Ustawa inwigilacyjna jest niezgodna z prawem UE

22 grudnia 2016

Państwa UE nie powinny tworzyć przepisów, które nakazują operatorom bezwarunkowe gromadzenie danych o połączeniach obywateli i udostępnianie tych danych służbom bez uprzedniej kontroli. Tak orzekł Trybunał Sprawiedliwości UE. Polska ustawa inwigilacyjna wydaje się więc idealnym przykładem ustawy niezgodnej z prawem UE.

Przegłosowana rok temu ustawa inwigilacyjna miała teoretycznie „ucywilizować” dostęp służb do danych o naszych bilingach. Teoretycznie była reakcją na wyroki polskiego Trybunału Konstytucyjnego oraz Trybunału Sprawiedliwości UE. Partia obecnie rządząca przepchnęła nową ustawę inwigilacyjną we właściwym sobie stylu – pośpiesznie i bez konsultacji, wręcz okazując otwartą wrogość do wszelkiej krytyki. Nowa ustawa wbrew zapewnieniom nie ograniczyła dostępu służb do danych. Mało tego – zwiększyła go, nakazując przechowywanie danych także e-usługodawcom i dając służbom dostęp do tych danych. Już rok temu mówiono, że kolejne wyroki Trybunałów mogą podważyć tę ustawę. I oto mamy taki właśnie wyrok.

Wczoraj Trybunał Sprawiedliwości UE orzekł, że państwa członkowskie nie mogą nakładać na podmioty świadczące usługi elektroniczne ogólnego obowiązku zatrzymywania danych. Wyrok zapadł w sprawach połączonych C-203/15 (Tele2 vsPost-och telestyrelsen) oraz C-698/15 (Secretary of State for the Home Department vs Tom Watson).

Historia tych dwóch spraw tak naprawdę zaczęła się w kwietniu 2014 roku gdy Trybunał Sprawiedliwości UE wydał wspomniany już wyrok w sprawie tzw. dyrektywy retencyjnej. To właśnie ta dyrektywa, dzięki której służby mają dostęp do naszych billingów. Okazała się ona niezgodna z prawem UE bo ingerencji w prywatność nie ograniczono do tego, co było absolutnie niezbędne.

Po tamtym wyroku do Trybunału wpłynęły dwie kolejne sprawy. Dotyczyły one nałożonego na operatorów w Szwecji i w UK obowiązku zatrzymywania danych o połączeniach. Tele2 Sverige powiadomiło szwedzkiego regulatora, że zaprzestaje zatrzymywania danych i usunie dane już zgromadzone. Tymczasem w UK panowie Tom Watson, Peter Brice i Geoffrey Lewis zaskarżyli brytyjskie przepisy prawa dotyczące zatrzymywania danych.

Szwedzki i brytyjski sąd zwróciły się do Trybunału Sprawiedliwości z pytaniami, czy funkcjonujące w ich krajach przepisy dotyczące zatrzymywania danych można uznać za zgodne z prawem UE.

Wczoraj Trybunał wydał wyrok i stwierdził, że niezgodne z prawem Unii są przepisy prawa krajowego przewidujące uogólnione i niezróżnicowane zatrzymywanie danych. Trybunał przede wszystkim wskazał, że wspomniane przepisy krajowe wchodzą w zakres zastosowania dyrektywy „o prywatności i łączności elektronicznej” (2002/58/WE). Ta dyrektywa ma gwarantować ochronę poufności łączności elektronicznej i danych dotyczących ruchu. Co prawda dyrektywa daje państwom członkowskim możliwość ograniczenia tej poufności w wyjątkowych sytuacjach, ale wyjątek nie może stać się regułą.

Dalej Trybunał przypomniał, że ochrona jednego z praw podstawowych (prawa do prywatności) wymaga by odstępstwa od ochrony danych pozostawały w granicach tego, co jest „absolutnie konieczne”. Tymczasem przepisy o „retencji danych” nakazują zachowywać dane niezależnie od istnienia zagrożenia dla bezpieczeństwa publicznego. Upraszczając można powiedzieć, że Trybunał jest przeciwny traktowaniu wszystkich tak, jakby byli podejrzani o poważne przestępstwa (i ten problem wielokrotnie był podnoszony na przestrzeni ostatnich lat).

Zdaniem Trybunału nie byłoby sprzeczne z dyrektywą ustanowienie przepisów, które nakazują indywidualne zatrzymywanie danych. Czyli operatorzy mogliby być zobowiązani do zatrzymywania danych o połączeniach osób zaangażowanych w poważną przestępczość. „Zdaniem Trybunału wszystkie przyjęte w tym względzie przepisy muszą być jednoznaczne i szczegółowe oraz przewidywać gwarancje wystarczające do tego, aby chronić te dane przed ryzykiem ich nadużycia. Przepisy te powinny wskazywać okoliczności i warunki, w których środek w zakresie zatrzymywania danych może zostać zastosowany tytułem prewencji w taki sposób, który gwarantuje, aby jego zakres w praktyce ograniczał się rzeczywiście do tego, co jest absolutnie konieczne” – napisano w komunikacie wydanym po wyroku.

Autorstwo: Marcin Maj
Źródło: DI.com.pl