Pobierz stanowisko IAB Polska
Transkrypt
Pobierz stanowisko IAB Polska
Warszawa, 5 stycznia 2016 r. STANOWISKO ZWIĄZKU PRACODAWCÓW BRANŻY INTERNETOWEJ INTERACTIVE ADVERTISING BUREAU POLSKA (IAB POLSKA) DOTYCZĄCE POSELSKIEGO PROJEKTU USTAWY O ZMIANIE USTAWY O POLICJI ORAZ NIEKTÓRYCH INNYCH USTAW (NR DRUKU SEJMOWEGO 154) Szanowni Państwo, W związku z trwającymi obecnie pracami legislacyjnymi dotyczącymi nowelizacji ustawy o Policji oraz innych ustaw regulujących funkcjonowanie służb bezpieczeństwa, IAB Polska mimo, iż formalnie nie zostały ogłoszone konsultacje społeczne, chciałoby przedstawić swoje stanowisko w tej kwestii, biorąc pod uwagę realną możliwość naruszenia istotnych interesów i praw przedsiębiorców prowadzących działalność gospodarczą w Internecie, a w szczególności mikro i małych przedsiębiorców, w przypadku przyjęcia Projektu w proponowanym kształcie. Wobec powyższego IAB Polska wskazuje, co następuje. [kwestie wstępne] 1. W dniu 23 grudnia 2015 r. w ramach inicjatywy poselskiej został złożony projekt ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw (dalej jako: „Projekt”), który dotyczy zmian w zakresie uprawnień Policji, Straży Granicznej, kontroli skarbowej, Żandarmerii Wojskowej, Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, a także Służby Kontrwywiadu Wojskowego oraz Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego oraz Służby Celnej, co do prowadzenia kontroli operacyjnej, a także uzyskiwania dostępu oraz zasad wykorzystania danych telekomunikacyjnych, danych pocztowych oraz danych internetowych. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl 2. Z uzasadnienia Projektu wynika, że ma on na celu dostosowanie polskiego ustawodawstwa do wytycznych, które Trybunał Konstytucyjny określił w wyroku z dnia 30 lipca 2014 r. o sygnaturze akt: K 23/11 (dalej jako: „Wyrok TK”). Termin odroczenia obowiązywania Wyroku TK został określony na dzień 6 lutego 2016 r. IAB Polska wyraża pełne zrozumienie, że terminowe wprowadzenie odpowiednich przepisów w tym zakresie ma na celu zapewnienie bezpieczeństwa obywateli i realizację Wyroku TK. 3. Jednakże, w ocenie IAB Polska zaproponowane w Projekcie rozwiązania nie wdrażają w sposób należyty i prawidłowy postulatów sformułowanych w Wyroku TK, co więcej zagrażają bezpieczeństwu prywatności obywateli oraz stoją w sprzeczności ze słusznymi interesami przedsiębiorców prowadzących działalność gospodarczą w Internecie. 4. Należy również wskazać, że rozwiązania zawarte w Projekcie oraz jego uzasadnienie są w szerokim zakresie zbieżne z senackim projektem ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw z dnia 28 lipca 2015 roku (druk sejmowy nr 3765, dalej jako „Projekt Senacki”), który został zaproponowany przez Senat poprzedniej kadencji i nad którym prace zostały zawieszone ze względu na wątpliwości co do jego zgodności z Konstytucją i prawem unijnym. Krytycznie o tym projekcie wyraziły się m.in. Urząd Komunikacji Elektronicznej w piśmie z lipca z 2015 r. (DP-0330-7/14), Generalny Inspektor Ochrony Danych Osobowych w piśmie z dnia 15 lipca 2015 r. (DOLiS-0330284/15/BG/62915), Fundacja Panoptykon w stanowisku z dnia 17 lipca 2015 r., Helsińska Fundacja Praw Człowieka w opinii z dnia 20 lipca 2015 r. (1652/2015/MPL/BGM), Prezes Naczelnej Rady Adwokackiej w opinii z dnia 20 lipca 2015 r. (NRA-12-ST-1.9.2015), Biuro Analiz Sejmowych Kancelarii Sejmu w opinii z dnia 3 sierpnia 2015 r. (BAS-WAPEiM-1714/15), Krajowa Rada Radców Prawnych w stanowisku Ośrodka Badań i Legislacji z dnia 27 lipca 2015 r. (L.dz. 10000/OBSIL/2015). 5. IAB Polska zwraca uwagę, że doniosłość Projektu dla praw konstytucyjnych, takich jak prawo do prywatności, w tym również prawo do prywatności korespondencji, prawo autonomii informacyjnej, czy prawo do sądu oraz dla działalności gospodarczej podmiotów świadczących usługi drogą elektroniczną bezwzględnie wymaga, aby umożliwić wypowiedzenie się obywatelom, przedsiębiorcom, jak i organizacjom Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl branżowym w ramach konsultacji społecznych. Uważamy, iż fakt, że termin wyznaczony przez Trybunał Konstytucyjny na wdrożenie nowych uregulowań prawnych upływa 6 lutego 2016 r. nie uzasadnia uchwalenia ustawy w trybie pilnym oraz z pominięciem wysłuchania opinii eksperckich, zwłaszcza, że Projekt nie dość, że wprowadza rozwiązania krytycznie oceniane pod względem ich zgodności z Wyrokiem TK, to jeszcze jest w dużym stopniu powtórzeniem krytykowanego Projektu Senackiego z poprzedniej kadencji. Czas, który został do 6 lutego 2016 r. Parlament powinien wykorzystać na rzeczową, konstruktywną i merytoryczną dyskusję nad wprowadzeniem odpowiednich, zgodnych z Konstytucją rozwiązań, w trybie legislacyjnym oraz w warunkach właściwych dla demokratycznego państwa prawa. 6. IAB Polska – ze względu na zakres prowadzonej działalności - w swoim stanowisku konsultacyjnym Projektu odniesie się przede wszystkim do kwestii mających bezpośredni wpływ na działalność przedsiębiorców świadczących usługi drogą elektroniczną, co nie oznacza, że zgadza się z pozostałymi postanowieniami Projektu. 7. Wątpliwości IAB Polska budzą przede wszystkim regulacje związane z wprowadzeniem do ustaw pojęcia tzw. danych internetowych poprzez odesłanie do art. 18 ust. 1-5 ustawy z dnia 18 lipca 2002 r. o świadczenie usług drogą elektroniczną (t.j. Dz.U. z 2013 r. poz. 1422, dalej jako „u.ś.u.d.e.”) oraz nowelizacja art. 18 ust. 6 tejże ustawy. Warto podkreślić, że w uzasadnieniu Projektu przyznano, że wyrok TK nie obejmuje swoim zakresem danych uzyskiwanych na podstawie u.ś.u.d.e. (str. 13 uzasadnienia), co pozwala, aby od nowelizacji w tym zakresie odstąpić, a ewentualne nowe regulacje wprowadzić po przeprowadzeniu odrębnych konsultacji społecznych. Wobec powyższego, IAB Polska zwraca również uwagę, że nowelizacja w tym zakresie nie powinna być również objęta trybem pilnym, bowiem brak jest obecnie jakichkolwiek przesłanek do procedowania w tym trybie w odniesieniu do kwestii, które nie zostały przez Trybunał Konstytucyjny ocenione jako niezgodne z Konstytucją. 8. Szczegółowo argumenty za tym przemawiające zostaną przez IAB Polska umówione poniżej. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl [zastrzeżenia do nowelizacji art. 20c ustawy o Policji] 9. Na wstępie IAB Polska zastrzega, że sformułowane poniżej uwagi do Projektu nowelizacji ustawy o Policji dotyczą również przewidzianych w Projekcie analogicznych zmian przepisów w ustawach regulujących działanie innych służb, tj.: w ustawie z dnia 12 października 1990 r. o Straży Granicznej, w ustawie z dnia 28 września 1991 r. o kontroli skarbowej, w ustawie z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych, w ustawie z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, w ustawie z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego, w ustawie z dnia 9 czerwca 2006 r. o Centralnym Biurze, w ustawie z dnia 27 sierpnia 2009 r. o Służbie Celnej. 10. Odnosząc się do art. 20c ust. 1 Projektu nowelizacji ustawy o Policji należy wskazać na bardzo szeroki zakres sytuacji, w których Policja może uzyskiwać dane, tj. „w celu rozpoznawania, zapobiegania, zwalczania, wykrywania i utrwalania dowodów przestępstw albo w celu ratowania życia lub zdrowia bądź wsparcia działań poszukiwawczych lub ratowniczych”. Ponadto w porównaniu do obecnego brzmienia art. 20c ustawy o Policji, który uprawnia Policję wyłącznie do żądania udostępnienia danych telekomunikacyjnych, o których mowa w art. 180c i 180d ustawy Prawo telekomunikacyjne, rozszerza ten obowiązek na dane określone w art. 18 ust. 1-5 u.ś.u.d.e., które zostały zdefiniowane jako „dane internetowe” (20c ust. 1 pkt 1 Projektu). 11. W tym miejscu należy zwrócić uwagę, na to kto jest usługodawcą w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgodnie z art. 2 pkt 6 u.ś.u.d.e. usługodawcą jest osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która prowadząc chociażby ubocznie działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną. Powyższa definicja zakreślona została w sposób szeroki, budzi ona również kontrowersje interpretacyjne, a zatem w praktyce może okazać się problematyczne jednoznaczne rozstrzygnięcie, kto zobowiązany jest do realizacji obowiązków przewidzianych w Projekcie w postaci udostępnienia danych internetowych. IAB Polska zwraca bowiem uwagę, że - odmiennie od rejestru przedsiębiorców telekomunikacyjnych oraz operatorów pocztowych - nie istnieje analogiczny rejestr przedsiębiorców Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl świadczących usługi drogą elektroniczną, a zatem jednoznaczne i pewne przesądzenie o statucie przedsiębiorcy świadczącego usługi drogą elektroniczną nie jest w obecnym stanie prawnym możliwe. W konsekwencji istnieje grupa podmiotów, co do których istnieje stan niepewności prawnej, co do konieczności realizowania przez nie obowiązków wynikających z Projektu. 12. Przy obecnie dynamicznie rozwijającym się sektorze usług świadczonych za pomocą sieci Internet nowe obowiązki zostaną nałożone na dziesiątki lub nawet setki tysięcy przedsiębiorców, w tym na mikro i małych przedsiębiorców prowadzących sklepy internetowe, administratorów forów internetowych, podmioty świadczące usługi poczty elektronicznej czy hostingu, co z pewnością będzie się wiązać z dodatkowymi obciążaniami finansowymi, ponieważ zgodnie z art. 20c ust. 2 projektowanej nowelizacji ustawy o Policji „przedsiębiorca telekomunikacyjny, operator poczty lub usługodawca świadczący usługi droga elektroniczną udostępnia nieodpłatnie dane, o których mowa w ust. 1 (…)”. 13. Projekt w zakresie w jakim reguluje zasady przekazywania danych uprawnionym służbom, zakłada, że następuje to nieodpłatnie, czyli w całości na koszt przedsiębiorcy. Powyższe rozwiązanie budzi szczególne obawy i wątpliwości IAB Polska, bowiem odstąpienie od zasady choćby częściowej partycypacji w kosztach związanych z udostępnianiem danych przez organy ich żądające sprzyja pochopnemu i nieuzasadnionemu wnioskowaniu o te dane, co w konsekwencji w sposób skokowy zwiększy koszty prowadzenia działalności przedsiębiorców internetowych. Nakładanie na przedsiębiorców obowiązku nieodpłatnego udostępniania niezwykle szerokiego zakresu danych dziesięciu jednostkom służb niesie ze sobą konieczność poniesienia przez tych przedsiębiorców wysokich kosztów związanych z gromadzeniem i przechowywaniem danych o użytkownikach, procesem ich weryfikacji, selekcji i udostępniania oraz korespondencji z organami. IAB Polska zwraca uwagę, że koszty te mogą w sposób bezpośredni wpływać na spadek konkurencyjności polskich przedsiębiorców oraz tempa rozwoju rynku cyfrowego, o czym również szerzej w pkt. 19 – 20. W szczególności zagrożona jest sytuacja mikro i małych przedsiębiorców prowadzących działalność w Internecie, bowiem nałożenie na nich dodatkowych obciążeń finansowych w wielu przypadkach może skutkować nierentownością prowadzonej działalności oraz koniecznością jej zamknięcia. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl 14. W ocenie IAB Polska przed poszerzeniem katalogu danych o dane internetowe konieczne byłoby przeprowadzenie eksperckich analiz ekonomicznych i oszacowanie kosztów i obciążeń finansowych, jakie zostałyby nałożone na podmioty dotychczas nieobjęte takim obowiązkiem. Do tego bezwzględnie konieczne jest przeprowadzenie konsultacji społecznych, które ujawnią rzeczywistą skalę problemów i wątpliwości związanych z przyjęciem Projektu i jego wejściem w życie. 15. IAB Polska zaznacza, że przedsiębiorcy prowadzący działalność w Internecie nie są przygotowani na W szczególności wprowadzenie przedsiębiorcy obowiązków ci nie przewidzianych dysponują w odpowiednimi Projekcie. środkami technicznymi do realizacji projektowanych obowiązków, a w konsekwencji nie są w stanie prowadzić działalności zgodnie z prawem z dniem wejścia w życie Projektu. Co więcej, na chwilę obecną brak jest wytycznych co do technicznych sposobów gromadzenia i przekazywania danych, przy czym z pewnością wypracowywanie mechanizmów w tym zakresie nie może obciążać obowiązanych. Zatem obowiązek ten, w zakresie w jakim nie został sprecyzowany nie może być przez przedsiębiorców należycie realizowany. 16. Gromadzenie i przekazywanie danych zgodnie z Projektem wymaga również podjęcia dodatkowych czynności faktycznych przez przedsiębiorców, do czego muszą oni albo delegować obecnych pracowników, albo zatrudnić nowych, co podnosi koszty prowadzonej przez nich działalności gospodarczej. IAB Polska zwraca uwagę, że w przypadku mikro i małych przedsiębiorców może to stanowić wydatek niemożliwy do poniesienia, a w konsekwencji będzie prowadzić do zamykania lub rezygnowania z prowadzenia i podejmowania inicjatyw biznesowych w Internecie. Ponadto nakładanie dodatkowych obowiązków na przedsiębiorców świadczących usługi droga elektroniczną, przy jednoczesnym braku nałożenia analogicznych obowiązków na przedsiębiorców świadczących te same usługi bez wykorzystania sieci Internet (przykładowo sklepy internetowe i tradycyjne) stanowi zbyt daleko idące rozróżnienie sytuacji prawnej podmiotów świadczących usługi w zbliżonych warunkach. 17. IAB Polska ponownie podkreśla, że przedsiębiorcy świadczący usługi drogą elektroniczną zostali w Projekcie zrównani w obowiązkach z przedsiębiorcami Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl telekomunikacyjnymi. IAB Polska zwraca uwagę, że obowiązek retencji i udostępniania danych telekomunikacyjnych był już wcześniej znany przedsiębiorcom telekomunikacyjnym, którzy dysponują obecnie odpowiednimi zasobami ludzkimi, infrastrukturą i zapleczem technicznym umożliwiającymi realizację tego obowiązku. Co więcej, podejmując działalność telekomunikacyjną musieli oni liczyć się z koniecznością realizacji takiego obowiązku, podczas gdy przedsiębiorcy prowadzący działalność gospodarczą w Internecie zostali tak daleko idącym obowiązkiem zaskoczeni, bowiem dotychczas jego zakres i sam fakt obowiązywania budził wątpliwości. 18. Co więcej, biorąc pod uwagę niemalże natychmiastową datę wejścia w życie Projektu w razie jego uchwalenia, przedsiębiorcy świadczący usługi drogą elektroniczną nie mają możliwości należytego przygotowania się do realizacji zastrzeżonych w Projekcie obowiązków. Powyższe jest działaniem ustawodawcy zaskakującym, pochopnym oraz o niemożliwych do przewidzenia na dzień dzisiejszy negatywnych konsekwencjach dla rynku cyfrowego. [zastrzeżenia do nowelizacji art. 18 ust. 6 u.ś.u.d.e.] 19. W tym kontekście zwracamy uwagę również na projektowaną nowelizację art. 18 ust. 6 u.ś.u.d.e. uzupełniającą postanowienia regulujące działanie służb, zgodnie z którą usługodawca udostępnia dane, o którym mowa w art. 18 ust. 1-5 u.ś.u.d.e. organom państwa uprawnionym na podstawie przepisów na potrzeby prowadzonych przez nie postępowań nieodpłatnie. Odejście od modelu, w którym odpłatność jest dozwolona, może spowodować pochopne wnioskowanie o dane przez organy państwa, co w ostateczności może doprowadzić do paraliżu działania przedsiębiorcy i konieczności zatrudniania osób odpowiedzialnych wyłącznie za udostępnianie danych organom państwa, a także konieczności ponoszenia znacznych kosztów z tytułu tworzenia lub zakupu, a następnie utrzymania i aktualizowania infrastruktury przeznaczonej jedynie do wyszukiwania i udostępniania tych danych. W tym miejscu należy zwrócić uwagę na ogólnikowy charakter art. 18 ust. 6 u.ś.u.d.e., który od dawna budzi wątpliwości interpretacyjne, w szczególności co do zakresu podmiotów uprawnionych do żądania wydania danych jak i zakresu osób, których dane mogą być udostępniane przez usługodawcę na tej podstawie (sprawcy Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl czynu czy też osoby poszkodowanej), co powoduje brak pewności prawa po stronie usługodawców. 20. IAB Polska zauważa, że Projekt w sposób niedopuszczalny i niebezpieczny przenosi koszty działalności operacyjnej służb na przedsiębiorców. W ocenie IAB Polska, obciążanie kosztami za działania będące w zasadzie kompetencjami służb bezpieczeństwa nie tylko jest nieproporcjonalne, ale także stanowi nieuprawnione ograniczenie swobody działalności gospodarczej. Mając na uwadze, że w 2013 roku przedsiębiorcy telekomunikacyjni otrzymali ok. 1,75 mln, a w 2014 roku ok. 2,17 mln żądań o udostępnienie danych od uprawnionych podmiotów, sądów i prokuratorów, to należy uważać, że podobne statystyki mogą występować w branży usług świadczonych drogą elektroniczną. Niektórzy przedsiębiorcy świadczący usługi drogą elektroniczną już teraz otrzymują od prokuratorów i sądów tygodniowo od kilku do kilkunastu postanowień z żądaniem udostępnienia danych. W razie przyznania wyraźnej kompetencji do żądania tych danych niemal wszystkim organom ścigania liczba ta zdecydowanie wzrośnie. [zastrzeżenia do zakresu danych internetowych] 21. Należy również zwrócić uwagę, że katalog danych zawartych w art. 18 ust. 1-5 u.ś.u.d.e. jest bardzo szeroki i umożliwia głęboką analizę zachowań obywateli. W przepisie tym wymieniono nazwisko i imiona usługobiorcy, numer PESEL lub numer innego dokumentu potwierdzającego tożsamość, adres zameldowania, adres korespondencyjny. Wśród innych danych niezbędnych do realizacji usługi znajdować się mogą, zgodnie z ogólnymi zasadami, wszelkiego rodzaju informacje, w tym dotyczące wieku, czy życia zawodowego danej osoby, daty urodzenia oraz np. jej numeru telefonu. Za daną osobową może być uznany również login jako oznaczenie słowne służące identyfikacji usługobiorcy w danym systemie teleinformatycznym, którego podanie może być w niektórych wypadkach niezbędne do skorzystania z usług serwisu. Przepis art. 18 ust. 2 u.ś.u.d.e. obejmuje swym zakresem również dane niezbędne do rozliczenia usługi, np. nr NIP, nr karty płatniczej, nr rachunku bankowego, a także tzw. danych o lokalizacji. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl 22. W art. 18 ust. 4 u.ś.u.d.e. dopuszczono wykorzystanie tzw. danych eksploatacyjnych, które dostarczają informacji o rodzaju i zakresie usług, z jakich usługobiorca korzystał, a co za tym idzie - o jego zainteresowaniach i preferencjach. Przepis ten obejmuje numery telefonów oraz nr IMEI (International Mobile Equipment Identity), identyfikujący telefon komórkowy (urządzenie), nr karty sieciowej MAC (indywidualny numer każdego egzemplarza karty sieciowej) oraz nr IP identyfikujący dany system teleinformatyczny, czyli urządzenie komputerowe: komputery, drukarki, kamery itp., umożliwiający połączenie w sieci telekomunikacyjnej. Przepis ten uprawnia do przetwarzania danych o ruchu w sieci telekomunikacyjnej, a więc danych o połączeniach pomiędzy urządzeniami komputerowymi, ich adresów IP, dat i czasu trwania połączenia, rodzaju połączeń. Wszystkie te dane (zwłaszcza w razie zestawienia danych od różnych usługodawców) pozwalają na ustalenie całego życiorysu użytkownika w Internecie. 23. Zwracamy uwagę, ze wyżej wskazany zakres danych internetowych pozwala potencjalnie na uzyskanie znacznie więcej informacji o obywatelach niż dane telekomunikacyjne określone w art. 180c ustawy Prawo Telekomunikacyjne. Dostęp do danych pozwalających na ustalenie rutyn, przyzwyczajeń, preferencji każdego obywatela powinien być poprzedzony odpowiednim wydaniem odpowiedniego postanowienia przez sąd. Co więcej, swobodny dostęp Policji, Straży Granicznej, Żandarmerii Wojskowej czy też innych organów ścigania do danych użytkownika może wiązać się z utratą zaufania użytkowników do usług świadczonych drogą elektroniczną. Zważywszy na fakt, że projektowane przepisy będą oddziaływały bezpośrednio na polskich przedsiębiorców świadczących usługi drogą elektroniczną, to wspomniana utrata zaufania może mieć dla nich szczególnie dotkliwe skutki. Konsekwencją może być nawet spadek tempa rozwoju gospodarki cyfrowej, a szerzej - jednolitego rynku cyfrowego. Takie argumenty uzasadniają przeprowadzenie konsultacji społecznych, co do podstaw udostępniania danych internetowych Policji i innym służbom bezpieczeństwa. Nadto, spadek tempa rozwoju gospodarki cyfrowej jako skutek regulacji (obok zmniejszenia ochrony prywatności), winien zostać szeroko uzasadniony w projekcie. [kontrola nad działaniami służb] Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl 24. Zdaniem IAB Polska niepokój budzi art. 20ca Projektu nowelizacji ustawy o Policji wprowadzający mechanizm kontroli działań Policji nad uzyskiwaniem danych. Jak wskazano w Wyroku TK przepisy uprawniające do sięgania po dane telekomunikacyjne naruszają Konstytucję „przez to, że nie przewidują niezależnej kontroli udostępniania danych telekomunikacyjnych”. W związku z tym orzeczeniem Projekt zakłada wprowadzenie kontroli następczej przez sąd okręgowy właściwy dla siedziby organu Policji, któremu dane zostały udostępnione. Kontrola ta ma polegać na składaniu w okresach półrocznych sprawozdań, w których Policja jest zobowiązana określić wyłącznie ilość i rodzaje danych. Szczególnie zastrzeżenia budzi ust. 3 art. 20ca Projektu nowelizacji ustawy o Policji, ponieważ wprowadza on wyłącznie fakultatywny charakter kontroli przeprowadzanej przed sąd. Naszym zdaniem wprowadzenie wyłącznie takiej formy działań przez sąd może doprowadzić do niepodejmowania realnych czynności kontrolnych1, co w połączeniu z głęboką ingerencją w prywatność obywateli może prowadzić do nadużyć ze strony Policji i innych służb. Ponadto kontrola prowadzona po upływie 6 miesięcy będzie mniej efektywna niż kontrola uprzednia, która nie została wprowadzana nawet w wąskim zakresie do Projektu. Brak jest również dodatkowych sankcji dla funkcjonariuszy za nieuzasadnione sięganie po dane, w postaci chociażby odpowiedzialności dyscyplinarnej, które skutecznie zniechęcałyby od nadużyć i nieuprawnionego wykorzystania danych. Projekt nie przewiduje również obowiązku zniszczenia danych pobranych niezgodnie z prawem. 25. Przede wszystkim ww. rozwiązania nie realizują Wyroku TK, ani wyroku Trybunału Sprawiedliwości Unii Europejskiej z 8 kwietnia 2014 r. w sprawach połączonych C-293/12 i C-594/12 (dalej jako: „Wyrok TSUE”). TSUE, stwierdzając niezgodność z Kartą praw podstawowych tzw. dyrektywy retencyjnej, zwrócił uwagę, że uzyskanie dostępu do danych powinno podlegać uprzedniej kontroli sądu lub niezależnego organu administracyjnego, które pilnowałyby, aby udostępnienie i wykorzystywanie danych ograniczało się do przypadków, gdy jest to ściśle konieczne. TK wskazał z kolei, że przepisy uprawniające do sięgania po dane telekomunikacyjne naruszają Konstytucję „przez to, że nie przewidują niezależnej kontroli udostępniania danych 1 Tak również np. stanowisko Rzecznika Praw Obywatelskich z dnia 29 grudnia 2015 r. oraz stanowisko Fundacji Panoptykon z 27 grudnia 2015 r. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl telekomunikacyjnych”. Należy zauważyć, że fakultatywna kontrola następcza prowadzona przez sąd na podstawie składanych co 6 miesięcy sprawozdań nie spełnia wytycznych płynących z Wyroków TK i TSUE. Konsekwencją przegłosowania ustawy w obecnym brzmieniu bez uwzględnienia Wyroku TK i Wyroku TSUE będzie orzeczenie o niezgodności z Konstytucją projektowanej ustawy. W celu uniknięcia takiego stanu konieczne jest przeprowadzenie konsultacji społecznych na temat kontroli sądowej udostępniania danych internetowych Policji i innym służbom. 26. Wątpliwości wywołuje także wydłużenie okresów dopuszczalności prowadzenia kontroli operacyjnej. Projekt zakłada możliwość jej przedłużania ponad standardowe okresy nawet o 12 miesięcy, co łącznie umożliwia prowadzenie kontroli operacyjnej przez 18 miesięcy. Co więcej, w przypadku zmian dotyczących ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu i ustawy z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego, umożliwia się przedłużanie kontroli operacyjnej na następujące po sobie okresy, z których żaden nie może trwać dłużej niż 12 miesięcy (w odniesieniu do Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego). Oznacza to, że ustawodawca nie przewiduje górnej granicy trwania kontroli operacyjnej prowadzonej przez ABW i SKW. Co więcej, usługodawca świadczący usługi drogą elektroniczną będzie obowiązany do zapewnienia na własny koszt warunków technicznych i organizacyjnych umożliwiających prowadzenie kontroli operacyjnej przez odpowiednie służby. Takie rozwiązania naruszają zasadę proporcjonalności, a w rezultacie mogą doprowadzić nawet do konieczności tworzenia i finansowania odpowiednich komórek (działów) u usługodawcy zajmujących się nieprzerwaną współpracą pomiędzy usługodawcą a organami ścigania. [podsumowanie] 27. W ramach podsumowania IAB Polska pragnie wyrazić następujące postulaty dotyczące regulacji dostępu do danych: I. Ustawodawca – w kontekście treści Wyroku TK - powinien odstąpić od regulacji kwestii udostępniania służbom tzw. danych internetowych przez Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl przedsiębiorców świadczących usługi drogą elektroniczną, ewentualnie regulacja w tym zakresie powinna stanowić przedmiot odrębnego postępowania legislacyjnego poprzedzonego eksperckimi analizami ekonomicznymi dotyczącymi skutków nałożenia nowych obowiązków na te podmioty. II. Obowiązki przedsiębiorców świadczących usługi drogą elektroniczną, którzy w większości są mikro i małymi przedsiębiorcami, nie powinny być jednakowe z tymi nakładanymi na przedsiębiorców telekomunikacyjnych oraz operatorów pocztowych, prowadzących działalność gospodarczą na znacznie większą skalę, którzy to z natury tej działalności zobowiązani są do współdziałania na rzecz bezpieczeństwa publicznego. Działanie takie nie jest bowiem proporcjonalne, a nadregulacja działalności internetowej może prowadzić do zahamowania tempa jej wzrostu i utraty zaufania użytkowników. III. Przepisy o dostępie do danych powinny zapewniać równowagę pomiędzy bezpieczeństwem państwa i obywateli a ich prywatnością, co pozwoli zarówno na budowanie zaufania obywateli do państwa jak i do usługodawców świadczących usługi drogą elektroniczną. IV. Udostępnianie danych osób fizycznych powinno odbywać się wyłącznie w precyzyjnie określonych w prawie przypadkach. Taki stan zapewniłby pewność i przewidywalność w stosowaniu prawa zarówno po stronie obywateli jak i usługodawców zobowiązanych do ich dostarczenia odpowiednim służbom. V. Dostęp do danych powinien podlegać rzeczywistej kontroli, która wprowadza rzeczywiste środki ochrony, w tym w szczególności środki kontroli uprzedniej. Kontrola musi bowiem umożliwiać natychmiastową interwencję i zakończenie korzystania przez służby z danych, które to może naruszać prawa obywateli i przedsiębiorców. VI. Wprowadzenie zmian w ustawodawstwie dotyczącym udostępniania danych powinno odbywać się po przeprowadzeniu konsultacji, tak aby przepisy odpowiadały zarówno potrzebom służb jak i zapewniały odpowiednie gwarancje ochrony praw usługodawców jak i usługobiorców. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl VII. Nieodpłatne udostępnianie danych przez usługodawców nie powinno stanowić reguły, gdyż prowadzić może do nieproporcjonalnego do potrzeb napływu wniosków o udostępnianie danych oraz ich zakresu. VIII. Nakładanie na przedsiębiorców świadczących usługi drogą elektroniczną nowych obowiązków w zakresie zaproponowanym w Projekcie nie jest proporcjonalne do celów, którym służyć ma nowelizacja. Nie jest bowiem oraz w żadnym wypadku nie powinno być obowiązkiem przedsiębiorcy gromadzenie i przechowywanie szczegółowych danych o użytkownikach na potrzeby służb. W przypadku ewentualnego nałożenia jakichkolwiek nowych obowiązków, ich wprowadzanie w terminie tak krótkim, jak ten zastrzeżony w Projekcie jest sprzeczne z podstawowymi zasadami prawa, w tym pewności prawa. Zwracamy uwagę, że przyjęcie Projektu w zaproponowanej wersji spowoduje powstanie chaosu regulacyjnego na rynku cyfrowym, a nałożone na przedsiębiorców świadczących usługi drogą elektroniczną dodatkowych i niepoddanych żadnej uprzedniej analizie ekonomicznej obowiązków może doprowadzić do zwolnienia tempa rozwoju tego rynku, w tym do rezygnacji wielu podmiotów z prowadzenia działalności (ze względu na nieproporcjonalne koszty związane z koniecznością wypełnienia nowych obowiązków publicznoprawnych) oraz zmniejszeniem konkurencyjności polskich przedsiębiorców. Związek Pracodawców Branży Internetowej IAB Polska ul. Krucza 16/22 Warszawa tel. + 48 22 434 21 58 fax + 48 22 434 21 69 www.iabpolska.pl