Zgodnie z krajowymi przepisami operatorzy muszą przez rok przechowywać dane pozwalające ustalić nie tylko, do kogo dzwoniliśmy, lecz także gdzie przebywaliśmy czy na jakie strony internetowe wchodziliśmy. Wydane we wtorek przez Trybunał Sprawiedliwości Unii Europejskiej orzeczenia jednoznacznie przesądzają, że jest to niezgodne z przepisami unijnymi. Nawet podnoszone przez Polskę szczególne zagrożenia dla bezpieczeństwa narodowego, takie jak terroryzm, nie mogą uzasadniać narzucania telekomom takiego obowiązku retencji danych.

‒ Wyroki te potwierdzają to, co powinno być wiadome od dawna ‒ polskie prawo jest absolutnie niezgodne z regulacjami unijnymi i musi być jak najszybciej zmienione. Ogólny obowiązek przechowywania przez operatorów telekomunikacyjnych danych lokalizacyjnych czy billingów jest po prostu bezprawny. Służby mogą mieć czasowy dostęp do danych, ale tylko grup osób wskazanych w sposób niedyskryminacyjny i w związku z konkretnymi zagrożeniami. Dodatkowo przepisy muszą przewidywać skuteczny nadzór na takim dostępem – podkreśla Wojciech Klicki, prawnik z Fundacji Panoptykon.

‒ Bezpieczeństwo narodowe może stanowić wyjątek od tej reguły, ale tylko w ściśle określonych sytuacjach – dodaje.

Zakończone we wtorek sprawy to konsekwencja wcześniejszego orzecznictwa TSUE w zakresie dostępu służb do danych telekomunikacyjnych. W 2014 r. trybunał uznał, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych zbytnio ingeruje w prawo do prywatności i wykracza poza granice tego, co niezbędne do zapewniania bezpieczeństwa (połączone sprawy C-293/12 i C-594/12). Dyrektywa została uznana za nieważną, a tym samym państwa UE straciły podstawę prawną dla krajowych regulacji przewidujących przechowywanie danych na potrzeby służb. W 2016 r. TSUE przesądził o niezgodności z prawem unijnym przepisów krajowych, które nakazują ogólną retencję danych (połączone sprawy C-203/15 oraz C-698/15).

Wspomniane wyroki wywołały zaniepokojenie w wielu państwach członkowskich, które uważają, że ograniczanie dostępu do danych telekomunikacyjnych utrudnia im zapewnienie bezpieczeństwa narodowego oraz walkę z przestępczością i terroryzmem. Znalazło to odbicie w pytaniach prejudycjalnych przesłanych przez francuską Radę Stanu Conseil d’État (sprawy połączone La Quadrature du Net i in., C-511/18 i C-512/18), belgijski Trybunał Konstytucyjny Cour constitutionnelle (Ordre des barreaux francophones et germanophone i in., C-520/18) oraz brytyjski Sąd ds. Uprawnień Dochodzeniowych Investigatory Powers Tribunal (Privacy International, C-623/17). W obydwu wczorajszych orzeczeniach powtórzono to, co już wcześniej było wiadome – do retencji danych i udostępniania ich służbom przez operatorów zastosowanie ma dyrektywa o prywatności i łączności elektronicznej 2002/58/WE. Ta zaś nie zezwala na wprowadzenie ogólnego obowiązku retencji.

Bezpieczeństwo narodowe

Część państw członkowskich, w tym Polska, przekonywała, że wspomniana dyrektywa nie ma zastosowania do działań związanych z zapewnieniem bezpieczeństwa narodowego. Trybunał zgodził się, że ten cel należy rzeczywiście stawiać wyżej niż zwykłe zwalczanie przestępczości czy też nawet ochronę bezpieczeństwa publicznego. Dlatego też, jego zdaniem, państwo może w szczególnych sytuacjach wprowadzić obowiązek ogólnej retencji wszystkich danych telekomunikacyjnych. Po pierwsze jednak, musi on wynikać z poważnego zagrożenia bezpieczeństwa narodowego, które jest realne i przewidywalne, po drugie, jest ograniczony do konkretnych ram czasowych, a po trzecie, podlega kontroli niezależnego organu.

‒ Można sobie wyobrazić, że Polska wprowadza go, dajmy na to w związku z organizacją szczytu klimatycznego i realnym zagrożeniem czasowym. Ramy czasowe takiej retencji muszą być wówczas jednak jasno określone, a kontrolę nad jej wprowadzeniem musi sprawować niezależny organ, który sprawdzi, czy nadzwyczajne środki są uzasadnione i adekwatne do nadzwyczajnego zagrożenia – zwraca uwagę Wojciech Klicki.

Potrzeba zapewnienia bezpieczeństwa publicznego czy też zwalczania poważnych przestępstw nie może już, zdaniem TSUE, uzasadniać ogólnego obowiązku retencji. Skład orzekający przyznał natomiast, że możliwe jest jego wprowadzenie wobec konkretnych osób czy grup, nawet mieszkańców danego obszaru. Znów jednak tylko w konkretnych ramach czasowych i pod nadzorem niezależnych organów. Ogólny nakaz udostępniania może natomiast dotyczyć danych takich jak IP, które pozwalają na identyfikację użytkownika smartfonu czy komputera. Te dane bowiem oznaczają dużo mniejszą ingerencję w prywatność użytkownika niż choćby dane lokalizacyjne czy dotyczące jego ruchu w sieci.

Nawet przy tej ostatniej kategorii, gdzie zasady retencji są najbardziej liberalne, Polska nie spełnia podstawowego warunku – nadzoru niezależnego organu nad udostępnianiem takich danych.

‒ Z jednej strony powinna zostać wprowadzona kontrola prewencyjna, czyli tak naprawdę akceptacja przez sąd przetwarzania danych przez służby po sprawdzeniu, czy jest to uzasadnione konkretnym zagrożeniem w danej sytuacji. Z drugiej strony po zakończeniu działań operacyjnych obywatele powinni być informowani, że służby miały dostęp do ich danych, co umożliwiłoby kontrolę następczą – uważa Witold Chomiczewski, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy.

Konieczna nowelizacja

Eksperci nie mają wątpliwości, że po wydaniu tych orzeczeń Polska jak najszybciej powinna dostosować swoje przepisy dotyczące retencji. W przeciwnym razie musi liczyć się z problemami. Po pierwsze interwencją ze strony Komisji Europejskiej, która będzie mogła podjąć działania związane z uchybieniem przez Polskę swoim zobowiązaniom, czyli brakiem pełnej implementacji dyrektywy 2002/58/WE.

Postępowanie ze strony KE zajęłoby sporo czasu. Możliwe są jednak mniej odległe w czasie konsekwencje.

‒ Teoretycznie można sobie nawet wyobrazić sytuację, gdy operatorzy po prostu przestają udostępniać dane służbom, odwołując się wprost do wykładni prounijnej i orzecznictwa TSUE. Co więcej, w moim przekonaniu powinni wygrać ewentualne sprawy przed polskimi sądami, nawet bez kolejnych wniosków prejudycjalnych. Mamy już bowiem do czynienia z ukształtowaną linią orzeczniczą TSUE i nie ma wątpliwości, że ogólny obowiązek rocznej retencji danych abonentów jest niezgodny z prawem unijnym – mówi Witold Chomiczewski.

‒ Zapadłe orzeczenia umożliwiają też dochodzenie roszczeń za niewłaściwą implementację dyrektywy przez każdego objętego retencją od Skarbu Państwa. Jestem w stanie wyobrazić sobie pozew obywatela za naruszenie jego dóbr osobistych w postaci prawa do prywatności czy prawa do autonomii informacyjnej. Oczywiście byłaby to bardzo skomplikowana sprawa, ale możliwa do przeprowadzenia – dodaje ekspert.