Ochrona Danych Osobowych_WIelki Brat przekroczył

Ochrona danych osobowych: Wielki Brat
przekroczył już granice
Ktokolwiek chce się zabrać do ujarzmiania Wielkiego Brata, musi myśleć o tym zadaniu
globalnie - pisze w felietonie Katarzyna Szymielewicz, współzałożycielka fundacji
Panoptykon.
Cyber-szpiegostwo
Kiedy minister spraw wewnętrznych Bartłomiej Sienkiewicz zapowiadał prace nad polską
ustawą „przeciw Wielkiemu Bratu”, nie mógł przewidzieć, że już za chwilę jego paralela trafi
na nagłówki gazet w zupełnie innym kontekście. Jak się mają uprawnienia polskich służb do
tego, co mogą ich amerykańskie odpowiedniki? Czy wyzwanie w postaci odpowiedniego
uregulowania naszego poletka nie blednie wobec problemów, jakie stwarza amerykańska
inwigilacja europejskiego internetu? To nie są pytania retoryczne. O obu obszarach wiemy
dziś tak niewiele, że równie trudno ocenić wagę problemów. W każdym z nich jest też
konkretna praca do wykonania, od której nie mogą już uciec ani polski rząd, ani Unia
Europejska.
O tym, że uprawnienia polskich służb wymagają co najmniej przeglądu, a zapewne
i gruntownej rewizji, wiadomo od dawna. Do uporządkowania tego, co wolno w ramach
kontroli operacyjnej, zabierało się już paru ministrów, a grupa ekspertów związana
z Polską Platformą Bezpieczeństwa Wewnętrznego w zasadzie napisała projekt ustawy.
O tym, że nasze prawo dotyczące zbierania i wykorzystywania danych
telekomunikacyjnych (w tym billingów i danych o lokalizacji) negatywnie wyróżnia się
na tle Europy – dając obywatelom bodaj najsłabsze gwarancje, a służbom najszersze
uprawnienia – dyskutujemy od prawie trzech lat.
Na debacie publicznej na szczęście się nie skończyło: Rzecznik praw obywatelskich
skierowała do Trybunału Konstytucyjnego kilka wniosków o uznanie za niekonstytucyjne
przepisów w zakresie kontroli operacyjnej i dostępu do danych telekomunikacyjnych.
Trybunał połączył je do wspólnego rozpoznania, co daje szansę na przełomowe orzeczenie,
nakreślające zakres i kierunki przymusowej reformy uprawnień policji i innych służb. Wiele
wskazuje na to, że minister spraw wewnętrznych czeka na te wytyczne z przygotowaniem
założeń zmian prawnych, które obiecywał jeszcze jego poprzednik Jacek Cichocki. Zwłoka
z jednej strony zrozumiała, z drugiej bardzo ryzykowna, bo na opracowanie tak
wielowątkowej i ważnej regulacji ministrowi może zwyczajnie nie wystarczyć kadencji.
Chyba że na to właśnie liczy rząd?
Jak się kończy unikanie trudnego tematu i liczenie na to, że „nie wypłynie”, dobitnie pokazała
afera z amerykańskim programem PRISM. O tym, że Amerykanie mają przynajmniej
szerokie możliwości pozyskiwania danych obywateli UE od podlegających ich jurysdykcji
firm, wiadomo od ponad 10 lat. Jeszcze w 2002 r., w ramach dostosowywania
amerykańskiego porządku prawnego do potrzeb wojny z terroryzmem, Kongres przyjął
Foreign Intelligence Surveillance Act, którego ostrze zostało wymierzone właśnie
w cudzoziemców. Firmy takie jak Google, Microsoft, Yahoo, Apple czy AOL nie mają
wyjścia: w świetle prawa muszą udostępniać NSA i FBI dane swoich klientów. Można było
dywagować o tym, jakie są skala czy tryb tego dostępu, jednak nie można było udawać, że
problemu nie ma.
Europejskie instytucje też nie udawały, że wszystko jest w porządku. W ubiegłym roku
Parlament Europejski zamówił analizę na temat zagrożeń związanych z przechowywaniem
danych w chmurze, czyli na wirtualnych serwerach zagranicznych firm. Nie zabrakło w niej
odniesień do szczególnych uprawnień amerykańskich służb. Od dwóch lat na stole jest projekt
porozumienia między Unią Europejską i USA o ochronie danych w sferze współpracy
policyjnej i sądowej, które w zamyśle ma narzucić takie same standardy postępowania
z danymi osobowymi organom egzekwowania prawa po obu stronach Atlantyku. Ale to wciąż
tylko projekt. Komisja Europejska starała się też zawrzeć gwarancje zapobiegające takim
praktykom, jak niekontrolowany dostęp organów innych państw do danych obywateli UE, w
projekcie rozporządzenia o ochronie danych osobowych, nad którym prace są bardziej
zaawansowane. Co prawda te gwarancje byłyby raczej papierowe, bo to, co Unia Europejska
wpisze do swojego prawa, nie wpływa automatycznie na zagraniczne przepisy, takie jak
FISAA. Jednak nawet to się nie udało. Z relacji brukselskich urzędników i dokumentów, jakie
wyciekły do mediów, wynika, że zadziałała dyplomatyczna presja USA.
Podobnie jak w Polsce – to, że wszyscy widzą problem, niekoniecznie pomaga w znalezieniu
rozwiązania. Potrzebna jest jeszcze wola polityczna. Afera, jaka wybuchła po ujawnieniu
szczegółów programu PRISM, niewiele wnosi do naszej wiedzy o skali i celach inwigilacji.
Amerykańskie firmy zgodnie podważają rewelacje Snowdena i zapewniają, że
„bezpośredniego dostępu do serwerów” nikomu nie dają. Komisarz ds. praw podstawowych
Viviane Reding zadała amerykańskiemu prokuratorowi generalnemu siedem pytań, na które
oczekuje „szybkich i konkretnych odpowiedzi”. Jeśli je dostanie, dowiemy się, czy
rzeczywiście to, co mogą amerykańskie służby, jest powodem do większego niepokoju niż
sytuacja, z jaką mierzymy się w Polsce.
Już dziś jedno jest jednak pewne: ktokolwiek chce się zabrać do ujarzmiania Wielkiego Brata,
musi myśleć o tym zadaniu globalnie. Nie ma sensu rozmowa o uprawnieniach polskich służb
w oderwaniu od tego, jakie uprawnienia mają agencje wywiadowcze naszych politycznych
sojuszników – tak jak nie ma sensu rozmowa o ochronie danych osobowych w Europie bez
dyskusji o amerykańskich standardach i obowiązkach globalnych internetowych korporacji.
Sztuczne oddzielenie gwarancji dotyczących zbierania i przetwarzania danych przez
komercyjne firmy od przepisów, które dają dostęp do tych danych organom egzekwowania
prawa, ma bardzo krótkie nogi. Sytuacja, w której ABW zwraca się z prośbą do
amerykańskiego odpowiednika o „sprawdzenie” danych polskiego obywatela na serwerze
amerykańskiej firmy, nie wydaje się przecież nieprawdopodobna.
Zagrożenia dla naszej prywatności, podobnie jak internet, już dawno przekroczyły granice. To
samo muszą zrobić twórcy nowych gwarancji prawnych, jeśli te mają być mocniejsze niż
papier. Komentując sprawę PRISM, celnie podsumowała to rzeczniczka Komisji
Europejskiej, Mina Andreeva: „Bezpieczeństwo narodowe to sprawa państw członkowskich,
jednak ta sprawa pokazała nam, że jasne ramy prawne dotyczące ochrony danych osobowych
nie są luksusem ani ograniczeniem, to po prostu nasze fundamentalne prawo.”
Autor: Katarzyna Szymielewicz
Artykuły z: Dziennik Gazeta Prawna