Stanowisko w sprawie poselskiego projektu ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw z dnia 23 grudnia 2015 r.
2016-01-12
1. Wstęp
W związku z prowadzonymi obecnie pracami nad projektem ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw z dnia 23 grudnia 2015r. (dalej: Projekt) Konfederacja Lewiatan przedstawia uwagi do proponowanych zmian.
2. Uwagi szczegółowe
2.1. Rozszerzenie przedmiotowego i podmiotowego zakresu art. 20c, umożliwiającego uzyskiwanie danych bez zgody sądu.
Projekt ustawy wprowadza nowe brzmienie, uchylonego wyrokiem Trybunału Konstytucyjnego z dnia 30 lipca 2014 r. (sygn. akt K 23/11 ,Dz. U. poz. 1055), artykułu 20 c ustawy o Policji. Powodem uznania go przez Trybunał za niekonstytucyjny był brak niezależnej kontroli udostępnianych na podstawie tego artykułu danych telekomunikacyjnych. Art. 20 c stanowił, że [1. W celu zapobiegania lub wykrywania przestępstw Policja może mieć udostępniane dane, o których mowa w art. 180c i 180d ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243), zwane dalej „danymi telekomunikacyjnymi", oraz może je przetwarzać.].
Zaproponowane w Projekcie brzmienie przepisu jest następujące:
„Art. 20c. 1. W celu rozpoznawania, zapobiegania, zwalczania, wykrywania albo uzyskania i utrwalenia dowodów przestępstw albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych, Policja może uzyskiwać dane:
1) określone w art. 180c i art. 180d ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243, 827 i 1198), zwane dalej „danymi telekomunikacyjnymi",
2) określone w art. 82 ust. 1 pkt 1 ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe (Dz. U. poz. 1529, z późn. zm.), zwane dalej „danymi pocztowymi"
3) określone w art. 18 ust. 1-5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2013 r. poz. 1422, z późn. zm.), zwane dalej „danymi internetowymi"- oraz może je przetwarzać bez wiedzy i zgody osoby, której dotyczą".
Zakres danych, których uzyskiwanie będzie możliwe w oparciu o art. 20 c został poszerzony i sformułowany w sposób bardzo ogólny. Dotyczy on już bowiem nie tylko danych przetwarzanych przez operatora publicznej sieci telekomunikacyjnej oraz dostawcę publicznie dostępnych usług telekomunikacyjnych (tak art. 180 a ust. 1 Prawa telekomunikacyjnego), ale także przez usługodawców świadczących usługi społeczeństwa informacyjnego (m.in. handel elektroniczny, wyszukiwarki internetowe, sieci społecznościowe) w rozumieniu ustawy o świadczeniu usługi drogą elektroniczną. Rozszerzeniu uległ także krąg podmiotów, do których żądanie udostępnienia danych może być skierowane. Przepis wprowadził też szersze i nieostre cele, dla realizacji których dane mogą być uzyskiwane („w celu rozpoznawania, zapobiegania, zwalczania, wykrywania albo uzyskania i utrwalenia dowodów przestępstw albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych").
Co istotne, ponieważ czynności, o których mowa w artykule 20 c nie stanowią, zgodnie z art. 19 ust. 6a pkt 2 Projektu, kontroli operacyjnej, ich prowadzenie nie wymaga postanowienia sądu. Odnosi się to do pozyskiwania każdego rodzaju danych, w tym danych wrażliwych.
Analogiczne uwagi dotyczą zawartych w Projekcie zmian artykułu 10 ust. 1 ustawy o Straży Granicznej, artykułu 36 b ust 1 ustawy o kontroli skarbowej, artykułu 30 ust 1 ustawy o Żandarmerii Wojskowej,
art. 5 ust 1 ustawy o Agencji Bezpieczeństwa Wewnętrznego.
2.2. Niewystarczająca kontrola pozyskiwania danych wskazanych w art. 20 c.
Należy przypomnieć, że przyczyną uznania art. 20 c ustawy o Policji w obecnym brzmieniu [tracącym moc w dniu 7 lutego br., na podstawie wyroku TK z dnia 30 lipca 2014 r., sygn. akt K 23/11 (Dz. U. poz. 1055)] za niekonstytucyjny był brak niezależnej kontroli udostępniania na jego podstawie danych. Celem przeprowadzanej nowelizacji musi być uwzględnienie wyroku Trybunału i zapewnienie odpowiedniego standardu konstytucyjnego. Ma to istotne znaczenie zwłaszcza wobec, opisanego w punkcie 1, Stanowiska Konfederacji rozszerzenia zakresu tego przepisu.
Wprowadzoną w Projekcie kontrolę należy uznać za niewystarczającą i nie realizującą zaleceń TK.
Zgodnie z artykułem 20 ca ust 1. Projektu:
„Kontrolę nad uzyskiwaniem przez Policję danych telekomunikacyjnych, pocztowych lub internetowych sprawuje sąd okręgowy właściwy dla siedziby organu Policji, któremu udostępniono te dane.
2. Organ Policji, o którym mowa w ust. 1, przekazuje, z zachowaniem przepisów o ochronie informacji niejawnych, sądowi okręgowemu, o którym mowa w ust. 1, w okresach półrocznych, sprawozdanie obejmujące:
1)liczbę przypadków pozyskania w okresie sprawozdawczym danych telekomunikacyjnych, pocztowych lub internetowych oraz rodzaj tych danych;
2)kwalifikacje prawne czynów, w związku z zaistnieniem których wystąpiono o dane telekomunikacyjne, pocztowe lub internetowe albo informacje o pozyskaniu danych w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych.
3. W ramach kontroli, o której mowa w ust. 1, sąd okręgowy może zapoznać się z materiałami uzasadniającymi udostępnienie Policji danych telekomunikacyjnych, pocztowych lub internetowych.
4. Sąd okręgowy informuje organ Policji o wyniku kontroli w terminie 30 dni od jej zakończenia.
5. Kontroli, o której mowa w ust. 1, nie podlega uzyskiwanie danych na podstawie art. 20cb ust. 1.
Jak widać kontrola sądu nad udostępnianiem danych będzie miała charakter następczy niezależnie od rodzaju danych, jakich dotyczyć będzie żądanie służb. Przekazywane sądom w okresach półrocznych informacje nie pozwolą na ocenę czy udostępnienie danych było w konkretnym przypadku uzasadnione. Będzie to raczej zbiór informacji statystycznych, spośród których trudno może być zidentyfikować przypadki, które wymagają dokładniejszej kontroli sądu. Wskazane wydaje się przekazywanie uzasadnień udostępnienia danych, umożliwiających sądowi ocenę jego zasadności.
Choć jest zrozumiałe, że uzyskanie zgody sądu na udostępnienie danych nie zawsze jest możliwe z uwagi na konieczność pilnego podjęcia działań przez organy, kontrola nastepcza nie powinna wykraczać poza przypadki, gdy jest to konieczne.
Analogiczne uwagi dotyczą zawartych w Projekcie zmian artykułu 10ba ustawy o Straży Granicznej, artykułu 36 ba ustawy o kontroli skarbowej, artykułu 30b ustawy o Żandarmerii Wojskowej oraz artykułu 28 a ustęp 1 ustawy o Agencji Bezpieczeństwa Wewnętrznego.
3. Brak kontroli nad pozyskiwaniem niektórych danych
Jak wynika z cytowanego wyżej art. 20 ca ust. 5, sąd nie prowadzi kontroli wobec uzyskiwania danych na podstawie z art. 20 cb ust 1. Chodzi tu o wskazane w ustępie 1 pkt 1-4 tego artykułu dane:
1) z wykazu, o którym mowa w art. 179 ust. 9 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne[1];
2) o których mowa w art. 161 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne[2],
3) w przypadku użytkownika, który nie jest osobą fizyczną numer zakończenia sieci oraz siedzibę lub miejsce wykonywania działalności gospodarczej, firmę lub nazwę i formę organizacyjną tego użytkownika,
4) w przypadku stacjonarnej publicznej sieci telekomunikacyjnej - także nazwę miejscowości oraz ulicy, przy której znajduje się zakończenie sieci, udostępnione użytkownikowi
- oraz może je przetwarzać bez wiedzy i zgody osoby, której dotyczą.
Wyjęcie tych danych spod jakiejkolwiek kontroli sądu jest nieuzasadnione.
Analogiczne uwagi dotyczą zawartych w Projekcie zmian artykułu 10 ba ust 5 ustawy o Straży Granicznej, artykułu 36 ba ust. 5 ustawy o kontroli skarbowej, artykułu 30b ust 5 ustawy o Żandarmerii Wojskowej oraz artykułu 28 a ust 5 ustawy o Agencji Bezpieczeństwa Wewnętrznego.
4. Koszty realizacji obowiązków wynikających z Projektu ustawy dla przedsiębiorców.
4.1. Zgodnie z artykułem 20 ust c ustęp 2 wszystkie podmioty zobowiązane do przekazywania danych zgodnie z art. 20 c muszą to zrobić bez nieodpłatnie.
Warto zaznaczyć, że na gruncie art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną wykształciła się praktyka odpłatności udostępniania danych. Takie rozwiązanie jest korzystne dla przedsiębiorców, którzy zostali zaangażowani w działania służb. Należy zwrócić uwagę, że znaczna część podmiotów świadczących usługi społeczeństwa informacyjnego to mikro lub mali przedsiębiorcy, którzy nie mają pracowników dedykowanych do obsługi takich zapytań.
Rozwiązanie zakładające odpłatność ma także istotny -z punktu widzenia ochrony praw obywateli- aspekt zniechęcający do żądania danych w sytuacjach, gdy nie jest to uzasadnione. Wobec opisanych wyżej wątpliwości co do skuteczności kontroli sądów nad udostępnianiem danych, wprowadzenie odpłatności mogłoby pozytywnie wpłynąć na praktykę służb i zniechęcać do gromadzenia danych
„na zapas". Proponujemy wykreślenie wyrazu „nieodpłatnie".
Pragniemy podkreślić, że postulaty wprowadzenia odpłatności udostępniania danych telekomunikacyjnych były od dawna zgłaszane przez środowisko przedsiębiorców i popierane przez organizacje zainteresowane ochroną prywatności. Nowelizacja ustawy mogłaby być dobrą okazją do wprowadzenia odpowiednich zmian także w ustawie Prawo telekomunikacyjne. Niezależnie od tego postulatu, uważamy za zasadne utrzymanie praktyki odpłatności za udostępnienie danych od podmiotów świadczących usługi drogą elektroniczną.
Propozycja brzmienia przepisu:
Art. 20c ust. 2. Przedsiębiorca telekomunikacyjny, operator pocztowy lub usługodawca świadczący usługi drogą elektroniczną udostępnia nieodpłatnie dane, o których mowa w ust. 1:
1) policjantowi wskazanemu w pisemnym wniosku Komendanta Głównego Policji, Komendanta CBŚP, komendanta wojewódzkiego Policji albo osoby przez nich upoważnionej;
2) na ustne żądanie policjanta posiadającego pisemne upoważnienie osób, o których mowa w pkt 1;
3) za pośrednictwem sieci telekomunikacyjnej policjantowi posiadającemu pisemne upoważnienie osób, o których mowa w pkt 1;
Należy też odpowiednio zmienić proponowany w artykule 8 Projektu, artykuł 18 ustęp 6 ustawy o świadczeniu usług drogą elektroniczną (Dz. U. z 2013 r. poz. 1422) :
„6. Usługodawca nieodpłatnie udostępnia dane, o których mowa w ust. 1-5, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań."
Analogiczne uwagi dotyczą zawartych w Projekcie zmian artykułu 10 b ust. 1 ustawy o Straży Granicznej, artykułu 36 b ust 2 ustawy o kontroli skarbowej, artykułu 30 ust 2 ustawy o Żandarmerii Wojskowej
i artykułu 5 ust 2 ustawy o Agencji Bezpieczeństwa Wewnętrznego.
4.2. Zapewnienie warunków technicznych i organizacyjnych.
Należałoby również zwrócić uwagę na projektowaną zmianę do art. 19 ust. 12 ustawy o Policji (tożsame zapisy zawarte są również w innych ustawach podlegających przedmiotowej nowelizacji).
Art. 19 ust. 12. Przedsiębiorca telekomunikacyjny, operator pocztowy oraz usługodawca świadczący usługi drogą elektroniczną jest obowiązany do zapewnienia na własny koszt warunków technicznych
i organizacyjnych umożliwiających prowadzenie przez Policję kontroli operacyjnej.
W tym kontekście zasadne jest zwrócenie uwagi na ryzyko nałożenia dodatkowych koszty nałożonych na przedsiębiorców związanych np. z bezpłatnym przygotowaniem infrastruktury niezbędnej do utrwalania obrazu, czy dźwięku w pomieszczeniu lub z przekazywaniem danych z chmury internetowej.
Konfederacja Lewiatan, 11 stycznia 2016r.
KL/17/7/14/MP/2015
[1] Art. 179 ust. 9. Przedsiębiorca telekomunikacyjny świadczący publicznie dostępne usługi telekomunikacyjne jest obowiązany prowadzić elektroniczny wykaz abonentów, użytkowników lub zakończeń sieci, uwzględniając w nim dane uzyskiwane przy zawarciu umowy.
[2] Art. 161. 1. Z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej „przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
2. Dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:
1) nazwisk i imion;
2) imion rodziców;
3) miejsca i daty urodzenia;
4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania;
5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej;
6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu
7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.
3. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.
