Przechowywanie danych – zagadnienia ogólne
Przechowywanie przez operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych przez okres 2 lat danych transmisyjnych abonentów oraz użytkowników końcowych w celu zapewnienia realizacji przez uprawnione organy zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego reguluje w Polsce ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (dalej: „pr. tel.”), (Dz.U. z 2004 r. Nr 171 poz. 1800 ze zm.). Okres przechowywania z dniem 9 lutego 2006 r. został wydłużony z 12 miesięcy do 2 lat. W toku prac legislacyjnych nad zmianą art. 165 pr. tel. proponowano nawet piętnastoletni okres przechowywania tych danych, uzasadniając to okresami przedawnienia przestępstw. Propozycja ta nie została jednak przyjęta. Dane transmisyjne oznaczają dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej, wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych. Z treści definicji danych transmisyjnych wynika, że nie dotyczy ona treści przekazów telekomunikacyjnych, a w szczególności e-maili. Ponadto dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do rejestracji i przechowywania danych o wykonanych usługach telekomunikacyjnych, w zakresie umożliwiającym ustalenie należności za wykonanie tych usług oraz rozpatrzenie reklamacji przez okres co najmniej 12 miesięcy, a w przypadku wniesienia reklamacji - przez okres niezbędny do rozstrzygnięcia sporu.
Retencja danych w ustawodawstwie europejskim
Z kolei w ustawodawstwie europejskim zagadnienie retencji danych reguluje Dyrektywa 2002/58/WE z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz zmieniająca ją Dyrektywa 2006/24/WE z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności. Dyrektywa 2006/24/WE powinna być przez Polskę implementowana do marca 2009 r. Zgodnie z tą dyrektywą okres przechowywania danych telekomunikacyjnych wynosi od 6 do 24 miesięcy. Dyrektywa zawiera też rozwiązanie, które umożliwia wydłużenie okresu przechowywania danych, ale pod warunkiem, że dany kraj członkowski wystąpi do Komisji Europejskiej z należycie uzasadnionym wnioskiem i uzyska zgodę na przechowywanie danych przez okres dłuższy niż przewidziane w dyrektywie dwa lata. Dwa państwa przyjęły dłuższy okres retencji danych. We Włoszech przyjęty okres wynosi 29 miesięcy, a w Irlandii 36 miesięcy. Przed uchwaleniem dyrektywy 2006/24 niektóre państwa członkowskie przyjęły w wykonaniu art. 15 ust. 1 dyrektywy 2002/58 krajowe środki dotyczące zatrzymywania danych. Pomiędzy tymi środkami występują jednak istotne rozbieżności. Przykładowo, okresy zatrzymania wynosiły od trzech miesięcy w Niderlandach do czterech lat w Irlandii. Dyrektywa 2006/24 ma ujednolicić wymogi odnośnie do rodzajów danych o ruchu i lokalizacji, które mają być zatrzymywane, oraz warunki i okres ich zatrzymywania.
Nowelizacje prawa telekomunikacyjnego implementujące Dyrektywę 2006/24/WE
Przygotowany przez rząd projekt nowelizacji ustawy Prawo telekomunikacyjne przyjęty przez Radę Ministrów 7 października 2008 r. stanowi pierwszą część implementacji Dyrektywy 2006/24/WE. Zgodnie z projektem ustawy uchylony zostanie art. 165 ust. 1, który obecnie reguluje kwestie związane z przechowywaniem danych transmisyjnych. Operator oraz dostawcy publicznie dostępnych usług telekomunikacyjnych będą mieć obowiązek zatrzymywania i przechowywania na własny koszt danych, służących m.in. do ustalenia zakończenia sieci oraz użytkownika końcowego odbierającego lub inicjującego połączenie, określenia daty i godziny połączenia oraz czasu jego trwania oraz określenia lokalizacji telefonu, z którego zostało wykonane połączenie lub próba połączenia przez 24 miesiące, liczone od dnia połączenia lub nieudanej próby połączenia (zgodnie z nowym art. 180a). Z dniem upływu wskazanego okresu dane te należy zniszczyć. Warto wspomnieć, że projekt nowelizacji prawa telekomunikacyjnego z 2007 r., który nie został uchwalony, wprowadzał obowiązek przechowywania przez operatorów i dostawców usług telekomunikacyjnych danych transmisyjnych przez okres 5 lat. Wprowadzenie w nowym projekcie nowelizacji prawa telekomunikacyjnego z 2008 r. 24-miesięcznego okresu przechowywania i zatrzymywania danych uzasadniane jest m.in. zagrożeniem terrorystycznym i możliwością wykorzystania Polski jako zaplecza logistycznego lub punktu tranzytowego dla ugrupowań terrorystycznych oraz wykorzystywaniem danych w postępowaniach karnych. Nowy przepis będzie również regulował kwestie przejęcia przez Prezesa UKE danych telekomunikacyjnych od upadłego operatora publicznej sieci telekomunikacyjnej. Przedsiębiorcy telekomunikacyjni będą mogli wspólnie realizować obowiązek zatrzymywania, przechowywania i udostępniania oraz chronienia danych lub zlecić wykonywanie tego typu usług innemu przedsiębiorcy telekomunikacyjnemu wyspecjalizowanemu w ich świadczeniu.
W dniach 20-22 stycznia 2009 r. Komisja Infrastruktury rozpoczęła prace nad wskazanym rządowym projektem nowelizacji prawa telekomunikacyjnego (druk nr 1448). Z kolei dnia 16 stycznia 2009 r. Sejm w pierwszym czytaniu odrzucił poselski projekt nowelizacji prawa telekomunikacyjnego, który został zgłoszony przez partię Prawo i Sprawiedliwość. Projekt ten przewidywał czteroletni okres przechowywania danych o połączeniach.
Dyrektywa 2006/24/WE, implementowana we wskazanym projekcie nowelizacji prawa telekomunikacyjnego, obejmuje wszelkie środki komunikacji elektronicznej, w tym m.in. usługi SMS i MMS, e-mail, VoIP, www, protokoły transmisji danych. Retencji mają zostać poddane dane dotyczące ruchu (traffic data) wskazujące na czas, sposób i częstotliwość korzystania z konkretnych usług, a także informacje odnoszące się do użytkowników. Dyrektywa zatem odnosi się do danych generowanych lub przetwarzanych w wyniku połączenia lub do usług w zakresie łączności, nie zaś do treści komunikatów elektronicznych. Dyrektywa 2006/24 ma ujednolicić wymogi odnośnie do rodzajów danych o ruchu i lokalizacji, które mają być przechowywane, oraz warunki i okres ich przechowywania.
Skarga Irlandii przeciwko Radzie UE i Parlamentowi Europejskiemu
W dniu 6 lipca 2006 r. Irlandia wniosła skargę przeciwko Radzie Unii Europejskiej, Parlamentowi Europejskiemu (Sprawa C-301/06) o stwierdzenie nieważności Dyrektywy 2006/24/WE z uwagi na to, że nie została ona przyjęta na odpowiedniej podstawie prawnej. Rzecznik Generalny w swojej opinii z dnia 14 października 2008 r. stwierdził, że Dyrektywa 2006/24/WE posiada jednak właściwą podstawę prawną. Opinia Rzecznika Generalnego nie wiąże Trybunału Sprawiedliwości. Irlandia twierdziła natomiast, że jedyną prawidłową podstawą prawną zawartych w Dyrektywie środków są przepisy traktatu UE, dotyczące współpracy policyjnej i sądowej w sprawach karnych. Dyrektywa natomiast została przyjęta na podstawie art. 95 WE, który stanowi podstawę uchwalania aktów, mających na celu poprawę warunków ustanowienia i funkcjonowania rynku wewnętrznego. Zdaniem Rzecznika Generalnego, Dyrektywa 2006/24/WE została przyjęta w sposób prawidłowy. Konieczne było bowiem zbliżenie przepisów krajowych regulujących zatrzymywanie danych. Różnice w poszczególnych systemach prawnych mogłyby stanowić przeszkody w swobodnym przepływie usług łączności elektronicznej i mogłyby utrudniać ustanowienie i funkcjonowanie rynku wewnętrznego łączności elektrycznej. Rzecznik Generalny przyznał Irlandii rację, że Dyrektywa ta sprzyja realizacji celu, którym jest dochodzenie, wykrywanie i ściganie poważnych przestępstw, niemniej jednak sam fakt iż Dyrektywa 2006/24/WE dąży do tego celu nie jest wystarczający, aby uznać, że należy ona do dziedziny obejmującej współpracę policyjną i sądową w sprawach karnych. Zadanie Rzeczników Generalnych polega na przedkładaniu Trybunałowi Sprawiedliwości, przy zachowaniu całkowitej niezależności, propozycji rozstrzygnięć prawnych w sprawach, które rozpatruje. W dniu 10 lutego 2009 r. Trybunał Sprawiedliwości wydał wyrok w sprawie i przychylając się do zdania Rzecznika Generalnego oddalił skargę Irlandii.
Implementacja Dyrektywy 2006/24/WE w Wielkiej Brytanii i Niemczech
Plany implementacji Dyrektywy 2006/24/WE w Wielkiej Brytanii, w zakresie dotyczącym retencji danych, poddane zostały krytyce i określone jako „Orwellowskie”. Projekt prawa dotyczącego danych telekomunikacyjnych w Wielkiej Brytanii ma zostać przedstawiony do konsultacji społecznych. Krytyka projektu dotyczy w szczególności planów stworzenia super bazy danych, która zawierałaby nazwy użytkownika, numery telefoniczne oraz historię wizyt stron internetowych. Rząd brytyjski chce również mieć możliwość śledzenia korzystania przez użytkowników ze stron serwisów społecznościowych oraz stron internetowych oferujących gry on-line. Według rządu brytyjskiego istnienie takiej bazy wesprze rząd w działaniach mających na celu przeciwdziałanie terroryzmowi oraz w zwalczaniu innych poważnych przestępstw. Rząd brytyjski zaprzecza jakoby baza miała zawierać treści połączeń telekomunikacyjnych, e-maili, czatów czy sms-ów.
Ustawa regulująca zbieranie danych oraz dająca państwu szeroki dostęp do danych telefonicznych oraz internetowych, włączając adresy e-mailowe weszła w Niemczech w życie w styczniu 2008 r. Uchwalenie ustawy stanowi również częściową implementację Dyrektywy 2006/24/WE i ma na celu podjęcie działań zapobiegających atakom terrorystycznym.
W grudniu 2007 r. został złożony przez około 34.000 przeciwników ustawy grupowy pozew przeciwko tej ustawie. W marcu 2008 r. Niemiecki Sąd Konstytucyjny w Karlsruhe wydał wyrok, zgodnie, z którym ustawa powinna zostać poddana ponownej analizie. Dodatkowo podmioty uprawnione będą miały dostęp do danych wyłącznie w sytuacjach wyjątkowych i tylko na podstawie nakazu, a w szczególności w przypadku takich przestępstw jak morderstwo, kradzież, dziecięca pornografia, pranie pieniędzy, korupcja, oszustwo oraz oszustwo podatkowe. Wykorzystywanie danych nie będzie możliwe w przypadku postępowań dotyczących nielegalnego ściągania plików muzycznych i filmowych z Internetu. Przyjęty w Niemczech okres retencji danych wynosi 6 miesięcy.
Prawo użytkowników do ochrony prywatności
Należy podkreślić, że dane transmisyjne oraz powiązane z nimi dane osobowe podlegają szczególnej ochronie prawnej. Po upływie dwóch lat przechowywania danych, przedsiębiorca telekomunikacyjny zobowiązany jest do usunięcia lub anonimizacji danych transmisyjnych. Przez anonimizację należy rozumieć pozbawienie danych elementów świadczących o tym, że są to dane osobowe, czyli usunięcie wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Konieczność usuwania czy anonimizacji danych transmisyjnych wynika z prawa użytkowników do ochrony prywatności. Dopuszcza się ograniczenie prawa do ochrony prywatności ze względu na bezpieczeństwo państwa, obronność, bezpieczeństwo oraz porządek publiczny, niemniej jednak musi być zachowana w takiej sytuacji zasada niezbędności, proporcjonalności i adekwatności ograniczenia ochrony prywatności w stosunku do stwierdzonego zagrożenia.
Biorąc pod uwagę to, z jakimi trudnościami spotkała się implementacja Dyrektywy 2006/24/WE w innych krajach, należy uważnie przyglądać się procesowi uchwalania projektu nowelizacji prawa telekomunikacyjnego w zakresie wprowadzenia nowego artykułu 180a ustawy, czy i w jaki sposób polski ustawodawca będzie respektował zasadę niezbędności, proporcjonalności i adekwatności ustawowych ograniczeń w stosunku do zagwarantowanego w Konstytucji RP prawa do ochrony prywatności.
doktor nauk prawnych Marlena Wach
radca prawny w kancelarii DLA Piper
członek Komisji Zagranicznej OIRP w Warszawie oraz Komisji Zagranicznej KRRP
|
Wersja do druku
Do góry strony
