Biuletyn Informacji Publicznej RPO

• Obywatele pytają o dopuszczalność wykorzystywania oprogramowania szpiegowskiego Pegasus w toku kontroli operacyjnej
• Generalnie polskie prawo w sprawie inwigilacji nie odpowiada ani standardom konstytucyjnym, ani europejskim
• Kontrola nad zbieraniem informacji o obywatelach jest bowiem iluzoryczna – powinien ją sprawować niezależny organ, który badałby też skargi
• Obywatel nie jest zaś informowany o tym, że był inwigilowany, choć na taką potrzebę wskazał Trybunał Konstytucyjny

Dlatego Rzecznik Praw Obywatelskich zwraca się do premiera Mateusza Morawieckiego o podjęcie pilnych działań w celu dostosowania stanu prawnego do standardów konstytucyjnych oraz europejskich.

Do Biura RPO wpływają pytania obywateli co do dopuszczalności wykorzystywania w toku kontroli operacyjnej oprogramowania szpiegowskiego Pegasus. RPO wielokrotnie już wcześniej sygnalizował konieczność podjęcia prac legislacyjnych w związku z niezgodnością przepisów inwigilacyjnych ze standardami: 

• konstytucyjnym (określonym przez Trybunał Konstytucyjny),
• międzynarodowym i unijnym (określanymi przez orzecznictwo Europejskiego Trybunału Praw Człowieka i Trybunału Sprawiedliwości UE). 

Brak jakichkolwiek działań naprawczych w tej sferze wymaga kolejnej interwencji RPO. Stąd prośba do premiera o przyjęcie i uwzględnienie tych uwag i zaleceń. - Ponadto uprzejmie proszę o szczegółowe odniesienie się do wszystkich kwestii oraz wątpliwości – podkreślił Marcin Wiącek. 

RPO nie kwestionuje, zgodnie z utrwalonym orzecznictwem TK, potrzeby prowadzenia takich działań w sytuacjach, które są uzasadnione oraz przy założeniu, że są podejmowane zgodnie z zasadą proporcjonalności.

Inwigilacja a prawa obywateli 

Niejawna działalność operacyjna policji i innych służb pozostaje w naturalnym i – jak się wydaje – nieusuwalnym konflikcie z niektórymi prawami zasadniczymi jednostki. Dotyczy to przede wszystkim prawa do prywatności, konstytucyjnej wolności komunikowania się i związanej z tym ochrony tajemnicy komunikowania się oraz ochrony autonomii informacyjnej, a także konstytucyjnej gwarancji sądowej ochrony praw jednostki. Są one gwarantowane nie tylko przez Konstytucję, lecz również Europejską Konwencję Praw Człowieka oraz porządek prawny UE, w tym Kartę Praw Podstawowych UE. 

Z orzecznictwa Trybunału Konstytucyjnego wynika, że doniosłość prawa do prywatności uwidacznia m.in. fakt, że prawo to jest nienaruszalne nawet w ustawach wydawanych w stanie wojennym i wyjątkowym. A władze mogą pozyskiwać, gromadzić oraz udostępniać wyłącznie takie informacje o obywatelach, które są niezbędne w demokratycznym państwie prawnym. TK wskazywał też, że sprzeczność między koniecznością istnienia legalnej działalności operacyjnej i zagrożeniem dla konstytucyjnych wolności i praw jednostki wymaga wyważenia właściwej proporcji w prawnej ochronie obu sfer.

Rzecznik podejmował wiele inicjatyw dotyczących spraw inwigilacyjnych. W 2011 r. zainicjował postępowanie przed TK. W 2014 r. TK  stwierdził niekonstytucyjność części zaskarżonych przepisów. Zwrócił uwagę, że niejawne pozyskiwanie informacji o jednostkach w toku czynności operacyjno-rozpoznawczych musi być środkiem subsydiarnym – czyli stosowanym, gdy inne rozwiązania są nieprzydatne lub nieskuteczne. Tym samym niejawna ingerencja w wolności i prawa ma stanowić w demokratycznym państwie środek ostateczny. TK uznał też, że konstytucyjną ochroną są objęte wszelkie sposoby przekazywania wiadomości bez względu na fizyczny nośnik.

TK wskazał też na potrzebę wprowadzenia obowiązku informowania jednostki o podjętych wobec niej działaniach operacyjno-rozpoznawczych oraz pozyskaniu informacji na jej temat. Bez względu na to, czy chodzi o osoby podejrzane o naruszenie prawa, czy postronne, które przypadkowo stały się obiektem kontroli, ustawodawca powinien zagwarantować późniejsze poinformowanie o tym fakcie. Zaniechanie tego narusza art. 51 ust. 3 i 4 Konstytucji. Skoro jednostka o tym nie wie - bo dokonało się to niejawnie, bez jej wiedzy i zgody – to nie dysponuje możliwością dostępu do nich i nie może żądać ich sprostowania lub usunięcia na warunkach art. 51 ust. 4 Konstytucji. 

Ponadto TK przypominał orzecznictwo ETPC, że w ustawie regulującej kwestie inwigilacyjne sprecyzowane muszą być przesłanki niejawnego pozyskiwania informacji. Mogą one dotyczyć wyłącznie wykrywania i ścigania poważnych przestępstw oraz zapobiegania im, a także konieczności unormowania w ustawie procedury zarządzenia czynności operacyjno-rozpoznawczych, obejmującej  wymóg zgody niezależnego organu na niejawne pozyskiwanie informacji. 

W postanowieniu sygnalizacyjnym TK z 2006 r. podkreślił zaś  potrzebę inicjatywy ustawodawczej dla zagwarantowania w ustawie o policji konstytucyjnych praw osób poddanych kontroli operacyjnej. 

W 2013 r. NIK. wskazywała, że „przepisy w zakresie pozyskiwania przez uprawnione podmioty danych telekomunikacyjnych nie chronią w stopniu wystarczającym praw i wolności obywatelskich przed nadmierną ingerencją ze strony państwa.(…) Brak jest również mechanizmów kontroli o charakterze zewnętrznym, które pozwoliłyby na weryfikację zakresu wykorzystywania danych telekomunikacyjnych przez uprawnione podmioty, a w szczególności zasadności ich pozyskiwania  i przetwarzania”. Wnioski kontroli były spójne z poglądami ówczesnego RPO.

Zagrożenia „ustawy inwigilacyjnej” z 2016 r. 

Ustawa z 15 stycznia 2016 r. o zmianie ustawy o policji oraz niektórych innych ustaw nie naprawiła zakwestionowanego przez TK stanu rzeczy. Znacząco poszerzyła zaś możliwości ingerencji policji i służb specjalnych w sferę prywatności obywateli. 

Dane, do których te służby uzyskały dostęp to:

• dane telekomunikacyjne,
• dane pocztowe,
• dane internetowe.

Dostęp do metadanych pochodzących z łączności elektronicznej nie jest  poprzedzony jakąkolwiek formą kontroli wstępnej. Kontrola następcza ma charakter ogólny i  jest przeprowadzana raz na sześć miesięcy. Jest zatem  iluzoryczna, bez możliwości rzetelnej oceny sytuacji.

Służby uzyskały dostęp do danych internetowych za pomocą stałego łącza. Pobieranie danych obecnie nie musi się zatem wiązać z żadnym toczącym się postępowaniem. Służby nie muszą już - tak jak przedtem - składać pisemnych wniosków do dostawców usług internetowych i wykazywać, na potrzeby jakiego postępowania dane są im potrzebne. Oznacza to, że dane te mogą być zbierane nie tylko wówczas, gdy jest to rzeczywiście konieczne do wykrywania lub zapobiegania najpoważniejszym przestępstwom, którym inaczej nie da się przeciwdziałać, ale także wtedy, gdy jest to dla służb wygodne. 

Może to oznaczać ryzyko poważnych nadużyć. Służby mogą m.in. precyzyjnie odtwarzać różne aspekty życia prywatnego obywatela, zbierać dane o trybie życia, poglądach, upodobaniach czy skłonnościach. Może to prowadzić do budowania profilu osobowego osób uczestniczących w procesie komunikacji.

Nie ma też realnej kontroli pobierania danych obywateli. Sąd okręgowy ma wprawdzie prawo do kontroli, ale jedynie na podstawie zbiorczych półrocznych sprawozdań służb. Sąd nie musi, ale tylko może weryfikować, czy dane te pobrano zasadnie. Tajne sprawozdania służb nie są udostępniane jako informacja publiczna.

W lutym 2016 r. ówczesny RPO zaskarżył znowelizowane przepisy do TK. Przywołał wytyczne  z wcześniejszego wyroku TK. Nowelizacja naruszała bowiem zasady i wytyczne wskazywane przez TSUE, zwłaszcza w wyroku w sprawach połączonych C-293/12 i C-594/12 (Digital Rights Ireland). Stwierdził on nieważność tzw. dyrektywy retencyjnej. Równie ważny był wyrok TSUE w sprawach połączonych C-203/15 i C-698/15 (Tele2). TSUE potwierdził dotychczasowe orzecznictwo, zgodnie z którym wyjątki od prawa do prywatności muszą pozostawać w granicach tego, co jest absolutnie konieczne.

Przepisy z 2016 r. - zwiększające uprawnienia inwigilacyjnie służb, przy braku działań naprawczych dotyczących obowiązków nałożonych na operatorów telekomunikacyjnych - nie wypełniają standardów orzecznictwa TSUE i ETPC.

Konsekwencje tego mogą oznaczać kwestionowanie w postępowaniu karnym dopuszczalności zgromadzonych dowodów czy wręcz podnoszenia naruszenia prawa do sprawiedliwego procesu. Połączenie funkcji Ministra Sprawiedliwości i Prokuratora Generalnego, zgodnie z orzecznictwem TSUE, nie daje gwarancji niezależności organów prokuratorskich. Autoryzacja stosowania środków inwigilacyjnych przez prokuraturę -  wobec której podnoszone mogą być wątpliwości co do jej niezależności - nie może  być  uznana jako realizująca wymóg kontroli ex-ante.

RPO wskazuje na konieczność przeanalizowania przydatności oraz legalności pozyskiwania różnego rodzaju danych.

Uchwalone w 2016 r. przepisy - mimo wycofanego z TK wniosku RPO – nadal budzą bardzo poważne wątpliwości RPO co do ich zgodności z art. 30, 47, 49, 51 ust. 2 Konstytucji w związku z jej art. 2 (zasada ochrony zaufania do państwa i stanowionego przez nie prawa). Naruszają one również zasadę określoności przepisów prawa poprzez odwołanie się do definicji pojęcia „dane internetowe”. Nie jest ono jasne i precyzyjne, wobec czego naruszono wymóg przewidywalności przepisów ograniczających prawo do prywatności, prawo do ochrony danych osobowych oraz zasadę autonomii informacyjnej jednostki. 

Inne działania

W czerwcu 2016 r. również Komisja Wenecka uznała, że nowelizacja ustawy o policji nadaje służbom zbyt szerokie kompetencje, które mogą uderzać bezpośrednio w prawo do prywatności obywateli. Zaleciła m. in. by pozyskiwanie najważniejszych danych telekomunikacyjnych i internetowych ograniczyć do najgroźniejszych sytuacji, aby skrócić czas przechowywania danych oraz zadbać o nienaruszanie tajemnicy adwokackiej.

10 grudnia 2021 r. RPO zgłosił udział w postępowaniu TK ze skargi konstytucyjnej obywatela (sygn. akt SK 60/21). Wniósł o stwierdzenie, że  art. 19 ust. 20 ustawy o Policji jest niekonstytucyjny w zakresie, w jakim nie przyznaje osobie, wobec której stosowano kontrolę operacyjną, prawa wniesienia zażalenia na postanowienie sądu o zgodzie na tę kontrolę. 

Rzecznik przypomina też raport grupy ekspertów pn. "Osiodłać Pegaza", opracowany w 2019 r. na zaproszenie RPO. Zaproponowano w nim m.in.:

• powołanie specjalnego niezależnego organu, który zajmowałby się nadzorem nad działalnością służb specjalnych i mógł rozpatrywać skargi na ich działania, 
• przyznanie jednostce prawa do informacji o byciu przedmiotem zainteresowania ze strony uprawnionych instytucji i prawa dostępu do zebranych danych.

Celem raportu nie było ograniczanie skuteczności działania służb, lecz znalezienie optymalnej równowagi między ochroną praw i wolności obywatelskich a przeciwdziałaniem zagrożeniom dla bezpieczeństwa państwa.

Swe wystąpienie do premiera RPO przekazał do wiadomości prezesa NIK.

Pismo KPRM do MSWiA o udzielenie odpowiedzi RPO

Min. Michał Dworczyk napisał szefowi MSWiA Mariuszowi Kamińskiemu: 

W załączeniu przekazuję, według kompetencji, skierowane do Prezesa Rady Ministrów pismo Rzecznika Praw Obywatelskich z 13 stycznia 2022 r. w sprawie zgodności przepisów regulujących zakres czynności operacyjno-rozpoznawczych, prowadzonych wobec osób podejrzanych o naruszenie prawa ze standardami określonymi orzecznictwem Trybunału Konstytucyjnego, Europejskiego Trybunału Praw Człowieka oraz Trybunału Sprawiedliwości Unii Europejskiej. Proszę o udzielenie odpowiedzi Panu Rzecznikowi, ewentualnie w porozumieniu z innymi właściwymi organami, z kopią do wiadomości Prezesa Rady Ministrów.

VII.501.306.2021