Dozwolony haking w działaniach służb ochrony prawa

Podobne dokumenty
Kontrola operacyjna w aspekcie ewolucji środków techniki i zmiany form korespondencji

Druk nr 2915 Warszawa, 31 marca 2010 r.

Stowarzyszenie im. Prof. Zbigniewa Hołdu Konstytucyjny Turniej Sądowy 2016 KAZUS 1

Czynności pozaprocesowe, lecz praworządne. Oparte na osobowych źródłach informacji lub środkach technicznych

USTAWA z dnia 4 lutego 2011 r. o zmianie ustawy Kodeks postępowania karnego oraz niektórych innych ustaw 1)

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

#antyterrorystyczna #obywatele_radzą

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Warszawa, dnia 21 lipca 2016 r. Poz. 1076

Czynności operacyjno-rozpoznawcze. Dorota Czerwińska Katedra Postępowania karnego

Zagadnienia związane z czynnościami operacyjnymi Policji oraz innych służb

SENAT RZECZYPOSPOLITEJ POLSKIEJ IX KADENCJA

- o zmianie ustawy o Policji oraz niektórych innych ustaw wraz z projektem tej ustawy.

Założenia projektu ustawy o zmianie niektórych ustaw, w związku z pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych. Warszawa, maj 2012 r.

Warszawa, 12 października 2017 r. Szanowny Pan Zbigniew Minda Dyrektor Departamentu Rozwoju Rynku Finansowego Ministerstwo Finansów

o poselskim projekcie ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw (druk nr 154).

Spis treści Autorzy Wykaz skrótów Wykaz literatury

SENAT RZECZYPOSPOLITEJ POLSKIEJ. Warszawa, dnia 8 maja 2014 r. Druk nr 639

Zakres czynności operacyjno-rozpoznawczych oraz formy kontroli nad nimi

Problem naruszenia miru domowego w związku z zarządzeniem kontroli operacyjnej

Kontrola operacyjna a ochrona praw jednostki

;1?.-Q.,.r:f4-Q_Lk.J-{_ l

Warszawa, dnia 19 lipca 2016 r. Poz. 1058

PRAWO DO PRYWATNOŚCI I OCHRONA DANYCH OSOBOWYCH PODSTAWOWE ZASADY. Szkolenie dla sekcji sądownictwa międzynarodowego Kliniki Prawa UW 14 XI 2009 r.

PRZEMIANY W POLSKIM SEKTORZE POCZTOWYM Łódź, 09 grudnia 2015 r.

APEL Nr 6/15/P-VII PREZYDIUM NACZELNEJ RADY LEKARSKIEJ z dnia 18 września 2015 r.

o zmianie ustawy o Policji oraz niektórych innych ustaw.

W Biurze Rzecznika Praw Obywatelskich zostały przeanalizowane obowiązujące. przepisy normujące zasady porozumiewania się podejrzanego i oskarżonego

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

- o zmianie ustawy o Policji oraz niektórych innych ustaw.

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

W ostatnim czasie środki masowego przekazu donoszą o licznych inicjatywach

22. Terroryzm analiza i cechy zjawiska (ujęcie historyczne i współczesne)

NACZELNA RADA ADWOKACKA 16, Warszawa tel , Ol, fax

Warszawa, dnia 13 lutego 2017 r. BAS-WASGiPU-164/17. Pan Poseł Sławomir Jan Piechota Przewodniczący Komisji do Spraw Petycji. I. Treść i cel petycji

OPINIA AMICUS CURIAE

OPINIA NACZELNEJ RADY ADWOKACKIEJ DO SENACKIEGO PROJEKTU USTAWY O ZMIANIE USTAWY O POLICJI ORAZ NIEKTÓRYCH INNYCH USTAW (DRUK SENACKI NR 967)

Zarządzenie Nr 235/2009 Wójta Gminy Postomino z dnia 13 października 2009 r.

Uwagi Fundacji Panoptykon 1 w sprawie projektu ustawy o zmianie ustawy o nadzorze nad rynkiem finansowym oraz niektórych innych ustaw 2

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

ZARZĄDZENIE Nr 20/2011

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Warszawa, dnia 10 września 2013 r. Poz ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 30 lipca 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa & \ - o M '

Pan Marek Kuchciński Marszałek Sejmu. Szanowny Panie Marszałku

ROZPORZĄDZENIE RADY (EURATOM, WE) NR 2185/96. z dnia 11 listopada 1996 r.

Spis treści. Wykaz ważniejszych skrótów Wstęp... 19

Warszawa, marca 2014 roku. RZECZPOSPOLITA POLSKA / Rzecznik Praw Dziecka. Marek Michalak

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Ochrona danych osobowych w praktyce

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Ministerstwo Spraw Wewnętrznych i Administracji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 25 sierpnia 2011 r.

4Tel Partner Sp. z o.o.

Program ochrony cyberprzestrzeni RP założenia

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Opinia Fundacji Panoptykon 1 w sprawie projektu ustawy 2 dotyczącej dostępu uprawnionych podmiotów do danych telekomunikacyjnych

Regulamin - Prymus.info

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Polityka bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

USTAWA z dnia 2013 r. o zmianie Konstytucji Rzeczypospolitej Polskiej

Mirosław Jeziorski, Krzysztof Płaska IPN

Granice art. 19 ust. 6 ustawy o Policji. Prof. UMK, dr hab. Arkadiusz Lach Katedra Postępowania Karnego UMK

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Warszawa, dnia 30 maja 2018 r. Poz. 1035

Projekt U S T AWA. z dnia

Kontrola operacyjna. Jacek Korycki

PARLAMENT EUROPEJSKI Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Przemysłu, Badań Naukowych i Energii

ZARZĄDZENIE NR 242 KOMENDANTA GŁÓWNEGO POLICJI

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Małopolski Instytut Samorządy Terytorialnego i Administracji ul. Szlak 73a RELACJA

ZARZĄDZENIE NR 54 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 21 lipca 2015 r.

PARLAMENT EUROPEJSKI Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

OCHRONA DANYCH OSOBOWYCH W CENTRALNYM BIURZE ANTYKORUPCYJNYM. Wydział Ochrony Informacji Departamentu Ochrony CBA

Druk nr 4355 Warszawa, 10 czerwca 2011 r.

OPINIA o projekcie ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw

Rozdział I Zagadnienia ogólne


GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 25 czerwca 2010 r. DOLiS /10

PARTNER.

POLITYKA PRYWATNOŚCI. Postanowienia Ogólne

Warszawa, dnia 14 sierpnia 2014 r. Poz. 53

Dowodowe czynności poszukiwawcze. Mgr Paulina Ogorzałek

UCHWAŁA Z DNIA 19 LUTEGO 2003 R. I KZP 51/02

- o zmianie ustawy o Policji oraz niektórych innych ustaw (druk nr 154).

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Ochrona Informacji i innych aktywów Zamawiającego

Opinia do ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw. (druk nr 672)

Polityka Prywatności

Warszawa, 13 czerwca 2012 r. Szanowny Pan Jacek Cichocki Minister Spraw Wewnętrznych

Warsz:awa, Aleje Ujazdowskie 41lok. 2 tellfax: , ;33 NIP:

UZASADNIENIE. w oświadczeniu lustracyjnym informacji o pracy lub służbie w organach

ZAŁĄCZNIK. wniosku dotyczącego DECYZJI RADY

Wniosek. Rzecznika Praw Obywatelskich. Na podstawie art. 191 ust. 1 pkt 1 Konstytucji Rzeczypospolitej Polskiej z dnia 2

Transkrypt:

Marzec 2017 BRIEF PROGRAMOWY INSTYTUTU KOŚCIUSZKI Paweł Opitek Dozwolony haking w działaniach służb ochrony prawa autor Paweł Opitek doktor nauk prawnych, ekspert Instytutu Kościuszki, prokurator Prokuratury Rejonowej Kraków- Podgórze, członek Polskiego Towarzystwa Kryminalistycznego i zespołu Blockchain i kryptowaluty przy Ministerstwie Cyfryzacji. Termin haking nie posiada definicji legalnej w ustawodawstwie polskim. Pojęciu temu przypisuje się nieuprawniony dostęp do danych cyfrowych przetwarzanych w cyberprzestrzeni poprzez naruszenie zabezpieczeń chroniących informacje lub system teleinformatyczny przed nieautoryzowanym dostępem. Co do zasady, działanie takie jest penalizowane w art. 267 Kodeksu karnego. Sformułowanie legalny haking nie funkcjonuje natomiast ani w prawie, ani w polskiej literaturze prawniczej. W znaczeniu, jakie nadaje się mu w systemie anglosaskim, lawful hacking dotyczy mających umocowanie w prawie, a przynajmniej relewantnych dla prawa karnego, działań organów państwowych (służb), które wykorzystują narzędzia i metody stosowane przez hakerów celem przeciwdziałania, wykrywania i ścigania przestępstw. Poszukując podobnych instytucji w ustawodawstwie krajowym, w niniejszym opracowaniu odwołano się do szerokiego ujęcia hakingu, jako ingerencji przez osobę trzecią w oprogramowanie komputera w celu modyfikowania i dostosowywania go do własnych celów. Lawful hacking wzbudza wiele kontrowersji na świecie, czego przykładem jest spór prawny z 2016 roku pomiędzy Federalnym Biurem Śledczym Stanów Zjednoczonych, a firmą Apple: agenci FBI zażądali od firmy przełamania zabezpieczeń iphone 5c i dostępu do danych urządzenia, którym wcześniej posługiwał się terrorysta. FBI nie było w stanie odblokować aparatu. Sprawa skończyła się w sądzie, a Apple twierdził, że usunięcie blokady byłoby bezprawne i w konsekwencji umożliwiło służbom specjalnym dostęp do każdego iphona na świecie. Ostatecznie Agencja powiadomiła sąd, że poradziła sobie z zabezpieczeniami i wycofała ze sporu. Najprawdopodobniej, system operacyjny urządzenia posiadał niedociągnięcia i można było wykorzystać powstałą w nim lukę do legalnego włamania hakerskiego. Podobne podejrzenia o stosowanie dozwolonego hakingu pojawiły się w innych sprawach prowadzonych przez FBI, na przykład zamknięcia w październiku 2013 roku działającego w ukrytym Internecie portalu Silk Road, którego właściciel, 29. letni Amerykanin Ross Ulbricht, zarabiał na nielegalnych transakcjach w zapewniającej anonimowość sieci TOR. Prawo polskie w ramach dozwolonego hakingu dopuszcza dwie grupy działań: a) kontrolę operacyjną zaliczaną do tradycyjnych czynności operacyjno-rozpoznawczych; b) nowe rozwiązania prawne wprowadzone w 2016 roku.

Paweł Opitek Dozwolony haking w działaniach służb ochrony prawa Regulacje prawne dotyczące legalnego hakingu ściśle określają zakres podmiotowy i przedmiotowy oraz formę poszczególnych działań. Ustanawiają procedurę wdrożenia czynności, czas trwania oraz nadzór nad ich realizacją. Przewidują także możliwe sposoby wykorzystania uzyskanych w ten sposób informacji lub obowiązek ich niezwłocznego zniszczenia. Kontrola operacyjna Czynności operacyjno-rozpoznawcze prowadzone są zazwyczaj przed formalnym wszczęciem procesu karnego, mają charakter niejawny i realizowane są przez służby państwowe celem zapobiegania i zwalczania najpoważniejszych przestępstw oraz ścigania ich sprawców. Czynności takie z reguły ingerują głęboko w prawa i wolności obywatelskie i dlatego regulowane są przepisami o randze ustawowej i poddane ścisłej kontroli cywilnej, co ma zapobiegać nadużyciom. Chodzi m.in. o poszanowanie art. 8 Europejskiej Konwencji Praw Człowieka (EKPC), zgodnie z którym każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i korespondencji. Prawo to nie ma co prawda charakteru absolutnego, ale ingerencja władzy państwowej w sferę prywatności musi spełniać ściśle określone warunki. Europejski Trybunał Praw Człowieka, dokonując wykładni art. 8 EKPC, stwierdził, że wyłącznie jasno i wyraźnie sformułowane ramy prawne legitymują państwo do ograniczenia praw i wolności jednostki poprzez stosowanie określonej metody inwigilacji. Na takim stanowisku stoi także Konstytucja RP. Kontrola operacyjna została uregulowana w ustawie z dnia 6 kwietnia 1990 roku o Policji i polega na: uzyskiwaniu i utrwalaniu treści rozmów prowadzonych przy użyciu środków technicznych, w tym za pomocą sieci telekomunikacyjnych; uzyskiwaniu i utrwalaniu korespondencji prowadzonej za pomocą środków komunikacji elektronicznej; uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych. Pod względem technicznym, realizacja kontroli operacyjnej opiera się na stosowaniu środków elektronicznych umożliwiających niejawne i zdalne uzyskanie dostępu do zapisu na informatycznym nośniku danych, treści transmisji danych cyfrowych i ich utrwalaniu. Warunki techniczne i organizacyjne przeprowadzenia kontroli zapewnia przedsiębiorca świadczący usługi telekomunikacyjne i informatyczne. Kontrola operacyjna może być stosowana tylko wobec zapobieżenia, wykrycia, ustalenia sprawców, a także ustalenia i utrwalenia dowodów najpoważniejszych umyślnych przestępstw ściganych z oskarżenia publicznego (m.in. zabójstwa, czynów korupcyjnych, zorganizowanej działalności przestępczej, pedofilii czy handlu narkotykami), gdy inne środki okazały się bezskuteczne albo będą nieprzydatne. Pod względem technicznym, realizacja kontroli operacyjnej opiera się na stosowaniu środków elektronicznych umożliwiających niejawne i zdalne uzyskanie dostępu do zapisu na informatycznym nośniku danych, treści transmisji danych cyfrowych i ich utrwalaniu. Kontrolę i nadzór nad czynnościami sprawuje prokuratura i sąd: mogą zostać wdrożone tylko na podstawie decyzji wydanej na pisemny wniosek właściwego organu Policji, złożony po uzyskaniu pisemnej zgody prokuratora. Jedynie w przypadku niecierpiącym zwłoki wchodzi w grę następcza zgoda sądu wydana w ciągu 5 dni od zarządzenia kontroli. Obowiązują ograniczenia czasowe: kontrolę operacyjną zarządza się na okres nie dłuższy niż 3 miesiące z możliwością jednorazowego przedłużenia na okres nie dłuższy niż kolejne 3 miesiące, jeżeli nie ustały przyczyny działania. Tylko w wyjątkowych przypadkach, gdy pojawią się nowe, istotne okoliczności dla wykrycia przestępstwa, sąd może wydać kolejne postanowienie o przedłużeniu kontroli na następujące po sobie okresy, których łączna długość nie może przekraczać 12 miesięcy. Wspomniane metody kontroli operacyjnej, oprócz Policji, mogą stosować inne służby, m.in. Agencja Bezpieczeństwa Wewnętrznego, Straż Graniczna i Służba Kontrwywiadu Wojskowego. Procedura wdrożenia środka jest podobna, jak w ustawie o Policji, przy czym stosowne uprawnienia przysługują szefowi odpowiedniej służby i dotyczą ściśle określonych czynów karalnych. 2

Brief programowy Zmiany z 2016 roku Nowe rozwiązania, nieznane wcześniej polskiemu prawu, wprowadziła ustawa z dnia 10 czerwca 2016 roku o działaniach antyterrorystycznych. Głównym celem regulacji, jak wynika z jej uzasadnienia, było zebranie w jednym akcie prawnym rozwiązań służących przygotowaniu Polski do podjęcia natychmiastowych i adekwatnych środków reagowania i usuwania skutków zagrożeń terrorystycznych. Zmienność metod wykorzystywanych przez terrorystów powoduje, że krajowe organy ochrony prawnej muszą posiadać odpowiednie instrumenty służące rozpoznawaniu i ocenie zagrożeń oraz przeciwdziałaniu ewentualnym zdarzeniom. Wymaga to zapewnienia mechanizmów współdziałania wszystkich służb zaangażowanych w działania antyterrorystyczne. Bezpośredni wpływ na ustanowione rozwiązania miały zamachy terrorystyczne we Francji i w Belgii w 2015 i 2016 roku, o czym wprost wspomniano w uzasadnieniu aktu prawnego. Zmienność metod wykorzystywanych przez terrorystów powoduje, że krajowe organy ochrony prawnej muszą posiadać odpowiednie instrumenty służące rozpoznawaniu i ocenie zagrożeń oraz przeciwdziałaniu ewentualnym zdarzeniom. W kwestii legalnego hakingu, ustawa antyterrorystyczna wprowadziła zmiany w ustawie z dnia 24 maja 2002 roku o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, konstytuując dwie formy czynności operacyjnych: tzw. ocenę bezpieczeństwa i blokadę dostępności. Wspomniane instrumenty odnoszą się do systemów informatycznych; ich celem nie jest jednak ich bezpośrednia ochrona, ale oddziaływanie na systemy w celu wykrywania i usuwania przestępstw o charakterze terrorystycznym. Instytucja oceny bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa (tzw. testów penetracyjnych) systemów teleinformatycznych albo sieci teleinformatycznych ważnych dla funkcjonowania państwa w celu identyfikacji ich podatności na zagrożenia wpływające negatywnie na integralność, poufność i dostępność tych systemów. W tym celu ABW może wytwarzać, pozyskiwać i używać zabronione przez Kodeks karny hakerskie narzędzia i programy komputerowe w celu testowania podatności struktur cyfrowych na nadużycia. Chodzi więc o uzyskiwanie dostępu do informacji poprzez przełamywanie lub omijanie elektronicznych, magnetycznych, informatycznych lub innych zabezpieczeń, bądź uzyskiwanie dostępu do systemu informatycznego. W ramach oceny bezpieczeństwa konkretnego systemu teleinformatycznego przeprowadza się czynności o różnym stopniu zaawansowania technologicznego, począwszy od wykorzystania czynników inżynierii społecznej i pasywnego zbierania informacji w Internecie związanych z funkcjonowaniem badanej architektury, przez zbieranie takich informacji w samym systemie (dotyczących na przykład enumeracji usług, portów, wykrywaniu urządzeń pośredniczących, wykrywaniu systemów IDS/IPS oraz zapór ogniowych), aż po analizę odporności systemu na ataki typowo hakerskie. Informacje, jakie konkretnie narzędzia używane są do lawful hacking przez instytucje rządowe, stanowią tajemnicę. Żadna ze służb na świecie nie informuje o środkach, metodach i formach realizacji ustawowych zadań. Wiadomo jednak, że działają specjalne firmy zajmujące się tworzeniem szkodliwego oprogramowania na użytek instytucji państwowych, np. specjalnych rządowych trojanów z funkcjami do wykradania haseł i udzielania zdalnego dostępu do zainfekowanego komputera. Wirusy hakerskie mogą zarządzać także kontrolą urządzeń mobilnych poprzez odczytywanie ich pozycji GPS, podsłuchiwania i rejestrowania otoczenia telefonu czy pobierania jego skrzynki kontaktowej i wykazu połączeń. Oceny bezpieczeństwa realizowane są na podstawie rocznego planu opracowanego przez Szefa ABW. Instytucje kontrolowane informuje się o planowanej kontroli, uzgadnia z nimi ramowe warunki jej przeprowadzenia w sposób najmniej ingerujący w działalność firm, a uzyskane w ten sposób dane podlegają niezwłocznemu zniszczenia po sporządzeniu raportu i zaleceń pokontrolnych. Tylko w wyjątkowych sytuacjach ocena taka może być przeprowadzona z pominięciem planu. Blokada dostępności polega na zablokowaniu dostępności do określonych danych lub usług w systemie informatycznym w celu zapobiegania, przeciwdziałania i wykrywania przestępstw o charakterze terrorystycznym oraz ścigania ich sprawców. Nabiera szczególnego znaczenia w przeciwdziałaniu organizacjom terrorystycznym, które wykorzystują Internet do

Paweł Opitek Dozwolony haking w działaniach służb ochrony prawa promowania swojej ideologii, zamieszczania instruktarzu popełniania zamachów oraz komunikowania się. Postanowienie o blokadzie wydaje sąd na wniosek Szefa ABW złożony za pisemną zgodą Prokuratora Generalnego. Jedynie w przypadkach nie cierpiących zwłoki, decyzję podejmuje Szef ABW za zgodą Prokuratora Generalnego, zwracając się niezwłocznie do sądu o jej zatwierdzenie. Wykładnia funkcjonalna omawianych przepisów prowadzi do wniosku, że Szef ABW sam także zarządzi zablokowanie podejrzanych stron po uzyskaniu zgody sądu, jeśli administrator systemu dobrowolnie nie wykona decyzji. Sąd zarządza blokadę na czas nie dłuższy niż 30 dni, który może być jednorazowo przedłużony o nie dłużej niż 3 miesiące. Podmioty państwowe uczestniczące w procedurze wydania decyzji o blokadzie mają obowiązek prowadzenia szczegółowych rejestrów dotyczących każdego przypadku zastosowania środka. Dodać należy, że dozwolony haking może mieć także procesowy charakter: Kodeks postępowania karnego przewiduje kontrolę i utrwalanie przy użyciu środków technicznych treści innych rozmów lub przekazu informacji, w tym korespondencji przesyłanej pocztą elektroniczną. Postanowienie w tym zakresie podejmuje sąd na wniosek prokuratora po wszczęciu postępowania karnego oraz spełnieniu sformułowanych w ustawie warunków. Zagrożenia praw człowieka Problematyka wykorzystania podsłuchów i innych metod pracy operacyjnej często budzi poważne wątpliwości i obawy o naruszenie podstawowych praw osoby inwigilowanej, szczególnie, gdy nie ma statusu podejrzanego lub oskarżonego w procesie karnym. Pomimo wprowadzenia różnego rodzaju kontroli i nadzoru takich działań, co jakiś czas pojawiają się doniesienia medialne o nadużyciach służb na omawianym polu. Zdaniem części organizacji i instytucji ochrony praw człowieka, wspomniane rozwiązania zagrażają prawom i wolnościom obywatelskim. Służbom zarzuca się zbyt częste stosowanie podsłuchów, nadużywanie instytucji niecierpiącej zwłoki, czy zbyt słaby nadzór sądu nad działaniami inwigilacyjnymi. Jeszcze większe zastrzeżenia dotyczyły oceny bezpieczeństwa i blokady dostępności. Pierwszemu rozwiązaniu zarzucano brak doprecyzowania rodzaju danych, jakie mogą być gromadzone na podstawie zastosowanych środków technicznych w ramach kontroli operacyjnej. Dodatkowo, uprawniony organ sam podejmuje decyzję o rodzaju narzędzia technicznego, które będzie implementowane w konkretnym postępowaniu. Rodzi to pokusę sięgania po wszelkie dostępne środki tajnej inwigilacji, na które pozwolą służbom możliwości finansowe i organizacyjne. Blokada dostępności miała zagrażać prawom i wolnościom obywatelskim, w tym m.in. ograniczać prawo do wypowiedzi gwarantowane przez art. 54 Konstytucji RP i art. 10 EKPC. Podkreślano, że zbyt ogólny charakter przesłanek pozwalających na zablokowanie Internetu, może wpływać na arbitralne stosowanie blokad i nadużywanie ich do działań wykraczających poza deklarowane cele ustawy (np. nie doprecyzowano o jaki zakres blokowania chodzi: konkretnej strony, całej witryny, czy też całej domeny internetowej). Podnoszono brak należytej kontroli sądu nad blokowaniem treści w sieci, która ogranicza się jedynie do stwierdzenia, czy istnieją podstawy do zastosowania omawianego środka bez badania jego zakresu i proporcjonalności do powstałego zagrożenia. Odnosząc się do przytoczonych zarzutów w sprawie konstrukcji środków kontroli operacyjnej w świetle (ewentualnych) zagrożeń praw człowieka zauważyć należy, że od dłuższego czasu toczy się dyskusja o pogodzeniu dwóch wartości: prywatności jednostki i spoczywającym na państwie obowiązku zapewnienia bezpieczeństwa obywatelom. Temat jest szczególnie aktualny w świetle zagrożenia terroryzmem w Europie. Jeśli nieunikniony jest rozwój technologiczny, a co za tym idzie wzrost cyberprzestępczości, to pociąga za sobą konieczność przyznania służbom specjalnym kolejnych uprawnień inwigilacyjnych. Stare i sprawdzone rozwiązania nie zawsze bowiem pasują do nowej rzeczywistości. W demokratycznym państwie prawa ważne jest natomiast, aby uprawnienia takie były proporcjonalne do występujących zagrożeń, zostały jasno i szczegółowo sprecyzowane w przepisach rangi ustawowej i podlegały ścisłej kontroli przez organy administracji cywilnej i władzy sądowej. 4

Brief programowy Nieodzowne staje się pozyskiwanie przez organy władzy publicznej informacji wrażliwych w toku kontroli operacyjnej, przy zachowaniu odpowiednich procedur i mechanizmów kontroli. Polskie rozwiązania wychodzą tym postulatom naprzeciw. W materii tej parokrotnie wypowiadał się Trybunał Konstytucyjny i nie podważał dopuszczalności stosowania kontroli operacyjnej w demokratycznym państwie prawa, jako niezbędnego mechanizmu do zwalczania przestępczości. TK stwierdzał, że w perspektywie wzrostu zagrożeń terrorystycznych, zorganizowanej przestępczości i wykorzystywania nowych technologii do popełniania przestępstw, zapewnienie bezpieczeństwa obywatelom jest coraz trudniejsze. Dlatego nieodzowne staje się pozyskiwanie przez organy władzy publicznej informacji wrażliwych w toku kontroli operacyjnej, przy zachowaniu odpowiednich procedur i mechanizmów kontroli. Zdarzyło się natomiast, że TK kwestionował szczegółowe rozwiązania dotyczące np. dostępu do materiałów zgromadzonych podczas kontroli operacyjnej prowadzonej bez zgody sądu i w tym zakresie konieczna była zmiana obowiązującego prawa. Trybunał wielokrotnie podkreślał, powołując się na art. 8 EKPC, że każdy ma prawo do poszanowania swojego życia prywatnego, a ingerencja władzy publicznej w poszanowanie tego prawa musi być proporcjonalna do zagrożenia innych wartości, ściśle określona w ustawie i poddane kontroli niezawisłej władzy sądowej. Oprócz wspomnianych już przepisów, przewidzianych jest szereg mechanizmów społecznej kontroli nad korzystaniem przez służby z przyznanych im uprawnień inwigilacyjnych. Chodzi o kompetencje kontrolne Sejmu RP (w tym Komisji do Spraw Służb Specjalnych) czy Ministra Koordynatora Służb Specjalnych. Do bardziej szczegółowych rozwiązań należy na przykład obowiązek Ministra Sprawiedliwości przedstawiania Sejmowi i Senatowi corocznej informacji na temat przetwarzania danych informatycznych oraz wyników przeprowadzonych kontroli. Instytut Kościuszki jest niezależnym, pozarządowym instytutem naukowo-badawczym (ThinkTank) o charakterze non profit, założonym w 2000 r. Misją Instytutu Kościuszki jest działanie na rzecz społeczno-gospodarczego rozwoju i bezpieczeństwa Polski jako aktywnego członka Unii Europejskiej oraz partnera sojuszu euroatlantyckiego. Instytut Kościuszki pragnie być liderem pozytywnych przemian, tworzyć i przekazywać najlepsze rozwiązania, również na rzecz sąsiadujących krajów budujących państwo prawa, społeczeństwo obywatelskie i gospodarkę wolnorynkową. Instytut Kościuszki jest organizatorem Europejskiego Forum Cyberbezpieczeństwa oraz Polskiego Forum Cyberbezpieczeństwa pierwszych w Polsce oraz jednych z nielicznych w Europie corocznych konferencji poświęconych strategicznym wyzwaniom płynącym z cyberprzestrzeni i dotyczących cyberbezpieczeństwa. Więcej: http://cybersecforum.eu/. Instytut Kościuszki jest wydawcą European Cybersecurity Journal (ECJ). ECJ to anglojęzyczny kwartalnik ekspercki poświęcony cyberbezpieczeństwu. Zawiera artykuły wiodących analityków i liderów opinii, ekskluzywne wywiady z decydentami oraz monitoring regulacji dotyczących kluczowych aspektów związanych z cyberprzestrzenią. Więcej: http://cybersecforum.eu/czym-jest-ecj/. Biuro w Krakowie: ul. Feldmana 4/9, 31-130 Kraków, Polska, tel.: +48 12 632 97 24, www.ik.org.pl, e-mail: ik@ik.org.pl. Dalsze informacje i komentarze: Joanna Świątkowska joanna.swiatkowska@ik.org.pl tel. +48 515 174 389.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres