Wtorek, 19 marca 2024
Dziennik wyroków i ogłoszeń sądowych
Rej Pr. 2512 | Wydanie nr 5867
Wtorek, 19 marca 2024
2013-10-08

Przepisy o pozyskiwaniu danych telekomunikacyjnych nie chronią obywateli

Najwyższa Izba Kontroli uważa, że obowiązujące w Polsce przepisy dotyczące pozyskiwania danych telekomunikacyjnych nie chronią dostatecznie praw i wolności obywatelskich przed nadmierną ingerencją państwa.

W ocenie NIK uprawnienia służb do pozyskiwania danych telekomunikacyjnych wymagają pilnego doprecyzowania. W Polsce brakuje niezależnego organu, który weryfikowałby zasadność pozyskiwania i wykorzystania billingów. Nie ma też systemu zbierania informacji o zakresie pozyskiwanych danych, a w konsekwencji rzetelnych informacji na ten temat.
Ustalenia kontroli

NIK oceniła pozytywnie, mimo stwierdzonych nieprawidłowości, działalność kontrolowanych organów, służb i formacji pod względem procedur umożliwiających pozyskiwanie i przetwarzanie danych retencyjnych (zatrzymywanych przez operatorów telekomunikacyjnych informacji identyfikujących właściciela numeru telefonu, ujawniających numery telefonów jego rozmówców, lokalizację telefonu oraz lokalizację i właściciela numeru IP) w związku z prowadzonymi postępowaniami. Wprowadzone zasady i procedury umożliwiały sprawne pozyskiwanie danych. Możliwość sięgania po dane telekomunikacyjne mieli upoważnieni pracownicy i funkcjonariusze, a krąg osób posiadających takie upoważnienie był w kontrolowanych instytucjach ściśle określony.

Należy jednak podkreślić, iż ocena ta nie obejmuje zasadności występowania o billingi w poszczególnych sprawach, gdyż nie pozwala na to zakres kompetencji ustawowych NIK.

Stwierdzone nieprawidłowości polegały m.in. na:

- pozyskiwaniu danych za pośrednictwem sieci telekomunikacyjnych i systemów teleinformatycznych w sposób, który nie zawsze pozwalał na pełną identyfikację pytającego funkcjonariusza oraz zweryfikowanie zakresu zadanego pytania (m.in. na skutek nieprecyzyjnie zawartych przez służby umów z operatorami telekomunikacyjnymi);

- żądaniu udostępnienia danych telekomunikacyjnych za okres wykraczający poza przewidziany prawem czas ich przetrzymywania (do stycznia 2013 r. służby mogły żądać danych z dwóch lat, obecnie jest to 12 miesięcy);

- żądaniu przez sądy billingów w sprawach rozwodowych, cywilnych bez uzyskania koniecznej w takim wypadku zgody abonenta (operatorzy na szczęście odmawiali sądom udostępniania tych danych);

- przekazywaniu przez operatorów danych w szerszym zakresie niż żądany we wniosku, co było naruszeniem tajemnicy telekomunikacyjnej przez operatorów (NIK poinformowała o tych przypadkach Urząd Komunikacji Elektronicznej);

- nieusuwaniu zbędnych danych telekomunikacyjnych (Jednostki operacyjne służb, które korzystały z danych, usuwały je poprawnie. Problemy wystąpiły w komórkach pośredniczących między jednostką operacyjną a operatorem telekomunikacyjnym. Tam zbędne dane nie zawsze były usuwane);

- pozyskiwaniu danych przez nieuprawnionego funkcjonariusza lub przez niezidentyfikowane osoby. Działo się tak na skutek korzystania z jednej imiennej karty przez kilku funkcjonariuszy;

- żądaniu przez sądy wydania treści SMS-ów w sprawach cywilnych. Udostępnienie treści SMS jest możliwe (po uprzednim zarządzeniu przez sąd ich utrwalenia) wyłącznie w celu ścigania najpoważniejszych przestępstw. NIK o tych nieprawidłowościach zdecydowała się powiadomić Ministra Sprawiedliwości;

- nieinformowaniu obywateli przez sądy i prokuratury o pozyskiwaniu billingów (powinny to robić na podstawie art. 218 § 2 kpk nie później niż do czasu zakończenia postępowania).

Z ustaleń kontroli wynika, że opracowywane przez Prezesa UKE, a następnie prezentowane na forum UE informacje dotyczące wykorzystania przez służby danych retencyjnych nie dawały prawdziwego obrazu sytuacji.

Prezentowane informacje były niepełne, a przedstawiane dane nieporównywalne. Np. w 2012 r. część przedsiębiorców (głównie małych) nie przekazało UKE danych o zapytaniach Policji i innych służb. Ponadto składane przez przedsiębiorców informacje zawierały ewidentne błędy i rozbieżności. Mimo rozbieżności w sposobie przedstawiania danych zostały one zsumowane, co w sposób istotny wpłynęło na rzetelność prezentowanych przez UKE danych. Zdaniem NIK ze względu na popełnione błędy metodologiczne oraz zaniedbania, jakiekolwiek wnioskowanie statystyczne na temat pobierania billingów w Polsce na podstawie danych UKE przekazywanych corocznie Komisji Europejskiej jest nieuprawnione (służby np. wysyłają pytanie dotyczące tego samego numeru równocześnie do wielu operatorów, a gdy w grę wchodzi pozyskanie danych za okres dłuższy niż trzy miesiące służby formułują kolejne pytania o ten sam numer - trudno więc na podstawie danych o liczbie zapytań kierowanych przez służby do operatorów wnioskować o rzeczywistej liczbie osób, których te pytania dotyczą).

Wnioski

NIK uznaje, że skuteczne zapobieganie popełnianiu przestępstw i ich ściganie nie jest możliwe bez zapewnienia służbom dostępu do danych telekomunikacyjnych. Zatrzymywanie (retencja) danych jest cennym narzędziem dla organów ścigania i wymiaru sprawiedliwości w sprawach karnych. Z ustaleń NIK wynika jednak, że obowiązujące w Polsce przepisy dotyczące pozyskiwania bilingów nie chronią praw i wolności obywatelskich przed nadmierną ingerencją państwa. Dlatego też - biorąc pod uwagę istniejące uwarunkowania prawno-organizacyjne, projektowane zmiany przepisów na poziomie Unii Europejskiej, a także wyniki przeprowadzonej kontroli - NIK rekomenduje podjęcie następujących działań:

1. Należy doprecyzować zakres i cel pozyskiwania przez służby danych telekomunikacyjnych.

Konieczne jest utworzenie katalogu spraw, na potrzeby których dane telekomunikacyjne mogą być pozyskiwane. Obecnie obowiązujące przepisy odwołują się zazwyczaj jedynie do ogólnego zakresu zadań poszczególnych służb, także tych, które nie pozostają w bezpośrednim związku ze ściganiem przestępstw. Zdaniem NIK precyzyjne określenie katalogu spraw, w których uprawnione służby mogą pozyskiwać dane telekomunikacyjne, miałoby kluczowe znaczenie z punktu widzenia ochrony praw i wolności obywatelskich.

W ocenie NIK, należałoby równocześnie rozważyć wprowadzenie rozwiązań stwarzających dodatkowe gwarancje w przypadku osób wykonujących zawody zaufania publicznego, np. dziennikarzy czy adwokatów.

2. Należy ustanowić kontrolę zewnętrzną nad procesem pozyskiwania danych z billingów, w tym także weryfikacji zasadności ich pozyskiwania.

W obecnym stanie prawnym nie istnieje żaden podmiot, który mógłby sprawować rzeczywistą kontrolę nad wykorzystaniem przez policję i inne służby uprawnień do sięgania po dane telekomunikacyjne obywateli. Jedynym oceniającym zasadność pozyskiwania tych danych jest jednostka uprawniona do ich pozyskania. Służby kontrolują więc same siebie. Sytuacja ta jest wyjątkowa w zestawieniu ze standardami przyjętymi w większości państw Unii Europejskiej, gdzie kontrolę taką sprawują sądy, prokuratura lub niezależne organy administracyjne. W ocenie NIK konieczne jest stworzenie instrumentów zewnętrznej kontroli nad pozyskiwaniem i wykorzystywaniem danych pochodzących z billingów.

Ważnym instrumentem kontroli powinno być także obligatoryjnie informowanie osób, których dane zostały pozyskane przez służby od operatorów telekomunikacyjnych. W obecnie obowiązującym stanie prawnym pozyskiwanie danych jest wyłączone zarówno spod kontroli samego zainteresowanego (nie jest on powiadamiany o gromadzeniu dotyczących go danych), jak i spod jakiejkolwiek kontroli społecznej. Wyjątkiem są tu przepisy postępowania karnego, które przewidują obowiązek informowania przez sądy i prokuratury obywateli o pozyskaniu ich danych (niestety nie zawsze przestrzegany). Według NIK należy wprowadzić rozwiązania zapewniające każdemu prawo do uzyskania informacji o pozyskaniu jego danych, z możliwością odroczenia przekazania tej informacji do czasu zakończenia postępowania.

3. Należy wprowadzić instrumenty gwarantujące niszczenie pozyskanych danych, gdy nie są one już niezbędne dla prowadzonego postępowania.

Obecne przepisy ustaw o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego, a także o Centralnym Biurze Antykorupcyjnym - w ogóle nie przewidują obowiązku usunięcia zgromadzonych przez nie danych telekomunikacyjnych, gdy przestały być niezbędne dla prowadzonego postępowania (rozwiązania takie zostały przewidziane np. w ustawach o Policji, Żandarmerii Wojskowej, Straży Granicznej czy kontroli skarbowej). W ocenie NIK konieczne jest pilne wprowadzenie przepisów o obowiązku niszczenia zbędnych danych telekomunikacyjnych będących w posiadaniu służb. Przepisy powinny nie tylko określić sam obowiązek niszczenia, ale również precyzować tryb i sposób jego realizacji.

4. Należy stworzyć mechanizmy sprawozdawcze, które zapewnią rzetelną informację o zakresie pozyskiwania danych telekomunikacyjnych.

Według NIK dla prawidłowej oceny funkcjonowania systemu retencji danych niezbędne jest gromadzenie informacji o:

- liczbie przypadków (numerów telefonicznych lub numerów IP), w których uprawnione organy uzyskiwały od przedsiębiorców dane telekomunikacyjne;
- liczbie osób, których dane były pozyskiwane;
- liczbie ustaleń obejmujących dane osobowe użytkowników telefonów;
- łącznej liczbie odmów udostępnienia danych (ze wskazaniem zasadniczych przyczyn);
- rodzaju spraw, w których środek ten wykorzystywano;
- oraz o jego skuteczności.

Rozliczającym się wobec obywateli z działań dotyczących pozyskiwania danych telekomunikacyjnych powinno być przede wszystkim państwo i jego służby, a nie tylko operatorzy telekomunikacyjni. I właśnie wprowadzenia tego rozwiązania NIK rekomenduje polskiemu ustawodawcy.

Izba przypomina, że Komisja Europejska rozważa wprowadzenie obowiązku szczegółowego rozliczania się przez państwa (i ich służby) z tego, w jakich celach, jak często i z jakim skutkiem stosują retencję danych.

Informacje uzupełniające

Kontrola przeprowadzona przez NIK objęła 18 jednostek. Kontrolerzy przeprowadzili audyt w Policji, CBA, ABW, SKW, SG, ŻW, Ministerstwie Finansów, Urzędzie Komunikacji Elektronicznej, wybranych sądach i prokuraturach. Równoległą kontrolę respektowania przepisów o ochronie danych osobowych przeprowadził u największych operatorów telekomunikacyjnych Generalny Inspektor Ochrony Danych Osobowych.

Informację o wynikach kontroli „bilingowej” NIK przekazała wcześniej Trybunałowi Konstytucyjnemu na prośbę Prezesa Trybunału. Ustalenia, wnioski i opinie kontrolerów mogą być pomocne przy wydawaniu orzeczeń przez Trybunał.