Biuletyn Informacji Publicznej RPO

Rzecznik ponownie zwrócił uwagę na konieczność stworzenia właściwego systemu wyrażania zgody na udostępnianie danych zgromadzonych przez operatorów telekomunikacyjnych czy danych internetowych, która stała się jeszcze bardziej aktualna w związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 21 grudnia 2016 r. w tzw. sprawie Tele2. TSUE wyjaśnił, że wyjątki, przewidziane w art. 15 ust. 1 tzw. dyrektywy o e-prywatności (dyrektywy 2002/58/WE) są dopuszczalne, jednak muszą być interpretowane wąsko, by nie uchylić reguły podstawowej. Przepisy krajowe, które takie wyjątki wprowadzają, muszą zaś być zgodne z art. 7 i 8, ale także z art. 11 Karty Praw Podstawowych, a wszelkie ograniczenia muszą spełniać wymóg niezbędności i proporcjonalności, co potwierdza także punkt 11 preambuły do dyrektywy o e-prywatności. TSUE przypomniał też swoje wcześniejsze orzecznictwo, zgodnie z którym odstępstwa od prawa do prywatności muszą pozostawać w granicach tego, co jest „absolutnie konieczne”.

Co do samego procesu retencji danych w kontekście prawa do prywatności TSUE wskazał wyraźnie, że zatrzymywane dane umożliwiają wyciągnięcie wielu szczegółów dotyczących życia prywatnego osób, których dane zostały zatrzymane. Jedynym uzasadnieniem dla tego rodzaju ingerencji w życie prywatne może być walka z poważną przestępczością. Jednak nawet konieczność walki z terroryzmem, zdaniem TSUE, nie uzasadnia sama w sobie, by uznać, że ustawodawstwo krajowe przewidujące uogólnione zatrzymywanie danych jest niezbędne. Tym samym, zatrzymywanie danych nie może wykraczać poza to, co jest absolutnie konieczne jeśli chodzi o zakres danych, stosowane środki łączności, podmioty zaangażowane w tej proces, jak i przyjęty okres przechowywania tych danych. Przepisy regulujące cały proces muszą zaś być jednoznaczne i szczegółowe oraz muszą przewidywać gwarancje wystarczające do tego, by chronić przed ryzykiem nadużycia. Ponadto TSUE potwierdził, że przepisy krajowe muszą ustanawiać materialne i proceduralne warunki regulujące dostęp odpowiednich organów krajowych do przechowywanych danych. Wreszcie TSUE uznał, że dostęp do przechowywanych danych musi podlegać uprzedniej kontroli, sprawowanej przez sąd lub inny niezależny organ, a jedynym dopuszczalnym wyjątkiem od konieczności wyrażenia uprzedniej zgody są sytuacje pilne. Właściwe organy muszą również poinformować o dostępie do danych zainteresowane osoby w momencie, gdy nie ma już zagrożenia dla prowadzonego postępowania.

Rzecznik zwrócił się do Ministra z prośbą o przedstawienie stanowiska w sprawie zgodności przepisów ustawy nowelizującej, regulującej dostęp właściwych organów do danych telekomunikacyjnych i danych internetowych, ze standardem wynikającym z KPP UE, w kontekście wyroku TSUE w sprawie Tele2 oraz o przekazanie harmonogramu prac nad stworzeniem rozwiązań prawnych zmierzających do wzmocnienia demokratycznej kontroli nad służbami. Jednocześnie Rzecznik poprosił o udostępnienie treści „Wytycznych w sprawie realizacji przez Policję i Straż Graniczną obowiązków dotyczących przekazywania do sądu sprawozdania w zakresie uzyskiwania danych telekomunikacyjnych, pocztowych i internetowych oraz prowadzenie elektronicznego rejestru”.