Przepisy regulujące uzyskiwanie i przetwarzanie danych pochodzących z billingów nie chronią w stopniu wystarczającym praw i wolności obywatelskich przed nadmierną ingerencją ze strony państwa. - wynika z kontroli przeprowadzonej przez Najwyższą Izbę Kontroli.
NIK przekazała Trybunałowi Konstytucyjnemu najważniejsze wnioski z kontroli dotyczącej uzyskiwania i przetwarzania danych pochodzących z billingów. O informacje na ten temat do Prezesa Izby zwrócił się Prezes Trybunału. Opinie kontrolerów mogą stać się pomocne przy wydawaniu orzeczeń przez sędziów Trybunału.
W ocenie NIK, obowiązujące przepisy regulujące pozyskiwanie przez uprawnione podmioty danych telekomunikacyjnych nie chronią w stopniu wystarczającym praw i wolności obywatelskich przed nadmierną ingerencją ze strony państwa. Biorąc pod uwagę istniejące uwarunkowania prawno-organizacyjne, projektowane zmiany przepisów na poziomie Unii Europejskiej, a także wyniki przeprowadzonej kontroli, należy rozważyć podjęcie działań w czterech zasadniczych obszarach:
- zakresu pozyskiwanych danych,
- kontroli nad procesem pozyskiwania danych,
- niszczenia pozyskanych danych w sytuacji, gdy nie są już one dalej niezbędne dla osiągnięcia celów
- prowadzonego postępowania,
- stworzenia mechanizmów sprawozdawczych, które zapewnią rzetelną informację
- o zakresie pozyskiwania danych telekomunikacyjnych.
Zakres pozyskiwanych danych
Zakres pozyskiwanych przez uprawnione służby danych jest głównym czynnikiem wpływającym na ocenę stopnia, w jakim wykorzystanie tego środka, ingeruje w prawa obywatelskie. Zgodnie z przepisami Prawa telekomunikacyjnego, operatorzy telekomunikacyjni obowiązani są do przechowywania i udostępniania uprawnionym podmiotom danych niezbędnych do ustalenia: osób dokonujących połączenia; identyfikacji urządzeń, za pomocą których dokonano połączenia; miejsc, w których znajdowały się urządzenia; daty i godziny połączenia oraz czasu jego trwania; rodzaju połączenia[1]; a także innych, znajdujących się w posiadaniu operatora danych użytkownika[2]. Zakres pozyskiwanych danych, w ocenie NIK, umożliwiał właściwą realizację zadań przez podmioty uprawnione do pozyskiwania danych telekomunikacyjnych.
W ocenie NIK, doprecyzowania wymaga jednakże cel gromadzenia danych retencyjnych. Obecnie obowiązujące przepisy odwołują się jedynie do zakresu zadań poszczególnych służb bądź ogólnego stwierdzenia, że dane te są pozyskiwanie w celu zapobiegania lub wykrywania przestępstw.
Zdaniem NIK precyzyjne określenie katalogu spraw, w których uprawnione służby mogą pozyskiwać dane telekomunikacyjne, miałoby kluczowe znaczenie dla oceny, czy obowiązujące przepisy nie naruszają zasady proporcjonalności, a tym samym są dopuszczalne w świetle obowiązujących przepisów chroniących prawa i wolności obywatelskie.
Udostępnienie danych telekomunikacyjnych powinno uwzględniać również zasadę subsydiarności[3]. Zgodnie z obowiązującymi przepisami, uprawnione podmioty mogą zwrócić się o udostępnienie danych telekomunikacyjnych w każdym wypadku, a nie jedynie wówczas, „gdy inne środki podejmowane w celu realizacji ustawowego celu okazały się bezskuteczne". Konieczne jest więc wprowadzenie przepisów, które wykorzystanie danych telekomunikacyjnych będą uzależniać od niemożności zastosowania innych, mniej ingerujących w prawa obywatelskie środków.
Obecnie obowiązujące przepisy nie wskazują kategorii osób, w stosunku do których niezbędne jest respektowanie ich tajemnicy zawodowej. Ustawodawca nie wyłączył żadnej kategorii użytkowników z kręgu podmiotów, których dane mogą być pozyskiwane, choć dane te mogą być objęte tajemnicą notarialną, adwokacką, radcy prawnego, lekarską lub dziennikarską, której zniesienie jest możliwe wyłącznie, gdy jest to niezbędne dla dobra wymiaru sprawiedliwości, a dana okoliczność nie może być ustalona na podstawie innego dowodu[4]. W ocenie NIK, należałoby rozważyć wprowadzenie rozwiązań, które będą stwarzać dodatkowe gwarancje w przypadku osób wykonujących zawód „zaufania publicznego”, np. poprzez uzależnienie pozyskania danych retencyjnych od zgody sądu lub innego niezależnego organu.
Kontrola nad procesem pozyskiwania danych.
W obecnym stanie prawnym nie istnieje żaden podmiot, który mógłby sprawować rzeczywistą kontrolę nad wykorzystaniem przez służby uprawnień do sięgania po dane telekomunikacyjne obywateli. Sytuacja ta jest wyjątkowa w zestawieniu ze standardami przyjętymi w większości państw Unii Europejskiej[5]. W ocenie NIK, konieczne jest stworzenie instrumentów nadzoru i kontroli nad wykorzystaniem danych pochodzących z billingów. Sytuacja, że jedynym podmiotem oceniającym zasadność pozyskiwania danych telekomunikacyjnych jest jednostka uprawniona do ich pozyskania, jest zdaniem NIK nie do zaakceptowania w ramach demokratycznego państwa prawnego.
Kontrola realizowana przed skierowaniem zapytania w sprawie udostępnienia danych telekomunikacyjnych, pozwoliłaby nie tylko na istotne zwiększenie nadzoru nad wykorzystaniem tego środka, ale prawdopodobnie przyczyniłaby się również do ograniczenia skali jego wykorzystania. Możliwość zastosowania tej formy kontroli uzależniona jest jednakże od łącznego spełnienia dwóch przesłanek:
a) wskazania (ustanowienia) podmiotu, który „weryfikowałby” wnioski o udostępnienie danych telekomunikacyjnych, a następnie wydawał zgodę na wykorzystanie tego środka,
b) precyzyjnego określenia sytuacji, w których środek ten może być wykorzystany, jako niezbędnego warunku oceny zasadności wniosku.
W ocenie NIK, zadaniem podmiotu powołanego do realizacji kontroli uprzedniej powinna być przede wszystkim ocena zasadności wniosku o udostępnienie danych telekomunikacyjnych oraz sprawdzenie jego poprawności pod względem formalnym.
Kontrola następcza, czyli realizowana po skierowaniu zapytania w sprawie udostępnienia danych telekomunikacyjnych, miałaby na celu weryfikację poprawności wykorzystania tego środka.
Ważnym instrumentem kontroli powinno być rozwiązanie, zgodnie z którym informacja o fakcie pozyskania danych telekomunikacyjnych jest przekazywane osobie, której dane zostały udostępnione. W obecnie obowiązującym stanie prawnym pozyskiwanie danych, o których mowa w art. 180c i d ustawy jest wyłączone zarówno spod kontroli samego zainteresowanego (nie jest on powiadamiany o gromadzeniu dotyczących go danych), jak i spod jakiejkolwiek kontroli społecznej. Wyjątkiem są tu przepisy postępowania karnego, które przewidują obowiązek informowania przez sądy i prokuratury obywateli o pozyskaniu ich danych telekomunikacyjnych. Realizacja tego obowiązku może być odroczona na czas oznaczony, niezbędny ze względu na dobro sprawy, lecz nie później niż do czasu prawomocnego zakończenia postępowania. W ocenie NIK, należy wprowadzić rozwiązania, zgodnie z którym każdy ma prawo uzyskać informację o pozyskaniu jego danych telekomunikacyjnych (z zastrzeżeniem możliwości odroczenia przekazania tej informacji ze względu na dobro toczącego się postępowania) bez względu na to, w związku z jakim postępowaniem dane te uzyskano. Jakiekolwiek wyjątki od tej zasady powinny być wskazane wprost w ustawie.
Niszczenie danych
Istotnym elementem oceny obecnie obowiązujących rozwiązań jest kryterium niezbędności. Powinno być ono weryfikowane nie tylko w sytuacji wystąpienia o udostępnienie danych, ale również pod kątem dalszego przechowywania pozyskanych danych. Z art. 51 ust. 2 Konstytucji RP wynika zakaz gromadzenia danych innych, niż niezbędne w demokratycznym państwie prawnym. Dane, które stały się zbędne dla toczącego się postępowania, powinny być więc obligatoryjnie niszczone.
Zgodnie z art. 30 ust. 6 ustawy o Żandarmerii Wojskowej i wojskowych organach porządkowych, art. 20c ust. 7 ustawy o Policji oraz art. 10b ust. 6 ustawy o Straży Granicznej pozyskane dane telekomunikacyjne, jeśli nie zawierają informacji mających znaczenie dla postępowania karnego, podlegają niezwłocznemu komisyjnemu i protokolarnemu zniszczeniu. Stosownie do postanowień art. 36b ust. 5 ustawy o kontroli skarbowej, minister właściwy do spraw finansów publicznych nakazuje niezwłoczne, komisyjne i protokolarne zniszczenie danych uzyskanych od podmiotu prowadzącego działalność telekomunikacyjną w przypadku, gdy uzna wystąpienie z wnioskiem o te dane za nieuzasadnione. Natomiast przepisy ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawy o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego, a także ustawy o Centralnym Biurze Antykorupcyjnym w ogóle nie przewidują obowiązku usunięcia zgromadzonych przez nie danych telekomunikacyjnych, gdy przestały być one niezbędne dla prowadzonego postępowania.
W ocenie NIK, konieczne jest pilne wprowadzenie przepisów w zakresie obowiązku niszczenia zbędnych danych telekomunikacyjnych będących w posiadaniu służb. Przepisy powinny nie tylko określić sam obowiązek niszczenia danych, ale również precyzować tryb i sposób jego realizacji.
Sprawozdawczość
Jak wykazała kontrola NIK, funkcjonujący obecnie system gromadzenia informacji o pozyskiwaniu danych retencyjnych nie zapewnia rzetelnej informacji o liczbie tego rodzaju przypadków. Brak jest precyzyjnie określonych wskaźników pomiarowych, a ustanowione procedury nie zapobiegają wystąpieniu rażących błędów. Również zakres gromadzonych danych sprawozdawczych nie pozwala na ocenę, dla jakich celów, jak często i z jakim skutkiem retencja danych jest stosowana. W ocenie NIK, dla prawidłowej oceny funkcjonowania systemu retencji danych niezbędne jest gromadzenie danych w zakresie: liczby przypadków, w których uprawnione organy uzyskiwały od przedsiębiorców telekomunikacyjnych dane retencyjne (z wyodrębnieniem sytuacji, gdy były to wyłącznie dane osobowe użytkownika); liczby osób, których dane telekomunikacyjne były pozyskiwane i wykorzystywane przez uprawnione organy; łącznej liczby odmów udostępnienia danych (ze wskazaniem zasadniczych przyczyn); informacji na temat rodzaju spraw, w których środek ten wykorzystywano oraz jego skuteczności.
NIK: przepisy uzyskiwania i przetwarzania billingów słabo chronią prawa obywateli
Kalendarz imprez
Pn | Wt | Śr | Cz | Pt | So | Nd |
28 | 29 | 30 | 31 | 1 | 2 | 3 |
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 1 |