Służby poznają lepiej naszą lokalizację. "Te zasady to skandal"

Pierwsze podejście do tego tematu zakończyło się fiaskiem. W 2023 r. rząd Zjednoczonej Prawicy przygotował projekt ustawy, ale ostatecznie go wycofał z powodu awantury o "lex pilot".

Propozycja zakładała, że na pierwszych pięciu kanałach programów telewizyjnych miały znajdować się kanały TVP. Przeciwko była zarówno opozycja, jak i Polska Izba Komunikacji Elektronicznej.

Choć w nowej ustawie rząd Tuska powstrzymał się od politycznych wrzutek, to przepisy i tak budzą wątpliwości na wielu płaszczyznach.

Dalsza część artykułu pod materiałem wideo

Służby lepiej sprawdzą naszą lokalizację

Wiceminister cyfryzacji Michał Gramatyka stwierdził podczas debaty w ramach pierwszego czytania projektu w Sejmie (13 czerwca), że nowe przepisy "po wielu latach zaniedbań implementują w polskim systemie prawnym dyrektywę prawa europejskiego tzw. Europejski Kodeks Łączności Elektronicznej (EKŁE)".

Te przepisy powinniśmy wprowadzić do 21 grudnia 2020 r. W orzeczeniu z 14 marca 2024 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyznaczył Polsce karę rzędu 50 tys. euro dziennie za ich niewdrożenie. Na liczniku jest więc już ponad 21 mln zł.

Te przepisy nie zmieniają praktycznie nic. Służby będą miały dostęp do SMS-ów na tych samych warunkach, jak wcześniej. Firmy mają obowiązek udostępniania np. treści SMS-ów służbom, ale nie można tego odczytywać w oderwaniu od uprawnień służb - tłumaczy w rozmowie z WP Finanse Wojciech Klicki, prawnik z Fundacji Panoptykon.

Jak tłumaczy, obecnie w celu "uzyskania dostępu do treści SMS-a, maila czy rozmowy, służba musi mieć zgodę sądu". - Z kolei w celu pozyskania np. billingu, taka zgoda nie jest potrzebna. Wystarczy połączyć się stałym łączem z firmą telekomunikacyjną i zaciągnąć te dane - wskazuje.

Z przepisów wynika, że służby mają dostęp do takich danych jak imię, nazwisko, PESEL i dane lokalizacyjne. - W kontekście nowych przepisów warto jedynie dodać, że służby uzyskają większe kompetencje w zakresie uzyskiwania informacji o lokalizacji - wyjaśnia redakcji WP Finanse Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji (PIIT), która reprezentuje firmy telekomunikacyjne.

W art. 43 czytamy, że "dodano obowiązek udostępniania uprawnionym podmiotom danych lokalizacyjnych powstających lub transmitowanych w sieci telekomunikacyjnej innego przedsiębiorcy telekomunikacyjnego w ramach roamingu krajowego".

Przykład: jesteśmy w sieci Play, ale pojechaliśmy na Podlasie, gdzie wpadliśmy w zasięg sieci Orange. Do tej pory służby mogły mieć informacje o naszej lokalizacji tylko od Play, a po wejściu w życie nowych przepisów będą mogły mieć dostęp do tych danych także od Orange.

- Zakres danych, które przedsiębiorcy telekomunikacyjni będą przekazywali podmiotom uprawnionym będzie określony w rozporządzeniach wydanych do ustawy PKE - dodaje prezes PIIT.

Kto może mieć do nich dostęp? 10 różnych służb: Policja, Biuro Nadzoru Wewnętrznego, Straż Graniczna, Inspektorat Wewnętrzny Służby Więziennej, Służba Ochrony Państwa, Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, Żandarmeria Wojskowej, Centralne Biura Antykorupcyjne i Krajowa Administracja Skarbowa.

Problematyczny dostęp do billingów. Polska łamie prawo UE

- Największe wątpliwości budzi kwestia dostępu do billingów. To nie są byle jakie dane, to są dane, które pozwalają uzyskać bardzo szczegółowy wgląd w życie każdego z nas, bo pozwalają ustalić sieć naszych kontaktów czy lokalizację - przekonuje prawnik z Panoptykonu.

Problem polega bowiem na tym, że kwestie dostępu do billingów są w Polsce regulowane w sposób jaskrawo niezgodny z prawem unijnym.

- Mamy cały szereg orzeczeń TSUE, ale też orzeczenie Europejskiego Trybunału Praw Człowieka w polskiej sprawie z maja 2024 r. Wynika z niego, że sytuacja, w której firmy telekomunikacyjne muszą zbierać dane o każdym z nas i udostępniać służbom w niekontrolowany sposób, jest niezgodna z przepisami unijnymi, narusza prawa człowieka i stanowi nadmierne uprawnienie służb. Każdy dzień obowiązywania takich zasad to jest skandal - przekonuje nasz rozmówca, który był jednym ze skarżących w sprawie z maja 2024 r.

Dowodem na to, że służby mogą być skuteczne bez tak daleko posuniętych uprawnień, są np. Niemcy. W tym państwie firmy telekomunikacyjne przechowują informacje o klientach przez kilka tygodni. Dla porównania - u nas jest to 12 miesięcy.

Również telekomy mają wątpliwości co do tych przepisów. "Pewne dyskusje wzbudza projektowany przepis art. 47, który utrzymuje obowiązek rejestracji i przechowywania przez 12 miesięcy tzw. metadanych o wszystkich użytkownikach. Tego typu retencja ogólna została uznana za niedozwoloną wyrokiem TSUE, na co zwracał uwagę w konsultacjach minister ds. europejskich" - przekazuje WP Finanse Biuro Prasowe T-Mobile.

Co na to politycy? Problem polega na tym, że EKŁE nie obejmuje tego obszaru. Ministerstwo Cyfryzacji de facto skopiowało przepisy z Prawa telekomunikacyjnego. Resort również zdaje sobie sprawę z tych niezgodności.

- Od regulowania uprawnień służb nie jest Ministerstwo Cyfryzacji, z całym szacunkiem. Dlatego pozostawiamy te przepisy, które były w Prawie telekomunikacyjnym, i nie posuwamy się ani o krok do przodu. Z tego, co wiem, co już tutaj było sygnalizowane, stosowne przepisy w tym zakresie powstają - przekonywał Gramatyka z mównicy sejmowej.

Nie mamy Pegasusa, ale czy możemy ufać służbom?

Z kolei drugi problem to dostęp do treści korespondencji, do którego zwykle potrzebna jest zgoda sądu. - Przy okazji afery Pegasusa dowiedzieliśmy się, że te zgody są wyłudzane. Zgoda sądu w żaden sposób nas obywateli nie chroni i wymaga to zmiany - argumentuje Klicki.

Jego zdaniem niezbędne jest wprowadzenie stanu zgodnego z orzecznictwem trybunałów. - Musimy zdawać sobie sprawę, że choć nie mamy już licencji na Pegasusa, to nie oznacza, że nie ma innych, analogicznych oprogramowań. Cały czas istnieje duża pokusa, żeby takich narzędzi używać. A nie powstały żadne mechanizmy, które nas przed tym zabezpieczą - zwraca uwagę.

Jego zdaniem sprawa jest znacznie bardziej poważna. - Obawiam się sytuacji, że rząd zostawi przepisy niezgodne z prawem UE, argumentując to pośpiechem z powodu kar, a systemową reformę odłoży na "nigdy". Uważam, że kwestia uporządkowania tego, co mogą, a czego nie mogą służby i jakiej kontroli to podlega, to także jest kwestia bezpieczeństwa. Zarówno bezpieczeństwa obywateli, jak i samych funkcjonariuszy - zaznacza prawnik.

Czy służby sprawdzą Messengera? Dezinformacja o przepisach

W związku z tym, jak wrażliwy jest temat dostępu służb do danych, w sieci pojawiło się wiele nieścisłości, które mogły być wynikiem dezinformacji ze strony polityków.

W trakcie sejmowej debaty Witold Tumanowicz (Konfederacja) stwierdził, że "będzie dostęp do bilingów internetowych z Messengera (...) za zgodą sądu".

- To nieprawda. Dostęp do billingu był i zgodnie z PKE będzie możliwy bez zgody sądu. Wbrew intencjom m.in. ministra-koordynatora w projekcie nie ma poszerzenia, a obowiązek retencji (czyli przechowywania danych) nałożono wyłącznie na firmy telekomunikacyjne, czyli nie na dostawcę Messengera - wyjaśnia Klicki.

Prawnik nie pozostawia suchej nitki na podejściu rządzących.

- To postawa podobna do dziecka, które po zasłonięciu twarzy myśli, że już go nie widać. Oczywiście Ministerstwo Cyfryzacji odpowiada za wdrożenie prawa unijnego. Ale w ramach tego samego rządu nie można wdrażać prawa UE w sposób rażąco niezgodny… właśnie z prawem UE. Tym właśnie jest podtrzymanie obowiązku przechowywania przez 12 miesięcy i udostępniania służbom informacji o naszej lokalizacji. Najlepiej byłoby, gdybyśmy równolegle do dyskusji o PKE rozmawiali o kwestii kontroli nad służbami. Wtedy nie musielibyśmy się zastanawiać się, czy nadal mamy problem z inwigilacją - kwituje.

Projekt został skierowany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, która ma czas do 9 lipca na przedstawienie sprawozdania. Ustawa wejdzie w życie sześć miesięcy po ogłoszeniu w Dzienniku Ustaw.

Do MSWiA wysłaliśmy pytania w sprawie dookreślenia uprawnień służb. Do momentu publikacji nie dostaliśmy odpowiedzi.