Pegasus w Polsce. Premier ignoruje Rzecznika Praw Obywatelskich?

Biuro Rzecznika Praw Obywatelskich oficjalnie wskazuje , że w styczniu br. dr hab. Marcin Wiącek skierował do prezesa Rady Ministrów Mateusza Morawieckiego „obszerne wystąpienie generalne” dotyczące afery Pegasusa i inwigilacji za pomocą narzędzi szpiegowskich. 

Jego podstawą były „liczne pytania obywateli”. Odnosiły się one do m.in. dopuszczalności użycia produktu izraelskiej firmy NSO Group w ramach kontroli operacyjnej.

Niezgodność polskich przepisów

W treści styczniowego pisma dr hab. Marcin Wiącek zwracał uwagę Mateusza Morawieckiego na potrzebę „podjęcia prac legislacyjnych w związku z niezgodnością polskich przepisów inwigilacyjnych ze standardami konstytucyjnym (określonym przez Trybunał Konstytucyjny) oraz międzynarodowym i unijnym (określonymi w orzecznictwie Europejskiego Trybunału Praw Człowieka i Trybunału Sprawiedliwości Unii Europejskiej)”.

O problemie tym mówili również wcześniejsi Rzecznicy Praw Obywatelskich, lecz rząd nie podjął w tej sprawie żadnych kroków. 

Iluzoryczna kontrola

Dr hab. Marcin Wiącek podkreślał także, że kontrola nad zbieraniem informacji o obywatelach jest „iluzoryczna”.

Wskazywał jednoznacznie, że tego typu zadanie powinno spoczywać na niezależnym organie, który zajmowałby się również oceną i rozpatrywaniem napływających skarg. 

W obecnej sytuacji Polacy nie są informowani o tym, że byli obiektem działań służb w zakresie inwigilacji, a na taką potrzebę wskazał Trybunał Konstytucyjny. 

Premier milczy

RPO wysłał pismo do premiera w styczniu, do dzisiaj jednak szef rządu nie odpowiedział. 

„Dostał jedynie do wiadomości przekazane pismo KPRM z 18 stycznia 2022 r., przekazujące wystąpienie Ministrowi Spraw Wewnętrznych i Administracji, Ministrowi–Koordynatorowi Służb Specjalnych” – mówi Biuro Rzecznika Praw Obywatelskich.

Drugie podejście

Z tego względu Rzecznik podjął decyzję o ponownym zwróceniu się do Mateusza Morawieckiego. 

W piśmie dr hab. Marcin Wiącek przedstawił premierowi dotychczasowe orzecznictwo Trybunału Konstytucyjnego (TK), Europejskiego Trybunału Praw Człowieka (ETPC) i Trybunału Sprawiedliwości UE (TSUE) odnoszące się do retencji danych telekomunikacyjnych. 

Przechodząc do szczegółów, w wyroku z 5 kwietnia br. TSUE (sprawa C-140/20) odniósł się do art. 15 ust 1 najnowszej wersji dyrektywy o prywatności i łączności elektronicznej (dyrektywy 2002/58/WE).

Biuro RPO zwraca uwagę, że zdaniem Trybunału wspomniany przepis w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty Praw Podstawowych „nie stoi na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego:

• ukierunkowane zatrzymywanie danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kategorii osób, których dane dotyczą lub za pomocą kryterium geograficznego, przez okres ograniczony do tego, co ściśle niezbędne, ale odnawialny;
• uogólnione i niezróżnicowane zatrzymywanie adresów IP przydzielonych źródłu połączenia, przez okres ograniczony do tego, co ściśle niezbędne;
• uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej;
• posłużenie się skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, nakazem szybkiego zatrzymania przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują ci dostawcy usług,
• o ile środki te, za pomocą jasnych i precyzyjnych przepisów, zapewniają, że odnośne zatrzymywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć”. 

Orzeczenie unijnego trybunału mówi również, że art. 15 ust. 1 dyrektywy 2002/58/WE w odniesieniu do wspomnianych przepisów KPP (art. 7, 8, 11 oraz art. 52 ust. 1) należy interpretować w taki sposób, że „stoi on na przeszkodzie uregulowaniu krajowemu, na podstawie którego scentralizowane rozpatrywanie pochodzących od policji wniosków o udzielenie dostępu do danych zatrzymanych przez dostawców usług łączności elektronicznej, w ramach wykrywania i ścigania poważnych przestępstw, należy do funkcjonariusza policji, wspieranego przez jednostkę ustanowioną w obrębie policji, której przysługuje pewien stopień autonomii w wykonywaniu powierzonego jej zadania i której decyzje mogą być następnie przedmiotem kontroli sądowej”. 

Co więcej, unijne przepisy nie dopuszczają, by sąd danego kraju członkowskiego „ograniczył w czasie skutki stwierdzenia nieważności, którego ma on dokonać na podstawie prawa krajowego w odniesieniu do uregulowania krajowego nakładającego na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji, a to ze względu na niezgodność tego uregulowania z art. 15 ust. 1 dyrektywy 2002/58 w związku z KPP” – wskazuje Biuro RPO. 

Z tego wynika, że sprawa dopuszczalności materiału dowodowego uzyskanego poprzez uogólnione i niezróżnicowane zatrzymanie należy do prawa krajowego (na podstawie autonomii proceduralnej państw członkowskich). Oczywiście z zastrzeżeniem poszanowania zasad równoważności i skuteczności.

Problem projektowanej ustawy

Co więcej, Rzecznik Praw Obywatelskich zwraca uwagę, że na końcowym etapie znajdują się prace nad zmianami prawa, które rozszerzają zakres zatrzymywanych danych w Polsce. Mowa o projekcie ustawy „Prawo komunikacji elektronicznej” (PKE). Nowe przepisy mają zastąpić obowiązujące „Prawo telekomunikacyjne”. 

Dr hab. Marcin Wiącek podkreśla, że w kontekście do orzecznictwa TSUE, TK i ETPC, wątpliwości budzą przede wszystkim dwa fragmenty projektowanej ustawy. Chodzi o art. 47 i art. 49, które rozszerzają zakres zatrzymywanych danych telekomunikacyjnych, a powinny je zmniejszać. 

Ponowny apel do premiera

W związku z tym RPO prosi szefa rządu, aby w trybie pilnym w kompleksowy sposób odniósł się do wszystkich kwestii zawartych w styczniowym oraz - w najnowszym piśmie. 

Biuro Rzecznika przypomina, że na podstawie obowiązującego prawa (art. 15 ust 2 ustawy z 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich) premier jest zobowiązany bez zbędnej zwłoki i nie później niż 30 dni przekazać RPO informacje o podjętych w danej kwestii działaniach lub podzielić się z nim stanowiskiem.

Skontaktowaliśmy się w powyższej sprawie z kancelarią premiera. Czekamy na odpowiedź.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].