Zatrzymywanie i przechowywanie danych telekomunikacyjnych pod specjalnym nadzorem

Trybunał Sprawiedliwości orzekł, że nałożenie na przedsiębiorców telekomunikacyjnych ogólnego i niezróżnicowanego obowiązku zatrzymywania danych telekomunikacyjnych jest niezgodne z prawem UE. Państwa członkowskie będą musiały dostosować krajowe ustawodawstwo do przepisów Wspólnoty. Zatrzymywanie i przechowywane takich danych powinno być wyjątkiem, a nie zasadą, zaś ich zakres i okres przechowywania nie powinien wykraczać poza absolutną konieczność.

21 grudnia 2016 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok , w którym stwierdził, że państwa członkowskie nie mogą nakładać na operatorów telekomunikacyjnych ogólnego obowiązku zatrzymywania danych, a tym samym, że przepisy prawa krajowego, przewidujące uogólnione i niezróżnicowane zatrzymywanie danych, są niezgodne z prawem UE

Nieważnosć z konsekwencjami

Wyrok w sprawach połączonych C-203/15 Tele2 Sverige AB/ Post-ochtelestyrelsen i C-698/15 Secretary of State for the Home Department/Tom Watson i in. związany jest pośrednio z wcześniejszym wyrokiem Trybunału z 8 kwietnia 2014 r. w sprawie Digital Rights Ireland i in., sygn. C-293/12 i C-594/12). TSUE uznał w nim, że dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z 15 marca 2006 r. (tzw. „dyrektywa retencyjna”) jest niezgodna z Kartą Praw Podstawowych. W związku z uznaniem dyrektywy retencyjnej za nieważną, pojawiły się wątpliwości odnośnie przepisów krajowych, które wdrażały jej postanowienia. W przypadku Polski, chodzi o przepisy ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne. Uznanie dyrektywy retencyjnej za nieważną nie spowodowało automatycznej utraty mocy przepisów krajowych dotyczących retencji danych, jednakże stało się przyczyną kwestionowania przepisów krajowych, dotyczących zatrzymywania danych telekomunikacyjnych. Omawiany Wyrok Trybunału jest konsekwencją takich właśnie spraw, zainicjowanych jednocześnie w Szwecji oraz Wielkiej Brytanii.

Istotą rozpatrzonych spraw było ustalenie, czy państwa członkowskie mogą zobowiązać dostawców telekomunikacyjnych do masowego zatrzymywania danych telekomunikacyjnych (retencja danych), czy też taki obowiązek jest niezgodny z Kartą Praw Podstawowych oraz udzielenie odpowiedzi na pytanie czy istnieją przypadki, które uzasadniają zatrzymanie takich danych, a jeśli tak, to jakie środki powinny temu towarzyszyć, aby nie doszło do naruszenia praw obywateli.

Zatrzymywanie  (tylko) w uzasadnionych przypadkach

Wyrok rozstrzyga sprawę jednoznacznie – uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i lokalizacji jest niezgodne z prawem Unii Europejskiej.

W uzasadnieniu decyzji Trybunał wskazał, że przepisy dopuszczające masowe zatrzymywanie danych telekomunikacyjnych umożliwiają wyciągnięcie bardzo szczegółowych wniosków odnośnie życia prywatnego osób, których dane zostały zatrzymane, a fakt, że  użytkownicy usług łączności elektronicznej nie wiedzą, że dane te są zatrzymywane, może rodzić wrażenie, że ich prywatne życie podlega ciągłej obserwacji. Zdaniem Trybunału, tego rodzaju ingerencję może uzasadniać jedynie walka z poważną przestępczością.

Trybunał zatem przyznał państwom członkowskim prawo przewidzenia indywidualnego zatrzymywania danych tytułem prewencji, ale jedynie w celu zwalczania poważnej przestępczości lub zapobiegania powstawaniu poważnych zagrożeń dla bezpieczeństwa publicznego.  I tylko pod warunkiem, że takie zatrzymywanie nie będzie wykraczać poza absolutną konieczność, a przyjęte w tym względzie przepisy będą jednoznaczne i szczegółowe oraz będą przewidywać gwarancje wystarczające do ochrony tych danych przed ryzykiem ich nadużycia.

Wolność i ochrona danych

W zakresie dotyczącym dostępu odpowiednich organów krajowych do przechowywanych danych Trybunał stwierdził, że przepisy regulujące te kwestie powinny opierać się na obiektywnych kryteriach, umożliwiających określenie okoliczności i warunków przyznania dostępu do danych właściwym organom krajowym. Za istotne Trybunał uznał także, aby dostęp do przechowywanych danych, za wyjątkiem pilnych przypadków, podlegał uprzedniej kontroli sprawowanej przez sąd lub inny niezależny organ, a właściwe organy władzy krajowej, którym przyznano dostęp do przechowywanych danych, powinny o tym poinformować zainteresowane osoby. Ponadto, przepisy krajowe powinny ustanawiać obowiązek ich przechowywania na obszarze Unii, a także – obowiązek ich nieodwracalnego niszczenia po upływie tego okresu.

Dla obserwatorów i znawców prawa europejskiego oraz orzecznictwa Trybunału wyrok nie jest zaskoczeniem. Wpisuje się w obrany przez Unię – słuszny w mojej ocenie – kierunek w zakresie ochrony danych osobowych i wolności obywateli UE. Jednak w obliczu narastającego poczucia zagrożenia atakami terrorystycznymi, czy niepewnej sytuacji politycznej, w niektórych państwach członkowskich mogą pojawić się głosy, że wyrok utrudnia skuteczne podjęcie przez władze krajowe walki z działalnością terrorystyczną czy przestępczą.

A co z Polską? Czy po wyroku będziemy musieli zmienić swoje ustawodawstwo? Wszystko wskazuje na to, że tak.

Ustawowy remont generalny

Przede wszystkim, zmianie powinny ulec przepisy ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne w zakresie przepisów przewidujących obowiązkową retencję danych telekomunikacyjnych o charakterze generalnym. W szczególności  art. 180 a ust 1 Prawa telekomunikacyjnego, którego postanowienia obecnie należy rozumieć jako przejaw ogólnego oraz niezróżnicowanego zatrzymywania danych, To właśnie ono zostało uznane przez Trybunał jako sprzeczne z prawem europejskim. Przepisy te przewidują obowiązek polegający na zatrzymywaniu i przechowywaniu danych o ruchu oraz danych dotyczących lokalizacji przez 12 miesięcy.

W myśl ustaleń Trybunału zmiana prawa telekomunikacyjnego powinna polegać na przekształceniu ogólnego obowiązku przechowywania danych telekomunikacyjnych na obowiązek indywidualny i skonkretyzowany, służący wyłącznie zwalczaniu przestępczości.

Ustawodawca będzie również musiał dokonać weryfikacji szeregu ustaw regulujących dostęp do danych retencyjnych przez odpowiednie służby odpowiedzialne za bezpieczeństwo. Dla przykładu: ustawa o Policji przewiduje dostęp do danych retencyjnych w celu zapobiegania lub wykrywania przestępstw, ale również „w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych”.

W tym przypadku należy podkreślić, że Trybunał pozostawił możliwość dostępu do takich danych pod warunkiem, że będzie on realizowany w oparciu o obiektywne kryteria i będzie ograniczony celem, tj. zwalczaniem poważnej przestępczości. Dostęp ten powinien odbywać się w ramach odpowiednich i rzetelnych procedur, w szczególności przewidujących obowiązek uprzedniego wystąpienia o zgodę do odpowiedniego sądu lub innego niezależnego organu państwowego. Zatem i w tym przypadku oznacza to konieczność dostosowania aktualnych przepisów do ww. wymogów.

RPO, policja i zgodność z przepisami

Reasumując: państwa członkowskie będą zobowiązane do przyjęcia prawa zgodnego z ww. orzeczeniem lub dostosowania do niego dotychczasowego ustawodawstwa. W przypadku Polski oznacza to konieczność zmiany generalnego obowiązku retencji danych na indywidulany realizowany tylko i wyłączne w celu zwalczania poważnej przestępczości.  Przechowywanie takich danych powinno być wyjątkiem, a nie zasadą, a zakres danych, czy okres przechowywania ich, nie powinien wykraczać poza to, co jest absolutnie konieczne dla zwalczania przestępczości.

O tym, jak orzeczenie Trybunału będzie stosowane w praktyce, dowiemy się niebawem. 10 lutego 2016r. Adam Bodnar, Rzecznik Praw Obywatelskich złożył do Trybunału Konstytucyjnego wniosek w sprawie nowelizacji ustawy o Policji, w którym wniósł o zbadanie zgodności przepisów regulujących stosowanie kontroli operacyjnej oraz podsłuchów, pobieranie danych telekomunikacyjnych, pocztowych i internetowych z Konstytucją RP, Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności oraz z Kartą Praw Podstawowych Unii Europejskiej.

Pytanie, czy Trybunał Konstytucyjny, rozpoznając wniosek Rzecznika, oprze się na komentowanym orzeczeniu Trybunału pozostaje otwarte.