Rząd zadeklarował wycofanie pomysłu rozszerzenia obowiązku gromadzenia danych o użytkownikach i użytkowniczkach na dostawców poczty elektronicznej i komunikatorów internetowych. Nie będzie też przepisu, który mógł oznaczać konieczność zaszywania backdoorów do szyfrowanych usług. Za miesiąc ma odbyć się wysłuchanie publiczne w sprawie projektu. Jednak stary problem: zbyt szerokiego zakresu retencji danych, do której zobowiązani są w tej chwili operatorzy telekomunikacyjni, pozostaje aktualny.
Prawo Komunikacji Elektronicznej bez (kolejnego) zamachu na prywatność
W naszej opinii do projektu PKE podkreśliliśmy, iż obowiązujący w tej chwili zakres retencji danych telekomunikacyjnych jest zbyt szeroki i przez to sprzeczny z przepisami i orzecznictwem Unii Europejskiej. Tym bardziej sprzeczne byłoby rozciągnięcie obowiązku przechowywania danych na podmioty świadczące „usługi komunikacji interpersonalnej niewykorzystującej numerów” (czyli właśnie m.in. poczty elektronicznej i komunikatorów internetowych). Co więcej, miały być one zobowiązane do przechowywania „danych jednoznacznie identyfikujących użytkownika” (chociaż dookreślenie, iż to mają być np. numery IP, nie sprawiłoby wprawdzie, iż projekt stałby się zgodny z prawem, ale byłoby przynajmniej wiadomo, o jakich zagrożeniach rozmawiamy).
W swojej opinii nie jesteśmy osamotnieni. Niespodziewanego sojusznika zyskaliśmy w Ministerstwie ds. Unii Europejskiej, które w swoim stanowisku do projektu również zwróciło uwagę na problemy z retencją danych. Sprawa postawiła też do pionu ekspertów od cyberbezpieczeństwa.
Rząd jednak zlekceważył krytyczne opinie. Dopiero nagłośnienie problemu w mediach sprawiło, iż rząd zadeklarował wycofanie się z pomysłu dalszego ułatwienia służbom sięgania po naszą komunikację elektroniczną.
Obecny zbyt szeroki obowiązek retencji – zostaje
Cieszymy się, iż (prawdopodobnie) nie będzie gorzej, ale to nie rozwiązuje istniejących problemów. Od lat zwracamy uwagę, iż polskie służby mają zbyt swobodny dostęp do danych telekomunikacyjnych, czyli np. lokalizacji naszych urządzeń mobilnych czy listy osób, z którą kontaktujemy się przez telefon. I skwapliwie z niego korzystają. W samym 2021 r. uprawnione do tego służby pozyskały dane telekomunikacyjne ponad 1,8 mln razy (a liczba ta nie obejmuje zapytań o to tzw. dane abonenckie, czyli do kogo należy dany numer).
Problemy są dwa. Pierwszy to zbyt szeroko zakreślony obowiązek retencji (przechowywania danych), na który zwróciło uwagę Ministerstwo ds. UE – bo dotyczy wszystkich użytkowników i użytkowniczek, a nie tylko osób podejrzewanych o przestępstwa. Operatorzy telekomunikacyjni wciąż muszą przez 12 miesięcy przechowywać informacje o tym, do kogo dzwonisz, jak się przemieszczasz i z jakiego numeru IP korzystasz.
Drugi problem to brak realnej kontroli nad służbami, które mogą sprawdzać kogo chcą i kiedy chcą (o tym, dlaczego kontrola jest iluzoryczna, pisaliśmy w raporcie „Rok z ustawą inwigilacyjną. Co się zmieniło? Czy było się czego bać?”).
Podkreślmy, co to oznacza w praktyce: służby kilkoma kliknięciami, bez potrzeby pytania sądu o zgodę, mogą sprawdzić, do kogo dzwoniłaś przez ostatni rok i gdzie się przemieszczałeś (z telefonem w kieszeni) przez ostatni rok. A ty choćby się o tym nie dowiesz. Z tym rząd póki co nie planuje nic zrobić.
Demokracja nagłówkowa
Nie umiemy powiedzieć, dlaczego rząd zignorował opinię własnych specjalistów od zgodności polskich przepisów z prawem Unii Europejskiej, a przejął się przesadzonymi nagłówkami z portali informacyjnych. Jak mówi stare porzekadło, nie ma tego złego… Ale wolelibyśmy, żeby rząd reagował na rzetelne opinie ostrzegające przed zagrożeniami, a nie te wydumane, podbijane w nagłówkach portali żyjących z kliknięć. W każdym razie my będziemy dalej robić swoje.