Projekt z dnia 28 maja 2012 r. Założenia projektu ustawy o zmianie niektórych ustaw, w związku z pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych. Warszawa, maj 2012 r.
1. Cel projektowanej regulacji. Podstawowym aktem prawnym regulującym kwestię retencji danych w Polsce jest ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.). Prawo telekomunikacyjne chroni jako tajemnicę telekomunikacyjną zarówno treści przekazywane przy pomocy środków łączności elektronicznej (telefonów i Internetu), jak i dane telekomunikacyjne: dane telefonów (komputerów) i abonentów, wykazy połączeń (tzw. bilingi) oraz dane dotyczące lokalizacji telefonów komórkowych. Dostęp organów ścigania do treści połączeń (podsłuchy rozmów telefonicznych, odczytywanie sms-ów i e-maili), czyli tzw. kontrola operacyjna, jest traktowany przez prawo jako głęboka ingerencja w prywatność obywateli i obwarowany poważnymi ograniczeniami. Dostęp taki jest możliwy tylko w przypadku ścigania niektórych przestępstw, po wyczerpaniu innych środków oraz wymaga zgody prokuratora i sądu. Inaczej wygląda dostęp do danych telekomunikacyjnych operatorzy telekomunikacyjni są obowiązani udostępnić organom ścigania dane telekomunikacyjne na żądanie, w związku z realizacją przez te organy ich zadań ustawowych. W Polsce jest wyjątkowo dużo służb i organów uprawnionych do dostępu do danych telekomunikacyjnych Policja, Straż Graniczna, Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, Centralne Biuro Antykorupcyjne, Wywiad Skarbowy, Służba Celna, Żandarmeria Wojskowa, Prokuratura, Sądy. Sytuacja dotycząca pozyskiwania i wykorzystywania danych telekomunikacyjnych spotyka się z krytyką, zarówno ze strony opinii publicznej jak i licznych organizacji społecznych jako nieuzasadnione i nieproporcjonalne ograniczenie prawa do prywatności i ochrony danych osobowych obywateli. Według informacji przekazanych przez Urząd Komunikacji Elektronicznej w 2012 r. operatorzy udostępnili dane telekomunikacyjne uprawnionym organom w 1 856 888 przypadkach. Wprawdzie duża część tych danych dotyczyła informacji o abonentach, czyli ich udostępnienie było odpowiednikiem sprawdzenia w książce telefonicznej, a w wielu przypadkach jedno ustalenie wymaga kilku lub nawet kilkudziesięciu sprawdzeń, ale biorąc pod uwagę wynikającą z informacji UKE skalę pozyskiwania danych telekomunikacyjnych postulat wprowadzenia w tym zakresie ograniczeń i zwiększenia kontroli jest uzasadniony. Wskazane byłoby również takie rozszerzenie informacji zawartych w statystykach przekazywanych opinii publicznej, aby zawierały one liczbę osób, których dane były pozyskiwane, a nie tylko liczbę wniosków o udostępnienie danych, ponieważ dopiero liczba 2
takich osób, obecnie niemożliwa do ustalenia, będzie dawała rzeczywisty obraz skali ingerencji organów państwa w prywatność obywateli. Celem projektowanej ustawy będzie ograniczenie ingerencji organów państwowych w prywatność poszczególnych osób oraz wzmocnienie mechanizmów kontroli nad pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych przez uprawnione służby i organy. Przewiduje się ograniczenie możliwości pozyskiwania i wykorzystywania danych telekomunikacyjnych wyłącznie do ścigania poważnych przestępstw (określanych przez górną granicę zagrożenia karą pozbawienia wolności), obowiązek niszczenia zbędnych danych, powołanie instytucji pełnomocnika ds. ochrony danych osobowych i telekomunikacyjnych oraz zwiększenie nadzoru prokuratury. 2. Zakres projektowanych przepisów. Projekt ustawy zakłada zmiany przepisów w następujących ustawach: Ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U z 2010 r. nr 29 poz. 154 j.t. z późn. zm.), Ustawa z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego (Dz. U. z 2006 r. nr 104 poz. 709 z późn. zm.), Ustawa z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U z 2006 nr 104 poz. 708 z późn. zm.), Ustawa z dnia 6 kwietnia 1990 r. o Policji (Dz. U z 2007 r. nr 43 poz. 277 j.t. z późn. zm.), Ustawa z dnia 12 października 1990 r. o Straży Granicznej (Dz. U. z 2011 r. nr 116 poz. 675 j.t. z późn. zm.), Ustawa z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych. (Dz. U. z 2001 r. nr 123 poz. 1353 z późn. zm.), Ustawa z dnia 28 września 1991 r. o kontroli skarbowej (Dz. U. z 2011 r. nr 41 poz. 214 j.t.), Ustawa z dnia 27 sierpnia 2009 r. o Służbie Celnej (Dz. U. z 2009 r. nr 168 poz. 1323 z późn. zm.), Ustawa z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 1997 r. nr.89 poz. 555 z późn. zm.), Ustawa z dnia 27 lipca 2001 r. Prawo u ustroju sądów powszechnych (Dz. U. z 2001 r. nr 98, poz.1080 z późn. zm.), 3
Ustawa z dnia 21 sierpnia 1997 r. Prawo u ustroju sądów wojskowych (Dz. U. z 2007 r. nr 226, poz.1676, j.t. z późn. zm.), Ustawa z dnia 20 czerwca 1985 r. o prokuraturze (Dz. U. z 2008 r. nr 7 poz. 39, j.t. z późn. zm. ), Ustawa z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 1964 r. nr 171 poz. 1800 z późn. zm.), Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171, poz. 1800, z późn. zm.), Ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2010 r. nr 46, poz. 276, j.t. z późn. zm.). Przepisy projektowanej ustawy określać będą: 1. Utworzenie instytucji Pełnomocnika ds. ochrony danych osobowych i telekomunikacyjnych. Celem powołania instytucji pełnomocnika ds. ochrony danych osobowych i telekomunikacyjnych w strukturach podmiotów uprawnionych do pozyskiwania i wykorzystywania danych retencyjnych jest zagwarantowanie odpowiedniego poziomu nadzoru i kontroli pozyskiwania i wykorzystywania danych telekomunikacyjnych oraz danych osobowych. Pełnomocnik powinien: mieć gwarancję nieusuwalności z pracy i z pełnionej funkcji bez zgody organu nadzorującego daną instytucję; przedstawiać organowi nadzorującemu za pośrednictwem kierownika organu sprawozdanie o stanie ochrony danych telekomunikacyjnych i danych osobowych, uwzględniające informacje o wszelkich naruszeniach w tym zakresie. Sprawozdanie powinno przedstawiać dane statystyczne dotyczące wykorzystania tych danych. Sprawozdanie powinno zostać przekazane również do właściwej komisji sejmowej, GIODO oraz Prezesowi UKE, dla którego obok sprawozdań przekazywanych przez przedsiębiorców telekomunikacyjnych stanowiłoby materiał statystyczny będący podstawą do sporządzania informacji dla Komisji Europejskiej; 4
otrzymywać informacje o wszystkich przypadkach pozyskiwania i wykorzystywania danych telekomunikacyjnych przez podmiot uprawniony, w strukturach którego funkcjonuje; posiadać odpowiednie kompetencje kontrolne w przedmiocie przetwarzania danych telekomunikacyjnych i danych osobowych: w ramach nadzoru pełnomocnik prowadzi rzetelną, obiektywną i niezależną kontrolę prawidłowości pozyskiwania i wykorzystywania danych, a w szczególności ich przechowywania, weryfikacji i usuwania danych zbędnych. W ramach kontroli pełnomocnik w szczególności ma prawo do wglądu, do wszelkich dokumentów związanych z kontrolą, swobodnego wstępu do pomieszczeń i obiektów kontrolowanej jednostki organizacyjnej, żądania pisemnych wyjaśnień. W przypadku stwierdzenia naruszenia przepisów pełnomocnik będzie zobowiązany do podjęcia działań zmierzających do wyjaśnienia okoliczności tego naruszenia i niezwłocznego poinformowania organu nadzorującego oraz kierownika jednostki, w której został powołany. W przypadku podejrzenia popełnienia przestępstwa, pełnomocnik będzie zobowiązany poinformować Prokuraturę. Treść przedmiotowego przepisu, w tym zakres uprawnień i zasad powoływania i odwoływania pełnomocnika, może zostać opracowana na podstawie art. 22b ustawy o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2006 r. Nr 104, poz. 708 z późn zm.). 2. Ograniczenie pozyskiwania i wykorzystywania danych podlegających retencji. Dane telekomunikacyjne będą mogły być pozyskiwane i wykorzystywane przez uprawnione służby, Prokuraturę i sądy wyłącznie dla potrzeb postępowań w sprawie ścigania przestępstw zagrożonych karą pozbawienia wolności, której górna granica wynosi co najmniej 3 lata oraz postępowań o ściganie przestępstw popełnionych przy użyciu środków komunikacji elektronicznej. Wyjątek od tych zasad dotyczy pozyskiwania i wykorzystywania danych telekomunikacyjnych w celu ścigania przestępstw celnych. Przemawiają za tym: potrzeba ochrony interesów finansowych państwa, wysokie zagrożenie grzywną za popełnienie tych przestępstw oraz specyfika postępowań w tych sprawach prowadzonych przez służby celne. Dowód z pozyskanych danych telekomunikacyjnych w sprawach innych niż o przestępstwa zagrożone karą, których górna granica wynosi co najmniej 3 lata 5
pozbawienia wolności będzie mógł być przeprowadzony przed sądem tylko wówczas, gdy ustalenie określonej okoliczności faktycznej innymi dowodami będzie niemożliwe. Służby posiadające uprawnienia do stosowania kontroli operacyjnej będą mogły pozyskiwać i wykorzystywać dane telekomunikacyjne w przypadku ścigania tych przestępstw, w odniesieniu do których mogą ubiegać się o zgodę na zastosowanie kontroli operacyjnej. 3. Zwiększenie nadzoru Prokuratury Podmioty uprawnione do pozyskiwania i wykorzystywania danych telekomunikacyjnych przekazując materiał dowodowy zawierający dane telekomunikacyjne właściwemu prokuratorowi, powinny być obowiązane do poinformowania go o wszystkich przypadkach wystąpienia o dane telekomunikacyjne w sprawie, w której uzyskano dane telekomunikacyjne podlegające przekazaniu. Nadzór prokuratora nad zgodnością z prawem pozyskiwania i wykorzystywania danych telekomunikacyjnych realizowany byłby w szczególności poprzez merytoryczną i efektywną kontrolę podstaw faktycznych przeprowadzonych czynności. W tym celu prokurator dokonywałby analizy i oceny, uwzględniając w szczególności faktyczną i prawną podstawę do pozyskania i wykorzystywania tych danych, zakres i sposób przeprowadzenia tych czynności, okres przez jaki mają być stosowane, terminowość zarządzenia i wykonania zarządzenia o zniszczeniu materiałów. 4. Wprowadzenie obowiązku niszczenia danych zbędnych Proponuje się wprowadzenie w ustawach określających kompetencje organów i służb uprawnionych do pozyskiwania i wykorzystywania danych telekomunikacyjnych w tych, w których jeszcze nie przewidziano takiej regulacji obowiązku niezwłocznego niszczenia pozyskanych danych telekomunikacyjnych, które nie zawierają dowodów pozwalających na wszczęcie postępowania karnego, informacji mających znaczenie dla postępowania lub informacji istotnych dla bezpieczeństwa państwa. 6
5. Wprowadzenie obowiązku sprawozdawczego Niezbędne jest nałożenie na wszystkie podmioty uprawnione do pozyskiwania i wykorzystywania danych telekomunikacyjnych obowiązku sprawozdawczego w zakresie opracowywania i podawania do publicznej wiadomości do końca stycznia danego roku statystyk przetwarzanych danych telekomunikacyjnych. Zakres i sposób przekazywania statystyk powinien być określony w rozporządzeniu Prezesa Rady Ministrów. Statystyki obejmowałyby: liczbę przypadków (rozumianych jako liczbę numerów telefonicznych lub numerów IP), w których uprawnione organy uzyskiwały dane telekomunikacyjne, w rozbiciu na zapytania o ustalenie danych o połączeniach oraz zapytania o lokalizację urządzenia końcowego; liczbę przypadków, w których uprawnione organy zwracały się do przedsiębiorców telekomunikacyjnych wyłącznie o podanie danych osobowych użytkownika danego numeru telefonicznego lub adresu IP w rozbiciu na numery telefoniczne i adresy IP łączną liczbę przypadków, w których wniosek uprawnionego podmiotu nie mógł zostać zrealizowany; liczbę osób, których dane telekomunikacyjne były pozyskiwane i wykorzystywane przez uprawnione organy (z wyłączeniem ustaleń danych abonenckich). 7