Cel, choć szczytny - cyberbezpieczeństwo - w ocenie ekspertów tak daleko idących uprawnień nie uzasadnia. - Jak najbardziej należy zwalczać przestępczość terrorystyczną i co do tego nigdy nie miałem żadnych wątpliwości. Tylko pod osłoną zwalczania takiej przestępczości nie wolno doprowadzać do masowego zbierania wszystkich danych informatycznych - mówi serwisowi Prawo.pl Jacek Kudła, biegły i ekspert z zakresu  czynności operacyjnych policji. Nie ma wątpliwości, że służby jeśli otrzymają taką możliwość, będą z niej chętnie korzystać. 

Zmiany takie mogą być problemem w kontekście standardów UE. Bo problem masowej inwigilacji obywateli -  w kontekście danych informatycznych - jest w coraz większym zainteresowaniu unijnych organów. Świadczą o tym również wyroki Trybunału Sprawiedliwości Unii Europejskiej. W jednym z ostatnich z nich, w październiku 2020 r. Trybunał wskazał, że nieograniczona masowa inwigilacja danych elektronicznych obywateli jest niezgodna z prawem i powinna być stosowana tylko przy wystąpieniu „poważnego zagrożenie dla bezpieczeństwa narodowego”. Ale i w takiej sytuacji "pełny dostęp do danych elektronicznych obywateli powinien być ograniczony do okresu, który jest absolutnie niezbędny". 

 

Trybunał podkreślił, że "artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (zmienionej dyrektywą 2009/136, w związku z art. 4 ust. 2 TUE, a także art. 7, 8 i 11 oraz 52 ust. 1 Karty praw podstawowych Unii Europejskiej) należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu umożliwiającemu organowi państwa nałożenie na dostawców usług łączności elektronicznej obowiązku uogólnionego i niezróżnicowanego transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji do celów ochrony bezpieczeństwa narodowego". 

Czytaj: 
Akta spraw pod specjalną ochroną - dziennikarz raczej do nich nie zajrzy>>

Jeszcze więcej władzy dla prokuratora - warunkiem listu żelaznego brak jego sprzeciwu>>
 

Unia sobie, Polska sobie 

Sprawa dotyczy projektu - posłów PiS - zakładającego zmiany w kodeksie karnym i kodeksie postępowania karnego. Generalnie chodzi o dostosowanie polskich przepisów do unijnej dyrektywy dotyczącej zwalczania terroryzmu. Regulacje skierowano do pierwszego czytania, a wątpliwości wokół nich z każdym dniem wzrastają. Jedną z proponowanych zmian jest nowelizacja art. 218a. k.p.k. dotyczącego danych informatycznych i ich zabezpieczania. I tak zgodnie z obecnym brzmieniem "urzędy, instytucje i podmioty prowadzące działalność telekomunikacyjną obowiązane są niezwłocznie zabezpieczyć, na żądanie sądu lub prokuratora zawarte w postanowieniu, na czas określony, nieprzekraczający jednak 90 dni, dane informatyczne przechowywane w urządzeniach zawierających te dane na nośniku lub w systemie informatycznym. Jest też i par. 2 zgodnie z którym pozbawione znaczenia dla postępowania karnego dane informatyczne, o których mowa w par. 1, należy niezwłocznie zwolnić spod zabezpieczenia. 

Zobacz procedurę w LEX: Zabezpieczenie danych informatycznych >

Proponuje się znaczne rozszerzenie tego artykułu. I tak paragraf 1 ma brzmieć: "urzędy, instytucje i podmioty prowadzące działalność telekomunikacyjną lub świadczące usługi drogą elektroniczną oraz dostawcy usług cyfrowych obowiązani są niezwłocznie zabezpieczyć, na żądanie sądu lub prokuratora zawarte w postanowieniu, na czas określony, nieprzekraczający jednak 90 dni, dane informatyczne przechowywane w urządzeniach zawierających te dane na nośniku lub w systemie informatycznym". 

Co więcej, w sprawach o przestępstwa określone w art. 200b (propagowanie pedofilii), art. 202 par. 3, 4, 4a, 4b (prezentowanie, udostępnianie treści pornograficznych) lub art. 255a (rozpowszechnianie treści związanych z atakami terrorystycznymi) Kodeksu karnego oraz w rozdziale 7 ustawy z 29 lipca 2005 r. o przeciwdziałaniu narkomanii - takie zabezpieczenie może być połączone z obowiązkiem uniemożliwienia dostępu do tych danych. Co więcej jeśli wiąże się to z popełnieniem przestępstwa - sąd lub prokurator będą mogli zarządzić usunięcie tych treści. Proponuje się też uregulowanie, że podmiotem zobowiązanym do wykonania żądania sądu lub prokuratora - w zakresie zabezpieczenia danych - może być również administrator treści.

- Trzeba na to oczywiście spojrzeć szerzej, bo to nie jest tylko kwestia art. 218a k.p.k - chodzi o przepisy wszystkich ustaw policyjnych i służb specjalnych, które dotyczą gromadzenia danych. W szerszym kontekście i biorąc pod orzecznictwo unijne, mówimy nie tylko o zabezpieczeniu danych przez prokuratora na wniosek służb, ale także pozyskaniu danych przez same służby na podstawie ustaw szczególnych - zwraca uwagę Jacek Kudła. 

 

Diabeł jak zwykle tkwi w szczegółach

Ekspert podkreśla, że propozycji nie można całościowo krytykować, bo ich celem jest uregulowanie pewnych kwestii, które mogły utrudniać pracę służbom. 

- Racjonalny ustawodawca - czego nie podważam - rozszerza zakres zabezpieczenia przedmiotowych danych w ten sposób, że nakłada określone obowiązki na dostawców usług cyfrowych. Bo jeśli dzisiaj prokurator zwraca się o zabezpieczenie danych na podstawie art. 218a k.p.k to operator telefoniczny zgadza się, ale dostawca usług cyfrowych współpracujący z nim może powiedzieć, że danych nie da, bo nie ma takiego przepisu, który by do tego obligował. Druga kwestia to wprowadzane rozwiązania, zgodnie z którymi w przypadku przestępstw dotyczących propagowania pornografii, treści pornograficznych, czy też treści mogących służyć popełnienia przestępstwa o charakterze terrorystycznym, można zarządzić zakaz dostępu do tych danych. To dobre rozwiązanie, bo np. gdyby chodziło o informacje o werbunku do szkolenia terrorystycznego, służby mogłyby zawnioskować do prokuratora by nie tylko zabezpieczył te dane ale i uniemożliwił dostęp do nich - mówi.

W jego ocenie problemem jest jednak to czego nie ma, czyli brak zabezpieczenia przed nadużywaniem przepisu przez służby.  - Dwa miesiące temu Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo istotny wyrok wskazujący na zakaz masowego pozyskiwania danych zarówno przez służby jak i prokuraturę na wniosek służb, a tego dotyczy właśnie ten artykuł. I to w mojej ocenie nie zostało wzięte pod uwagę, przy proponowanych zmianach - mówi ekspert.

O co chodzi?  - Jeżeli prokurator zwróci się na tej podstawie o pozyskiwanie danych transmisyjnych, to jeśli nie będzie wskazane, że może tak być tylko w wyjątkowych sytuacjach, że musi być wskazany np. wycinek danych, których to dotyczy, to służby w sposób dowolny będą mogły pozyskiwać bardzo duży zakres danych nie tylko o konkretnej osobie, ale o jego znajomych, którzy się z nimi kontaktowały, nie mają żadnego związku z jakąkolwiek działalnością przestępczą - mówi.

Czytaj: Trybunał w Strasburgu zajmie się inwigilacją przez polskie służby>>
 

O krok od masowej inwigilacji, konieczne zabezpieczenie

Prawnicy, organizacje zajmujące się problemem inwigilacji, propozycje poselskie dopiero analizują i nie chcą pokusić się o wstępne oceny. Nieoficjalnie przyznają jednak, że jeśli wejdą one w życie, może to być istotne zagrożenie dla praw obywatelskich. 

- Chodzi praktycznie o wszystkie informacje potrzebne służbom - kontakty internetowe, strony na które wchodzimy, adresy, na które przesyłamy maile. Będą mogły uzyskać informacje skąd i w jakich godzinach korzystaliśmy z danych stron. W końcu "przy okazji" będą mogły sięgnąć po dane dotyczące innych osób, które nie tyle miały związek z przestępstwem co są w jakiś sposób powiązane "w sieci" z tą osobą, która jest sprawdzana - mówi nieoficjalnie jeden z policjantów. 

Dodaje, że w takiej sytuacji zagrożone mogłyby być też informacje o charakterze finansowym lub handlowym, dane związane z łącznością i te szczególnie chronione, objęte tajemnicą zawodową. - Nie jest trudno sobie wyobrazić, że "przy okazji" służby mogłyby dostać wgląd do np. kontaktów adwokatów, dat, liczby maili wysyłanych przez nich do poszczególnych osób itp. - wskazuje.  

W ocenie Jacka Kudły, zasadne byłoby więc wprowadzenie zabezpieczenia. - Choćby poprzez wprowadzenie paragrafu 5, że dane informatyczne mogą zostać pozyskane w sposób masowy tylko wyjątkowo. Z kolei w rozporządzeniu powinny być precyzyjnie określone wyjątki. Oczywiste jest, że takim wyjątkiem powinny być choćby zagrożenia związane z terroryzmem. Bo wiadomo, że np. w przypadku rekrutów do zamachów trzeba sprawdzać wszystkie osoby - mówi.

I wskazuje, że takie zmiany wymagają też określenia kryteriów i granic, a przede wszystkim sposobów pozyskiwania danych informatycznych.