Od trzech tygodni część operatorów przekazuje dane lokalizacyjne na temat osób objętych kwarantanną. Zdaniem prawników nie ma ku temu podstaw prawnych.
Tarcza antykryzysowa 2.0 (w środę, 15 kwietnia, zajmował się nią Senat) zawiera przepis, który wprost zobowiąże operatorów telekomunikacyjnych do przekazywania danych lokalizacyjnych osób chorych na COVID-19 oraz objętych kwarantanną. Pozwoli to na bieżąco sprawdzać, czy nie opuszczają oni miejsc, w których powinni przebywać. Okazuje się jednak, że już 24 marca premier wydał telekomom analogiczne polecenie w drodze decyzji. Zobowiązała ona operatorów do przekazywania wojewodom (i innym jednostkom) danych lokalizacyjnych użytkowników „podlegających nadzorowi epidemiologicznemu, kwarantannie, hospitalizacji lub izolacji”. Nadano jej klauzulę natychmiastowej wykonalności. Potwierdziła to Sieć Obywatelska Watchdog Polska w trybie dostępu do informacji publicznej.
Niewystarczająca podstawa
Pojawia się pytanie, czy premier mógł wydać operatorom polecenie przekazywania danych telekomunikacyjnych? Jeśli bowiem mógł, to po co przepis nakazujący to samo wpisano do tarczy 2.0? Decyzja premiera została wydana na podstawie art. 11 ust. 2 pierwszej tarczy antykryzysowej (Dz.U. z 2020 r. poz. 374). Przepis ten rzeczywiście pozwala premierowi wydawać polecenia przedsiębiorcom i jednocześnie przewiduje, że podlegają one natychmiastowemu wykonaniu oraz nie wymagają uzasadnienia (patrz grafika). Zdaniem zapytanych przez nas prawników nie oznacza to jednak, że premier może zobowiązać firmy do wszystkiego.
– Z punktu widzenia dóbr chronionych trudne do zaakceptowania jest wyłączanie tajemnicy prawnie chronionej tylko na podstawie niesformalizowanego polecenia opartego na bardzo generalnym przepisie kompetencyjnym. Tajemnica jest w prawie obowiązkiem najdalej idącej poufności w naszych relacjach społecznych, zawodowych czy gospodarczych, gwarantuje zaufanie do świadczącego usługi i chroni dobra takie jak prywatność, a w pewnych sytuacjach również inne, np. bezpieczeństwo – podkreśla dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.
– Podstawą wyłączenia powinien być przepis ustawy, który wyraźnie i w sposób proporcjonalny wyłącza określoną tajemnicę. Tylko wyjątkowo można przyznać organowi władzy wykonawczej kompetencję do władczego wyłączania tajemnicy, ale wówczas ustawa powinna ustanawiać taką kompetencję w sposób jasny i precyzyjny – dodaje.
Dane telekomunikacyjne, będące jednocześnie danymi osobowymi, są chronione zarówno na poziomie unijnym, jak i krajowym. I jedne, i drugie przepisy dopuszczają wyjątki od tej ochrony, ale muszą one wynikać z aktu rangi ustawowej.
– Tu zaś podstawą prawną jest tylko decyzja premiera. I nie ma znaczenia, że decyzja ta została wydana w oparciu o umocowanie ustawowe – to umocowanie jest na tyle pojemne i niekonkretne, że nie spełnia wymagań z art. 161 ust. 1 ustawy – Prawo telekomunikacyjne – uważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
– Na podstawie art. 11 ust. 2 specustawy premier może wydawać polecenia, ale nie w zakresie, co do którego mamy zasadę wyłączności ustawy. Dane osobowe są zaś chronione zarówno przez RODO, jak i art. 51 konstytucji oraz prawo telekomunikacyjne – wyjaśnia prawnik.
Wskazany przez niego art. 161 ust. 1 prawa telekomunikacyjnego (t.j. Dz.U. z 2019 r. poz. 2460 ze zm.) mówi wprost, że przetwarzanie danych telekomunikacyjnych jest dopuszczalne jedynie na podstawie przepisów rangi ustawowej. To samo wynika z art. 51 konstytucji oraz RODO.
– Przekładając to na praktykę – premier może wydać firmie budowlanej polecenie, by udostępniła państwu sprzęt. Nie może natomiast zobowiązać kancelarii prawnej do ujawnienia tajemnicy zawodowej, banku do ujawnienia tajemnicy bankowej, a firmy telekomunikacyjnej do ujawnienia danych telekomunikacyjnych – wyjaśnia obrazowo dr Paweł Litwiński.
Nowe regulacje
W rozmowie z DGP, opublikowanej 9 kwietnia, minister cyfryzacji Marek Zagórski przyznał, że niektórzy operatorzy już przekazują rządowi zagregowane dane.
– Ale chodzi o to, by nie było wątpliwości, że mogą to robić i by móc je otrzymywać od wszystkich – wskazywał minister. Może to sporo tłumaczyć w kontekście opisywanego przez nas problemu. Przesądzenie w tarczy antykryzysowej 2.0, a więc wprost w ustawie, obowiązku przekazywania danych rozwiewa wątpliwości wskazywane przez prawników.
Aktualne jednak pozostaje pytanie, czy dotychczasowe decyzje premiera były legalne. Zapytaliśmy o to w jego kancelarii, jednak nie doczekaliśmy się odpowiedzi. Więcej do powiedzenia ma Ministerstwo Cyfryzacji.
– Decyzje kierowane do operatorów zostały wydane na podstawie przepisów prawa obowiązujących w dniu ich wydania. Na podstawie art. 11 ust. 2 i 5 ustawy prezes Rady Ministrów był uprawniony do nałożenia na operatorów obowiązku przekazywania danych lokalizacyjnych osób poddanych nadzorowi epidemiologicznemu, kwarantannie, hospitalizacji lub izolacji. Przepisy dotyczące udostępniania danych o lokalizacji w projekcie obecnie procedowanym przez parlament nakładają na operatorów obowiązek przekazywania konkretnych danych do ministra właściwego ds. informatyzacji. Podsumowując, działania podjęte w marcu przez prezesa Rady Ministrów były zgodne z przepisami – ocenia ministerstwo.
W kolejnej nowelizacji – tarczy 2.0 przewidziano wprost obowiązek przekazywania przez operatorów dwóch rodzajów danych. Pierwsza to anonimowe dane o tym, jak Polacy się przemieszczają. Jak zapewniał nas minister cyfryzacji Marek Zagórski, nie będą zawierały imienia i nazwiska, adresu czy też numeru telefonu. Posłużą do tworzenia analiz pokazujących np. reakcję na ograniczenia w możliwości przemieszczania się.
Druga kategoria to dane lokalizacyjne osób chorych i przebywających w kwarantannie (czyli te, dotychczas przekazywane na podstawie decyzji premiera). Teraz mają trafiać również do MC.