"Permanentna inwigilacja nas wszystkich w każdym momencie"; służby zyskają "pełny wgląd we wszystko, co przesyłają Polacy przez komunikatory internetowe i pocztę e-mail" - alarmuje opozycja w związku z projektem Prawo komunikacji elektronicznej. Pytani przez Konkret24 eksperci wskazują na niejasności w nowej ustawie - szczególnie jeden jej artykuł.
Procedowany w Sejmie projekt nowej ustawy - Prawo komunikacji elektronicznej - budzi duże emocje ze względu na przepisy dotyczące dostępu służb do danych obywateli. Przypomnijmy: 13 stycznia Sejm odrzucił wniosek o odrzucenie projektu ustawy Prawo komunikacji elektronicznej (zwanego lex pilot) i skierował go do dalszych prac w Sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii - ma ona przedstawić sprawozdanie ze swoich prac nad tym projektem do 6 lutego.
Niepokoje budzi fakt, że nowa ustawa rozszerza katalog podmiotów z obowiązkiem gromadzenia informacji o komunikacji użytkowników, a ponadto określa sposób korzystania z tych danych przez państwowe służby, np. policję. Na profilach Konfederacji w mediach społecznościowych 12 stycznia zamieszczono grafikę z tytułem: "Rząd PiS szykuje totalną inwigilację w internecie!". Informuje ona, że służby zyskają "pełny wgląd, w czasie rzeczywistym, we wszystko, co przesyłają Polacy przez komunikatory internetowe i pocztę e-mail".
Podobne oskarżenia wobec projektu ustawy padały w Sejmie ze strony innych polityków opozycji podczas pierwszego czytania ustawy 12 stycznia. Grzegorz Napieralski z Koalicji Obywatelskiej mówił, że "po prostu będzie permanentna inwigilacja nas wszystkich w każdym momencie, na każdym naszym poziomie życia, gdzie używamy po prostu komunikatorów". Michał Gramatyka z koła Polska 2050 tłumaczył: "Dzisiaj tak zwane podmioty uprawnione, żeby czytać wiadomości z komunikatorów, muszą hakować urządzenie na jego niskim, podstawowym poziomie, stosować rozpracowanie operacyjne. Jutro te same służby będą miały zapewniony automatyczny, nielimitowany i nierejestrowany dostęp do treści na naszych komunikatorach".
Jeszcze przed pierwszym czytaniem w Sejmie, 9 stycznia, w "Dzienniku Gazecie Prawnej" ukazał się artykuł Pawła Kubickiego i Sławomira Wikariaka o rządowym projekcie: głównym tematem była jego niezgodność z prawem Unii Europejskiej. Autorzy wyjaśniali też, że obowiązek retencji danych (czyli przechowywania ich przez 12 miesięcy na ewentualne potrzeby służb), który dzisiaj dotyczy firm telekomunikacyjnych, ma objąć wiele dodatkowych podmiotów, m.in. firmy oferujące usługi e-mail, czaty czy komunikatory. Jako przykład przechowywanych danych podano informacje, "do kogo dzwoniliśmy" i "gdzie w tym czasie przebywaliśmy".
W kolejnych dniach media alarmowały: "służby odczytają wiadomości z Messengera i WhatsAppa" (Bankier.pl); "rząd chce przyznać służbom dostęp do maili, czatów i komunikatorów obywateli" (Business Insider); "projekt zmusza właścicieli komunikatorów internetowych oraz innych podobnych usług do tego, aby udostępniały policji i innym służbom treści przekazywane sobie przez użytkowników" (Wyborcza.biz). Gdy w kontekście rządowego projektu zaczęło się pojawiać coraz więcej przekazów o "totalnej inwigilacji" i dostępie do treści wiadomości mailowych czy zdjęć wszystkich użytkowników internetu, Sławomir Wikariak w wyjaśnieniach z 13 stycznia pisał: "Ze zdumieniem czytałem coraz więcej artykułów o tym, że nowe prawo zapewni służbom dostęp do wiadomości wysłanych e-mailem czy też za pośrednictwem komunikatorów. (...) Nie mam zielonego pojęcia, skąd wziął się ten przekaz. Opisując projekt ustawy - Prawo telekomunikacji elektronicznej - ostrzegałem przed zwiększeniem zakresu danych, do których dostęp będą miały służby, ale nigdzie nie napisałem, że nowe przepisy dadzą im prawo do czytania bez kontroli e-maili czy też wiadomości przesyłanych komunikatorami. (...) W rzeczywistości chodzi o dane identyfikujące użytkownika w sieci (np. numer IP) oraz informacje skąd przesyłał wiadomość, kiedy to zrobił i gdzie się wówczas znajdował. To one mają podlegać retencji i to do nich nieograniczony dostęp będą miały służby".
Te wyjaśnienia nie rozwiewają jednak obaw, czy nowe przepisy dadzą służbom prawo do czytania bez kontroli sądu e-maili i wiadomości przesyłanych komunikatorami. Bo w obecnym kształcie rodzą problemy interpretacyjne nawet wśród ekspertów. Wprawdzie to, co pisze Konfederacja - że służby będą miały "pełny wgląd, w czasie rzeczywistym, we wszystko, co przesyłają Polacy", a do kontroli nie będzie wymagana zgoda sądu - nie jest do końca prawdą, lecz tego typu interpretacje pojawiają się właśnie z powodu niejasności nowych przepisów. Prawnicy zwracają tu uwagę na dość niebezpieczny art. 43 nowego prawa.
"Dane retencyjne to nie jest treść wiadomości"
Rządowa ustawa Prawo komunikacji elektronicznej ma zastąpić obowiązujące obecnie Prawo telekomunikacyjne z 2004 roku. Obszerny dokument, liczący prawie 3,5 tys. stron, trafił do Sejmu na początku grudnia. Posiedzenie sejmowej komisji, do której teraz trafił projekt, zaplanowano na 24 stycznia. Największe emocje wywołują art. 43 i art. 47 nowej ustawy.
Zacznijmy od art. 47 - stanowi on: "Przedsiębiorca komunikacji elektronicznej (...) jest obowiązany na własny koszt 1) zatrzymywać i przechowywać na terytorium Rzeczypospolitej Polskiej dane, o których mowa w art. 49 ust. 1, generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane, przez okres 12 miesięcy (...) 2) udostępniać dane, o których mowa w pkt 1, uprawnionym podmiotom, a także sądowi i prokuratorowi".
W tym przypadku jednak nie ma wątpliwości, że nie chodzi o dostęp służb do treści wiadomości czy rozmów, ponieważ wśród danych wymienionych w art. 49 ust. 1 są tylko dane "niezbędne do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego oraz użytkownika końcowego inicjującego połączenie [oraz] do którego kierowane jest połączenie" oraz "niezbędne do określenia daty i godziny połączenia i czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego, danych jednoznacznie identyfikujących użytkownika w sieci".
Doktor Paweł Litwiński, partner w kancelarii Barta Litwiński specjalizujący się w temacie ochrony danych osobowych, w analizie przesłanej Konkret24 zbiorczo nazywa powyższe dane "retencyjnymi", czyli podlegającymi archiwizacji. "To, w pewnym uproszczeniu, informacje o tym kto, z kim, kiedy się komunikował i jeżeli to możliwe, gdzie wtedy był" - wyjaśnia. I podkreśla:
Dane retencyjne to nie jest treść wiadomości, ale informacja o tym, że się komunikowano.
Prawnik zauważa jednak: "Takie dane i tak, mimo tego, że nie zawierają treści komunikacji, mają ogromną wartość dowodową, bo pozwalają na odtworzenie pewnych sieci powiązań i komunikowania się, która czasem wystarczy do postawienia określonych tez, np. w zakresie źródła przecieku".
Co więc jego zdaniem zmieniałoby w tym kontekście Prawo komunikacji elektronicznej? "Dzisiaj jest tak, że przepisy retencyjne mamy w Prawie telekomunikacyjnym i siłą rzeczy obejmują one usługi telekomunikacyjne. Służby mają więc 12 miesięcy na to, żeby sięgnąć po informacje o tym, kto się z kim komunikował – ale wyłącznie w ramach usług telekomunikacyjnych. A tymczasem coraz więcej komunikacji 'idzie' przez komunikatory internetowe czy po prostu pocztę elektroniczną" - wyjaśnia prawnik. "I właśnie tego dotyczą nowe przepisy retencyjne: rozszerza się obowiązek zatrzymywania i przechowywania danych o tym, kto się z kim komunikował, na usługi takie jak komunikatory internetowe czy poczta elektroniczna. Podkreślam: nie mówimy o zatrzymywaniu treści korespondencji, ale informacji o fakcie komunikowania się. Czyli tak, jak teraz można odtworzyć, kiedy w ciągu ostatnich 12 miesięcy dzwoniłem do mojej mamy, tak będzie można odtworzyć, kiedy się z nią komunikowałem przy pomocy poczty elektronicznej czy komunikatora" - tłumaczy.
Niejasny art. 43. Jak rozumieć "komunikat elektroniczny"?
Większy problem prawny budzi niejasny, art. 43 rządowego projektu. Napisano w nim, że "przedsiębiorca komunikacji elektronicznej (...) jest obowiązany do zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania" przez dziewięć państwowych służb (w tym policję, ABW i CBA) "komunikatów elektronicznych przesyłanych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej" oraz wielu danych abonentów związanych z tymi komunikatami, m.in. numeru i danych lokalizacyjnych.
Czym są "komunikaty elektroniczne"? Jak wyjaśnia w odpowiedzi na pytania Konkret24 dr Bartosz Marcinkowski, prawnik specjalizujący się w danych osobowych z kancelarii Domański Zakrzewski Palinka, według projektu ustawy komunikat elektroniczny to: 'każda informacja wymieniana lub przekazywana między określonymi użytkownikami'. Z tego powodu prawnik stwierdza:
Wydaje się więc, że art. 43 może stanowić samodzielną podstawę pozyskiwania całości komunikatu elektronicznego, tj. też jego treści.
W takim rozumiem treść komunikatu elektronicznego to także treść maila. Tym bardziej, że - pisze dr Marcinkowski - "art. 43 jest szerszy niż art. 47, a relacje między nimi nie są jednoznaczne".
Na niejasność tego przepisu zwracano uwagę także w analizie na portalu Prawo.pl. Autorzy piszą w niej: "Jakie to będą dane, nie do końca wiadomo. Na pewno będzie wśród nich czas korzystania z usługi (zalogowanie i wylogowanie się z poczty) czy adres IP. Pytanie, czy w grę wchodzi również dostęp do treści wiadomości".
Twierdząco odpowiadał Jacek Kudła, ekspert w zakresie czynności operacyjno-rozpoznawczych, który w rozmowie z tym portalem przekonywał: "Takie unormowanie ustawowe pozwala przedsiębiorcy komunikacji elektronicznej na zgromadzenie nie tylko podstawowych danych, ale wszelkich danych związanych z przesyłaniem komunikatu elektronicznego. W przypadku stosowania tych najnowszych technologii, w trybie przepisu, o którym wyżej mowa, przedsiębiorca komunikacji elektronicznej może zgromadzić takie dane jak: zdjęcia i inne treści aplikacji przesyłane w formie komunikatu elektronicznego".
Podobnie uważa dr Adam Behan z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego, specjalista z zakresu przestępczości komputerowej i ochrony informacji. - Pojęcie komunikatu można rozumieć bardzo szeroko, także jako np. maile. I nie mam wątpliwości, że służy będą stosować dla uzasadniania takiego dostępu maksymalnie szeroką wykładnie tego pojęcia – mówi w rozmowie z Konkret24.
24 godziny na "określenie sposobu realizacji". Ze zgodą sądu czy bez?
Przekaz upowszechniany przez Konfederację, że służby będą miały "pełny wgląd we wszystko, co przesyłają Polacy", a do kontroli nie będzie wymagana zgoda sądu" może wynikać z kolejnego budzącego kontrowersje zapisu - otóż w projekcie stoi, że "uprawniony podmiot wspólnie z przedsiębiorcą komunikacji elektronicznej, w terminie 24 godzin od momentu zgłoszenia zapotrzebowania na piśmie w postaci papierowej lub elektronicznej (...) określają sposób realizacji przez przedsiębiorcę komunikacji elektronicznej warunków dostępu i utrwalania".
Bartosz Marcinkowski nazywa to "szybką ścieżką realizacji dostępu". I zauważa: "Te 24 godziny mogą mieć krytyczne znaczenie z perspektywy sądowego nadzoru, a raczej jego braku, nad pozyskiwaniem danych przez organy państwa, a art. 43 wylicza aż 10 uprawnionych służb – od Policji po Krajową Administrację Sądową". Ekspert podkreśla, że w przepisie nie uwzględniono udziału sądu lub prokuratury.
Ale nie wszyscy tak sądzą (stąd różnice w interpretacji). Paweł Litwiński uważa, że "termin 24 godzin jest na ustalenie sposobu realizacji obowiązku udostępniania danych w ramach kontroli operacyjnej" - czyli że służby i tak będą musiały o wystąpić o zgodę sądu.
Obecnie wszystkie wymienione w ustawie służby już teraz mają dostęp do treści wiadomości, SMS-ów i rozmów telefonicznych - ale tylko w trybie wspomnianej kontroli operacyjnej. Oznacza to, że każda z uprawnionych instytucji, by uzyskać dostęp do takich danych, np. przez założenie podsłuchu, musi najpierw uzyskać zgodę właściwego prokuratora okręgowego lub prokuratora generalnego, a następnie sądu okręgowego. Co więcej, kontrolę operacyjną można stosować tylko w odniesieniu do 11 kategorii przestępstw, m.in. przestępstw przeciwko mieniu, ekonomicznych, przeciwko bezpieczeństwu powszechnemu, narkotykowych itd. Zdaniem dr. Pawła Litwińskiego w kwestii samej kontroli operacyjnej rządowy projekt nic nie zmienia:
Dostęp (do treści - red.) nadal będzie możliwy w przypadku, gdy określona służba jest uprawniona do stosowania kontroli operacyjnej i na dotychczasowych warunkach, czyli w praktyce za zgodą sądu.
"Zwyczajne niechlujstwo legislacyjne", "pojawi się bałagan"
Z jakiego powodu w procedowanym Prawie komunikacji elektronicznej pojawił się przepis o "zgłaszaniu zapotrzebowania" służb na dostęp do "komunikatów elektronicznych"? Tym bardziej, że zasady kontroli operacyjnej są już opisane w ustawie o Policji, w której jest mowa o "przesyłanej treści korespondencji, w tym za pomocą środków komunikacji elektronicznej", a nie o "komunikatach elektronicznych". Paweł Litwiński odpowiada:
Ja tego nie rozumiem, bo to zwyczajne niechlujstwo legislacyjne, gdyby to tak miało zostać uchwalone. Art. 43 powinien zastąpić tę regulację rozproszoną (z ustawy o Policji - red.), a te rozproszone przepisy trzeba uchylić.
Jego zdaniem art. 43 nadal nie zmienia jednak zasad kontroli operacyjnej, a tym samym dostępu służb do treści SMS-ów czy wiadomości z komunikatorów (czyli według niego nie wszystkich Polaków dotyczyłaby kontrola służb, jak podaje się teraz w niektórych przekazach). "Taki dostęp da kontrola operacyjna, która po stronie podmiotów uprawnionych się nie zmienia: nadal służba musi mieć przepis uprawniający do stosowania kontroli operacyjnej, żeby ją stosować i nadal co do zasady odbywa się to za zgodą sądu, a tych przepisów Prawo komunikacji elektronicznej nie zmienia. PKE zmienia wyłącznie to, że pojawia się nowy przepis dotyczący wszystkich przedsiębiorców komunikacji elektronicznej, zgodnie z którym mają oni umożliwić taką kontrolę operacyjną – ale można ją stosować tylko, gdy służba ma odpowiedni przepis kompetencyjny, a tych PKE nie zmienia" - uważa dr Litwiński.
Jeśli ustawa w tej wersji zostałaby przyjęta przez Sejm, w życie wszedłby artykuł, który może powielać to, co jest zapisane w ustawie o Policji. "Dwa sformułowania nie mogą dotyczyć tego samego. Nie można wykluczyć, że pojawi się bałagan" - mówił Wojciech Klicki w rozmowie z Wyborcza.biz.
Nie dla wszystkich prawników jest jednak jasne, że oba przepisy mówią o tym samym, ponieważ w art. 43 rządowego projektu nie ma przecież mowy o zgodzie sądu lub prokuratury na dostęp do danych. Dlatego dr Bartosz Marcinkowski podsumowuje obecną sytuację jednym zdaniem: "W mętnej wodzie łatwiej się pływa".
Aktualizacja: 25 stycznia 2023
Po publikacji artykułu, za pośrednictwem serwisu Kontakt24, jeden z czytelników zapytał, czy tak skonstruowane przepisy będą dotyczyć także firm zagranicznych oferujących usługi w Polsce i czy prawo będzie wobec nich skuteczne. "Czy jedynym skutkiem tej ustawy nie będzie odpływ firm świadczących usługi udostępniania miejsca na serwerze poza granice Polski, gdyż nawet Polscy klienci zaczną korzystać wyłącznie z serwerów zagranicznych" - zauważył.
Zapytaliśmy o to ekspertów. Doktor Paweł Litwiński potwierdza obawy internauty: "Tak, te przepisy będą dotyczyć wszystkich, więc i podmiotów mających siedzibę poza Polską. I tak, wobec tych zagranicznych będą słabo egzekwowalne" - napisał w odpowiedzi na pytanie Konkret24. "Może się zdarzyć tak, że jeżeli miałby powstać polski odpowiednik np. Signala czy innego Proton Maila (platformy oferujące szyfrowaną komunikację - red.), to będzie mniej konkurencyjny od jego zagranicznego odpowiednika" - dodał.
Spadek konkurencyjności polskich firm względem zagranicznych jako ewentualny skutek nowej ustawy przewidywał też w rozmowie z "Dziennikiem Gazetą Prawną" dr Łukasz Olejnik, niezależny badacz i konsultant prywatności. "Już dziś większość Polaków i tak korzysta z usług zagranicznych dostawców komunikatorów. Ci nie będą objęci ostrymi wymogami lub też będą niechętni do współpracy. Rykoszetem dostaną zatem polscy przedsiębiorcy, stając się niekonkurencyjni pod względem ochrony danych i prywatności. To doskonały sposób na uniemożliwienie powstawania w Polsce konkurencyjnych produktów IT" - zauważył ekspert.
Z kolei pytany przez Konkret24 dr Adam Behan dodaje, że już teraz zagraniczne firmy, takie jak Google czy Facebook, w dużym procencie przypadków odmawiają udostępniania informacji polskim sądom i to nawet w sprawach, w których te platformy wykorzystywano do popełniania przestępstw. - Nawet więc gdyby na przykład do Google zaczęły spływać zapytania z policji czy innych służb o udostępnienie treści czyichś maili, to, mając na uwadze projektowany kształt przepisów, które nie uzależniają nawet takiego wniosku od zgody sądu, zostaną po wstępnej weryfikacji automatycznie odrzucone. Generalnie ciężko się nawet spodziewać poważnej odpowiedzi na tak jawnie sprzeczne z podstawowymi wartościami konstytucyjnymi żądanie - ocenia ekspert. Zgadza się z sugestią czytelnika, że taka nieskuteczność działania w stosunku do zagranicznych firm może obniżyć konkurencyjność polskich podmiotów. Dodaje, że nawet polskie mogą znaleźć sposoby na ominięcie przepisów. - Gdyby takie rozwiązania zostały wprowadzone, to jest niemal pewne, że największe podmioty szybko znalazłyby sposób na ich obejście, łącznie z przeniesieniem serwerów za granice czy wyodrębnieniem części świadczonych usług do stworzonych dla takich celów podmiotów zależnych - sugeruje dr Behan.
Źródło: Konkret24
Źródło zdjęcia głównego: Shutterstock