NIK przekazała Trybunałowi Konstytucyjnemu
najważniejsze wnioski z kontroli dotyczącej uzyskiwania i przetwarzania
danych pochodzących z billingów. O informacje na ten temat do Prezesa
Izby zwrócił się Prezes Trybunału. Opinie kontrolerów mogą stać się
pomocne przy wydawaniu orzeczeń przez sędziów Trybunału.

W ocenie NIK,
obowiązujące przepisy regulujące pozyskiwanie przez uprawnione podmioty
danych telekomunikacyjnych nie chronią w stopniu wystarczającym praw i
wolności obywatelskich przed nadmierną ingerencją ze strony państwa.

Biorąc pod uwagę istniejące uwarunkowania prawno-organizacyjne,
projektowane zmiany przepisów na poziomie Unii Europejskiej, a także
wyniki przeprowadzonej kontroli, należy rozważyć podjęcie działań w
czterech zasadniczych obszarach:

  • zakresu pozyskiwanych danych,
  • kontroli nad procesem pozyskiwania danych,
  • niszczenia pozyskanych danych w sytuacji, gdy nie są już one
    dalej niezbędne dla osiągnięcia celów prowadzonego postępowania,
  • stworzenia mechanizmów sprawozdawczych, które zapewnią rzetelną
    informację o zakresie pozyskiwania danych telekomunikacyjnych.

Zakres
pozyskiwanych danych

Zakres pozyskiwanych przez uprawnione służby danych
jest głównym czynnikiem wpływającym na ocenę stopnia, w jakim
wykorzystanie tego środka, ingeruje w prawa obywatelskie. Zgodnie z
przepisami Prawa telekomunikacyjnego, operatorzy telekomunikacyjni
obowiązani są do przechowywania i udostępniania uprawnionym podmiotom
danych niezbędnych do ustalenia: osób dokonujących połączenia;
identyfikacji urządzeń, za pomocą których dokonano połączenia; miejsc,
w których znajdowały się urządzenia; daty i godziny połączenia oraz
czasu jego trwania; rodzaju połączenia, a także innych, znajdujących
się w posiadaniu operatora danych użytkownika. Zakres pozyskiwanych
danych, w ocenie NIK, umożliwiał właściwą realizację zadań przez
podmioty uprawnione do pozyskiwania danych telekomunikacyjnych.

W ocenie NIK, doprecyzowania wymaga jednakże cel
gromadzenia danych retencyjnych. Obecnie obowiązujące przepisy odwołują
się jedynie do zakresu zadań poszczególnych służb bądź ogólnego
stwierdzenia, że dane te są pozyskiwanie w celu zapobiegania lub
wykrywania przestępstw.

Zdaniem NIK
precyzyjne określenie katalogu spraw, w których uprawnione służby mogą
pozyskiwać dane telekomunikacyjne, miałoby kluczowe znaczenie dla
oceny, czy obowiązujące przepisy nie naruszają zasady
proporcjonalności, a tym samym są dopuszczalne w świetle obowiązujących
przepisów chroniących prawa i wolności obywatelskie.

Udostępnienie danych telekomunikacyjnych powinno
uwzględniać również zasadę subsydiarności. Zgodnie z obowiązującymi
przepisami, uprawnione podmioty mogą zwrócić się o udostępnienie danych
telekomunikacyjnych w każdym wypadku, a nie jedynie wówczas, „gdy inne
środki podejmowane w celu realizacji ustawowego celu okazały się
bezskuteczne”. Konieczne jest więc
wprowadzenie przepisów, które wykorzystanie danych telekomunikacyjnych
będą uzależniać od niemożności zastosowania innych, mniej ingerujących
w prawa obywatelskie środków.

Obecnie obowiązujące przepisy nie wskazują kategorii
osób, w stosunku do których niezbędne jest respektowanie ich tajemnicy
zawodowej. Ustawodawca nie wyłączył żadnej kategorii użytkowników z
kręgu podmiotów, których dane mogą być pozyskiwane, choć dane te mogą
być objęte tajemnicą notarialną, adwokacką, radcy prawnego, lekarską
lub dziennikarską, której zniesienie jest możliwe wyłącznie, gdy jest
to niezbędne dla dobra wymiaru sprawiedliwości, a dana okoliczność nie
może być ustalona na podstawie innego dowodu W ocenie NIK, należałoby rozważyć
wprowadzenie rozwiązań, które będą stwarzać dodatkowe gwarancje w
przypadku osób wykonujących zawód „zaufania publicznego”, np. poprzez
uzależnienie pozyskania danych retencyjnych od zgody sądu lub innego
niezależnego organu.

Kontrola nad
procesem pozyskiwania danych.

W obecnym stanie
prawnym nie istnieje żaden podmiot, który mógłby sprawować rzeczywistą
kontrolę nad wykorzystaniem przez służby uprawnień do sięgania po dane
telekomunikacyjne obywateli.
Sytuacja ta jest wyjątkowa w
zestawieniu ze standardami przyjętymi w większości państw Unii
Europejskiej. W ocenie NIK, konieczne jest stworzenie instrumentów
nadzoru i kontroli nad wykorzystaniem danych pochodzących z billingów. Sytuacja, że jedynym podmiotem oceniającym
zasadność pozyskiwania danych telekomunikacyjnych jest jednostka
uprawniona do ich pozyskania, jest zdaniem NIK nie do zaakceptowania w
ramach demokratycznego państwa prawnego.

Kontrola realizowana przed skierowaniem zapytania w
sprawie udostępnienia danych telekomunikacyjnych, pozwoliłaby nie tylko
na istotne zwiększenie nadzoru nad wykorzystaniem tego środka, ale
prawdopodobnie przyczyniłaby się również do ograniczenia skali jego
wykorzystania. Możliwość zastosowania tej formy kontroli uzależniona
jest jednakże od łącznego spełnienia dwóch przesłanek:

    a) wskazania (ustanowienia) podmiotu, który
    „weryfikowałby” wnioski o udostępnienie danych telekomunikacyjnych, a
    następnie wydawał zgodę na wykorzystanie tego środka,

    b) precyzyjnego określenia sytuacji, w których
    środek ten może być wykorzystany, jako niezbędnego warunku oceny
    zasadności wniosku.

W ocenie NIK, zadaniem podmiotu powołanego do
realizacji kontroli uprzedniej powinna być przede wszystkim ocena
zasadności wniosku o udostępnienie danych telekomunikacyjnych oraz
sprawdzenie jego poprawności pod względem formalnym.

Kontrola następcza, czyli realizowana po skierowaniu
zapytania w sprawie udostępnienia danych telekomunikacyjnych, miałaby
na celu weryfikację poprawności wykorzystania tego środka.

Ważnym instrumentem kontroli powinno być
rozwiązanie, zgodnie z którym informacja o fakcie pozyskania danych
telekomunikacyjnych jest przekazywane osobie, której dane zostały
udostępnione. W obecnie obowiązującym stanie prawnym pozyskiwanie
danych, o których mowa w art. 180c i d ustawy jest wyłączone zarówno
spod kontroli samego zainteresowanego (nie jest on powiadamiany o
gromadzeniu dotyczących go danych), jak i spod jakiejkolwiek kontroli
społecznej. Wyjątkiem są tu przepisy postępowania karnego, które
przewidują obowiązek informowania przez sądy i prokuratury obywateli o
pozyskaniu ich danych telekomunikacyjnych. Realizacja tego obowiązku
może być odroczona na czas oznaczony, niezbędny ze względu na dobro
sprawy, lecz nie później niż do czasu prawomocnego zakończenia
postępowania. W ocenie NIK, należy wprowadzić rozwiązania, zgodnie z
którym każdy ma prawo uzyskać informację o pozyskaniu jego danych
telekomunikacyjnych (z zastrzeżeniem możliwości odroczenia przekazania
tej informacji ze względu na dobro toczącego się postępowania) bez
względu na to, w związku z jakim postępowaniem dane te uzyskano.
Jakiekolwiek wyjątki od tej zasady powinny być wskazane wprost w
ustawie.

Niszczenie danych

Istotnym elementem oceny obecnie obowiązujących
rozwiązań jest kryterium niezbędności. Powinno być ono weryfikowane nie
tylko w sytuacji wystąpienia o udostępnienie danych, ale również pod
kątem dalszego przechowywania pozyskanych danych. Z art. 51 ust. 2
Konstytucji RP wynika zakaz gromadzenia danych innych, niż niezbędne w
demokratycznym państwie prawnym. Dane, które stały się zbędne dla
toczącego się postępowania, powinny być więc obligatoryjnie niszczone.

Zgodnie z art. 30 ust. 6 ustawy o Żandarmerii
Wojskowej i wojskowych organach porządkowych, art. 20c ust. 7 ustawy o
Policji oraz art. 10b ust. 6 ustawy o Straży Granicznej pozyskane dane
telekomunikacyjne, jeśli nie zawierają informacji mających znaczenie
dla postępowania karnego, podlegają niezwłocznemu komisyjnemu i
protokolarnemu zniszczeniu. Stosownie do postanowień art. 36b ust. 5
ustawy o kontroli skarbowej, minister właściwy do spraw finansów
publicznych nakazuje niezwłoczne, komisyjne i protokolarne zniszczenie
danych uzyskanych od podmiotu prowadzącego działalność
telekomunikacyjną w przypadku, gdy uzna wystąpienie z wnioskiem o te
dane za nieuzasadnione. Natomiast przepisy ustawy o Agencji
Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawy o Służbie
Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego, a także ustawy
o Centralnym Biurze Antykorupcyjnym w ogóle nie przewidują obowiązku
usunięcia zgromadzonych przez nie danych telekomunikacyjnych, gdy
przestały być one niezbędne dla prowadzonego postępowania.

W ocenie NIK, konieczne jest pilne wprowadzenie
przepisów w zakresie obowiązku niszczenia zbędnych danych
telekomunikacyjnych będących w posiadaniu służb. Przepisy powinny nie
tylko określić sam obowiązek niszczenia danych, ale również precyzować
tryb i sposób jego realizacji.

Sprawozdawczość

Jak wykazała kontrola NIK, funkcjonujący obecnie
system gromadzenia informacji o pozyskiwaniu danych retencyjnych nie
zapewnia rzetelnej informacji o liczbie tego rodzaju przypadków. Brak
jest precyzyjnie określonych wskaźników pomiarowych, a ustanowione
procedury nie zapobiegają wystąpieniu rażących błędów. Również zakres
gromadzonych danych sprawozdawczych nie pozwala na ocenę, dla jakich
celów, jak często i z jakim skutkiem retencja danych jest stosowana. W
ocenie NIK, dla prawidłowej oceny funkcjonowania systemu retencji
danych niezbędne jest gromadzenie danych w zakresie: liczby przypadków,
w których uprawnione organy uzyskiwały od przedsiębiorców
telekomunikacyjnych dane retencyjne (z wyodrębnieniem sytuacji, gdy
były to wyłącznie dane osobowe użytkownika); liczby osób, których dane
telekomunikacyjne były pozyskiwane i wykorzystywane przez uprawnione
organy; łącznej liczby odmów udostępnienia danych (ze wskazaniem
zasadniczych przyczyn); informacji na temat rodzaju spraw, w których
środek ten wykorzystywano oraz jego skuteczności.

źródło: NIK

Kan