Według danych Urzędu Komunikacji Elektronicznej w 2011 r. policja, Straż Graniczna, Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, Centralne Biuro Antykorupcyjne, Wywiad Skarbowy, Służba Celna, Żandarmeria Wojskowa, prokuratura i sądy ponad 1,8 mln razy sięgały po tzw. dane retencyjne (dot. billingów, informacji o abonentach oraz o lokalizacji telefonów komórkowych). Rok wcześniej takich zapytań odnotowano 1,4 mln, co było rekordem w UE. Opublikowanie zestawienia za 2011 r. miało w Polsce szeroki oddźwięk wśród mediów i organizacji pozarządowych.
"Dotychczas przekazywane statystyki były po części w zły sposób interpretowane" - powiedział Wiewiórowski w rozmowie z PAP. Jego zdaniem dane, jakie UKE przekazuje do Brukseli, nie są porównywalne z napływającymi z innych krajów. Po pierwsze w polskich statystykach pokaźną część stanowią tzw. zapytania abonenckie (do kogo należy dany numer telefonu), które nie wynikają z unijnej dyrektywy, a więc nie są uwzględniane w zestawieniach, jakie przekazuje np. Francja. Po drugie, w Polsce, w przeciwieństwie do niektórych krajów europejskich, nie istnieje centralny rejestr numerów telefonicznych, więc policja i inne służby, zamiast raz spytać o właściciela danego numeru, muszą zadawać to pytanie przynajmniej trzem, czterem największym operatorom telekomunikacyjnym.
W mijającym tygodniu Kolegium ds. Służb Specjalnych opublikowało projekt założeń nowelizacji "niektórych ustaw, w związku z pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych". Dokument przewiduje m.in. ograniczenie wykorzystywania danych telekomunikacyjnych tylko do ścigania przestępstw zagrożonych karą więzienia, której górna granica wynosi co najmniej 3 lata (wyjątek uczyniono dla przestępstw celnych), wprowadzenie obowiązku niszczenia zbędnych danych oraz powołanie pełnomocników w służbach, którzy czuwaliby nad ochroną danych osobowych.
Choć GIODO pozytywnie ocenił pomysł ograniczenia wykorzystywania danych retencyjnych do ścigania części przestępstw (dotychczas były one wykorzystywane nawet w sprawach cywilnych, np. rozwodowych), to zauważył, że projekt Kolegium nie do końca odpowiada przepisom UE. "Dyrektywa retencyjna mówi o +poważnych przestępstwach+. Wydaje się, że poważnymi przestępstwami są w Polsce zbrodnie, czyli przestępstwa zagrożone karą co najmniej trzech lat więzienia. Tymczasem w projekcie Kolegium pojawia się nowa konstrukcja prawna. Zaliczenie do tej grupy przestępstw zagrożonych karą więzienia pozbawienia wolności, której górna granica wynosi co najmniej 3 lata i uzupełnienie tej listy o dodatkowe grupy przestępstw, to poważna różnica" - powiedział Wiewiórowski.
Podobnie ocenił propozycję powołania w służbach pełnomocników ds. ochrony danych osobowych, obecnie taka funkcja istnieje tylko w Centralnym Biurze Antykorupcyjnym. "To jest dobre rozwiązanie, jednak trzeba pamiętać, że działanie tego typu pełnomocnika w CBA, a w przyszłości w innych służbach, to tylko kontrola wewnętrzna. Niepokoi mnie to, że w ogóle nie dotknięto problemu kontroli zewnętrznej prowadzonej przez niezależny organ. Takiego rozwiązania w projekcie nie widać, mimo że było zapowiadane w zeszłorocznym raporcie komisji pana ministra Jacka Cichockiego. To moim zdaniem jest największy brak tego projektu" - powiedział GIODO.
Dobrym pomysłem, aczkolwiek sformułowanym zbyt ogólnie, jest też, zdaniem GIODO, propozycja obowiązkowego niszczenia danych zbędnych w postępowaniu. "Naszym zdaniem rozwiązanie w przypadku wszystkich rejestrów powinno wyglądać w ten sposób, że dane są generalnie niszczone, kiedy nie są potrzebne, a wyjątki od tej zasady, które rzeczywiście czasem powinny się pojawiać, są wyraźnie wskazane w ustawie w formie zamkniętej listy, analogicznie jak to jest w przypadku kontroli operacyjnej" - powiedział Wiewiórowski. Podkreślił, że obecnie w Polsce zasadą jest, że dane są przechowywane nawet wtedy, kiedy de facto są zbędne.
Projekt Kolegium nie odpowiada też na pytanie, czy osoby, których dane były przetwarzane przez organy państwa, mają być informowane po zakończeniu postępowania, że zbierano o nich informacje. "Tę kwestię zgłasza wiele organizacji pozarządowych, natomiast w jakimś stopniu rozumiem opory policji i służb dotyczące informowania osoby, wobec której w tym akurat momencie nie znaleziono żadnych istotnych dowodów, szczególnie w przypadku rozpracowywania zorganizowanych grup przestępczych" - powiedział Wiewiórowski.
Nawiązał też do propozycji skrócenia okresu przechowywania danych. Obecnie wynosi on 24 miesiące, czyli maksymalnie tyle, na ile pozwala prawo UE. W opublikowanym na początku kwietnia projekcie nowego prawa telekomunikacyjnego Ministerstwo Administracji i Cyfryzacji zaproponowało skrócenie tego okresu do 12 miesięcy, a minister Michał Boni nie wykluczał wówczas, że będzie rekomendował skrócenie go nawet do sześciu miesięcy. Przechowywanie danych przez pół roku przewiduje też projekt, jaki złożyli w lutym w Sejmie posłowie PSL.
Według GIODO "kwestia długości okresu retencji danych jest sprawą trzeciorzędną". "Propozycja skrócenia okresu obowiązkowej retencji z 24 do 6 miesięcy nie ma jednak sensu, skoro operatorzy telekomunikacyjni i tak przechowują dane dotyczące połączeń przez 12 miesięcy ze względu na okres reklamacyjny" - zauważył Wiewiórowski.
W 2011 r. przepisy o billingach zaskarżyła do Trybunału Konstytucyjnego rzecznik praw obywatelskich prof. Irena Lipowicz. RPO kwestionuje m.in., że ustawy nie regulują precyzyjnie celu gromadzenia danych telekomunikacyjnych oraz nie nakazują służbom niszczenia tych, które okażą się nieprzydatne. Zarzuty RPO za "w pełni zasadne" uznała w stanowisku przesłanym do TK Prokuratura Generalna. Termin sprawy przed Trybunałem nie został na razie wyznaczony.