Policja zabiega o wprowadzenie ustawowego obowiązku retencji danych przetwarzanych przez dostawców usług internetowych

Jak wiadomo - w MSWiA trwają prace nad nowelizacją ustawy o świadczeniu usług drogą elektroniczną. Do tych prac przyłączyła się Komenda Główna Policji i zaprezentowała (8 czerwca) swoje propozycje dotyczące zapewnienia: 1. bezwzględnego obowiązku retencji danych w stosunku do wszystkich przedsiębiorców świadczących usługi drogą elektroniczną, 2. bezwzględnego obowiązku udostępnienia posiadanej przez przedsiębiorcę infrastruktury organom ścigania w celu prowadzenia kontroli operacyjnej, 3. obowiązku zapewnienia warunków dostępu i utrwalania oraz ochrony informacji niejawnych w stosunku do ISP o największym znaczeniu rynkowym, 4. możliwości zdalnego, niejawnego przeszukania informatycznych nośników danych. Jak pisałem w tekście Retencja danych w pracach nad nowelą ustawy o świadczeniu usług drogą elektroniczną - pewne zobowiązania w sferze retencji danych nakłada na nas Dyrektywa 2006/24/WE, w szczególności art. 5 dyrektywy wymienia kategorie danych przeznaczonych do "zatrzymywania" w przypadku dostępu internetowego, elektronicznej poczty internetowej i telefonii internetowej. Czas na ich transpozycję w Polsce minął 15 marca 2009 r. Dlatego właśnie warto przyjrzeć się (kontrowersyjnym) propozycjom Policji i argumentom na ich poparcie, które Policja wysuwa, bo mogą dotyczyć one wielu podmiotów zajmujących się tworzeniem i udostępnianiem zasobów w internecie.

Izba Wydawców Prasy sprowokowała jakiś czas temu szereg publikacji prasowych, informujących, że "organy ścigania zainteresowane są informacjami o aktywnych działaniach internautów". Dano do zrozumienia, że to MSWiA wyszło z inicjatywą gromadzenia danych. Przypomnę jednak (co już raz zrobiłem, w podlinkowanym we wstępie tej notatki tekście), że na stronach MSWiA opublikowano Informację ze spotkania grupy roboczej dot. retencji danych, obowiązku tzw. kontroli operacyjnej i zdalnego przeszukiwania nośników. Spotkanie to odbyło się 8 czerwca. Tam również można przeczytać, że to przedstawiciele Komendy Głównej Policji, którzy uczestniczyli w tym spotkaniu na podobnych zasadach, jak inni jego uczestnicy, przedstawiali pewne propozycje. W notatce można też przeczytać, że w tamtej dyskusji zakwestionowano:

1. zakres propozycji Komendy Głównej Policji w kontekście nowelizacji ustawy Prawo Telekomunikacyjne oraz aktów wykonawczych wydanych na jej podstawie, które mają wykonywać Dyrektywę 2006/24 o retencji danych,
2. funkcjonowania w krajowych porządkach prawnych Państw Członkowskich regulacji w zakresie kontroli operacyjnej przedstawione przez KGP,
3. włączenia przedsiębiorców telekomunikacyjnych w zakres uśude, która w chwili obecnej ich nie dotyczy.

Można wreszcie przeczytać, że "przedstawiciele Komendy Głównej Policji potwierdzili, iż proponowany przez nich zakres zmian w uśude nie jest regulowany dyrektywą o retencji danych, a także nie analizowano czy wyżej wskazane regulacje wskazane przez KGP funkcjonują w innych PCz." (czyli Państwach Członkowskich).

Kilka dni temu MSWiA rozesłało do osób, które uczestniczą w pracach nad nowelizacją ustawy o świadczeniu usług drogą elektroniczną ("przy wyrażeniu zgody przedstawicieli Komendy Głównej Policji – autora dokumentu"), dokument pt. „Tezy opracowania Rady Biura Prawnego Komendy Głównej Policji Pana Adama Pałafija dotycząca wniosku legislacyjnego Biura Kryminalnego Komendy Głównej Policji o wprowadzenie ustawowego obowiązku retencji danych przetwarzanych przez dostawców usług internetowych”.

Wydaje się istotne, by nad tego typu dokumentem przeprowadzono szeroką publiczną dyskusję, ponieważ propozycje KGP dotyczą w istocie ograniczenia swobód obywatelskich, a tego typu regulacje należy analizować również w kontekście proponowanych przez Ministerstwo Kultury i Dziedzictwa Narodowego projektów nowelizacji Prawa prasowego, w których niektóre formy aktywności internetowej wyłączane są z zakresu definicji prasy, a więc również - jak można wnioskować - osoby uczestniczące w przygotowaniu i publikowaniu takich materiałów nie będą objęte zakresem tajemnicy dziennikarskiej. Poniżej zatem prezentuję treść udostępnionego przez MSWiA dokumentu z KGP (przy czym był to materiał w PDF, który zawierał zeskanowaną bitmapę i przypisy, które w poniższym cytacie pominąłem):

I Stan faktyczny

1. W opracowanym 15.04.2009r. w Biurze Kryminalnym KGP wniosku o wyrażenie przez MSWiA zgody na nowelizację ustawy z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną (zwanej dalej „ustawą usługową”) stwierdzono:

• Sejm kończy prace nad implementacją dyrektywy 2006/241WE dotyczącej zatrzymywania i przechowywania (retencji) danych, która będzie dotyczyć podmiotów prowadzących działalność podlegającą prawu telekomunikacyjnemu,
• cześć podmiotów gospodarczych świadczy usługi łączności elektronicznej (np. Telefonia VOIP, komunikatory internetowe, elektroniczna poczta internetowa) nie na podstawie prawa telekomunikacyjnego, lecz na podstawie ustawy usługowej. Tych podmiotów, nie będących przedsiębiorcami telekomunikacyjnymi, nie obejmie obowiązek retencji wprowadzany do prawa telekomunikacyjnego. W takich przypadkach przedsiębiorca telekomunikacyjny wprawdzie zatrzyma dane o dostępie do sieci internetowej, ale bez identyfikacji użytkownika końcowego, bowiem tymi danymi dysponuje dopiero podmiot świadczący usługi drogą elektroniczną z wykorzystaniem przekazu telekomunikacyjnego,
• zachodzi potrzeba stworzenia podstaw prawnych dostępu organów ścigania do treści korespondencji wysyłanej i odbieranej za pośrednictwem sieci internetowej przy wykorzystaniu np. niezarejestrowanych kart pre-paid, punktów dostępowych typu hot-spot lub tzw. kawiarenek internetowych, a tym samym określenia zasad współdziałania organów ścigania z podmiotami świadczącymi takie usługi.

2. Podsekretarz Stanu w MSWiA Adam Rapacki w dniu 16.04.2009r. wyraził zgodę na podjęcie prac legislacyjnych w powyższym zakresie.

3. W dniu 20 maja 2009 r. w Departamencie Informatyzacji MSWiA odbyło się spotkanie dotyczące wyników prac grup roboczych zajmujących się nowelizacją ustawy usługowej. Podczas tego spotkania przedstawiciel Komendy Głównej Policji wskazał na potrzebę uregulowania w tej ustawie retencji danych, obowiązków związanych z kontrolą operacyjną oraz zdalnym przeszukiwaniem nośników danych. Postanowiono wówczas, że powstanie odrębna grupa robocza zajmująca się tymi zagadnieniami,

4. W dniu 8 czerwca 2009r w Departamencie Informatyzacji MSWiA odbyło się spotkanie grupy roboczej do spraw retencji danych, obowiązku tzw. kontroli operacyjnej i zdalnego przeszukiwania nośników, w trakcie którego przedstawiono opracowane w KGP propozycje zmian w ustawie usługowej. Zgłoszono wątpliwości wobec zgodności tych propozycji z zakresem nowelizacji prawa telekomunikacyjnego oraz stosowania podobnych rozwiązań w innych państwach UE. Przedstawiciele Komendy Głównej Policji mieli wtedy stwierdzić, te proponowany zakres zmian w ustawie usługowej nie jest regulowany dyrektywą 2006/24/WE o retencji danych i nie orientowano się, czy podobne regulacje wprowadzono w innych państwach UE. Uzgodniono, że trzeba uściślić niektóre z proponowanych rozwiązań, wybrać systemowo odpowiednią ustawę (ustawę usługową lub prawo telekomunikacyjne). Przedstawiciele KGP zobowiązali się do przygotowania do końca czerwca 2009 roku założeń do ustawy wprowadzającej proponowane rozwiązania.

5. W Biurze Kryminalnym KGP w dniu 7.07.2009r. sformułowano stanowisko w odniesieniu
do propozycji Podsekretarza Stanu W. Drożdża. W stanowisku tym podtrzymano wniosek o wprowadzenie do ustawy usługowej przepisów zobowiązujących do retencji danych, albowiem:

• wprowadzane do prawa telekomunikacyjnego przepisy nie zapewniają retencji danych przetwarzanych w sieciach internetowych oraz kontroli operacyjnej przekazu informacji w tych sieciach;
• w roku 2006 Ministerstwo infrastruktury zakładało rozciągnięcie obowiązku retencji danych . także na podmioty świadczące drogą elektroniczną usługi polegające na dostarczaniu treści internetowych (Internet Content Proyiders), ale potem odstąpiono od tych założeń z powodu niezgodnego z celowościową wykładnią polskiego tłumaczenia dyrektywy 2006/24/WB.

6. W dniu 20.07.2009r. w Biurze Kryminalnym KGP opracowano projekt założeń „nowelizacji ustawy o świadczeniu usług drogą elektroniczną w zakresie wprowadzenia obowiązków na rzecz obronności i bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego”. Projekt ten przewiduje nałożenie na dostawców usług internetowych obowiązku retencji danych, ukształtowanego jednak nieco inaczej niż w art. 180a prawa telekomunikacyjnego w odniesieniu do przedsiębiorców telekomunikacyjnych.

II. Stan prawny

1. Tzw. retencja danych z mocy dyrektywy 2006/24/WE jest obowiązkowa od 15.09.2007r. z tym, że można było o 18 miesięcy odroczyć transpozycję dyrektywy w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej (art. 15 ust. 5 dyrektywy). Polska złożyła deklarację, iż skorzysta z tej możliwości, zatem krajowe przepisy o retencji danych powinny wejść w życie najpóźniej z dniem 15 marca 2009r. Dyrektywa zobowiązuje do retencji danych generowanych lub przetwarzanych „w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności” co oznacza, że powinna być transportowana nie tylko w odniesieniu do przedsiębiorców telekomunikacyjnych, ale także w odniesieniu do dostawców publicznie dostępnych usług internetowych (ICP), a więc podmiotów określanych jako „usługodawcy” w ustawie usługowej. Na podstawie art. 2 ust. 1 dyrektywy 2006/24/WE dyrektywę tę należy stosować z uwzględnieniem definicji ustalonych w niektórych innych dyrektywach, a w tym dyrektywie 2002/21/WE (w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej). Według art. 2 lit. c) dyrektywy 2002/21/WE „usługa łączności elektronicznej” oznacza usługę polegającą całkowicie lub częściowo na przekazywaniu sygnałów w sieciach łączności elektronicznej, w tym usługi telekomunikacyjne i usługi transmisyjne świadczone poprzez sieci nadawcze; nie obejmuje jednak usług związanych z zapewnianiem albo wykonywaniem kontroli treści przekazywanych przy wykorzystaniu sieci lub usług łączności elektronicznej.

2. Polska transpozycja dyrektywy 2006/24/WE w istocie nie została dokonana w ramach tegorocznej nowelizacji prawa telekomunikacyjnego. Przepisy o rocznej retencji danych (dyrektywa 2006/24/WE przewiduje zasadniczo okres retencji od 6 miesięcy do 2 lat, z możliwością przedłużenia tego okresu „w szczególnych okolicznościach” z zastrzeżeniem zatwierdzenia takiej decyzji przez Komisję Europejską), ograniczonej jednak do usług telekomunikacyjnych, zostały wprowadzone do polskiego systemu prawnego jeszcze przed przyjęciem dyrektywy 2006/24/WE. Instytucja retencji danych pojawiła się po raz pierwszy w rozporządzeniu Ministra Infrastruktury z dnia 8 stycznia 2003 r. w sprawie wykonywania przez operatorów zadań na rzecz Obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego (Dz. U. Nr 19, poz. 166). Ten akt wykonawczy do poprzedniej ustawy — Prawo telekomunikacyjne z 2000 roku, nakładał na operatorów m.in. obowiązek zapewnienia „uprawnionym podmiotom” dostępu do posiadanych danych „z ostatnich 12 miesięcy” (§ 5 pkt 7). Obowiązek ten odtworzono w nowym prawie telekomunikacyjnym uchwalonym w lipcu 2004r. (art. 165). W dniu 29.12.2005r w ramach nowelizacji prawa telekomunikacyjnego zmieniono brzmienie art. 165 ust. I przedłużając okres retencji do 2 lat (w toku prac sejmowych nad tą nowelizacją proponowano nawet 15-letni okres retencji!).

3. Transpozycja dyrektywy 2006/24/WE jest przeprowadzona w sposób wadliwy, bo niepełny. Obowiązek transpozycji nie jest dopełniony w odniesieniu do innych niż przedsiębiorcy telekomunikacyjni podmiotów świadczących ogólnie dostępne usługi łączności elektronicznej. Do retencji danych są zobowiązane tylko podmioty wykonujące działalność polegającą na świadczeniu usług telekomunikacyjnych (usług polegających na przekazywaniu sygnałów w siad telekomunikacyjnej, co jednak nie dotyczy usługi poczty elektronicznej) oraz dostarczaniu sieci telekomunikacyjnych (operatorzy) lub udogodnień towarzyszących (dodatkowe możliwości funkcjonalne lub usługowe związane z siecią telekomunikacyjną, umożliwiające lub wspierające świadczenie w nich usług telekomunikacyjnych lub związane z usługą telekomunikacyjną, umożliwiające lub wspierające świadczenie tej usługi, w szczególności systemy dostępu warunkowego i elektroniczne przewodniki po programach). Aktualnie opóźnienie transpozycji dyrektywy 2006/241WE w odniesieniu do danych przetwarzanych w ramach powszechnie dostępnych usług łączności elektronicznej z użyciem sieci innych niż Internet wynosi dwa lata (termin transpozycji upłynął 15.09.2007r). W odniesieniu do danych przetwarzanych w zakresie do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej opóźnienie transpozycji dyrektywy WE w tej chwili jest pięciomiesięczne. W uzasadnieniu projektu nowelizacyjnego (druk sejmowy nr 1448) napisano m. w. nowy art. 180a stanowi pierwszą część implementacji do krajowego porządku prawnego dyrektywy UE w sprawie retencji danych telekomunikacyjnych, a drugą częścią tej implementacji będzie wydanie szczegółowych rozporządzeń” (rozporządzeń określających szczegółowy wykaz danych podlegających retencji oraz rodzaje operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do retencji). Napisano także, iż „zważywszy na dwustopniowy proces wdrożenia dyrektywy retencyjnej, odrębnie dla danych związanych z dostępem do Internetu, telefonii internetowej i internetowej poczty elektronicznej, delegacja powyższa będzie wymagała wydania dwóch odrębnych rozporządzeń”, co jest niezrozumiałe, skoro wymienione usługi mogą być realizowane również przez tzw. operatorów internetowych nie będących operatorami telekomunikacyjnymi i nie podlegających przepisom prawa telekomunikacyjnego.

Wnioski

1. Wniosek legislacyjny Biura Kryminalnego KGP powinien być pilnie realizowany. Zachodzi „jednakże wątpliwość, czy są spełnione aktualne wymogi formalne i czy zgoda na podjecie prac legislacyjnych wyrażona przez Podsekretarza Stanu w MSWIA A. Rapackiego w dniu 16 04 2009r jest wystarczająca do sformułowania projektu odpowiedniej ustawy i skierowania go do uzgodnień. Dwa tygodnie wcześniej, bo 1.04.br. weszła wżycie ustawa z drua 23 stycznia 2009r o zmianie ustawy o Radzie Ministrów i niektórych innych ustaw (Dz. U. Nr 42, poz. 337) oraz uchwała nr 38 Rady Ministrów z dnia 31 marca 2009r. zmieniająca uchwałę - Regulamin pracy Rady Ministrów (M. P. Nr 20, poz. 246). W wyniku tych zmian projekty ustaw opracowuje się na podstawie przyjętych przez Radę Ministrów założeń, których projekt podlega uprzedniemu uzgodnieniu z członkami Rady Ministrów. Odstąpienie od tego trybu jest możliwe tylko wtedy, gdy opracowanie określonego projektu ustawy wynika z planu pracy Rządu albo tak postanowi Prezes Rady Ministrów (bądź działający z jego upoważnienia Sekretarz Rady Ministrów).

2. postulat zobowiązania do retencji danych innych niż przedsiębiorcy telekomunikacyjni podmiotów/świadczącym ogólnie dostępne usługi łączności elektronicznej lub umożliwiających dostęp do publicznych sieci łączności - nie tylko nie wykracza poza postanowienia dyrektywy 2006/24/WE, ale dopiero zrealizowanie tego postulatu doprowadzi do pełnej implementacji tej dyrektywy,

3. ze względu na ograniczenie podmiotowego zakresu ustawy - Prawo telekomunikacyjne do podmiotów posiadających ustawowo określone cechy
"przedsiębiorcy telekomunikacyjnego" i świadczącego nie dowolne usługi łączności elektronicznej na odległość, lecz usługi ustawowo zdefiniowane jako „telekomunikacyjne” właściwym miejscem na unormowanie obowiązku retencji danych przez podmioty świadczące inne usługi elektroniczne na odległość jest właśnie ustawa z dnia 8 lipca 2002r. o świadczeniu usług drogą elektroniczną,

4. ustawowa definicja „usługi telekomunikacyjnej” nie jest szczególnie jasna, bo określa te usługę jako polegającą głownie na przekazywaniu sygnałów w sieci telekomunikacyjnej” (z wyraźnym wyłączeniem usługi poczty elektronicznej). Wykładnia językowo-logiczna tak sformułowanej definicji prowadzi do następujących wniosków:

• na dostawcach usługi poczty elektronicznej nie ciąży obowiązek retencji danych, gdyż nie są oni dostawcami usługi telekomunikacyjnej w rozumieniu prawa telekomunikacyjnego,
• z obowiązku retencji danych zwolnieni są również dostawcy usługi hostingu, którzy nie przekazują sygnałów w sieci telekomunikacyjnej, lecz przechowują dane dostarczone przez usługobiorców,
• nie są zobowiązane do retencji danych także inne podmioty świadczące usługi drogą elektroniczną; istota tych usług polega bowiem na wysyłaniu i odbieraniu danych za pomocą systemów teleinformatycznych (warstwa aplikacji), nie zaś na przekazywaniu sygnałów w sieci telekomunikacyjnej (warstwa transportowa),

O tym. że nasza sytuacja prawna w zakresie retencji danych znacznie odbiega od rozwiązań przyjętych w innych państwach UE dobitnie świadczy porównanie np. ze stanem prawnym istniejącym w Belgii. Tam ustawą z 28 listopada 2000 r. „o przestępstwach komputerowych” zobowiązano pod groźba odpowiedzialności karnej obowiązek przechowywania co najmniej przez rok danych o połączeniach lokalnych i dokonywanych z obszaru Unii Europejskiej nałożono na wszelkie kategorie operatorów, zarówno sieci publicznych, jak i prywatnych, w tym intranetów poszczególnych instytucji i organizacji, bez względu na typ sieci (kablowe, radiowe, telefonii mobilnej, satelitarnej itd.). Do szeroko zdefiniowanej kategorii "dostawców usług telekomunikacyjnych" zaliczono nie tylko dostawców usług i aplikacji internetowych (dostawcy dostępu, usług informacyjnych, wyszukiwarek portali, list dyskusyjnych), lecz również podmioty świadczące usługi o wartości dodanej, np. w zakresie kryptografii, bankowości internetowej, nie wyłączając właścicieli cyberkawiarni i administratorów anonimowych remailerów. Możliwość karnego egzekwowania obowiązku retencji danych w naszym prawie telekomunikacyjnym jest niepewna.

W myśl art. 209 ust. I pkt I prawa telekomunikacyjnego karalne jest "nie wypełnianie obowiązku udzielania informacji lub dostarczania dokumentów przewidzianych ustawą", co nie jest równoznaczne z nie wypełnianiem obowiązku zatrzymywania i przechowywania danych. Przewidziano natomiast jako odrębny czyn karalny nie złożenie Prezesowi Urzędu Komunikacji Elektronicznej rocznej informacji o łącznej liczbie przypadków udostępniania danych z retencji ale tylko sądom i prokuraturom, chociaż uprawnienia dostępu do tych danych mają także policyjne organy ścigania.

Przeczytaj również: Zdalne przeszukanie komputerów obywateli i policyjne trojany w projekcie nowelizacji polskiej ustawy o Policji