Na tapecie: zatrzymywanie przetwarzanych danych

Nie raz już na tych łamach informowałem o pracach trwających w Unii Europejskiej nad nowymi regulacjami dotyczącymi tzw. retencji danych telekomunikacyjnych. Zbliża się czas, w którym stosowna dyrektywa zostanie przyjęta. W Parlamencie Europejskim deputowani pracują nad propozycją dyrektywy w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej (2002 r.), zmieniająca dyrektywę 2002/58/WE...

Na stronach unijnych dostępny jest projekt dyrektywy przedłożony przez Komisję. Tekst dostępny jest w języku polskim (PDF). Dostępna jest też treść złożonych przez Parlament poprawek...

Poniżej zaś prezentuję fragment uzasadnienia do tej propozycji:

Podstawa i cele wniosku
Obywatele coraz częściej dokonują codziennych operacji i transakcji, korzystając z sieci i usług łączności elektronicznej. W wyniku wykonywanych przy tej okazji połączeń generowane są „dane o ruchu” lub „dane o lokalizacji” zawierające na przykład szczegóły dotyczące lokalizacji dzwoniącego, wybranego numeru oraz czasu i długości połączenia. Dostępność wspomnianych danych o ruchu w połączeniu z danymi umożliwiającymi identyfikację abonenta lub osoby korzystającej z usługi jest ważna do celów związanych z egzekwowaniem prawa i bezpieczeństwem, takich jak zapobieganie, dochodzenie, wykrywanie i karanie poważnych przestępstw, takich jak działalność terrorystyczna i przestępczość zorganizowana.

Jednakże ze względu na zmiany, jakie nastąpiły w modelach działalności gospodarczej i ofertach usługowych, takie jak taryfy zryczałtowane, usługi na zasadzie przedpłaty (pre-paid) oraz nieodpłatne usługi łączności elektronicznej, dane o ruchu mogą nie zawsze być zatrzymywane przez wszystkich operatorów w takim samym stopniu, jak to miało miejsce w ostatnich latach, w zależności od świadczonej usługi. Tendencja ta uwydatniła się jeszcze bardziej przy okazji najnowszych ofert usług telefonii internetowej (Voice over IP) czy usług telefonii stacjonarnej opartych na stawkach zryczałtowanych. W takich przypadkach operatorzy nie musieliby już przechowywać danych o ruchu w celu naliczania opłat. Jeżeli dane o ruchu nie są zatrzymywane w celu naliczania opłat ani w innych celach związanych z działalnością gospodarczą, to nie będą one dostępne dla organów publicznych w razie uzasadnionej prawnie potrzeby dostępu do takich danych. Innymi słowy taka zmiana sytuacji utrudnia znacznie organom publicznym wypełnianie obowiązków polegających na zapobieganiu i zwalczaniu zorganizowanej przestępczości i terroryzmu, a przestępcom ułatwia komunikowanie się ze sobą bez obawy, że dane na temat połączenia umożliwią organom ścigania trafienie na ich ślad. Przyjęcie ujednoliconych przepisów w tej dziedzinie na poziomie UE stało się obecnie pilną sprawą. Kilka Państw Członkowskich przyjęło – lub planuje przyjąć – krajowe środki zobowiązujące niektórych lub wszystkich operatorów do zatrzymywania określonych rodzajów danych do ich ewentualnego wykorzystania w celach wyszczególnionych powyżej. Różnice między Państwami Członkowskimi w zakresie prawnych, regulacyjnych i technicznych przepisów w dziedzinie zatrzymywania danych o ruchu stanowią przeszkodę dla rynku wewnętrznego łączności elektronicznej, gdyż usługodawcy natykają się na różne wymaganie odnośnie do rodzaju danych przeznaczonych do zatrzymywania oraz warunków zatrzymywania. Stąd też omawiane przepisy powinny zostać ujednolicone zgodnie z art. 14 Traktatu WE.

Kontekst ogólny
W swojej Deklaracji w sprawie zwalczania terroryzmu wydanej dnia 25 marca 2004 r. Rada Europejska potwierdziła konieczność posiadania przepisów na poziomie UE, które gwarantowałyby dostępność danych o ruchu dla celów zwalczania terroryzmu na obszarze 25 Państw Członkowskich. W wyniku terrorystycznych ataków bombowych w Madrycie Rada Europejska zaleciła Radzie zbadanie „wniosków dotyczących ustalenia przepisów w sprawie zatrzymywania przez usługodawców danych o ruchu połączeń” z możliwością przyjęcia ich w 2005 r. Zarówno Rada Europejska w swoich konkluzjach z dnia 16 i 17 czerwca br., jak i Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych na specjalnym posiedzeniu w dniu 13 lipca 2005 r., które zwołano po bombowych atakach terrorystycznych w Londynie, potwierdziły znaczenie przyjęcia właściwego instrumentu prawnego w tej kwestii.

Obowiązujące przepisy w dziedzinie, której dotyczy wniosek
Artykuły 6 i 9 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej ujednolicają przepisy dotyczące ochrony danych osobowych odnoszące się do przetwarzania danych o ruchu i lokalizacji powstałych w wyniku korzystania z usług łączności elektronicznej. Dane tego typu muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, z wyjątkiem danych niezbędnych w celu naliczania opłat i rozliczeń międzyoperatorskich; niektóre dane - za zgodą abonenta – mogą być też przetwarzane w celach marketingowych i świadczenia usług stanowiących wartość dodaną. Artykuł 15 ust. 1 stanowi, że Państwa Członkowskie mogą przyjąć ograniczenia przewidziane (między innymi) w art. 5, 6 i 9, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia zachowanie bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywanie i karania przestępstw.

Spójność z innymi politykami i celami Unii
Niniejszy wniosek jest zgodny z prawem wspólnotowym oraz Kartą Praw Podstawowych. Pomimo niewątpliwego wpływu, jaki proponowana dyrektywa będzie miała na prawo obywateli do prywatności gwarantowane na mocy art. 7 Karty czy też na prawo do ochrony danych osobowych gwarantowane na mocy art. 8 Karty, sprzeczność z wymienionymi prawami jest uzasadniona w myśl art. 52 tejże Karty. Ograniczenia wspomnianych praw wprowadzane przez niniejszy wniosek są proporcjonalne i niezbędne do osiągnięcia ogólnie uznanych celów, jakimi są zapobieganie i zwalczanie przestępczości i terroryzmu. Wniosek ogranicza ponadto wpływ proponowanych przepisów na życie prywatne obywateli: po pierwsze poprzez jasne określenie celu, dla jakiego zatrzymywane dane mogą być wykorzystane, po drugie poprzez ograniczenie kategorii danych, które mają być zatrzymywane, i po trzecie poprzez ograniczenie czasu ich zatrzymywania. Dodatkowym środkiem zabezpieczającym jest to, że dyrektywa nie odnosi się do treści komunikató, co równałoby się to przejmowaniu treści komunikatów, a to nie mieści się w granicach omawianego instrumentu prawnego. Zgodnie z przepisami dyrektywy przetwarzanie danych osobowych zatrzymywanych przez dostawców usług i sieci podlegać będzie ogólnym i szczegółowym przepisom dotyczącym ochrony danych, ustalonym na mocy dyrektyw 95/46/WE oraz 2002/58/WE, co w praktyce oznacza, że nie ma potrzeby opracowywania szczególnych przepisów dodatkowych w sprawie ogólnych zasad ochrony i bezpieczeństwa danych. Oznacza to także, że przetwarzanie tego rodzaju danych będzie w całości podlegało władzy nadzorczej organów ochrony danych powołanych we wszystkich Państwach Członkowskich...

W uzasadnieniu znajdują się również kolejne elementy, w tym omówienie przebiegu konsultacji z zainteresowanymi stronami oraz ocena wpływu. W odniesieniu do oceny wpływu przedstawiono następujący wywód:

Wstrzymanie się od podjęcia inicjatywy w kwestii zatrzymywania danych oznaczałoby utrzymanie nieładu panującego obecnie wśród przepisów dotyczących zatrzymywania danych. Instrumenty prawa współregulacji i samoregulacji zostały zniesione, jako że nie zapewniały wysokiego poziomu pewności prawnej. Inicjatywa ze strony trzeciego filaru dotycząca obowiązków w zakresie zatrzymywania danych została odrzucona jako niezgodna z istniejącym prawem wspólnotowym. Do opracowania koncepcji prawnej nawoływała także Rada Europejska w swojej deklaracji o zwalczaniu terroryzmu.

Opcja wniosku dotyczącego dyrektywy zapewnia wymagany dla wspólnego rynku poziom ujednolicenia. W porównaniu do rozporządzenia, pozostawia ona Państwom Członkowskim pewien margines swobody w zakresie wdrażania przepisów w kwestiach drażliwych. Rozporządzenie byłoby środkiem zbyt kategorycznym, zwłaszcza mając na względzie różne rozwiązania techniczne stosowane przez poszczególnych operatorów w różnych krajach. Dyrektywa zostawia Państwom Członkowskim wystarczająco duży margines swobody do tego, by mogły się one przystosować do wewnętrznych ograniczeń. W każdym razie aktualny stan rzeczy nie może trwać dalej z uwagi na przeszkodę, jakie rozbieżne przepisy krajowe w tej dziedzinie stanowią dla swobodnego świadczenia usług. Wybór instrumentu prawnego oraz szczególnej podstawy prawnej w postaci art. 95 WE zostały także dokonane dzięki analizie prawnej przedstawionej w dokumencie roboczym służb Komisji SEC(2005) 420 z dnia 22 marca 2005 r. Komisja przeprowadziła ocenę wpływu, z której sprawozdanie można znaleźć [na stronach Komisji Europejskiej].