Minister spraw wewnętrznych ogłosił we wtorek, że rząd zamierza przygotować nowe przepisy dotyczące uprawnień służb, bo te nie przystają do obecnego stanu technologii. – Obecnie pewne dane przechowuje się w oderwaniu od terytorium. Chcielibyśmy, żeby służby mogły wracać do tego, co było rok temu, czy jakiś czas temu, więc te dane muszą być przechowywane w Polsce – mówił. Zapowiedział też stworzenie wzoru wniosku o inwigilację.

Komunikator i e-mail pod kontrolą służb? Rząd wycofuje się z kontrowersyjnych zmian>>
Czytaj w LEX: Kontrola operacyjna oraz użycie systemu Pegasus w Polsce >

Pegasus skompromitowany, więc trzeba zrobić nowego?

Wskazał też, że konieczna jest zmiana procedur – a konkretnie treści wniosków służb i sądu o inwigilację. Na koniec uspokoił, że Pegasus, czy coś typu Pegasus do inwigilacji niewygodnych przeciwników politycznych, czy niewygodnych prokuratorów - nigdy już nie wróci. Po czym dodał, że służby nie używają tego rodzaju oprogramowania, natomiast w zgodzie z prawem muszą one dysponować różnymi narzędziami, choćby po to, żeby walczyć z terrorystami, szpiegami, ponieważ ta walka przekłada się wprost na bezpieczeństwo Polski i naszych obywateli.

Compliance w spółkach publicznych. Praktyczny przewodnik

Agnieszka Nalazek, Alicja Piskorz-Szpytka

Sprawdź  

Zasady ochrony danych osobowych w ustawie – Prawo komunikacji elektronicznej - SZKOLENIE ONLINE >

Przepisy dotyczące uprawnień służb i policji – jak wskazywali eksperci – faktycznie były archaiczne i zatrzymały się na etapie śledzenia połączeń telefonicznych i SMS-ów. Dostrzeżono tę kwestię, procedując nowe Prawo komunikacji elektronicznej (wejdzie w życie 10 listopada 2024 r.) – ustawa uwzględnia istnienie usług niewykorzystujących numerów telefonów i nakazuje przedsiębiorcom telekomunikacyjnym gromadzić i udostępniać służbom:

• dane dotyczące użytkownika;
• komunikat elektroniczny;
• dane transmisyjne, które oznaczają dane przetwarzane do celów przekazywania komunikatów elektronicznych w sieciach telekomunikacyjnych lub naliczania opłat za usługi komunikacji elektronicznej i mogą obejmować dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług komunikacji elektronicznej wskazujące położenie geograficzne telekomunikacyjnego urządzenia końcowego użytkownika usług komunikacji elektronicznej;
• dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu elektronicznego lub wystawienia rachunku;
• dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika

- W ustawie pojawia się pojęcie komunikatu elektronicznego, który zastąpił przekaz telekomunikacyjny ze starej ustawy Prawo telekomunikacyjne – mówi Prawo.pl Jacek Kudła, biegły, ekspert z zakresu m.in. czynności operacyjnych. - Zatem konieczna jest wykładnia systemowa nowego brzmienia przepisów, co do zawartości zakresu komunikatu elektronicznego  - bowiem jest to faktycznie nowa ustawa, a nie przepisana stara - mówi. Wskazuje, że pomocny w tym zakresie będzie art. 43 ustawy Prawo Komunikacji Elektronicznej, który odpowiednio implementuje do prawa krajowego unormowania zawarte Europejskim Kodeksie Łączności Elektronicznej. -  Zatem, jak mówi pan minister Tomasz Siemoniak „chodzi o to żeby przepisy dogoniły rozwój technologiczny”, w tym przypadku możliwość pozyskiwania danych z Big data, w tym z komunikatorów internetowych, takich jak np. Signal, Messenger czy WhatsApp – podkreśla Jacek Kudła.

Czytaj w LEX: Pegasus w Polsce: niedopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych >

Inwigilujemy za często i bez kontroli

Jednocześnie warto przypomnieć, że wdrożenie PKE poprzedziła burzliwa dyskusja - obecna koalicja zmodyfikowała projekt poprzedników, który w kwestii nakładania obowiązków szedł dalej niż uchwalone przepisy. Nakazywał bowiem gromadzić dane innym podmiotom niż przedsiębiorcy komunikacyjni (np. operatorom poczty elektronicznej), czego – jak wskazywali eksperci Fundacji Panoptykon - zakazywało prawo unijne. Z przytoczonej wyżej wypowiedzi ministra można jednak wnosić, że o pomysłach poprzedników nie zapomniano – były wręcz nazbyt zachowawcze. Oczywiście przez niepewną sytuację międzynarodową Polska faktycznie narażona jest na różne wrogie działania czy akty sabotażu. Pytanie tylko, czy dla koalicji rządzącej oznacza to złożenie prawa do prywatności na ołtarzu bezpieczeństwa. Bo choć wydawałoby się, że przez archaiczne przepisy polskie służby są pozbawione narzędzi, nasz kraj - według Europejskiego Trybunału Praw Człowieka w Strasburgu - nasze służby inwigilują za często i bez kontroli. ETPCz potwierdził to w wyroku wydanym 28 maja 2024 r. W skardze, którą rozpatrywał, wskazano że polskie przepisy zezwalały funkcjonariuszom na monitorowanie połączeń telekomunikacyjnych i gromadzenie danych bez ich wiedzy, a także uniemożliwiały im złożenie skargi do sądu, nawet po zakończeniu inwigilacji.

Czytaj w LEX: Rojszczak Marcin, Cztery fałszywe hipotezy na temat ochrony prywatności i masowej inwigilacji >

ETPCz przyznał skarżącym rację – wskazał, że polskie przepisy pozwalają służbom na przechwycenie danych każdego użytkownika i niepoinformowanie go o tym nigdy (nawet po zakończeniu czynności). Dodatkowo według ETPCz ustawa antyterrorystyczna w praktyce miała znacznie szerszy zasięg, ponieważ zezwalała ona ABW na monitorowanie praktycznie każdej osoby, która miała kontakt z osobami objętymi inwigilacją. Ponieważ decyzję o zastosowaniu tajnego nadzoru podejmował szef ABW, który podlegał nadzorowi prokuratora generalnego i ministra ds. służb specjalnych, inwigilacja nie podlegała żadnej autoryzacji przez niezależny organ, natomiast mogła podlegać kontroli politycznej.

- Minister Siemoniak wspólnie z ministrem sprawiedliwości, również na konferencji prasowej zorganizowanej po wydaniu wyroku przez ETPCz, deklarowali, że przygotują projekt ustawy dotyczący kontroli nad służbami – mówi Wojciech Klicki z Fundacji Panoptykon, jeden z autorów skargi do ETPCz. – Na razie nie zrobiono nic, by dostosować przepisy do standardów Europejskiej Konwencji Praw Człowieka, a teraz deklaracje ministra wskazują, że może obrać kierunek przeciwny – podkreśla.

Czytaj w LEX: Kontrola sądów krajowych nad stosowaniem środków inwigilacji elektronicznej na tle orzecznictwa ETPC >

Internet to nie walizka z dokumentami

Oczywiście szef MSWiA zapewnia, że tym razem będzie inaczej niż z Pegasusem – ale afera z nadużywaniem tego oprogramowania pokazuje, że w takich kwestiach nie powinno się ufać zapewnieniom polityków - niezależnie od tego, jaką opcję reprezentują. Abstrahując jednak od kwestii prawnych, zastanawia, jak polskie władze miałyby to zrealizować pod kątem technicznym. Minister mówi o przechowywaniu danych na terytorium Polski – tyle że jedynym znanym polskim komunikatorem jest Gadu-Gadu, które zostało wyparte przez WhatsApp, Messenger, Skype, Telegram czy Signal. Jak polski rząd zamierza przechowywać informacje przekazywane za pomocą infrastruktury Apple, Google czy Meta? Co więcej, jak wyglądać ma kwestia szyfrowania komunikatów – większość komunikatorów korzysta z szyfrowania end-to-end (rozszyfrowaną wiadomość widzi tylko urządzenie nadawcy i odbiorcy), dlatego Pegasus jest tak skutecznym narzędziem, bo pozwala na całkowity wgląd do urządzenia którejś ze stron, więc można łatwo odczytać już rozszyfrowane wiadomości.

Dr hab. Agnieszka Piskorz-Ryń, prof. UKSW w Warszawie uważa, że wypowiedź ministra świadczy o niezrozumieniu tego, jak działa cyfrowa rzeczywistość.

- Służby mogą przechwycić komunikat wysyłany za pośrednictwem komunikatora na trzy sposoby: pierwszy zanim zostanie zaszyfrowany przed nadawcę, drugi po jego rozszyfrowaniem przez odbiorcę to jednak wymaga zainstalowania lub zmodyfikowania oprogramowania na urządzeniu, bądź też za pomocą tzw. dodatkowego klucza deszyfrującego poza kluczem odbiorcy, czyli deszyfrowaniu przechwyconej komunikacji u operatora telekomunikacyjnego. To ostatnie rozwiązanie wymaga jednak nawiązania współpracy z firmami, które są właścicielami komunikatorów.  Państwo polskie wydaje mi się za słabe na takie rozwiązanie – mówi prof. Piskorz-Ryń. Pozostają więc dwie pierwsze, a to oznacza użycie podobnego rozwiązania analogicznego technologicznie do Pegasusa. To zaś w mojej ocenie nie powinno mieć miejsca.

Uważa też, że wszelkie zapędy rządu polegające na wymuszeniu na firmach informatycznych przechowywania danych na serwerach krajowych, także skazane są na niepowodzenie. Ze względów prawnych i technologicznych np. chociażby z powodu, że często wybór drogi, węzła, którym płynie Internet do / od operatora (punkt wymiany ruchu internetowego ang. Internet Exchange Point, IXP, odbywa się na zasadach rynkowych niemal jak giełda towarowa spośród kilku do których operator ma łącza (decyduje przepustowość, prędkość cena itd.).

Sprawdź w LEX: Czy wykorzystywanie aplikacji takich jak Skype, Messenger oraz WhatsApp, w celu prowadzenia rozmów rekrutacyjnych spełnia wymagania dotyczące ochrony danych osobowych? >

Wniosek powinien być ustandaryzowany

Profesor Agnieszka Piskorz-Ryń popiera natomiast inicjatywę ministra, aby opracować wzór wniosku służb do sądu o inwigilację. To pozwoli bowiem na większą kontrolę zasadności zgód, a także technik i metoda jakimi będą czynności operacyjne realizowane. Nie będzie możliwe np. pod przykrywką zgody na podsłuch rozmów telefonicznych instalować rozwiązań a la pegasus o znacznie szerszej ingerencji w prywatność. Sąd będzie miał szansę ocenić adekwatność stosowanych rozwiązań czy poziom ingresji w prywatność.

- Dziś służby występując z wnioskiem o zgodę na inwigilację opisują ją tak, że sędziowie nie bardzo nawet wiedząc na co ją wyrażają. Opracowanie wzory formularza ustandaryzowałoby ten proces. Generalnie uważam, że najwyższa pora rozpocząć dyskusję o tym, aby zgodę na kontrolę operacyjną wyrażał wyspecjalizowany sąd, który zajmowałby się wyłącznie tego typu sprawami, znałby specyfikę cyfrowego świata i posiadał wiedzę na tematy technologii oraz funkcjonowania służ specjalnych i policji - mówi Agnieszka Piskorz-Ryń.

Również Jacek Kudła podkreśla, że konieczne jest uporządkowanie przepisów. - Po pierwsze trzeba rozdzielić i określić jakie dane i jaka służba może je pozyskiwać, po drugie ustalić, czy można je pozyskiwać w sposób masowy i kiedy – wskazuje. – Następnie określić przedmiot – czyli w jakich sprawach (o jakie przestępstwa) się te dane pozyskuje i w jakim zakresie. Dodaje też, podobnie jak prof. Piskorz-Ryń, że konieczna jest refleksja nad tym, jak działają szyfrowane komunikatory internetowe.

-  Jednak w mojej ocenie nie wszystko da się zrobić (pozyskać) w trybie art. 20c ustawy o policji. Przecież pewien zakres danych stanowi korespondencję, na pozyskanie której zgodę musi wyrazić sąd. I tutaj powstaje ogromny problem w dobie współczesnych zagrożeń – wskazuje Kudła i podkreśla, że należy zróżnicować uprawnienia poszczególnych służb. Chodzi o to, że służby specjalne powinny mieć szerszy dostęp do danych niż policja. - Uważam, że kluczowy do pozyskania danych z komunikatorów internetowych staje się i jest obecnie art. 218a kodeksu postępowania karnego i na nim, póki co, należy się skoncentrować, jeśli nie chcemy zmieniać ustaw kompetencyjnych służb policyjnych i służb specjalnych – podsumowuje. Artykuł 218a k.p.k. określa zasady zabezpieczania danych na żądanie sądu lub prokuratora.

Compliance w spółkach publicznych. Praktyczny przewodnik

Agnieszka Nalazek, Alicja Piskorz-Szpytka

Sprawdź