|
Jaś Kapela, Krytyka Polityczna: W zeszłym roku policja, sądy i służby specjalne ponad milion trzysta tysięcy razy wystąpiły o nasze dane telekomunikacyjne. Czy to dużo?
 Katarzyna Szymielewicz: Zaczęliśmy się nad tym zastanawiać ponad rok temu, gdy w pełni zrozumieliśmy, na czym polega problem z retencją danych – służby, policja, sądy i prokuratura mają prawo sięgać po informacje o naszej komunikacji, w zasadzie bez żadnych ograniczeń. Okazało się też, że Komisja Europejska rozpoczyna proces ewaluacji dyrektywy o retencji danych, czyli bada, jak retencja funkcjonuje we wszystkich państwach UE. To badanie polega przede wszystkim na zbieraniu informacji od rządów i operatorów telekomunikacyjnych. Korzystając z tej okazji, zapytaliśmy o dokumenty, jakie polski rząd przygotował dla KE. I dowiedzieliśmy się, że dwa lata temu było ponad milion zapytań o dane telekomunikacyjne. Ta liczba wydała się nam szokująca.
Co to właściwie są za dane?
Problem w tym, że wciąż nie do końca wiadomo, co się kryje za tą liczbą – jak zaczęliśmy drążyć, to okazało się, że Polska jest jednym z krajów, które nie podały Komisji szczegółowych danych. Ze statystyk przekazanych do Brukseli nie wynikało, kto pytał, o co konkretnie pytał ani po co pytał. Ponieważ chcieliśmy się dowiedzieć więcej – a najbardziej pomocne są w tym media – sprowokowaliśmy newsa o „milionie bilingów” na pierwszą stronę Wyborczej. W efekcie rząd zainteresował się sprawą i zaczął zaprzeczać, twierdząc, że to nie były wcale zapytania o bilingi i wcale nie było ich dużo, bo ten milion obejmuje wszelkie rodzaje zapytań, jakie służby kierowały do operatorów. Według strony rządowej chodziło przede wszystkim o tzw. zapytania abonenckie, czyli o to, do kogo należy dany numer. Minister Cichocki, który nadzoruje służby specjalne, porównał to do sprawdzania książki telefonicznej. Nie przyjęliśmy tych wyjaśnień bezkrytycznie. Cichocki wysłał pisma do wszystkich służb, nad którymi ma nadzór, a nawet do instytucji, nad którymi nadzoru nie ma, jak policja i sądy, mając nadzieję, że dowie się dokładnie, jaka była struktura zapytań o dane. Niestety, informacje, które dostał, wyjaśniają tylko połowę danych z 2009. Z analizy ministra wynika, że dwie trzecie to były zapytania abonenckie i geolokalizacyjne. Na naszej stronie można zobaczyć dokładne wykresy.
Czyli pytano, kto dzwonił i skąd?
Tak. Najmniej było zapytań o same bilingi. O lokalizację pytała głównie Straż Graniczna, którą najwyraźniej szczególnie interesuje miejsce pobytu osób, nad którymi pracują. Nam to się wcale nie wydało dobrą wiadomością. Z tych analiz wcale nie wynika, że nie ma problemu – bo jest, ani że zapytania o dane telekomunikacyjne nie naruszają prywatności – bo naruszają. Oczywiście, to nie to samo zapytać o właściciela danego numeru, co zapytać o jego pełny biling. Ale sam fakt, że służby tak często sięgają do tych danych, coś mówi. Wygląda na to, że w Polsce to jest dominujące narzędzie działania służb.
W innych krajach europejskich tych zapytań było mniej?
Tak, nawet kilkadziesiąt razy mniej. Z tym że niektóre kraje, gdy podawały Komisji dane o retencji, nie brały pod uwagę zapytań o dane abonenckie, a jedynie o lokalizację i bilingi. Stąd może wynikać tak duża rozpiętość w liczbach. Na przykład w tym samym 2009 roku Czechy wykazały 280 271 zapytań, Dania – 4066, Francja – 514 813, Hiszpania – 70 090, a Niemcy nie wykazały wcale, ponieważ ich Trybunał Konstytucyjny w 2008 roku uznał retencję danych za niezgodną z konstytucją i bazy danych zlikwidowano.
Retencja dotyczy tylko telekomunikacji?
Tak, telekomunikacji w sensie telefonii mobilnej, stacjonarnej i internetu. Z prawa, jakie aktualnie mamy w Polsce, wynika, że operatorzy powinni gromadzić wszelkie dane, jakie są niezbędne do ustalenia, kto, kiedy, z kim i jaką metodą się połączył lub próbował się połączyć. Dotyczy to dowolnej sieci telekomunikacyjnej, chociaż są wątpliwości, jak ten obowiązek interpretować w odniesieniu do internetu. Co ważne, tymi przepisami są objęci tylko dostawcy tzw. powszechnie dostępnych usług telekomunikacyjnych, a nie dostawcy usług internetowych. Czyli TP S.A i jej podobni (np. Play czy Orange), ale już nie Google lub inni dostawcy poczty elektronicznej. Z tego prosty wniosek, że nie wszystko, co się dzieje w internecie, jest objęte retencją. Na pewno można sprawdzić, kiedy się podłączyłam do internetu i gdzie się zalogowałam, ale już co do poczty elektronicznej są wątpliwości. Ludzie o wiele częściej, niż ze skrzynki oferowanej przez firmę, która dostarcza im przysłowiowy kabel do sieci, korzystają z rozwiązań typu cloud computing – czyli wirtualnych serwerów oferowanych na przykład przez Google – a ten rodzaj usługi nie jest objęty retencją. Czasem w gronie specjalistów można usłyszeć pytania, czy TP S.A. nie powinna filtrować sieci, żeby móc monitorować, kto i kiedy wysyłał pocztę za pośrednictwem ich „kabla”. Technicznie to jest oczywiście do zrobienia, ale moim zdaniem nic takiego się nie dzieje. Ludzie, z którym rozmawiałam, uważają, że tak naprawdę retencji danych internetowych w Polsce jeszcze nie ma. Nie dlatego, że brak odpowiedniego prawa. Prawo jest, tylko nikt do końca nie wie, jak je rozumieć. I mam nadzieję, że tak pozostanie, ponieważ szykuje się zmiana przepisów. Unia już oceniła skutki wdrożenia dyrektywy i właśnie przygotowuje się do zmiany prawa. Możemy się jej spodziewać w ciągu roku. Dla Polski jest to o tyle ważne, że nikt nie będzie się martwił pełnym wdrożeniem przepisów, które zaraz mają się zmienić.
A co z naszym prawem?
Zaryzykuję stwierdzenie, że jeśli chodzi o retencję danych, mamy prawdopodobnie najgorsze prawo w Europie. Ale polski rząd również obiecuje zmianę przepisów. Po tym, jak wybuchała afera z „milionem bilingów”, sprawą zainteresowała się też Rzecznik Praw Obywatelskich. Zorganizowała u siebie debatę, na której starliśmy się z ministrem Cichockim. Po niej prof. Lipowicz wysłała oficjalne pismo do premiera, domagając się zmian. Stwierdziła, że obecne prawo daje służbom niemal nieograniczony dostęp do danych i narusza konstytucyjne zasady. Mniej więcej w tym samym czasie SLD wystosował skargę na te przepisy do Trybunału Konstytucyjnego. Widzimy więc różne „ruchy w systemie” zmierzające do zmiany przepisów – premier powołał w końcu zespół, który do końca czerwca ma zaproponować nowe podeście do uregulowania retencji danych.
Czy tak duża liczba zapytań wynika też z tego, że służbom wszelkie dane są udostępnianie bezpłatnie?
Tak, to jest jeden z problemów.
W innych krajach trzeba płacić?
Tak. Na przykład w Wielkiej Brytanii służby zwracają operatorom koszt przechowywania i udostępniania danych telekomunikacyjnych. Doświadczenie innych państw pokazuje, że nawet niewielkie, symboliczne opłaty za realizację zapytań skłaniają służby do zastanowienia się, czy rzeczywiście konkretne dane są im tak bardzo potrzebne.
Polskie firmy nie lobbują za tym, żeby państwo musiało płacić za otrzymywane informacje?
To jest ciekawe: Komisja Europejska pytała zarówno rząd, jak i operatorów, co sądzą o retencji. Polscy operatorzy odpowiedzieli, że ponoszą duże koszty (sama budowa infrastruktury to kilkaset milionów), ale nie zgłaszają problemu. Komisja pytała też, czy to, że są różne zasady – na przykład uzyskiwania dostępu do danych czy zwrotu kosztów – w poszczególnych państwach, nie zakłóca wolnej konkurencji. Firmy odpowiedziały, że nie… Oczywiście nie przeszkadza im to, bo koszty przerzucają na klientów. Do tego utrzymują legalnie ogromne zbiory danych, które mogą wykorzystywać. Prawo formalnie nie pozwala na użycie tych danych w celach komercyjnych, ale przecież nikt nie jest w stanie skontrolować, czy firmy na tej podstawie nie tworzą na przykład profili swoich klientów.
Gdyby nie było przepisów o retencji, nie zbierałyby tych danych?
Nie powinny. Mamy w prawie zakaz gromadzenia danych – firmy mogą je zbierać tylko pod określonymi warunkami, na przykład kiedy jest to konieczne do wykonania usługi. Jeśli chcę mieć komórkę na abonament, muszę płacić za nią rachunki. To oznacza, że firma musi przygotowywać bilingi i je przez pewien czas przechowywać, żeby móc mnie rzetelnie rozliczyć. A jeśli rozliczy mnie źle, chcę mieć możliwość reklamacji. To są przykładowe powody, dla których nasze dane muszą być gromadzone. Jednak według prawa powinny być gromadzone tylko tak długo, jak długo są niezbędne. Moim zdaniem ten okres wynosi w przybliżeniu trzy miesiące. Zwykle tyle mamy czasu na reklamację, rachunek jest już wystawiony i zapłacony – bądź nie. Jeżeli nie zapłaciłam, biling rzeczywiście trzeba zachować trochę dłużej, żeby móc mnie ścigać. Ale w normalnym obrocie po trzech miesiącach dane powinny być kasowane.
Natomiast dane o lokalizacji w ogóle nie są operatorom potrzebne, bo nie ma usług opartych na lokalizacji. Jeśli z nich korzystamy, to raczej za pomocą portali społecznościowych (które retencji nie podlegają), ale nie bezpośrednio w telefonie. Są więc zbierane i przechowywane tylko z uwagi na przepisy o retencji, w celach związanych z bezpieczeństwem. Myślę jednak, że w rzeczywistości ten krajobraz wygląda o wiele gorzej i operatorzy zbierają wszelkie przydatne im dane, łamiąc prawo. Aparat nadzoru jest słaby. Nie ma odpowiednio wysokich kar.
A przecież mamy tyle służb specjalnych.
Ludzie z branży twierdzą, że operatorzy przechowują dane nie tylko z obowiązkowych dwóch lat, ale z całej historii klienta. Generalny Inspektor Ochrony Danych Osobowych ma wciąż za słaby aparat, żeby to skutecznie skontrolować. Za niestosowanie się do jego decyzji może nałożyć kary w wysokości kilku czy kilkunastu tysięcy. To żadna kara dla operatora. A więc problem jest podwójny: z jednej strony – retencja na potrzeby organów ścigania; z drugiej – przechowywanie przez operatorów danych dłużej, niż to konieczne, bo mogą się przydać, a prawo ich nie dyscyplinuje.
Kolejnym problemem jest to, że nikt nie kontroluje dostępu służb do danych. Nie ma żadnej weryfikacji, czy rzeczywiście to, o co proszą, jest im niezbędne. Zgodnie z prawem operator musi dane udostępnić, ale służby nie muszą szczegółowo uzasadniać, do czego ich potrzebują. Wystarczającym uzasadnieniem jest ogólnie pojęta „realizacja celów ustawowych”. Czyli na przykład CBA zbiera dane, żeby walczyć z korupcją. Teoretycznie może powiedzieć: potrzebujemy danych stu tysięcy warszawiaków, ponieważ będziemy analizować, kto komu daje łapówki. Jestem w stanie uwierzyć, że CBA rzeczywiście pracuje na wielką skalę, ale denerwuje mnie, że może w niekontrolowany sposób pobierać wrażliwe dane. Tym bardziej, że w polskich realiach jest to regularnie wykorzystywane do celów politycznych.
W innych krajach przepisy o retencji też są źródłem takich problemów?
Nie aż takich. W niektórych krajach – m.in. w Holandii, Belgii, Estonii, Bułgarii, na Litwie – jest przewidziana kontrola sądu. W Szwecji i Austrii w ogóle nie ma retencji. W Niemczech retencja została zniesiona, bo niemiecki odpowiednik Trybunału Konstytucyjnego stwierdził, że jest niezgodna z konstytucją. Z tego samego powodu retencji nie ma też w Rumunii. A wszystkie te kraje jakoś radzą sobie z przestępczością. Co pokazuje, że korelacja między wykrywalnością przestępstw a retencją, przy czym upierają się polskie służby, jest trudna do udowodnienia. Jeśli już jednak mamy retencję danych, powinna przynajmniej zostać poddana niezależnej kontroli. W tym momencie takiego mechanizmu nie ma. Służby mają za to interfejs, który umożliwia im natychmiastowy dostęp do systemu informatycznego operatorów: kiedy potrzebują coś sprawdzić, po prostu logują się i sprawdzają. Nie muszą pisać podań ani stać w kolejkach. Kontrola jest tylko wewnątrz samych służb, zresztą o jej zasadach też nic nie wiemy – możemy się tylko domyślać, że istnieje.
I to jest zgodne z dyrektywą unijną?
Sam mechanizm korzystania z danych telekomunikacyjnych za pomocą stałego interfejsu – tak. Ale korzystanie z tego narzędzia powinno być obwarowane odpowiednimi zastrzeżeniami. Na przykład że osoba pobierająca takie dane musi mieć autoryzację. Można sobie nawet wyobrazić, jako warunek, zgodę prokuratora czy sądu.
To jest realne, że służby będą się logować ze zgodą sądu w dłoni?
Oczywiście, jak już oddajemy taką „zabawkę” w ręce służb, bardzo trudno jej upilnować. Ale mogę sobie wyobrazić, że istnieje realna odpowiedzialność służbowa – że można nie tylko sprawdzać, kto się logował do systemu, ale także wyciągać konsekwencje wobec osób, które tego narzędzia nadużyły. Choć to jest naturalnie słabsza metoda zabezpieczenia danych niż na przykład wymóg uzyskania zgody sądu przed zapytaniem operatora o konkretne dane. Z drugiej strony, ponieważ czasami dane są potrzebne bardzo szybko, można – w wyjątkowych sytuacjach – zaprojektować mechanizm oparty na tzw. zgodzie następczej. Coś takiego działa (choć też różnie) przy podsłuchach. Na przykład w sytuacji, gdy zaginęła osoba i trzeba szybko sprawdzić, gdzie po raz ostatni logowała się do sieci, dostęp do danych może być natychmiastowy. Prośba o sądu kieruje się wtedy dopiero po fakcie, ale wciąż to sąd ocenia, czy dane były niezbędne do przeprowadzenie operacji. I jeśli się okaże, że nie były – są wyciągane konsekwencje. Jest szansa, że taka perspektywa podziałałaby trzeźwiąco na służby.
*Katarzyna Szymielewicz - prawniczka i aktywistka. Absolwentka WPiA Uniwersytetu Warszawskiego oraz School of Oriental and African Studies. Prezeska Fundacji Panoptykon, działającej na rzecz ochrony praw człowieka wobec zagrożeń związanych z rozwojem społeczeństwa nadzorowanego.
Na podobny temat
|
Order software online 
@Spokojny "Overall proponuje...
Pomysł, żeby na każdą parę przypadało...