Dane operatorów telekomunikacyjnych i dostawców internetowych pozwalają nie tylko ustalić, do kogo dzwoniliśmy, czy na jakie strony internetowe wchodziliśmy, ale także, gdzie w danej chwili się znajdowaliśmy. Od lat Trybunał Sprawiedliwości Unii Europejskiej uznaje te informacje za poważną ingerencję w naszą prywatność i uważa, że służby powinny mieć do nich dostęp tylko w przypadku poważnych przestępstw oraz pod sądową kontrolą. Przepisy państw członkowskich nadal zaś nakazują operatorom przechowywać te dane i udostępniać je na żądanie służb. W przedstawionej w środę opinii rzecznik generalny Campos Sánchez-Bordona uznał za niezgodne z prawem unijnym regulacje trzech państw: Francji, Belgii i Wielkiej Brytanii. Jeśli TSUE podtrzyma w wyroku tę opinię, to będzie to oznaczać również wadliwość polskich przepisów. Operatorzy telekomunikacyjni są bowiem dzisiaj zobligowani do przechowywania przez rok takich danych i udostępniania ich na każde żądanie policji i służb.
zauważa Wojciech Klicki, prawnik z Fundacji Panoptykon.
Dostęp z ograniczeniami
Rozpoznawana sprawa jest konsekwencją wcześniejszego orzecznictwa TSUE w zakresie dostępu służb do danych telekomunikacyjnych. W 2014 r. trybunał uznał, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych zbytnio ingeruje w prawo do prywatności i wykracza poza granice tego, co niezbędne do zapewniania bezpieczeństwa (połączone sprawy C-293/12 i C-594/12). Dyrektywa została uznana za nieważną, a tym samym państwa UE straciły podstawę prawną dla krajowych regulacji przewidujących przechowywanie danych na potrzeby służb. Zaraz po wydaniu tego orzeczenia szwedzki operator Tele2 Sverige AB zapowiedział, że w związku ze stwierdzeniem nieważności dyrektywy nie będzie już przetrzymywał danych telekomunikacyjnych. To stało się powodem kolejnych pytań prejudycjalnych. W 2016 r. TSUE przesądził o niezgodności z prawem unijnym przepisów krajowych, które nakazują ogólną retencję danych (połączone sprawy C-203/15 oraz C-698/15). Zgodnie z tym wyrokiem państwa członkowskie nie mogą nakładać na dostawców usług elektronicznych obowiązku uogólnionego i niezróżnicowanego przechowywania danych. Trybunał dopuścił możliwość gromadzenia danych, ale tylko w indywidualnych sprawach w celu zwalczania poważnej przestępczości. Zostało to natomiast obwarowane dodatkowymi warunkami. Dostęp do danych jest możliwy po uzyskaniu zgody sądu lub innego niezależnego organu, a inwigilowana osoba powinna zostać o tym poinformowana.
Wspomniane wyroki wywołały zaniepokojenie wielu państwach członkowskich, które uważają, że ograniczanie dostępu do danych telekomunikacyjnych utrudnia im zapewnienie bezpieczeństwa narodowego oraz walkę z przestępczością i terroryzmem. Znalazło to odbicie w pytaniach prejudycjalnych przesłanych przez francuską Radę Stanu Conseil d’État (sprawy połączone La Quadrature du Net i in., C-511/18 i C-512/18), belgijski Trybunał Konstytucyjny Cour constitutionnelle (Ordre des barreaux francophones et germanophone i in., C-520/18) oraz brytyjski Sąd ds. Uprawnień Dochodzeniowych Investigatory Powers Tribunal (Privacy International, C-623/17). Wszystkie są rozpoznawane łącznie. Sprawa budzi olbrzymie zainteresowanie rządów, o czym świadczyć może fakt, że aż 13 państw przedstawiło w niej swe stanowiska.
W pierwszej kolejności Campos Sánchez-Bordona rozwiał wątpliwości co do możliwości zastosowania dyrektywy o prywatności i łączności elektronicznej 2002/58/WE w zakresie dostępu służb do danych. Państwa biorące udział w postępowaniu zwracały uwagę, że spod jej przepisów są wyłączone działania mające na celu zapewnienie bezpieczeństwa narodowego. Rzecznik generalny zgodził się z tym, ale jednocześnie zastrzegł, że chodzi wyłącznie o działalność samych władz publicznych. Jeśli zaś jest ona prowadzona przy współpracy dostawców usług elektronicznych, to dyrektywa i wszystkie wynikające z niej ograniczenia znajdują zastosowanie.
Konieczne gwarancje
Rzecznik generalny uznał za sprzeczne z prawem unijnym przepisy regulujące retencję i dostęp do danych we wszystkich trzech państwach, których dotyczyły pytania prejudycjalne. Każda z krajowych regulacji przewiduje bowiem uogólniony i niezróżnicowany obowiązek przechowywania informacji, co zostało już wcześniej zakwestionowane przez TSUE.
Campos Sánchez-Bordona uważa natomiast za dopuszczalną retencję danych podlegającą określonym ograniczeniom i zróżnicowaniom.
„Chociaż to trudne, to jednak możliwe jest dokładne określenie zgodnie z obiektywnymi kryteriami, zarówno kategorii danych, których przechowywanie uważa się za niezbędne, jak i kręgu osób, których dane te dotyczą” – podkreślił w swej opinii.
Nawet tak ograniczonej retencji muszą towarzyszyć dodatkowe obostrzenia. Dostęp do danych powinien być możliwy za zgodą sądu lub niezależnego organu administracyjnego, a osoby, których dane pobrano, muszą zostać o tym fakcie poinformowane, chyba że mogłoby to narazić na szwank prowadzone dochodzenia.
podkreśla Wojciech Klicki.
Polski problem
Jeśli wyrok TSUE będzie zgodny z przedstawioną opinią, to kłopoty będą miały nie tylko państwa, których bezpośrednio dotyczy sprawa, ale także inne, w tym Polska. Nasze regulacje nie spełniają bowiem wskazanych warunków. Nakazują ogólne przechowywanie danych, do których służby mają potem niczym nieskrępowany dostęp. Nie przewidują również informowania o inwigilacji, nawet po zakończeniu śledztwa, gdy osoba będąca w zainteresowaniu służb okaże się niewinna.
– zauważa Witold Chomiczewski, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy. Jeśli Polska tego nie zrobi, to musi się liczyć z konsekwencjami.
wyjaśnia prawnik.
Część państw już po wyroku w sprawie Tele2 Sverige AB podjęła pewne próby dostosowania do niego swoich regulacji. Nasz ustawodawca całkowicie go zignorował.
– podkreśla Wojciech Klicki.
