Czeski Trybunał Konstytucyjny uchylił przepisy dot. retencji danych

Lew Republiki CzeskiejTrybunał Konstytucyjny Czeskiej Republiki (Ústavní soud) doszedł dziś do wniosku, że zaskarżone przez grupę 51 deputowanych przepisy czeskiej ustawy o komunikacji elektronicznej oraz przepisy wykonawcze do tej ustawy, są niezgodne z tamtejszą konstytucją. Zakwestionowane przepisy regulowały przekazywanie przez przedsiębiorstwa telekomunikacyjne oraz przez świadczących usługi drogą elektroniczną informacji służbom takim jak policja czy wywiad (por. retencja danych). Przepisy te utraciły moc obowiązywania w momencie opublikowania wyroku, co oznacza, że służby nie mogą tam teraz pytać o gromadzone informacje o użytkownikach systemów i sieci. To już kolejny trybunał konstytucyjny, który w państwach Unii Europejskiej kwestionuje implementacje europejskiej dyrektywy retencyjnej 2006/24/WE.

Wcześniej takie wyroki wydano w Bułgarii (chodzi o wyrok tamtejszego Naczelnego Sądu Administracyjnego, o którym pisałem w tekście Teraz Niemiecki Federalny Trybunał Konstytucyjny przyjrzy się retencji danych, ale w tym kontekście porównaj również ETPCz o inwigilacji obywateli, prawach człowieka i bułgarskiej ustawie) i Rumunii (por. Rumuński Trybunał Konstytucyjny uznał, że tamtejsza ustawa o retencji danych jest niezgodna z konstytucją) oraz w Niemczech (por. Niemieckie przepisy o retencji danych niezgodne z tamtejszą konstytucją). W Polsce Rzecznik Praw Obywatelskich rozważa podjęcie interwencji w sprawie przepisów retencyjnych (por. Rzecznik Praw Obywatelskich o retencji danych w Polsce), zaś grupa posłów już wniosła do TK o uznanie niekonstytucyjności przepisów ustawy o Policji, ustawy o Straży Granicznej, ustawy o kontroli skarbowej, ustawy o Żandarmerii Wojskowej, ustawy o ABW oraz AW, ustawy o CBA, ustawy o SWW oraz SKW z Konstytucją RP oraz art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności oraz o stwierdzenie niezgodności przepisów ustawy Prawo telekomunikacyjne w zw. z przepisami ustawy o Policji, ustawy o Straży Granicznej, ustawy o kontroli skarbowej, ustawy o Żandarmerii Wojskowej, ustawy o ABW oraz AW, ustawy o CBA, ustawy o SKW oraz SWW z Konstytucją Rzeczypospolitej Polskiej

Wyrok Trybunału Konstytucyjnego Republiki Czeskiej z dnia 31 marca 2011 r., sygn. akt TZ 22/11 opublikowano (wraz z uzasadnieniem) na stronach Trybunału. Informacje na temat wyroku przekazała już PAP: Czechy.Trybunał Konstytucyjny za prywatnością użytkowników telefonów. Sięgnijmy jednak do źródła.

Zgodnie z opublikowanymi materiałami Trybunału uznał, że kwestionowane przepisy (§ 97 ust 3 i 4 ustawy o komunikacji elektronicznej) wykraczają poza konstytucyjne ramy, w ten sposób, że pozostają w sprzeczności z konstytucyjnymi wymogami dotyczącymi ograniczenia prawa do prywatności, naruszają prawo do autonomii informacyjnej w rozumieniu artykułu 10 ustęp 3 i artykułu 13 Karty w związku z naruszeniem zasady proporcjonalności.

Gdyby ktoś poszukiwał Konstytucji Republiki Czeskiej, to opublikowana jest na stronach tamtejszego Parlamentu, ale równie ważna jest czeska LISTINA ZÁKLADNÍCH PRÁV A SVOBOD, czyli Karta Praw i Wolności, która przywoływana jest w art 3 Konstytucji.

Przywołane wyżej art. 10 i art. 13 Karty brzmią:

(...)
Článek 10
(1) Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno.
(2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.
(3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
(...)
Článek 13
Nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.
(...)

Interesujące nas przepisy można by zatem przetłumaczyć tak, że "każdy ma prawo do ochrony przed nieuprawnionym gromadzeniem, publikowaniem lub innym nadużyciem danych dotyczących jego osoby" oraz - w pewnym uproszczeniu - "nikt nie może naruszać tajemnicy korespondencji i innych tajemnic prawnie chronionych z wyjątkiem przypadków i sposobów przewidzianych przez prawo" (tu Karta wymienia dokumenty, zapisy, przechowywane prywatnie, przesyłane pocztą lub w inny sposób, wspomina o zapewnieniu poufności wiadomości przesyłanych telefonicznie, za pomocą telegrafu i w sposób podobny).

Oceniana ustawa to zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).

Zakwestionowane przepisy § 97 ust 3 i 4 ustawy o komunikacji elektronicznej brzmią:

(...)
(3) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací. Provozní a lokalizační údaje týkající se neúspěšných pokusů o volání je právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinna uchovávat pouze tehdy, jsou-li tyto údaje vytvářeny nebo zpracovávány a zároveň uchovávány nebo zaznamenávány. Právnická nebo fyzická osoba, která provozní a lokalizační údaje podle věty první a druhé uchovává, je na požádání povinna je bezodkladně poskytnout orgánům oprávněným k jejich vyžádání podle zvláštního právního předpisu. Současně je tato osoba povinna zajistit, aby s údaji podle věty první a druhé nebyl uchováván obsah zpráv. Doba uchovávání těchto provozních a lokalizačních údajů nesmí být kratší než 6 měsíců a delší než 12 měsíců. Po uplynutí této doby je osoba, která údaje podle věty první a druhé uchovává, povinna je zlikvidovat, pokud nebyly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního předpisu nebo tento zákon nestanoví jinak (§ 90).

(4) Rozsah provozních a lokalizačních údajů uchovávaných podle odstavce 3, dobu jejich uchovávání podle odstavce 3 a formu a způsob jejich předávání orgánům oprávněným k jejich využívání a dobu uchovávání a způsob likvidace údajů, které byly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního právního předpisu, stanoví prováděcí právní předpis.
(...)

Czyli chodzi o to, że czeski ustawodawca zdecydował, że każda osoba prawna lub fizyczna, która udostępnia publiczne sieci łączności lub świadczy publicznie dostępne usługi łączności elektronicznej jest zobowiązana do "zachowania ruchu i lokalizacji" (to jest właśnie retencja) generowanych lub przetwarzanych danych w ramach udostępniania publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej. Dane o ruchu i lokalizacji, dane odnoszące się do nieudanych prób połączenia, powinny być gromadzone przez te osoby jeśli dane te były generowane lub przetwarzane, przechowywane lub nagrywane "jednocześnie". Dostawcy usług powinni przekazywać gromadzone dane "w trybie natychmiastowym", na wniosek organów uprawnionych na podstawie odrębnych przepisów (służby). Poza przekazaniem danych dostawcy usług powinni również zachować "treści wiadomości". Czeski ustawodawca zdecydował, że okres przechowywania danych o ruchu i lokalizacji nie może być krótszy od 6 miesięcy i dłuższy niż 12 miesięcy. Po tym czasie dane powinny być zanonimizowane (o ile nie zostały przekazane służbom). W ustępie czwartym ww. przepisu przewidziano, że zakres danych o ruchu i lokalizacji, a także sposoby postępowania z nimi (m.in. przez służby) określają przepisy wykonawcze.

Przepisy wykonawcze to rozporządzenie č. 485/2005 Sb. o zakresie pracy, czasie i miejscu przechowywania danych, formie i sposobie ich przekazywania organom upoważnionym (o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání).

Trybunał orzekł, że w związku z niekonstytucyjnością tych przepisów wygasają one z dniem opublikowania wyroku Trybunału.

Bezpośredniej argumentacji o niezgodności z konstytucyjnym porządkiem Republiki Czeskiej zaskarżonych przepisów można poszukiwać w paragrafie 46 i kolejnych uzasadnienia (str. 19 udostępnionego dokumentu). Wśród nich znajduje się m.in. teza, że przyjęte w Czechach przepisy nie spełnia wymogów jasności i pewności prawnej, a ponieważ możliwość gromadzenia danych i "pytania" o nie przez służby nie jest (nie musi być, zdaniem ustawodawcy) związany z istnieniem uzasadnionego podejrzenia popełnienia poważnych przestępstw, to nie spełnia wymagań wynikających z drugiego etapu badania proporcjonalności, tj. wyboru środków do realizacji określonego celu, który ingeruje w prawa i wolności obywateli. Trybunał zauważył również, że przepisy nie ograniczają służb w wyborze częstotliwości pytania o dane oraz w celu, w jakim oczekują one informacji. W efekcie przepisy te są "nieprzewidywalne" (dane mają służyć do "wyjaśnienia faktów istotnych dla postępowania karnego"), nawet, jeśli wykorzystanie przechowywanych danych podlega kontroli sądowej. Trybunał również uznał, że służby nadużywają kwestionowanych przepisów do pozyskiwania danych w celu wykrywania "mniej poważnych przestępstw", chociaż ten specjalny środek, z racji tak istotnej ingerencji w sferę praw i wolności może być wykorzystywany jedynie w szczególnych przypadkach. Trybunał oceniał też przepisy dotyczące bezpieczeństwa przechowywanych danych, w szczególności procedury mające na celu zapobieganie dostępowi do tych danych osób nieuprawnionych, procedury zmierzające do ochrony integralności i poufności danych i procedury ich niszczenia. Trybunał uznał, że przepisy ustanawiające minimalne warunki takich działań są niejasne i niewłaściwe.

W swoich rozważaniach Trybunał Konstytucyjny Republiki Czeskiej odwołał się do wcześniejszych wyroków w Niemczech (wyrok z dnia 2 marca 2010 r., sygn. 1 BvR
256/08, 263/08 BvR 1, 1 BvR 586/08 - por. link na początku niniejszej notatki) w Rumuni, a także w Bułgarii.

W efekcie swoich rozważań Trybunał uznał (paragraf 53 linkowanego uzasadnienia), że zaskarżone przepisy § 97 3 i 4 ustawy nr 127/2005 Sb (č. 127/2005 Sb) o łączności elektronicznej oraz o zmianie niektórych innych ustaw, z późniejszymi zmianami, i zaskarżonego rozporządzenia nr 485/2005 Sb (č. 485/2005 Sb) nie mogą być uznane za konstytucyjne, a jak wskazano w uzasadnieniu - są wyraźnym pogwałceniem ograniczeń konstytucyjnych, ponieważ nie spełniają wymogów prawa i pozostają w sprzeczności z wymogami ograniczenia podstawowych praw do prywatności w postaci autonomii informacyjnej (cz. "práva na informační sebeurčení") w rozumieniu artykułu 10 ustęp 3 i artykułu 13 Karty, który wywodzi się z zasady proporcjonalności.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Witam.Pytanie od laika prawnego.

Czy w przypadku polskiego prawodawstwa jeśliby hipotetycznie TK wyraził takie samo stanowisko jak w Czechach to straciłyby moc przepisy ustawy hazardowej o przekazywaniu Slużbie Celnej danych od operatorów telekomunikacyjnych ?

pozdrawiam Jacek

Bardzo dobra decyzja czeskiego Trybunału

Jestem pod wrażeniem jasnej i konkretnej argumentacji. Dodatkowo zwróciłem uwagę na to, że przepisy tracą moc z chwilą ogłoszenia wyroku. Czy ktoś wie, czy jest to standard przy wyrokach czeskiego Trybunału? Przy wyrokach polskiego jestem przyzwyczajony do odraczania wejścia w życie zmian (a może to tylko wrażenie z uwagi na medialność niektórych kwestii).
Pozdrawiam!

a tymczasem w Polsce...

Warto przy okazji tej dyskusji zauważyć, że czeskie prawo o retencji danych było rewelacyjne w porównaniu z naszym, wciąż obowiązującym. Czas przechowywania danych o komunikacji był ograniczony do sześciu miesięcy, a dostęp służb wywiadowczych i policji do tych danych był uzależniony od zgody sądu. Zgodnie z celem dyrektywy 2006/24, dane były też gromadzone tylko na potrzeby prewencji antyterrorystycznej. W Polsce analogiczne dane są przechowywane przez dwa lata, udostępniane policji i służbom bez kontroli sądu czy prokuratora (często na zasadzie elektronicznego interfejsu) i wykorzystywane we wszelkich sprawach kryminalnych, a nawet procesach cywilnych (np. rozwodowych)...

Tę różnicę w podejściu do wykorzystywania danych retencyjnych pomiędzy Czechami a Polską widać doskonale na liczbach. W ubiegłym roku w Czechach dane retencyjne zostały przekazane służbom i policji przez operatorów w 87 tysiącach przypadków. W Polsce, w ubiegłym roku, ta liczba wyniosła 1 382 521 udostępnień! To porównanie - oczywiście przy uwzględnieniu różnicy w liczbie obywateli, mówi chyba samo za siebie...

Pełny komentarz Panoptykonu do czeskiego wyroku: http://www.panoptykon.org/wiadomosc/czeski-trybunal-konstytucyjny-uznal-szpiegowanie-komunikacji-za-niekonstytucyjne-w-polsce-

Pytanie praktyczne dot. retencji

przemyslaw.zegarek's picture

Pytam ponieważ do tej pory nigdzie nie napisano wprost, jakie konkretnie dane podlegają retencji? Czy w praktyce oznacza to jak na niemieckim filmie z Youtube "du bist terrorist", który był tu jakiś czas był tu linkowany, że służby specjalne mają dostęp do naszych maili, treści rozmów z komunikatorów internetowych, innymi słowy CAŁEJ naszej aktywności w sieci czy też jest tak, że wyolbrzymia się kwestię zakresu danych i tak naprawdę do sprawdzenia jest np. miejsce logowania, IP i inne podstawowe informacje. Jak jest naprawdę?

Przechowywane są tylko

Przechowywane są tylko podstawowe dane. Może to właśnie dlatego Czesi pytali o tyle mniej razy bo mogli wszystko wyczytać?

Naprawdę to jest tak, że

Naprawdę to jest tak, że przechowywane są tylko podstawowe dane. Kiedyś był taki pomysł żeby przechowywać wszystko przez 2 lata ale nie przeszedł. W związku z czym żadne emaile, rozmowy smsy itd nie są przechowywane.

Niby tak a jednak

hub_lan's picture

Niby tak a jednak niekoniecznie.... jak pokazują przykłady (choćby tylko te medialne) dochodzeń i procesów w których takie dane są wykorzystywane prócz treści sms-ów czasów nawiązania i trwania połączenia czasów prób nawiązania połączenia i powodów dla których do nawiązania nie doszło (zajętość linii, brak odebrania, poza zasięgiem) przechowywane są dane lokalizacyjne tel. kom. o dość dużej szczegółowości (umożliwiają stwierdzenie czy ktoś był w łazience czy w pokoju) oraz bardzo wiele innych wielce interesujących danych. Tak przy okazji dostawcy internetu (szczególnie wobec klientów nie posiadających publicznego IP) logują wszystkie sesje wraz z wieloma ciekawymi informacjami.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>