(Nie)legalny Pegasus. Co służby mogą, a co jest zakazane?

Sprawa Pegasusa w Polsce budzi silne emocje i stała się wątkiem politycznej rozgrywki między obozem władzy a opozycją. Jedni silnie krytykują zakup izraelskiego systemu, drudzy tłumaczą, że państwo powinno dysponować tego typu instrumentami. 

Przypomnijmy jednak, że eksperci Citizen Lab wskazali, iż za pomocą produktu NSO Group inwigilowano mecenasa Romana Giertycha, prokurator Ewę Wrzosek, senatora Krzysztofa Brejzę, prezesa AGROunii Michała Kołodziejczaka oraz dziennikarza Tomasza Szwejgierta. 

W celu zbadania przypadków nielegalnej inwigilacji w Polsce w Senacie utworzona została senacka komisja nadzwyczajna ds. Pegasusa. Opozycja walczy również o powstanie sejmowej komisji śledczej, lecz obóz władzy stawia opór, aby do tego nie doszło. 

„Sprawa Pegasusa jest jednym wielkim wymysłem. Po prostu bajką o jakimś smoku, który tutaj biegał po Polsce, tylko takiego smoka nigdzie nie było ” – mówił w środę w Polskim Radiu wicepremier i prezes PiS Jarosław Kaczyński. 

Z kolei lider PO Donald Tusk w czwartkowej rozmowie w TOK FM stwierdził, że afera Pegasusa to nie tylko kwestia podsłuchiwania i inwigilacji, lecz represja wobec opozycji i gwałt demokracji. „Te rządy coraz bardziej przypominają regularny gang – czasami Olsena, czasami mafię sycylijską” – ocenił.

Czas na ekspertyzę

Kwestię legalności Pegasusa w naszym kraju postanowili przeanalizować eksperci fundacji „Krakowski Instytut Prawa Karnego”. Specjaliści przeprowadzili ekspertyzę dotyczącą „dopuszczalności nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych”. 

Narzędzia kontroli operacyjnej są legalne

Przedstawiciele Katedry Prawa Karnego Uniwersytetu Jagiellońskiego wskazują, że wykorzystanie „systemów teleinformatycznych, których integralną częścią są programy komputerowe, pozwalające utrwalać, bez wiedzy i zgody użytkownika, prowadzone rozmowy telefoniczne oraz pobierać wiadomości SMS/MMS oraz wiadomości z komunikatorów używanych przez osobę poddaną kontroli operacyjnej, w tym wiadomości wysyłane i otrzymywane przed datą rozpoczęcia kontroli operacyjnej” – jest legalne. Jednak muszą do tego celu zostać użyte akredytowane przez ABW lub SKW rozwiązania gwarantujące bezpieczeństwo informacji niejawnych, które równocześnie nie pozwalają na ingerencję w treść danych znajdujących się na urządzeniu, bądź ich udostępnianie podmiotom i/lub osobom trzecim (które są do tego nieuprawnione). 

Służby nie mają takich kompetencji

Eksperci podkreślają, że wykorzystanie narzędzi przeznaczonych do utrwalania rozmów i obrazu, w których znajduje się urządzenie, po przejęciu nad nim kontroli i włączeniu mikrofonu lub kamery – jest niezgodne z polskim prawem. Wynika to z faktu, że obowiązujące w naszym kraju regulacje nie nadają służbom kompetencji do aktywnego używania funkcjonalności systemu i/lub urządzenia końcowego do agregowania danych, które znajdują się poza obiektem objętym kontrolą w efekcie działania jego użytkownika albo określonej konfiguracji. 

Z ekspertyzy wynika, że wykorzystanie rozwiązań technologicznych służących do pobierania danych dostępowych (np. loginów i haseł) z urządzenia osoby, wobec której służby prowadzą kontrolę operacyjną – jest zgodne z prawem. 

Równocześnie jednak należy zaznaczyć, że „przeglądanie i pobieranie danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych” – stanowi naruszenie przepisów obowiązujących w naszym kraju. 

Nie można korzystać z narzędzi nieakredytowanych

Przedstawiciele Krakowskiego Instytutu Prawa Karnego tłumaczą, że użycie takich rozwiązań jak Pegasus, umożliwiających pozyskanie całej zawartości urządzenia, należącego do osoby objętej kontrolą operacyjną „budzi wątpliwości co do zgodności” z obowiązującym prawem. Chodzi o spełnieniein concreto konstytucyjnej zasady proporcjonalności.

W tym kontekście niezgodne z przepisami jest użycie do powyższego celu narzędzi, które nie są akredytowane przez ABW lub SKW i nie gwarantują bezpieczeństwa informacji niejawnych, bądź pozwalają na ingerencję w dane znajdujące się na urządzeniu albo też umożliwiają ich udostępnienie nieupoważnionym osobom i/lub podmiotom trzecim. Dotyczy to również przekazywania informacji służbom obcych państw.

Zakaz zmieniania zawartości

Co więcej, służby w ramach prowadzonej kontroli operacyjnej nie mają prawa wykorzystywać rozwiązań technologicznych do zmieniania zawartości urządzeń, np. dodawać, modyfikować lub usuwać pliki. 

Kwestie proceduralne

Eksperci mówią wprost: „Wniosek o kontrolę operacyjną kierowany do sądu powinien określać cele, zakres i sposób kontroli, w tym wykorzystywane programy komputerowe wraz ze wskazaniem ich funkcjonalności w kontekście rodzaju, źródeł i liczby pozyskiwanych informacji, a także zakres czasowy gromadzenia danych”. 

Jeśli chodzi o aspekt proceduralny, polskie prawo wskazuje, że osoba objęta kontrolą operacyjną „powinna mieć prawo do powiadomienia o zakończonej wobec niej kontroli operacyjnej i złożenia zażalenia do niezależnego organu kontroli na podjęte wobec niej czynności operacyjne”.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.