Unijną dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającą Europejski kodeks łączności elektronicznej (Dz. Urz. UE L 321 z 17.12.2018, str. 36, z późn. zm.) Polska miała ją wdrożyć do 21 grudnia 2020 r. Władze niespecjalnie jednak kwapiły się do podjęcia prac w tym zakresie - na początku 2023 r. pojawił się projekt ustawy wykonującej to zobowiązanie, ale prace nie zostały sfinalizowane. Teraz za pracę nad nowymi przepisami wziął się nowy rząd. Pytanie, na ile powiela rozwiązania, które budziły kontrowersje przy okazji konsultacji poprzedniego projektu.

Czytaj: 
Nowe prawo pozwoli służbom zbierać więcej danych o obywatelach - Sejm pracuje nad projektem>>
Nowe prawo komunikacji elektronicznej nieprzyjazne dla biznesu>>

 

Służby z chrapką na większą ilość danych

Przypomnijmy - wątpliwości dotyczące projektu PiS wyrażała m.in. Fundacja Panoptykon, która wskazywała, że prawo Unii Europejskiej nie pozwala na traktowanie wszystkich jak podejrzanych i – w konsekwencji – na przechowywanie danych wszystkich użytkowników.

-  Polska wdraża unijną dyrektywę z ponad dwuletnim opóźnieniem i zamiast skupić się na meritum, czyli dostosowaniu przepisów do tego, jak obecnie korzystamy z usług łączności elektronicznej, wykorzystuje okazję, by zapewnić służbom dostęp do informacji o tym, jak korzystamy z różnych aplikacji - podkreślała w zeszłym roku Fundacja.

Czytaj też: Weryfikacja informacji objętych tzw. bezwzględną tajemnicą >>>

Czytaj też: Zakres oceny podstaw faktycznych stosowania kontroli operacyjnej >>>

 

Obecnie przedsiębiorcy telekomunikacyjni muszą przez 12 miesięcy przechowywać dane identyfikujące użytkowników, czyli imię, nazwisko, PESEL, adres. Poza tym gromadzą metadane, czyli informacje o tym, kto do kogo dzwoni i jak długo rozmawia, do kogo wysyła wiadomości, z jaką stacją bazową (BTS) łączy się jego urządzenie, z jakiego IP korzysta. Projekt w wersji PiS nakładał obowiązki przechowywania (retencji danych) na przedsiębiorców, którzy świadczą usługi „komunikacji interpersonalnej niewykorzystującej numerów”. Dotyczy to maili i komunikatorów internetowych.

- W przypadku ustawy Prawo komunikacji elektronicznej, to z tego co rozumiem jest to poszerzenie zakresu dotychczasowych przepisów, ale nie o zawartość naszych skrzynek mailowych, czy wiadomości z komunikatorów – uspokajał Adam Haertle, specjalista ds. bezpieczeństwa informatycznego, redaktor naczelny ZaufanaTrzeciaStrona.pl. - Dotychczasowe przepisy nie pozwalają na rejestrowanie bez uprzedniej zgody sądu i prokuratora zawartości sms-ów i zawartości połączeń. To jedynie rozszerzenie zakresu podmiotów, które podlegają obowiązkowi retencji metadanych, czyli informacji, kto do kogo wysłał maila i z jakiego adresu IP. Na pewno nie dotyczy to zawartości poczty i naszych wiadomości w komunikatorach. Alarmistyczny ton jest słuszny, ale mam wrażenie, że skierowany nie w tę stronę, co trzeba, bo chodzi o to, że masowa retencja danych wszystkich obywateli jest niezgodna z orzecznictwem TSUE – wskazywał.

Czytaj też: Krąg osób uprawnionych do złożenia wniosku o zastosowanie czynności operacyjno-rozpoznawczych - LINIA ORZECZNICZA >>>

Rojszczak Marcin: Kontrola sądów krajowych nad stosowaniem środków inwigilacji elektronicznej na tle orzecznictwa ETPC >>>

 

Co w nowym projekcie?

Podobne unormowania zawiera projekt przygotowany przez obecny rząd - wprowadza pojęcie „komunikatu elektronicznego przesyłanego w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej”. Oznacza ono - według definicji ustawowej - każdą informację wymienianą lub przekazywaną między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej. Jest to więc pojęcie szersze niż przekaz telekomunikacyjny, co ma istotne znaczenie z punktu widzenia służb i kontroli operacyjnej. A to za sprawą przepisów wprowadzających nową ustawę, których projekt również udostępniono na stronie RCL. Zmiany, które wprowadzi ta ustawa, obejmą także przepisy dotyczące uprawnień służb.

 

Nowe Prawo komunikacji elektronicznej zobowiąże przedsiębiorcę telekomunikacyjnego (art. 45) do:

  1.  przygotowania technicznych i organizacyjnych warunków udostępniania przetwarzanych przez siebie danych
  2.  udostępniania uprawnionym podmiotom, a także sądowi i prokuratorowi, przetwarzanych przez siebie danych, o których mowa w przepisach, w tym tym, dotyczącym tajemnicy komunikacji elektronicznej

 

Czy trzeba będzie udostępnić treść maila?

Nasuwa się pytanie, czy oznacza to, że operatorzy usług elektronicznych będą zbierać i udostępniać treść wiadomości, jakie przekazywane są za pośrednictwem maila czy komunikatorów, czyli innymi słowy, w jakim stopniu będzie można kogoś inwigilować bez posiłkowania się programami w rodzaju Pegasusa. Przytoczony przepis odnosi się do danych objętych tajemnicą komunikacji elektronicznej.

 

Przytoczony przepis odnosi się do przedsiębiorców telekomunikacyjnych. Nakazuje udostępniać uprawnionym podmiotom dane wymienione w: art. 388 ust. 1 pkt 1 i 3–5 oraz art. 391 i art. 392 ust. 2 nowego Prawa komunikacji elektronicznej.  Art. 388 ust. 1 nowej ustawy definiuję tajemnicę komunikacji elektronicznej. Według tego przepisu objęte są nią:

  1.  dane dotyczące użytkownika;
  2. komunikat elektroniczny;
  3.  dane transmisyjne, które oznaczają dane przetwarzane do celów przekazywania komunikatów elektronicznych w sieciach telekomunikacyjnych lub naliczania opłat za usługi komunikacji elektronicznej i mogą obejmować dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług komunikacji elektronicznej wskazujące położenie geograficzne telekomunikacyjnego urządzenia końcowego użytkownika usług komunikacji elektronicznej;
  4. dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu elektronicznego lub wystawienia rachunku;
  5. dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika końcowego lub nastąpiło przerwanie zestawianych połączeń.

 

Czyli w dużym uproszczeniu informacje, na kogo zarejestrowana jest usługa, treść wysyłanych wiadomości, dane o tym, kto, kiedy i skąd wysłał komunikat oraz kto z kim próbował się połączyć. Według art. 45 służbom udostępnia się wszystkie informacje wskazane w art. 388 ust. 1 poza pkt 2, czyli treścią wiadomości, nagrania. Ale to nie jest oczywiste o tyle, że tę udostępnia się na mocy innych przepisów, do których odnosi się cytowany art. 45, czyli art. 391 i 392 ust. 2 nowej ustawy. Ten pierwszy odnosi się do wszystkich informacji objętych tajemnicą, ale w oderwaniu od danych dotyczących użytkownika (czyli podmiot, któremu udostępnia się dane, pozna treść komunikatu w oderwaniu od informacji o tym, kto go wysłał). Z kolei art. 392 ust. 2 mówi o przetwarzaniu - w niezbędnym zakresie - danych o wykonanych usługach na rzecz użytkownika.

- Jednym z zarzutów, jakie formułowaliśmy w stosunku do poprzedniej wersji tego projektu, było rozszerzenie obowiązku przechowywania danych o użytkownikach, takich jak ich adres IP, na inne podmioty niż operatorzy telekomunikacyjni - np. na operatorów poczty elektronicznej - mówi Wojciech Klicki, prawnik z Fundacji Panoptykon. - Nowy rząd z tej zmiany się wycofał. Natomiast w kontekście wdrażania prawa unijnego należy podkreślić, że orzecznictwo TSUE zakazuje jakiejkolwiek retencji danych, więc równie kontrowersyjne jest utrzymanie tego obowiązku w odniesieniu do operatorów telekomunikacyjnych - wskazuje.

 

 

Nie tylko połączenia telefoniczne na bilingu

-  W art. 2 ustawy Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej – w mojej ocenie bardzo słusznie i prawidłowo pojawia się dawno oczekiwane przeze mnie pojęcie komunikacji elektronicznej, dalej odpowiednio komunikatu elektronicznego - mówi serwisowi Prawo.pl Jacek Kudła, biegły i ekspert z zakresu czynności operacyjnych. - W związku z rozwojem nowych technologii pojęcie przekazu telekomunikacyjnego obecnie nie jest pojęciem prawidłowym zarówno w znaczeniu prawnym jak i informatycznym. Zatem zmieniała się obecnie forma przekazu i wszystkie metadane dane, treści w końcu informacje są przekazywane w sieci łączności elektronicznej za pomocą komunikatu elektronicznego – i to słusznie zostało unormowane w art.  2  przedmiotowej ustawy. Istnieje wiele form komunikatu elektronicznego (np. interfejs, czy protokół IP i inne) - podkreśla. Wskazuje, że obecnie wszystko jest przekazywane w formie komunikacji elektronicznej system telekomunikacyjny służy wyłącznie odpowiednio do nawiązania połączenia, by móc korzystać w określonych przypadkach z łączności elektronicznej. - Uważam zatem, że pojęcie komunikacja elektroniczna w sieci łączności elektronicznej, w której forma przekazu następuje za pomocą komunikatów elektronicznych, jest pojęciem prawidłowym. Naturalnie komunikat elektroniczny może być przesyłany w ramach świadczonej powszechnie usługi telekomunikacyjnej zgodnej z Europejskim Kodeksem Łączności Elektronicznej - podkreśla.

 

- Za dobrą oceniam też zmianę w art. 20c ustawy o Policji - racjonalny ustawodawca zastępuje przekaz telekomunikacyjny wyrazami: komunikat elektroniczny przesyłany w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej przy pozyskiwaniu bilingów - tłumaczy.

 

Więcej podmiotów uprawnionych do blokowania łączności

Jak podkreśla Jacek Kudła, dzięki zmianom przepisy krajowe zostaną dostosowane do standardów międzynarodowych, gdyż pojęcie komunikatu elektronicznego pojawiło się w prawie UE po raz pierwszy w art. art. 18 ust. 1 lit. a Konwencji o pomocy prawnej w sprawach karnych pomiędzy państwami członkowskimi Unii Europejskiej, sporządzonej w Brukseli 29.05.2000 r. mowa jest o przechwytywaniu komunikatu elektronicznego przesyłanego w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej (również w państwach trzecich).

 

Ekspert wskazuje, że poszerzy się katalog organów uprawnionych do zarządzenia blokady telekomunikacyjnej. Obecnie może ją zarządzić jedynie Komendant Główny, a po wejściu w życie przepisów również komendant Centralnego Biura Śledczego Policji i Komendant Centralnego Biura Zapobiegania Cyberprzestępczości.