Afera Pegasusa obnażyła słabość polskiego systemu. „Nie zmieniło się nic”

W 2021 roku pojawiło się oficjalne potwierdzenie stosowania przez polskie służby oprogramowania szpiegowskiego Pegasus. Początkowo sprawę badała komisja powołana przez Senat; po wyborach w październiku 2023 roku oraz zmianie władzy, nowy rząd zapowiedział rozliczenie afery – z sejmową komisją śledczą na czele.

Jak jednak opisywaliśmy na naszych łamach, byłego ministra sprawiedliwości Zbigniewa Ziobrę udało się przesłuchać dopiero we wrześniu 2025 roku.

Oprogramowanie szpiegujące niczym broń atomowa

Sprawie Pegasusa, innych programów szpiegujących oraz podejścia rządu do tego problemu poświęcono raport Fundacji Panoptykon „Demokracja na podsłuchu. Polska wobec Pegasusa i oprogramowania szpiegującego”. Dokument został zaprezentowany opinii publicznej w poniedziałek; główne wnioski przedstawiono podczas specjalnego spotkania w Warszawie.

Jak powiedział Wojciech Klicki, wiceprezes Fundacji Panoptykon podczas prezentacji raportu, spyware może posiadać nie tylko funkcje pasywne – tj. biernego pozyskiwania informacji – lecz także aktywne, obejmujące modyfikowanie czy dodawanie treści. Ma to na tyle poważny wpływ na prywatność, że w dokumencie oprogramowanie szpiegujące zostało przyrównane do broni atomowej.

W naszym raporcie rekomendujemy szereg zmian. Uznajemy, że nie podważamy tego, że w niektórych sytuacjach służby mogą potrzebować oprogramowania szpiegującego do skutecznego działania. Jednocześnie, żeby Polska była odporna na nadużycia, potrzebne są zmiany w dwóch warstwach. Jedną warstwą są zmiany dotyczące kontroli operacyjnej wszystkich podsłuchów. Spośród tych zmian szczególnie zwracamy uwagę na obowiązek informowania osób o tym, że były inwigilowane oraz przyznanie tym osobom prawa do zaskarżenia tego.
Wojciech Klicki, wiceprezes Fundacji Panoptykon

Obietnice bez realizacji

Jak wskazano w raporcie, pomimo upływu 2,5 roku od wyborów parlamentarnych, obietnice obecnej koalicji rządzącej dotyczące uregulowania kwestii oprogramowania szpiegowskiego nie doczekały się realizacji.

Dodatkowo, rozpoczęte kilka miesięcy przed wyborami prace nad projektem ustawy o Kodeksie pracy operacyjnej, który m.in. legalizował stosowanie spyware, zostały zarzucone po zmianie władzy.

Realizacji nie doczekał się również wyrok Europejskiego Trybunału Praw Człowieka w sprawie Pietrzak, Bychawska-Siniarska i inni przeciwko Polsce dotyczący zasad prowadzenia kontroli operacyjnej. Opóźnia się publikacja sprawozdania końcowego z prac sejmowej komisji śledczej ds. Pegasusa, nie przedstawiono również aktów oskarżenia.

Z drugiej strony, pojawiły się rozporządzenia wprowadzające informowanie sądu przez służby o typie narzędzia, jakie ma zostać wykorzystane do inwigilacji, czy wymóg uzasadniania zgody lub jej braku przez sąd. Jednakże, część sędziów wskazuje, że kwestia uzasadnienia jest nieskuteczną zmianą, ponieważ miała zostać wprowadzona z pominięciem hierarchii aktów prawnych.

Przepisy nie tylko dla kontroli. Będzie zakaz aktywnego spyware?

Według Fundacji Panoptykon, potrzebne są systemowe zmiany w nadzorze nad prowadzeniem kontroli operacyjnej przez służby. Wskazano przy tym na konieczność wdrożenia takiego modelu pozyskiwania zgody sądu na prowadzenie działań, który umożliwiałby realną kontrolę wstępną: sędziowie powinni mieć wystarczająco dużo czasu oraz odpowiednie wsparcie do zapoznania się z całym materiałem dotyczącym sprawy.

W raporcie podkreślono także konieczność udziału w postępowaniu adwokata prywatności broniącego prawa osoby, której dotyczy wniosek. Ona sama z kolei musi również posiadać prawo do informacji o tym, że interesują się nią uprawnione instytucje, a także posiadać prawo dostępu do przetwarzanych przez te instytucje danych osobowych i możliwość zaskarżenia decyzji sądu.

Regulacje powinny również objąć samo oprogramowanie szpiegujące. Przepisy powinny jasno rozróżniać funkcje pasywne i aktywne spyware, i jednocześnie dopuszczać stosowanie jedynie tych pierwszych. Samo oprogramowanie powinno być z kolei stosowanie wyłącznie z sprawach „o szczególnej wadze”, dotyczących najcięższych przestępstw, jak np. terroryzm, zaś dane pozyskane w ten sposób powinny mieć zagwarantowane bezpieczeństwo przed nieuprawnionym dostępem przez dostawców tychże technologii.