Dostęp do danych w sieci będzie miała nie tylko policja, ale również inne służby. Czyli znów będzie bardzo szerok0, do dużej ilości informacji, bez konkretnej kontroli i jasnych procedur - twierdzi Adam Bodnar, Rzecznik Praw Obywatelskich
W ustawie o policji pojawił się nowy przepis. Służba ma mieć prawo dostępu do „danych internetowych”. Czym konkretnie są takie „dane”?
Pojęcie danych internetowych jest definiowane w ustawie o świadczeniu usług drogą elektroniczną. To jest dość szeroki przepis, bo obejmuje nie tylko dane teleadresowe, czyli powiązanie numeru IP z konkretną osobą, ale także np. „informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną” czy „informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną”.
Czyli każdorazowe wejście do internetu, ruch po konkretnych stronach, aktywność w mediach społecznościowych, w sklepach internetowych?
To jest właśnie niedoprecyzowane w prawie, ale „zakres każdorazowego korzystania z usługi” brzmi po prostu jak każda czynność wykonywana online.
Czyli bardzo szeroki zakres informacji?
Bardzo.
Ale śledczy już do takich danych mają przecież dostęp i z nich korzystają. W końcu informacje, jakie zostawiamy na swój temat w internecie, są dziś niezwykle ważne dla ogromnej części prowadzonych postępowań. Skąd takie poruszenie wokół tej nowelizacji? W resorcie cyfryzacji odbyły się już konsultacje z rzecznikiem praw obywatelskich, radą ds. cyfryzacji i organizacjami pozarządowymi zaniepokojonymi tą zmianą. Aż tak duża będzie?
Niestety. Musimy zacząć od wyjaśnienia podstaw działań kontrolnych. Do tej pory w ustawie o policji była mowa o ogólnym dostępie do danych telekomunikacyjnych i pocztowych. Billingi: z kim łączyliśmy się, kiedy, ile czasu trwały połączenia, do kogo i ile wysyłanych było SMS-ów. Bez treści tych połączeń, bo dostęp do treści to już podsłuchy prowadzone w ramach kontroli operacyjnej. Ale pamiętajmy, czym innym jest szybkie sprawdzanie danych obywateli automatycznie i w sposób nieskrępowany, a tak jest w przypadku billingów i retencji, a czym innym są podsłuchy będące elementem procedur operacyjnych. Obejmują je konkretne zasady nakładania, prowadzone są procedury kontrolne. Można oczywiście dyskutować, w jakim zakresie materiał tak zdobyty można dołączać do akt, kiedy niszczyć nagrania, kiedy zawiadamiać podsłuchiwanych, że byli poddani takim działaniom. Ale to są już kwestie szczegółowe. W nowej wersji ustawy pojawia się zapis wprowadzający taki jak w przypadku billingów automatyzm także w stosunku do danych internetowych, i to bez żadnych szczegółowych zasad regulujących, na jakiej podstawie te dane mają być udostępniane i przetwarzane. Już z samymi billingami od dawna był problem dotyczący retencji danych. Tego, jak długo informacje o swoich klientach mają przechowywać operatorzy, jak często o te dane występują służby, w jakich celach. Teraz podobne niejasności i zagrożenia pojawią się w stosunku do kolejnej ogromnej masy danych o obywatelach.
Ale przecież już teraz informacje o tym, co podejrzani robili czy robią w sieci, są wykorzystywane przez służby.
Tak, tyle że właśnie „podejrzani”. I co ważne, jest to prawnie uregulowane. Opisuje te zasady art. 18 ust. 6 wspomnianej u.ś.u.d.e. Zgodnie z nim usługodawca może udzielić takich informacji „organom państwa na potrzeby prowadzonych przez nie postępowań”. A więc jest tu konkretna procedura jak przy podsłuchach. Musi być wniosek o udzielnie informacji, konkretny cel i jest kontrola, do czego dane zostaną użyte. Czyli to nie jest jak w przypadku billingowania działanie automatyczne. W nowej ustawie takiego trybu nie ma. Służby dostaną uprawnienie pozyskiwania danych internetowych po prostu „w celu rozpoznawania, zapobiegania, zwalczania, wykrywania albo uzyskania i utrwalenia dowodów przestępstw albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych”. Zakres jest ogromny, a nie jest wymagane nawet wszczęcie postępowania.
Twórcy ustawy bronią jej, tłumacząc, że takiego dostępu policja potrzebować może choćby w ramach walki z terroryzmem.
Ale tego w ustawie nie zapisano, nie ma ograniczenia tego automatyzmu do jakichś nadzwyczajnych działań. Wręcz przeciwnie, katalog jest maksymalnie szeroki. Co więcej, zapisano, że pozyskiwanie tych danych może się odbywać po prostu na wniosek upoważnionych funkcjonariuszy. Czyli wystarczy funkcjonariusz z upoważnieniem, by mieć dostęp do bardzo szerokiego katalogu danych. Nie do końca wiadomo, z jakiego powodu.
Ale jednak chyba jakieś procedury kontrolne zapewniono?
Niestety bardzo słabe. Jako że każde pozyskanie danych zostawia ślad, to służby muszą to raportować. Nowelizacja przewiduje, że kontrolę sprawować będzie sąd okręgowy, do którego co pół roku będą składane sprawozdania. I jeżeli sąd uzna, że są jakieś nieprawidłowości, coś go zaniepokoi, to może przeprowadzić kontrolę pozyskiwania tych danych. Ale przyznam się, że nie wierzę w taki scenariusz. Musiało by trafić na bardzo dociekliwego sędziego, by się za to zabrał. Już dziś w ramach billingowania służby zbierają rocznie ponad dwa miliony danych, w przypadku tych internetowych skala może być podobna. A więc kontrola sądu może okazać się iluzoryczna.
Skoro tych danych może być tak ogromna ilość, to jak sobie z tym poradzą firmy, które dostarczają internet i usługi internetowe?
Nie ma co ukrywać, będzie to dla nich spore obciążenie. Na pewno podlegać pod takie prawo będą operatorzy telekomunikacyjni jako dostawcy sieci i jak już zapisano w nowelizacji, będą musieli ten dostęp zapewnić nieodpłatnie. Podobnie zresztą jak w przypadku billingów. Zresztą telekomy od lat apelują, by wprowadzić choćby drobne opłaty za korzystanie z retencji danych, bo to mogłoby na służby działać hamująco i ograniczać ich zapędy tylko do naprawdę niezbędnych zapytań. Jak widać, nie tylko takich opłat nie wprowadzono, to jeszcze dodatkowo wprowadzono nowy obowiązek udzielania informacji. Co więcej, ustawa przewiduje, że na wniosek komendanta wojewódzkiego policji może zostać zawarte porozumień przez policję z dostawcami usług internetowych, tak by dane były udostępniane przy ich minimalnym udziale. To brzmi jak otwarcie furtki do tworzenia takich stałych łączy, w ramach których w czasie rzeczywistym, w trybie ciągłym byłyby policji udostępniane dane użytkowników. Coś podobnego już teraz funkcjonuje w relacjach z operatorami telekomunikacyjnymi, by ułatwić retencję danych. Wątpię, by firmy broniły użytkowników, odmawiając takich porozumień.
Obywatel będzie wiedział, że policja sprawdzała, co robił w internecie?
Nie. A przynajmniej nie ma zapewnionej żadnej procedury zawiadamiania użytkowników o wglądzie w ich dane. Musiałoby dojść do sytuacji podobnej jak w przypadku dziennikarza „Gazety Wyborczej” Bogdana Wróblewskiego, który dowiedział się, że służby występowały o jego billingi, i by odkryć po co, musiał wytoczyć sprawę o ochronę dóbr osobistych.
Mówi pan ciągle o służbach, a ustawa dotyczy uprawnień tylko policji?
Teoretycznie tak. Ale projekt ustawy przewiduje, że i inne służby będą miały dostęp do tych internetowych danych. Te służby to wywiad skarbowy, Żandarmeria Wojskowa, Straż Graniczna, Służba Celna, ABW, SKW oraz CBA. Czyli znowu bardzo szeroko, do dużej ilości danych, bez konkretnej kontroli i jasnych procedur. I do tego te zmiany są wprowadzane w naprawdę ekspresowym tempie. Nowelizacja ma wejść w życie do 7 lutego, bo do tego czasu należy wykonać wyrok Trybunału Konstytucyjnego, nakazującego dokładne opisanie, które zadania policji podlegają czynnościom operacyjnym. Tyle że ten wyrok nic nie mówił o danych internetowych, wprowadzono je do nowelizacji dodatkowo. Żałuję, że zamiast rozmawiać na temat stworzenia rzeczywistej kontroli demokratycznej nad wykorzystywaniem danych telekomunikacyjnych przez służby, dyskutujemy nad metodami zwiększenia inwigilacji obywateli. Co więcej, nawet jak takie zmiany zostaną przyjęte, to trudno je będzie skutecznie zaskarżyć, bo Trybunał Konstytucyjny – jeśli ma orzekać zgodnie z kolejnością wpływu spraw, zajmie się nią za kilka lat. Właśnie po to jest TK, aby takie zmiany, głęboko ingerujące w prawo do prywatności, weryfikować.