Problem retencji danych od początku swojego istnienia budził wiele kontrowersji. Dyskusja na temat zasadności zbierania i przechowywania danych obywateli rozgorzała na nowo kilka tygodni temu za sprawą wyroku Trybunału Sprawiedliwości UE w połączonych sprawach C-293/12 i C-594/12 Digital Rights Ireland i Seitlinger i in., w którym Trybunał uznał, że Dyrektywa w sprawie zatrzymywania danych jest nieważna.

Ile rzeczywiście kosztuje retencja danych? Kto ponosi te koszty? I co dokładnie miał na myśli Trybunał Sprawiedliwości UE uznając, że Dyrektywa w sprawie zatrzymywania danych jest nieważna?

Retencja danych – o co chodzi?

Retencja danych polega na przechowywaniu informacji dotyczących połączeń telefonicznych i elektronicznych w celu ich wykorzystania w postępowaniach prowadzonych przez służby państwowe. Jej podstawowym założeniem jest wzmacnianie ochrony porządku publicznego przed sprawcami groźnych przestępstw. Rozwiązanie to jest znane w Europie od końca lat 90-tych XX wieku. Wtedy to wprowadziły je m.in. Belgia i Wielka Brytania. W Polsce pojawiło się ono na początku lat 2000. W 2006 r. wprowadzono dyrektywę 2006/24/WE w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE, która miała uregulować tę kwestię na terenie całej Unii Europejskiej.

Zjawisko zbierania i przechowywania danych od lat budzi wiele kontrowersji. Temat ten wiąże się z szeroką falą krytyki ze strony organizacji wolnościowych, rzeczników praw obywatelskich i uczestników rynku telekomunikacyjnego. Trybunał Sprawiedliwości UE wydał niedawno wyrok, w którym stanął po stronie przeciwników tego mechanizmu (wyrok z 8 kwietnia br. w sprawach połączonych C-293/12 i C-594/12 Digital Rights Ireland i Seitlinger i in.).

Co oznacza to rozstrzygnięcie dla przeciętnego obywatela Europy?

Retencja danych w Polsce i Europie

Ostatnia, szeroka regulacja została wprowadzona na terenie całej Unii Europejskiej przepisami Dyrektywy 2006/24/WE o retencji danych. W rezultacie w 2009 r. do polskiej ustawy Prawo telekomunikacyjne wprowadzono art. 180a-180g. Zgodnie z tymi postanowieniami operatorzy telekomunikacyjni zostali zobowiązani do przechowywania i udostępniania danych o działaniach użytkowników swoich sieci transmisyjnych. Są to:

– informacje o połączeniach i próbach połączeń, ich datach oraz czasie trwania,

– informacje identyfikacyjne uczestników (abonenci, użytkownicy poczty elektronicznej itp.),

– informacje o lokalizacji urządzeń końcowych (telefony komórkowe, modemy sieciowe itp.),

– informacje o rodzaju połączenia (rozmowa, wiadomość tekstowa, wiadomość graficzna).

Te właśnie dane komunikacyjne są przedmiotem zapytań służb porządkowych i specjalnych (m.in. Policja, prokuratury i sądy, Służba Celna) w związku z prowadzonymi przez nie dochodzeniami, śledztwami i sprawami sądowymi. Umożliwiają one określenie lokalizacji i osób, z którymi kontaktowali się podejrzani. Zgodnie z oficjalnymi komunikatami Urzędu Komunikacji Elektronicznej, który zbiera informacje o zapytaniach kierowanych do operatorów, w 2011 r. było ich 1,92 mln a w 2012 r. już 2,13 mln.

Aby móc udostępniać w/w instytucjom dane klientów, operatorzy muszą je przechowywać przez pewien czas. W Dyrektywie pozwolono Państwom Członkowskim ustalić ten okres pomiędzy 6 a 24 miesiącami. W 2009 r. polski ustawodawca skorzystał z maksymalnego dopuszczalnego okresu przechowywania. Zmniejszono go do 12 miesięcy poprzez nowelizację Ustawy dopiero po trzech latach (2012 r.). Uznano to za krok we właściwym kierunku, gdyż bardzo rzadko do wykrywania przestępstw potrzebne są dane starsze niż kilka miesięcy.

Cena retencji danych

Należy wyraźnie podkreślić, iż państwa nie ponoszą kosztów przechowywania i udostępniania danych. Są one ponoszone przez operatorów telekomunikacyjnych, a w ostatecznym rozrachunku przenoszone są na klientów, czyli każdego z nas. Ocenia się, że w Polsce koszty te wyniosły w 2011 roku ok. 74 mln zł. Nie obejmuje to kosztów przechowywania danych oraz ich zabezpieczenia przed niepowołanym dostępem.

Za kolejny, być może ważniejszy koszt można uznać groźbę naruszenia prywatności osób, których dane są wykorzystywane. Aby zobrazować tę kwestię proponuję odwiedzić stronę, na której upubliczniono dane dotyczące szwajcarskiego deputowanego Balthasara Glätlli. Stało się to oczywiście za jego zgodą, aby unaocznić Szwajcarom problem retencji. Słaby nadzór nad działaniami służb oraz szeroki zakres zapytań o dane może prowadzić do nadużyć. Często także mówi się o automatyzmie wydawania zezwoleń na pozyskanie danych, których zakres może okazać się zbyt szeroki w stosunku do oczekiwań.

(…) państwa nie ponoszą kosztów przechowywania i udostępniania danych. Są one ponoszone przez operatorów telekomunikacyjnych, a w ostatecznym rozrachunku przenoszone są na klientów, czyli każdego z nas.

Sumując powyższe ‘koszty’ trzeba pamiętać, że ilość danych dostępnych dla służb cały czas rośnie. Już dziś wielu z nas korzysta z więcej niż jednego urządzenia komunikacyjnego. W 2013 r. w Polsce aktywnych było ok. 55 mln kart SIM. Telefony komórkowe (jedna karta SIM na użytkownika) zastępują smartphony oraz tablety (min. dwie karty SIM na użytkownika). Coraz więcej usług jest dostępnych przez sieci elektroniczne, co ułatwia śledzenie rosnącej liczby aktywności obywateli. Dlatego też zasadnym jest dążenie do lepszej kontroli poczynań służb i minimalizowanie ilości zbieranych danych. Zmiana prawa mogłaby polegać na ograniczeniu kategorii danych, które są przechowywane. Ograniczanie własnej aktywności, tak by samemu nie dostarczać dodatkowych danych nie wydaje się praktyczne. Warto jednak mieć świadomość takiego zjawiska.

Retencja danych przed sądem

Kontrowersje związane z wprowadzeniem przepisów o retencji danych są przedmiotem nie tylko krytycznej dyskusji naukowej i publicystycznej, ale także oceny sądów krajowych i międzynarodowych. Poniżej przeczytasz o wybranych, najnowszych przypadkach kwestionowania zasadności tych rozwiązań prawnych zebranych po to, aby pokazać Ci szeroki spektrum reakcji podmiotów nimi dotkniętych.

W ubiegłym miesiącu Trybunał Sprawiedliwości UE rozpatrzył wnioski austriackiego Trybunału Konstytucyjnego i irlandzkiego Sądu Najwyższego o stwierdzenie zgodności Dyrektywy w sprawie zatrzymania danych z prawami jednostki ujętymi w Karcie Praw Podstawowych (unijna deklaracja praw człowieka). Trybunał stwierdził, że wprowadzając Dyrektywę w sposób nieproporcjonalny naruszono prawo do prywatności i ochrony danych osobowych. Podkreślono, że samo zbieranie danych może być uzasadnione dla ochrony porządku publicznego. Jednocześnie jednak skrytykowano:

– szeroki zakres danych, do których dostęp uzyskują służby,

– brak obiektywnego kryterium gwarantującego, że dane są wykorzystywane jedynie do zapobiegania poważnym przestępstwom,

– brak rozróżnienia przez jaki okres mogą być przechowywane określone kategorie danych, jak czas połączenia, czy miejsce z którego połączenie było wykonywane.

Należy pamiętać, że unieważnienie przepisów Dyrektywy nie oznacza natychmiastowego zakazu pozyskiwania danych przez służby. Państwa Członkowskie implementując przepisy unijne do porządków krajowych, wprowadzały je w formie ustaw, takich jak polskie Prawo telekomunikacyjne. Wyrok Trybunału nie ma bezpośredniego wpływu na ich obowiązywanie. To sądy krajowe mogą ocenić, czy przepisy te są zgodne z przepisami konstytucyjnymi. Ocena dokonana przez sędziów Trybunału Sprawiedliwości z pewnością nie pozostanie bez echa.

Retencja danych a działania sądów krajowych

Także w kwietniu polski Trybunał Konstytucyjny podjął się oceny zgodności przepisów o uprawnieniach służb porządkowych i specjalnych do zbierania danych o obywatelach z przepisami Konstytucji RP o wolnościach i prawach człowieka (m.in. dopuszczalne przypadki ograniczenia swobód obywatelskich, w tym prawa do prywatności czy ochrony danych osobowych). Normy te zostały zaskarżone przez Rzecznika Praw Obywatelskich i Prokuratora Generalnego. Połączone sprawy będą rozpatrywane przez Trybunał w pełnym składzie sędziów, co podkreśla ich doniosłość. Zarzuty kierowane wobec organów ochrony państwa dotyczą:

– braku kontroli nad pozyskiwaniem danych retencyjnych,

– możliwością naruszenia tajemnicy zawodowej (m.in. lekarskiej, dziennikarskiej czy adwokackiej) w toku pozyskiwania danych,

– braku zasad usuwania przez służby danych pozyskanych od operatorów.

Warto tutaj wspomnieć, że słowacki Sąd Konstytucyjny rozpatrując podobną sprawę 23 kwietnia br. zawiesił skuteczność krajowych przepisów wydanych na podstawie Dyrektywy. Będzie to miało miejsce do momentu wydania orzeczenia. W efekcie operatorzy telekomunikacyjni nie są zobowiązani do zbierania danych, ale utrzymują w swoich zasobach informacje zebrane dotychczas przez okres ustalony w słowackiej ustawie.

Już po wydaniu wyroku Trybunału Sprawiedliwości UE w połączonych sprawach C-293/12 i C-594/12 Digital Rights Ireland i Seitlinger i in., czterej szwedzcy operatorzy zaczęli usuwać przechowywane przez siebie dane użytkowników i zaprzestali zbierania dalszych danych. W ten sposób uniemożliwiają służbom uzyskanie dostępu do prywatnych informacji swoich klientów.

Retencja danych – plany na przyszłość

Zakres reakcji na przepisy o danych retencyjnych wskazuje ogólny kierunek, którym podążają uczestnicy rynku. Dla operatorów przechowywanie danych tworzy dodatkowe koszty i podnosi wymagania bezpieczeństwa. Chcieliby oni możliwie szybko pozbyć się tego ciężaru. Sądy uznają te przepisy za nieprecyzyjne i umożliwiające działanie służb bez właściwego nadzoru. Należy jednak pamiętać, iż organy ochrony państw niechętnie oddają raz uzyskane uprawnienia. Z pewnością w przyszłości będą powstawać projekty podobnych aktów prawnych umożliwiające zbieranie informacji o obywatelach. Dlatego też tak ważne jest podnoszenie rangi kwestii ochrony prywatności do istotnego tematu w dyskusjach politycznych. Nacisk na przedstawicieli społeczeństwa wywierany przez obywateli i ich organizacje umożliwi tworzenie prawa lepiej zabezpieczającego interesy nas wszystkich.

***

Fot.: Money, autor: 401(K) 2013, CC SA 2.0