Zakres dostępu do big data przez służby – wyrok TSUE

Trybunał Sprawiedliwości Unii Europejskiej wskazał, że niezgodne z dyrektywą unijną o prywatności i łączności elektronicznej są przepisy krajowe umożliwiającym dostęp organów władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanego przez niego urządzenia końcowego oraz umożliwić wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego, do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, bez ograniczania takiego dostępu do postępowań mających na celu zwalczanie poważnej przestępczości lub zapobieganie poważnym zagrożeniom bezpieczeństwa publicznego.

Ponadto dodał, że prokuratura, której zadaniem jest kierowanie postępowaniem przygotowawczym oraz sprawowanie, w stosownych przypadkach, funkcji oskarżyciela publicznego w ramach późniejszego postępowania nie może wydawać zgody na dostęp organu publicznego do danych o ruchu i danych o lokalizacji. To – według TSUE – narusza i dyrektywę i kartę praw podstawowych. 

Wskazał również na wagę takich kwestii jak: niezależna ocena ważności ingerencji służb, dalej jej niezbędność, masowość, kategorie pozyskiwanych danych, długość okresu retencji. Dodał, że taki dostęp – ograniczony do najpoważniejszych przestępstw –  powinien podlegać uprzedniej kontroli sprawowanej przez sąd lub przez niezależny organ administracyjny. 

W Polsce kwestię uzyskiwania i przetwarzania danych telekomunikacyjnych, pocztowych i internetowych reguluje m.in. art. 20 c ustawy o Policji. Zgodnie z nim ma to następować w celu zapobiegania lub wykrywania przestępstw, przestępstw skarbowych albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych. Nie ma zatem precyzyjnego katalogu, o jakie przestępstwa chodzi (w przypadku kontroli operacyjnej katalog istnieje, są tam wymienione przestępstwa, w których można stosować podsłuch).

W odróżnieniu od kontroli operacyjnej, w przypadku uzyskiwania i przetwarzania danych telekomunikacyjnych, pocztowych i internetowych przewidziano kontrolę sądową następczą. W praktyce Sąd kontroluje pobieranie, przetwarzanie takich danych co pół roku, opiera się przy tym głównie na statystykach (tabelach) uzyskanych przez służby.

RPO wskazuje, że polskie prawo nie spełnia wymogów wynikających z prawa UE, które znalazły odzwierciedlenie w tym wyroku TSUE. – Uchwalona 15 stycznia 2016 r. nowelizacja ustaw „policyjnych”  dała służbom prawo do uzyskiwania danych telekomunikacyjnych, internetowych i pocztowych oraz do przetwarzania tych danych bez wiedzy i zgody osoby, której dotyczą.