Rząd nie odpowiada RPO ws. inwigilacji. Marcin Wiącek ponownie pisze do premiera
- W styczniu 2022 r. Rzecznik Praw Obywatelskich wysłał premierowi obszerne wystąpienie w sprawie inwigilacji, m.in. w kontekście dopuszczalności korzystania z oprogramowania szpiegowskiego Pegasus
- Do dziś nie dostał odpowiedzi. A w tym czasie zapadł ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej ws. retencji danych telekomunikacyjnych
- Ponadto finalizowane są prace nad zmianami prawa, które nie tylko nie zmniejszają, ale wręcz rozszerzają zakres zatrzymywanych tych danych w Polsce
RPO Marcin Wiącek ponownie zwraca się tej sprawie do prezesa Rady Ministrów Mateusza Morawieckiego.
13 stycznia 2022 r. RPO przekazał premierowi obszerne wystąpienie generalne w związku z licznymi pytaniami obywateli co do dopuszczalności wykorzystywania oprogramowania szpiegowskiego Pegasus w toku kontroli operacyjnej.
W piśmie tym Marcin Wiącek po raz kolejny przypomniał dotychczasową aktywność Rzeczników Praw Obywatelskich ws. konieczności podjęcia prac legislacyjnych w związku z niezgodnością polskich przepisów inwigilacyjnych ze standardami konstytucyjnym (określonym przez Trybunał Konstytucyjny), oraz międzynarodowym i unijnym (określonymi w orzecznictwie Europejskiego Trybunału Praw Człowieka i Trybunału Sprawiedliwości Unii Europejskiej).
Zwracał też uwagę, że kontrola nad zbieraniem informacji o obywatelach jest iluzoryczna – powinien ją sprawować niezależny organ, który badałby też skargi. Obywatel nie jest zaś informowany o tym, że był inwigilowany, choć na taką potrzebę wskazał Trybunał Konstytucyjny.
Na to pismo do dziś RPO nie otrzymał odpowiedzi. Dostał jedynie do wiadomości przekazane pismo KPRM z 18 stycznia 2022 r., przekazujące wystąpienie Ministrowi Spraw Wewnętrznych i Administracji, Ministrowi–Koordynatorowi Służb Specjalnych.
W swym wystąpieniu RPO szeroko przedstawił dotychczasowe orzecznictwo TK, ETPC oraz TSUE w zakresie retencji danych telekomunikacyjnych. A ostatnio zapadł kolejny wyrok TSUE w tym zakresie.
Wyrok TSUE z 5 kwietnia 2022 r.
TSUE orzekł (sprawa C-140/20), że art. 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z dnia 25 listopada 2009 r., w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej, należy interpretować w ten sposób, że stoi on na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji.
Natomiast art. 15 ust. 1 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 KPP nie stoi na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego:
- ukierunkowane zatrzymywanie danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kategorii osób, których dane dotyczą, lub za pomocą kryterium geograficznego, przez okres ograniczony do tego, co ściśle niezbędne, ale odnawialny;
- uogólnione i niezróżnicowane zatrzymywanie adresów IP przydzielonych źródłu połączenia, przez okres ograniczony do tego, co ściśle niezbędne;
- uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej; oraz
- posłużenie się skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, nakazem szybkiego zatrzymania przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują ci dostawcy usług,
- o ile środki te, za pomocą jasnych i precyzyjnych przepisów, zapewniają, że odnośne zatrzymywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć.
TSUE orzekł także, że art. 15 ust. 1 dyrektywy 2002/58/WE w związku z art. 7, 8, 11 oraz art. 52 ust. 1 KPP należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu, na podstawie którego scentralizowane rozpatrywanie pochodzących od policji wniosków o udzielenie dostępu do danych zatrzymanych przez dostawców usług łączności elektronicznej, w ramach wykrywania i ścigania poważnych przestępstw, należy do funkcjonariusza policji, wspieranego przez jednostkę ustanowioną w obrębie policji, której przysługuje pewien stopień autonomii w wykonywaniu powierzonego jej zadania i której decyzje mogą być następnie przedmiotem kontroli sądowej.
Ponadto, w ocenie TSUE, prawo Unii należy interpretować w ten sposób, że stoi ono na przeszkodzie temu, by sąd krajowy ograniczył w czasie skutki stwierdzenia nieważności, którego ma on dokonać na podstawie prawa krajowego w odniesieniu do uregulowania krajowego nakładającego na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji, a to ze względu na niezgodność tego uregulowania z art. 15 ust. 1 dyrektywy 2002/58 w związku z KPP. Kwestia dopuszczalności dowodów uzyskanych za pomocą takiego uogólnionego i niezróżnicowanego zatrzymywania należy, zgodnie z zasadą autonomii proceduralnej państw członkowskich, do prawa krajowego, z zastrzeżeniem poszanowania w szczególności zasad równoważności i skuteczności.
Planowane zmiany prawa w Polsce
RPO podkreśla, że obecnie finalizowane są prace nad projektem ustawy – Prawo komunikacji elektronicznej, która ma zastąpić obowiązującą ustawę z 16 lipca 2004 r. – Prawo telekomunikacyjne.
W związku ze zgłoszoną uprzednio potrzebą wprowadzenia takich zmian w zakresie legislacji, które będą respektować omówione we wcześniejszym wystąpieniu orzecznictwo TK, ETPC oraz TSUE, wątpliwości budzi projektowany art. 47 , a także art. 49 PKE, który nie tylko nie zmniejsza, ale wręcz rozszerza zakres zatrzymywanych danych telekomunikacyjnych.
Marcin Wiącek prosi zatem premiera o pilne i kompleksowe odniesienie się do wszystkich wątków wystąpienia z 13 stycznia 2022 r. oraz do tego pisma.
Przypomina też, że zgodnie z art. 15 ust. 2 ustawy z 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich organ, do którego RPO występuje obowiązany jest bez zbędnej zwłoki, nie później jednak niż w terminie 30 dni, poinformować Rzecznika o podjętych działaniach lub zajętym stanowisku.
15 lipca 2022 r. KPRM ponownie przesłała pismo RPO do MSWiA z prośbą o "udzielenie odpowiedzi Panu Rzecznikowi, ewentualnie w porozumieniu z innymi właściwymi organami, z kopią do wiadomości Prezesa Rady Ministrów".
VII.501.306.2021