Nowa ustawa polskiego rządu, rodem z Orwella, pozwoli służbom zaglądać w Twoje SMS-y i wiadomości. AKTUALIZACJA

Rząd Donalda Tuska rozpoczął pracę na nowelizacją do ustawy Prawo komunikacji elektronicznej. Ta wiadomość nie wzbudziłaby prawdopodobnie żadnych emocji, gdyby nie zapis mówiący o dostępie 10-różnych służb do prywatnych danych klientów operatorów sieci telekomunikacyjnych, w tym ich SMS-ów, czy wiadomości na komunikatorach internetowych.

Nie jest to portal o polityce, ale takie sprawy trzeba nagłaśniać, tym bardziej, że jednak są związane z technologiami, których na co dzień używamy. Na rządowej stronie Kancelarii Prezesa Rady Ministrów pojawił się projekt ustawy „Prawo komunikacji elektronicznej”, który został już przyjęty przez KPRM 7 maja. Do sejmu z kolei wpłynął 21 maja. Znajdują się tam jednak takie zapisy, które budzą uzasadnione obawy.

Ustawa Prawo komunikacji elektronicznej – inwigilacja na całego, SMS-y i wiadomości do wglądu służb

Jako pierwszy o sprawie napisał portal Telepolis, zaznaczając, że chodzi o Art. 43 omawianej ustawy. Przywołajmy go w tym miejscu, by wiedzieć, o co w nim chodzi.

Jednak najważniejsze jest, co z niego wynika. A no zapisy te mówią – w skrócie – że firmy telekomunikacyjne mają mieć obowiązek udostępnienia informacji przesyłanych przez swoich klientów, chociażby drogą SMS-a, czy też komunikatora internetowego, takiego jak Messenger, 10-różnym polskim służbom. Oprócz tego mają być oczywiście różne inne dane, które mają charakter poufnych. Wracając do służb, mają to być:

• Policja;
• Biuro Nadzoru Wewnętrznego;
• Straż Graniczna;
• Inspektorat Wewnętrzny Służby Więziennej;
• Służba Ochrony Państwa;
• Agencja Bezpieczeństwa Wewnętrznego;
• Służba Kontrwywiadu Wojskowego;
• Żandarmeria Wojskowa;
• Centralne Biuro Antykorupcyjne;
• Krajowa Administracja Skarbowa.

Myślicie, że sąd Was uratuje? Nic bardziej mylnego. Niektórzy z Was mogą wiedzieć, że tego typu „działania operacyjne” były dozwolone dopiero po wydaniu przez sąd zgody – teraz się to zmieni. Służby mają mieć możliwość uzyskania do takich danych dostępu bez zgody sądu. Jak zaznacza Marian Szutiak z Telepolis, pojawiają się głosy, że owy projekt ma być niezgodny z Konstytucją Rzeczypospolitej Polskiej, a konkretniej zapisu z Art. 51 ust.2:

Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Jak zawsze – interpretacja kluczem

No bo jak zinterpretować taki zapis? Można w zasadzie dowolnie, w kontekście fragmentu „niezbędne w demokratycznym państwie prawnym”. Uwagę zwraca się także na uzasadnienie w kontekście właśnie kontrowersyjnego Art. 43 ust.1.

Nie wiem jak Was, ale mnie nie przekonało do tego, by wprowadzenie takich przepisów i – nomen omen – używanie „Pegasusa na żywca”, kiedy działa komisja ds. nadużyć z tym związanych, było zasadne. Podobnie jak Marian Szutiak z Telepolis, postanowiłem poprosić o komentarz w tej sprawie następujące podmioty:

• Orange;
• Play;
• Plus;
• T-Mobile;
• Kancelarię Premiera Rady Ministrów;
• Ministerstwo Cyfryzacji;
• Urząd Komunikacji Elektronicznej;
• Rzecznika Praw Obywatelskich.

Jeżeli tylko otrzymam pierwsze odpowiedzi, ten news zostanie zaktualizowany o taki komentarz.

AKTUALIZACJA 17.06.2024 13:45 – odpowiedź Rzecznika Praw Obywatelskich

Otrzymałem dziś zwrotny mail od Pani Anny Kabulskiej z Zespołu Kontaktów z Mediami i Komunikacji Społecznej RPO. Brzmi ona następująco:

…Uprzejmie informuję, że obecnie Biuro RPO analizuje skierowany do Sejmu rządowy projekt ustawy Prawo komunikacji elektronicznej. W szczególności, zainteresowanie Rzecznika budzi kwestia dostępu do danych telekomunikacyjnych przez służby. Nie ulega wątpliwości, że regulacja taka powinna być zgodna z konstytucyjnym prawem jednostki do autonomii informacyjnej oraz standardem ochrony prywatności wynikającym z orzecznictwa TK oraz TSUE. W związku z tym, jeśli analiza prawna wykaże niespełnienie ww. wymogów, to Rzecznik rozważy skorzystanie ze środków przewidzianych w ustawie o RPO…

Wygląda więc na to, że projekt tejże ustawy jest analizowany przez inne organy państwowe, a przynajmniej przez Biuro RPO.

AKTUALIZACJA 17.06.2024 15:35 – odpowiedź Ministerstwa Cyfryzacji

Na wystosowane przeze mnie pytania odpowiedziało również Biuro Komunikacji Ministerstwa Cyfryzacji. Pytania były następujące:

• Czy to prawda, że służby wymienione w Art. 43 ust.1-2 Ustawy Prawo komunikacji elektronicznej mają mieć dostęp do takich informacji poufnych, jak SMS-y, czy wiadomości w komunikatorach obywateli?
• Jeżeli tak, dlaczego zrezygnowano z jakiegokolwiek mechanizmu kontroli w postaci ww. zgody Sądu, która miałaby za zadanie chociażby przeciwdziałać nadużyciom?
• Czy to prawda, że do zbierania tych danych ma zostać użyty system „Pegasus”, który tak mocno był krytykowany jeszcze w roku 2023, a ws. którego działa specjalnie powołana Komisja śledcza ds. wykorzystywania oprogramowania Pegasus?
• Czy poinformowano już przedstawicieli operatorów telekomunikacyjnych o planowanych zmianach?
• Czy poddano projekt Ustawy Prawo komunikacji elektronicznej jakimkolwiek konsultacjom, ekspertyzom, etc.?

Z kolei odpowiedź Pana Mateusza Pawłowicza z ww. Biura Komunikacji wygląda następująco:

…Tak, służby, które wymienia się w Ustawie Prawo komunikacji elektronicznej (dalej PKE) [1] mają dostęp – w ramach kontroli operacyjnej – do pewnych informacji poufnych, w tym treści SMS-ów. Przepisy te jednak nie obejmują dostępu do treści wiadomości wysyłanych za pośrednictwem komunikatorów internetowych. Obowiązki, które nakłada PKE, nie dotyczą bowiem dostawców tego typu usług.

Dane telekomunikacyjne udostępnia się uprawnionym podmiotom na podstawie przepisów odrębnych, które regulują działania służb.

Przepisy te przewidują w przypadku dostępu do:

danych objętych obowiązkiem retencji (nie obejmuje treści wiadomości) – następczą kontrolę sądu w zakresie przypadków żądania udostępnionych danych;
danych w trybie kontroli operacyjnej (może obejmować dostęp do treści wiadomości) – uprzednią kontrolę sądu – tj. sąd musi wyrazić zgodę na dostęp do danych.

Informacje o użyciu systemu „Pegasus” nie znajdują bezpośredniego odniesienia w przepisach PKE. Decyzje o tym, jakie środki techniczne moją wykorzystywać służby podlegają innym regulacjom, nieobjętym ustawą PKE.

Projekt ustawy PKE był poddany konsultacjom publicznym, uzgodnieniom międzyresortowym i opiniowaniu. Operatorzy telekomunikacyjni mieli okazję zapoznać się z projektem w trakcie tego procesu…

Służby z dostępem do SMS-ów, ale…

Wygląda więc na to, że rzeczywiście służby mają mieć dostęp do naszych SMS-ów, jednak dopiero po uprzednio wydanej zgodzie sądu. Całość ma odbywać się w tym przypadku „w trybie kontroli operacyjnej”. Z kolei, według tej odpowiedzi, wiadomości przesyłane w ramach komunikatorów internetowych, a do takich należy zaliczyć m.in. Messenger, mają nie wchodzić w skład danych udostępnianych służbom w jakimkolwiek przypadku – przynajmniej nie przez operatorów telekomunikacyjnych.

W kontekście systemu Pegasus poprosiłem Ministerstwo Cyfryzacji o doprecyzowanie, ponieważ nie ma tutaj stanowczego zaprzeczenia, jakoby ten system miał nie być w ogóle użytkowany przez służby. Mianowicie, zapytałem, czy są jakiekolwiek plany korzystania z ww. systemu, który budzi szeroko pojęte obawy, tak społeczeństwa, jak i – mogłoby się zdawać – obecnego rządu. Jeżeli dostanę odpowiedź i na to zapytanie, również ją tutaj umieszczę.

Bardzo ciekawy z kolei jest fakt, że projekt Ustawy Prawo komunikacji elektronicznej swój proces legislacji rozpoczął już w listopadzie 2020 roku, czyli prawie 4 lata temu. Przez ten czas został poddany konsultacjom publicznym oraz opiniowaniu, a także przeszedł przez takie organy, jak:

• Komitet:
  • Rady Ministrów do Spraw Cyfryzacji;
  • do Spraw Europejskich;
• Stały Komitet Rady Ministrów;
• Komisja Prawnicza;
• Rada Ministrów;

A do sejmu został skierowany już końcem 2022 roku. Pominięto natomiast Komitet Społeczny oraz Ekonomiczny Rady Ministrów.

AKTUALIZACJA 18.06 17:20 – odpowiedź  operatorów Play i T-Mobile

Otrzymałem odpowiedzi od kolejnych instytucji, tym razem są to operatorzy Play oraz T-Mobile. W przypadku pierwszego podmiotu, zostałem odesłany do Polskiej Izby Informatyki i Telekomunikacji (PIIT). Przed odpowiedzią T-Mobile istotnym jest przedstawienie, jakie pytania otrzymał operator, a oto one:

• Czy byli Państwo świadomi, że rząd przygotowuje taką ustawę?
• Jeżeli tak, to czy rząd konsultował z Państwem zapiski tej ustawy?
• Jeżeli nie, to czy mają Państwo zamiar, po zapoznaniu się z tą ustawą, podjąć jakieś kroki celem uzyskania o niej bardziej szczegółowych informacji od rządu na jej temat?

Odpowiedź Biura Prasowego T-Mobile z kolei wyglądała następująco:

…W odpowiedzi na pytania dotyczące PKE – prace nad ustawą Prawo Komunikacji Elektronicznej trwają już od kilku lat i T-Mobile, podobnie jak inne podmioty działające na rynku telekomunikacyjnym, brał udział w konsultacjach. Projektowany art. 43 nie jest nowością, ponieważ te same obowiązki narzuca dziś Prawo telekomunikacyjne. Natomiast pewne dyskusje wzbudza projektowany przepis art. 47, który utrzymuje obowiązek rejestracji i przechowywania przez 12 miesięcy tzw. metadanych o wszystkich użytkownikach. Tego typu retencja ogólna została uznana za niedozwoloną wyrokiem TSUE, na co zwracał uwagę w konsultacjach Minister ds. Europejskich…

Kolejny podmiot uspokaja więc w kontekście „pierwszego zapalnika”, jakim jest Art. 43 Ustawy Prawo komunikacji elektronicznej. Obawy budzi jednak przepis Art. 47, który ma utrzymywać obowiązek rejestracji oraz przechowywania metadanych każdego użytkownika przez okres 12 miesięcy. Taki zapis ma być niezgodny z unijnym prawem, o czym orzekł TSUE.

Jak wygląda treść tego artykułu?

Oczywiście sprawdziłem i to, a poniżej możecie zapoznać się z tym zapisem w Ustawie PKE.

By mieć jednak pełen ogląd sytuacji, potrzebujemy również poznać wygląd Art. 49.

Jak zauważyło Biuro Prasowe T-Mobile, znalazł się zapis o przechowywaniu danych użytkowników przez operatorów. Art. 49 z kolei jest – moim zdaniem – bardzo… rozległy? Z jednej strony „rodzaj” danych jest podany w Ust.1 Punkcie 1-2, jednak to, jakie konkretnie mają być to dane, będzie mógł zdecydować Minister właściwy do spraw informatyzacji, w porozumieniu z Ministrem do spraw wewnętrznych oraz po zasięgnięciu opinii Ministra – Koordynator Służb Specjalnych w drodze rozporządzenia, które nie musi być zaakceptowane chociażby przez sejm, tak, jak to ma miejsce z ustawami.

Na moment obecny oczekuję na wiadomość zwrotną od ww. organizacji PIIT. Mam nadzieję, iż wniesie ona również rozjaśnienia w kontekście kontrowersyjnych zapisków nowej ustawy.

Źródło: KPRM, via Telepolis