Dyrektywa o retencji danych a ochrona prywatności - raport Grupy Roboczej art 29

W dniach 12-14 lipca odbyło się posiedzenie Grupy Roboczej art 29 - tj. organu doradczego Komisji Europejskiej, działającego na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. W trakcie tego posiedzenia regulatorzy sfery ochrony danych osobowych przyjęli raport, w którym uznają, że implementacja postanowień dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 roku w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej oraz dostarczaniem publicznych sieci komunikacji elektronicznej, zmieniającej dyrektywę 2002/58/WE w różnych krajach członkowskich została przeprowadzona wadliwie. Wśród wniosków dotyczących praktyki prowadzenia tzw. retencji danych telekomunikacyjnych można zaliczyć konstatację, że niektóre kraje usiłują gromadzić więcej danych, niż pozwala na to unijne prawo...

W internecie dostępna jest wydana 14 lipca notatka prasowa Grupy Roboczej (PDF), w której wstępie wręcz mowa o bezprawnej implementacji dyrektywy ("European Data Protection Authorities find current implementation of data retention directive unlawful"). Można również zapoznać się z Raportem Grupy Roboczej (PDF), w którym analizowano zgodność na poziomie krajowym działań dostawców usług internetowych (ISP) oraz przedsiębiorstw telekomunikacyjnych (Telecom Providers) z obowiązkami związanymi z prawodawstwem krajowym dotyczącym ujmowania (gromadzenia) sygnałów przekazywanych w sieciach telekomunikacyjnych, a to w kontekście stosowania podstawowych dla tej materii uregulowań dot. ochrony danych osobowych i prywatności (m.in. art. 6 i 9 dyrektywy 2002/58/WE (PDF) oraz właśnie dyrektywy 2006/24/WE).

Grupa Robocza art. 29 zdaje sobie sprawę, że wdrożenie dyrektywy o retencji danych nieodłącznie związane jest z wysokim poziomem ryzyka, powodującego konieczność stosowania odpowiednich - technicznych i organizacyjnych - środków bezpieczeństwa. To zaś wynika z faktu, że dostępność danych o elektronicznej komunikacji (danych o ruchu) pozwala na ujawnienie preferencji użytkowników elektronicznych mediów, ich prawdziwej opinii i postaw, może wręcz ingerować w sferę prywatności, a to przez wpływanie na poufność komunikacji oraz innych praw podstawowych, takich jak wolność wypowiedzi.

Z raportu Grupy wynika, że w państwach członkowskich istnieją poważne rozbieżności co do przechowywania danych o ruchu usług internetowych, w tym jeśli chodzi o kategorie przechwytywanych danych i okresy ich przechowywania. Grupa dostrzega jednocześnie, że większą harmonizacją cechuje się praktyka przechwytywania danych telefonicznych, niż internetowych.

Grupa Robocza Art. 29 uznała, że postanowienia dyrektywy 2006/24/WE nie są wdrażane na poziomie krajowym właściwie. Grupa doszła m.in. do wniosku, że państwa członkowskie postanowiły tak interpretować jej przepisy, że przyjmując dyrektywę o retencji danych prawodawca unijny pozostawił państwom członkowskim zostawić do swobodnej decyzji zakres stosowania przepisów o ochronie prywatności i danych osobowych - przykładowo niektóre państwa uznały, że przyjmując dyrektywę o retencji danych prawodawca unijny odstąpił od przewidzianego w art. 6 ust. 1 dyrektywy 2002/58/WE obowiązku usuwania danych o ruchu po zakończeniu komunikacji elektronicznej lub dał mandat do dowolnego przetwarzania danych, co do których art. 6 ust. 2 wspomnianej dyrektywy dopuszcza ich przetwarzanie dla celów retencji danych (chodzi o dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich). W tym miejscu Grupa Robocza przychyla się do interpretacji wyrażonych m.in. przez Trybunał Sprawiedliwości (por. tezy Trybunału w orzeczeniu, o którym w tekście Retencja danych: oddalenie skargi w sprawie C-301/06, polska transpozycja dyrektywy).

Grupa zauważyła, że stopień ochrony przetwarzanych przez przedsiębiorstwa telekomunikacyjne danych telekomunikacyjnych (danych o ruchu) różni się w zależności od ich wielkości, stosowane środki bezpieczeństwa nie zawsze są odpowiednie do celów, tj. do ochrony danych wrażliwych. Okazało się również, że procedury przekazywania przez przedsiębiorstwa danych uprawnionym organom władzy (Law Enforcement Agencies - LEAs) nie zawsze są sharmonizowane. Państwa członkowskie nie wywiązują się z obowiązku przekazywania Komisji informacji statystycznych, dotyczących wykorzystywania przepisów dyrektywy o retencji danych. Brak takich danych utrudnia w efekcie sensowną ocenę tego, czy dyrektywa osiągnęła swój cel (por. również Informacje na temat stosowania kontroli operacyjnej powinny być udostępniane społeczeństwu).

Grupa Robocza postanowiła przedstawić Komisji następujące zalecenia, których celem jest zwiększenie harmonizacji w sferze retencji danych: Należy m.in. wyczerpująco określić wykaz danych o ruchu, które mają być obowiązkowo zatrzymywane (co oznaczałoby, że dyrektywa o retencji danych nie dopuszczałaby możliwości interpretacji rozszerzającej takiego katalogu). Należy ograniczyć okres, w jakim dane o ruchu można przechowywać (dziś dyrektywa mówi o czasie od 6 miesięcy do 24 miesięcy - Grupa postuluje wprowadzenie jednego, krótszego okresu przechowywania, ale dla wszystkich państw członkowskich, by nie dać tu zbytniego, swobodnego wyboru). Należy również sharmonizować procedury przekazywania danych organom uprawnionym; takie procedury powinny ujednolicić m.in. stosowanie technicznych środków bezpieczeństwa danych, ale również pozwalać na gromadzenie informacji statystycznych na temat wykorzystywania przez organy publiczne przechwyconych danych o ruchu. Jednym z wniosków jest też to, że doprecyzowania wymaga pojęcie "poważne przestępstwo" (przecież dyrektywa o retencji danych miała być wykorzystywania właśnie do walki z poważnymi przestępstwami, a nie z dowolnymi). Powinien być również obowiązek ujawniania wszystkich podmiotów, które mają dostęp do gromadzonych i przechowywanych danych o ruchu...

Przeczytaj również:

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>