemów informatycznych i teleinformatycznych". Łączny okres kontroli nie może przekroczyć 18 miesięcy (nie dotyczy to kontrwywiadu).
Według organizacji pozarządowych nowelizacja pozwala na śledzenie przez służby danej osoby za pomocą nadajnika GPS (bo obserwacja w miejscach publicznych nie wymaga zgody sądu). Według nich służby mogłyby też posługiwać się oprogramowaniem szpiegowskim w celu dostępu do "nośnika danych i telekomunikacyjnego urządzenia końcowego".
Mimo że TK postulował skrócenie okresu przechowywania billingów, w noweli utrzymano ustawowy - 12 miesięczny. Dane, które w ocenie prokuratora nie mają znaczenia dla postępowania karnego, będą podlegać niezwłocznemu zniszczeniu. Właściwy sąd okręgowy będzie miał prawo do kontroli post factum pozyskiwania przez służby danych telekomunikacyjnych, pocztowych i internetowych. Uprawnione organy raz na pół roku będą przekazywały do sądu odpowiednie sprawozdania. Sąd mógłby zapoznać się z materiałami uzasadniającymi udostępnienie danych.
Minister sprawiedliwości ma przedstawiać co roku Sejmowi i Senatowi ogólną informację o przetwarzaniu danych i wynikach kontroli.
Zdaniem krytyków noweli, sądowa kontrola pobierania danych nie będzie realna, bo będzie się odbywała na podstawie ogólnych sprawozdań, a sąd będzie mógł, ale nie będzie musiał, weryfikować, czy dane pobrano zasadnie. Ponadto sąd nie będzie miał narzędzi, by żądać określonych czynności od służb przy stwierdzeniu nieprawidłowości - dodawano. Według KRS następcza procedura kontroli pobierania danych przez sądy służy de facto celom statystycznym, gdyż sądy nie mają żadnych kompetencji w razie stwierdzenia uchybień przy pozyskiwaniu danych. "Sąd może jedynie zapoznać się z materiałami uzasadniającymi udostępnienie danych, a po 30 dniach po zakończeniu kontroli poinformować o jej wynikach odpowiednie służby" - dodano.
Wąsik mówił, że sądy nie są przygotowane do uprzedniej kontroli pobierania danych telekomunikacyjnych; przypomniał, że było 2,4 mln zapytań o nie rocznie. Według niego uprzednia kontrola oznaczałaby paraliż i sądów, i służb. "Jesteśmy otwarci; jak trzeba będzie, będziemy dokonywać zmian" - deklarował.
Krytycy noweli mieli wątpliwości co do nieinformowania obywateli o tym, że byli inwigilowani; postulowali także zapisy, by wszelkie dane można było pobierać tylko przy najpoważniejszych przestępstwach i gdy inne metody są nieskuteczne. Według Wojciecha Klickiego z Fundacji Panoptykon bez tego ograniczenia będzie można zbierać dane internauty np. przy podejrzeniu naruszenia przez niego praw autorskich.
W nowelizacji znalazł się zapis zgłoszony w trakcie prac sejmowych przez rząd - że jeśli służby w toku kontroli operacyjnej uzyskają informacje będące tajemnicą obrończą lub spowiedzi, to będą one natychmiast przez nie niszczone. W przypadku innych tajemnic zawodowych (np. dziennikarskiej, zwykłej adwokackiej czy lekarskiej) to sąd ma decydować, czy będą mogły być one wykorzystane w postępowaniu, czy też zniszczone. Wystąpi o to prokurator, który uzyska od służb takie materiały. Od zgody sądu na wykorzystanie w postępowaniu tajemnicy adwokackiej, dziennikarskiej czy lekarskiej osoba, której tajemnica dotyczy, nie będzie się mogła odwołać (nowela daje to prawo tylko prokuraturze).
"Tu chodzi o fazę postępowania operacyjnego, które jest niejawne; byłoby niedorzecznością zawiadamiać o tym osobę podsłuchiwaną" - tłumaczył Wąsik.
"Na jakiej podstawie funkcjonariusz służb po zapoznaniu się ze stenogramem jakiegoś podsłuchu ustali, że dana rozmowa zawiera tylko tajemnicę adwokacką, a nie obrończą?" - pytał mec. Artur Pietryka z Helsińskiej Fundacji Praw Człowieka. Dodał, że prawo do obrony zaczyna się, gdy organa ścigania zaczynają konkretne czynności przeciw jednostce w celu pociągnięcia jej do odpowiedzialności karnej, a działania operacyjne służb trwają jeszcze przed wszczęciem śledztwa. "Służby w ogóle nie będą zatem zakładać, że podczas inwigilacji uzyskały jakąkolwiek tajemnicę obrończą" - ocenił adwokat.
Podczas prac nad projektem negatywną jego ocenę wyraziła m.in. NRA. Oceniła krytycznie m.in. zapis, że to oficer służb będzie oceniał, czy uzyskana przez nie informacja jest chroniona tajemnicą adwokacką - co może naruszać prawo do obrony. Negatywną opinię wyraziła też z tego powodu Krajowa Rada Radców Prawnych.
RPO Adam Bondar uznał część zapisów za niezgodne z konstytucją. Zakwestionował m.in. przedłużanie czasu kontroli operacyjnej do 18 miesięcy i możliwość stosowania jej przy wszystkich przestępstwach ściganych z oskarżenia publicznego (nawet tych mniej groźnych). Według RPO powinna istnieć uprzednia kontrola pobierania billingów.
Nowe przepisy nie stwarzają wystarczających gwarancji ochrony prywatności i tajemnicy komunikowania się obywateli - oceniała Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. Rada ds. Cyfryzacji, która postulowała m.in. wprowadzenie mechanizmu informowania osób, których dane pobrano, uznała, że nowela budzi wiele wątpliwości konstytucyjnych.
Biuro Analiz Sejmowych oceniało na etapie prac legislacyjnych, że projekt nie spełnia wymogu wyroku Trybunału Sprawiedliwości UE, aby służby mogły pobierać billingi tylko przy "wystarczająco poważnych" przestępstwach. Dodano, że TS UE uznał za nieuzasadnioną ingerencję w prawa podstawowe brak uprzedniej kontroli sądu lub niezależnego organu nad pobieraniem billingów.
Helsińska Fundacja Praw Człowieka podkreślała, że nie stworzono systemu niezależnej kontroli nad służbami. Według niej osoba, której komputer przeszukano, najprawdopodobniej może się o tym nigdy nie dowiedzieć. Zdaniem Fundacji Panoptykon przepisy są niezgodne zarówno z konstytucją, jak i prawem UE.
Według Klubu Jagiellońskiego "najniebezpieczniejszym novum jest zignorowanie wątpliwości konstytucyjnych co do gromadzenia danych geolokalizacyjnych i internetowych oraz pominięcie obowiązku poinformowania obywatela o tego rodzaju działaniach". Zdaniem Klubu "w chwili, gdy światło dzienne ujrzały przypadki inwigilowania za rządów PO dziennikarzy odpowiedzialnych za ujawnienie tzw. +afery taśmowej+, tego rodzaju przepisy powinny budzić szczególne zaniepokojenie".