Prawo telekomunikacji elektronicznej, nad którego projektem rozpoczyna dzisiaj pracę sejmowa komisja cyfryzacji, innowacyjności i nowoczesnych technologii, zamierza znacząco rozszerzyć zakres danych, do których w Polsce mają dostęp służby bez kontroli sądowej.
Będą je musieli przechowywać nie tylko operatorzy telekomunikacyjni, lecz także przedsiębiorcy komunikacji elektronicznej, np. dostawcy usług e-mail i komunikatorów. Poza danymi lokalizacyjnymi, czasem połączeń i informacjami, skąd dokąd przesyłano wiadomości, dojdą informacje identyfikujące użytkownika w sieci (np. numer IP). Zmiany te zapisano w projekcie, choć sam rząd ma pełną świadomość, że te przepisy będą niezgodne z prawem unijnym, co wprost wynika z jednego ze stanowisk przesłanych do Sejmu.
Równie dużą konsternację budzi art. 43 projektu, który nakłada na usługodawców internetowych obowiązek „zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania” pozwalających służbom na dostęp do „komunikatów elektronicznych przesyłanych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej” (patrz: infografika). Firmy będą musiały zapewnić wspomniany dostęp w ciągu 24 godzin od zgłoszenia zapotrzebowania przez policję, CBA, KAS, ABW i inne służby. Mają być do tego gotowe od dnia rozpoczęcia działalności telekomunikacyjnej lub świadczenia nowej usługi.
Tylko za zgodą sądu
Wspomniany przepis budzi konsternację wśród prawników.
- zwraca uwagę dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Wspomniana ustawa o policji (t.j. Dz.U. z 2021 r. poz. 1882 ze zm.) w art. 19 ust. 12 nakazuje przedsiębiorcom telekomunikacyjnym oraz usługodawcom świadczącym usługi elektroniczne zapewnienie na własny koszt warunków technicznych i organizacyjnych umożliwiających prowadzenie przez policję kontroli operacyjnej. Ten przepis jest o tyle bardziej precyzyjny od projektowanego, że mówi wprost o kontroli operacyjnej, czyli takiej, która może się odbywać za zgodą sądu. Ten przewidywany w nowej ustawie nie zawiera już tego uszczegółowienia. Stąd wspomniana konsternacja.
Każdy z zapytanych przez nas prawników uważa jednak, że nowej regulacji nie można traktować jak odrębnej podstawy przyznającej służbom dostęp do naszych e-maili i wiadomości przesyłanych komunikatorami.
- zaznacza Krzysztof Witek, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy.
- dodaje.
Po co ten przepis?
Także minister cyfryzacji, który przygotował projekt, przyznaje, że „nie dokonuje zmian proceduralnych w zakresie kwestii udostępniania danych uprawnionym podmiotom”. Po co więc znalazły się one w projekcie?
- wyjaśnia Monika Dębkowska z biura ministra cyfryzacji.
Prawnicy zwracają uwagę, że dużo będzie zależeć od tego, jak nowe regulacje będą interpretowane przez same służby i przedsiębiorców telekomunikacyjnych.
- mówi Wojciech Klicki, prawnik z Fundacji Panoptykon.
Duży może więcej
Problemów jest dużo więcej. Jak choćby to, od kogo służby będą mogły zażądać dostępu do przesyłanych wiadomości. Nie ma wątpliwości, że od firm mających w Polsce siedzibę. Co jednak ze światowymi potentatami, takimi jak Google i Meta?
- ocenia dr Paweł Litwiński.
Zdaniem dr. Łukasza Olejnika, niezależnego badacza i konsultanta prywatności, autora książki „Filozofia cyberbezpieczeństwa”, może to się wręcz niekorzystnie odbić na polskich firmach.
- zauważa ekspert.
Kompletnie nie wiadomo, co zrobić w przypadku szyfrowanych usług komunikacji elektronicznej, dajmy na to poczty dostarczanej przez Proton Mail i komunikator Signal.
- podkreśla Wojciech Klicki.
Przy literalnej wykładni firmy musiałyby wręcz wbudować w swe usługi backdoory dostępne dla służb, co z kolei podważałoby sens świadczonych przez nie usług.
- ironizuje dr Łukasz Olejnik.
Teoretycznie przepis obejmie wszystkie firmy, które świadczą usługi w Polsce. W praktyce będzie nieegzekwowalny wobec tych mających siedzibę za granicą.
