Prawo telekomunikacji elektronicznej, nad którego projektem rozpoczyna dzisiaj pracę sejmowa komisja cyfryzacji, innowacyjności i nowoczesnych technologii, zamierza znacząco rozszerzyć zakres danych, do których w Polsce mają dostęp służby bez kontroli sądowej.
Będą je musieli przechowywać nie tylko operatorzy telekomunikacyjni, lecz także przedsiębiorcy komunikacji elektronicznej, np. dostawcy usług e-mail i komunikatorów. Poza danymi lokalizacyjnymi, czasem połączeń i informacjami, skąd dokąd przesyłano wiadomości, dojdą informacje identyfikujące użytkownika w sieci (np. numer IP). Zmiany te zapisano w projekcie, choć sam rząd ma pełną świadomość, że te przepisy będą niezgodne z prawem unijnym, co wprost wynika z jednego ze stanowisk przesłanych do Sejmu.
Równie dużą konsternację budzi art. 43 projektu, który nakłada na usługodawców internetowych obowiązek „zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania” pozwalających służbom na dostęp do „komunikatów elektronicznych przesyłanych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej” (patrz: infografika). Firmy będą musiały zapewnić wspomniany dostęp w ciągu 24 godzin od zgłoszenia zapotrzebowania przez policję, CBA, KAS, ABW i inne służby. Mają być do tego gotowe od dnia rozpoczęcia działalności telekomunikacyjnej lub świadczenia nowej usługi.
Tylko za zgodą sądu
Wspomniany przepis budzi konsternację wśród prawników.
Uczciwie mówiąc, nie wiem, po co go wpisano do projektu ani czemu ma służyć. Zwłaszcza że dubluje on już istniejące regulacje, które zapisano w ustawach kompetencyjnych poszczególnych służb. Żeby było śmieszniej, nie uchyla ich. Będziemy więc mieli bardzo podobne regulacje w ustawie przekrojowej, jaką ma być prawo komunikacji elektronicznej, oraz w aktach szczególnych, np. w ustawie o policji - zwraca uwagę dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Wspomniana ustawa o policji (t.j. Dz.U. z 2021 r. poz. 1882 ze zm.) w art. 19 ust. 12 nakazuje przedsiębiorcom telekomunikacyjnym oraz usługodawcom świadczącym usługi elektroniczne zapewnienie na własny koszt warunków technicznych i organizacyjnych umożliwiających prowadzenie przez policję kontroli operacyjnej. Ten przepis jest o tyle bardziej precyzyjny od projektowanego, że mówi wprost o kontroli operacyjnej, czyli takiej, która może się odbywać za zgodą sądu. Ten przewidywany w nowej ustawie nie zawiera już tego uszczegółowienia. Stąd wspomniana konsternacja.
Każdy z zapytanych przez nas prawników uważa jednak, że nowej regulacji nie można traktować jak odrębnej podstawy przyznającej służbom dostęp do naszych e-maili i wiadomości przesyłanych komunikatorami.
Moim zdaniem trzeba ją odczytywać w powiązaniu z odpowiednimi przepisami dotyczącymi kontroli operacyjnej. Aktualnie przewidują one konieczność uzyskania zgody sądu na przeprowadzenie takiej kontroli (np. art. 19 ustawy o policji czy art. 27 ustawy o ABW) - zaznacza Krzysztof Witek, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy.
Problem jednak w tym, że samemu kontrolowanemu nie przysługuje na to zażalenie. Prawo do sądu jest więc bardzo mocno ograniczone, a kontrola prawidłowości zgody sądu na kontrolę operacyjną wyłączona - dodaje.
Po co ten przepis?
Także minister cyfryzacji, który przygotował projekt, przyznaje, że „nie dokonuje zmian proceduralnych w zakresie kwestii udostępniania danych uprawnionym podmiotom”. Po co więc znalazły się one w projekcie?
Prawo komunikacji elektronicznej, podobnie jak dzisiaj prawo telekomunikacyjne, zawiera generalne przepisy regulujące kwestie zakresu udostępnianych danych i obowiązku zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania oraz wskazuje, że uszczegółowienie tych kwestii zostanie uregulowane w rozporządzeniu Rady Ministrów. Konkretyzacja obowiązków w odniesieniu do poszczególnych służb następuje natomiast w przepisach dotyczących działania tych służb. Przepisy PKE i ustaw kompetencyjnych wzajemnie się uzupełniają - wyjaśnia Monika Dębkowska z biura ministra cyfryzacji.
Prawnicy zwracają uwagę, że dużo będzie zależeć od tego, jak nowe regulacje będą interpretowane przez same służby i przedsiębiorców telekomunikacyjnych.
Duże firmy dysponujące sztabem prawników i zorientowane w przepisach bez wątpienia zażądają decyzji sądu uprawniającej do kontroli operacyjnej. Czy tak samo zachowa się mały usługodawca? Nie mam już pewności. Pozostaje mi wierzyć, że służby nie będą łamać ustaw kompetencyjnych, choć przyznaję, że choćby afera Pegasusa znacznie moje zaufanie obniżyła - mówi Wojciech Klicki, prawnik z Fundacji Panoptykon.
Duży może więcej
Problemów jest dużo więcej. Jak choćby to, od kogo służby będą mogły zażądać dostępu do przesyłanych wiadomości. Nie ma wątpliwości, że od firm mających w Polsce siedzibę. Co jednak ze światowymi potentatami, takimi jak Google i Meta?
Teoretycznie jako nakaz administracyjny przepis obejmuje wszystkie firmy, które świadczą usługi w Polsce. W praktyce będzie jednak nieegzekwowalny wobec firm mających siedzibę za granicą - ocenia dr Paweł Litwiński.
Zdaniem dr. Łukasza Olejnika, niezależnego badacza i konsultanta prywatności, autora książki „Filozofia cyberbezpieczeństwa”, może to się wręcz niekorzystnie odbić na polskich firmach.
Już dziś większość Polaków i tak korzysta z usług zagranicznych dostawców komunikatorów. Ci nie będą objęci ostrymi wymogami lub też będą niechętni do współpracy. Rykoszetem dostaną zatem polscy przedsiębiorcy, stając się niekonkurencyjni pod względem ochrony danych i prywatności. To doskonały sposób na uniemożliwienie powstawania w Polsce konkurencyjnych produktów IT - zauważa ekspert.
Kompletnie nie wiadomo, co zrobić w przypadku szyfrowanych usług komunikacji elektronicznej, dajmy na to poczty dostarczanej przez Proton Mail i komunikator Signal.
Z jednej strony nie dysponują one możliwością odszyfrowania przesyłanych komunikatów, z drugiej jednak projekt stanowi wprost, że muszą zapewnić służbom dostęp do ich zawartości - podkreśla Wojciech Klicki.
Przy literalnej wykładni firmy musiałyby wręcz wbudować w swe usługi backdoory dostępne dla służb, co z kolei podważałoby sens świadczonych przez nie usług.
Projekt obfituje w myślenie życzeniowe. Dziś większość ruchu sieciowego jest silnie szyfrowana. W wielu przypadkach dostawca usługi nie ma dostępu do treści. Czy wtedy wystarczyłoby przekazać służbom szyfrogram, wesoło się uśmiechając? - ironizuje dr Łukasz Olejnik.
Teoretycznie przepis obejmie wszystkie firmy, które świadczą usługi w Polsce. W praktyce będzie nieegzekwowalny wobec tych mających siedzibę za granicą.