Nik P 12 191 Billingi

KPB-P/12/191 Nrewid.
107/2013/P/12/191/KPB Wersja jawna
Informacja owynikach kontroli
Uzyskiwanie iprzetwarzanie przez uprawnione podmioty danych zbilingw, informacji o lokalizacji oraz innych danych, o ktrych mowa wart.180 c id ustawy Prawo telekomunikacyjne
marzec
01
MISJ
Najwyszej Izby Kontroli jest dbao ogospodarno iskuteczno wsubie publicznej dla Rzeczypospolitej Polskiej
WIZJ
Najwyszej Izby Kontroli jest cieszcy si powszechnym autorytetem najwyszy organ kontroli pastwowej, ktrego raporty bd oczekiwanym i poszukiwanym rdem informacji dla organw wadzy ispoeczestwa
Radca Prezesa NIK p. o. Dyrektor Departamentu Porzdku i Bezpieczestwa Wewntrznego: Marek Biekowski
Akceptuj: Marian Cichosz
Wiceprezes Najwyszej Izby Kontroli
Zatwierdzam: Jacek Jezierski
Najwysza Izba Kontroli ul. Filtrowa 57 02-056 Warszawa T/F +48 22 444 50 00 www.nik.gov.pl
Prezes Najwyszej Izby Kontroli dnia czerwca 2013
S pis treci
WPROWADZENIE5 1. ZAOENIA KONTROLI6 2. PODSUMOWANIE WYNIKW KONTROLI8

2.1. Oglna ocena kontrolowanej dziaalnoci 8 2.2. Przestrzeganie praw iwolnoci obywatelskich wzwizku zpozyskiwaniem danych telekomunikacyjnych13 2.3. Uwagi kocowe iwnioski17 3.1. Charakterystyka obszaru objtego kontrol18 3.2. Istotne ustalenia kontroli23 3.2.1. Agencja Bezpieczestwa Wewntrznego23 3.2.2. Centralne Biuro Antykorupcyjne25 3.2.3. Policja30 3.2.4. Suba Kontrwywiadu Wojskowego35 3.2.5. Stra Graniczna38 3.2.6. andarmeria Wojskowa42 3.2.7. Ministerstwo Finansw46 3.2.8. Urzd Komunikacji Elektronicznej48 3.2.9. Sdy52 3.2.10. Prokuratury54 3.2.11. Przedsibiorcy telekomunikacyjni56 3.2.12. Retencja danych aprawa iwolnoci obywatelskie59 3.3. Dobre praktyki72 4.1. Przygotowanie kontroli74 4.2. Postpowanie kontrolne idziaania podjte pozakoczeniu kontroli74
2. WANIEJSZE WYNIKI KONTROLI 18
4. INFORMACJE DODATKOWE OPRZEPROWADZONEJ KONTROLI 74
5. ZACZNIKI 76
Wy k az stosowanych sk rtw ipoj

ABW CBA GIODO KGP KWP KG SG SKW UKE W Prawo telekomunikacyjne ustawa oNIK ustawa oPolicji ustawa oStray Granicznej ustawa oABW ustawa oCBA ustawa oandarmerii Wojskowej ustawa oSKW iSWW ustawa oochronie danych osobowych ustawa oochronie informacji niejawnych
Agencja Bezpieczestwa Wewntrznego Centralne Biuro Antykorupcyjne Generalny Inspektor Ochrony Danych Osobowych Komenda Gwna Policji Komenda Wojewdzka Policji Komenda Gwna Stray Granicznej Suba Kontrwywiadu Wojskowego Urzd Komunikacji Elektronicznej andarmeria Wojskowa Ustawa zdnia 16lipca 2004 r. Prawo telekomunikacyjne (Dz.U. Nr171 poz.1800 zezm.) Ustawa zdnia 23grudnia 1994 r. oNajwyszej Izbie Kontroli (Dz.U. z2012 r., poz.82 zezm.) Ustawa zdnia 6kwietnia 1990 r. oPolicji (Dz.U. z2011 r. Nr287, poz.1687 zezm.) Ustawa zdnia 12padziernika 1990 r. oStray Granicznej (Dz.U. z2011 r. Nr116, poz.675 zezm.) Ustawa zdnia 24maja 2002 r. oAgencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu (Dz.U. z2010 r. Nr29, poz.154 zezm.) Ustawa zdnia 9czerwca 2006 r. oCentralnym Biurze Antykorupcyjnym (Dz.U. z2012 r., poz.621) Ustawa zdnia 24sierpnia 2001 r. oandarmerii Wojskowej iwojskowych organach porzdkowych (Dz.U. Nr123, poz.1353 zezm.) Ustawa zdnia 9czerwca 2006 r. oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego (Dz.U. Nr104, poz.709 zezm.) Ustawa zdnia 29sierpnia 1997 r. oochronie danych osobowych (Dz.U. z2002 r. Nr101, poz.926 zezm.) Ustawa zdnia 5sierpnia 2010 r. oochronie informacji niejawnych (Dz.U. Nr182, poz.1228)
dane telekomunikacyjne dane, oktrych mowa wart.180c id Prawa telekomunikacyjnego (dane retencyjne)
WPROWADZEN I E
Kontrola zostaa przeprowadzona zinicjatywy wasnej Najwyszej Izby Kontroli w zwizku zprzygotowywan nowelizacj Prawa Telekomunikacyjnego wzakresie retencji oraz uzyskiwania danych telekomunikacyjnych przez uprawnione podmioty. Przyczyn podjcia przedmiotowej kontroli byy rwnie liczne doniesienia mediw iorganizacji spoecznych wskazujce naspoeczne zapotrzebowanie dokonania wiarygodnej analizy ioceny, przez zewntrzn iniezalen instytucj, obowizujcych przepisw iprocedur stosowanych przez podmioty uprawnione dodania danych telekomunikacyjnych. Analiza przedkontrolna przeprowadzona przez NIK wskazywaa, e wzwizku zpozyskiwaniem iprzetwarzaniem danych telekomunikacyjnych moe dochodzi donaruszenia praw iwolnoci obywatelskich. Zdrugiej strony pojawiay si argumenty, i bez wykorzystania tego rodka, wykrycie sprawcw wielu przestpstw nie byoby moliwe. Kontrola miaa dostarczy niezbdnych materiaw doprzeprowadzenia analizy ww. zakresie oraz ewentualnego sformuowania wnioskw w przedmiocie zmian obowizujcych przepisw bd utrwalonej praktyki.
ZA O EN I A KONTROL I
Kontrola planowa nrP/12/191 Uzyskiwanie iprzetwarzanie przez uprawnione podmioty danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne1 zostaa przeprowadzona zinicjatywy Najwyszej Izby Kontroli. Wporozumieniu zPrezesem NIK, kontrol rwnoleg uoperatorw telekomunikacyjnych przeprowadzi Generalny Inspektor Ochrony Danych Osobowych. Cel gwny kontroli Celem gwnym kontroli bya ocena procesu uzyskiwania i przetwarzania przez uprawnione podmioty danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne. Cele szczegowe Celem kontroli bya ocena: 1. Przyjtych uregulowa wewntrznych oraz ustanowionej struktury organizacyjnej, wobszarze uzyskiwania, przetwarzania, wykorzystania iniszczenia danych telekomunikacyjnych. 2. Wykorzystywania, przez uprawnione suby iorgany pastwa, przyznanych im uprawnie, awszczeglnoci przestrzeganie obowizujcych zasad, przepisw ustawowych oraz procedur wewntrznych wzakresie dania, uzyskiwania, przetwarzania, wykorzystania iniszczenia danych telekomunikacyjnych. 3. Realizacji przez Prezesa Urzdu Komunikacji Elektronicznej zada wzakresie regulacji ikontroli rynku usug telekomunikacyjnych, oraz skutecznoci wtworzeniu warunkw realizacji zasady subsydiarnoci2 wdziedzinie uzyskiwania przez uprawnione podmioty danych telekomunikacyjnych. 4. Zabezpieczenia danych telekomunikacyjnych oraz terminowoci realizacji obowizkw ustawowych przez jednostki organizacyjne sdw iprokuratur. 5. Dziaa operatorw iprzedsibiorcw telekomunikacyjnych w zakresie zgodnoci pozyskiwania, przechowywania i przekazywania danych zobowizujcymi przepisami, wtym w szczeglnoci przepisami oochronie danych osobowych3. Kontrola miaa rwnie zazadanie zidentyfikowanie wprzepisach dotyczcych dania, uzyskiwania, przetwarzania, wykorzystania iniszczenia danych telekomunikacyjnych obszarw wymagajcych zmian legislacyjnych, wtym wskazanie przepisw, ktre zewzgldu nasposb zapisu, brak definicji, trudnoci interpretacyjne, nie smoliwe doprecyzyjnego i jednolitego zastosowania, atake wskazanie dobrych praktyk, ktrych wdroenie moe przyczyni si doograniczenia wystpujcych wtym obszarze nieprawidowoci.
1 Dane niezbdne do: 1) ustalenia zakoczenia sieci, telekomunikacyjnego urzdzenia kocowego, uytkownika kocowego:
a) inicjujcego poczenie, b) doktrego kierowane jest poczenie; 2) okrelenia: a) daty igodziny poczenia oraz czasu jego trwania, b) rodzaju poczenia, c) lokalizacji telekomunikacyjnego urzdzenia kocowego oraz dane, oktrych mowa wart.159 ust.1 pkt1 i3-5, wart.161 oraz wart.179 ust.9 (Dz.U. Nr171, poz.1800 zezm.). 2 Zasada subsydiarnoci oznacza, i okrelone rodki mog mie zastosowanie jedynie wwczas, gdy uycie innych rodkw doosignicia zamierzonego celu nie jest moliwe lub jest nadmiernie utrudnione. Zasada subsydiarnoci ma chroni obywateli przed nadmiern ingerencj pastwa wsfer ich praw iwolnoci. Cel realizowany przez GIODO wramach kontroli rwnolegej. 3
zaoenia kontroli
Podstawa prawna, kryteria kontroli Kontrol przeprowadzono napodstawie art.2 ust.1 ustawy zdnia 23grudnia 1994r. oNajwyszej Izbie Kontroli4, zgodnie zkryteriami okrelonymi wart.5 ust.1 ustawy, tj.legalnoci, gospodarnoci, celowoci irzetelnoci. Zakres przedmiotowy kontroli Kontrol objto proces uzyskiwania iprzetwarzanie przez uprawnione podmioty danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180 c id ustawy Prawo telekomunikacyjne. Zakres kontroli prowadzonej przez NIK musia ulec jednake znacznemu ograniczeniu, zewzgldu naprzepisy dotyczce niezalenoci sdw iniezawisoci sdziowskiej oraz przepisy ustaw szczegowych, wyczajce spod kontroli NIK, sprawy zwizane zprowadzeniem czynnoci operacyjno-rozpoznawczych5. NIK nie moga rwnie obj kontrol dziaalnoci operatorw telekomunikacyjnych, zewzgldu nafakt, i spodmiotami prywatnymi. Wniniejszej Informacji wykorzystano jednake wyniki kontroli rwnolegej przeprowadzonej przez GIODO upiciu niej wymienionych operatorw telekomunikacyjnych, wzakresie zgodnoci przetwarzania danych zprzepisami ustawy oochronie danych osobowych6. Zakres podmiotowy kontroli Kontrol objto Agencj Bezpieczestwa Wewntrznego, Centralne Biuro Antykorupcyjne, wybrane jednostki Policji (Komend Gwn Policji, 3 Komendy Wojewdzkie), Komend Gwn Stray Granicznej, Sub Kontrwywiadu Wojskowego, andarmeri Wojskow, Ministerstwo Finansw (Suba Celna oraz Departament Wywiadu Skarbowego), 3 wybrane Sdy Okrgowe oraz 4Prokuratury Okrgowe, atake Urzd Komunikacji Elektronicznej. Kontrol GIODO objci zostali: Polska Telefonia Cyfrowa S.A., Netia S.A., Polkomtel Sp. zo. o., P4Sp.zo.o., Polska Telefonia Komrkowa Centertel Sp. zo.o. Wykaz jednostek objtych kontrol przedstawiono wzaczniku nr5.1. nastr. 76 Informacji. Okres objty kontrol Kontrol objto okres od1stycznia 2011 do30czerwca 2012 r. Uwzgldniono wniej ponadto dziaania izdarzenia zaistniae przed ipo ww. okresie, majce bezporedni zwizek zzagadnieniami bdcymi przedmiotem kontroli.
4 Dz.U. Nr 227, poz.1482 zezm. 5 Kwestia tazostaa szczegowo omwiona wpkt3.1. nastr. 20 in. 6 Raport GIODO zostanie opublikowany rwnoczenie zInformacj NIK.
Po dsum owan i e w y n i kw ko n t r o li
2.1 Oglna ocena kontrolowanej dziaalnoci
Najwysza Izba Kontroli ocenia pozytywnie, pomimo stwierdzonych nieprawidowoci7, dziaalno kontrolowanych organw, sub iformacji wzakresie uzyskiwania iprzetwarzania przez nie danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne8. W ocenie NIK, system pozyskiwania iprzetwarzania ww. danych 9 zapewnia realizacj ustawowych zada przez kontrolowane podmioty. Wprowadzone zasady iprocedury umoliwiay szybkie i sprawne pozyskiwanie danych w zwizku z prowadzonymi postpowaniami. Moliwo sigania podane telekomunikacyjne mieli jedynie upowanieni pracownicy i funkcjonariusze, a krg osb posiadajcych takie upowanienie by wkontrolowanych instytucjach cile okrelony. Stwierdzone nieprawidowoci wizay si m.in. z: przypadkami nieprzestrzegania obowizujcych przepisw, zasad iprocedur oraz naruszenia tajemnicy telekomunikacyjnej; pozyskiwaniem danych za porednictwem sieci telekomunikacyjnej i systemw teleinformatycznych niespeniajcych wymaga technicznych iorganizacyjnych; daniem udostpnienia danych telekomunikacyjnych zaokres przekraczajcy 24 m-ce10, nieusuwaniem zbdnych danych telekomunikacyjnych; brakiem waciwego nadzoru nad realizowanymi dziaaniami, w tym w szczeglnoci nad przestrzeganiem przez przedsibiorcw telekomunikacyjnych obowizkw okrelonych wPrawie telekomunikacyjnym. W ocenie NIK, obowizujce przepisy wzakresie pozyskiwania przez uprawnione podmioty danych telekomunikacyjnych nie chroni wstopniu wystarczajcym praw iwolnoci obywatelskich przed nadmiern ingerencj zestrony pastwa. Niejednolito ioglnikowo przepisw uprawniajcych dopozyskiwania danych telekomunikacyjnych11, moe nasuwa wtpliwoci, codo wspmiernoci stosowanych ogranicze praw iwolnoci obywatelskich wsferze wolnoci komunikacji zzasadami okrelonymi wKonstytucji RP. Naley ponadto zauway, i obowizujcy system zbierania informacji ozakresie wykorzystania przez organy pastwa danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne, nie pozwala naokrelenie rzeczywistej liczby dokonywanych sprawdze. Brak jest rwnie mechanizmw kontroli ocharakterze zewntrznym, ktre pozwoliyby naweryfikacj zakresu wykorzystywania danych telekomunikacyjnych przez uprawnione podmioty, awszczeglnoci zasadnoci ich pozyskiwania iprzetwarzania.
7 Standardy kontroli NIK przewiduj trzystopniow skal ocen kontrolowanej dziaalnoci: ocena pozytywna, ocena
pozytywna mimo stwierdzonych nieprawidowoci iocena negatywna.
8 Ocena tazostaa wydana woparciu obadanie strony organizacyjno-formalnej uzyskiwania przez uprawnione podmioty 9 10
11
danych telekomunikacyjnych. Zewzgldu naograniczenia ustawowe kompetencji kontrolnych NIK, przedmiotem kontroli nie moga by ocena zasadnoci pozyskiwania przez uprawnione podmioty danych telekomunikacyjnych. Kwestie tezostay szczegowo omwione wrozdziale 3 Informacji. Po nowelizacji ustawy Prawo Telekomunikacyjne zdnia 16listopada 2012 r. (Dz. U. z2012 r., poz.1445) termin ten od21stycznia 2013 r. uleg skrceniu do12 m-cy. Kwestie teomwiono szerzej wpodrozdziale 3.1. nastr. 18-23 oraz 5.4 nastr. 82-88.
P o d s u m o wa n i e w y n i k w ko n t r o l i
Agencja Bezpieczestwa Wewntrznego NIK ocenia pozytywnie dziaalno Szefa Agencji Bezpieczestwa Wewntrznego wzakresie objtym kontrol. Pozyskiwanie iwykorzystywanie danych telekomunikacyjnych wABW odbywao si zgodnie zprzepisami oraz regulacjami wewntrznymi. Wewntrzne procedury byy kompletne, spjne igwarantoway bezpieczestwo pozyskanych danych telekomunikacyjnych, minimalizujc ryzyko naduy. Dziaania Szefa ABW wpowyszym zakresie wsparte byy prawidowo dziaajcym systemem kontroli wewntrznej. Uchybienia dotyczyy: braku skutecznej reakcji ABW nafakt otrzymywania odoperatorw danych telekomunikacyjnych wszerszym zakresie, ni wynikao toze stosownego zapytania. Centralne Biuro Antykorupcyjne NIK ocenia pozytywnie, pomimo stwierdzonych nieprawidowoci, dziaalno Szefa Centralnego Biura Antykorupcyjnego wobjtym kontrol zakresie. Szef Centralnego Biura Antykorupcyjnego prawidowo unormowa zasady uzyskiwania iprzetwarzania wCBA danych, o ktrych mowa wart.180c id Prawa telekomunikacyjnego. Pozyskane dane zostay zabezpieczone przed nieuprawnionym dostpem lub zniszczeniem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi CBA. W trakcie kontroli stwierdzono jednake przypadki naruszenia obowizujcych przepisw wewntrznych, przy udzielaniu upowanie dowystpowania oudostpnienie danych telekomunikacyjnych. Ujawniono rwnie nieprawidowoci wzakresie pozyskiwania danych zaporednictwem sieci telekomunikacyjnej isystemw teleinformatycznych. Ponadto ustalono, i Szef CBA nie dysponowa penym zakresem informacji, ktre umoliwiyby sprawowanie rzetelnego nadzoru nad pozyskiwaniem danych telekomunikacyjnych wprzypadku zapyta kierowanych zapomoc systemw teleinformatycznych. Policja NIK ocenia pozytywnie, pomimo stwierdzonych nieprawidowoci, dziaalno Komendanta Gwnego Policji wzakresie objtym kontrol. Komendant Gwny Policji prawidowo uregulowa wKGP sposb udzielania pisemnych upowanie douzyskiwania danych telekomunikacyjnych oraz zapewni nadzr nad ich pozyskiwaniem iprzetwarzaniem. Pozyskane dane zostay prawidowo zabezpieczone przed nieuprawnionym dostpem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi KGP. W trakcie kontroli ujawniono nieprawidowoci wzakresie pozyskiwania danych zaporednictwem sieci telekomunikacyjnej isystemw teleinformatycznych oraz usuwania zbdnych danych telekomunikacyjnych. NIK zwrcia rwnie uwag nabrak odpowiednich procedur wewntrznych, ktre zapobiegyby wystpieniu nieprawidowoci lub pozwoliyby nabieco jeeliminowa. [szerzej owynikach kontroli CBA nastr. 25 Informacji] [szerzej owynikach kontroli ABW nastr. 23 Informacji]
NIK pozytywnie ocenia dziaalno Komendantw Wojewdzkich Policji wKatowicach, Rzeszowie iWrocawiu. Wydajc oceny pozytywne, NIK wzia pod uwag, i ww. Komendanci funkcjonuj wramach zhierarchizowanej struktury organizacyjnej, coskutkowao ograniczonym ich wpywem naprawidowo realizacji zada zwizanych zdostpem dodanych telekomunikacyjnych. Suba Kontrwywiadu Wojskowego Najwysza Izba Kontroli ocenia pozytywnie dziaalno Szefa SKW wzbadanym zakresie. Szef SKW, wramach posiadanych kompetencji, uregulowa idoprecyzowa aktami wewntrznymi zasady uzyskiwania iprzetwarzania wSKW danych odoperatorw telekomunikacyjnych. Pozyskane dane zostay prawidowo zabezpieczone przed nieuprawnionym dostpem oraz przed ich utrat lub zniszczeniem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi jednostkami organizacyjnymi SKW. Stra Graniczna Najwysza Izba Kontroli ocenia pozytywnie dziaalno Komendanta Gwnego Stray Granicznej wzakresie objtym kontrol. Komendant Gwny Stray Granicznej prawidowo zorganizowa system uzyskiwania iprzetwarzania danych telekomunikacyjnych. Ustanowiono zabezpieczenia techniczne i organizacyjne uniemoliwiajce wykorzystanie danych telekomunikacyjnych niezgodnie zcelem ich uzyskania, wprowadzono mechanizmy wcelu eliminacji ryzyka wystpienia zdarze niepodanych, okrelono procedury niszczenia danych telekomunikacyjnych niemajcych znaczenia dla postpowania karnego. Prawidowo zorganizowano wspprac zprzedsibiorcami telekomunikacyjnymi. Uchybienia dotyczyy braku rejestru osb upowanionych douzyskiwania danych zapomoc sieci telekomunikacyjnej, nieokrelenia zada wzakresie pozyskiwania danych telekomunikacyjnych wregulaminach wewntrznych niektrych komrek organizacyjnych izakresach obowizkw funkcjonariuszy. Stwierdzono rwnie pojedyncze przypadki naruszenia obowizujcych przepisw iprocedur. andarmeria Wojskowa Najwysza Izba Kontroli ocenia pozytywnie dziaalno Komendanta Gwnego andarmerii Wojskowej wkontrolowanym zakresie. Przyjte wKomendzie Gwnej andarmerii Wojskowej rozwizania organizacyjno-prawne oraz techniczne zapewniay bezpieczestwo pozyskiwania iprzetwarzania danych telekomunikacyjnych. Przyjty tryb postpowania eliminowa ryzyko wystpienia zdarze niepodanych wzakresie nieuprawnionego dostpu dodanych telekomunikacyjnych. [szerzej owynikach kontroli W nastr.42 Informacji] [szerzej owynikach kontroli Stray Granicznej nastr. 38 Informacji] [szerzej owynikach kontroli SKW nastr. 35 Informacji] [szerzej owynikach kontroli Policji nastr. 30 Informacji]
10
Ministerstwo Finansw Najwysza Izba Kontroli ocenia pozytywnie dziaalno Ministra Finansw wzbadanym zakresie. W Ministerstwie Finansw prawidowo unormowano zasady uzyskiwania iprzetwarzania danych, o ktrych mowa wart.180c id Prawa telekomunikacyjnego. Dziaania dotyczce uzyskiwania iprzetwarzania danych byy realizowane przez Departament Wywiadu Skarbowego zgodnie zwytycznymi zawartymi wustawie okontroli skarbowej. Pozyskane dane zostay zabezpieczone przed nieuprawnionym dostpem lubzniszczeniem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi. Urzd Komunikacji Elektronicznej Najwysza Izba Kontroli negatywnie ocenia dziaalno Prezesa UKE wzakresie nadzoru nad realizacj obowizkw informacyjnych okrelonych wart.180g ust.1 ustawy Prawo telekomunikacyjne oraz realizacj obowizku sprawozdawczego okrelonego wart.180g ust.2 ww. ustawy, atake nadzr ikontrol Prezesa UKE nad przestrzeganiem przez przedsibiorcw telekomunikacyjnych obowizkw okrelonych wart.180a, 180 c i180d ustawy. Prezes UKE nie sprawowa, pomimo posiadania stosownych kompetencji ustawowych, skutecznego nadzoru nad wywizywaniem si przez przedsibiorcw telekomunikacyjnych znaoonych nanich obowizkw. Opracowywane przez Prezesa UKE informacje wzakresie wykorzystania przez uprawnione podmioty danych retencyjnych nie odpowiaday stanowi rzeczywistemu. Prezentowane informacje byyniepene, aprzedstawiane przez poszczeglne podmioty dane nieporwnywalne. Zewzgldu napopenione bdy metodologiczne oraz zaniedbania, jakiekolwiek wnioskowanie statystyczne naich podstawie wprzedmiocie zakresu retencji danych wPolsce, jest wocenie NIK nieuprawnione. Sdy Najwysza Izba Kontroli ocenia pozytywnie administracyjno-organizacyjn dziaalno Sdu Okrgowego wBydgoszczy oraz wSzczecinie wzakresie uzyskiwania iprzetwarzania danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180 c id Prawa Telekomunikacyjnego. Przedmiotem oceny NIK nie bya jednake, stosownie doogranicze ustawowych, dziaalno orzecznicza wzwizku ztym, wzakresie objtym kontrol, zebrano jedynie informacje ocharakterze statystycznym, opierajc si nadokumentach udostpnionych przez sdy oraz operatorw telekomunikacyjnych12. W wyniku analizy ww. informacji stwierdzono m.in. liczne przypadki: kierowania wnioskw oudostpnienie danych telekomunikacyjnych wsprawach cywilnych, bez uzyskania uprzednio zgody abonenta; wskazywania niewaciwych przepisw, jako podstawy udostpnienia danych telekomunikacyjnych; dania treci sms-w oraz powoywania si naprzepisy postpowania karnego wsprawach cywilnych; wystpowania odane telekomunikacyjne zaokres przekraczajcy [szerzej owynikach kontroli UKE nastr. 48 Informacji] [szerzej owynikach kontroli MF nastr. 46 Informacji]
12 Kwestia tazostaa szczegowo omwiona wpkt3.1. nastr. 18.
11
24 miesice13; odmowy udostpnienia przez operatorw danych telekomunikacyjnych, zewzgldu nabrak podstawy prawnej dotakiego wystpienia iuchylenia tajemnicy telekomunikacyjnej lub naniewykonalno postanowienia Sdu zinnych przyczyn formalno-prawnych; nierealizowania obowizku informacyjnego, wstosunku doosb, ktrych dane telekomunikacyjne pozyskiwano. Wocenie NIK, biorc pod uwag systematyczny (powtarzajcy si) charakter wyej opisanych nieprawidowoci, istnieje wysokie ryzyko ich wystpowania rwnie w innych sdach. Ostwierdzonych nieprawidowociach NIK, wtrybie art.62a ustawy oNIK, zawiadomia Ministra Sprawiedliwoci14, ktry poinformowa, e rozway podjcie, wramach posiadanych kompetencji, stosownych dziaa. NIK zwrcia ponadto uwag nafakt, i brak dostpu dodanych telekomunikacyjnych zapomoc systemw teleinformatycznych, wydua okilka tygodni czas niezbdny nauzyskanie danych telekomunikacyjnych napotrzeby toczcego si postpowania. W Sdzie Okrgowym wWarszawie kontrola nie zostaa zakoczona postwierdzeniu przez kontrolera NIK niezgodnoci prezentowanych danych zestanem faktycznym, Prezes Sdu uniemoliwia dalsze prowadzenie czynnoci kontrolnych, powoujc si nazasad niezawisoci sdziowskiej15. Prokuratury Najwysza Izba Kontroli ocenia pozytywnie, pomimo stwierdzonych nieprawidowoci, dziaalno Prokuratury Okrgowej wWarszawie iKatowicach oraz pozytywnie dziaalno Prokuratury Okrgowej wRzeszowie iWrocawiu, wzakresie uzyskiwania iprzetwarzania danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne. Kontrolowani Prokuratorzy Okrgowi okrelili zasady bezpieczestwa oraz organizacji pracy przy uzyskiwaniu danych telekomunikacyjnych oraz zapewnili przekazywanie prokuratorom danych telekomunikacyjnych udostpnionych zapomoc systemu teleinformatycznego, zgodnie ztreci wydanych przez nich postanowie. W trakcie kontroli stwierdzono jednake, i prokuratorzy nie wydawali zarzdze odorczeniu postanowie16 informujcych obywateli opozyskaniu ich danych telekomunikacyjnych wzwizku ztoczcym si postpowaniem lub wydawali jeze znacznym opnieniem, wstosunku doterminu okrelonego wart.218 2 zd. 2 ustawy zdnia 6czerwca 1997 r. Kodeks postpowania karnego17. Ponadto stwierdzono przypadki dania udostpnienia danych telekomunikacyjnych zaokres przekraczajcy 24 m-ce, dania udostpnia treci przekazw telekomunikacyjnych wniewaciwym trybie, naruszenia obowizujcych przepisw wewntrznych. NIK zwrcia ponadto uwag na fakt, i brak dostpu do danych telekomunikacyjnych zapomoc systemw teleinformatycznych (za wyjtkiem umowy zjednym przedsibiorc telekomunikacyjnym), o kilka tygodni wydua czas niezbdny do uzyskania danych telekomunikacyjnych napotrzeby toczcego si postpowania. Biorc pod uwag, e najwiksi [szerzej owynikach kontroli Sdw nastr. 52 Informacji]
12
13 14 15 16 17
Obecnie okres ten uleg skrceniu do12 miesicy. Pismo nrKPB-4101-04-00/2012 zdnia 19lutego 2013 r. Kwestia tazostaa szczegowo omwiona nastr. 20-22 Informacji. Postanowienia sdorczane wformie odpisw. Dz.U. z1997 r., Nr89, poz.555 zezm.
operatorzy telekomunikacyjni opracowali stosowne systemy umoliwiajce dostp elektroniczny, ich wykorzystanie znaczco skrcioby dostp dodanych. Operatorzy telekomunikacyjni GIODO, wtoku przeprowadzonych kontroli, nie stwierdzi uchybie wprocesie przetwarzania danych osobowych wzakresie objtym kontrol. Zwrci natomiast uwag napewne odmiennoci winterpretacji przepisw dotyczcych udostpniania danych telekomunikacyjnych wsprawach owykroczenia isprawach cywilnych. Ponadto prowadzona przez NIK kontrola wpodmiotach uprawnionych dopozyskiwania danych telekomunikacyjnych wykazaa, i udostpnione przez niektrych zprzedsibiorcw telekomunikacyjnych systemy generoway dane telekomunikacyjne wzakresie szerszym, ni wynikao to zakresu zapytania. Stanowio to naruszenie art. 160 ust. 1, w zwizku zart.159 ust.1 pkt3-5 iust.3 ustawy Prawo telekomunikacyjne oraz art.218 1 kpk. Izba, stosownie doart.63 ust.3 ustawy oNIK, zawiadomia Prezesa Urzdu Komunikacji Elektronicznej onaruszeniu obowizku zachowania tajemnicy telekomunikacyjnej. [szerzej owynikach kontroli Operatorw telekomunikacyjnych nastr. 56 Informacji] [szerzej owynikach kontroli Prokuratur nastr. 54 Informacji]
2.2 Przestrzeganie praw iwolnoci obywatelskich wzwizku zpozyskiwaniem danych telekomunikacyjnych

Okrelenie zakresu dopuszczalnej ingerencji pastwa wprawa iwolnoci obywateli jest jednym zfundamentalnych wyzwa demokracji. Odpowied napytanie ozakres dopuszczalnej ingerencji staje si szczeglnie trudna, gdy mamy doczynienia zsytuacj, kiedy ingerencja wprawa iwolnoci obywatelskie znajduje uzasadnienie wkoniecznoci zapewnienia realizacji innych praw podstawowych, takich jak prawo doycia wbezpiecznym otoczeniu, czy te jest uznawana, jako niezbdny rodek dozwalczania np.terroryzmu, handlu ludmi, bd zagroe dla bezpieczestwa pastwa. Jednym zprzykadw uprawnie pastwa, wsposb istotny ingerujcego wsfer praw iwolnoci obywateli, aw szczeglnoci prawo doprywatnoci, suprawnienia przyznane poszczeglnym subom iformacjom dosigania podane telekomunikacyjne obywateli. Dlatego podstawowym celem kontroli przeprowadzonej przez NIK byo zbadanie, czy wzwizku zpozyskiwaniem iprzetwarzaniem danych telekomunikacyjnych waciwie chronione sprawa iwolnoci obywateli. W ocenie NIK, obowizujce przepisy wzakresie pozyskiwania przez uprawnione podmioty danych telekomunikacyjnych nie chroni wstopniu wystarczajcym praw iwolnoci obywatelskich przed nadmiern ingerencj zestrony pastwa. Biorc pod uwag istniejce uwarunkowania prawno-organizacyjne, projektowane zmiany przepisw napoziomie Unii Europejskiej (UE), atake wyniki przeprowadzonej kontroli, naley rozway podjcie dziaa wczterech zasadniczych obszarach: zakresu icelu pozyskiwania danych; kontroli nad procesem pozyskiwania danych; niszczenia pozyskanych danych wsytuacji, gdy nie sju one dalej niezbdne dla osignicia celw prowadzonego postpowania; stworzenia mechanizmw sprawozdawczych, ktre zapewni rzeteln informacj ozakresie pozyskiwania danych telekomunikacyjnych.
13
Zakres icel pozyskiwania danych Zakres icel pozyskiwanych przez uprawnione podmioty danych sgwnymi czynnikami wpywajcymi naocen stopnia, ingerencji wprawa obywatelskie. Zgodnie zprzepisami Prawa telekomunikacyjnego, operatorzy telekomunikacyjni obowizani sdo przechowywania iudostpniania uprawnionym podmiotom danych niezbdnych doustalenia: tosamoci osb dokonujcych poczenia; identyfikacji urzdze, zapomoc ktrych dokonano poczenia; miejsc, wktrych znajdoway si urzdzenia; daty igodziny poczenia oraz czasu jego trwania; rodzaju poczenia18; atake innych, znajdujcych si wposiadaniu operatora danych uytkownika19. Zakres pozyskiwanych danych, wocenie NIK, umoliwia waciw realizacj zada przez podmioty uprawnione dopozyskiwania danych telekomunikacyjnych. W ocenie NIK, doprecyzowania wymaga jednake cel gromadzenia danych retencyjnych. Obecnie obowizujce przepisy odwouj si jedynie dozakresu zada poszczeglnych sub bd oglnego stwierdzenia, i dane tes pozyskiwanie wcelu zapobiegania lub wykrywania przestpstw. Naley przy tym zauway, i przepisy teumoliwiaj wykorzystywanie danych retencyjnych nie tylko dowykrywania przestpstw, ale take wdziaaniach prewencyjnych czy analitycznych. Precyzyjne okrelenie katalogu spraw, wktrych uprawnione suby mog pozyskiwa dane telekomunikacyjne, ma kluczowe znaczenie dla oceny, czy obowizujce przepisy nie naruszaj zasady proporcjonalnoci, atym samym sdopuszczalne wwietle obowizujcych przepisw chronicych prawa iwolnoci obywatelskie. Udostpnienie danych telekomunikacyjnych powinno uwzgldnia rwnie zasad subsydiarnoci20. Zgodnie zobowizujcymi przepisami, uprawnione podmioty mog zwrci si oudostpnienie danych telekomunikacyjnych wkadym wypadku, anie jedynie wwczas, gdy inne rodki podejmowane wcelu realizacji ustawowego celu okazay si bezskuteczne. Konieczne jest wic wprowadzenie przepisw, ktre wykorzystanie danych telekomunikacyjnych bd uzalenia odniemonoci zastosowania innych, mniej ingerujcych wprawa obywatelskie rodkw. Obecnie obowizujce przepisy nie wskazuj kategorii osb, wstosunku doktrych nie mona pozyskiwa danych telekomunikacyjnych zewzgldu narespektowanie ich tajemnicy zawodowej. Ustawodawca nie wyczy adnej kategorii uytkownikw zkrgu podmiotw, ktrych dane mog by pozyskiwane, cho dane temog by objte tajemnic notarialn, adwokack, radcy prawnego, lekarsk lub dziennikarsk, ktrej zniesienie jest moliwe wycznie, gdy jest toniezbdne dla dobra wymiaru sprawiedliwoci, adana okoliczno nie moe by ustalona napodstawie innego dowodu21. Wocenie NIK, naleaoby rozway wprowadzenie rozwiza, ktre bd stwarza dodatkowe gwarancje wprzypadku osb wykonujcych tzw. zawody zaufania publicznego, np.poprzez uzalenienie pozyskania danych retencyjnych odzgody sdu lub innego niezalenego organu22. Kontrola nad procesem pozyskiwania danych W obecnym stanie prawnym nie istnieje aden podmiot, ktry mgby sprawowa rzeczywist kontrol nad wykorzystaniem przez suby uprawnie dosigania podane telekomunikacyjne
18 19 20 21
Art.180c Prawa telekomunikacyjnego. Okrelonych wart.180d Prawa telekomunikacyjnego. Okrelon wart.31 ust.3 Konstytucji RP. Art.180 2 k.p.k. wcza dziennikarza dokatalogu osb, ktre mog by przesuchiwane, codo faktw objtych tajemnic tylko wtedy, gdy jest toniezbdne dla dobra wymiaru sprawiedliwoci, aokoliczno nie moe by ustalona napodstawie innego dowodu. Zobowizku zachowania tajemnicy dziennikarskiej moe zwolni wycznie sd. 22 Szerzej naten temat wpkt3.2.12. nastr. 59.
14
obywateli. Sytuacja tajest wyjtkowa wzestawieniu zestandardami przyjtymi wwikszoci pastw Unii Europejskiej23. Wocenie NIK, konieczne jest stworzenie instrumentw nadzoru ikontroli nad wykorzystaniem tego rodka. Sytuacja, wktrej jedynym podmiotem oceniajcym zasadno pozyskiwania danych telekomunikacyjnych jest jednostka uprawniona doich pozyskania, jest nie dozaakceptowania wramach demokratycznego pastwa prawnego. Kontrola tamogaby by realizowana wformie kontroli uprzedniej i/lub kontroli nastpczej. Kontrola uprzednia, czyli realizowana przed skierowaniem zapytania wsprawie udostpnienia danych telekomunikacyjnych, pozwoliaby nie tylko naistotne zwikszenie nadzoru nad wykorzystaniem tego rodka, ale prawdopodobnie przyczyniaby si rwnie doograniczenia skali jego wykorzystania. Moliwo zastosowania tej formy kontroli uzaleniona jest jednake odcznego spenienia dwch przesanek: a) wskazania (ustanowienia) podmiotu, ktry weryfikowaby wnioski oudostpnienie danych telekomunikacyjnych, anastpnie wydawa zgod nawykorzystanie tego rodka, b) precyzyjnego okrelenia sytuacji, wktrych rodek ten moe by wykorzystany, jako niezbdnego warunku oceny zasadnoci wniosku. W ocenie NIK, zadaniem podmiotu powoanego dorealizacji kontroli uprzedniej powinna by przede wszystkim ocena zasadnoci (m.in. wkontekcie zasad subsydiarnoci iproporcjonalnoci) wniosku oudostpnienie danych telekomunikacyjnych oraz sprawdzenie jego poprawnoci pod wzgldem formalnym. Kontrola nastpcza, czyli realizowana poskierowaniu zapytania wsprawie udostpnienia danych telekomunikacyjnych, miaaby nacelu weryfikacj poprawnoci wykorzystania tego rodka. Wzalenoci, czy kontrola nastpcza funkcjonowaaby cznie zkontrol uprzedni, czy te samodzielnie, rny musiaby by jej zakres. Wpierwszym wypadku mogaby zosta ograniczona dokontroli wykorzystania tego rodka dowodowego pod ktem przestrzegania obowizujcych procedur, wtym prawidowoci przetwarzania pozyskanych danych, ochrony danych przed ich utrat lub udostpnieniem nieuprawnionym osobom, atake ich niezwocznym niszczeniem, gdy przestay by niezbdne dla realizacji celu, dla ktrego zostay uzyskane. Wdrugim przypadku, zakres kontroli musiaby by znacznie szerszy iobejmowa rwnie kontrol zasadnoci wykorzystania tego rodka dowodowego. Wanym instrumentem kontroli powinno by rozwizanie, zgodnie zktrym informacja ofakcie pozyskania danych telekomunikacyjnych jest przekazywana osobie, ktrej dane zostay udostpnione. Wobecnie obowizujcym stanie prawnym pozyskiwanie danych, oktrych mowa wart.180c id ustawy jest wyczone zarwno spod kontroli samego zainteresowanego (nie jest on powiadamiany ogromadzeniu dotyczcych go danych), jak ispod jakiejkolwiek innej kontroli. Wyjtkiem stu przepisy postpowania karnego, ktre przewiduj obowizek informowania przez sdy iprokuratury obywateli opozyskaniu ich danych telekomunikacyjnych. Realizacja tego obowizku moe by odroczona naczas oznaczony, niezbdny zewzgldu nadobro sprawy, lecz nie pniej ni doczasu prawomocnego zakoczenia postpowania. Wocenie NIK, naley wprowadzi rozwizania, zgodnie zktrym kady ma prawo uzyska informacj opozyskaniu jego danych telekomunikacyjnych (z zastrzeeniem
23 W 24 pastwach UE tak kontrol sprawuje sd lub prokuratura albo niezaleny organ administracyjny. Nakonieczno
wprowadzenia kontroli zewntrznej zwrcia uwag Rzecznik Praw Obywatelskich wewniosku doTrybunau Konstytucyjnego, wktrym zakwestionowaa m.in. zgodno przepisw ustaw kompetencyjnych zart.8 Konwencji oOchronie Praw Czowieka iPodstawowych Wolnoci sporzdzonej wRzymie 4listopada 1950 r. oraz art.49 wzwizku zart.31 ust.3 Konstytucji.
15
moliwoci odroczenia przekazania tej informacji zewzgldu nadobro toczcego si postpowania) bez wzgldu nato, wzwizku zjakim postpowaniem dane teuzyskano. Jakiekolwiek wyjtki odtej zasady powinny by wskazane wprost wustawie. Naley przy tym jednake zauway, i wprowadzenie tego instrumentu bdzie mogo wpeni osign swj cel, gdy zostanie utworzony (wskazany) podmiot wyposaony wkompetencje dokontroli prawidowoci dziaania sub wtym zakresie24. Niszczenie danych Istotnym elementem oceny obecnie obowizujcych rozwiza jest kryterium niezbdnoci. Powinno by ono weryfikowane nie tylko wsytuacji wystpienia oudostpnienie danych, ale rwnie pod ktem dalszego przechowywania pozyskanych danych. Zart.51 ust.2 Konstytucji RP wynika zakaz gromadzenia, wdemokratycznym pastwie prawnym, danych innych, ni niezbdne. Dane, ktre stay si zbdne dla toczcego si postpowania, powinny by wic obligatoryjnie niszczone. Zgodnie zart.30 ust.6 ustawy oandarmerii Wojskowej, art.20c ust.7 ustawy oPolicji oraz art.10b ust.6 ustawy oStray Granicznej pozyskane dane telekomunikacyjne, jeli nie zawieraj informacji majcych znaczenie dla postpowania karnego, podlegaj niezwocznemu komisyjnemu iprotokolarnemu zniszczeniu. Stosownie dopostanowie art.36b ust.5 ustawy okontroli skarbowej, minister waciwy dospraw finansw publicznych nakazuje niezwoczne, komisyjne iprotokolarne zniszczenie danych uzyskanych odpodmiotu prowadzcego dziaalno telekomunikacyjn wprzypadku, gdy uzna wystpienie zwnioskiem ote dane zanieuzasadnione. Natomiast przepisy ustawy oAgencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu, ustawy oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego (SWW), atake ustawy oCentralnym Biurze Antykorupcyjnym wogle nie przewiduj obowizku usunicia zgromadzonych przez nie danych telekomunikacyjnych, gdy przestay by one niezbdne dla prowadzonego postpowania. W ocenie NIK, konieczne jest pilne wprowadzenie przepisw wzakresie obowizku niszczenia zbdnych danych telekomunikacyjnych bdcych wposiadaniu sub. Przepisy powinny nie tylko okreli sam obowizek niszczenia danych, ale rwnie precyzowa tryb isposb jego realizacji. Sprawozdawczo Wiarygodne dane dotyczce zakresu wykorzystania rodka wpostaci zatrzymywania danych maj zasadnicze znaczenie dla wykazania koniecznoci (zasadnoci) jego stosowania. Dlatego konieczne jest opracowanie wskanikw pomiarowych oraz procedur sprawozdawczych, ktre umoliwiaj przejrzyste irzeczowe monitorowanie zatrzymywania danych, bez nakadania jednoczenie nadmiernych obcie naorgany cigania. Jak wykazaa kontrola NIK, funkcjonujcy obecnie system gromadzenia informacji opozyskiwaniu danych retencyjnych, nie zapewnia rzetelnej informacji oliczbie tego rodzaju przypadkw. Brak jest precyzyjnie okrelonych wskanikw pomiarowych, austanowione procedury nie zapobiegaj wystpieniu racych bdw. Rwnie zakres gromadzonych danych sprawozdawczych nie pozwala naocen, dla jakich celw, jak czsto iz jakim skutkiem retencja danych jest stosowana. Wocenie NIK, dla prawidowej oceny funkcjonowania systemu retencji danych niezbdne jest gromadzenie danych wzakresie: liczby przypadkw, wktrych uprawnione organy uzyskiway
24 Naley wspomnie, e znana jest moliwo tzw. sprawdzania poredniego przez podmiot zaufania publicznego, ktry
16
pofakcie zawiadamia zainteresowanego, e jego dane gromadzono.
odprzedsibiorcw telekomunikacyjnych dane retencyjne (z wyodrbnieniem sytuacji, gdy byy towycznie dane osobowe uytkownika); liczby osb, ktrych dane telekomunikacyjne byy pozyskiwane iwykorzystywane przez uprawnione organy; cznej liczby odmw udostpnienia danych (ze wskazaniem zasadniczych przyczyn); informacji natemat rodzaju spraw, wktrych rodek ten wykorzystywano oraz jego skutecznoci. [wicej wrozdziale 3.2.12. nastr. 59 Informacji]
2.3 Uwagi kocowe iwnioski

W zwizku zestwierdzonymi przez Najwysz Izba Kontroli nieprawidowociami, atake wynikami analizy systemowej wzakresie funkcjonowania obecnie przyjtych rozwiza prawnych, NIK wnosi doPrezesa Rady Ministrw opodjcie dziaa wcelu: doprecyzowania zakresu danych, ktre powinny podlega retencji; weryfikacji katalogu spraw, napotrzeby ktrych dane telekomunikacyjne mog by przez uprawnione suby pozyskiwane; przeanalizowania moliwoci wprowadzenia dodatkowych rozwiza ocharakterze gwarancyjnym, ograniczajcych moliwo pozyskiwania danych retencyjnych wstosunku doosb wykonujcych tzw. zawody zaufania publicznego; ustanowienia kontroli zewntrznej nad procesem pozyskiwania danych, obejmujcej weryfikacj zasadnoci ich pozyskiwania; wprowadzenia skutecznych instrumentw gwarantujcych niezwoczne niszczenie pozyskanych danych wsytuacji, gdy nie sju one dalej niezbdne dla osignicia celw prowadzonego postpowania; ustanowienia mechanizmw sprawozdawczych, ktre zapewni rzeteln informacj ozakresie pozyskiwania danych telekomunikacyjnych; wprowadzenia przepisw gwarantujcych osobom, ktrych dane bilingowe byy pobierane, prawa doinformacji ozakresie iczasie zbierania tych danych, pozakoczeniu wdanej sprawie czynnoci wyjtki wtym zakresie powinny okreli przepisy ustawy; opracowania wytycznych dotyczcych technicznych iorganizacyjnych rodkw bezpieczestwa wzakresie uzyskiwania dostpu dodanych, wtym procedur ich przekazywania; wzmocnienia, do czasu wprowadzenia zmian systemow ych, nadzoru nad wykorzystaniem przez organy pastwa uprawnie wzakresie pozyskiwania danych obywateli.
17
wa n i e jsze w y n i k i ko n t r o li
3.1 Charakterystyka obszaru objtego kontrol
Stan prawny wzakresie kontrolowanej dziaalnoci W dniu 3maja 2006 r.25 wesza wycie dyrektywa 2006/24/WE Parlamentu Europejskiego iRady zdnia 15marca 2006 r. wsprawie zatrzymywania generowanych lub przetwarzanych danych wzwizku zewiadczeniem oglnie dostpnych usug cznoci elektronicznej lub udostpnianiem publicznych sieci cznoci oraz zmieniajcej dyrektyw 2002/58/WE26, zwana wdalszej czci dyrektyw 2006/24/WE lub dyrektyw wsprawie zatrzymywania danych telekomunikacyjnych. Polska skorzystaa zmoliwoci przewidzianej wart.15 ust.3 tej dyrektywy iodroczya jej stosowanie wodniesieniu dozatrzymywania wskazanych danych dodnia 15marca 2009 r. (maksymalny okres odroczenia przewidziany wdyrektywie). Zgodnie zart.1 ust.1 dyrektywy 2006/24/WE, jej celem byo zblienie przepisw pastw czonkowskich w zakresie obowizkw dostawcw oglnie dostpnych usug cznoci elektronicznej lub publicznych sieci cznoci wzakresie zatrzymywania pewnych danych przez nie generowanych lub przetwarzanych, aby zapewni ich dostpno wcelu dochodzenia, wykrywania icigania powanych przestpstw, okrelonych wustawodawstwie kadego pastwa czonkowskiego.272829 Zgodnie zart.180a Prawa telekomunikacyjnego, naoperatorze publicznej sieci telekomunikacyjnej oraz dostawcy publicznie dostpnych usug telekomunikacyjnych ciy obowizek zatrzymywania iprzechowywania przez okrelony czas, danych oruchu wsieciach telekomunikacyjnych oraz udostpniania tych danych uprawnionym podmiotom. Wtabeli poniej przedstawiono zakres kompetencji poszczeglnych podmiotw uprawnionych dosigania podane telekomunikacyjne.
Lp. Jednostka Agencja Bezpieczestwa Wewntrznego Podstawa prawna art.28 ustawy oABW Cel sigania podane realizacja wszelkich zada ustawowych27 Typy przestpstw (ograniczenia) godzce wbezpieczestwo wewntrzne pastwa oraz jego porzdek konstytucyjny 28 korupcyjne, przeciwko instytucjom pastwowym isamorzdowym, godzce winteresy ekonomiczne pastwa wszystkie przestpstwa
1.
2.
Centralne Biuro Antykorupcyjne
art.18 ustawy oCBA art.20c ustawy oPolicji
realizacja wszelkich zada ustawowych29 zapobieganie iwykrywanie przestpstw
3.
Policja
25 Art.16 dyrektywy stanowi, e wchodzi ona wycie dwudziestego dnia pojej opublikowaniu wDzienniku Urzdowym UE;
18
dat publikacji by dzie 13kwietnia 2006 r. Dz. Urz. UE L 105 z13.04.2006, str. 54-63 26 Okrelonych wart.5 ust.1 ustawy oABW, wtym: rozpoznawania, zapobiegania izwalczanie zagroe oraz przestpstw; 27 realizowania zada zwizanych zochron informacji niejawnych; uzyskiwania, analizowania, przetwarzania informacji mogcych mie istotne znaczenie dla ochrony bezpieczestwa wewntrznego pastwa ijego porzdku konstytucyjnego; podejmowanie innych dziaa okrelonych wodrbnych ustawach iumowach midzynarodowych. 28 Np.:terroryzm; szpiegostwo; bezprawne ujawnienie lub wykorzystanie informacji niejawnych; przestpstwa godzce wpodstawy ekonomiczne pastwa; korupcji; nielegalne wytwarzanie, posiadanie iobrt broni, amunicj imateriaami wybuchowymi, broni masowej zagady oraz rodkami odurzajcymi ipsychotropowymi. Okrelonych wart.2 ustawy oCBA, wtym rozpoznawanie, zapobieganie iwykrywanie przestpstw; prowadzenie dziaalnoci 29 analitycznej; ujawnianie iprzeciwdziaanie przypadkom nieprzestrzegania przepisw oograniczeniu prowadzenia dziaalnoci gospodarczej przez osoby penice funkcje publiczne; ujawnianie przypadkw nieprzestrzegania okrelonych przepisami prawa procedur podejmowania irealizacji decyzji; kontrola prawidowoci iprawdziwoci owiadcze majtkowych.
wa n i e j s z e w y n i k i ko n t r o l i
Lp. 4.
Jednostka Suba Kontrwywiadu Wojskowego Stra Graniczna
Podstawa prawna art.32 ustawy oSKW iSWW art.10b ustawy oSG art.30 ustawy oandarmerii Wojskowej iwojskowych organach porzdkowych art.75d ustawy oSubie Celnej art.36b ustawy okontroli skarbowej art.218 1 k.p.k. art.218 1 k.p.k.
Cel sigania podane realizacja wszelkich zada ustawowych30 zapobieganie iwykrywanie przestpstw
Typy przestpstw (ograniczenia) przestpstwa popeniane przez onierzy penicych czynn sub wojskow wszystkie przestpstwa, ktrych zwalczanie pozostaje wewaciwoci SG31 wszystkie przestpstwa popenione przez onierzy, pracownikw cywilnych wojska (w okrelonych przypadkach), osoby przebywajce naterenach wojskowych32 przestpstwa skarbowe33 przestpstwa skarbowe, przestpstwa okrelone wart.228-231 kk34 wszystkie przestpstwa wszystkie przestpstwa
5.
6.
andarmeria Wojskowa
zapobieganie iwykrywanie przestpstw
7.
Ministerstwo Finansw Suba Celna Ministerstwo Finansw Kontrola Skarbowa Sdy Prokuratury
zapobieganie iwykrywanie przestpstw zapobieganie iwykrywanie przestpstw, narusze przepisw celnych jeeli maj znaczenie dla toczcego si postpowania jeeli maj znaczenie dla toczcego si postpowania
8.
9. 10.
Z powyszej tabeli wynika, e dane telekomunikacyjne sudostpniane funkcjonariuszom Centralnego Biura Antykorupcyjnego, Suby Kontrwywiadu Wojskowego iAgencji Bezpieczestwa Wewntrznego wcelu realizacji ich wszystkich zada ustawowych, rwnie nie pozostajcych wbezporednim zwizku zeciganiem przestpstw. Wprzypadku Policji, Stray Granicznej, andarmerii Wojskowej oraz Sdw iProkuratur uprawnienia dosigania podane telekomunikacyjne zostay ograniczone doprzypadkw cigania przestpstw, bez uwzgldnienia charakteru (wagi) czynu zabronionego. Wprzypadku pozyskiwania danych przez organy kontroli skarbowej ustawodawca ograniczy jezasadniczo doprzypadkw cigania przestpstw skarbowych. Prezes UKE, wykonujcy zadania zzakresu regulacji ikontroli rynku usug telekomunikacyjnych, jest uprawniony dokontroli przestrzegania przepisw, decyzji ipostanowie zzakresu telekomunikacji oraz donakadania kar pieninych.3031323334
30 Okrelonych wart.5 ustawy oSKW iSWW, wtym: rozpoznawanie, zapobieganie oraz wykrywanie przestpstw; ochrona
informacji niejawnych; pozyskiwanie, gromadzenie, analizowanie, przetwarzanie informacji mogcych mie znaczenie dla obronnoci pastwa; ochrona bezpieczestwa jednostek wojskowych, bada naukowych iprac rozwojowych. 31 Np. zwizanych z przekroczeniem granicy, przestpstw skarbowych, przestpstw przeciwko bezpieczestwu powszechnemu lub bezpieczestwu wkomunikacji lotniczej, przestpstw popenianych przez funkcjonariuszy Stray Granicznej. Zobacz art.4 ust.1 pkt4 ustawy oandarmerii Wojskowej iwojskowych organach porzdkowych. 32 Wskazane wrozdziale 9 ustawy zdnia 10wrzenia 1999 r. Kodeks Karny Skarbowy (Dz.U. z2007 r., Nr111, poz.765 zezm.). 33 34 W przypadku tych ostatnich, oile zostay popenione przez osoby zatrudnione lub penice sub wjednostkach organizacyjnych podlegych ministrowi waciwemu dospraw finansw publicznych.
19
Z danych udostpnionych przez Komisj Europejsk wynika, i ponad poowa dokonywanych wcaej Unii Europejskiej zapyta dotyczy Polski35. [Uwarunkowania prawne zostay szczegowo przedstawione wzaczniku 5.4 nastr. 82Informacji] Uwarunkowania organizacyjne przeprowadzonej kontroli Jednym zkluczowych uwarunkowa prowadzonej kontroli by charakter jednostek kontrolowanych, aszczeglnoci przysugujce im uprawnienia chronice jeprzed ingerencj innych podmiotw wprowadzon przez nie dziaalno. Kontrola sdw iprokuratur Zgodnie zart.29 pkt2 lit. b ustawy oNIK, upowanieni przedstawiciele Najwyszej Izby Kontroli maj zagwarantowane prawo dostpu dowszelkich dokumentw zwizanych zdziaalnoci jednostek kontrolowanych. Jednake prawo topodlega pewnym ograniczeniom, znajdujcym uzasadnienie wprzepisach konstytucyjnych lub ustawowych. Kontrola sdw musiaa by przeprowadzona zposzanowaniem wyraonej wKonstytucji RP zasady niezalenoci sdw iniezawisoci sdziw (art.45 ust.1 i178 ust.1), azakres prowadzonych czynnoci nie mg prowadzi donaruszenia tych zasad. Drugie ograniczenie uprawnie kontrolnych NIK wynikao zprzyznanego prokuratorom atrybutu niezalenoci, wyraonego wart.8 ust. 1 ustawy zdnia 20czerwca 1985 r. oprokuraturze36. W zwizku zpowyszym kontrola sdw iprokuratur miaa charakter formalny, wktrej ocenie podlegaa strona formalno-organizacyjna pozyskiwania danych telekomunikacyjnych. Zebrano rwnie dane statystyczne wzakresie realizacji obowizkw ustawowych wobec abonentw telefonw lub nadawcw, ktrych wykaz pocze lub innych przekazw zosta wydany przez podmioty prowadzce dziaalno telekomunikacyjn37. Kontrola wSdzie Okrgowym (SO) wBydgoszczy przebiegaa przy penej wsppracy zestrony Prezesa Sdu. Naszczeglne podkrelenie zasuguje fakt, i wnioski pokontrolne zostay wdroone nie tylko wkontrolowanej jednostce, ale Prezes Sdu podj rwnie dziaania, wcelu wyeliminowania ewentualnych nieprawidowoci wsdach rejonowych dziaajcych naterenie okrgu. Zkolei przeprowadzenie kontroli wSdzie Okrgowym wSzczecinie napotkao napocztkowe trudnoci, zwizane zkwestionowaniem uprawnie NIK dojej przeprowadzenia. Powymianie korespondencji wtej kwestii, kontrola zostaa przeprowadzona, awniosek pokontrolny jest realizowany. Natomiast kontrola wSdzie Okrgowym wWarszawie przebiegaa pocztkowo bez zakce, jednake postwierdzeniu przez kontrolera NIK niezgodnoci przedstawianych danych zestanem faktycznym, Prezes Sdu uniemoliwia przeprowadzenie dalszych czynnoci wskazujc, i jej zdaniem kontrola tanarusza niezawiso sdziowsk38. Ztego wzgldu kontrola wSO wWarszawie nie moga zosta zakoczona. Kontrola prokuratur przebiega bez zakce, przy penej wsppracy osb nimi kierujcych.
35 Sprawozdanie Komisji dla Rady iParlamentu Europejskiego zoceny dyrektywy wsprawie zatrzymywania danych (dyrektywa
2006/24/WE) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0225:FIN:PL:PDF\ Dz.U. z2011 r., Nr270, poz.1599 zezm. 36 Ograniczajc si przy tym dopostpowa ju zakoczonych. 37 Pani Prezes powoaa si przy tym nauchwa Krajowej Rady Sdownictwa zdnia 18padziernika 2012 r. 38
20
Naley zauway, i Sdy powszechne podlegaj kontroli NIK na podstawie przepisw art.203 ust.1 Konstytucji Rzeczypospolitej Polskiej zdnia 2kwietnia 1997 r. oraz art.2 ust.1 ustawy oNIK. Wykonywanie przez NIK, jako naczelny organ kontroli pastwowej, podlegajcy Sejmowi (art.1 ust.1 i2 ustawy oNIK) wszechstronnej (art.5 ust.1 ustawy oNIK) kontroli wsferze pastwowej, obejmujcej dziaalno organw administracji rzdowej, NBP oraz pastwowych osb prawnych, dotyczy take dziaalnoci innych pastwowych jednostek organizacyjnych, tj.jednostek dziaajcych wformach okrelonych wustawie zdnia 27sierpnia 2009 r. ofinansach publicznych39. Zgodnie zart.9 pkt1 ustawy ofinansach publicznych sektor finansw publicznych tworz organy wadzy publicznej, wtym organy administracji rzdowej, organy kontroli pastwowej iochrony prawa oraz sdy itrybunay. Przepis art.3 ustawy oNIK, okrelajcy podstawowy zakres przedmiotowy kontroli realizowanych przez NIK, nie stanowi katalogu zamknitego. Uycie przez ustawodawc sformuowania w szczeglnoci nie pozostawia wtpliwoci, e NIK moe bada caoksztat dziaalnoci danego podmiotu, nie tylko jego dziaalno finansow, gospodarcz czy organizacyjno-administracyjn. Prawodawca decydujc oograniczeniu zakresu kontroli NIK uczyni towart.4 ustawy, wymieniajc tam kilkanacie instytucji pastwowych (wrd nich Kancelari Sejmu, Kancelari Senatu, Sd Najwyszy iNaczelny Sd Administracyjny) ienumeratywnie wskaza dopuszczalny zakres kontroli wtych jednostkach, tj.badanie wykonania budetu, gospodarki finansowej imajtkowej. Wtym katalogu podmiotw kontrolowanych przez NIK wograniczonym zakresie, spord organw sprawujcych wymiar sprawiedliwoci, ujto jedynie Sd Najwyszy iNaczelny Sd Administracyjny. wiadczy to, e racjonalny ustawodawca, pomijajc wtym przepisie sdy powszechne, postanowi opoddaniu ich wszechstronnej kontroli NIK. Winnym przypadku pozbawioby toparlament moliwoci zdobycia wiedzy wzakresie funkcjonowania jednej znajistotniejszych dla demokratycznego pastwa prawnego instytucji, atym samym racjonalnego podejmowania dziaa legislacyjnych wtym zakresie. Art.178 ust.1 Konstytucji stanowi, e sdziowie wsprawowaniu swojego urzdu sniezawili ipodlegaj tylko Konstytucji oraz ustawom. Wprzypadku kontroli sdw wyczeniu podlega wic kontrola dziaalnoci orzeczniczej, costanowi wyraz poszanowania powyej zasady. Ratio legis sformuowania zasady niezawisoci sdziw byo zagwarantowanie bezstronnoci wymiaru sprawiedliwoci poprzez zapewnienie sdziom moliwoci swobodnego, wgranicach nakrelonych przez Konstytucj iustawy, orzekania. Kontrola wzakresie pozyskiwania, przetwarzania, ochrony izabezpieczenia danych telekomunikacyjnych, opracowania iprzestrzeganie procedur wewntrznych, stosowanych systemw zabezpieczenia iochrony danych, prawidowo iterminowo realizacji ustawowych obowizkw wtym zakresie, nie naruszaa tej zasady. Przedmiotem kontroli byo bowiem wycznie badanie procedur postpowania zdanymi telekomunikacyjnymi (danymi osobowymi) oraz zebranie danych statystycznych, odnonie postpowa ju zakoczonych, conie moe by uznane zawkroczenie wobszar chroniony niezawisoci sdziowsk. Stanowisko toznajduje rwnie potwierdzenie wopinii Kolegium NIK40. Wzwizku zpowyszym nie mona zgodzi si zestanowiskiem Prezes Sdu Okrgowego
39 Dz.U. Nr157, poz.1240 zezm. 40 W Uchwale Kolegium Najwyszej Izby Kontroli zdnia 30sierpnia 2005 r. wsprawie wyraenia opinii dotyczcej stanowiska
Ministra Sprawiedliwoci oraz Krajowej Rady Sdownictwa wprzedmiocie uprawnie Najwyszej Izby Kontroli dokontroli owiadcze majtkowych skadanych przez sdziw, wyraone zostao nastpujce stanowisko: Kolegium odmow tak uznaje zautrudnianie realizacji ustawowych kompetencji kontrolnych naczelnego organu kontroli pastwowej jakim jest Najwysza Izba Kontroli. Kolegium nie podziela stanowisk Krajowej Rady Sdownictwa oraz Ministra Sprawiedliwoci, wktrych kwestionowane suprawnienia kontrolerw NIK dodostpu doowiadcze majtkowych skadanych przez sdziw sdw powszechnych.
21
wWarszawie, i przez fakt podjcia przez NIK przedmiotowej kontroli naruszona zostaa niezawiso sdziowska41. Naley zauway, i dziaania Prezes Sdu Okrgowego wWarszawie nie tylko uniemoliwiy realizacj zada konstytucyjnego organu kontroli, ale wskazuj rwnie nawysokie prawdopodobiestwo wystpienia nieprawidowoci42. Kontrola jednostek wykonujcych czynnoci operacyjno-rozpoznawcze Istotnym ograniczeniem dla prowadzonej przez NIK kontroli by brak dostpu doinformacji gromadzonych wramach prowadzonych czynnoci operacyjno-rozpoznawczych. Zakres kompetencji kontrolnych NIK, jak ju wyej wspomniano, zosta okrelony wart.203 ust.1 Konstytucji RP oraz odpowiednio art.2 ust.1 iart.5 ust.1 ustawy oNIK. Zgodnie zart.29 ust.2 ustawy oNIK, kontroler ma dostp dodokumentw imateriaw potrzebnych doustalenia stanu faktycznego wzakresie kontrolowanej dziaalnoci zawierajcych informacje ustawowo chronione, chyba edostp ten zostanie ograniczony lub wyczony napodstawie innych ustaw. Wpolskim systemie prawnym istnieje wiele tajemnic ustawowych idowikszoci znich maj dostp kontrolerzy NIK, gdy ustawy wprowadzajce obszary chronione nie okreliy ogranicze, codo udostpniania informacji Izbie. Istniej jednak ustawy, ktre zuwagi naspecyficzny charakter chronionych informacji zawieraj rozwizania reglamentujce dostpno donich. Zgodnie zart.43 ust.3 ustawy zdnia 9czerwca 2006 r. oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego (zwana dalej ustaw oSKW iSWW) udzielenie informacji okrelonej osobie lub instytucji nie moe dotyczy m.in. informacji o: - osobie, jeeli zostay uzyskane wwyniku prowadzonych przez SKW, SWW albo inne organy, suby lub instytucje pastwowe czynnoci operacyjno-rozpoznawczych; - szczegowych formach izasadach przeprowadzania czynnoci operacyjno-rozpoznawczych oraz o stosowanych wzwizku zich prowadzeniem rodkach imetodach. Ujawnienie informacji, oktrych mowa wyej, moe nastpi jedynie wprzypadku dania prokuratora lub sdu, zgoszonego wcelu cigania karnego zaprzestpstwo, ktrego skutkiem jest mier czowieka, uszczerbek nazdrowiu lub szkoda wmieniu, albo gdy danie prokuratora lub sdu wie si zuzasadnionym podejrzeniem popenienia przestpstwa ciganego zoskarenia publicznego wzwizku zwykonywaniem czynnoci operacyjno-rozpoznawczych. Podobne obostrzenia zostay sformuowane wart.39 ust.3 ustawy oAgencji Bezpieczestwa Wewntrznego, wart.28 ust.2 ustawy o Centralnym Biurze Antykorupcyjnym, art.20b iart.22 ust.1 ustawy oPolicji, art.9 ust.1-3 iart.9 d ustawy oStray Granicznej, art.8 ustawy oSubie Celnej oraz art. 36j ustawy okontroli skarbowej. Ustalenia telekomunikacyjne dokonywane sw zwizku zprowadzonymi czynnociami operacyjno-rozpoznawczymi idokumentowane sw aktach poszczeglnych spraw. Wzwizku zpowyszym kontrolerzy NIK nie mieli moliwoci penego zapoznania si wtrakcie postpowania kontrolnego zdokumentami, atym samym zweryfikowania zasadnoci zastosowania tego rodka.
41 W latach ubiegych Izba przeprowadzia szereg kontroli wjednostkach organizacyjnych wymiaru sprawiedliwoci.
22
Kontrolowano m.in. dziaalno sdw rejestrowych wzakresie prowadzenia Krajowego Rejestru Sdowego, prawidowo skadania owiadcze majtkowych przez sdziw oraz realizacj obowizkw wynikajcych zustawy obezpieczestwie imprez masowych. Ustalenia zpowyszych kontroli zostay wpeni przyjte przez Ministra Sprawiedliwoci oraz Prezesw kontrolowanych sdw. O fakcie tym NIK powiadomia Ministra Sprawiedliwoci. 42
Dziaania kontrolne musiay by, wic realizowane woparciu odane zanonimizowane, informacje ocharakterze statystycznym oraz dokumenty niejawne, niepodlegajce wyczeniu napodstawie przepisw ustawowych. Kontrola operatorw telekomunikacyjnych NIK nie posiada uprawnie kontrolnych wstosunku dofunkcjonujcych narynku operatorw telekomunikacyjnych. Wramach przygotowania dokontroli pozyskano jednake, wtrybie art.29 ust.1 pkt2 lit. f dane niezbdne doprzeprowadzenia kontroli wsubach iformacjach uprawnionych dopozyskiwania danych telekomunikacyjnych. Ponadto, napodstawie porozumienia zdnia 12grudnia 2011 r. zawartego pomidzy GIODO iPrezesem NIK, podjto decyzj oprzeprowadzeniu przez GIODO kontroli uwybranych operatorw telekomunikacyjnych wzakresie przestrzegania przepisw oochronie danych osobowych. Kontrola tabya realizowana wpenej wsppracy zNIK, austalenia dokonane przez GIODO miay istotne znaczenie dla realizacji wynikw kontroli prowadzonej przez NIK. [Uwarunkowania prawne iorganizacyjne przedstawiono wzaczniku nr5.4 nastr. 82 Informacji]
3.2 Istotne ustalenia kontroli

W czci tej przedstawiono istotne ustalenia kontroli jednostkowych. Teksty wystpie pokontrolnych dostpne sna stronie www.nik.gov.pl/kontrole/wyniki-kontroli-nik W niniejszej wersji informacji usunito ponadto fragmenty, ktre zewzgldu naswj niejawnych charakter nie mogy zosta upublicznione. Peny tekst (niejawny) informacji przekazano najwaniejszym osobom wpastwie. 3.2.1. Agencja Bezpieczestwa Wewntrznego Pozyskiwanie danych telekomunikacyjnych Art.28 ustawy oABW iAW przewiduje moliwo pozyskiwania danych telekomunikacyjnych woparciu opisemny wniosek, ustne danie lub zaporednictwem sieci telekomunikacyjnej. WABW problematyk wzakresie realizacji uprawnie dotyczcych uzyskiwania odpodmiotw prowadzcych dziaalno telekomunikacyjn danych, oktrych mowa wart.180 c id ustawy Prawo telekomunikacyjne bya uregulowana wdokumentach wewntrznych. Dokumenty tezawieray szczegowe wytyczne, procedury oraz normy postpowania zatwierdzone przez Szefa ABW. Wocenie NIK przepisy wewntrzne izawarte wnich procedury byy kompletne, precyzyjne, spjne oraz gwarantoway optymalny poziom wykorzystania oraz bezpieczestwa pozyskanych danych. Wikszo (86,3%) zapyta kierowana bya za porednictwem sieci telekomunikacyjnej (zwykorzystaniem elektronicznego systemu zapyta). Kontrola wykazaa, i ustalenia danych telekomunikacyjnych dokonywane byy przez jednostki i komrki organizacyjne ABW majce uprawnienia doprowadzenia czynnoci operacyjno-rozpoznawczych iledczych oraz wykonujce zadania analityczno-koordynacyjne. Wtoku kontroli ustalono, i kwestie tebyy regulowane indywidulanie dla kadej komrki organizacyjnej namocy zarzdze Szefa ABW wsprawie regulaminw organizacyjnych. Przepisy okrelajce wewntrzn organizacj iporzdek funkcjonowania jednostek organizacyjnych ABW gwarantoway uzyskanie danych telekomunikacyjnych wwczas, gdy byo touzasadnione specyfik lub zakresem zada wykonywanych przez jednostki organizacyjne ABW, albo prowadzonych przez nie czynnoci.
23
Osoby upowanione dosigania podane telekomunikacyjne Zlecania dotyczce ustale skadaj wybrane komrki niektrych departamentw ABW, m.in. Bezpieczestwa Teleinformatycznego, Postpowa Karnych czy Bezpieczestwa Wewntrznego iAudytu. Realizacji zapyta bezporednio uoperatorw dokonywa Departament Wsparcia Operacyjno-Technicznego ABW oraz komrki odpowiedzialne zakoordynacj, analityk inadzr wDelegaturze Stoecznej, Departamencie Zwalczania Terroryzmu, Departamencie Bezpieczestwa Wewntrznego iAudytu oraz Centrum Analiz. Elektroniczny system zapyta dziaajcy wramach sieci wewntrznej ABW umoliwia ustalenie funkcjonariusza uzyskujcego dane telekomunikacyjne, ich rodzaj oraz czas, wktrym zostay pozyskane. Dostp dosieci odbywa si zgodnie zProcedurami Bezpiecznej Eksploatacji Sytemu. W prbie kontrolnej obejmujcej 528 zapyta, zbadanej m.in. pod ktem czy osoby kierujce zapytanie posiaday stosowne uprawnienia oraz czy informacja zostaa uzyskana nadanie waciwej komrki organizacyjnej nie stwierdzono nieprawidowoci. Stworzony system spenia, wocenie NIK, wymogi wzakresie weryfikowalnoci osb upowanionych doich przetwarzania. Sprawno iszybko pozyskiwania danych teleinformatycznych W okresie objtym kontrol nie stwierdzono przypadku odmowy udzielenia przez operatorw danych telekomunikacyjnych. Nie stwierdzono rwnie przypadkw opnie wudzieleniu odpowiedzi przez operatorw nazapytanie kierowane drog elektroniczn. W14 przypadkach zapyta kierowanych w formie pisemnej stwierdzono zwok w udzieleniu odpowiedzi przekraczajc dwa miesice. Ewidencjonowanie pozyskanych danych telekomunikacyjnych Dane liczbowe dotyczce zakresu iiloci zapyta zoonych przez ABW wokresie od1stycznia 2011 r. do 30czerwca 2012 r. przedstawiay si nastpujco:
Ilo zapyta dotyczcych: Rok 1. 2011 2012 (do 30 IV) lokalizacji 2. 7.000 3.684 wykazu pocze 3. 65.000 25.302 ustale kocowych uytkownikw 4. 30.681 14.972 ustale nr. uytkowanych przez osob 5. 20.319 8.039 Zapytania oglne 6. 3.250 1.429 RAZEM 7. 126.250 53.426
W toku kontroli porwnano liczb zapyta kierowanych dooperatorw telekomunikacyjnych, zliczb wykazanych wewidencji ABW zlece ustale bilingowo-abonenckich. Stwierdzono rozbieno miedzy tymi liczbami zewzgldu m.in. nanastpujce okolicznoci: zawarcia wzleceniu wicej ni jednego kryterium (np.kilka numerw telefonicznych dotej samej sprawy); konieczno ponawiania zapyta dooperatw wprzypadku abonenta, ktry skorzysta zusugi przeniesienia numeru; konieczno dzielenia zlece zaokresy przekraczajce 3 m-ce jest tomaksymalny okres, zaktry mona formuowa pojedyncze zlecenia uczci operatorw.
24
NIK zwraca uwag nafakt, i wobec braku jednolitej metodologii liczenia danych wposzczeglnych subach, dane tenie mog by wprost porwnywane pomidzy poszczeglnymi subami, aprzytoczone powyej wielkoci naley traktowa jako dane szacunkowe. Ustalono, e niezalenie od faktycznego zainteresowania danego odbiorcy informacji, zakres przekazywanych przez operatorw danych by szerszy ni okrelony wewniosku. Stanowio tonaruszenie art.160 ust.1, wzwizku zart.159 ust.1 pkt3-5 iust.3 ustawy Prawo telekomunikacyjne oraz art.218 1 kpk. Izba, stosownie doart.63 ust.3 ustawy oNIK, zawiadomia Prezesa Urzdu Komunikacji Elektronicznej onaruszeniu obowizku zachowania tajemnicy telekomunikacyjnej przez operatorw. Postpowanie zezbdnymi danymi telekomunikacyjnymi Przepisy ustawy oABW, zezwalajc napozyskiwanie danych telekomunikacyjnych, nie przewiduj zniszczenia tych spord pozyskanych danych, ktre nie zawieraj informacji majcych znaczenie dla prowadzonego postpowania. WABW brak jest odrbnych procedur dotyczcych oceny zgromadzonych danych telekomunikacyjnych zpunktu widzenia realizacji celw, dla ktrych zostay one pozyskane. Dane tego typu sgromadzone iprzechowywane iniszczone nazasadach oglnych. NIK nie wniosa zastrzee doobowizujcych wtym zakresie aktw wewntrznych43. Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych Kontrola wykazaa, e Departament Bezpieczestwa Wewntrznego iAudytu obj kontrol zagadnienia zwizane zprawidowoci merytoryczn iformaln prowadzonych procedur operacyjnych przez poszczeglne jednostki organizacyjne ABW, w tym przetwarzanie iwykorzystanie danych, oktrych mowa wart.180 c id ustawy Prawo telekomunikacyjne. Wyniki tych kontroli nie wykazay nieprawidowoci. Ponadto ww. Departament sprawdza iweryfikowa sygnay oewentualnych nieprawidowociach wzakresie uzyskiwania, przetwarzania iniszczenia danych telekomunikacyjnych. Najwysza Izba Kontroli ocenia pozytywnie system kontroli wewntrznej ABW wzakresie zarzdzania ryzykiem zwizanym zbezpieczestwem pozyskiwanych danych telekomunikacyjnych. 3.2.2. Centralne Biuro Antykorupcyjne Pozyskiwanie danych telekomunikacyjnych Ustawa oCBA przewiduje moliwo pozyskiwania danych telekomunikacyjnych woparciu opisemny wniosek, ustne danie lub zaporednictwem sieci telekomunikacyjnej. Zewzgldu naznaczne zrnicowanie wprzypadku CBA tych trybw, wymagaj one oddzielnego omwienia. Pozyskiwanie danych telekomunikacyjnych woparciu opisemny wniosek lub ustne danie Ustalenia telekomunikacyjne dokonywane wtrybie art.18 ust.2 ustawy oCBA, tj.na pisemny wniosek Szefa CBA lub osoby przez niego upowanionej, jak rwnie naustne danie funkcjonariusza, realizowane byy napodstawie ewidencjonowanych wdziennikach korespondencyjnych
43 M.in. Zarzdzenie NrPf-77 Szefa ABW zdnia 20grudnia 2011 r. wsprawie archiwizacji iudostpniania akt wAgencji
Bezpieczestwa Wewntrznego oraz Decyzja Nr64 Szefa ABW zdnia 2czerwca 2004 r. wsprawie niszczenia wjednostkach organizacyjnych ABW elektronicznego nonika danych zawierajcych informacj niejawne.
25
zlece pisemnych. Wystpowanie przez upowanionego funkcjonariusza oustalenie danych telekomunikacyjnych odbywao si zawiedza izgod kierownika jednostki lub komrki organizacyjnej. Przyjta procedura zapewniaa waciwy nadzr przeoonych oraz pozawalaa naweryfikacj zasadnoci wystpie odane telekomunikacyjne. Wprzypadku uzyskania informacji wtrybie zapytania ustnego, sporzdzana bya stosowna notatka lub adnotacja nawniosku. Zapytania wtrybie ustnym realizowane byy osobicie przez funkcjonariusza, zaokazaniem imiennego upowanienia ilegitymacji. Wyniki sprawdze przekazywane byy zapokwitowaniem osobie upowanionej wpimie zlecajcym ustalenia, drog pisemn lub elektroniczn poczt szyfrowan, wzalenoci odzawartych wewniosku wskaza. Pozyskiwanie danych zaporednictwem sieci telekomunikacyjnej 1. Zgodnie zart.18 ust.4 pkt 1 lit. austawy oCBA udostpnienie CBA danych telekomunikacyjnych moe nastpi zaporednictwem sieci telekomunikacyjnej, jeeli sie tazapewnia moliwo ustalenia funkcjonariusza CBA uzyskujcego tedane, ich rodzaju oraz czasu, wktrym zostay uzyskane. Proces uzyskiwania iprzesyania danych telekomunikacyjnych CBA realizuje zaporednictwem sieci, oktrych mowa wart.18 ust.2 pkt3 i4 ustawy oCBA, nalecych donajwikszych przedsibiorcw telekomunikacyjnych. Proces przekazywania danych zaporednictwem sieci zosta uzgodniony wdrodze porozumie zawartych przez Szefa CBA ztrzema przedsibiorcami. Dostp drog elektroniczn dodanych telekomunikacyjnych przechowywanych przez dwch pozostaych przedsibiorcw telekomunikacyjnych odbywa si bez zawartych formalnie porozumie. Zasady iwarunki wsppracy wtym zakresie zostay uzgodnione przez strony wramach roboczych kontaktw. Uzgodnienia tenie zostay waden sposb udokumentowane. W ocenie NIK, niejednoznaczny zapis art.18 ust.3 ustawy oCBA mg budzi wtpliwoci, codo sytuacji, wktrych istnieje konieczno zawarcia porozumie zprzedsibiorcami telekomunikacyjnymi, w zakresie udostpniania CBA danych za porednictwem sieci telekomunikacyjnej. NIK zwrcia jednake uwag nafakt, i niezawarcie stosownych porozumie zoperatorami lub brak odpowiednich postanowie wzawartych porozumieniach skutkowa tym, e Szef CBA nie mg skutecznie wyegzekwowa odprzedsibiorcw telekomunikacyjnych niezbdnych informacji wzakresie zrealizowanych ustale zwizanych zuzyskiwaniem danych telekomunikacyjnych zaporednictwem sieci. Miao toistotne znaczenie zwaszcza przy uwzgldnieniu faktu, i CBA nie prowadzio odrbnych ewidencji umoliwiajcych stwierdzenie, kto, kiedy, wjakim celu oraz jakie dane lub informacje uzyskiwa. Wocenie NIK, brak moliwoci uzyskania przez Szefa CBA kompleksowej informacji dotyczcych zrealizowanych przez funkcjonariuszy ustale telekomunikacyjnych wiadczy obraku moliwoci sprawowania rzetelnego nadzoru ikontroli wtym zakresie. Wprowadzenie odrbnych rejestrw (ewidencji) zapyta odane telekomunikacyjne zwikszyoby nadzr nad dziaaniami wtym zakresie. 2. Stwierdzono ponadto, i 3 z 5 systemw, za pomoc ktr ych pozyskiwano dane telekomunikacyjne, nie zapewniao wpenym zakresie moliwoci ustalenia wszystkich danych, oktrych mowa wart.18 ust.4 pkt1 ustawy oCBA, wtym rodzaju uzyskiwanych danych telekomunikacyjnych. Wsystemie udostpnionym przez Polkomtel S.A. wpolu rodzaj danych odpowiednio stosowano zapisy wbrzmieniu: standardowe lub niestandardowe. Wsystemie udostpnionym przez P4 Sp. zo.o. wpolu rodzaj danych wskazywano odpowiednio zapisy
26
art.180c Prawa telekomunikacyjnego lub art.180d Prawa telekomunikacyjnego. Analiza porozumie zawartych przez Szefa CBA zprzedsibiorcami telekomunikacyjnymi wykazaa rwnie, e strony nie zawary wnich stosownych postanowie, codo cicego naprzedsibiorcach telekomunikacyjnych obowizku zapewnienia parametrw sieci umoliwiajcych ustalenie funkcjonariusza CBA uzyskujcego dane telekomunikacyjne, ich rodzaju oraz czasu, wktrym zostay uzyskane. W ocenie NIK, pomimo e ustawodawca nie wskaza podmiotu odpowiedzialnego zarealizacj wymogw ustawowych, oktrych mowa wart.18 ust.4 pkt1 lit. ai b ustawy oCBA, tozgodnie ztreci art.18 ust.4 ustawy oCBA, wprzypadku gdy sie nie speniaa tych wymogw, nie mona byo udostpnia danych telekomunikacyjnych zajej porednictwem. Zabezpieczenia organizacyjne itechniczne wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych Dostp drog elektroniczn dodanych przesyanych zgodnie zart.18 ust.2 pkt3 ustawy oCBA, realizowany by zapomoc usugi poczty elektronicznej, zdodatkowym zabezpieczeniem wpostaci szyfrowania ipodpisywania wiadomoci pocztowych zwykorzystaniem certyfikatw elektronicznych. Szef CBA szczegowo uregulowa aktami wewntrznymi zasady ochrony stanowisk dostpowych. Wprowadzono m.in. regulacje wzakresie ochrony kart dostpowych, hase, kluczy; szczegowe zasady dostpu dodanych iich przetwarzania; wydawania certyfikatw. Okrelono take zasady przetwarzania danych telekomunikacyjnych tak, aby zapewni zgodno procedur postpowania zustaw oochronie danych osobowych. W ocenie NIK, zastosowane rodki ochrony dostpu dosieci telekomunikacyjnych sucych pozyskiwaniu danych, byy wystarczajce dla zapewnienia ochrony uzyskanych danych telekomunikacyjnych przed dostpem osb nieuprawnionych. Osoby upowanione dosigania podane telekomunikacyjne Szef CBA okreli jednostki organizacyjne uprawnione dopozyskiwania iprzetwarzania danych telekomunikacyjnych. Jednostk organizacyjn odpowiedzialn zauzyskiwanie danych telekomunikacyjnych oraz teleinformatycznych napotrzeby jednostek organizacyjnych, ktrych siedziby usytuowane sw Warszawie oraz wszczeglnie uzasadnionych przypadkach, napotrzeby Delegatur CBA, jest Biuro Techniki Operacyjnej (BTO). Zuwagi naspecyfik dziaa podejmowanych przez Biuro Kontroli iSpraw Wewntrznych, aw szczeglnoci konieczno zapewnienia waciwej ochrony tych dziaa, ustalenia telekomunikacyjne napotrzeby prowadzonych przez funkcjonariuszy tej jednostki spraw, zasadniczo realizowane byy bezporednio przez toBiuro. Wdelegaturach CBA jednostkami organizacyjnymi odpowiedzialnymi zauzyskiwanie danych telekomunikacyjnych oraz teleinformatycznych, zgodnie zregulaminami organizacyjnymi poszczeglnych delegatur, byy zespoy/sekcje wsparcia lub wydziay operacyjno-ledcze. Zadania zwizane zrealizacj ustale telekomunikacyjnych wykonywali funkcjonariusze lub pracownicy wyznaczeni przez kierownikw ww. jednostek. Przyjto rwnie zasad, e wzakresach obowizkw funkcjonariuszy, ktrym wydawano upowanienie Szefa CBA, okrelano zadania dotyczce dokonywania ustale telekomunikacyjnych, stosownie dozakresu merytorycznej dziaalnoci komrki organizacyjnej CBA, okrelonego wregulaminie organizacyjnym.
27
W ocenie NIK, Szef CBA wprowadzi waciwe procedury zarzdcze wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych, atake ochrony ich przed nieuprawnionym ujawnieniem lub utrat. Przyjte wczci jednostek organizacyjnych CBA (w tym centrali CBA) rozwizanie, zgodnie zktrym dane pozyskiwane byy zaporednictwem jednostek wsparcia, wsposb istotny redukowao ryzyko wystpienia nieprawidowoci, dlatego zdaniem NIK, rozwizanie topowinno by przyjte wewszystkich jednostkach organizacyjnych CBA. Nie stwierdzono przypadkw dokonywania ustale telekomunikacyjnych przez funkcjonariuszy, ktrzy nie posiadaliby stosowanego upowanienia Szefa CBA. W trakcie kontroli stwierdzono jednake przypadki naruszenia obowizujcych regulacji wewntrznych, poprzez udzielanie upowanie funkcjonariuszom innych jednostek organizacyjnych, ni wskazane wregulacjach wewntrznych. Nieprawidowoci testwierdzono w omiu jednostkach organizacyjnych CBA. NIK nie podzielia argumentacji Szefa CBA dotyczcej pomocniczego charakteru regulaminw organizacyjnych. Wocenie NIK, regulaminy organizacyjne, nadane zarzdzeniami Szefa CBA, byy wewntrznymi aktami normatywnymi stanowicymi podstaw funkcjonowania Biura, regulujcymi caoksztat stosunkw wewntrznych. Nieprzestrzeganie regulaminw organizacyjnych, polegajce nawydawaniu upowanie Szefa CBA uprawniajcych dodokonywania ustale telekomunikacyjnych funkcjonariuszom zjednostek organizacyjnych, ktre nie realizuj zada ztym zwizanych, stanowio naruszenie organizacji wewntrznej iustanowionych przez Szefa CBA zasad funkcjonowania. NIK podzielia natomiast stanowisko Szefa CBA, i wydanie ww. funkcjonariuszom upowanie, nie stanowio naruszenia art.18 ustawy oCBA. Sprawno iszybko pozyskiwania danych teleinformatycznych W okresie od1stycznia 2011 r. do18wrzenia 2012 r. odnotowano jedynie dwa przypadki odmowy udostepnienia danych telekomunikacyjnych. Byo tospowodowane faktem, i zakres danych danych wykracza poza 24 miesiczny okres ich retencji. Zanalizy materiaw przedoonych wtrakcie kontroli wynika, e udostpnianie danych zapomoc sieci odbywao si wwikszoci przypadkw wdniu, wktrym skierowano zapytanie lub wdniu nastpnym. Maksymalny czas oczekiwania naprzekazanie danych wynosi 2 dni. Ewidencjonowanie pozyskanych danych telekomunikacyjnych W trakcie kontroli nie mona byo dokona wiarygodnych ustale dotyczcych zakresu iiloci danych pozyskanych przez kontrolowan jednostk wokresie objtym kontrol. Prowadzone przez CBA statystyki wzakresie pozyskiwania danych telekomunikacyjnych obejmoway liczb kierowanych zapyta, anie ilo uzyskanych danych telekomunikacyjnych. Naley zwrci uwag, e obowizujce przepisy prawne nie nakadaj naCBA obowizku gromadzenia informacji statystycznej natemat ustale telekomunikacyjnych. Opracowywane przez CBA statystyki iprzyjta formua gromadzenia tych danych wynikaa jedynie zuregulowa ocharakterze wewntrznym. Na podstawie przedoonych przez Szefa CBA zestawie ilociowych zrealizowanych przez CBA zapyta odane telekomunikacyjne stwierdzono, e okresie od1stycznia 2011 r. do30czerwca 2012 r., upowanieni funkcjonariusze CBA wystpowali napodstawie art.18 ust.2 ustawy oCBA doprzedsibiorcw telekomunikacyjnych 143 306 razy. Struktura skierowanych zapyta przedstawia si nastpujco:
28
Zapytania o Rok 1. 2011 01.01. 30.06.2012 wykazy pocze 2. 6 133 2 981 dane abonenta 3. 62 054 68 343 dane pozostae sprawdzenia lokalizacyjne (w tym IP, IMSI) 4. 2 028 751 6. 553 423 Razem 7. 70 808 72 498
Z powyszego zestawienia wynika, e wokresie od1stycznia 2011 r. do30czerwca 2012 r. zapytania owykazy pocze stanowiy 6% oglnej liczby zapyta, zapytania dotyczce lokalizacji telefonu komrkowego 2%, pozostae sprawdzenia (w tym dot. danych IP, numerw IMSI) 1%, natomiast zapytania dotyczce ustalenia danych identyfikujcych abonentw stanowiy 91% oglnej liczby zapyta. NIK zwraca uwag nafakt, i wobec braku jednolitej metodologii liczenia danych wposzczeglnych subach, dane tenie mog by wprost porwnywane pomidzy poszczeglnymi subami, aprzytoczone powyej wielkoci naley traktowa jako dane szacunkowe. Postpowanie zezbdnymi danymi telekomunikacyjnymi Przepisy ustawy oCBA, zezwalajc napozyskiwanie danych telekomunikacyjnych, nie przewiduj zniszczenia tych spord pozyskanych danych, ktre nie zawieraj informacji majcych znaczenie dla prowadzonego postpowania. Zgodnie zprzyjt wCBA pragmatyk dane telekomunikacyjne, jako dane osobowe, podlegay ochronie napodstawie przepisw oochronie danych osobowych iodpowiednich przepisw ustawy oCBA. Zgodnie ztreci art.22a ust.8 ustawy oCBA, nie rzadziej, ni co5 lat, wzalenoci odpotrzeby dalszego przetwarzania tych danych, dokonuje si ich weryfikacji iusuwa dane zbdne. Wkontrolowanym okresie przeprowadzono weryfikacj danych osobowych napodstawie decyzji nr88/11 Szefa CBA zdnia 21lutego 2011 r. wsprawie okrelenia trybu weryfikacji iusuwania danych osobowych przetwarzanych wCBA. NIK pozytywnie ocenia dziaania Szefa CBA wzakresie postpowania zdanymi zbdnymi dla prowadzonych postpowa. Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych W okresie objtym kontrol wCBA nie przeprowadzano bada audytowych wzakresie uzyskiwania, przetwarzania, wykorzystywania iniszczenia danych telekomunikacyjnych. Nie byy te prowadzone kontrole przez wewntrzn komrk kontrol, ani kontrole przez podmioty zewntrzne. Nie dokonywano analiz, ani ocen dziaa wCBA wpowyszym zakresie. Nadzr narealizacj zada by prowadzony przez bezporednich przeoonych, zgodnie zprocedurami okrelonymi przez Szefa CBA. CBA, jako jedyna spord kontrolowanych jednostek powoaa penomocnika dospraw kontroli przetwarzania przez CBA danych osobowych (art.22b ust.1 ustawy oCBA). Penomocnik, wramach nadzoru, prowadzi kontrol prawidowoci przetwarzania przez CBA danych osobowych, aw szczeglnoci ich przechowywania, weryfikacji iusuwania. Na podstawie Rejestru Skarg iWnioskw CBA stwierdzono, e wkontrolowanym okresie nie wniesiono doSzefa CBA skarg, ktrych przedmiotem byo nienaleyte wykonywanie przez kontrolowan jednostk uprawnie, oktrych mowa wart.18 ustawy oCBA.
29
4.2.3. Policja Pozyskiwanie danych telekomunikacyjnych Zgodnie zustaw oPolicji, podmioty prowadzce dziaalno telekomunikacyjn, udostpniaj nieodpatnie dane telekomunikacyjne policjantowi wskazanemu w pisemnym wniosku Komendanta Gwnego Policji lub komendanta wojewdzkiego Policji albo osobie przez nich upowanionej. Udostpnienie danych moe nastpi naustne lub pisemne danie ww. osb lub zaporednictwem sieci telekomunikacyjnej. Zgodnie ztreci art.20c ust.2a ustawy oPolicji udostpnianie danych telekomunikacyjnych moe odbywa si bez udziau pracownikw podmiotu prowadzcego dziaalno telekomunikacyjn lub przy niezbdnym ich udziale, jeeli moliwo taka jest przewidziana wporozumieniu zawartym pomidzy Komendantem Gwnym Policji, atym podmiotem. Wtoku kontroli ustalono, e zasadniczo Policja pozyskuje dane zaporednictwem sieci telekomunikacyjnej, jednake nie sone pozyskiwane bezporednio zurzdze operatora, tj.bez udziau jego pracownikw. Spord 14 najwikszych przedsibiorcw telekomunikacyjnych, uktrych dostp Policji dodanych retencyjnych odbywa si zaporednictwem sieci, Komendant Gwny Policji zawar porozumienia ztrzema przedsibiorcami. Pozostae uzgodnienia zoperatorami wzakresie procesu przekazywania iprzetwarzania danych telekomunikacyjnych udokumentowane zostay wformie notatek subowych oraz pism. Wprzypadku porozumie dotyczcych trzech operatorw uzyskano wyjanienia, e nie zachowaa si dokumentacja wzakresie dokonanych uzgodnie. W wyniku kontroli stwierdzono przypadek nieuprawnionego dania udostpnienia danych telekomunikacyjnych przez funkcjonariusza Wydziau d/s Zorganizowanej Przestpczoci Kryminalnej Zarzdu wWarszawie Centralnego Biura ledczego (CB) KGP, ktry nie posiadajc stosownego upowanienia Komendanta Gwnego Policji, wystpi telefonicznie doTP S.A. odane telekomunikacyjne. Zgromadzone dane nie pozwalay naustalenie, wjakim postpowaniu zostao skierowane zapytanie. Napodstawie art.51 ust 4. ustawy zdnia 23grudnia 1994 r. oNajwyszej Izbie Kontroli, poinformowano Komendanta Gwnego Policji oustaleniach wskazujcych nanieprawidowoci wdziaalnoci CB KGP wopisanym wyej zakresie. Napolecenie Komendanta Gwnego Policji wdroono stosowne czynnoci wyjaniajce wsprawie nieuprawnionego wystpienia odane telekomunikacyjne. W ocenie NIK, pomimo braku formalnych wymogw, codo zawierania porozumie zprzedsibiorcami telekomunikacyjnymi wzakresie udostpniania Policji danych retencyjnych, ustalenie procedur postpowania pozwolioby ograniczy ryzyko wystpienia nieprawidowoci wtym zakresie. Wszczeglnoci, wzawieranych zoperatorami telekomunikacyjnymi porozumieniach, naleaoby uregulowa procedur telefonicznego pozyskiwania danych, tak aby wyeliminowa moliwo pozyskania tych danych przez osoby nieuprawnione. Zgodnie ztreci art.20c ust.5 pkt1 lit. austawy oPolicji udostpnienie Policji danych telekomunikacyjnych moe nastpi zaporednictwem sieci telekomunikacyjnej, jeeli wykorzystywane sieci telekomunikacyjne zapewniaj moliwo ustalenia osoby uzyskujcej dane, ich rodzaju oraz czasu, wktrym zostay uzyskane. W trakcie kontroli stwierdzono, e w Biurze Spraw Wewntrznych KGP (BSW KGP) dane telekomunikacyjne zapomoc indywidualnej karty wydanej funkcjonariuszowi, uzyskiwane byy jeszcze przez dwch innych funkcjonariuszy tego Biura. Przypadki takie wystpoway rwnie wkomendach wojewdzkich. Wprawdzie wszyscy policjanci posugujcy si t kart posiadali stosowne upowanienie Komendanta Gwnego Policji lub komendantw wojewdzkich,
30
uprawniajce dodokonywania ustale telekomunikacyjnych, jednake opisana sytuacja spowodowaa, e zaewidencjonowane wsystemie zapisy dotyczce rejestracji isprawdze nie pozwalay najednoznaczn iudokumentowan identyfikacj funkcjonariusza uzyskujcego dane, czym naruszono przepisy art.20c ust.5 pkt1 lit. austawy oPolicji. Zabezpieczenia organizacyjne itechniczne wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych Zgodnie ztreci art.20c ust.5 pkt1 lit. b udostpnienie Policji danych telekomunikacyjnych moe nastpi zaporednictwem sieci telekomunikacyjnej, jeeli zastosowane wnich zabezpieczenie techniczne iorganizacyjne uniemoliwiaj osobie nieuprawnionej dostp dotych danych. Zapewnienie poufnoci pozyskiwania danych telekomunikacyjnych oraz przekazywanie ich komrkom organizacyjnym KGP wnioskujcym ote dane, polegao m.in. nazastosowaniu odpowiednich metod przesyania (zaszyfrowana transmisja). Sieci wewntrzne iInternet dziaay oddzielnie (byy odseparowane). Stanowiska komputerowe posiaday oprogramowanie dostpowe imogy nanich pracowa tylko osoby uprawnione posiadajce wasne konta dostpowe oraz indywidualne karty. Komputery przeznaczone dopozyskiwania danych telekomunikacyjnych znajdoway si wpomieszczeniach objtych strefami bezpieczestwa (BK KGP iBWK KGP) lub wzabezpieczonych pomieszczeniach (BSW, CB). W ocenie NIK, zastosowane rodki ochrony dostpu dosieci telekomunikacyjnych sucych pozyskiwaniu danych, byy wystarczajce dla zapewnienia ochrony uzyskanych danych telekomunikacyjnych przed dostpem osb nieuprawnionych. Osoby upowanione dosigania podane telekomunikacyjne W Regulaminie Komendy Gwnej Policji nie przypisano wprost adnej zkomrek organizacyjnych zada wzakresie realizacji uprawnie wynikajcych zart.20c ustawy oPolicji. Kontrola wykazaa, e dane telekomunikacyjne wKomendzie Gwnej Policji (KGP) byy pozyskiwane przez funkcjonariuszy CB KGP, BSW KGP, Biura Wywiadu Kryminalnego KGP (BWK KGP) oraz Biura Kryminalnego KGP (BK KGP). Jedynie Dyrektorzy BK iBSW KGP opracowali wtym zakresie stosowne procedury, jednake miay one wycznie charakter zalece. Dane telekomunikacyjne byy pozyskiwane nazlecenia komrek organizacyjnych (Wydziaw) wchodzcych wskad ww. Biur, ktre miay wzakresie swojej waciwoci okrelone zadania zwizane zzapobieganiem lub wykrywaniem przestpstw, atake Biura Midzynarodowej Wsppracy Policji KGP (BMWP KGP). Osobami uprawnionymi, napodstawie art.20c ust.2 ustawy oPolicji, dowystpowania zdaniem udostpnienia danych telekomunikacyjnych byli policjanci wskazani wpisemnym wniosku Komendanta Gwnego Policji lub komendanta wojewdzkiego Policji albo osoby przez nich upowanione. Wcelu realizacji ww. uprawnie Komendant Gwny Policji wyda decyzj nr177 zdnia 28czerwca 2010 r. wsprawie trybu zwracania si doKomendanta Gwnego Policji oudzielenie upowanienia dowystpowania oudostpnienie danych telekomunikacyjnych (niepublikowana). W treci powoanej wyej decyzji okrelono m.in. zasady wydawania upowanie oraz przesanki cofnicia upowanienia. Zgodnie zprzyjtymi wdecyzji zasadami, imienne upowanienia udzielane byy policjantom, jeeli byo touzasadnione zakresem czynnoci
31
subowych (zapobieganie lub wykrywanie przestpstw) iwizao si zkoniecznoci dostpu dodanych telekomunikacyjnych. Komendant Gwny Policji nie mia prawnego obowizku wprowadzania szczegowych regulacji, czy wewntrznych aktw prawnych wobszarach nieuregulowanych przez ustaw oPolicji. Jednake wocenie NIK, jedn zgwnych przyczyn stwierdzonych wtoku kontroli nieprawidowoci by brak odpowiednich procedur wewntrznych, ktre zapobiegyby wystpieniu nieprawidowoci lub pozwoliyby nabieco jeeliminowa. Wprowadzenie przepisw (procedur) wewntrznych wzakresie realizacji przez funkcjonariuszy uprawnie dotyczcych dania iprzetwarzania danych telekomunikacyjnych, pozwolioby rwnie ujednolici praktyk postpowania wtym zakresie oraz zwikszy nadzr nad prowadzonymi dziaaniami. Sprawno iszybko pozyskiwania informacji W badanej prbie zapyta telekomunikacyjnych nie stwierdzono przypadkw przekazywania danych telekomunikacyjnych zopnieniem, ktre utrudniaoby wykonywanie zada jednostki. Wokresie objtym kontrol NIK wystpio natomiast 11 przypadkw odmowy lub nie wykonania wpenym zakresie ustale telekomunikacyjnych dla Policji. Wodniesieniu dokadej ww. odmowy KGP zwrci si pisemnie (na podstawie art.20c ustawy oPolicji) doUrzdu Komunikacji Elektronicznej opodjcie dziaa majcych nacelu zaprzestanie przez niektrych operatorw telefonii dalszych tego rodzaju praktyk. Ewidencjonowanie pozyskanych danych telekomunikacyjnych Obowizujce przepisy nie nakadaj na Policj obowizku gromadzenia informacji statystycznej natemat ustale telekomunikacyjnych. Wprowadzone wPolicji zasady wzakresie ewidencjonowania pozyskiwania danych telekomunikacyjnych obejmoway liczb kierowanych zapyta, anie ilo uzyskanych danych telekomunikacyjnych. Wzwizku ztym, nie mona byo dokona ustale dotyczcych zakresu iiloci pozyskanych wokresie objtym kontrol danych. Dane liczbowe dotyczce zakresu iliczby zapyta zoonych przez Policj w2011 r. przedstawiay si nastpujco44:
Zapytania o: Rok wykazy pocze 2. 632 606 dane abonenta 3. 610 156 dane lokalizacyjne 4. 102 067 uytkownikw zakoczenia sieci (abonent IP) 5. 59 902 inne (biling zBTS itp.) 6. 43 880
Razem 7. 1448 611
1. 2011
32
44 Policja odmwia udostpnienia danych zapierwsze procze 2012 r.
Procentowe zestawienie liczby zapyta telekomunikacyjnych KGP odpowiednio w2011 r. iwIproczu 2012 r. przedstawia si nastpujco:
Rodzaj zapytania lokalizacja telefonw komrkowych wykaz pocze (bilingi, IMEI, MSISDN itp.) abonenci (MSISDN, IMEI, SIM, IMSI, REGON, NIP, PESEL, Adres) inne (biling zBTS itp.) uytkownik zakoczenia sieci (abonent IP) 2011 r. 2,3% 28,1% 68,8% 0,8% 0,4% 2012 r. (I-IV) 4,2% 35,9% 57,4% 2,5% 0,2%
NIK zwraca uwag nafakt, i wobec braku jednolitej metodologii liczenia danych wposzczeglnych subach, dane tenie mog by wprost porwnywane pomidzy poszczeglnymi subami, aprzytoczone powyej wielkoci naley traktowa jako dane szacunkowe. W KGP nie byo okrelonych zasad, ani nie wypracowano jednolitej praktyki prowadzenia rejestrw iurzdze sucych doewidencjonowania zapyta kierowanych doprzedsibiorcw telekomunikacyjnych oraz informacji oefektach realizacji tych zlece. Wefekcie nie byo moliwoci ustalenia, wjakim zakresie Policja wykorzystuje moliwoci wzakresie sigania podane obywateli. Np.w BWK KGP zapytania dooperatorw telekomunikacyjnych odane telekomunikacyjne rejestrowane byy wdzienniku korespondencyjnym. Napodstawie zapisw wtym dzienniku nie byo moliwoci jednoznacznego ustalenia ile byo takich zapyta. Rejestr prowadzony przez BSWKGP nie pozwala naokrelenie osoby kierujcej zapytanie, liczby oraz rodzaju zapyta. Natomiast napodstawie rejestru prowadzonego przez CB KGP, nie mona byo jednoznaczne okreli osoby kierujcej zapytanie. W ocenie NIK, ujednolicenie zasad prowadzenia rejestrw, zwikszyoby kontrol iuatwio nadzr nad prawidowoci realizacji zada wzakresie pozyskiwania danych telekomunikacyjnych. Rejestry te, wocenie NIK, wszczeglnoci powinny zawiera informacje dotyczce: daty zapytania iuzyskania odpowiedzi, nazwy operatora doktrego skierowano zapytanie, osoby realizujcej zapytanie, zakresu zapytania (liczba irodzaj ustale, okres zaktry pozyskiwane sdane), komrki zlecajcej zapytanie, nrsprawy (zlecenia) wramach ktrego dokonywane jest sprawdzenie. Postpowanie zdanymi telekomunikacyjnymi zbdnymi Materiay udostpnione przez podmioty prowadzce dziaalno telekomunikacyjn, ktre nie zawieraj informacji majcych znaczenie dla postpowania karnego, napodstawie art.20 c ust.7 ustawy oPolicji, podlegaj niezwocznemu komisyjnemu iprotokolarnemu zniszczeniu. W komrkach Biur analizujcych dane telekomunikacyjne (merytorycznych) byy one traktowane, jako jedna zmetod pracy operacyjnej. Utrwalone wformie pisemnej dane telekomunikacyjne, zawierajce informacje zbdne, podlegay zniszczeniu wgzasad obowizujcych dla materiaw uzyskanych wwyniku czynnoci operacyjnorozpoznawczych. Wtym celu powoywane byy komisje (czynno tanie bya dokumentowana) przez kierownika komrki prowadzcej spraw. Obowizkiem komisji byo sporzdzenie protokou zawierajcego m.in. wykaz zniszczonych dokumentw, dane czonkw komisji oraz podpis kierownika komrki. WCB KGP stwierdzono jednake trzy przypadki, gdy zniszczenie danych nie zostao udokumentowane protokoem, lecz wformie odrcznej adnotacji podpisanej przez funkcjonariusza ijego bezporedniego przeoonego. Wocenie NIK, obowizujca wposzczeglnych komrkach merytorycznych
33
Biur praktyka zapewniaa, codo zasady, niszczenie danych zbdnych, wsposb zgodny zww. wymogami ustawowymi. Jednake w komrkach organizacyjnych KGP poredniczcych w pozyskaniu danych telekomunikacyjnych, nie realizowano obowizku, oktrym mowa cytowanym wyej art.20 c ust.7 ustawy oPolicji. Dane telekomunikacyjne, ktre wpyway nastanowiska dostpowe, anastpnie byy przekazane komrce, ktra tedane analizuje (merytorycznej), byy usuwane zurzdze sucych doich pozyskiwania iprzekazywania zpominiciem trybu komisyjnego iprotokolarnego niszczenia danych telekomunikacyjnych. Wwewntrznych procedurach dorealizacji zada zwizanych zustaleniami telekomunikacyjnymi BK KGP okrelono, e dane temaj by usunite powysaniu downioskodawcy. WBWK KGP funkcjonariusze pozyskujcy dane telekomunikacyjne maj obowizek skasowania wszystkich danych telekomunikacyjnych poprzez funkcj usu oraz oprnienie tzw. kosza. Kwestia tanie bya uregulowana wformie pisemnych procedur. Wtoku kontroli nie przedstawiono dowodw naokoliczno kasowania danych telekomunikacyjnych zkomputera nastanowisku, sucym dopozyskiwania tych danych odoperatorw. WBSWKGP stosowano rozwizanie, polegajce naautomatycznym usuwaniu wiadomoci zserwera pocztowego poupywie 30 dni odmomentu wysania wiadomoci doadresata. Poupywie tego okresu nie byo moliwoci odzyskania, czy te podejrzenia wysanej wiadomoci zawierajcej ustalenia telekomunikacyjne. WBMWP KGP stwierdzono, e wokresie objtym kontrol przekazane zinnych komrek organizacyjnych KGP dane telekomunikacyjne nie byy niszczone. W ocenie NIK, jeeli dane telekomunikacyjne, wobec braku podstaw prawnych doich przetwarzania, zostay usunite zakt poszczeglnych spraw poprzez komisyjne zniszczenie, tonie ma rwnie adnych podstaw prawnych, by dane tebyy nadal przechowywane wpostaci ich wkopii wsystemach informatycznych. Dane tepowinny by niezwocznie usunite, afakt ten stosownie udokumentowany. Dane telekomunikacyjne byy kopiowane nazewntrzne noniki informacji wcelu przeniesienia ich zkomputera, zzainstalowanym systemem doprowadzenia zapyta uprzedsibiorcy, nakomputer wsieci wewntrznej. Zgodnie zuzyskanymi wyjanieniami, przenoszenie nanonik odbywao si bez otwierania (analizowania) danych zawartych wpliku, anastpnie plik trwale usuwano (kasowano) zpamici poczty idyskw. Nieuprawnione kopiowanie, miao by wyeliminowane zuwagi nadostp dosystemw tylko uprawnionych funkcjonariuszy, ktrzy mogli dokonywa tego typu czynnoci. Wprzypadku nieprawidowego dziaania wzakresie kopiowania rozliczeniu podlega policjant otrzymujcy dane ije wykorzystujcy. W ocenie NIK, opisany wyej sposb postpowania nie gwarantowa, e dane telekomunikacyjne kadorazowo byy trwale usuwane znonikw, popoprawnym ich przeniesieniu nadocelowy sprzt komputerowy. Naley zaznaczy, e kwestia tanie zostaa uregulowana, couniemoliwia sprawowanie rzetelnego nadzoru ikontroli nad procesem kopiowania, przenoszenia iusuwania danych telekomunikacyjnych zuytkowanych przez funkcjonariuszy nonikw informacji. Niejednolita praktyka postpowania zpozyskanymi danymi telekomunikacyjnymi wskazuje napotrzeb uregulowania kwestii niszczenia tych danych wwewntrznych aktach prawnych. Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych Nadzr nad realizacj zada w zakresie uzyskiwania, przetwarzania i niszczenia danych telekomunikacyjnych realizowany by przez bezporednich przeoonych, zgodnie zobowizujcymi wPolicji regulacjami wewntrznymi.
34
W okresie 2011 r. Iprocze 2012 r. wKGP nie byy prowadzone kontrole przez Biuro Kontroli KGP wzakresie ustale telekomunikacyjnych, kontroli wtakim zakresie nie prowadziy rwnie podmioty zewntrzne. W2011 r. Sekcja Bezpieczestwa Teleinformatycznego iOchrony Danych Osobowych BOIN KGP przeprowadzia czynnoci nadzorcze wzakresie retencji danych wkontekcie przepisw ustawy zdnia 29sierpnia 1997 r. oochronie danych osobowych. Wwyniku przeprowadzonych czynnoci sformuowane zostay 3 wnioski wtym wniosek oopracowanie dokumentacji bezpieczestwa, tj.polityki bezpieczestwa dla zbioru danych osobowych prowadzonego wformie manualnej oraz wypracowanie metod czynicych zado dyspozycji art.20 c ust.7 ustawy oPolicji. Ponadto wII proczu 2012 funkcjonariusze WTO BK KGP dokonali sprawdze realizacji sposobu pozyskiwania danych telekomunikacyjnych przez Policj wKWP: Bydgoszcz, Biaystok, Olsztyn, d, Krakw iRzeszw. Wyniki ww. czynnoci oraz wnioski udokumentowane byy wformie notatek subowych. NIK zwrcia uwag nafakt, i sprawowanie skutecznego nadzoru nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych utrudnia brak jednolitych regulacji wewntrznych wtym zakresie. Wybrane ustalenia zkontroli wKomendach Wojewdzkich Policji NIK pozytywnie ocenia dziaania Komendantw Wojewdzkich Policji wKatowicach, Rzeszowie iWrocawiu wzakresie realizacji zada zwizanych zuzyskiwaniem iprzetwarzaniem danych telekomunikacyjnych wcelu zapobiegania lub wykrywania przestpstw. Wydajc powysze oceny NIK uwzgldnia, i Komendanci cifunkcjonuj wzhierarchizowanej strukturze organizacyjnej, aich kompetencje wzakresie zapewnienia prawidowego pozyskiwania, przetwarzania iniszczenia danych telekomunikacyjnych byy ograniczone zakresem posiadanych uprawnie. Skontrolowani Komendanci Wojewdzcy Policji prawidowo wramach posiadanych kompetencji uregulowali idoprecyzowali aktami wewntrznymi zasady uzyskiwania iprzetwarzania danych pozyskiwanych odoperatorw telekomunikacyjnych wcelu zapobiegania lub wykrywania przestpstw. Dokumentacja realizacji czynnoci wzakresie pozyskiwania, przetwarzania iprzekazywania danych telekomunikacyjnych bya prowadzona wsposb uporzdkowany, przejrzysty, umoliwiajcy nadzr ibiec kontrol nakadym etapie pozyskiwania tych danych. Prawidowo dokonano rwnie zabezpieczenia pozyskanych danych przed nieuprawnionym dostpem donich. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi Policji. Przeprowadzona kontrola nabazie prby losowej zachowania procedur wzakresie wystpowania odane dooperatorw telekomunikacyjnych, zakresu czasowego dania, posiadania upowanie przez funkcjonariuszy, zakresu danych danych oraz formy skadania zapyta nie wykazaa nieprawidowoci. Stwierdzone przypadki posugiwania si przez kilku funkcjonariuszy wspln kart dostpow, byy spowodowane dostarczeniem przez KGP pojednej karcie doposzczeglnych komend. Nie stwierdzono take nieprawidowoci wsposobie wykorzystywania przez komrki organizacyjne KWP przyznanych im uprawnie dodania, uzyskiwania, przetwarzania, wykorzystywania iniszczenia danych telekomunikacyjnych. 3.2.4. Suba Kontrwywiadu Wojskowego Pozyskiwanie danych telekomunikacyjnych Suba Kontrwywiadu Wojskowego, napodstawie art.32 ust.1 ustawy oSKW iSWW, moe da udostpnienia danych telekomunikacyjnych. Udostpnienie SKW danych telekomunikacyjnych
35
moe nastpi zaporednictwem sieci telekomunikacyjnej, jeeli wykorzystywanie sieci isystem teleinformatyczny zapewniaj moliwo ustalenia osoby uzyskujcej tedane, ich rodzaju oraz czasu, wktrym zostay uzyskane oraz zabezpieczenia techniczne iorganizacyjne uniemoliwiaj osobie nieuprawnionej dostp dotych danych (art.32 ust.6 ustawy oSKW iSWW). Udostpnianie danych telekomunikacyjnych odbywao si napodstawie porozumie zawartych pomidzy Szefem SKW aoperatorami napodstawie art.32 ust.5 ustawy oSKW iSWW. Wprzypadku podlegych jednostek organizacyjnych realizujcych ustalenia telekomunikacyjne, przesyano dooperatorw imienne listy osb upowanionych dorealizacji ustale telekomunikacyjnych. Wysyanie zapyta dooperatorw zarwno pisemnych, jak idrog elektroniczn, odbywao si nawniosek onierza lub funkcjonariusza, podlegajcy weryfikacji izatwierdzeniu przez kierownika jednostki organizacyjnej. Dodatkowo Biuro Techniki iObserwacji (BTiO) posiadao rol nadzorcz dla poszczeglnych systemw dowysyania zapyta drog elektroniczn, poprzez dostp dobazy danych upowanionego uytkownika lub poprzez otrzymywanie wformie elektronicznej wszystkich zapyta wokresach kwartalnych. Badanie losowo dobranej prby zapisw dotyczcych dania udostpnienia danych telekomunikacyjnych nie wykazao nieprawidowoci. Zabezpieczenia organizacyjne itechniczne wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych Szef SKW wprowadzi procedury bezpieczestwa danych telekomunikacyjnych zwizanych zrealizacj wnioskw oustalenia telekomunikacyjne, ktre precyzyjnie reguloway wszystkie niezbdne kwestie wtym zakresie. WSKW prowadzono rwnie analizy ryzyka, ktrych celem byo wyeliminowanie potencjalnych nieprawidowoci. Zastosowane rozwizania techniczne iorganizacyjne umoliwiay jednoznaczne zidentyfikowanie uytkownika kocowego przetwarzajcego dane, apodejmowane przez niego dziaania byy nabieco rejestrowane przez system informatyczny. Kompleks pomieszcze, wktrym zlokalizowany by system doprzetwarzania danych telekomunikacyjnych, znajdowa si wI strefie bezpieczestwa, doktrej dostp mieli jedynie upowanieni pracownicy Wydziau IBTiO. Dostp dosystemu moliwy by jedynie pouprzednim uwierzytelnieniu, azastosowane rozwizania techniczne skutecznie ograniczay ryzyko dostpu osb niepowoanych. Pozalogowaniu si, uytkownik mia moliwo uruchomienia tylko tej czci oprogramowania systemu, doktrej przydzielono mu uprawnienia. W ocenie NIK, zastosowane rodki ochrony dostpu dosieci telekomunikacyjnych sucych pozyskiwaniu danych, byy wystarczajce dla zapewnienia ochrony uzyskanych danych telekomunikacyjnych przed dostpem osb nieuprawnionych. Osoby upowanione dosigania podane telekomunikacyjne Szef SKW, napodstawie art.20 ust.2 ustawy oSKW iSWW, upowani dyrektora BTiO oraz jego zastpcw dowystpowania wjego imieniu odane ujte wart.180c i180d ustawy Prawo telekomunikacyjne. Ponadto Szef SKW upowani imiennie, dokorzystania zelektronicznych baz danych operatorw telekomunikacyjnych, osoby zdziewiciu jednostek organizacyjnych SKW realizujcych czynnoci operacyjno-rozpoznawcze, napodstawie regulaminw organizacyjnych iinstrukcji oczynnociach operacyjnych (Zarzd Operacyjny, Zarzd Ochrony Interesw Ekonomicznych Si Zbrojnych, Biuro Penomocnika Ochrony iBezpieczestwa Wewntrznego, Biuro Radiokontrwywiadu oraz Inspektoratw SKW wWarszawie, Gdyni, Poznaniu, Lublinie iKrakowie). Jednostki teupowanione byy dokorzystania, zapomoc indywidualnych kart dostpu, zbaz danych piciu operatorw telekomunikacyjnych.
36
Sprawno iszybko pozyskiwania danych teleinformatycznych Nie stwierdzono przypadkw kwestionowania przez operatorw telekomunikacyjnych uprawnie ustawowych SKW iodmowy udostpniania danych telekomunikacyjnych. Wjednostce kontrolowanej nie wystpiy przypadki przekazywania danych telekomunikacyjnych zopnieniem, ktre utrudniaoby wykonywanie zada jednostki. Ewidencjonowanie pozyskanych danych telekomunikacyjnych Obowizujce przepisy nie nakadaj naSKW obowizku gromadzenia informacji statystycznej natemat ustale telekomunikacyjnych. Wjednostce kontrolowanej funkcjonuje ewidencja elektroniczna umoliwiajca odnotowanie, kto, kiedy iw jakim celu oraz jakie dane uzyskiwa. Ponadto prowadzona jest wBTiO ewidencja papierowa zapyta jawnych iniejawnych, wformie wydruku treci zapyta dooperatorw telekomunikacyjnych, wysanych drog elektroniczn. Ewidencja niejawna zapyta prowadzona jest wformie papierowej wycznie poprzez BTiO (przechowywany jest drugi egzemplarz zapytania wysany dooperatorw telekomunikacyjnych). Przeprowadzone badanie wzakresie rzetelnoci prowadzonych ewidencji nie wykazao nieprawidowoci. Ze sporzdzonego, napodstawie elektronicznej bazy danych, zestawienia wynika, i w2011 r. ustalenia wykonane przez BTiO dotyczyy 42.386 danych uytkownikw, aw Ipoowie 2012 r. 16.978 danych. Zzapytaniem ohistori pocze (lokalizacja) w2011 r. wystpiono w1.570 wnioskach (3,7%), aw Ipoowie 2012 r. w784 wnioskach (4,6%). Pozostae zapytania dotyczyy ustalenia danych abonenta. Realizowane przez pozostae jednostki organizacyjne SKW dziaania dotyczyy w2011 r. 34.122 numerw uytkownikw, aw Ipoowie 2012 r. 19.560 uytkownikw. Naogln liczb 76.508 ustale telekomunikacyjnych w2011 r. i36.538 wI poowie 2012 r. zrealizowanych przez wszystkie jednostki organizacyjne SKW, ustalenie abonenta przez SKW dotyczyo odpowiednio 73.009 i34.605 abonentw oraz 3.499 (4,6%) i1.933 (5,3%) ustale historii pocze (bilingi). NIK zwraca uwag nafakt, i wobec braku jednolitej metodologii liczenia danych wposzczeglnych subach, dane tenie mog by wprost porwnywane pomidzy poszczeglnymi subami, aprzytoczone powyej wielkoci naley traktowa jako dane szacunkowe. Postpowanie zezbdnymi danymi telekomunikacyjnymi Ocen zgromadzonych danych zajmuje si jednostka wnioskujca oich pozyskanie. Przepisy nie nakazuj SKW zniszczenia danych telekomunikacyjnych wokrelonych sytuacjach (np.gdy stay si one zbdne, zpunktu widzenia celu dla ktrego zostay pozyskane). Wwyjanieniu Szef SKW poda, e z uwagi naspecyfik zainteresowa SKW zniszczenie tego typu danych mogoby spowodowa ograniczenie moliwoci operacyjnych wobec prowadzonych rozpracowa. Ponadto materiay tenie podlegaj komisyjnemu zniszczeniu, gdy nie zostay pozyskane wwyniku stosowania kontroli operacyjnej, atym samym nie stosuje si wobec nich zapisu art.31 ust.15 ustawy oSKW iSWW. Informacje uzyskiwane odoperatorw swczone doprocedur operacyjnych ipo ich zakoczeniu skadane iprzechowywane wBiurze Ewidencji Archiwum SKW wraz zewszystkimi materiaami zgromadzonymi wprowadzonej procedurze.
37
Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych W BTiO przeprowadzony zosta audyt przez Zarzd Bezpieczestwa Informacji Niejawnych (ZBIN) zzakresu bezpieczestwa teleinformatycznego. Wwyniku audytu BTiO otrzymao wiadectwo Bezpieczestwa Teleinformatycznego. Wwyniku sformuowanych przez ZBIN SKW zalece, dwie osoby spord szeciu, odbyy szkolenia specjalistyczne administratorw systemu (posiaday nieaktualne zawiadczenie oodbytym szkoleniu). Nadzr narealizacj zada by prowadzony przez bezporednich przeoonych, na zasadach analogicznych, jak przy prowadzeniu czynnoci operacyjno-rozpoznawczych. Wkontrolowanym okresie nie wniesiono skarg, ktrych przedmiotem byo nienaleyte wykonywanie przez kontrolowan jednostk uprawnie wzwizku zpozyskiwaniem danych telekomunikacyjnych. 3.2.5. Stra Graniczna Pozyskiwanie danych telekomunikacyjnych W Komendzie Gwnej Stray Granicznej nie zostay ustanowione pisemne procedury wewntrzne wzakresie realizacji uprawnie dotyczcych uzyskiwania odprzedsibiorcw telekomunikacyjnych danych, oktrych mowa wart.180c i180d Prawa telekomunikacyjnego. Wtrakcie kontroli prowadzone byy prace nad przygotowaniem algorytmu postpowania przy pobieraniu danych telekomunikacyjnych. Pozyskiwanie danych telekomunikacyjnych woparciu opisemny wniosek lub ustne danie Ustalenia telekomunikacyjne dokonywane wtrybie art.10b ust.2 pkt1 ustawy oStray Granicznej, tj.na pisemny wniosek Komendanta Gwnego Stray Granicznej lub osoby przez niego upowanionej, jak rwnie naustne danie funkcjonariusza (wydane napodstawie art.10b ust.2 pkt2), realizowane byy napodstawie ewidencjonowanych wrejestrze upowanie. Wystpowanie przez upowanionego funkcjonariusza oustalenie danych telekomunikacyjnych odbywao si zawiedz izgod kierownika komrki organizacyjnej. Przyjta praktyka poddawaa wykonywanie ustale telekomunikacyjnych nadzorowi przeoonych oraz pozawalaa naweryfikacj zasadnoci wystpie odane telekomunikacyjne. Wokresie objtym kontrol nie byy kierowane zapytania doprzedsibiorcw telekomunikacyjnych wtrybie ustnego dania udostpnienia danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne. Badanie losowo dobranej prby zapisw dotyczcych dania udostpnienia danych telekomunikacyjnych nie wykazao nieprawidowoci. Komendant Gwny Stray Granicznej nie mia prawnego obowizku wprowadzenia pisemnych regulacji wzakresie pozyskiwania danych telekomunikacyjnych, apraktyka stosowana wKGSG bya waciwa. Jednake wocenie NIK, wprowadzenie pisemnych procedur wewntrznych wzakresie dania iprzetwarzania danych telekomunikacyjnych wewszystkich komrkach pozwolioby naujednolicenie procedur izwikszenie nadzoru nad realizowanymi czynnociami. Zwikszeniu nadzoru suyoby rwnie wprowadzenie rozwiza, zgodnie zktrymi ustalenia dokonywane byyby przez inne jednostki organizacyjne, ni prowadzce postpowanie (jednostki merytoryczne). Pozyskiwanie danych zaporednictwem sieci telekomunikacyjnej Zgodnie zart.10b ust.1 pkt3 ustawy oStray Granicznej udostpnienie Stray Granicznej danych telekomunikacyjnych moe nastpi zaporednictwem sieci telekomunikacyjnej funkcjonariuszowi
38
posiadajcemu pisemne upowanienie. Zgodnie zart.10b ust.4 pkt1 lit. austawy oStray Granicznej sieci telekomunikacyjne maj zapewnia moliwo ustalenia osoby uzyskujcej dane, ich rodzaju oraz czasu, wktrym zostay uzyskane. Proces uzyskiwania iprzesyania danych telekomunikacyjnych KGSG realizuje zaporednictwem sieci, nalecych doprzedsibiorcw telekomunikacyjnych. Proces przekazywania danych zaporednictwem sieci zosta uzgodniony wdrodze porozumie zawartych przez Komendanta Gwnego Stray Granicznej zprzedsibiorcami. Systemy zapewniay dostp dodanych telekomunikacyjnych przez ca dob. Wykorzystywane wKGSG sieci telekomunikacyjne, wraz zestosowanymi rozwizaniami organizacyjnymi, zapewniay moliwo ustalenia osoby uzyskujcej dane, ich rodzaju oraz czasu, wktrym zostay uzyskane. Badanie losowo dobranej prby zapisw dotyczcych dania udostpnienia danych telekomunikacyjnych nie wykazao nieprawidowoci. Zabezpieczenia organizacyjne itechniczne wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych W Komendzie Gwnej zostay opracowane iwdroone procedury regulujce dostp dosystemw informatycznych. Procedury tezostay opracowane wodniesieniu dosystemw, wktrych przetwarzane szbiory danych osobowych oraz wktrych przetwarzane sinformacje niejawne. Wodniesieniu dosystemw informatycznych przetwarzajcych informacje niejawne, napodstawie ustawy oochronie informacji niejawnych, opracowana zostaa dla kadego systemu dokumentacja bezpieczestwa, tj.Szczeglne Wymagania Bezpieczestwa oraz Procedury Bezpiecznej Eksploatacji. Napodstawie dokumentacji bezpieczestwa systemy teleinformatyczne obecnie eksploatowane uzyskay akredytacj bezpieczestwa teleinformatycznego. W odniesieniu dosystemw informatycznych przetwarzajcych zbiory danych osobowych, ktre nie zostay oznaczone klauzul tajnoci, opracowane zostay dokumenty przedstawiajce sposb ochrony danych osobowych. Wdokumentacji bezpieczestwa systemw informatycznych, zostay zawarte procedury wymagane przepisami prawa, wtym dotyczce zasad dostpu dotych systemw oraz rozliczalnoci wzakresie uzalenionym odspecyfiki systemu teleinformatycznego, amajcych nacelu zapewnienie bezpieczestwa iochrony samych systemw iprzetwarzanych wnich danych. Dostp dodanych przetwarzanych wsystemach teleinformatycznych posiadaj wycznie osoby posiadajce stosowne uprawnienia, logujc si naswoje indywidualne konto przy uyciu hasa lub karty mikroprocesorowej. Komputery przeznaczone dopozyskiwania danych telekomunikacyjnych znajdoway si wodpowiednio zabezpieczonych pomieszczeniach. W ocenie NIK, zastosowane rodki ochrony dostpu dosieci telekomunikacyjnych sucych pozyskiwaniu danych, byy wystarczajce dla zapewnienia ochrony uzyskanych danych telekomunikacyjnych przed dostpem osb nieuprawnionych. Osoby upowanione dosigania podane telekomunikacyjne Podmiotami uprawnionymi douzyskiwania iprzetwarzania danych telekomunikacyjnych wKomendzie Gwnej Stray Granicznej byy komrki organizacyjne, ktre regulaminami wewntrznymi zostay powoane dorozpoznawania, zapobiegania iwykrywania przestpstw, tj.Zarzd Operacyjno-ledczy (ZO) iZarzd Spraw Wewntrznych (ZSW).
39
Stwierdzono, e nie wewszystkich zakresach zada komrek organizacyjnych ww. zarzdw, zamieszczono zadanie uzyskiwania danych telekomunikacyjnych oraz nie wszyscy funkcjonariusze upowanieni douzyskiwania danych telekomunikacyjnych mieli ujte takie zadania wzakresie obowizkw subowych. Upowanienia dowymiany informacji drog elektroniczn zprzedsibiorcami telekomunikacyjnymi miay form zatwierdzonych przez Komendanta Gwnego list, podpisanych przez dyrektorw wnioskujcych, zdanymi funkcjonariuszy (m.in. imi inazwisko, identyfikator). Listy upowanionych funkcjonariuszy byy przekazywane do Biuro cznoci i Informatyki (BiI) i przesyane dowaciwych przedsibiorcw telekomunikacyjnych. BiI zajmowao si dystrybucj kart dostpu iczytnikw kart. W Komendzie Gwnej Stray Granicznej nie by prowadzony rejestr upowanie wydanych funkcjonariuszom douzyskiwania danych zaporednictwem sieci telekomunikacyjnej. Brak rejestru spowodowa wdwch przypadkach trudnoci wwykazaniu upowanie funkcjonariuszy dowystpowania odane telekomunikacyjne. Wjednym przypadku nie odnaleziono upowanienia funkcjonariusza ZSW dowystpowania odane telekomunikacyjne, cho dysponowa on kart dostpu. Ponadto kontrola wykazaa, e dwch funkcjonariuszy ZSW wystpujcych odane telekomunikacyjne nie miao upowanienia administratora doprzetwarzania danych wsystemie, doczego zobowizuje art.37 ustawy oochronie danych osobowych. W ocenie NIK, brak rejestru funkcjonariuszy upowanionych do uzyskiwania danych telekomunikacyjnych zaporednictwem sieci telekomunikacyjnych oraz nieokrelenie zada wzakresie pozyskiwania danych telekomunikacyjnych wregulaminach wewntrznych niektrych jednostek organizacyjnych izakresach obowizkw funkcjonariuszy, moe mie wpyw narealizacj skutecznego nadzoru ikontroli nad procesem pozyskiwania danych telekomunikacyjnych. Sprawno iszybko pozyskiwania danych teleinformatycznych W kontrolowanym okresie nie wystpiy przypadki odmowy udostpnienia danych telekomunikacyjnych, jak rwnie nie odnotowano przypadkw przekazywania tych danych zopnieniem, ktre utrudniaoby wykonanie zada jednostce. Przedsibiorcy telekomunikacyjni nie kwestionowali uprawnie Komendanta Gwnego douzyskiwania danych telekomunikacyjnych. Ewidencjonowanie pozyskanych danych telekomunikacyjnych W trakcie kontroli nie mona byo dokona wiarygodnych ustale dotyczcych zakresu iiloci danych pozyskanych przez kontrolowan jednostk wokresie objtym kontrol. Prowadzone przez SG statystyki wzakresie pozyskiwania danych telekomunikacyjnych obejmoway liczb kierowanych zapyta, anie ilo uzyskanych danych telekomunikacyjnych. Naley zwrci uwag, e obowizujce przepisy prawne nie nakadaj naSG obowizku gromadzenia informacji statystycznej natemat ustale telekomunikacyjnych. Opracowywane przez SG statystyki iprzyjta formua gromadzenia tych danych wynikaa jedynie zuregulowa ocharakterze wewntrznym. W Komendzie Gwnej prowadzona jest ewidencja, wktrej odnotowano, kto, kiedy, wjakim celu oraz jakie dane lub informacje uzyskiwa. Ewidencj, zwan rejestrami, prowadziy odrbnie ZO iZSW, przy czym wZSW ewidencja prowadzona bya take odrbnie wwewntrznych komrkach organizacyjnych. Ewidencja pozwalaa naodtworzenie procesu uzyskiwania danych telekomunikacyjnych odsporzdzenia wniosku przez funkcjonariusza wykonujcego czynnoci operacyjno-rozpoznawcze, przez jego zatwierdzenie przez przeoonych, realizacj przez osoby
40
posiadajce dostp dosystemw udostpnionych przez operatorw telekomunikacyjnych, dootrzymania wnioskowanych danych. Funkcjonariusz wnioskujcy odane telekomunikacyjne sporzdza wniosek wdwch egzemplarzach irejestrowa go wkancelarii. Jeden egzemplarz trafia dokomrki realizujcej zapytania dooperatorw, adrugi wczany by domateriaw sprawy. Stwierdzono jeden przypadek rnicy midzy treci wniosku (wykaz pocze) atreci zapisan wrejestrze wnioskw (ustalenie abonenta). Na wybranej przez NIK prbie dokonano weryfikacji prowadzonych rejestrw, poprzez porwnanie ewidencji prowadzonej przez SG zdanymi uzyskanymi odoperatorw telekomunikacyjnych. Kontrola nie wykazaa nieprawidowoci. Na podstawie przedoonych przez Komendanta Gwnego Stray Granicznej zestawie zrealizowanych przez Stra Graniczn zapyta odane telekomunikacyjne stwierdzono, e okresie od1stycznia 2011 r. do30czerwca 2012 r., upowanieni funkcjonariusze Stray Granicznej wystpowali napodstawie art.10b ustawy oStray Granicznej doprzedsibiorcw telekomunikacyjnych 521 903 razy, wtym Komenda Gwna 8 707. Struktura skierowanych zapyta przedstawia si nastpujco:
Zapytania o: Rok 1. Od 01.01.2011 r. do 30.06.2012 r. wykazy pocze 2. 220 694 dane abonenta 3. 228 654 dane lokalizacyjne 4. 60 315 Inne 5. 12 240 Razem 7. 521 903
Z powyszego zestawienia wynika, e wokresie od1stycznia 2011 r. do30czerwca 2012 r. wStray Granicznej zapytania owykazy pocze stanowiy 42,3% oglnej liczby zapyta, zapytania dotyczce lokalizacji 11,6%, inne zapytania 2,3%, natomiast zapytania odane abonenta stanowiy 43,8% oglnej liczby zapyta. NIK zwraca uwag nafakt, i wobec braku jednolitej metodologii liczenia danych wposzczeglnych subach, dane tenie mog by wprost porwnywane pomidzy poszczeglnymi subami, aprzytoczone powyej wielkoci naley traktowa jako dane szacunkowe. Postpowanie zezbdnymi danymi telekomunikacyjnymi Zgodnie zart.10b ust.6 ustawy oStray Granicznej materiay uzyskane wwyniku czynnoci podjtych napodstawie ust.1, ktre nie zawieraj informacji majcych znaczenie dla postpowania karnego, podlegaj niezwocznemu komisyjnemu iprotokolarnemu zniszczeniu. W Komendzie Gwnej wokresie od1stycznia 2011 r. do30czerwca 2012 r. niszczono komisyjnie materiay uzyskane wwyniku czynnoci podjtych napodstawie art.10b ust.1 ustawy oStray Granicznej, ktre nie zawieray informacji majcych znaczenie dla postpowania karnego. Sporzdzono cznie 20 protokow. Materiay zniszczono wnastpujcy sposb: dane wformie zapisw nanonikach elektronicznych dysk twardy, pami typu pendrive zostay usunite poprzez przeniesienie pojedynczych plikw lub caych folderw zawierajcych dane doKosza, anastpnie oprnienie Kosza (procedura taka zostaa skonsultowana izaakceptowana przez Biuro Ochrony Informacji Niejawnych Komendy Gwnej), pyty CD byy fizycznie niszczone, natomiast dane wpostaci dokumentw wformie papierowej niszczone byy poprzez fizyczne ich pocicie
41
wniszczarce. Wprzypadku likwidacji stanowiska komputerowego, naktrym przetwarzane byy dane telekomunikacyjne przed oddaniem dysku dowaciwych komrek organizacyjnych pionu cznoci iinformatyki celem zniszczenia, dokonywano wstpnego fizycznego uszkadzania dysku, np.poprzez jego przewiercenie. Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych W okresie objtym kontrol wKomendzie Gwnej Stray Granicznej nie przeprowadzano bada audytowych wzakresie uzyskiwania, przetwarzania, wykorzystywania iniszczenia danych telekomunikacyjnych przez Zesp Audytu Wewntrznego Komendy Gwnej ani audytorw zewntrznych. Nie byy te prowadzone kontrole przez wewntrzn komrk kontrol, tj.Inspektorat Nadzoru iKontroli Komendanta Gwnego Stray Granicznej, ani kontrole przez podmioty zewntrzne. Nie dokonywano analiz, ani ocen dziaa wStray Granicznej wpowyszym zakresie. Nadzr narealizacj zada by prowadzony przez bezporednich przeoonych, nazasadach analogicznych, jak przy prowadzeniu czynnoci operacyjno-rozpoznawczych. Na podstawie Rejestru Skarg iWnioskw KGSG stwierdzono, e wkontrolowanym okresie nie wniesiono doKomendanta Gwnego Stray Granicznej skarg, ktrych przedmiotem byo nienaleyte wykonywanie przez kontrolowan jednostk uprawnie, oktrych mowa wart.10b ustawy oStray Granicznej. NIK zwrcia uwag nakonieczno zapewnienia zewntrznego, wstosunku dokomrek organizacyjnych wnioskujcych irealizujcych zapytania odane telekomunikacyjne, nadzoru ikontroli nad realizacj przez poszczeglnych funkcjonariuszy uprawnie zwizanych zuzyskiwaniem iprzetwarzaniem danych telekomunikacyjnych. 3.2.6. andarmeria Wojskowa Pozyskiwanie danych telekomunikacyjnych Zgodnie zart.30 ust.1 ustawy oandarmerii Wojskowej iwojskowych organach porzdkowych, andarmeria Wojskowa moe da udostpnienia danych telekomunikacyjnych. Udostpnienie danych moe nastpi naustne lub pisemne danie upowanionego funkcjonariusza lub zaporednictwem sieci telekomunikacyjnej. W Komendzie Gwnej andarmerii Wojskowej ustanowione zostay wewntrzne przepisy (procedury) w zakresie realizacji uprawnie dotyczcych uzyskiwania od podmiotw prowadzcych dziaalno telekomunikacyjn danych, oktrych mowa wart.180c i180d ustawy zdnia 16lipca 2004 r. Prawo telekomunikacyjne. Dane telekomunikacyjne byy pozyskiwane napisemne lub ustne danie, atake zwykorzystaniem sieci teleinformatycznych. Dostp dodanych telekomunikacyjnych zaporednictwem sieci telekomunikacyjnej przy wykorzystaniu odpowiednich systemw teleinformatycznych zapewnio 6 najwikszych operatorw telefonicznych. KGW zawara 3 porozumienia zoperatorami telekomunikacyjnymi wsprawie dostpu dosystemu elektronicznego danych abonentw. Wpowyszych porozumieniach zawarto odniesienia dodostpu dorodkw technicznych iorganizacyjnych operatora, wtym okrelono parametry techniczne stanowiska komputerowego przeznaczonego dowymiany informacji oraz procedur skadania zapyta oraz przekazywania odpowiedzi. Sprawdzenia upozostaych operatorw realizowane byy napisemny wniosek Komendanta Gwnego W. Zgodnie zart.30 ust.4 ustawy oandarmerii Wojskowej, udostpnienie danych telekomunikacyjnych moe nastpi zaporednictwem sieci telekomunikacyjnej, wszczeglnoci jeeli wykorzystywane
42
sieci isystem teleinformatyczny zapewniaj moliwo ustalenia osoby uzyskujcej dane, jeeli zabezpieczenie techniczne iorganizacyjne uniemoliwiaj osobie nieuprawnionej dostp dodanych oraz jest touzasadnione specyfik lub zakresem zada wykonywanych przez jednostki organizacyjne andarmerii Wojskowej albo prowadzonych przez nie czynnoci. W latach 20112012 jedn kart dostpu dosystemu danego operatora posugiwao si 4onierzyW. Karty kryptograficzne umoliwiajce dostp dosystemw (aplikacji) piciu operatorw telekomunikacyjnych posiaday certyfikat wystawiony nakonkretn osob onierzaWydziau Zabezpieczenia iEwidencji. Stwierdzono jednake przypadki, gdy zkarty certyfikowanej nadanego onierza korzystay rwnie inne osoby. Wprzypadkach korzystania zsieci przez onierza nieposiadajcego certyfikowanej nasiebie karty skutkowao toujawnianiem wsystemie operatora certyfikowanego onierza, anie osoby faktycznie korzystajcej (pobierajcej dane) zsieci. Natomiast dostp dosieci jednego zoperatorw telekomunikacyjnych umoliwiaa karta, napodstawie ktrej poprzez system kodowy, operator identyfikowa sub ktra zwrcia si doniego zzapytaniem nie byo jednake moliwe ustalenie onierza, ktry pobiera dane. Jednake identyfikacja osoby pobierajcej dane bya zapewniona przez system informatyczny KGW, atake poprzez wewntrzne rejestry (odlipca 2012 r. wewidencji elektronicznej KGW). Wpraktyce okoo 90% sprawdze dokonywao dwch onierzy KGW majcych wzakresie swoich obowizkw realizacj ustale uoperatorw telekomunikacyjnych. Pozostae 10% wynikao zzastpstw. Zabezpieczenia organizacyjne itechniczne wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych W KGW pomieszczenie, wktrym uzyskuje si iprzetwarza dane telekomunikacyjne, znajduje si wII strefie ochronnej, doktrej dostp maj wycznie upowanieni onierze. Zabezpieczenia organizacyjne zwizane zdostpem dodanych telekomunikacyjnych wynikay zzarzdze wewntrznych Komendanta Gwnego andarmerii Wojskowej. Ewidencja osb realizujcych konkretne zapytania dooperatora telekomunikacyjnego bya prowadzona wrejestrach sprawdze uoperatorw telefonicznych (do 18lipca 2012 r. wformie papierowej, anastpnie wformie elektronicznej). Pozyskane dane teleinformatyczne przesyane byy pomidzy jednostkami W zapismem oklauzuli zastrzeone lub przekazywane bezporednio osobie zainteresowanej zapokwitowaniem wrejestrze sprawdze uoperatorw telefonicznych. Wprzypadku ustalania lokalizacji abonenta informacja bya przekazywana bezporednio odoperatora nauprawniony numer telefonu onierza prowadzcego czynnoci operacyjno-rozpoznawcze. W ocenie NIK, zastosowane rodki ochrony dostpu dosieci telekomunikacyjnych sucych pozyskiwaniu danych, byy wystarczajce dla zapewnienia ochrony uzyskanych danych telekomunikacyjnych przed dostpem osb nieuprawnionych. Osoby upowanione dosigania podane telekomunikacyjne W wytycznych przyjto, i wzakresie uzyskiwania danych odoperatorw telefonicznych lub innych podmiotw wykonujcych dziaalno telekomunikacyjn (zwanych dalej operatorami) jedyn uprawnion komrk wewntrzn wW jest Wydzia Zabezpieczenia iEwidencji wZarzdzie Dochodzeniowo-ledczym KGW (zwany dalej WZiE).
43
Zgodnie zwytycznymi na2011 r., zwnioskiem osprawdzenie doszefa Wydziau Zabezpieczenia iEwidencji mogli wystpowa komendanci placwek, wydziaw oraz szefowie Wydziau Operacyjno-Rozpoznawczego iWydziau Dochodzeniowo-ledczego. Wwytycznych na2012 r. przyjto, i zwnioskami mogli wystpowa komendanci terenowej jednostki organizacyjnej W, szef wydziau kryminalnego lub dochodzeniowo-ledczego terenowego oddziau W, onierz Zarzdu Dochodzeniowo-ledczego poakceptacji przez bezporedniego przeoonego, szef Oddziau Wewntrznego iOchrony Informacji Niejawnych KGW. Wrozkazie KGW z13lipca 2012 r. wsprawie wprowadzenia wytycznych, nie wyszczeglniono podmiotw uprawnionych dowystpowania zwnioskiem, lecz oglnie zaznaczono, i zwnioskiem naley wystpowa doKomendanta Gwnego W. Zgodnie zewzorem zaczonym dorozkazu, wniosek powinien by podpisany przez komendanta oddziau W oraz zaopiniowany przez szefa Oddziau Kryminalnego KGW iszefa Wydziau Zabezpieczenia iEwidencji KGW. Udzielanie imiennych upowanie (w zakresie ustnego dania danych telekomunikacyjnych oraz zaporednictwem sieci telekomunikacyjnej) zostao powizane zzakresem czynnoci (zakresem obowizkw) wodniesieniu do3 onierzy Wydziau Zabezpieczenia iEwidencji Zarzdu Dochodzeniowo-ledczego KGW. Wdwch przypadkach osoby zastpujce onierzy stale wykonujcych zadania wzakresie pozyskiwania danych telekomunikacyjnych nie miay tych zada wpisanych dozakresw obowizkw. W ocenie NIK przyjty sposb pozyskiwania danych od operatorw za porednictwem wyspecjalizowanej komrki KGW stanowi przykad dobrej praktyki zabezpieczenia przed nieuprawnionym lub niecelowym pozyskiwaniem danych telekomunikacyjnych. NIK wskazuje nakonieczno zamieszczenia wzakresach obowizkw wszystkich funkcjonariuszy dokonujcych sprawdze stosownych zapisw. Sprawno iszybko pozyskiwania danych teleinformatycznych W KGW nie byo przypadkw, gdy dania formuowane przez kontrolowan jednostk wzakresie udostpnienia danych telekomunikacyjnych spotykay si zkwestionowaniem jej upowanienia douzyskania danych danych, ani te sytuacji, gdy dane telekomunikacyjne przekazywane byy zeznaczn zwok. Ewidencjonowanie pozyskanych danych telekomunikacyjnych Prowadzone przez W statystyki wzakresie pozyskiwania danych telekomunikacyjnych obejmoway liczb kierowanych zapyta, anie ilo uzyskanych danych telekomunikacyjnych. Naley zwrci uwag, e obowizujce przepisy prawne nie nakaday naW obowizku gromadzenia informacji statystycznej natemat ustale telekomunikacyjnych. Opracowywane przez W statystyki iprzyjta formua gromadzenia tych danych wynikaa zuregulowa ocharakterze wewntrznym. W latach 20112012 r. (dolipca 2012 r.) wKGW prowadzono 7 rejestrw papierowych Sprawdzenia uoperatorw telefonicznych (zwane dalej rejestrami). WKGW liczba porzdkowa rejestru (pozycja rejestru) nie odzwierciedlaa liczby zapyta oraz kolejnoci rejestrowanych spraw wKGW. Pozycja zapytania nie odnosia si dojednego abonenta lub np.do jednego telefonu. Tym samym pod dan pozycj wskazywano najeden numeru telefonu lub kilku numerw. Wdniu 18lipca 2012 r., zewzgldu nakonieczno prowadzenia szczegowych statystyk dotyczcych pozyskiwanych danych telekomunikacyjnych, zmieniono form prowadzenia ewidencji sprawdze uoperatorw telefonicznych zpapierowej naelektroniczn. Wsystemie elektronicznym jedna
44
pozycja rejestru odpowiadaa jednemu zapytaniu operatora, coeliminuje ograniczenia statystyk papierowych. Nawybranej przez NIK prbie dokonano weryfikacji prowadzonych rejestrw, poprzez porwnanie ewidencji prowadzonej przez KGW zdanymi uzyskanymi odoperatorw telekomunikacyjnych. Kontrola nie wykazaa nieprawidowoci. Na podstawie danych zawartych wrejestrach stwierdzono, i wzakresie dotyczcym ustalenia danych abonenta lub numeru telefonu w2011 r. (ogem 6351 sprawdze) dooperatorw wystpowano 4029 razy (63,4%), wtym oustalenie abonenta 3123 razy oraz oustalenie numeru telefonu 906 razy, ao pozostae dane (np.bilingi, lokalizacje) 2322 razy (36,6%). W2012 r. (Iprocze ogem 2506 sprawdze) wystpowano odane, ktre winne by dostpne wramach usugi Oglnokrajowej informacji onumerach telefonicznych, odane publiczne wystpowano 1901 razy (75,9%), wtym oustalenie abonenta 1541 razy oraz oustalenie numeru telefonu 360razy, ao pozostae dane 605 razy (24,1%). NIK zwraca uwag nafakt, i wobec braku jednolitej metodologii liczenia danych wposzczeglnych subach, dane tenie mog by wprost porwnywane pomidzy poszczeglnymi subami, aprzytoczone powyej wielkoci naley traktowa jako dane szacunkowe. Postpowanie zezbdnymi danymi telekomunikacyjnymi Zgodnie zart.30 ust.6 ustawy oW dane telekomunikacyjne, ktre nie zawieraj informacji majcych znaczenie dla postpowania karnego, podlegaj niezwocznemu komisyjnemu iprotokolarnemu zniszczeniu. W KGW nie byo jednolitej pisemnej procedury oceny zgromadzonych danych telekomunikacyjnych, zpunktu widzenia ich przydatnoci dorealizacji celw, dla ktrych zostay one pozyskane. Tym niemniej zebrane dane telekomunikacyjne podlegay kontroli wramach prowadzonych przez Oddzia Kryminalny lub Oddzia Dochodzeniowo-ledczy nadzorw wterenowych jednostkach organizacyjnych W. Wtrakcie kontroli ocenie podlegaa cao realizowanych czynnoci, wtym zasadno wystpienia odane telekomunikacyjne oraz sposb ich wykorzystania. Wprzypadku postpowa przygotowawczych nadzr nad tymi postpowaniami sprawowa dodatkowo prokurator. Wewskazanych wczeniej wytycznych szefa Zarzdu Dochodzeniowo-ledczego KGW oraz wytycznych Komendanta Gwnego W wskazano nakonieczno analizowania uzyskanych odoperatorw danych pod ktem ich znaczenia procesowego lub operacyjnego (dane takie naleao niezwocznie przekazywa prokuratorowi). Wokresie objtym kontrol nie dokonywano niszczenia danych telekomunikacyjnych. Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych Nadzr nad realizacj zada sprawowa szef Wydziau Zabezpieczenia iEwidencji, kontrolujc, realizowane czynnoci naetapie ich pozyskiwania, przetwarzania iprzechowywania. Natomiast sposb wykorzystania tych danych wdalszych czynnociach operacyjno-rozpoznawczych lub dochodzeniowo-ledczych podlega kontroli przez przeoonych osoby prowadzcej dan spraw oraz wramach prowadzonego przez KGW nadzoru. Wtrakcie tych kontroli ocenie podlegaa cao realizowanych czynnoci, wtym sposb wykorzystania danych telekomunikacyjnych. Wlatach 20112012 kady oddzia podlega sprawdzeniu 1-2 razy wcigu roku. Wyniki czynnoci kontrolnych ujmowane byy wpisemnym meldunku doKomendanta Gwnego W. Wlatach 20112012, poza kontrol NIK, inne kontrole zewntrzne ibadania audytowe wobszarze
45
uzyskiwania, przetwarzania, wykorzystania iniszczenia danych telekomunikacyjnych wandarmerii Wojskowej nie byy prowadzone. Kontrole wewntrzne W wprzedmiotowym obszarze realizowane byy wramach nadzorw nie stwierdzono uchybie. W KGW nie odnotowano skarg osb, wobec ktrych realizowano ustalenie upodmiotw wykonujcych dziaalno telekomunikacyjn. 3.2.7. Ministerstwo Finansw Wywiad Skarbowy iSuba Celna Suba Celna uzyskaa uprawnienia umoliwiajce uzyskiwanie danych telekomunikacyjnych (art.75d ustawy oSubie Celnej) zdniem 14lipca 2011 r., napodstawie art.7 pkt4 ustawy zdnia 26maja 2011 r. ozmianie ustawy ograch hazardowych iniektrych innych ustaw. Departament Wywiadu Skarbowego Ministerstwa Finansw, pozyskiwa dane telekomunikacyjne wtrybie okrelonym wart.36b ustawy zdnia 28wrzenia 1991 r. okontroli skarbowej. Dane teuzyskiwano zwykorzystaniem Systemu Elektronicznej Wymiany Informacji (SEWI). Administratorem SEWI jest Wydzia Techniki Departamentu Wywiadu Skarbowego. Okrelona wSEWI komunikacja Wydziau Techniki zwydziaami Wywiadu Skarbowego wterenie realizowana jest zaporednictwem niejawnego systemu MF ALERT, zwykorzystaniem poczty elektronicznej. Zatwierdzona przez Dyrektora Departamentu Wywiadu Skarbowego Instrukcja uytkownika Systemu Elektronicznej Wymiany Informacji okrela midzy innymi procedur skadania iakceptacji wniosku odostp dodanych telekomunikacyjnych, dostp dosystemw teleinformatycznych oraz kontrol tego dostpu. Zgodnie zInstrukcj, zSEWI korzysta mog jedynie pracownicy Wywiadu Skarbowego. Pracownik zwraca si zpisemn prob donaczelnika Wydziau Wywiadu Skarbowego. Pismo powinno zawiera wszelkie cechy sprawy (numer/kryptonim sprawy), dla ktrej zoone zostanie zlecenie wraz zuzasadnieniem. Pouzyskaniu pisemnej akceptacji przeoonego, pismo kierowane jest dowaciwej komrki obsugujcej system MF ALERT celem realizacji. Kontrola wykazaa, i wygenerowane zapisy zlece pod wzgldem ustalenia rodzaju inumeru zlecenia, numeru pisma, napodstawie ktrego zoono zlecenie, daty tworzenia zlecenia oraz wskazania nadawcy zapytania speniay wymagania okrelone wwewntrznych aktach prawnych. Zabezpieczenia organizacyjne itechniczne wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych Systemy teleinformatyczne zostay zabezpieczone wsposb uniemoliwiajcy nieuprawniony dostp doprzetwarzania danych telekomunikacyjnych. System teleinformatyczny skada si zpiciu stanowisk. Cztery stanowiska su doprzetwarzania danych odoperatorw. Jedno stanowisko MF ALERT oklauzuli poufnej suy doprzesyania wnioskw oraz uzyskanych danych telekomunikacyjnych pomidzy jednostkami organizacyjnymi Wywiadu Skarbowego. Wejcie dopokoju, wktrym znajduj si ww. stanowiska, jest moliwe jedynie dla osb uprawnionych. Uytkownikami systemu przetwarzania danych s upowanieni przez GIKS pracownicy Wydziau Techniki posiadajcy imienne karty mikroprocesorowe umoliwiajce indywidualne korzystanie zsystemw wymiany informacji. Doprzenoszenia danych pomidzy jawnymi systemami przedsibiorcw telekomunikacyjnych, aniejawnym systemem poczty elektronicznej wykorzystywane sprzenone pamici USB Flash Driver. Nie opracowano pisemnych procedur
46
przechowywania ww. nonikw, zabezpieczenia przed ich wyniesieniem oraz postpowania wprzypadku ich uszkodzenia. Przesyanie zlece doWydziau Techniki i otrzymywanie odpowiedzi jest realizowane zaporednictwem poczty elektronicznej. Odbiorca informacji zobligowany jest doodpowiedniego zabezpieczenia otrzymanych danych oraz rejestracji dokumentu pojego wydruku. Osoby upowanione dosigania podane telekomunikacyjne Zgodnie zZarzdzeniem Nr40 Ministra Finansw zdnia 26wrzenia 2011 r. zmieniajcym zarzdzenie wsprawie nadania statutw izbom celnym iurzdom celnym, wskad Izby Celnej wOpolu wesza komrka organizacyjna realizujca zadania zzakresu e-kontroli, ktra wykonuje tezadania narzecz caej Suby Celnej. Zwnioskami dooperatorw wystpowa Dyrektor Izby Celnej wOpolu lub pod jego nieobecno osoba penica obowizki Dyrektora. Upowanienie Generalnego Inspektora Kontroli Skarbowej (GIKS) douzyskiwania odpodmiotw prowadzcych dziaalno telekomunikacyjn ioperatorw wiadczcych usugi pocztowe danych, oktrych mowa wart.180c i180d ustawy Prawo telekomunikacyjne posiadao dziewiciu pracownikw Departamentu Wywiadu Skarbowego. Zlecenia mog skada uprawnieni pracownicy posiadajcy prawo dostpu doSystemu MF ALERT. Rejestr osb upowanionych przez Generalnego Inspektora Kontroli Skarbowej dowystpowania doprzedsibiorcw telekomunikacyjnych ioperatorw pocztowych zwnioskami oudostpnienie danych, prowadzony jest wformie elektronicznej. Wrejestrze odnotowana jest data, numer upowanienia, jego zakres oraz data upywu upowanienia. Przeprowadzone badanie wykazao, i wewszystkich przypadkach oinformacje zaporednictwem sieci telekomunikacyjnej wystpoway upowanione osoby. Sprawno iszybko pozyskiwania danych teleinformatycznych Nie wystpiy przypadki kwestionowania przez operatorw telekomunikacyjnych dania uzyskania danych telekomunikacyjnych, odmowy udostpnienia lub przekazywania informacji zopnieniem, ktre utrudniaoby wykonywanie zada jednostki. Ewidencjonowanie pozyskanych danych telekomunikacyjnych Ewidencja upowanie douzyskiwania iprzetwarzania danych telekomunikacyjnych, prowadzona jest przez Administratora Bezpieczestwa Informacji Izby Celnej wOpolu. Wokresie od1stycznia 2011 r. do30czerwca 2012 r. wystpowano zwnioskami odane telekomunikacyjne 26 razy wtrybie okrelonym wart.75 d. Ponadto urzdy celne uzyskiway dane telekomunikacyjne odoperatorw telekomunikacyjnych napodstawie wystpie wtrybie art.218 kpk wzw. zart.113 1 kks iart.122 1 pkt1 kks45 iotrzymay ogem wokresie objtym kontrol 484 odpowiedzi, zawierajcych 170 danych dotyczcych lokalizacji, 184 dane dotyczce wykazw pocze zdanego numeru i426 danych dotyczcych uytkownika. Departament Wywiadu Skarbowego korzystajc zuprawnie wynikajcych zart.36 b ustawy okontroli skarbowej, wokresie od2010 r. dokoca Ipoowy 2012 r. skierowa doprzedsibiorcw telekomunikacyjnych, cznie 10.338 wystpie. Najwiksza liczba wystpie miaa miejsce
45 Ustawa zdnia 10wrzenia 1999 r. Kodeks karny skarbowy (Dz.U. 2013 r. Nr186 j.t.).
47
w2010 r. 4.968. Dane teustalono napodstawie wyjanie, gdy Departament Wywiadu Skarbowego dokontroli przedoy jedynie baz danych telekomunikacyjnych (tzw. ewidencj) wygenerowan z raportu systemu poczty elektronicznej e-mail MS Outlook za okres od1stycznia 2012 r. do30czerwca 2012 r. Kontrolerom nie zostaa udostpniona baza danych telekomunikacyjnych zsystemu za2011 r. oraz ewidencja dokumentacji poszczeglnych zapyta wystosowanych wformie pisemnej zaokres od2011 r. dokoca Iprocza 2012 r., poniewa dokumentacja dotyczca ustale isprawdze uoperatorw telekomunikacyjnych zaten okres zostaa zniszczona. Postpowanie zezbdnymi danymi telekomunikacyjnymi Zgodnie zuregulowaniami wewntrznymi, wprzypadku danych, ktre nie swykorzystane podczas prowadzonych czynnoci, odbiorca informacji zobligowany jest dobezzwocznego ich usunicia zkomputera lub zniszczenia. Departament Wywiadu Skarbowego opracowa zasady postpowania ztymi danymi. Przyjta forma komisyjnego iprotokolarnego niszczenia wyej wymienionych danych bya zgodna zwytycznymi okrelonymi wustawie okontroli skarbowej. Pisma dotyczce wyej wymienionych danych izapytania pochodzce odkomrek wywiadu skarbowego wformie elektronicznej podlegaj zniszczeniu posporzdzeniu odpowiednich zestawie statystycznych. Nadzr ikontrola nad uzyskiwaniem, przetwarzaniem iniszczeniem danych telekomunikacyjnych W okresie objtym kontrol Wydzia Nadzoru iKontroli Departamentu Wywiadu Skarbowego Ministerstwa Finansw przeprowadzi 9 kontroli kompleksowych Wydziaw Wywiadu Skarbowego wUrzdach Kontroli Skarbowej, ktre objy rwnie zasadno uzyskiwania, wykorzystania iniszczenia danych telekomunikacyjnych. Wprzypadku stwierdzenia nieprawidowoci nakazywano ich usunicie. Inne kontrole ibadania audytowe nie byy prowadzone. 3.2.8. Urzd Komunikacji Elektronicznej Nadzr nad realizacj przez operatorw telekomunikacyjnych obowizku okrelonego wart.180g ust.1 Prawa telekomunikacyjnego Na koniecstycznia 2011 r. dorejestru przedsibiorcw telekomunikacyjnych (dalej: rejestr), oktrym mowa wart.10 ust.1 Prawa telekomunikacyjnego wpisanych byo 7814 przedsibiorcw. Wterminie ustawowym, tj.do 31stycznia nastpnego roku, informacje oktrych mowa wart.180g ust.1 ww. ustawy, zarok 2010 zoyo 117 przedsibiorcw. Poterminie ustawowym, ale przed terminem przesania przez Prezesa UKE informacji, oktrej mowa wart.180g ust.2 Ustawy doKomisji Europejskiej, tj.przed 17marca 2011 r., informacj zoyo 166 przedsibiorcw, apo tym terminie 25 przedsibiorcw. Nie przekazao informacji 7.506 przedsibiorcw. Nakoniecstycznia 2012 r. dorejestru wpisanych byo 7.549 przedsibiorcw. Wterminie ustawowym informacje, oktrych mowa wart.180g ust.1 ustawy, zarok 2011 zoyo 542 przedsibiorcw. Poterminie ustawowym, ale przed terminem przesania przez Prezesa UKE informacji, oktrej mowa wart.180g ust.2 ustawy doKomisji Europejskiej, tj.przed 30marca 2012 r., informacj zoyo 633 przedsibiorcw, apo tym terminie 73 przedsibiorcw. Nie przekazao informacji 6.301 przedsibiorcw.
48
W celu egzekwowania odprzedsibiorcw realizacji obowizkw wynikajcych zart.180g Ustawy, Prezes UKE podejmowa lub inicjowa nastpujce dziaania: wokresie poprzedzajcym termin zoenia informacji przez przedsibiorcw nastronie internetowej UKE zamieszczana bya informacja przypominajca oobowizku zoenia informacji, wraz zewzorem formularza itreci rozporzdzenia wprowadzajcego ten wzr; pracownicy Departamentu Spraw Obronnych UKE udzielali przedsibiorcom wyjanie odnonie sposobu izakresu realizacji obowizku; wroku 2012 wysane zostao drog elektroniczn wezwanie dozoenia informacji doprzedsibiorcw, ktrych adresy poczty elektronicznej znane byy pracownikom UKE, tj.143; w2011 r. wobec 12 przedsibiorcw prowadzono postpowania wyjaniajce iadministracyjne, wwyniku ktrych wydano 5 decyzji onaoeniu kar zaniezoenie lub spnione zoenie informacji; w2012 r. wobec 7 przedsibiorcw prowadzono 1 postpowanie kontrolne i6 postpowa wyjaniajcych, wwyniku ktrych wszczto 3 postpowania administracyjne wsprawie naoenia kar. Postpowania wyjaniajce ikontrolne wzwizku zniewypenieniem obowizku okrelonego wart.180g Prawa telekomunikacyjnego wszczynane byy przez Prezesa UKE wycznie naskutek skarg lub innych pism odinstytucji albo osb fizycznych, natomiast nie byy przeprowadzane kontrole planowe zinicjatywy wasnej Prezesa UKE. Wtoku tych postpowa Prezes UKE ustala fakt otrzymania przez przedsibiorcw zapyta, oktrych mowa wart.180g, poprzez wezwanie przedsibiorcw doudzielenia informacji oliczbie takich zapyta wtrybie art.6 ust.1 ww. ustawy lub napodstawie faktu pniejszego zoenia przez przedsibiorcw tej informacji poterminie ustawowym. Wuzasadnieniach decyzji onaoeniu kary zanaruszenie obowizku, oktrym mowa wart.180g ust.1, Prezes UKE wskazywa m. in. naskutek wpostaci nierzetelnej statystyki odnonie liczby da udostpnienia danych, kierowanej doKomisji Europejskiej. Najwysza Izba Kontroli ocenia negatywnie niewielk aktywno Prezesa UKE wpowyszym zakresie, wszczeglnoci ograniczenie dziaa nadzorczych wycznie dopodmiotw wskazanych wotrzymanych skargach. Wefekcie nie podjto przewidzianych przepisami prawa dziaa wstosunku chociaby doczci przedsibiorcw, ktrzy nie realizowali obowizku informacyjnego. Art.209 ust.1 pkt28 Prawa telekomunikacyjnego wsposb imperatywny okrela, e przedsibiorca niewywizujcy si zobowizku informacyjnego podlega karze. Obowizek powyszy ma nacelu nie tylko zapewnienie rzetelnoci sprawozda kierowanych doKomisji Europejskiej, com.in.podkrela Prezes UKE wnakadanych przez siebie wpojedynczych przypadkach karach, ale rwnie dostarczenie spoeczestwu obiektywnej informacji natemat zakresu ingerencji sub wprawa iwolnoci obywatelskie. Naley podkreli, i Prezes UKE nie dysponujc sprawozdaniami, oktrym mowa wart.180g ust.1 Prawa telekomunikacyjnego, nie moe rzetelnie okreli iloci udostpnionych danych, gdy nie jest moliwe ustalenie, czy przyczyn nienadesania sprawozdania jest niewystpienie przypadkw wskazanych www. artykule, czy te niewywizanie si przedsibiorcy znaoonego obowizku. Rzetelno informacji przekazywanych przez operatorw Informacje, oktrych mowa wart.180g ust.1 Prawa telekomunikacyjnego byy sporzdzane przez przedsibiorcw zgodnie zewzorem okrelonym wrozporzdzeniu Ministra Infrastruktury zdnia 30grudnia 2009 r. wsprawie wzoru formularza sucego doprzekazywania przez przedsibiorc telekomunikacyjnego Prezesowi Urzdu Komunikacji Elektronicznej informacji dotyczcych
49
udostpniania danych46, zwyjtkiem 7 przedsibiorcw, ktrzy zoyli teinformacje niezgodnie zewzorem lub winnej formie. Skadane przez przedsibiorcw informacje, poza sprawdzeniem poprawnoci wypenienia numeru RPT47 inazwy przedsibiorcy oraz matematycznej zgodnoci wypeniania poszczeglnych pozycji wformularzu, nie byy przez Prezes UKE weryfikowane. Wefekcie, pomimo e niektre informacje zawieray ewidentne bdy, nie zostay one wykryte. Przykadowo, jeden zprzedsibiorcw wykaza winformacji zalata 2010 i2011 otrzymanie zapyta wliczbie odpowiednio 1.365 i11.466 wycznie zaokres 1 miesica wstecz odzatrzymania danych, aw kolumnach 2-24 miesice wykaza 0 zapyta. Napytanie kontrolera przedsibiorca wyjani, e dane okrelone wart.180g zostay przez niego przedstawione wsposb bdny naskutek niezrozumienia treci formularza. Prezes UKE nie zwrci si doprzedsibiorcy ozweryfikowanie prawidowoci zestawienia. Inny zprzedsibiorcw, wraz zinformacj naformularzu, przedstawi szczegowy wykaz da udostpnienia danych. Informacje zwykazu rniy si odinformacji podanych naformularzu wzakresie liczby zapyta iczasu pomidzy zatrzymaniem danych, aich udostpnieniem. Pomimo tego UKE, nie podjo adnych dziaa wcelu wyjanienia rozbienoci. Najwysza Izba Kontroli, jako nierzetelny ocenia brak jakiejkolwiek, choby wyrywkowej, weryfikacji informacji przekazywanych przez przedsibiorcw. Art.199 inastpne Ustawy pozwalay Prezesowi UKE nakontrol wzakresie rzetelnoci przedkadanych przez przedsibiorcw informacji, wszczeglnoci dostp doniezbdnych dokumentw. Naley podkreli, i weryfikacja statystyczna iloci zrealizowanych da uprawnionych podmiotw nie musiaa si wiza zdostpem dodokumentw objtych tajemnic postpowa. Metodologia zliczania danych W ocenie Ministra Administracji iCyfryzacji, waciwego dospraw cznoci, danie odprzedsibiorcw telekomunikacyjnych ujawnienia objtych tajemnic telekomunikacyjn danych okrelonych wart.159 ust.1 pkt1 Prawa telekomunikacyjnego, wzakresie ograniczonym wycznie dodanych wymienionych wart.161 ust.2 pkt1-6 ww. ustawy (dane personalne), naley doda objtych obowizkiem sprawozdawczym okrelonym wart.180g ust.1 wzw. zart.180c ust.1 ustawy48. Dane personalne powinny by, wic wykazywane wformularzu okrelonym wrozporzdzeniu Ministra Infrastruktury z30grudnia 2009 r. W ocenie Prezesa UKE, wykazywanie wsprawozdaniu doKomisji Europejskiej zapyta odane personalne abonentw, bez powizania zinnymi danymi telekomunikacyjnymi, nie jest wymagane przez Komisj Europejsk. Spord 5 przedsibiorcw, ktrzy zrealizowali najwicej da udostpnienia danych, 4przedsibiorcw nie wykazywao zapyta wycznie opersonalia abonentw, poniewa wedug tych przedsibiorcw zapytania takie nie mieszcz si wramach okrelonych przez art.180g Prawa telekomunikacyjnego. Jeden zprzedsibiorcw, wskadanych doPrezesa UKE informacjach, uwzgldnia rwnie zapytania wycznie odane personalne abonentw. Niezalenie odprzyjtej interpretacji wzakresie wykazywania danych dotyczcych abonentw naley zauway, i informacje przekazywane przez UKE obywatelom iKomisji Europejskiej byy
50
46 Dz.U. z2010 r. Nr3, poz.15. 47 RPT numer wrejestrze przedsibiorcw telekomunikacyjnych. 48 Pismo DKSiW-096-1171/2012-IP zdnia 4grudnia 2012 r.
nierzetelne, gdy zostay oparte zarwno nainformacjach operatorw telekomunikacyjnych, ktrzy nie wliczali tego rodzaju danych, jak rwnie takich, ktrzy tedane wswoich sprawozdaniach wykazywali. Wocenie NIK, obowizkiem Prezesa UKE byo podjcie dziaa, ktre zapewniyby porwnywalno przedstawianych przez operatorw danych. Ustalono ponadto, i wszystkie przypadki dotyczce zapyta opersonalia abonentw za2011 r., wliczbie 513.857 wsprawozdaniu jednego zprzedsibiorcw zostay wykazane, jako dotyczce pierwszego miesica. Ponadto winformacjach za2010 i2011 r. uwzgldniono informacj jednego zprzedsibiorcw, e wszystkie przypadki udostpnienia danych, tj.1365 w2010 r. i11.466 r., nastpiy wcigu 1 miesica odzatrzymania, podczas gdy wykazanie wszystkich zapyta wpierwszej kolumnie byo wynikiem bdnego zrozumienia przez przedsibiorc treci formularza. W ocenie NIK, bdy temogy wpowanym stopniu zakci rozkad statystyczny zapyta wzakresie okresu, jakiego dotyczy zapytanie. Naley zwrci uwag, i dane prezentowane przez UKE byy przekazywane nie tylko Komisji Europejskiej dla celw statystycznych, ale rwnie brane pod uwag wtrakcie prowadzonych prac legislacyjnych nad nowelizacj Prawa telekomunikacyjnego, wzakresie okresu retencji danych istanowiy podstaw dla uzasadnienia skrcenia tego okresu do12 miesicy. NIK zwrcia ponadto uwag nafakt, i wujawnionych statystykach mogo dochodzi dozawyenia liczby zapyta, zewzgldu nakoniecznoci skadania da udzielenia informacji otych samych danych telekomunikacyjnych jednoczenie dokilku przedsibiorcw. Byo tozwizane zmoliwoci przeniesienia numeru doinnego operatora. Dane pozwalajce naokrelenie tego rodzaju przypadkw nie byy zbierane. *** Biorc pod uwag powyej wskazane ustalenia kontroli NIK, naley stwierdzi, iopracowywane przez Prezesa UKE informacje wzakresie wykorzystania przez suby danych retencyjnych nie odpowiaday stanowi rzeczywistemu. Prezentowane informacje sniepene, aprzedstawiane przez poszczeglne podmioty dane nieporwnywalne. Zewzgldu naopisane powyej bdy metodologiczne oraz zaniedbania, jakiekolwiek wnioskowanie statystyczne wprzedmiocie zakresu retencji danych wPolsce, jest wocenie NIK nieuprawnione. Sprawowanie przez Prezesa UKE kontroli nad realizacj przez przedsibiorcw obowizkw wzakresie retencji danych telekomunikacyjnych Nie wszyscy operatorzy iprzedsibiorcy telekomunikacyjni realizowali obowizek, oktrym mowa wart.180a ust.1 pkt1 i2 Prawa telekomunikacyjnego. Wlatach 2011-2012 Prezes UKE, wreakcji naskargi ipisma osb fizycznych, przedsibiorcw iinstytucji publicznych przeprowadzi 17postpowa kontrolnych obejmujcych realizacj obowizkw, oktrych mowa wart.180a, 180 c i180d ww. ustawy. Wich wyniku stwierdzono nienaleyte zabezpieczenie danych okrelonych wart.180a ust.1 u6 przedsibiorcw inieprzechowywanie danych abonentw przez 6 przedsibiorcw. Na6 przedsibiorcw naoono kary wcznej wysokoci 35.500 z. Weryfikacja przez Prezesa UKE usunicia przez przedsibiorcw nieprawidowoci stwierdzonych wtoku kontroli polegaa naprzyjciu owiadcze przedsibiorcw ousuniciu nieprawidowoci. Kryterium doboru przedsibiorcw dokontroli wypeniania obowizkw okrelonych wart.180a, 180c i180d ustawy by fakt uzyskania przez Prezesa UKE informacji wskazujcych naniewaciw
51
realizacj ww. obowizkw przez przedsibiorcw. Prezes UKE nie przeprowadza kontroli wzakresie prawidowoci realizacji przez przedsibiorcw obowizku niszczenia danych telekomunikacyjnych pookresie retencji, aw szczeglnoci zakresu danych, jakie przedsibiorcy przechowuj pookresie retencji, zuwzgldnieniem celowoci ilegalnoci ich przechowywania. W ocenie NIK, podejmowanie przez Prezesa UKE postpowa wyjaniajcych ikontrolnych wzakresie realizacji obowizkw okrelonych wart.180a, 180 c i180d Prawa telekomunikacyjnego wycznie napodstawie sygnaw zewntrznych byo niewystarczajce, dla zapewnienia naleytego przechowywania, udostpniania iterminowego niszczenia danych telekomunikacyjnych. 3.2.9. Sdy Przedmiotem kontroli NIK nie bya, stosownie doogranicze ustawowych, dziaalno orzecznicza wtym zakresie zebrano jedynie informacje ocharakterze statystycznym. Naley jednake zauway, i wszeregu przypadkw, wktrych wystpowano oprzekazanie danych telekomunikacyjnych, operatorzy odmwili ich udostpnienia, wskazujc nabrak podstawy doformuowania takiego dania przez sdy lub wzgldy formalno-prawne. Sdy nie pozyskiway danych zwykorzystaniem systemw teleinformatycznych udostpnienie danych telekomunikacyjnych nastpowao wformie pisemnej, pootrzymaniu przez operatora stosownego postanowienia lub zarzdzenia wtej sprawie. Sd Okrgowy wBydgoszczy Wszystkie uzyskane dane telekomunikacyjne zabezpieczone byy poprzez wczenie ich doakt spraw, ktrych dotyczyy ibyy chronione natych samych zasadach, jak inne dokumenty zgromadzone wpostpowaniu sdowym49. W badanym okresie Sd skierowa do operatorw telekomunikacyjnych 29 wnioskw oudostpnienie danych telekomunikacyjnych, ztego 11 wsprawach karnych i18 wsprawach cywilnych. W jednym przypadku, wsprawie prowadzonej przez IWydzia Cywilny, wydanie wniosku byo poprzedzone uzyskaniem zgody osoby, ktrej dane miay by udostpnione. Natomiast wewszystkich 17 badanych przypadkach spraw prowadzonych przez X Wydzia Cywilny Rodzinny, wktrych wnioskowano odane telekomunikacyjne, Sd Okrgowy (SO) nie uzyska zgody nadawcy lub odbiorcy, ktrych dane tedotycz50. W16 przypadkach operatorzy odmwili udostpnienia danych danych. Sdy nie podejmoway dalszych dziaa wcelu uzyskania danych danych. Ustalono ponadto, e w16 przypadkach wnioskowano owydanie nie tylko bilingw pocze, alerwnie outrwalone treci sms. Naley zwrci uwag, e nie jest moliwe udostpnienie treci sms, bez wczeniejszego zarzdzenia kontroli iutrwalania rozmw telefonicznych, cojest moliwe wtrybie art.237 k.p.k., wcelu ciganie jedynie niektrych, szczeglnie powanych przestpstw51.
49 Kwesti dostpu doakt sdowych reguluj przepisy postpowania karnego icywilnego. 50 Wszystkie wnioski dotyczyy spraw rozwodowych. 51 W art.237 1 k.p.k. okrelono, e powszczciu postpowania sd nawniosek prokuratora moe zarzdzi kontrol
iutrwalanie treci rozmw telefonicznych wcelu wykrycia iuzyskania dowodw dla toczcego si postpowania lub zapobieenia popenieniu nowego przestpstwa. Natomiast wart.237 3 k.p.k. okrelono, e kontrola iutrwalanie treci rozmw telefonicznych sdopuszczalne tylko wtedy, gdy toczce si postpowanie lub uzasadniona obawa popenienia nowego przestpstwa dotyczy, zabjstwa, naraenia naniebezpieczestwo powszechne lub sprowadzenia katastrofy, handlu ludmi, uprowadzenia osoby, wymuszania okupu, uprowadzenia statku powietrznego lub wodnego, rozboju, kradziey rozbjniczej lub wymuszenia rozbjniczego, zamachu naniepodlego lub integralno pastwa,
52
Wydzia III Karny wokresie objtym kontrol wystpowa 11 razy odane telekomunikacyjne wpiciu sprawach sdowych, wtym 4 niezakoczonych. Zebrano dane natemat 9 takich przypadkw52. Wewszystkich postanowieniach, jako podstaw prawn dania danych telekomunikacyjnych wskazano art.218 1 k.p.k. Zgodnie zart.218 2 k.p.k. postanowienie Sdu owydanie danych telekomunikacyjnych, oktrym mowa w1, dorcza si adresatom korespondencji oraz abonentowi telefonu lub nadawcy, ktrego wykaz pocze lub innych przekazw informacji zosta wydany. Dorczenie postanowienia moe by odroczone naczas oznaczony, niezbdny zewzgldu nadobro sprawy, lecz nie pniej ni doczasu prawomocnego zakoczenia postpowania. Wewszystkich 9 skontrolowanych przypadkach SO nie dorczy ww postanowienia. Ponadto stwierdzono, i Sd w6 przypadkach53 wystpowa odane telekomunikacyjne obejmujce okres przekraczajcy 24 miesice oddaty wydania postanowienia. Sd Okrgowy wSzczecinie Wszystkie uzyskane dane telekomunikacyjne zabezpieczone byy poprzez wczenie ich doakt spraw, ktrych dotyczyy ichronione wtaki sam sposb jak pozostae dokumenty procesowe. W okresie objtym kontrol Sd 28 razy w19 sprawach (3 karnych oraz 16 cywilnych irodzinnych) wystpowa o uzyskanie danych telekomunikacyjnych. Spord 19 spraw operatorzy telekomunikacyjni odmwili udostpnienia danych danych telekomunikacyjnych w14 sprawach (tj.74% spraw, wktrych wystpowano otakie dane), wskazujc jako przyczyn brak podstawy prawnej dotakiego wystpienia iuchylenia tajemnicy telekomunikacyjnej lub naniewykonalno postanowienia Sdu zinnych formalno-prawnych przyczyn, wtym: w 9 sprawach (z 19, tj.47%) zewzgldu nabrak wskazania podstawy prawnej; w 8 sprawach (z 19, tj.42%) zewzgldu naokres zajaki dano udostpnienia danych telekomunikacyjnych, ktry przekracza 24 miesiczny okres zatrzymywania iprzechowywania tych danych przez przedsibiorcw telekomunikacyjnych okrelony wart.180a ustawy Prawo telekomunikacyjne; w2sprawach cywilnych (z 16, tj.13%), zewzgldu napowoanie si naart.248 k.p.c., jako podstaw prawn dania danych telekomunikacyjnych; w jednej sprawie cywilnej rodzinnej wystpujc odane telekomunikacyjne, Sd powoa si naprzepisy k.p.k. jako podstaw prawn wystpienia odane telekomunikacyjne wskazano art.180 1 iart.218 1 k.p.k.; w jednej sprawie cywilnej rodzinnej dano treci wiadomoci tekstowych wychodzcych iprzychodzcych nawskazany numeru telefonu.
zamachu nakonstytucyjny ustrj pastwa lub jego naczelne organy, albo najednostk Si Zbrojnych Rzeczypospolitej Polskiej, szpiegostwa lub ujawnienia informacji niejawnych oklauzuli tajnoci tajne lub cile tajne, gromadzenia broni, materiaw wybuchowych lub radioaktywnych, faszowania oraz obrotu faszywymi pienidzmi, rodkami lub instrumentami patniczymi albo zbywalnymi dokumentami uprawniajcymi dootrzymania sumy pieninej, towaru, adunku albo wygranej rzeczowej albo zawierajcymi obowizek wpaty kapitau, odsetek, udziau wzyskach lub stwierdzenie uczestnictwa wspce, wytwarzania, przetwarzania, obrotu iprzemytu rodkw odurzajcych, prekursorw, rodkw zastpczych lub substancji psychotropowych, zorganizowanej grupy przestpczej, mienia znacznej wartoci, uycia przemocy lub groby bezprawnej w zwizku z postpowaniem karnym, apownictwa i patnej protekcji, strczycielstwa, kuplerstwa isutenerstwa, przestpstw okrelonych wrozdziale XVI k.k. oraz wart.5-8 Rzymskiego Statutu Midzynarodowego Trybunau Karnego, sporzdzonego wRzymie dnia 17lipca 1998 r. (Dz.U. z2003 r. Nr78, poz.708). 52 Akta 2 pozostaych spraw znajdoway si poza siedzib SO. 53 Tj.: pi wX Wydziale Cywilnym Rodzinnym ijeden wI Wydziale Cywilnym.
53
Ponadto stwierdzono, e: w 3 sprawach cywilnych zapytania doprzedsibiorcw telekomunikacyjnych skierowano bez wczeniejszego wniosku (zgody) abonenta, oktrej mowa wart.159 ust.2 pkt2 ustawy Prawo telekomunikacyjne, aw 12 sprawach cywilnych rodzinnych nie poinformowano przedsibiorcy telekomunikacyjnego otakiej zgodzie lub wniosku abonenta; we wszystkich 3 sprawach karnych dorczenie postanowie nie byo odraczane, apostanowienia tenie byy przekazywane abonentom, pomimo istnienia obowizku okrelonego wart.218 2 k.p.k. Sdy nie podejmoway dalszych dziaa wcelu uzyskania danych danych. Sd Okrgowy wWarszawie Prezes Sdu Okrgowego wWarszawie uniemoliwia przeprowadzenie kontroli. Ustalenia dokonane przed momentem, gdy kontrolerom uniemoliwiono przeprowadzenia dalszych czynnoci, wskazyway naistotne ryzyko zaistnienia przypadkw analogicznych, jak opisane powyej54. 3.2.10. Prokuratury Prokuratury, wcelu uzyskania danych telekomunikacyjnych, zasadniczo korzystay zformy pisemnej. Zapomoc systemw teleinformatycznych uzyskiwano dane odjednego zprzedsibiorcw telekomunikacyjnych napodstawie porozumienia zawartego przez Prokuratora Generalnego. Spord skontrolowanych podmiotw, zapomoc systemw teleinformatycznych odoperatorw innych ni ww., dane pozyskiwaa jedynie Prokuratura weWrocawiu (na podstawie porozumie zawartych przez Prokuratora Okrgowego). Wykorzystanie systemw teleinformatycznych znaczco skracao czas niezbdny douzyskania danych danych. Prokuratura Okrgowa wWarszawie Prokurator Okrgowy wWarszawie okreli zasady bezpieczestwa oraz organizacji pracy przy uzyskiwaniu danych telekomunikacyjnych, o ktrych mowa w art. 180c i d Prawa telekomunikacyjnego, a take procedury korzystania z tego systemu oraz zapewni przekazywanie prokuratorom danych telekomunikacyjnych udostpnionych zapomoc systemu teleinformatycznego, zgodnie ztreci wydanych przez nich postanowie. W trakcie kontroli stwierdzono jednake, e wydawanie zarzdze odorczeniu postanowie55 przez prokuratorw, atake ich dorczanie odbywao si znaruszeniem terminu okrelonego wart.218 2 zd. 2 k.pk. Stwierdzono, e w43 przypadkach spord 74 zbadanych (tj.w 58%) nie wydawano zarzdze odorczeniu postanowie wydanych napodstawie art.218 1 kpk abonentom, wydawano jepo upywie terminu wskazanego wart.218 2 zd. 2 kpk lub dorczano postanowienia poupywie tego terminu, costanowi naruszenie art.218 2 zd. 2 kpk56.
54 NIK powiadomia otym Ministra Sprawiedliwoci. Kwestia tazostaa szczegowo omwiona nastr. 21-22 Informacji. 55 Postanowienia sdorczane wformie odpisw. 56 Art.218 2 k.p.k. stanowi, e postanowienie takie dorcza si m.in. abonentowi telefonu, ktrego wykaz pocze lub
54
innych przekazw informacji wydano. Dorczenie tomoe by odroczone naczas oznaczony, niezbdny zewzgldu nadobro sprawy, lecz nie pniej ni doczasu prawomocnego zakoczenia postpowania. Skutkiem powyszego naruszono uprawnienia abonentw telefonw, ktrych dotyczyy ww. postanowienia.
Stwierdzono ponadto pojedyncze przypadki dania udostpnienia danych telekomunikacyjnych zaokres przekraczajcy 24 m-ce oraz dania udostpnia treci przekazw telekomunikacyjnych wniewaciwym trybie. Prokuratura Okrgowa wKatowicach Prokurator Okrgowy wKatowicach okreli zasady bezpieczestwa oraz organizacji pracy przy uzyskiwaniu danych telekomunikacyjnych, oktrych mowa wart.180c id Prawa telekomunikacyjnego, atake procedury korzystania ztego systemu oraz zapewni przekazywanie prokuratorom danych telekomunikacyjnych udostpnionych zapomoc systemu teleinformatycznego, zgodnie ztreci wydanych przez nich postanowie. Jednak wydawanie zarzdze odorczeniu postanowie iich dorczanie odbywao si znaruszeniem terminu okrelonego wart.218 2 ustawy kpk. Badaniem objto 11 postanowie (wydanych wtrakcie 5 postpowa przygotowawczych), stwierdzajc e 9 znich wysano doabonentw dopiero wtrakcie kontroli NIK, pozadaniu przez kontrolera pyta odnonie braku ich dorczenia. Wprzypadku dwch zbadanych postanowie nie byo obowizku dorczenia ich abonentom, poniewa operatorzy sieci nie wydali danych danych telekomunikacyjnych. Ponadto ustalono, e w30 przypadkach (36,1% zbadanych), wwydanych wWydziaach V iVI Prokuratury postanowieniach, dano odoperatorw publicznej sieci telekomunikacyjnej udostpnienia danych telekomunikacyjnych za okres duszy, ni byli oni zobowizani jeprzechowywa (tj.powyej 24 miesicy oddnia poczenia lub nieudanej prby poczenia). Ponadto stwierdzono nieprzestrzeganie przepisw wewntrznych wzakresie przechowywania kodw PIN doSystemu Retencji iUdostpniania Danych nie byy one waciwie zabezpieczone. Prokuratura Okrgowa wRzeszowie Obowizujce wProkuraturze procedury wewntrzne dotyczce zabezpieczenia waktach postpowania przygotowawczego danych telekomunikacyjnych przed ich udostpnieniem osobom nieupowanionym reguloway wszystkie istotne, zpunktu widzenia zapewnienia realizacji celw, dla ktrych przewidziano uzyskiwanie danych telekomunikacyjnych. Procedury bezpieczestwa danych telekomunikacyjnych zapisanych wsystemie lub nanoniku informatycznym, sposb ich zabezpieczenia oraz reagowania wprzypadku wystpienia zagroe gwarantoway bezpieczestwo, poufno, integralno irozliczalno danych telekomunikacyjnych. Przeprowadzone w trakcie kontroli ogldziny strefy, w ktrej przechowywane s dane telekomunikacyjne potwierdziy, e ryzyka zwizane zbezpieczestwem, poufnoci, integralnoci irozliczalnoci danych telekomunikacyjnych zostay zminimalizowane. W kontroli ustalono, e wystpiy przypadki braku dorczenia abonentom telefonw postanowie, napodstawie ktrych uzyskano wykaz pocze zich telefonw, mimo prawomocnego zakoczenia prowadzonych postpowa przygotowawczych. Spord objtych kontrol 40 postanowie, wydanych na podstawie art. 218 1 kpk, adne nie zostao dorczone abonentom telefonw lub nadawcom, ktrych wykazy pocze lub innych przekazw informacji zostay przekazane Prokuraturze, doczasu prawomocnego ich zakoczenia. Wtrakcie trwania kontroli, prokuratorzy prowadzcy tepostpowania wydali niezbdne zarzdzenia wzakresie realizacji dorcze.
55
Prokuratura Okrgowa weWrocawiu Wewntrzne uregulowania organizacyjne, wprowadzone przez Prokuratora Okrgowego gwarantoway waciw realizacj zada zwizanych zwykorzystaniem danych retencyjnych. NIK stwierdzia prawidow organizacj systemu pozyskiwania danych telekomunikacyjnych, naleyte zabezpieczenie materiaw przed dostpem osb nieuprawnionych. Dane telekomunikacyjne byy pozyskiwane woparciu owaciw podstaw prawn iwycznie przez osoby uprawnione. Pozyskiwane materiay byy w sposb waciwy zabezpieczane przed dostpem osb nieuprawnionych. Transmisja danych drog elektroniczn bya realizowana wycznie przez wyznaczone osoby, przy zastosowaniu indywidualnych kart dostpu itokenw. Przesyanie danych przez operatorw odbywao si zwykorzystaniem zaszyfrowanych stron internetowych (htpps) za dostarczanie materiaw waciwym prokuratorom poprzez wyizolowan komputerow sie wewntrzn Prokuratury. Pozyskiwane dane telekomunikacyjne, jako element akt gwnych postpowa byy przechowywane wycznie wgabinetach prokuratorw, wmetalowych szafach. W dziaalnoci Prokuratury Okrgowej weWrocawiu wzakresie realizacji obowizkw ustawowych zwizanych zpozyskiwaniem danych telekomunikacyjnych nie stwierdzono nieprawidowoci. 3.2.11. Przedsibiorcy telekomunikacyjni Kontrola operatorw telekomunikacyjnych zostaa przeprowadzona przez GIODO. Dane ujte wniniejszym punkcie Informacji owynikach kontroli zostay przedstawione napodstawie przygotowanego przez GIODO Sprawozdanie zkontroli zgodnoci przetwarzania danych zprzepisami oochronie danych osobowych przeprowadzonych uoperatorw publicznej sieci telekomunikacyjnej, dostawcw publicznie dostpnych usug telekomunikacyjnych zdnia 30listopada 2012 r. Wszystkie skontrolowane podmioty zostay wpisane doRejestru przedsibiorcw telekomunikacyjnych prowadzonego przez Prezesa Urzdu Komunikacji Elektronicznej57. Realizacja obowizku zatrzymywania danych Objci kontrolami przedsibiorcy telekomunikacyjni prawidowo realizowali wskazany wart.180a ust.1 pkt1 Prawa telekomunikacyjnego58, obowizek zatrzymania iprzechowywania danych, oktrych mowa wart.180c Prawa telekomunikacyjnego59. Dane retencyjne udostpniane byy w formie elektronicznej Agencji Bezpieczestwa Wewntrznego, Centralnemu Biuru Antykorupcyjnemu, Policji, Subie Kontrwywiadu Wojskowego, Stray Granicznej, Generalnemu Inspektorowi Kontroli Skarbowej iandarmerii Wojskowej, atake Prokuraturze Generalnej (przez jednego zoperatorw). Pozostaym uprawnionym podmiotom,
57 Wszelkie informacje oraz dokumenty przekazane przez przedsibiorcw wzwizku zkontrolami objte stajemnic 58
59
56
przedsibiorstwa, oktrej mowa wart.11 ust.4 ustawy zdnia 16kwietnia 1993 r. ozwalczaniu nieuczciwej konkurencji (Dz.U. z2003 r. Nr153, poz.1503 zezm.). Art.180a ust. 1.Z zastrzeeniem art.180c ust.2 pkt2, operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostpnych usug telekomunikacyjnych sobowizani nawasny koszt: 1) zatrzymywa iprzechowywa dane, oktrych mowa wart.180c, generowane wsieci telekomunikacyjnej lub przez nich przetwarzane, naterytorium Rzeczypospolitej Polskiej, przez okres 24 miesicy, liczc oddnia poczenia lub nieudanej prby poczenia, az dniem upywu tego okresu dane teniszczy, zwyjtkiem tych, ktre zostay zabezpieczone, zgodnie zprzepisami odrbnymi. Tj.danych niezbdnych doustalenia zakoczenia sieci, telekomunikacyjnego urzdzenia kocowego, uytkownika kocowego inicjujcego poczenie oraz zakoczenia sieci, telekomunikacyjnego urzdzenia kocowego, uytkownika kocowego, doktrego kierowane jest poczenie; okrelenia daty igodziny poczenia oraz czasu jego trwania, okrelenie rodzaju poczenia, okrelenie lokalizacji telekomunikacyjnego urzdzenia kocowego.
gwnie sdom iprokuraturom, dane retencyjne udostpniane sna podstawie wydanych przez nie postanowie wformie pisemnej. Dane retencyjne byy udostpniane zapomoc systemw teleinformatycznych przewanie zapomoc przegldarki internetowej wszyfrowanej sesji https. Dostp dosystemu informatycznego posiadali tylko upowanieni pracownicy uprawnionych podmiotw, napodstawie nadanych uprawnie oraz specjalnie wydanych dla nich certyfikatw. Certyfikaty teumieszczane byy naindywidualnych kartach mikroprocesorowych ibyy uywane podczas logowania dosystemu. Logowanie wymagao rwnie wprowadzenia kodu PIN. Pozalogowaniu upowaniony uytkownik, wzalenoci odnadanych uprawnie mg zada zapytanie wzakresie danych retencyjnych. Niektre skontrolowane podmioty realizoway obowizek, oktrym mowa w180a ust.1 pkt1 Prawa telekomunikacyjnego, samodzielnie. Cz powierzya, wcaoci lub wczci, realizacj tego obowizku, zgodnie zart.180b ust.2 Prawa telekomunikacyjnego60, (np.w zakresie usugi poczty elektronicznej, telefonii stacjonarnej) innym podmiotom, napodstawie zawartych wtym zakresie umw. Ponadto kontrolowane podmioty speniay obowizek zatrzymywania iprzechowywania, atake udostpniania danych retencyjnych narzecz operatorw wirtualnych, korzystajcych zich infrastruktury, nazasadach okrelonych wumowach zawartych ztymi operatorami. Zabezpieczenie danych osobowych Zgodnie zprzepisami art.180e ustawy Prawo telekomunikacyjne, wcelu ochrony danych, oktrej mowa wart.180a ust.1 pkt3, przedsibiorcy telekomunikacyjni stosowali odpowiednie rodki techniczne iorganizacyjne, ktre zapewniay dostp dotych danych jedynie upowanionym pracownikom. Dostp dodanych retencyjnych wobjtych kontrol podmiotach posiadali upowanieni pracownicy, ujci wewidencjach osb zatrudnionych przy przetwarzaniu danych osobowych, oktrych mowa wart.39 ust.1 ustawy oochronie danych osobowych61. Przedsibiorcy telekomunikacyjni prowadzili dokumentacj opisujc sposb przetwarzania danych orazrodki techniczne iorganizacyjne zapewniajce ochron przetwarzanych danych osobowych, tj.polityk bezpieczestwa iinstrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych. W kontrolowanych podmiotach wyznaczeni zostali administratorzy bezpieczestwa informacji (art.36 ust.3 ustawy62). Ponadto, sprawowana bya kontrola nad tym, jakie dane osobowe, kiedy iprzez kogo zostay dozbioru wprowadzone oraz komu byy przekazywane (art.38 ustawy63). Dane, oktrych mowa wart.180c Prawa telekomunikacyjnego, dla ktrych upyn okres 24miesicy, liczc oddnia poczenia lub nieudanej prby poczenia byy usuwane zsystemw
60 Art.180b ust.1 obowizek, oktrym mowa wart.180a ust.1, moe by wykonywany wsplnie przez dwch lub wicej
61 62 63
operatorw publicznej sieci telekomunikacyjnej lub dostawcw publicznie dostpnych usug telekomunikacyjnych. Ust.2. operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostpnych usug telekomunikacyjnych moe powierzy realizacj obowizku, oktrym mowa wart.180a ust.1, wdrodze umowy, innemu przedsibiorcy telekomunikacyjnemu. Powierzenie tonie zwalnia powierzajcego zodpowiedzialnoci zarealizacj tego obowizku. Art.39 ust.1 administrator danych prowadzi ewidencj osb upowanionych doich przetwarzania, ktra powinna zawiera: 1) imi inazwisko osoby upowanionej, 2) dat nadania iustania oraz zakres upowanienia doprzetwarzania danych osobowych, 3) identyfikator, jeeli dane sprzetwarzane wsystemie informatycznym. Art.36 ust.3 administrator danych wyznacza administratora bezpieczestwa informacji, nadzorujcego przestrzeganie zasad ochrony, oktrych mowa wust.1, chyba e sam wykonuje teczynnoci. Art.38 administrator danych jest obowizany zapewni kontrol nad tym, jakie dane osobowe, kiedy iprzez kogo zostay dozbioru wprowadzone oraz komu sprzekazywane.
57
informatycznych automatycznie, poprzez wdroenie niezbdnych mechanizmw wtych systemach (zdefiniowanie procedur dotyczcych usuwania danych) lub rcznie przez administratora systemu, bd innego upowanionego pracownika. Udostpnianie danych retencyjnych wsprawach innych, ni przestpstwa Stwierdzono przypadki udostpniania danych sdom wsprawach owykroczenia, napodstawie postanowie tych sdw. Ponadto operatorzy udostpniali dane telekomunikacyjne sdom cywilnym oraz komornikom. Jako podstaw dania danych wskazywano art.248 kpc64, natomiast wprzypadku komornikw sdowych art.2 ust.5 ustawy zdnia 29sierpnia 1997 r. okomornikach sdowych iegzekucji65. Komornikom sdowym udostpniane byy naich wniosek informacje onumerach rachunkw bankowych, zktrych opacane byy rachunki zausugi telekomunikacyjne. Cz objtych kontrol podmiotw nie udostpniaa danych retencyjnych sdom cywilnym oraz komornikom. Stanowisko tobyo uzasadniane tym, e przepisy Prawa Telekomunikacyjnego (art.159 ust.4) jak iKodeksu Postpowania Cywilnego (art.248 iin.) nie mog stanowi podstawy ujawnienia tajemnicy telekomunikacyjnej, np.w zakresie udostpniania przez operatorw bilingw napotrzeby spraw rozwodowych. Jak wskaza jeden zoperatorw, wlatach 20092012 pracownicy, wtym czonkowie Zarzdu byli karani grzywnami wzwizku znieudostpnieniem danych telekomunikacyjnych. Jednoczenie, wwyniku postpowa odwoawczych, uzyskiwano orzeczenia potwierdzajce zasadno postpowania operatora wtych sprawach. W zwizku zdu iloci zapyta oinformacje niebdce danymi retencyjnymi, np.treci sms, naswoich stronach internetowych przedsibiorcy telekomunikacyjni zamieszczali wskazwki majce nacelu uatwienie formuowanie zapyta odane retencyjne. Ustalenia NIK zwizane zfunkcjonowaniem operatorw telekomunikacyjnych Kontrola prowadzona wpodmiotach uzyskujcych dane telekomunikacyjne wykazaa, i systemy teleinformatyczne generuj dane telekomunikacyjne wzakresie szerszym, ni tojest okrelone wtreci postanowie, zawierajcych danie udostpnienia danych telekomunikacyjnych oraz zwolnienie ztajemnicy telekomunikacyjnej. Stanowio tonaruszenie art.160 ust.166, wzwizku zart.159 ust.1 pkt3-567 iust.368 ustawy Prawo telekomunikacyjne oraz art.218 1 kpk69.
64 Art.2481 Kpc kady obowizany jest przedstawi nazarzdzenie sdu woznaczonym terminie imiejscu dokument 65 66 67
68 69
58
znajdujcy si wjego posiadaniu istanowicy dowd faktu istotnego dla rozstrzygnicia sprawy, chyba e dokument zawiera informacje niejawne. Dz.U. z2011 r. Nr231 poz.1376 zezm. Art.160 ust.1 podmiot uczestniczcy wwykonywaniu dziaalnoci telekomunikacyjnej wsieciach publicznych oraz podmioty znim wsppracujce sobowizane dozachowania tajemnicy telekomunikacyjnej. Art. 159 ust. 1 pkt 3-5 tajemnica komunikowania si w sieciach telekomunikacyjnych, zwana dalej tajemnic telekomunikacyjn, obejmuje dane transmisyjne, ktre oznaczaj dane przetwarzane dla celw przekazywania komunikatw wsieciach telekomunikacyjnych lub naliczania opat zausugi telekomunikacyjne, wtym dane lokalizacyjne, ktre oznaczaj wszelkie dane przetwarzane wsieci telekomunikacyjnej wskazujce pooenie geograficzne urzdzenia kocowego uytkownika publicznie dostpnych usug telekomunikacyjnych; dane olokalizacji, ktre oznaczaj dane lokalizacyjne wykraczajce poza dane niezbdne dotransmisji komunikatu lub wystawienia rachunku; dane oprbach uzyskania poczenia midzy zakoczeniami sieci, wtym dane onieudanych prbach pocze, oznaczajcych poczenia midzy telekomunikacyjnymi urzdzeniami kocowymi lub zakoczeniami sieci, ktre zostay zestawione inie zostay odebrane przez uytkownika kocowego lub nastpio przerwanie zestawianych pocze. Art.159 ust.3 zwyjtkiem przypadkw okrelonych ustaw, ujawnianie lub przetwarzanie treci albo danych objtych tajemnic telekomunikacyjn narusza obowizek zachowania tajemnicy telekomunikacyjnej. Art. 218 1 kpk urzdy, instytucje i podmioty prowadzce dziaalno w dziedzinie poczty lub dziaalno telekomunikacyjn, urzdy celne oraz instytucje iprzedsibiorstwa transportowe obowizane swyda sdowi lub
Najwysza Izba Kontroli, stosownie doart.63 ust.3 ustawy oNIK, zawiadomia Prezesa Urzdu Komunikacji Elektronicznej onaruszeniu obowizku zachowania tajemnicy telekomunikacyjnej przez niektrych przedsibiorcw telekomunikacyjnych. Kontrol wtym zakresie prowadzi rwnie GIODO. 3.2.12. Retencja danych aprawa iwolnoci obywatelskie Pozyskiwanie danych telekomunikacyjnych stanowi istotn ingerencj wsfer praw iwolnoci obywatelskich. WPolsce, kraju liczcym 37mln obywateli, jest ponad 58mln abonentw, copozwala zaoy, i praktycznie kady obywatel dysponuje telefonem. Dzisiejsza technologia, pozwala wstopniu niespotykanym nigdy wczeniej, gromadzi olbrzymi ilo danych okadym obywatelu nie tylko, zkim, kiedy ijak czsto si kontaktowa, czy gdzie wdanym momencie przebywa, ale rwnie np.o numerze posiadanego przez niego rachunku bankowego czy karty patniczej. Poczenie tych danych zinformacjami dostpnymi winnych rdach (bazy administracji pastwowej, portale spoecznociowe itp.) oraz wykorzystanie zaawansowanych narzdzi informatycznych doich analizy (np.w celu tworzenia profili zachowa) powoduje, e sfera naszej prywatno ulega znaczcemu ograniczeniu. Nakwesti t zwracaj nie tylko organizacje bronice praw iwolnoci obywatelskich70, ale rwnie organy pastwa powoane doich ochrony71. Obok prawa doprywatnoci, ktrego elementem skadowym jest wolno iochrona tajemnicy komunikowania si, jedn znajistotniejszych wartoci dla kadego czowieka jest bezpieczestwo. Jak wskazuj przedstawiciele sub iformacji powoanych dojego ochrony, skuteczne zapobieganie popenieniu przestpstw iich ciganie nie jest obecnie moliwe, bez zapewnienia subom pastwowym dostpu doinformacji, wtym dostpu dodanych telekomunikacyjnych. Dane tezawieraj bowiem wartociowe lady oraz dowody wykorzystywane dozapobiegania przestpstwom iich cigania oraz dla zagwarantowania wymiaru sprawiedliwoci wsprawach karnych. Wskazuj oni, e ich wykorzystanie doprowadzio dowyrokw skazujcych zaprzestpstwa, wsprawach wktrych bez zatrzymywania danych nie udaoby si nigdy rozwika. Podkrelaj rwnie inny pozytywny aspekt wykorzystania tego rodka doprowadzi on dooczyszczenia zzarzutw szeregu niewinnych osb, bez koniecznoci stosowania instrumentw bardziej ingerujcych wprywatno, jak podsuchy czy rewizja wmiejscu zamieszkania. Dyskusja naten temat toczy si nie tylko wPolsce. Wswoim raporcie Komisja Europejska72 ocenia, izatrzymywanie danych jest cennym narzdziem dla systemw wymiaru sprawiedliwoci wsprawach
prokuratorowi, nadanie zawarte wpostanowieniu, korespondencj iprzesyki oraz dane, oktrych mowa wart.180c i180d ustawy zdnia 16lipca 2004 r. Prawo telekomunikacyjne (Dz.U. Nr171, poz.1800, zpn. zm.), jeeli maj znaczenie dla toczcego si postpowania. Tylko sd lub prokurator maj prawo jeotwiera lub zarzdzi ich otwarcie. Np.Helsiska Fundacja Praw Czowieka Zobacz (www.hfhr.pl), Fundacja Panoptykon (www.panoptykon.org). Rzecznik Praw Obywatelskich zoya doTrybunau Konstytucyjnego dwa wnioski ozbadanie przepisw uprawniajcych policj, suby specjalne iinne podmioty odpowiadajce zabezpieczestwo iporzdek publiczny dopozyskiwania danych telekomunikacyjnych (sygn. K 23/11 sprawa poczona zK 21/12, K 48/12, K 34/11) . RPO wprzedmiotowych wnioskach wystpia m.in. ostwierdzenie zgodnoci art.36b ust.5 ustawy zdnia 28wrzenia 1991 r. okontroli skarbowej, art.28 ustawy zdnia 24maja 2002 r. oAgencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu, art.18 ustawy zdnia 9czerwca 2006 r. oCentralnym Biurze Antykorupcyjnym, art.32 ustawy zdnia 9czerwca 2006 r. oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego, art.75d ust.1 ustawy zdnia 27sierpnia 2009 r. oSubie Celnej zKonstytucj (www. trybunal.gov.pl). Sprawozdanie Komisji dla Rady iParlamentu Europejskiego z18kwietnia 2011 r. zatytuowane Sprawozdanie zoceny dyrektywy wsprawie zatrzymywania danych (dyrektywa 2006/24/WE), KOM(2011) 225 wersja ostateczna. Sprawozdanie tospotkao si zkrytyk Europejskiego Inspektora Ochrony Danych Osobowych zobacz: Opinia Europejskiego Inspektora Ochrony Danych natemat sprawozdania zoceny Komisji dla Rady iParlamentu Europejskiego wsprawie dyrektywy
70 71
72
59
karnych oraz organw cigania wUE. Wswoim sprawozdaniu podkrelia, i zatrzymanie danych naley donarzdzi dochodzeniowych niezbdnych dotego, by sprosta wspczesnym wyzwaniom wzakresie przestpczoci, wobec ich rnorodnoci, iloci itempa, wsposb kontrolowany iefektywny pod wzgldem kosztw. Zwrcia jednake rwnoczenie uwag nafakt, i zatrzymanie danych stanowi ograniczenie prawa doycia prywatnego iochrony danych osobowych stanowicych prawa podstawowe wUE73. Zgodnie zart.52 ust.1 Karty Praw Podstawowych ograniczenie tomusi by przewidziane ustaw iszanowa istot tych praw iwolnoci, zzastrzeeniem zasady proporcjonalnoci iby uzasadnione, jako konieczne irzeczywicie odpowiadajce celom interesu oglnego uznawanym przez Uni lub potrzebom ochrony praw iwolnoci innych osb. Wpraktyce oznacza to, e wszelkie ograniczenia musz by: sformuowane wsposb jasny iprzewidywalny, konieczne doosignicia celu lecego winteresie oglnym lub ochrony praw iswobd innych, proporcjonalne dozaoonego celu, oraz zachowywa istot danego prawa podstawowego. Europejski Trybuna Praw Czowieka wsprawie Marper vs Wielka Brytania74 stwierdzi, e ju samo gromadzenie informacji odanej osobie ma bezporedni wpyw naochron jej ycia prywatnego, bez wzgldu nato, czy dane tes nastpnie wykorzystywane. Zkolei wsprawie Schecke75 Europejski Trybuna Sprawiedliwoci orzek, e ograniczenia wzakresie ochrony danych osobowych sdopuszczalne jedynie pod warunkiem ich cisej proporcjonalnoci, wstosunku dorealizowanego celu. Tym samym uzna, i kryterium dopuszczalnoci retencji danych nie jest jego skuteczno wwalce zprzestpczoci, ale niezbdno iproporcjonalno. Niemiecki Trybuna Konstytucyjny stwierdzi, e zatrzymywanie danych moe uniemoliwia swobodn realizacj praw podstawowych 76. Trybuna wprost uzna, e zatrzymywanie danych wcile okrelonym celu iprzy zapewnieniu wystarczajco wysokiego poziomu bezpieczestwa danych nie oznacza naruszenia niemieckiej konstytucji. Rwnoczenie jednak wyranie zaznaczy, ezatrzymywanie danych telekomunikacyjnych stanowi powane ograniczenie prawa doprywatnoci idlatego powinno by dopuszczalne wszczeglnie ograniczonej liczbie przypadkw. Ocena zasadnoci zastosowania takiego rodka musi uwzgldnia zasad proporcjonalnoci. Wniosek oudostpnienie danych moe by zoony jedynie wwczas, gdy istnieje podejrzenie powanego przestpstwa lub gdy zagroone jest bezpieczestwo pastwa. Ponadto wskaza nadalsze ograniczenia wdostpie dodanych telekomunikacyjnych, zewzgldu nacharakter niektrych pocze, oktrych dane powinny pozosta poufne (np.zwizanych zpotrzebami socjalnymi lub emocjonalnymi). Pozyskane dane powinny by odpowiednio zabezpieczone przed dostpem osb niepowoanych oraz objte stosownym nadzorem.
wsprawie zatrzymywania danych (dyrektywa 2006/24/WE), opublikowan wDzienniku Urzdowym Unii Europejskiej z23wrzenia 2011 r. (2011/C 279/01). Artykuy 7 i8 Karty praw podstawowych Unii Europejskiej (Dz. U. C 83 z30.3.2010, s. 389) gwarantuj kademu prawo doochrony danych osobowych, ktre go dotycz. Prawo tozapisano take wart.16 Traktatu ofunkcjonowaniu Unii Europejskiej (Dz. U. C 83 z30.3.2010, s. 1). Zgoszenie nr30562/04 i30566/04, http://www.echr.coe.int/echr/ Sprawa C-92/09 Volker i Markus Schecke GbR przeciwko Land Hessen oraz C-93/09 Eifert przeciwko Land Hessen iBundesanstalt fr Lanwirtschaft und Ernhrung Bundesverfassungsgericht, 1 BvR 256/08 zdnia 2marca 2010 r., pkt1-345.
73 74 75
60
76
W zwizku zpowyszym, Komisja Europejska zarekomendowaa rozwaenie: skrcenia okresu przechowywania danych telekomunikacyjnych; ograniczenia katalogu podmiotw majcych dostp dotych danych; ograniczenia celw, wjakich dane temog by wykorzystywane (np.poprzez doprecyzowanie katalogu najciszych przestpstw); ograniczenia kategorii danych, jakie sprzechowywane; wprowadzenie rozwiza gwarantujcych, i dane telekomunikacyjne bd wykorzystywane wycznie wcelu cigania powanych przestpstw. Rozwaane jest rwnie wprowadzenie rozwiza alternatywnych. Jedn zpropozycji jest koncepcja zachowywania danych nadanie uprawnionego podmiotu. Polega ona naczasowym zabezpieczeniu niektrych danych dotyczcych ruchu telekomunikacyjnego ilokalizacji, wycznie wodniesieniu dokonkretnych osb podejrzanych odziaalno przestpcz, aktre todane mog by udostpnione organom wymiaru sprawiedliwoci namocy zezwolenia sdu. Gwnym argumentem wysuwanym przeciwko wdroeniu tego rozwizania jest jednake to, e nie gwarantuje ono dostpu dodanych wytworzonych przed nakazem zachowania oraz nie pozwala prowadzi dochodzenia, jeeli nie jest znany jego cel. W ocenie NIK, biorc pod uwag obecne uwarunkowania prawno-organizacyjne, projektowane zmiany przepisw napoziomie Unii Europejskiej, atake wyniki przeprowadzonej kontroli, naley rozway podjcie dziaa wczterech zasadniczych obszarach: zakresu icelu pozyskiwania danych; kontroli nad procesem pozyskiwania danych; niszczenia pozyskanych danych wsytuacji, gdy nie sju one dalej niezbdne dla osignicia celw prowadzonego postpowania; stworzenia mechanizmw sprawozdawczych, ktre zapewni rzeteln informacj ozakresie pozyskiwania danych telekomunikacyjnych. Zakres icel pozyskiwania danych Zakres icel pozyskiwanych przez uprawnione suby danych sgwnymi czynnikami wpywajcym naocen stopnia, wjakim wykorzystanie tego rodka, ogranicza prawa obywatelskie. Rozwaajc zakres pozyskiwania danych telekomunikacyjnych naley wskaza natrzy kwestie: 1) zakres danych, ktry moe zosta pozyskany, 2) katalog spraw, wktrych moliwe jest pozyskanie danych, 3) prawo dozachowania tajemnicy zawodowej. Ad 1) Zgodnie z art. 180c Prawa telekomunikacyjnego operatorzy telekomunikacyjnie obowizani s do przechowywania i udostpniania uprawnionym podmiotom danych niezbdnych do: ustalenia zakoczenia sieci, telekomunikacyjnego urzdzenia kocowego, uytkownika kocowego (inicjujcego poczenia oraz doktrego kierowane jest poczenie) oraz zgodnie zpkt2 przywoanego przepisu: okrelenia daty igodziny poczenia oraz czasu jego trwania, rodzaju poczenia, lokalizacji telekomunikacyjnego urzdzenia kocowego. Ponadto uprawnione podmioty maj, zgodnie zart.180d Prawa telekomunikacyjnego dostp dodanych przetwarzanych przez operatorw telekomunikacyjnych dotyczcych: uytkownika77;
77 Obejmujcy: nazwisko iimiona; imiona rodzicw; miejsce idat urodzenia; adres miejsca zameldowania napobyt stay;
numer ewidencyjny PESEL wprzypadku obywatela Rzeczypospolitej Polskiej; nazw, seri inumer dokumentw potwierdzajcych tosamo, aw przypadku cudzoziemca, ktry nie jest obywatelem pastwa czonkowskiego albo Konfederacji Szwajcarskiej numeru paszportu lub karty pobytu; zawarte wdokumentach potwierdzajcych moliwo
61
transmisyjnych78; lokalizacyjnych79; oprbach uzyskania poczenia midzy zakoczeniami sieci, wtym dane onieudanych prbach pocze; elektronicznego wykazu abonentw, uytkownikw lub zakocze sieci, uwzgldniajcego dane uzyskiwane przy zawarciu umowy. Odnoszc si dosformuowanego katalogu zapyta naley zauway, i jako dane bilingowe nie powinny by traktowane informacje pozwalajce naustalenie, dokogo naley dany numer telefonu czy jakie sjego dane adresowe. Informacja tama charakter zbliony, np.do informacji owacicielu pojazdu iw zwizku ztym trudno uzna, e jej udostpnienie uprawnionym organom pastwa, wsposb istotny ingeruje wprawo doprywatnoci. Tego rodzaju ustalenie mona porwnywa dosprawdzania dokonanego wksice telefonicznej. Ztego te wzgldu, wocenie NIK, informacje dotyczce ustalenia danych abonenta nie powinny by wykazywane wsprawozdaniach UKE, jako zapytania odane bilingowe. Naley zauway, i przepisy oretencji nie obejmuj wiadczenia usug drog elektroniczn. Obecnie obowizujce prawo przewiduje zatrzymywanie take danych okomunikacji, ktra odbywa si wInternecie, jedynie przez dostawcw powszechnie dostpnych usug telekomunikacyjnych. Awic obowizek zatrzymywania danych dotyczy firm telekomunikacyjnych, ktre wiadcz usug dostpu doInternetu, natomiast ju nie firm dostarczajcych konkretne usugi oparte naInternecie, (co moe dotyczy przede wszystkim poczty elektronicznej, ale rwnie portali spoecznociowych czy wyszukiwarek internetowych). Wocenie NIK, naley ujednolici obowizujce wtym zakresie przepisy. Wprzypadku utrzymania przepisw oretencji danych, naley rozway rozszerzenie ich zakresu rwnie nadostawcw tego rodzaju usug internetowych trudno, bowiem znale uzasadnienie aksjologiczne, dlaczego osoby korzystajce zusug opartych naInternecie miayby by chronione przed ingerencj zestrony pastwa wstopniu wikszym, ni osoby korzystajce zusug telekomunikacyjnych. Naley jednake zwrci uwag naszereg ogranicze, jakie dotycz tej sfery: rynek usug internetowych podlega dynamicznym zmianom; dua cz podmiotw wiadczcych usugi internetowe, zktrych korzystaj obywatele polscy, topodmioty zagraniczne. Biorc pod uwag powysze uwarunkowania oraz charakter proponowanej zmiany, kwestia tawymaga jednake pogbionej analizy oraz szerokich konsultacji spoecznych. Rozwaenia wymaga rwnie czas, przez jaki dane telekomunikacyjne musz by przechowywane przez operatorw. Obowizujce do20stycznia 2013 r. przepisy przewidyway przechowywanie danych zaokres 24 m-cy, tojest maksymalny dopuszczalny przez Dyrektyw. Wwikszoci krajw UE okres ten by znacznie krtszy (6 lub 12 m-cy). Rwnie zalecenia Komisji Europejskiej, jak si wydaje, bd zmierzay wkierunku skrcenia maksymalnego dopuszczalnego okresu retencji danych. Nowelizacja ustawy Prawo telekomunikacyjne zdnia 16listopada 2012 r.80 skrcia ten okres do12 m-cy. Jako uzasadnienie dodokonania zmian wskazano m.in., i najwiksze znaczenie
78 79
62
80
wykonania zobowizania wobec dostawcy publicznie dostpnych usug telekomunikacyjnych wynikajcego zumowy owiadczenie usug telekomunikacyjnych. Oprcz ww. danych, dostawca publicznie dostpnych usug telekomunikacyjnych moe, zazgod uytkownika bdcego osob fizyczn, przetwarza inne dane tego uytkownika wzwizku zewiadczon usug, wszczeglnoci numer konta bankowego lub karty patniczej, adres korespondencyjny uytkownika, jeeli jest on inny ni adres miejsca zameldowania napobyt stay tego uytkownika, atake adres poczty elektronicznej oraz numery telefonw kontaktowych. Oznaczaj dane przetwarzane dla celw przekazywania komunikatw wsieciach telekomunikacyjnych lub naliczania opat zausugi telekomunikacyjne Oznaczaj wszelkie dane przetwarzane wsieci telekomunikacyjnej wskazujce pooenie geograficzne urzdzenia kocowego uytkownika publicznie dostpnych usug telekomunikacyjnych Dz.U. z2012, poz.1445.
dla wykrywania icigania przestpstw maj dane pochodzce zostatniego roku. Naley jednake zauway, i dane ktre byy podstaw dokonania zmian, jak wykazaa kontrola NIK, nie byy rzetelne. Bdy popenione przez operatorw telekomunikacyjnych wskadanych sprawozdaniach, przy braku kontroli zestrony Prezesa UKE doprowadziy doistotnego zaburzenia proporcji zapyta, zawyajc istotnie liczb zapyta dotyczcych danych zapierwsze miesice81. Ponadto naley zwrci uwag, i zapytania dotyczce okresu powyej 12 m-cy zasadniczo dotycz spraw oduym stopniu komplikacji, ktrych ujawnienie nierzadko nastpuje podugim czasie odich popenienia lub wwyniku dugotrwaych ledztw 82. Wocenie NIK, naleaoby rozway wprowadzenie mechanizmw, ktre zapewni uprawnionym podmiotom dostp doinformacji wokresie duszym ni 12 m-cy. Zdaniem NIK, jednym zmoliwych rozwiza byoby dopuszczenie moliwoci gromadzenia danych telekomunikacyjnych przez okres przekraczajcy 12 miesicy nadanie uprawnionego podmiotu, wcile okrelonych sprawach. Operator miaby wwczas obowizek gromadzenia danych bilingowych zaokres przekraczajcy 12 m-cy, ale tylko wstosunku doosb wyranie wskazanych przez uprawniony podmiot. Naley rwnie zauway, i wikszo danych wskazanych wart.180c id Prawa telekomunikacyjnego operatorzy przechowuj napotrzeby ewentualnych postpowa reklamacyjnych. Zuwagi naobowizki okrelone wart.165 ust.2 iart.168 ust.1 ww. ustawy dane telekomunikacyjne wznacznym zakresie nie mog by przez przedsibiorcw telekomunikacyjnych niszczone pookresie retencji, okrelonym wart.180a ust.1 pkt1 ustawy, zewzgldu natrzyletni termin przedawnienia roszcze wynikajcych zumowy owiadczenie usug telekomunikacyjnych. Przepisy nie okrelaj maksymalnego terminu, wktrym przedsibiorcy telekomunikacyjni mog przechowywa dane telekomunikacyjne napotrzeby dochodzenia nalenoci ztytuu wykonanych usug. Wocenie NIK, zapewnienie subom, wcile okrelonych przypadkach, przy zachowaniu kontroli zewntrznej, dostpu doprzechowywanych przez operatorw telekomunikacyjnych danych, umoliwioby dalsze skrcenie okresu retencji danych. Ad 2) Wocenie NIK, doprecyzowania wymaga cel gromadzenia danych retencyjnych. Obecnie obowizujce przepisy odwouj si jedynie dozakresu zada poszczeglnych sub bd oglnego stwierdzenia, i dane tes pozyskiwanie wcelu zapobiegania lub wykrywania przestpstw. Naley przy tym zauway, i przepisy teumoliwiaj wykorzystywanie danych retencyjnych nie tylko dowykrywania przestpstw, ale take wdziaaniach prewencyjnych czy analitycznych. Wszczeglnoci omawiane dane sudostpniane: a) w celu zapobiegania lub wykrywania przestpstw (art.20c ust.1 ustawy oPolicji oraz art.10 b ust.1 ustawy oStray Granicznej, art.30 ustawy oandarmerii Wojskowej)83; b) w celu zapobiegania lub wykrywania przestpstw skarbowych lub przestpstw, oktrych mowa wart.2 ust.1 pkt14b ustawy okontroli skarbowej, oraz narusze przepisw, oktrych mowa wart.2 ust.1 pkt12, tj.take wcelu zapobiegania iujawniania przestpstw, oktrych mowa wart.228-231 k.k., popenianych przez osoby zatrudnione lub penice sub wjednostkach organizacyjnych podlegych ministrowi waciwemu dospraw finansw publicznych oraz wcelu
81 Przypadek zawyenia przez jednego zprzedsibiorcw liczby zapyta zapierwszy miesic o513.857 przypadkw,
tj.oprawie 100 % wstosunku doliczby zapyta zapierwszy miesic dopozostaych przedsibiorcw oraz oprawie 40 % wstosunku doliczby wszystkich zapyta wroku 2011 zosta opisany wpkt3.2.8. Informacji nastr. 49. 82 Wg danych KG Policji spord dochodze iledztw trwajcych powyej 6 miesicy, proporcjonalnie najwicej prowadzonych postpowa dotyczyo zabjstw, pobi ze skutkiem miertelnym oraz przestpstw korupcyjnych, urzdniczych, gospodarczych ipodatkowych. 83 Warto przypomnie, e wwyniku debat iuzgodnie, jakie miay miejsce pod koniec 2005 r. wParlamencie iRadzie UE, zapis ozapobieganiu przestpstwom, jako zbyt daleko idcy, zosta wykrelony zprojektu Dyrektywy 2006/24/WE.
63
c) d)
e)
f)
zapobiegania iwykrywania narusze krajowych przepisw celnych oraz cigania narusze krajowych lub wsplnotowych przepisw celnych (art.36b ust.1 pkt1 ww. ustawy); w celu zapobiegania lub wykrywania przestpstw skarbowych (art.75d ustawy oSubie Celnej); w celu realizacji przez ABW zada, oktrych mowa wart.5 ust.1, tj.rozpoznawania, zapobiegania izwalczania zagroe godzcych wbezpieczestwo wewntrzne pastwa oraz jego porzdek konstytucyjny, rozpoznawania, zapobiegania iwykrywania przestpstw okrelonych wart.5 ust.1 pkt2; realizowania, wgranicach swojej waciwoci, zada zwizanych zochron informacji niejawnych oraz wykonywania funkcji krajowej wadzy bezpieczestwa wzakresie ochrony informacji niejawnych wstosunkach midzynarodowych; uzyskiwania, analizowania, przetwarzania iprzekazywania waciwym organom informacji mogcych mie istotne znaczenie dla ochrony bezpieczestwa wewntrznego pastwa ijego porzdku konstytucyjnego, podejmowania innych dziaa okrelonych wodrbnych ustawach iumowach midzynarodowych (art.28 ust.1 pkt1 ustawy oABW iAW); w celu realizacji przez CBA zada okrelonych wart.2 ustawy oCBA, tj.w celu: 1) rozpoznawania, zapobiegania iwykrywania przestpstw wymienionych wart.2 ust.1 pkt1 oraz cigania ich sprawcw, 2) ujawniania iprzeciwdziaania przypadkom nieprzestrzegania przepisw ustawy oograniczeniu prowadzenia dziaalnoci gospodarczej przez osoby penice funkcje publiczne, 3) dokumentowania podstaw iinicjowania realizacji przepisw ustawy zdnia 21czerwca 1990 r. ozwrocie korzyci uzyskanych niesusznie kosztem Skarbu Pastwa lub innych pastwowych osb prawnych84, ujawniania przypadkw nieprzestrzegania okrelonymi przepisami prawa procedur podejmowania irealizacji decyzji wprzedmiocie: prywatyzacji ikomercjalizacji, wsparcia finansowego, udzielenia zamwie publicznych, rozporzdzenia mieniem jednostek lub przedsibiorcw oraz przyznawania koncesji, zwolnie, zwolnie podmiotowych iprzedmiotowych, ulg, preferencji, kontyngentw, plafonw, porcze igwarancji kredytowych, 5) kontroli prawidowoci iprawdziwoci owiadcze majtkowych lub owiadcze oprowadzeniu dziaalnoci gospodarczej osb penicych funkcje publiczne, oktrych mowa wart.115 19 k.k., 6) prowadzenia dziaalnoci analitycznej dotyczcej zjawisk wystpujcych wobszarze waciwoci CBA oraz przedstawiania wtym zakresie informacji Prezesowi Rady Ministrw, Prezydentowi RP, Sejmowi oraz Senatowi, 7)podejmowania innych dziaa okrelonych wodrbnych ustawach iumowach midzynarodowych (art.18 ust.1 pkt1ustawy oCentralnym Biurze Antykorupcyjnym); w celu realizacji przez SKW zada okrelonych wart.5, tj.: 1) rozpoznawania, zapobiegania oraz wykrywania popenionych przez onierzy, funkcjonariuszy SKW iSWW oraz pracownikw SZ RP iinnych jednostek organizacyjnych MON, przestpstw wymienionych wart.5 ust.1 pkt1, 2) realizowania, wgranicach swojej waciwoci, zada okrelonych wprzepisach ustawy z5sierpnia 2010 r. oochronie informacji niejawnych85, 3) uzyskiwania, gromadzenia, analizowania, przetwarzania iprzekazywania waciwym organom informacji mogcych mie znaczenie dla obronnoci pastwa, bezpieczestwa lub zdolnoci bojowej Si Zbrojnych oraz podejmowania dziaa wcelu eliminowania ustalonych zagroe, 4) prowadzenia kontrwywiadu radioelektronicznego oraz przedsiwzi zzakresu ochrony kryptograficznej ikryptoanalizy,
64
84 Dz.U. Nr44, poz.255 zezm. 85 Dz.U. Nr182, poz.1228.
5)uczestniczenia w planowaniu iprzeprowadzaniu kontroli realizacji umw midzynarodowych dotyczcych rozbrojenia, 6) ochrony bezpieczestwa jednostek wojskowych iinnych jednostek organizacyjnych MON, 7) ochrony bezpieczestwa bada naukowych iprac rozwojowych, 9)podejmowania innych dziaa przewidzianych dla Suby Kontrwywiadu Wojskowego (art.32 ust.1 pkt1 ustawy oSKW iSWW). W ocenie NIK, powoane wyej przepisy transponujce dyrektyw do systemu prawnego RP, pozwalaj nadostp dozatrzymanych danych ikorzystanie znich docelw wykraczajcych poza cele objte dyrektyw 2006/24/WE. Naley, bowiem zauway, i Dyrektywa zobowizuje pastwa czonkowskie doprzyjcia rodkw majcych zapewni zatrzymywanie danych telekomunikacyjnych wcelu prowadzenia ledztwa wsprawie powanych przestpstw oraz ich wykrywania icigania, zgodnie zdefinicjami przyjtymi przez kade pastwo czonkowskie wswoim prawie krajowym. Wustawodawstwie RP nie wystpuje jednake definicja powanego przestpstwa. Przenoszc topojcie nagrunt prawa polskiego, nie mona utosamia go zprzestpstwami zagroonymi kar minimaln trzech lat pozbawienia wolnoci, czyli zbrodni 86. Istnieje, bowiem szereg przestpstw, jak choby porwanie czy przestpstwo zgwacenia, ktre wpowszechnej wiadomoci spoecznej zaliczane sdo kategorii powanych przestpstw, adla ktrych dolna granica zagroenia kar pozbawienia wolnoci zostaa okrelona poniej 3 lat. Naley przy tym zwrci uwag, i wtego typu przestpstwach dane bilingowe czsto sjednym zkluczowych rodkw dowodowych, prowadzcych doustalenie sprawcy. Trafniejsze, wocenie NIK, jest podejcie zaproponowane wprzygotowywanym obecnie projekcie zmian 87, gdzie wskazano, e dane telekomunikacyjne bd mogy by pozyskiwane iwykorzystywane przez uprawnione podmioty, wycznie dla potrzeb postpowa wsprawie rozpoznawania, zapobiegania iwykrywania przestpstw zagroonych kar pozbawienia wolnoci, ktrej grna granica wynosi, conajmniej 3 lata oraz postpowa wsprawie rozpoznawania, zapobiegania iwykrywania przestpstw popenionych przy uyciu rodkw komunikacji elektronicznej. Projekt przewiduje rwnie, i dane telekomunikacyjne bd mogy by pozyskiwanie iprzetwarzane wcelu ochrony ycia izdrowia obywateli, m.in. wprzypadkach poszukiwania osb zaginionych iprzeciwdziaania prbom samobjczym oraz wprzypadkach rozpoznawania, zapobiegania iwykrywania innych przestpstw iwykrocze zazgod abonenta, ktrego przedmiotowe dane telekomunikacyjne dotycz. Dane telekomunikacyjne bd mogy by take pozyskiwanie i przetwarzane wprzypadkach rozpoznawania, zapobiegania iwykrywania innych enumeratywnie wymienionych wykrocze (jak np.faszywe alarmy bombowe), jeeli bdzie zatym przemawia wany interes spoeczny. Wocenie NIK, precyzyjne okrelenie katalog spraw, wktrych uprawnione suby mog pozyskiwa dane telekomunikacyjne, ma kluczowe znaczenie dla oceny, czy obowizujce przepisy nie naruszaj zasady proporcjonalnoci, atym samym sdopuszczalne wwietle obowizujcych przepisw chronicych prawa iwolnoci obywatelskie. W ocenie NIK, udostpnienie danych telekomunikacyjnych powinno uwzgldnia rwnie zasad subsydiarnoci 88. Zgodnie zobowizujcymi obecnie przepisami, obowizek udostpnienia danych dotyczy podmiotu wykonujcego dziaalno telekomunikacyjn wkadym wypadku, gdy zwrc si oto odpowiednie suby, anie tylko wtedy, gdy inne rodki podejmowane wcelu
86 Propozycja taka znalaza si wjednym zprojektw nowelizacji Prawa telekomunikacyjnego. 87 Projekt zmian z20grudnia 2012 r. opracowany przez Biuro Kolegium ds. Sub Specjalnych KPRM. 88 Okrelon wart.31 ust.3 Konstytucji RP.
65
realizacji ustawowego celu okazay si bezskuteczne. Naley podkreli, e jak zauway Trybuna Konstytucyjny89 (...) nie wystarczy, aby stosowane rodki sprzyjay zamierzonym celom, uatwiay ich osignicie albo byy wygodne dla wadzy, ktra ma jewykorzysta doosignicia tych celw. (...) Nie wystarczy, zatem sama celowo, poyteczno, tanio czy atwo posugiwania si przez wadz wodniesieniu douytego rodka. Bez znaczenia jest te argument porwnawczy, e podobne rodki wogle bywaj stosowane winnych pastwach. () Chodzi, zatem ozastosowanie rodkw niezbdnych (koniecznych) wtym sensie, e bd one chroni okrelone wartoci wsposb, bd wstopniu, ktry nie mgby by osignity przy zastosowaniu innych rodkw, ajednoczenie winny toby rodki jak najmniej uciliwe dla podmiotw, ktrych prawo bd wolno ulegaj ograniczeniu (...). Naley rwnie zauway, i zgodnie zorzecznictwem Europejskiego Trybunau Sprawiedliwoci, wszelkie ograniczenia prawa doprywatnoci musz by proporcjonalne dochronionego interesu powszechnego90. Kryterium dopuszczalnoci ingerencji wprawa podstawowe jest, bowiem obiektywna niezbdno zastosowanego rodka, anie jedynie jego uyteczno doosignicia okrelonego celu (cigania przestpstw). Wocenie NIK, konieczne jest, wic rozwaenie wprowadzenia przepisw, ktre wykorzystanie danych telekomunikacyjnych bd uzalenia, odniemonoci zastosowania innych, mniej ingerujcych wprawa obywatelskie rodkw. Osobn kwesti jest siganie podane telekomunikacyjne wsprawach cywilnych. Jak wskazuj wyniki kontroli przeprowadzonej przez NIK, praktyka wtym zakresie jest niejednolita. Cz operatorw przedstawia nadanie sdw cywilnych dane bilingowe, pomimo braku zgody strony naich udostpnienie. Wocenie NIK, ani przepisy Prawa telekomunikacyjnego, ani przepisy Kodeksu postpowania cywilnego nie daj podstawy dodania przez sd wsprawie cywilnej udostpnienia danych objtych tajemnic telekomunikacyjn. Podstaw udostpnienia danych moe by art.159 ust.2 pkt2 Prawa telekomunikacyjnego, zgodnie zktrym przekazywanie lub inne wykorzystywanie treci lub danych objtych tajemnic telekomunikacyjn, przez osoby inne ni nadawca iodbiorca komunikatu jest zabronione, chyba e nastpi zazgod nadawcy lub odbiorcy, ktrych dane tedotycz. Podstaw przekazania tych danych nie mog by natomiast artykuy 248 i251 kodeksu postpowania cywilnego, ktre odnosz si dodowodw zdokumentw, gdy udostpnienie sdowi informacji wtym zakresie nie polega wycznie nadostarczeniu sdowi istniejcego dokumentu, ale wymaga jego sporzdzenia napodstawie danych stanowicych tzw. tajemnic telekomunikacyjn91. Ad 3) Obecnie obowizujce przepisy nie wskazuj kategorii osb, wstosunku doktrych niezbdne jest respektowanie ich tajemnicy zawodowej. Ustawodawca nie wyczy adnej kategorii uytkownikw zkrgu podmiotw, ktrych dane mog by pozyskiwane, cho dane temog by objte tajemnic notarialn, adwokack, radcy prawnego, lekarsk lub dziennikarsk, ktrej zniesienie jest moliwe wycznie, gdy jest toniezbdne dla dobra wymiaru sprawiedliwoci, adana okoliczno nie moe by ustalona napodstawie innego dowodu92. Np.w stosunku
89 Wyrok zdnia 12grudnia 2005 r., sygn. akt K 32/04, OTK z2005 r., Nr1 l/A, poz.132. 90 Sprawa C-92/09 Volker i Markus Schecke GbR przeciwko Land Hessen oraz C-93/09 Eifert przeciwko Land Hessen
iBundesanstalt fr Lanwirtschaft und Ernhrung.
91 Por. postanowienie Sadu Apelacyjnego wBiaymstoku z6kwietnia 2011 r., sygnatura akt IA Cz 279/11. 92 Art.180 2 k.p.k. wcza dziennikarza dokatalogu osb, ktre mog by przesuchiwane, codo faktw objtych tajemnic
66
tylko wtedy, gdy jest toniezbdne dla dobra wymiaru sprawiedliwoci, aokoliczno nie moe by ustalona napodstawie innego dowodu. Zobowizku zachowania tajemnicy dziennikarskiej moe zwolni wycznie sd.
dodziennikarzy, art.180 3 k.p.k. ustanawia bezwzgldny zakaz dowodowy dotyczcy danych umoliwiajcych identyfikacj autora materiau prasowego, listu doredakcji lub innego materiau otym charakterze, jak rwnie identyfikacj osb udzielajcych informacji opublikowanych lub przekazanych doopublikowania, jeeli osoby tezastrzegy nieujawnianie danych. Bezwzgldno tego zakazu oznacza, e nawet gdyby dziennikarz chcia ujawni teinformacje, tonie wolno mu tego uczyni, aorgan procesowy nie moe go zwolni ztakiej tajemnicy (z wyjtkami wskazanymi wart.240 1 k.k.). Dziennikarz nie naraa si narepresje prawne, odmawiajc skadania zezna nate okolicznoci. Dopuszczalne jest jednake legalne uzyskanie iprzeprowadzenie wprocesie karnym innego dowodu naokoliczno tosamoci osb, oktrych mowa wart.180 3 k.p.k. Naley jednake zwrci uwag naorzecznictwo Europejskiego Trybunau Praw Czowieka wtym wzgldzie. Przykadowo, wwyroku z22listopada 2012 r.93 stwierdzi on, i prawo musi zapewnia dziennikarzom odpowiednie gwarancje dotyczce ochrony poufnoci rde informacji. Jeeli chodzi ozastosowanie wzgldem dziennikarzy rodkw pozwalajcych namonitorowanie ich rozmw telefonicznych oraz ich obserwacj, Trybuna uzna jeza sprzeczne zart.8 i10 Konwencji, poniewa ich stosowanie nie zostao nakazane inie byo nadzorowane przez sd lub organ oporwnywalnej niezawisoci ibezstronnoci. Skarcy mogli jedynie wnie dosdu skarg nastosowanie takich rodkw post factum. Taka moliwo nie wystarcza, gdy wprzypadku ujawnienia tosamoci rda informacji raz zniszczone zaufanie dodziennikarza nie moe wten sposb zosta przywrcone. rodki kontroli zastosowane wtej sprawie miay dokadnie nacelu ujawnienie tego, odkogo skarcy uzyskali sporne dokumenty. Dotyczyy wic samej istoty pracy dziennikarskiej, ingerencja wktr wymaga szczeglnego uzasadnienia ikontroli. Wocenie NIK, naleaoby rozway wprowadzenie rozwiza, ktre bd stwarza dodatkowe gwarancje wprzypadku osb wykonujcych zawd zaufania publicznego, np.poprzez uzalenienie pozyskania danych retencyjnych odzgody sdu. Natomiast wprzypadku ujawnienia post factum, i dane dotycz osoby, ktra naley dogrupy osb wykonujcych zawd zaufania publicznego dalsze wykorzystanie wstosunku doniej tego rodka oraz moliwo wykorzystania ju pozyskanych danych powinny by uzalenione odzgody sdu lub innego niezalenego organu. Kontrola nad procesem pozyskiwania danych Jak wykazano powyej, siganie podane retencyjne stanowi istotn ingerencj wprawa iwolnoci obywatelskie, wszczeglnoci prawo doprywatnoci. Naley podkreli, i NIK nie moga obj kontrol, atym samym oceni zasadnoci wykorzystania rodka wpostaci retencji danych wprowadzonych postpowaniach, zewzgldu nazakres posiadanych kompetencji. Wobecnym stanie prawnym nie istnieje aden podmiot, ktry mgby sprawowa rzeczywist kontrol nad wykorzystaniem tego rodka przez uprawnione organy, suby iformacje. Sytuacja tajest wyjtkowa wzestawieniu zestandardami przyjtymi wwikszoci pastw Unii Europejskiej. W24pastwach tak kontrol sprawuje sd lub prokuratura94 albo niezaleny organ administracyjny95. Nakonieczno wprowadzenia kontroli zewntrznej zwrcia uwag Rzecznik Praw Obywatelskich wewniosku doTrybunau Konstytucyjnego, wktrym zakwestionowaa
93 Sprawia nr 39315/06, Telegraaf Media Nederland Landelijke Media B.V. iinni przeciwko Holandii. 94 Sdy: Bugaria, Czechy, Dania, Finlandia, Grecja, Hiszpania, Litwa, Luksemburg, Niemcy (obecnie przepisy oretencji zostay
uznane zaniekonstytucyjne), Portugalia, Sowenia. Sd lub prokurator: Belgia, Cypr. Sdzia ledczy lub prokurator: Estonia, Holandia. Prokurator: Wgry iWochy. 95 Model kontroli administracyjnej zosta zastosowany weFrancji, Irlandii, naMalcie oraz wWielkiej Brytanii.
67
zgodno przepisw ustaw kompetencyjnych zart.8 Konwencji oraz art.49 wzwizku zart.31 ust.3 Konstytucji. Wewniosku wskazano m.in., i standardy zawarte wart.49 Konstytucji oraz wart.8 Europejskiej Konwencji oOchronie Praw Czowieka iPodstawowych Wolnoci nie srespektowane, gdy ustawodawca nie zapewni zewntrznych form kontroli korzystania przez poszczeglne suby zprzyznanych im szerokich uprawnie wzakresie dostpu dodanych objtych tajemnic telekomunikacyjn. Wocenie NIK, konieczne jest stworzenie instrumentw nadzoru ikontroli nad wykorzystaniem tego rodka. Sytuacja, e jedynym podmiotem oceniajcym zasadno pozyskiwania danych telekomunikacyjnych jest jednostka uprawniona doich pozyskania, jest nie dozaakceptowania wramach demokratycznego pastwa prawnego. Nie wynika tooczywicie zfaktu, e naley zakada, i dziaanie sub skierowane jest przeciwko obywatelom, ale ztego, ezewntrzna kontrola takich dziaa jest standardem sucym ipastwu (w tym samym subom) ispoeczestwu96. Rozpatrujc zagadnienie kontroli nad pozyskiwaniem danych telekomunikacyjnych naleaoby skupi si nadwch formach jej realizacji: 1) kontroli uprzedniej, 2) kontroli nastpczej. Ad 1) Kontrola uprzednia, czyli realizowana przed skierowaniem zapytania wsprawie udostpnienia danych telekomunikacyjnych, pozwoliaby nie tylko naistotne zwikszenie nadzoru nad wykorzystaniem tego rodka, ale prawdopodobnie przyczyniaby si rwnie doograniczenia skali jego wykorzystania. Moliwo zastosowania tej formy kontroli uzaleniona jest odspenienia dwch przesanek: a) wskazania (ustanowienia) podmiotu, ktry weryfikowaby wnioski oudostpnienie danych telekomunikacyjnych, anastpnie wydawa zgod nawykorzystanie tego rodka; b) precyzyjnego okrelenia sytuacji, wktrych rodek ten moe by wykorzystany, jako niezbdnego warunku oceny zasadnoci wniosku. Ad a) Wdemokratycznych pastwach prawa, podmiotami ktrym najczciej powierza si kontrol wtakich sytuacjach sorgany sdowe. Kontrola sdowa daje bowiem gwarancj niezalenoci ibezstronnoci oraz zapewnia przestrzeganie waciwej procedury. Wwarunkach polskich, mogoby tojednak skutkowa tym, i przy duej iloci spraw sdy nie byyby wstanie weryfikowa tego rodzaju wnioskw nabieco. Mogoby tospowodowa znaczne opnienia, coniejednokrotnie uniemoliwiaoby de facto wykorzystanie tego rodka. Alternatyw dla kontroli sdowej mogoby by powoanie (wskazanie) niezalenego organu, ocharakterze zewntrznym wstosunku dopodmiotw posiadajcych uprawnienia dosigania podane telekomunikacyjne. Takie rozwizanie, jak si wydaje, jest zgodne zarwno zprzepisami Konstytucji RP, jak iKonwencji. Jego usytuowanie iskad powinny zapewnia niezaleno odwadzy wykonawczej (w szczeglnoci sub). Kwestia tajest jednake elementem szerszego problemu, zwizanego znadzorem nad subami wykonujcymi czynnoci operacyjno-rozpoznawcze. NIK zaplanowaa przeprowadzenie w2013 r. kompleksowej kontroli wtym zakresie97, dlatego te ewentualne wnioski wzakresie zasad funkcjonowania takiego podmiotu zostan sformuowane dopiero pojej przeprowadzeniu.
96 Ju sama wiadomo kontroli zewntrznej przyczyniaby si doograniczenia ryzyka wykorzystania tego rodka niezgodnie
68
zprzeznaczeniem. 97 Kontrola P/13/099 Realizacja przez organy pastwa nadzoru nad subami prowadzcymi czynnoci operacyjno- -rozpoznawcze.
Ad b) Ustanowienie niezalenego organu powoanego dosprawowania kontroli uprzedniej nad pozyskiwaniem danych telekomunikacyjnych przez uprawnione podmioty musi wiza si zokreleniem zasad (przesanek) determinujcych moliwo wykorzystania tego rodka. Kwestia tazostaa szerzej omwiona wpktdotyczcym zakresu pozyskiwanych danych telekomunikacyjnych (powyej). Zdaniem NIK, zadaniem podmiotu powoanego dorealizacji kontroli uprzedniej powinna by przede wszystkim ocena zasadnoci (m.in. wkontekcie zasad subsydiarnoci iproporcjonalnoci) wniosku oudostpnienie danych telekomunikacyjnych oraz sprawdzenie jego poprawnoci pod wzgldem formalnym. Ad 2) Kontrola nastpcza, czyli realizowana poskierowaniu zapytania wsprawie udostpnienia danych telekomunikacyjnych, miaaby nacelu weryfikacj poprawnoci wykorzystania tego rodka. Wzalenoci, czy kontrola nastpcza funkcjonowaaby cznie zkontrol uprzedni, czy te samodzielnie, rny musiaby by jej zakres. Wtym pierwszym wypadku mogaby zosta ona ograniczona dokontroli wykorzystania tego rodka dowodowego pod ktem przestrzegania obowizujcych procedur, wtym prawidowoci przetwarzania pozyskanych danych, ochrony danych przed ich utrat lub udostpnieniem nieuprawnionym osobom, atake ich niezwocznym niszczeniem, gdy przestay by niezbdne dla realizacji celu dla ktrego zostay uzyskane. Wdrugim przypadku, zakres kontroli musiaby by znacznie szerszy iobejmowa rwnie kontrol zasadnoci wykorzystania tego rodka dowodowego. Proponowane wprzygotowywanej nowelizacji ustawy zmiany, polegajce nautworzeniu instytucji penomocnikw ds. ochrony danych osobowych itelekomunikacyjnych wstrukturach podmiotw uprawnionych dopozyskiwania iwykorzystywania danych telekomunikacyjnych, wydaj si by niewystarczajce, dla zapewnienia waciwej kontroli nad wykorzystaniem tego rodka. Celem ich jest bowiem zagwarantowanie odpowiedniego poziomu nadzoru ikontroli pozyskiwania iwykorzystywania danych telekomunikacyjnych oraz danych osobowych. Kontrola wewntrzna, jakkolwiek stanowi wany element ograniczenia ryzyka wystpienia nieprawidowoci wfunkcjonowaniu jednostki, nie stanowi jednake instrumentu wystarczajcego, nawet przy wyposaeniu pracownikw wchodzcych wjej skad watrybuty takie jak gwarancja nieusuwalnoci zpracy iz penionej funkcji bez zgody organu nadzorujcego dan instytucj. Bez wprowadzenia instrumentw kontroli zewntrznej, kontrola nad zakresem wykorzystania tego rodka bdzie spoczywa nadal de facto wrkach podmiotw uprawnionych dopozyskiwania danych telekomunikacyjnych. W projekcie przewidziano rwnie zwikszenie nadzoru prokuratury nad dziaaniami Policji isub. Miaby by on realizowany poprzez kontrol materiau zebranego napotrzeby konkretnego postpowania karnego. Naley jednak zauway, e kontrola wtym zakresie ograniczona byaby jedynie dospraw, ktrym nadano dalszy bieg procesowy. Kontrol nieobjty byby wic cay wachlarz spraw, ktre zrnych wzgldw, nie zakoczyy si skierowaniem aktu oskarenia. Wanym instrumentem kontroli powinno by rozwizanie, zgodnie zktrym informacja ofakcie pozyskania danych telekomunikacyjnych jest przekazywane osobie, ktrej dane zostay udostpnione. Wobecnie obowizujcym stanie prawnym pozyskiwanie danych, oktrych mowa wart.180c id ustawy jest wyczone zarwno spod kontroli samego zainteresowanego (nie jest on powiadamiany ogromadzeniu dotyczcych go danych), jak ispod jakiejkolwiek kontroli innej kontroli zewntrznej. Budzi towtpliwoci, codo zgodnoci omawianych przepisw zart.45 ust.1 iart.77 ust.2 Konstytucji. Wyjtkiem stu przepisy postpowania karnego. Podmioty prowadzce dziaalno telekomunikacyjn obowizane swyda sdowi lub prokuratorowi, nadanie
69
zawarte wpostanowieniu, dane telekomunikacyjne, jeeli maj one znaczenie dla toczcego si postpowania (art.218 1 k.p.k.). Postanowienie wtej sprawie dorcza si abonentowi telefonu lub nadawcy, ktrego dane telekomunikacyjne zostay pozyskane. Dorczenie postanowienia moe by odroczone naczas oznaczony, niezbdny zewzgldu nadobro sprawy, lecz nie pniej ni doczasu prawomocnego zakoczenia postpowania (art.218 2 k.p.k.). Napostanowienie prokuratora przysuguje zaalenie dosdu waciwego dorozpoznania sprawy (art.465 2 k.p.k.). Wwietle powyszego, wramach prowadzonego postpowania karnego wkroczenie wsfer tajemnicy komunikowania si podlega kontroli sdowej98. Taka kontrola jest natomiast wyczona wtedy, gdy ingerencja wow sfer ma miejsce poza ramami postpowania karnego. Wocenie NIK, naley wprowadzi rozwizania, zgodnie zktrym kady ma prawo uzyska informacj opozyskaniu jego danych telekomunikacyjnych (z zastrzeeniem moliwoci odroczenia przekazania tej informacji zewzgldu nadobro toczcego si postpowania) bez wzgldu nato, wzwizku zjakim postpowaniem dane teuzyskano. Jakiekolwiek wyjtki odtej zasady powinny by wskazane wprost wustawie. Naley przy tym jednake zauway, i wprowadzenie tego instrumentu bdzie mogo wpeni osign swj cel, gdy zostanie utworzony (wskazany) podmiot wyposaony wkompetencje dokontroli prawidowoci dziaania sub wtym zakresie99. Niszczenie danych Istotnym elementem oceny obecnie obowizujcych rozwiza jest kryterium niezbdnoci. Powinno by ono weryfikowane nie tylko, jak ju powyej wskazano, wsytuacji wystpienia oudostpnienie danych, ale rwnie pod ktem dalszego przechowywania pozyskanych danych. Zgodnie zart.30 ust.6 ustawy oandarmerii Wojskowej, art.20c ust.7 ustawy oPolicji oraz art.10b ust.6 ustawy oStray Granicznej pozyskane dane telekomunikacyjne, jeli nie zawieraj informacji majcych znaczenie dla postpowania karnego, podlegaj niezwocznemu komisyjnemu iprotokolarnemu zniszczeniu. Natomiast stosownie dopostanowie art.36b ust.5 ustawy okontroli skarbowej, minister waciwy dospraw finansw publicznych nakazuje niezwoczne, komisyjne iprotokolarne zniszczenie danych uzyskanych odpodmiotu prowadzcego dziaalno telekomunikacyjn wprzypadku, gdy uzna wystpienie zwnioskiem ote dane zanieuzasadnione. Wodrnieniu wic doww. przepisw art.36b ust.5 ustawy okontroli skarbowej nie przewiduje zniszczenia danych, jeli nie zawieraj one informacji majcych znaczenie dla prowadzonego przez organy skarbowe postpowania, lecz tylko wtedy, gdy sam wniosek oich udostpnienie okaza si niezasadny. Wzwizku ztym ustawodawca wtym przypadku wistocie dopuszcza tak sytuacj, kiedy sam wniosek oudostpnienie danych by uzasadniony, za zgromadzone wwyniku jego realizacji dane nie zostan zniszczone, pomimo e nie maj one znaczenia zpunktu widzenia prowadzonego postpowania. Natomiast przepisy ustawy oABW iAW, ustawy oSKW iSWW, atake ustawy oCBA wogle nie przewiduj obowizku usunicia pozyskanych przez nie danych telekomunikacyjnych, gdy przestay by one niezbdne dla prowadzonego postpowania. Naley zwrci uwag, e zart.51 ust.2 Konstytucji RP wynika zakaz gromadzenia danych innych, ni niezbdne wdemokratycznym pastwie prawnym. Dane tewic powinny by obligatoryjnie niszczone. Wprzygotowywanej
98 Zobacz jednake uwagi NIK dorealizacji tego obowizku informowania opozyskaniu danych telekomunikacyjnych opisane
wpkt3.2.10. nastr. 54 Informacji. 99 Naley wspomnie, e znana jest moliwo tzw. sprawdzania poredniego przez podmiot zaufania publicznego, ktry pofakcie zawiadamia zainteresowanego, e jego dane gromadzono.
70
nowelizacji przepisw proponuje si wprowadzenie wustawach okrelajcych kompetencje podmiotw uprawnionych dopozyskiwania iwykorzystywania danych telekomunikacyjnych wtych, wktrych jeszcze nie przewidziano takiej regulacji obowizku niezwocznego, protokolarnego ikomisyjnego niszczenia pozyskanych danych telekomunikacyjnych, ktre nie zawieraj dowodw potwierdzajcych zaistnienie przestpstwa. Powyej opisany obowizek niszczenia danych nie bdzie dotyczy informacji istotnych dla bezpieczestwa pastwa. Decyzj ozachowaniu danych istotnych dla bezpieczestwa pastwa miaby podejmowa odpowiednio upowaniony czonek kierownictwa suby. W ocenie NIK, konieczne jest pilne wprowadzenie przepisw wzakresie obowizku niszczenia zbdnych danych telekomunikacyjnych bdcych wposiadaniu sub. Przepisy powinny nie tylko okreli sam obowizek niszczenia danych, ale rwnie precyzowa tryb isposb jego realizacji. Powinny rwnie definiowa (bezporednio lub poprzez odesanie doinnych przepisw) pojcie informacji istotnych dla bezpieczestwa pastwa. Sprawozdawczo Wiarygodne dane jakociowe iilociowe maj zasadnicze znaczenie dla wykazania koniecznoci iwartoci rodkw bezpieczestwa, takich jak zatrzymywanie danych. Dlatego konieczne jest opracowanie nadajcych si dopraktycznego stosowania wskanikw pomiarowych oraz procedur sprawozdawczych, ktre umoliwiaj przejrzyste irzeczowe monitorowanie zatrzymywania danych, iktre nie nakadaj nadmiernych obcie nasystemy wymiaru sprawiedliwoci wsprawach karnych oraz organy cigania. Naley zwrci uwag, i Komisja Europejska rozwaa wprowadzenie obowizku szczegowego raportowania czyli rozliczania si przez pastwa (i ich suby) ztego, wjakich celach, jak czsto iz jaki skutkiem retencja danych jest stosowana. Jak wykazaa kontrola NIK, funkcjonujcy obecnie system gromadzenia informacji opozyskiwaniu danych retencyjnych nie zapewnia rzetelnej informacji oliczbie tego rodzaju przypadkw 100. Brak jest precyzyjnie okrelonych wskanikw pomiarowych, austanowione procedury nie zapobiegaj wystpieniu racych bdw. Rwnie zakres gromadzonych danych sprawozdawczych nie pozwala naocen, dla jakich celw, jak czsto iz jakim skutkiem retencja danych jest wykorzystywana. Przygotowywany projekt zmian przewiduje naoenie nawszystkie podmioty uprawnione dopozyskiwania iwykorzystywania danych telekomunikacyjnych obowizku sprawozdawczego wzakresie opracowywania ipodawania dopublicznej wiadomoci dokocastycznia danego roku statystyk przetwarzanych danych telekomunikacyjnych. Statystyki obejmowayby wszczeglnoci: liczb przypadkw, wktrych uprawnione organy uzyskiway odprzedsibiorcw telekomunikacyjnych wycznie dane osobowe uytkownika; liczb przypadkw (rozumianych jako liczb numerw telefonicznych lub numerw IP), wktrych uprawnione organy uzyskiway dane telekomunikacyjne (z wyczeniem ustale danych abonenckich); czn liczb przypadkw, wktrych wniosek uprawnionego podmiotu nie mg by zrealizowany (w rozbiciu na2 ww. kategorie); liczb osb, ktrych dane telekomunikacyjne byy pozyskiwane iwykorzystywane przez uprawnione organy (z wyczeniem ustale danych abonenckich).
100 Kwestia tazostaa szczegowo omwiona wpkt3.2.8. Informacji nastr. 48.
71
W ocenie NIK, proponowane zmiany, jakkolwiek stanowice znaczny postp wstosunku doobecnie obowizujcych rozwiza, nie swystarczajce. Dla oceny funkcjonowania systemu retencji danych niezbdne jest gromadzenie rwnie danych natemat rodzaju spraw, wktrych rodek ten wykorzystywano oraz ojego skutecznoci.
3.3 Dobre praktyki

Najwysza Izba Kontroli, majc nacelu propagowanie dobrych praktyk, zwrcia uwag naniej przedstawione rozwizanie, ktrego zastosowanie winnych subach moe przyczyni si dopoprawy realizacji zada wzakresie pozyskiwania iprzetwarzania danych telekomunikacyjnych. Pozyskiwanie danych odoperatorw zaporednictwem wyspecjalizowanej komrki Pozyskiwania danych odoperatorw zaporednictwem innej komrki, ni komrka merytoryczna, tj.komrki poredniczcej, znacznie ogranicza ryzyko zwizane znieuprawnionym lub niecelowym pozyskiwaniem danych telekomunikacyjnych. Rozwizania takie wdroya andarmeria Wojskowa iMinisterstwo Finansw. Natomiast wprzypadku pozostaych jednostek kontrolowanych, oprcz komrki poredniczcej, zapytania mog rwnie kierowa upowanieni pracownicy komrek merytorycznych. Rozwizanie polegajce napozyskiwaniu danych zaporednictwem jednostek wsparcia, wsposb istotny redukuje ryzyko wystpienia nieprawidowoci. Dokonanie ustale wymaga wtym wypadku przekazania zapytania jednostce wsparcia, wktrej jest ono dodatkowo weryfikowane pod wzgldem zgodnoci zobowizujcymi przepisami. Rozwizanie takie znacznie ogranicza ryzyko naduycia kompetencji przez osoby prowadzce postpowanie, bd naruszenia obowizujcych wtym zakresie przepisw. Potwierdzaj toustalenia kontroli np.w centrali CBA, zgodnie zktrymi Biuro Techniki Operacyjnej (BTO) jednostka wsparcia kieruje zapytanie dooperatora dopiero pouprzedniej weryfikacji wniosku odokonanie ustale telekomunikacyjnych iusuniciu przez komrk wnioskujc brakw lub uchybie. Naley podkreli, i dokonywanie ustale telekomunikacyjnych przez suby stanowi znaczn ingerencj wsfer praw iwolnoci obywatelskich. Obejmuj one, bowiem nie tylko ustalenie danych abonenta, ale zazwyczaj rwnie wykazy pocze, czy szczegowe informacje omiejscach pobytu. Biorc pod uwag powysze uwarunkowania, przestrzeganie zasady rozdzielenia kluczowych kompetencji stanowi istotny element kontroli procesu pozyskiwania danych telekomunikacyjnych przez uprawnione suby. Jak pokazuje praktyka, wprowadzenie komrki poredniczcej wdokonywaniu zapyta, nie tylko pozwala wyeliminowa szereg nieprawidowoci wzapytaniach, ale niejednokrotnie pozwala skrci czas nauzyskanie danych danych, zmniejszajc ryzyko odmowy przekazania danych przez operatora zewzgldw formalnych. Naley przy tym zauway, i jego realizacja nie wymaga poniesienia dodatkowych nakadw, czy wprowadzenia szeroko zakrojonych zmian organizacyjnych, aw sposb istotny ogranicza ryzyko wystpienia nieprawidowoci. W ocenie NIK, celowe byoby wdroenie analogicznych rozwiza wewszystkich podmiotach pozyskujcych dane telekomunikacyjne101. Wprzypadku Sdw iProkuratur nie ma wprawdzie
101 Naleaoby tujednak przewidzie wyjtek dla biur spraw wewntrznych, ktre zewzgldu nacharakter realizowanych
72
zada, wymagajcych zachowania najwyszego stopnia poufnoci prowadzonych wstosunku doinnych funkcjonariuszy postpowa oraz niewielk liczb kierowanych zapyta, powinny pozyskiwa dane telekomunikacyjne zpominiciem jednostek wsparcia, przy zachowaniu jednake odpowiednich procedur wewntrznych wzakresie kontroli inadzoru nad realizowanym zadaniami.
moliwoci kontroli merytorycznej wnioskw (rwnie wpodmiotach stosujcych torozwizanie jest tokontrola zasadniczo ocharakterze formalnym), jednake jak pokazuje wysoki wskanik odmw udostpnienia danych telekomunikacyjnych przez operatorw zewzgldw formalnych (szczeglnie dotyczy toSdw), wprowadzenie zblionych rozwiza organizacyjnych uatwioby sdziom iprokuratorom prawidow realizacj zada wtym zakresie.
73
I n f o r m a c j e d o d at k o w e
4.1 Przygotowanie kontroli
Organizacja kontroli Najwysza Izba Kontroli nie przeprowadzaa dotychczas kontroli organw, sub iformacji mogcych pozyskiwa dane telekomunikacyjne. Kontrol planow poprzedzia analiza obowizujcych przepisw, dokumentw otrzymanych odpodmiotw pozyskujcych dane telekomunikacyjne, atake odoperatorw telekomunikacyjnych. Kontrol planow przeprowadzili kontrolerzy zDepartamentw Porzdku iBezpieczestwa Wewntrznego NIK, Obrony Narodowej, Budetu iFinansw oraz Delegatur NIK wBydgoszczy, Katowicach, Rzeszowie, Szczecinie iWrocawiu. Szczegowy wykaz jednostek kontrolujcych ikontrolowanych zamieszczono wza. nr5.1 nastr.76 Informacji. Metodyka prowadzenia kontroli Kontrola zostaa wcaoci przeprowadzona wgnowej procedury kontrolnej, wprowadzonej ustaw ozmianie ustawy oNajwyszej Izbie Kontroli oraz zwizanymi zni przepisami wykonawczymi. Cz dokumentacji postpowania kontrolnego, wtym wystpienie pokontrolne dotyczce ABW jest niejawna. Postpowanie kontrolne zostao poprzedzone pozyskaniem od8 najwikszych operatorw telekomunikacyjnych baz danych dotyczcych zapyta odane telekomunikacyjne. Bazy te, pozanonimizowaniu danych zostay wykorzystane dobadania rzetelnoci rejestrw prowadzonych przez poszczeglne podmioty kontrolowane. Ogem prb kontroln stanowio 2413 wnioskw oprzekazanie danych telekomunikacyjnych. Ponadto badaniu poddano zbir dokumentw/ zapisw ujtych wewidencji, dotyczcych dania udostpnienia danych telekomunikacyjnych przez kontrolowan jednostk wokresie od1stycznia 2011 r. do30czerwca 2012 r.102 Kontroli wzakresie pozyskiwania danych telekomunikacyjnych podlegay m.in.: regulaminy iinne akty prawa wewntrznego regulujce kwestie pozyskania tych danych; wytworzona wzwizku zdokonywaniem zapyta oww. dane dokumentacja; instrukcje, procedury iinne dokumenty opisujce funkcjonowanie systemw teleinformatycznych sucych pozyskiwaniu danych telekomunikacyjnych; procedury zabezpieczenia iniszczenia zbdnych danych. Kontroli nie podlegaa dokumentacja prowadzonych czynnoci operacyjno-rozpoznawczych. Zbadania wyczono rwnie dokumenty wchodzce wskad toczcych si postpowa sdowych lub prokuratorskich.
4.2 Postpowanie kontrolne idziaania podjte pozakoczeniu kontroli

Postpowanie kontrolne Postpowania kontrolne zostay przeprowadzone wposzczeglnych jednostkach wokresie od5wrzenia do 21grudnia 2012 r.
102 Badaniami obejmowano ca populacj lub wprzypadku populacji zawierajcych du liczb da wielko prby ustalano
74
od150 do300 dokumentw/zapisw wybranych zzastosowaniem metod statystycznych.
I n f o r m a c j e d o d at k o w e
Dziaania podjte pozakoczeniu kontroli Po kontroli, w17 wystpieniach pokontrolnych skierowanych dokierownikw kontrolowanych jednostek zawarto oceny kontrolowanej dziaalnoci, wtym: 12 ocen pozytywnych, 4 oceny pozytywne, pomimo stwierdzonych nieprawidowoci oraz 1 ocen negatywn. Oceny tezostay wydana woparciu obadanie strony organizacyjno-formalnej uzyskiwania przez uprawnione podmioty danych telekomunikacyjnych zewzgldu naograniczenia ustawowe kompetencji kontrolnych NIK, przedmiotem kontroli nie moga by ocena zasadnoci pozyskiwania przez uprawnione podmioty danych telekomunikacyjnych. Ponadto, formuujc oceny, NIK uwzgldnia, i obowizujce przepisy wsposb nieprecyzyjny reguluj kwestie zwizane zpozyskiwaniem danych telekomunikacyjnych. Wprzypadku kontrolowanych jednostek terenowych, ich kierownicy, dziaajc wzhierarchizowanej strukturze swoich sub iformacji, realizowali zadania postawione przez przeoonych, majc ograniczone uprawnienia decyzyjne. Wewntrzne akty prawne oraz stosowane rozwizania informatyczne byy wprowadzane centralnie, coistotnie rzutowao naswobod decyzji kierownikw jednostek kontrolowanych, atym samym zakres ich odpowiedzialnoci zastwierdzone nieprawidowoci kwestia tanie mogo pozosta bez wpywu naformuowane oceny. Szczegowe zestawienie ustale iocen kontrolowanych jednostek zawarto wza. nr5.3 nastr. 80 Informacji. Zastrzeenia dowystpienia pokontrolnego zgosili: Szef CBA oraz Prezes UKE. Zastrzeenia Prezesa UKE zostay, zprzyczyn formalnych, oddalone przez Prezesa NIK103. cznie, z12 zgoszonych przez Szefa CBA zastrzee, Kolegium NIK uwzgldnio czciowo jedno. W 17 wystpieniach pokontrolnych skierowanych dokierownikw skontrolowanych jednostek sformuowano cznie 34 wnioski pokontrolne zmierzajce dowyeliminowania stwierdzonych nieprawidowoci. Wszyscy adresaci wystpie pokontrolnych poinformowali Najwysz Izb Kontroli ozrealizowaniu wnioskw pokontrolnych, bd opodjciu dziaa celem ich realizacji. Naszczeglne podkrelenie zasuguje podjcie przez Prezesa Sdu Okrgowego wBydgoszczy, wramach posiadanych przez siebie kompetencji, kompleksowych dziaa wcelu zapobieenia wystpowania narusze przepisw wzakresie pozyskiwania danych telekomunikacyjnych rwnie wstosunku dosdw rejonowych funkcjonujcych naterenie podlegego mu okrgu.
103 Zostay zoone poupywie terminu ustawowego.
75
z a c z n i k i 5.1. Wykaz podmiotw objtych kontrol oraz jednostek organizacyjnych NIK, ktre przeprowadziy kontrol
Lp. Wyszczeglnienie Jednostka kontrolujca
1. Agencja Bezpieczestwa Wewntrznego 2. Centralne Biuro Antykorupcyjne 3. Komenda Gwna Policji 4. Komenda Gwna Stray Granicznej 5. Prokuratura Okrgowa wWarszawie 6. Sd Okrgowy wWarszawie 7. Urzd Komunikacji Elektronicznej 8. Suba Kontrwywiadu Wojskowego Departament Obrony Narodowej 9. Komenda Gwna andarmerii Wojskowej 10. Ministerstwo Finansw 11. Sd Okrgowy wBydgoszczy 12. Prokuratura Okrgowa wKatowicach Delegatura NIK wKatowicach 13. Komenda Wojewdzka Policji wKatowicach 14. Sd Okrgowy wSzczecinie 15. Prokuratura Okrgowa weWrocawiu Delegatura NIK weWrocawiu 16. Komenda Wojewdzka Policji weWrocawiu 17. Prokuratura Okrgowa wRzeszowie Delegatura NIK wRzeszowie 18. Komenda Wojewdzka Policji wRzeszowie Delegatura NIK wSzczecinie Departament Budetu iFinansw Delegatura NIK wBydgoszczy Departament Porzdku iBezpieczestwa Wewntrznego
76
z a c z n i k i 5.2. Wykaz osb zajmujcych wlatach 20102012 stanowiska kierownicze wkontrolowanych jednostkach104
Lp. Wyszczeglnienie Osoby odpowiedzialne zakontrolowan dziaalno wlatach 20102012 Szef genera brygady Krzysztof Bondaryk 1grudnia 2007 r. 15stycznia 2013 r. Szef: Pawe Wojtunik 13wrzenia 2009 r. nadal Komendanci: nadinspektor Marek Dziaoszyski 10stycznia 2012 r. nadal generalny inspektor Andrzej Matejuk 6marca 2008 r. 9stycznia 2012 r. Komendant nadinspektor Dariusz Dziao 9lutego 2012 r. nadal nadinspektor Dariusz Biel od2008 r. 8lutego 2012 r. Komendant inspektor Zdzisaw Stopczyk 14lutego 2012 r. nadal nadinspektor Jzef Gdaski od2008 r. 13lutego 2012 r. Komendanci: nadinspektor Dariusz Biel 9lutego 2012 r. luty 2013 r. nadinspektor Zbigniew Maciejewski od2008 r. 6lutego 2012 r. Szef: genera brygady Janusz Nosek 20maja 2008 r. nadal Komendanci: genera brygady SG Dominik Tracz 11kwietnia 2012 r. nadal genera brygady SG Leszek Elas 17stycznia 2008 r. 10kwietnia 2012 r. Komendant genera dywizji Mirosaw Rozmus 17grudnia 2010 r. nadal Minister Finansw Jan Vincent-Rostowski 16listopada 2007 r. nadal Prezes Sdu sdzia sdu okrgowego Danuta Flinik od2009 r. nadal Prezes Sdu sdzia sdu apelacyjnego Halina Zarzeczna 1lipca 2011 r. nadal sdzia sdu okrgowego Henryk Sobociski 1lipca 2005 r. 30czerwca 2011 r. Prezes Sdu sdzia sdu okrgowego Magorzata Kluziak 12wrzenia 2011 r. nadal sdzia sdu okrgowego Magorzata Kosicka 8sierpnia 2011 r. 11wrzenia 2011 r. sdzia sdu okrgowego Beata Wa 1stycznia 2011 r. 8sierpnia 2011 r. Prokurator Okrgowy wKatowicach Krzysztof Koaczek 7padziernika 2010 r. nadal Prokurator Okrgowy wRzeszowie Bogdan Gunia 28padziernika 2010 r. nadal Prokurator Okrgowy wWarszawie Ryszard Rogatko 14grudnia 2010 r. nadal Prokurator Okrgowy weWrocawiu Katarzyna Bo-Orzechowska 21lutego 2008 r. nadal Prezes: Magdalena Gaj 7lutego 2012 r. nadal Anna Streyska 14stycznia 2006 r. 6lutego 2012 r.
Agencja Bezpieczestwa 1. Wewntrznego wWarszawie 2. 3. Centralne Biuro Antykorupcyjne Komenda Gwna Policji wWarszawie Komenda Wojewdzka Policji wKatowicach Komenda Wojewdzka Policji wRzeszowie Komenda Wojewdzka Policji weWrocawiu Suba Kontrwywiadu Wojskowego Komenda Gwna Stray Granicznej Komenda Gwna andarmerii Wojskowej
4.
5.
6. 7. 8. 9.
10. Ministerstwo Finansw 11. Sd Okrgowy wBydgoszczy
Sd Okrgowy 12. wSzczecinie
13.
Sd Okrgowy wWarszawie Prokuratura Okrgowa wKatowicach Prokuratura Okrgowa wRzeszowie Prokuratura Okrgowa wWarszawie Prokuratura Okrgowa weWrocawiu Urzd Komunikacji Elektronicznej
14. 15. 16. 17. 18.
104 Aktualizacja na31grudnia 2012 r.
77
z a c z n i k i 5.3. Zasadnicze ustalenia kontroli ioceny jednostek105

Lp. Jednostka Zasadnicze ustalenia kontroli Dziaalno ABW wzakresie uzyskiwania iprzetwarzania przez nie danych zbilingw, informacji olokalizacji oraz innych danych, oktrych mowa wart.180c id ustawy Prawo telekomunikacyjne zostaa oceniona pozytywnie. Stwierdzone uchybienia dotyczyy braku skutecznej reakcji ABW nafakt otrzymywania odoperatorw danych telekomunikacyjnych wszerszym zakresie, ni wynikao toze stosownego zapytania. Zasady uzyskiwania iprzetwarzania wCBA danych, oktrych mowa wart.180c id Prawa telekomunikacyjnego byy prawidowo unormowane. Pozyskane dane zostay zabezpieczone przed nieuprawnionym dostpem lub zniszczeniem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi CBA. Nieprawidowoci dotyczyy pozyskiwania danych zaporednictwem sieci telekomunikacyjnej isystemw teleinformatycznych oraz naruszenia obowizujcych przepisw wewntrznych, przy udzielaniu upowanie dowystpowania oudostpnienie danych telekomunikacyjnych. Stwierdzono rwnie, e Szef CBA nie posiada informacji niezbdnych dla zapewnienia rzetelnego nadzoru nad pozyskiwaniem danych telekomunikacyjnych wprzypadku zapyta kierowanych zapomoc systemw teleinformatycznych. W KGP prawidowo uregulowano sposb udzielania pisemnych upowanie douzyskiwania danych telekomunikacyjnych oraz zapewni nadzr nad ich pozyskiwaniem iprzetwarzaniem. Pozyskane dane zostay prawidowo zabezpieczone przed nieuprawnionym dostpem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi KGP. Nieprawidowoci dotyczyy pozyskiwania danych zaporednictwem sieci telekomunikacyjnej isystemw teleinformatycznych oraz usuwania zbdnych danych telekomunikacyjnych. NIK zwrcia rwnie uwag nabrak odpowiednich procedur wewntrznych, ktre zapobiegyby wystpieniu nieprawidowoci lub pozwoliyby nabieco jeeliminowa. Prawidowo sformuowano wewntrzne uregulowania iutworzono odpowiednie struktury organizacyjne wobszarze pozyskiwania iprzetwarzania danych telekomunikacyjnych. Przestrzegano obowizujce przepisy wzakresie uzyskiwania, przetwarzania iniszczenia danych telekomunikacyjnych. W KWP dziaania dotyczce uzyskiwania, przetwarzania, wykorzystania iniszczenia byy prowadzono wsposb zapewniajcy bezpieczestwo, poufno, oraz integralno irozliczalno pozyskanych danych. Ocena105
Agencja 1. Bezpieczestwa Wewntrznego
pozytywna
Centralne Biuro 2. Antykorupcyjne
pozytywna, pomimo stwierdzonych nieprawidowoci
Komenda Gwna 3. Policji
Komenda Wojewdzka 4. Policji wKatowicach Komenda Wojewdzka 5. Policji wRzeszowie
pozytywna
pozytywna
105 Przy formuowaniu oceny realizacji zada przez kierownikw jednostek terenowych ABW, Policji iStray Granicznej
78
uwzgldniono ich ograniczone kompetencje wynikajce zfunkcjonowania wformacji scentralizowanej.
z a c z n i k i
Lp. Jednostka Zasadnicze ustalenia kontroli Zasady uzyskiwania iprzetwarzania danych telekomunikacyjnych zostay wsposb prawidowy uregulowane aktami wewntrznymi. Pozyskane dane zostay prawidowo zabezpieczone przed nieuprawnionym dostpem. Nie stwierdzono nieprawidowoci dotyczcych pozyskiwania, przetwarzania iniszczenia danych. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi KGP. NIK zwrcia uwag naniespjnoci wuregulowaniach wewntrznych dotyczce zatwierdzania wnioskw ostosowanie technicznych rodkw wsparcia. Zasady pozyskiwania iprzetwarzania danych telekomunikacyjnych wSKW byy prawidowo uregulowane aktami wewntrznymi. Pozyskane dane byy zabezpieczone przed nieuprawnionym dostpem, zapewniono take poufno ich przekazywania pomidzy uprawnionymi komrkami organizacyjnymi SKW. System uzyskiwania iprzetwarzania danych telekomunikacyjnych by prawidowo zorganizowany. Ustanowiono zabezpieczenia techniczne iorganizacyjne uniemoliwiajce wykorzystanie danych telekomunikacyjnych niezgodnie zcelem ich uzyskania, ustalono rodki zaradcze wcelu eliminacji ryzyka wystpienia zdarze niepodanych, okrelono procedury niszczenia danych telekomunikacyjnych nie majcych znaczenia dla postpowania karnego. Uchybienia dotyczyy braku rejestru osb upowanionych douzyskiwania danych zapomoc sieci telekomunikacyjnej, nieokrelenia zada wzakresie pozyskiwania danych telekomunikacyjnych wregulaminach wewntrznych niektrych komrek organizacyjnych izakresach obowizkw funkcjonariuszy. Stwierdzono rwnie pojedyncze przypadki naruszenia obowizujcych przepisw iprocedur. NIK zwrcia ponadto uwag, nakonieczno zapewnienia zewntrznego, wstosunku dokomrek organizacyjnych wnioskujcych irealizujcych zapytania odane telekomunikacyjne, nadzoru ikontroli nad realizacj przez poszczeglnych funkcjonariuszy uprawnie zwizanych zuzyskiwaniem iprzetwarzaniem danych telekomunikacyjnych. Przyjte wKomendzie Gwnej andarmerii Wojskowej rozwizania organizacyjno-prawne oraz techniczne zapewniay bezpieczestwo pozyskiwania iprzetwarzania danych telekomunikacyjnych. Stosowany tryb postpowania zpozyskanymi danymi telekomunikacyjnymi eliminowa ryzyko wystpienia zdarze niepodanych wzakresie nieuprawnionego dostpu dodanych telekomunikacyjnych. Zasady uzyskiwania iprzetwarzania danych, o ktrych mowa wart.180c id Prawa telekomunikacyjnego zostay wsposb prawidowy uregulowane aktami wewntrznymi. Pozyskane dane zostay zabezpieczone przed nieuprawnionym dostpem lubzniszczeniem. Zapewniono take poufno przekazywania danych pomidzy uprawnionymi komrkami organizacyjnymi. Ocena105
Komenda Wojewdzka 6. Policji weWrocawiu
pozytywna
Suba 7. Kontrwywiadu Wojskowego
pozytywna
8.
Komenda Gwna Stray Granicznej
pozytywna
Komenda Gwna 9. andarmerii Wojskowej
pozytywna
10.
Ministerstwo Finansw
pozytywna
79
z a c z n i k i
Lp. Jednostka Zasadnicze ustalenia kontroli Administracyjno-organizacyjna dziaalno sdu wzakresie uzyskiwania iprzetwarzania danych telekomunikacyjnych oceniona zostaa pozytywnie. Wszystkie uzyskane dane telekomunikacyjne zabezpieczone byy poprzez wyczenie ich zakt spraw, ktrych dotyczyy. Stwierdzono przypadki odmowy udostpnienia danych przez operatorw zuwagi nabrak podstawy odsformuowania takiego dania. NIK zwrcia ponadto uwag nabrak odrbnej ewidencji spraw izapyta zjakimi wystpowano dooperatorw, copowodowao trudnoci wustaleniu ich oglnej liczby iprzebiegu procesu pozyskiwania tych danych. Administracyjno-organizacyjna dziaalno sdu wzakresie uzyskiwania iprzetwarzania danych telekomunikacyjnych oceniona zostaa pozytywnie. Wszystkie uzyskane dane telekomunikacyjne zabezpieczone byy poprzez wyczenie ich zakt spraw, ktrych dotyczyy. Stwierdzono przypadki kierowania wnioskw oudostpnienie danych telekomunikacyjnych wsprawach cywilnych, bez uzyskania uprzednio zgody abonenta; wskazywania niewaciwych przepisw, jako podstawy udostpnienia danych telekomunikacyjnych; dania treci sms-w oraz powoywania si naprzepisy postpowania karnego wsprawach cywilnych; wystpowania odane telekomunikacyjne zaokres przekraczajcy 24 miesice, odmowy udostpnienia przez operatorw danych telekomunikacyjnych, zewzgldu nabrak podstawy prawnej dotakiego wystpienia iuchylenia tajemnicy telekomunikacyjnej lub naniewykonalno postanowienia Sdu zinnych formalno-prawnych przyczyn; nie realizowania obowizku informacyjnego, wstosunku doosb, ktrych dane telekomunikacyjne pozyskiwano. Kontrola nie zostaa zakoczona postwierdzeniu przez kontrol niezgodnoci prezentowanych danych zestanem faktycznym, Prezes Sdu uniemoliwia dalsze prowadzenie czynnoci kontrolnych, powoujc si nazasad niezawisoci sdziowskiej. Prokurator Okrgowy okreli zasady bezpieczestwa oraz organizacji pracy przy uzyskiwaniu danych telekomunikacyjnych oraz zapewni przekazywanie prokuratorom danych telekomunikacyjnych udostpnionych zapomoc systemu teleinformatycznego zgodnie ztreci wydanych przez nich postanowie. Nieprawidowoci dotyczyy wydawania zarzdze odorczeniu postanowie idorczania postanowie znaruszeniem terminu okrelonego wart.218 2 zd. 2 ustawy zdnia 6czerwca 1997 r. Kodeks postpowania karnego. Obowizujce wProkuraturze procedury wewntrzne dotyczce zabezpieczenia waktach postpowania przygotowawczego danych telekomunikacyjnych przed ich udostpnieniem osobom nieupowanionym reguloway wszystkie istotne kwestie, zpunktu widzenia realizacji celw dla ktrych dane tes uzyskiwane. Nieprawidowoci dotyczyy przypadkw niedorczania abonentom telefonw postanowie, napodstawie ktrych uzyskano wykaz pocze zich telefonw, mimo prawomocnego zakoczenia postpowa przygotowawczych. Ocena105
11.
Sd Okrgowy wBydgoszczy
pozytywna
12.
Sd Okrgowy wSzczecinie
pozytywna
Sd Okrgowy 13. wWarszawie
Prokuratura 14. Okrgowa wKatowicach
Prokuratura 15. Okrgowa wRzeszowie
pozytywna
80
z a c z n i k i
Lp. Jednostka Zasadnicze ustalenia kontroli Prokurator Okrgowy okreli zasady bezpieczestwa oraz organizacji pracy przy uzyskiwaniu danych telekomunikacyjnych oraz zapewni przekazywanie prokuratorom danych telekomunikacyjnych udostpnionych zapomoc systemu teleinformatycznego zgodnie ztreci wydanych przez nich postanowie. Nieprawidowoci dotyczyy wydawania zarzdze odorczeniu postanowie idorczania postanowie znaruszeniem terminu okrelonego wart.218 2 zd. 2 ustawy zdnia 6czerwca 1997 r. Kodeks postpowania karnego. W Prokuraturze wsposb prawidowy zorganizowano system pozyskiwania danych telekomunikacyjnych. Dane teuzyskiwano nawaciwej podstawie prawnej, wycznie przez uprawnione osoby, aich zabezpieczone przed dostpem osb nieuprawnionych byo naleyte. Ocena105
Prokuratura 16. Okrgowa wWarszawie
Prokuratura Okrgowa 17. weWrocawiu
pozytywna
Prezes UKE nie sprawowa, pomimo posiadania stosownych kompetencji ustawowych, skutecznego nadzoru nad wywizywaniem si przez przedsibiorcw telekomunikacyjnych Urzd Komunikacji znaoonych nanich obowizkw. Wefekcie opracowywane 18. Elektronicznej przez Prezesa UKE informacje wzakresie wykorzystania przez suby danych retencyjnych nie odpowiaday stanowi rzeczywistemu. Stwierdzono rwnie brak nadzoru nad przetwarzaniem iniszczeniem danych retencyjnych.
negatywna
81
z a c z n i k i 5.4. Charakterystyka obszaru objtego kontrol

5.4.1. Charakterystyka stanu prawnego Implementacja dyrektywy 2006/24/WE zostaa dokonana poprzez zmian ustawy Prawo telekomunikacyjne, ustaw zdnia 24kwietnia 2009 r.106 Art.180c ust.2 znowelizowanej ustawy zawiera upowanienie dla ministra waciwego do spraw cznoci, dziaajcego wporozumieniu zministrem waciwym dospraw wewntrznych, dookrelenia wdrodze rozporzdzenia szczegowego wykazu danych, ktre zgodnie ztreci ustawy podlegaj retencji 107 przez operatorw telekomunikacyjnych oraz rodzajw operatorw publicznej sieci telekomunikacyjnej lub dostawcw publicznie dostpnych usug telekomunik ac yjnych obowizanych dozatrzymywania iprzechowywania tych danych. Wzmiankowane rozporzdzenie zostao wydane przez Ministra Infrastruktury wdniu 28grudnia 2009 r.108, zdat wejcia wycie od1stycznia 2010 r. Zgodnie zart.180a Prawa telekomunikacyjnego, naoperatorze publicznej sieci telekomunikacyjnej oraz dostawcy publicznie dostpnych usug telekomunikacyjnych ciy obowizek zatrzymywania iprzechowywania przez okres 12 miesicy109 danych oruchu wsieciach telekomunikacyjnych (art.180c Prawa telekomunikacyjnego) wcelu zapobiegania, dochodzenia, wykrywania icigania przestpstw. Dostawc usug, zgodnie zdefinicj sformuowan wart.2 pkt27 Prawa telekomunikacyjnego, jest przedsibiorca, jak te inny podmiot uprawniony dowykonywania dziaalnoci gospodarczej napodstawie odrbnych przepisw, wiadczcy usugi telekomunikacyjne, awic usugi polegajce gwnie naprzekazywaniu sygnaw wsieci telekomunikacyjnej. Operatorem natomiast jest przedsibiorca lub inny podmiot uprawniony dowykonywania dziaalnoci gospodarczej napodstawie odrbnych przepisw, uprawniony dodostarczania publicznych sieci telekomunikacyjnych lub udogodnie towarzyszcych. Oznacza to, e obowizek zachowywania danych ciy rwnie napodmiotach wiadczcych rnego rodzaju usugi telekomunikacyjne, wszczeglnoci usug bezprzewodowego dostpu doInternetu (tzw. WLAN-Hotspots)110. Naley zauway, e podmioty, oktrych mowa art.180a Prawa telekomunikacyjnego zostay zobowizane nawasny koszt zarwno zatrzymywa iprzechowywa ww. dane, udostpnia jeuprawnionym podmiotom, jak rwnie jechroni. 111Jednoczenie podmioty tezostay
106 Ustawa zdnia 24kwietnia 2009 r. ozmianie ustawy Prawo telekomunikacyjne oraz niektrych innych ustaw (Dz.U. Nr85,
poz.716).
107 Retencja danych sprowadza si do obowizku zapisywania przez dostawcw oglnie dostpnych usug cznoci
82
elektronicznej lub publicznych sieci cznoci, przez okrelony czas (od 6 miesicy dodwch lat), danych niezbdnych doustalenia rda poczenia; danych niezbdnych doustalenia odbiorcy poczenia; danych niezbdnych dookrelenia daty, godziny iczasu trwania poczenia; danych niezbdne dookrelenia rodzaju poczenia; dane niezbdne dookrelenia narzdzia komunikacji lub tego, comoe suy zanarzdzie komunikacji; danych niezbdnych doidentyfikacji lokalizacji urzdzenia komunikacji ruchomej. Obowizek ten wynika zdyrektywy 2006/24/WE Parlamentu Europejskiego iRady zdnia 15marca 2006 r., zwanej te dyrektyw wsprawie retencji danych telekomunikacyjnych. 108 Rozporzdzenie Ministra Infrastruktury zdnia 28grudnia 2009 r. wsprawie szczegowego wykazu danych oraz rodzajw operatorw publicznej sieci telekomunikacyjnej lub dostawcw publicznie dostpnych usug telekomunikacyjnych obowizanych doich zatrzymywania iprzechowywania (Dz.U. Nr226, poz.1828). 109 Do 21stycznia 2013 obowizywa 24 miesiczny okres retencji danych. 110 M. Siwicki, Retencja danych transmisyjnych napodstawie art.180a Prawa telekomunikacyjnego, Prokuratura iPrawo, Nr9/2011, str. 112 inast. 111 Zob. postanowienie Sdu Najwyszego zdnia 25marca 2010 r. (sygn. IKZP 37/09) oraz rozporzdzenie Prezesa Rady Ministrw zdnia 22marca 2010 r. wsprawie sposobu przekazywania iudostpniania danych wprzypadku ogoszenia upadoci operatora publicznej sieci telekomunikacyjnej lub dostawcy publicznie dostpnych usug telekomunikacyjnych (Dz.U. zdnia 29marca 2010r.).
z a c z n i k i
zobowizane doudostpniania wskazanych danych uprawnionym subom, atake sdowi iprokuratorowi. Nie udzielenie informacji wskazanym subom, atake sdowi iprokuratorowi podlega karom, oktrych mowa wart.209 ust.1 Prawa telekomunikacyjnego. Moe torwnie skutkowa naoeniem przez prezesa UKE kary pieninej naosob kierujc przedsibiorstwem telekomunikacyjnym na podstawie art.209 ust.2 Prawa telekomunikacyjnego. Kary pienine nakadane przez organy regulacji rynku nie maj jednake charakteru sankcji karnych112. Dane, oktrych mowa wart.180c Prawa telekomunikacyjnego, tozgodnie zust.1 pkt 1 dane niezbdne do: ustalenia zakoczenia sieci, telekomunikacyjnego urzdzenia kocowego, uytkownika kocowego (inicjujcego poczenia oraz doktrego kierowane jest poczenie) oraz zgodnie zpkt2 przywoanego przepisu: okrelenia daty igodziny poczenia oraz czasu jego trwania, rodzaju poczenia, lokalizacji telekomunikacyjnego urzdzenia kocowego. Naley zauway, e dane wymienione wtreci cytowanego wyej art.180c stanowi odwoanie dokatalogu definiujcego tajemnic telekomunikacyjn (art.159 ust.pkt1 Prawa telekomunikacyjnego), wtym danych precyzujcych sposb gromadzenia informacji dotyczcych uytkownika (art.161 i179 ust.9 Prawa telekomunikacyjnego) is danymi osobowymi, wzwizku zczym podlegaj rwnie ochronie napodstawie ustawy oochronie danych osobowych. Dane osobowe, towedug art.6 ust.1 ustawy oochronie danych osobowych wszelkie informacje dotyczce zidentyfikowanej lub moliwej dozidentyfikowania osoby fizycznej113. Dodanych osobowych zaliczane sprzede wszystkim: imi inazwisko, dane adresowe, wizerunek (zdjcie), miejsce urodzenia, miejsce zamieszkania. Niewtpliwie art.180a Prawa telekomunikacyjnego stanowi przesank zgodnego zprawem przetwarzania danych osobowych uytkownikw kocowych. Jednake powinna tuznale zastosowanie zasada adekwatnoci iproporcjonalnoci przechowywania danych, wedug ktrej dane naley gromadzi wsposb proporcjonalny iadekwatny docelu, dla jakiego sone gromadzone (art.26 ust.1 pkt3 ustawy oochronie danych osobowych). Nieuprawnione gromadzenie danych ocharakterze osobowym stanowi wedug art.49 ust.1 ustawy oochronie danych osobowych czyn przestpczy114. Na mocy cytowanej ju ustawy zdnia 24kwietnia 2009 r. nowelizujcej Prawo telekomunikacyjne, wprowadzono doustaw regulujcych zadania ikompetencje organw cigania, waciwych sub oraz jednostek organizacyjnych podlegych ministrowi waciwemu dospraw finansw publicznych, niej wymienione przepisy rozszerzajce moliwo uzyskiwania danych identyfikacyjnych abonentw sieci telekomunikacyjnych: a) art.218 1 k.p.k.; b) art.20 c ustawy oPolicji; c) art.10 b ustawy oStray Granicznej;
112 Por. np.wyrok Sdu Najwyszego zdnia 14kwietnia 2010 r. (sygn. III SK 1/10). 113 Wedug tej definicji pojcie danych osobowych obejmuje zarwno informacje pozwalajce naokrelenie tosamoci
konkretnej osoby, jak te informacje, ktre nie pozwalaj najej natychmiastow identyfikacj, ale sprzy pewnym nakadzie kosztw, czasu idziaa, wystarczajce dojej ustalenia. Pojcie danych osobowych obejmuje zatem zbir jakichkolwiek informacji umoliwiajcych identyfikacj osoby codo tosamoci. Ocena taka wynika rwnie zDyrektywy 2002/58/WE zdnia 12lipca 2002 r. oprzetwarzaniu danych osobowych iochronie prywatnoci wsektorze komunikacji elektronicznej oraz wzorowanych natej Dyrektywie przepisw rozdziau 4 ustawy zdnia 18lipca 2002 r. owiadczeniu usug drog elektroniczn. 114 Wedug tego przepisu, kto przetwarza wzbiorze dane osobowe, cho ich przetwarzanie nie jest dopuszczalne, albo doktrych przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolnoci, albo pozbawienia wolnoci dolat 2. Wsytuacji, kiedy okrelony powyej czyn dotyczy danych ujawniajcych pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, danych ostanie zdrowia, kodzie genetycznym, naogach lub yciu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolnoci, albo pozbawienia wolnoci dolat 3.
83
z a c z n i k i
d) e) f) g) h) art.36b ustawy okontroli skarbowej; art.30 ust.1 ustawy oandarmerii Wojskowej iwojskowych organach porzdkowych; art.28 ustawy oAgencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu; art.18 ustawy oCentralnym Biurze Antykorupcyjnym; art.31 ustawy oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego.
Podobne zmiany wprowadzono ustaw zdnia 26maja 2011 r. ozmianie ustawy ograch hazardowych oraz niektrych innych ustaw115, gdzie zosta dodany doustawy oSubie Celnej art.75d. Zgodnie ztreci art.75d ust.1 ustawy oSubie Celnej, wcelu zapobiegania lub wykrywania przestpstw skarbowych, oktrych mowa wrozdziale 9 Kodeksu karnego skarbowego (a wic przestpstw skarbowych przeciwko organizacji gier hazardowych), Subie Celnej mog by udostpniane dane, oktrych mowa wart.180c iart.180d Prawa telekomunikacyjnego. Odnoszc si dotrybu dania przez sdy iprokuratury udostpnienia danych, oktrych mowa wart.180c Prawa telekomunikacyjnego, naley stwierdzi, i kluczowe dla oceny prawnej jest brzmienie 1 art.218 k.p.k., ktry stanowi, i urzdy, instytucje ipodmioty prowadzce dziaalno wdziedzinie poczty lub dziaalno telekomunikacyjn, urzdy celne oraz instytucje iprzedsibiorstwa transportowe obowizane swyda sdowi iprokuratorowi, nadanie zawarte wpostanowieniu, korespondencj iprzesyki oraz dane, oktrych mowa wart.180c i180d Prawa telekomunikacyjnego. danie przez uprawnione suby udostpnienia danych, oktrych mowa wart.180c Prawa telekomunikacyjnego wymaga spenienia okrelonych przesanek ustawowych. Wszczeglnoci omawiane dane sudostpniane: a) w celu zapobiegania lub wykrywania przestpstw (art.20c ust.1 ustawy oPolicji oraz art.10 b ust.1 ustawy oStray Granicznej); b) w celu zapobiegania lub wykrywania przestpstw skarbowych lub przestpstw, oktrych mowa wart.2ust.1 pkt14b, oraz narusze przepisw, oktrych mowa wart.2 ust.1 pkt12, tj.take wcelu zapobiegania iujawniania przestpstw, oktrych mowa wart.228-231 k.k., popenianych przez osoby zatrudnione lub penice sub wjednostkach organizacyjnych podlegych ministrowi waciwemu dospraw finansw publicznych oraz wcelu zapobiegania iwykrywania narusze krajowych przepisw celnych oraz cigania narusze krajowych lub wsplnotowych przepisw celnych (art.36b ust.1 pkt1 ustawy okontroli skarbowej); c) w celu zapobiegania lub wykrywania przestpstw, wtym skarbowych (art.30 ust.1 ustawy oandarmerii Wojskowej iwojskowych organach porzdkowych); d) w celu realizacji przez ABW zada, oktrych mowa wart.5 ust.1, tj.rozpoznawania, zapobiegania izwalczania zagroe godzcych wbezpieczestwo wewntrzne pastwa oraz jego porzdek konstytucyjny, rozpoznawania, zapobiegania iwykrywania przestpstw okrelonych wart.5 ust.1 pkt2; realizowania, wgranicach swojej waciwoci, zada zwizanych zochron informacji niejawnych oraz wykonywania funkcji krajowej wadzy bezpieczestwa wzakresie ochrony informacji niejawnych wstosunkach midzynarodowych; uzyskiwania, analizowania, przetwarzania iprzekazywania waciwym organom informacji mogcych mie istotne znaczenie dla ochrony bezpieczestwa wewntrznego pastwa ijego porzdku konstytucyjnego, podejmowania innych dziaa okrelonych wodrbnych ustawach iumowach midzynarodowych (art.28 ust.1 pkt1 ustawy oAgencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu);
84
115 Dz.U. Nr134, poz.779, akt wygas zdniem 15marca 2012 r.
z a c z n i k i
e) w celu realizacji przez CBA zada okrelonych wart.2, tj.w celu: 1) rozpoznawania, zapobiegania iwykrywania przestpstw wymienionych wart.2 ust.1 pkt1, oraz cigania ich sprawcw, 2)ujawniania iprzeciwdziaania przypadkom nieprzestrzegania przepisw ustawy oograniczeniu prowadzenia dziaalnoci gospodarczej przez osoby penice funkcje publiczne, 3) dokumentowania podstaw iinicjowania realizacji przepisw ustawy ozwrocie korzyci uzyskanych niesusznie kosztem Skarbu Pastwa lub innych pastwowych osb prawnych, 4) ujawniania przypadkw nieprzestrzegania okrelonymi przepisami prawa procedur podejmowania irealizacji decyzji wprzedmiocie: prywatyzacji ikomercjalizacji, wsparcia finansowego, udzielenia zamwie publicznych, rozporzdzenia mieniem jednostek lub przedsibiorcw oraz przyznawania koncesji, zwolnie, zwolnie podmiotowych iprzedmiotowych, ulg, preferencji, kontyngentw, plafonw, porcze igwarancji kredytowych, 5)kontroli prawidowoci iprawdziwoci owiadcze majtkowych lub owiadcze oprowadzeniu dziaalnoci gospodarczej osb penicych funkcje publiczne, oktrych mowa wart.115 19 k. k., 6)prowadzenia dziaalnoci analitycznej dotyczcej zjawisk wystpujcych wobszarze waciwoci CBA oraz przedstawiania wtym zakresie informacji Prezesowi Rady Ministrw, Prezydentowi RP, Sejmowi oraz Senatowi, 7) podejmowania innych dziaa okrelonych wodrbnych ustawach iumowach midzynarodowych (art.18 ust.1 pkt1ustawy oCentralnym Biurze Antykorupcyjnym); f) w celu realizacji przez SKW zada okrelonych wart.5, tj.: 1) rozpoznawania, zapobiegania oraz wykrywania popenionych przez onierzy, funkcjonariuszy SKW iSWW oraz pracownikw Si Zbrojnych RP (SZ RP) iinnych jednostek organizacyjnych Ministerstwa Obrony Narodowej (MON), przestpstw wymienionych art.5 ust.1 pkt1, 2) realizowania, wgranicach swojej waciwoci, zada okrelonych wprzepisach ustawy oochronie informacji niejawnych, 3) uzyskiwania, gromadzenia, analizowania, przetwarzania iprzekazywania waciwym organom informacji mogcych mie znaczenie dla obronnoci pastwa, bezpieczestwa lub zdolnoci bojowej Si Zbrojnych oraz podejmowania dziaa wcelu eliminowania ustalonych zagroe, 4) prowadzenia kontrwywiadu radioelektronicznego oraz przedsiwzi zzakresu ochrony kryptograficznej ikryptoanalizy, 5)uczestniczenia w planowaniu iprzeprowadzaniu kontroli realizacji umw midzynarodowych dotyczcych rozbrojenia, 6) ochrony bezpieczestwa jednostek wojskowych iinnych jednostek organizacyjnych MON, 7) ochrony bezpieczestwa bada naukowych iprac rozwojowych, 9)podejmowania innych dziaa przewidzianych dla Suby Kontrwywiadu Wojskowego (art.32 ust.1 pkt1 ustawy oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego). W powoanych wyej ustawach kompetencyjnych tylko szcztkowo zosta okrelony tryb dania danych telekomunikacyjnych przez uprawnione podmioty. Szczegowe procedury wsppracy uprawnionych podmiotw zoperatorami iprzedsibiorcami telekomunikacyjnymi wzakresie udostpnienia danych, oktrych mowa wart.180c, w szczeglnoci rodki techniczne iorganizacyjne, sposb prowadzenia izakres dokumentacji, oraz tryb wydawania upowanie douzyskiwania danych telekomunikacyjnych, zostay okrelone waktach prawa wewntrznego poszczeglnych sub iuprawnionych organw116. Przepisy ustawy Prawo telekomunikacyjne okrelaj, e organy administracji cznoci, ktrymi sminister waciwy dospraw cznoci (obecnie Minister Administracji iCyfryzacji) iPrezes Urzdu Komunikacji Elektronicznej prowadz polityk regulacyjn, majc nacelu wszczeglnoci przyczynianie si dozapewnienia wysokiego poziomu ochrony danych osobowych (art.189 ust.2
116 Szczegowa analiza iporwnanie obowizujcych procedur zostanie przeprowadzona wramach prowadzonej kontroli.
85
z a c z n i k i
pkt3 lit. c) oraz zapewnienie integralnoci ibezpieczestwa publicznej sieci telekomunikacyjnej (art.189 ust.2 pkt3 lit. f ). Prezes UKE, jako centralny organ administracji rzdowej, wykonujcy zadania zzakresu regulacji ikontroli rynku usug telekomunikacyjnych, jest uprawniony dokontroli przestrzegania przepisw, decyzji ipostanowie zzakresu telekomunikacji oraz donakadania kar pieninych. Przedsibiorca telekomunikacyjny napodstawie art.180g ust.1 Prawa telekomunikacyjnego wterminie do31stycznia, skada Prezesowi UKE, zarok poprzedni informacje o: 1) cznej liczbie przypadkw, wktrych uprawnionym podmiotom, sdowi i prokuratorowi byy udostpnione dane, oktrych mowa wart.180c ust.1; 2) czasie, jaki upyn midzy dat zatrzymania danych adat zoenia przez podmioty, oktrych mowa wpkt1, wniosku lub ustnego dania oich udostpnienie; 3) cznej liczbie przypadkw, wktrych wniosek lub ustne danie, oktrym mowa wpkt2, nie mg by zrealizowany. Zgodnie zart.10 Dyrektywy 2006/24/WE oraz stosownie dopostanowie art.180g ust.2 ustawy Prawo telekomunikacyjne Prezes UKE przygotowuje zbiorcze zestawienie dotyczce da udostpnienia danych kierowanych oduprawnionych podmiotw, sdw iprokuratorw doprzedsibiorcw telekomunikacyjnych. Jest ono publikowane raz doroku. 5.4.2. Uwarunkowania organizacyjne Urzd Komunikacji Elektronicznej Przepisy ustawy Prawo telekomunikacyjne okrelaj m.in., e organy administracji cznoci, ktrymi sminister waciwy dospraw cznoci (obecnie Minister Administracji iCyfryzacji) iPrezes Urzdu Komunikacji Elektronicznej prowadz polityk regulacyjn, majc nacelu wszczeglnoci przyczynianie si dozapewnienia wysokiego poziomu ochrony danych osobowych (art.189 ust.2 pkt3 lit. c) oraz zapewnienie integralnoci ibezpieczestwa publicznej sieci telekomunikacyjnej (art.189 ust.2 pkt3 lit. f ). Prezes UKE, jako centralny organ administracji rzdowej, wykonujcy zadania zzakresu regulacji ikontroli rynku usug telekomunikacyjnych, jest uprawniony dokontroli przestrzegania przepisw, decyzji ipostanowie zzakresu telekomunikacji oraz donakadania kar pieninych. Przedsibiorca telekomunikacyjny napodstawie art.180g ust.1 Prawa telekomunikacyjnego wterminie dodnia 31stycznia, skada Prezesowi UKE, zarok poprzedni informacje o: 1) cznej liczbie przypadkw, wktrych uprawnionym podmiotom, sdowi i prokuratorowi byy udostpnione dane, oktrych mowa wart.180c ust.1; 2) czasie, jaki upyn midzy dat zatrzymania danych adat zoenia przez podmioty, oktrych mowa wpkt1, wniosku lub ustnego dania oich udostpnienie; 3) cznej liczbie przypadkw, wktrych wniosek lub ustne danie, oktrym mowa wpkt2, nie mg by zrealizowany. Agencja Bezpieczestwa Wewntrznego Do kierowania zapyta, celem pozyskania danych telekomunikacyjnych bezporednio dooperatorw upowaniony by Departament Wsparcia Operacyjno-Technicznego ABW oraz jego odpowiedniki wdelegaturach ABW, atake komrki odpowiedzialne zakoordynacj, analityk inadzr Delegaturze Stoecznej, Departamencie Zwalczania Terroryzmu, Departamencie Bezpieczestwa Wewntrznego iAudytu oraz Centrum Analiz. Zlecania dotyczce ustale
86
z a c z n i k i
telekomunikacyjnych skaday wybrane komrki upowanionych przez Szefa ABW omiu departamentw ABW. Zaakceptowane przez dyrektora departamentu lub upowanionego wicedyrektora zlecenie kierowane byo dokomrki realizujcej. Podokonaniu ustalenia przeoony funkcjonariusza dokonujcego ustalenia przekazywa odpowied dofunkcjonariusza zlecajcego zapytanie. Centralne Biuro Antykorupcyjne Jednostk organizacyjn odpowiedzialn zauzyskiwanie danych telekomunikacyjnych napotrzeby jednostek organizacyjnych usytuowanych wWarszawie oraz wszczeglnie uzasadnionych przypadkach, napotrzeby Delegatur CBA, byo Biuro Techniki Operacyjnej.117 Wdelegaturach CBA zapozyskiwanie danych telekomunikacyjnych, odpowiedzialne byy zespoy/sekcje wsparcia lub wydziay operacyjno-ledcze. Ustalenia telekomunikacyjne wtrybie art.18 ust.2 ustawy oCBA dokonywane byy napisemny wniosek szefa CBA lub osoby przez niego upowanionej, jak rwnie naustne danie funkcjonariusza, realizowane byy napodstawie ewidencjonowanych wdziennikach korespondencyjnych zlece pisemnych. Wprzypadku uzyskania informacji wtrybie zapytania ustnego, sporzdzano stosown notatk lub adnotacj nawniosku. Wyniki sprawdze przekazywano zapokwitowaniem osobie upowanionej wpimie zlecajcym ustalenia, drog pisemn lub elektroniczn poczt szyfrowan. Policja Dane telekomunikacyjne wKomendzie Gwnej Policji wtrybie art.20c ustawy zdnia 6kwietnia 1990 r. oPolicji, byy pozyskiwane przez funkcjonariuszy Centralnego Biura ledczego KGP, Biura Spraw Wewntrznych KGP, Biura Wywiadu Kryminalnego KGP oraz Biura Kryminalnego KGP. Dane telekomunikacyjne byy pozyskiwane napodstawie pisemnych zlece komrek organizacyjnych (Wydziaw) wchodzcych wskad ww. Biur, ktre miay wzakresie swojej waciwoci okrelone zadania zwizane zzapobieganiem lub wykrywaniem przestpstw, atake Biura Midzynarodowej Wsppracy Policji KGP. W komendach wojewdzkich Policji za pozyskiwanie danych telekomunikacyjnych, odpowiedzialne byy wydziay techniki operacyjnej, wydziay wywiadu kryminalnego. Osobami uprawnionymi, dowystpowania zdaniem udostpnienia danych telekomunikacyjnych dooperatorw byli policjanci wskazani wpisemnym wniosku Komendanta Gwnego Policji lub komendanta wojewdzkiego Policji albo osoby przez nich upowanione. Suba Kontrwywiadu Wojskowego Szef SKW napodstawie art.20 ust.2 ustawy oSKW iSWW upowani dyrektora Biura Techniki iObserwacji oraz jego zastpcw dowystpowania wjego imieniu dooperatorw odane telekomunikacyjne. Ponadto do korzystania z elektronicznych baz danych operatorw telekomunikacyjnych upowanione zostay imiennie osoby zdziewiciu jednostek organizacyjnych SKW realizujcych czynnoci operacyjne. Udostpnianie danych telekomunikacyjnych upowanionemu funkcjonariuszowi SKW, odbywao si napodstawie porozumie zawartych pomidzy Szefem SKW aoperatorem.
117 7 ust. 2 pkt 10 zarzdzenia nrN/6/10 zdnia 26padziernika 2010 r. wsprawie regulaminu organizacyjnego Biura Techniki
Operacyjnej.
87
z a c z n i k i
Stra Graniczna Podmiotami uprawnionymi douzyskiwania iprzetwarzania danych telekomunikacyjnych wKomendzie Gwnej Stray Granicznej byy komrki organizacyjne, ktre regulaminami wewntrznymi zostay powoane dorozpoznania, zapobiegania iwykrywania przestpstw tj.Zarzd Operacyjno-ledczy118 iZarzd Spraw Wewntrznych119. Ustalenia telekomunikacyjne dokonywane wtrybie art.10b ust.2 pkt1 ustawy oStray Granicznej tj.na pisemny wniosek Komendanta Gwnego Stray Granicznej lub osoby przez niego upowanionej, jak rwnie naustne danie funkcjonariusza, realizowane byy napodstawie ewidencjonowanych wrejestrze upowanie. Wystpowanie przez upowanionego funkcjonariusza oustalenie danych telekomunikacyjnych odbywao si zawiedz izgod kierownika komrki organizacyjnej. andarmeria Wojskowa Do uzyskiwania danych telekomunikacyjnych uprawnion komrk by Wydzia Zabezpieczenia iEwidencji wZarzdzie Dochodzeniowo-ledczym Komendy Gwnej andarmerii Wojskowej. Zwnioskiem doSzefa tego wydziau mogli wystpowa szefowie wydziaw, komendanci placwek, onierze Zarzdu Dochodzeniowo-ledczego poakceptacji przez bezporedniego przeoonego. Ministerstwo Finansw Departament Wywiadu Skarbowego Ministerstwa Finansw, pozyskiwa dane telekomunikacyjne wtrybie okrelonym wart.36 b ustawy zdnia 28wrzenia 1991 r. okontroli skarbowej120. Dane teuzyskiwano zwykorzystaniem Systemu Elektronicznej Wymiany Informacji (SEWI), zktrego mogli korzysta jedynie pracownicy Wywiadu Skarbowego, pozoeniu pisemnej proby donaczelnika Wydziau Wywiadu Skarbowego. Pozyskiwanie danych telekomunikacyjnych wtrybie art.75 d ustawy zdnia 27sierpnia 2009 r. oSubie Celnej121 powierzono Krajowej Grupie Zadaniowej ds. e-kontroli, funkcjonujcej wIzbie Celnej wOpolu, realizujcej zadania narzecz caej Suby Celne. Sdy W sdach okrgowych dane telekomunikacyjne uzyskane odoperatorw byy integraln czci akt sdowych wramach procedury, wktrej zostay uzyskane ipodlegay ochronie wedug zasad przewidzianych dla akt sdowych. Wnioski dooperatorw oudostpnienie danych telekomunikacyjnych, kieroway poszczeglne wydziay Sdu. Podstaw wystpienia odane telekomunikacyjne byo postanowienie Sdziego Sdu. Prokuratury W prokuraturach dane telekomunikacyjne uzyskiwane byy odoperatorw napodstawie wydanych postanowie przesyanych zaporednictwem Poczty Polskiej lub zestanowisk dostpowych drog elektroniczn napodstawie podpisanych porozumie zoperatorami.
118 Zacznik dozarzdzenia nr79 Komendanta Gwnego Stray Granicznej zdnia 23padziernika 2009 r. wsprawie
88
regulaminu organizacyjnego Zarzdu Operacyjno-ledczego Komendy Gwnej Stray Granicznej (Dz. Urz. KGSG Nr13, poz.79 zezm.). 119 Zacznik dozarzdzenia nr33 Komendanta Gwnego Stray Granicznej zdnia 2czerwca 2009 r. wsprawie regulaminu organizacyjnego Zarzdu Operacyjno-ledczego Komendy Gwnej Stray Granicznej (Dz. Urz. KGSG Nr6, poz.36 zezm.). 120 Dz.U. z2011 r. Nr41, poz.214 zezm. 121 Dz.U. Nr168, poz.1323 zezm.
z a c z n i k i 5.5. Wykaz podstawowych aktw prawnych122

1. Konstytucja Rzeczypospolitej Polskiej zdnia 2kwietnia 1997 r. (Dz.U. Nr78, poz.483 zezm.). 2. Ustawa zdnia 23grudnia 1994 r. oNajwyszej Izbie Kontroli (Dz.U. z2012 r., poz.82 zezm.). 3. Ustawa zdnia 6kwietnia 1990 r. oPolicji (Dz.U. z2011 r. Nr287, poz.1687 zezm.). 4. Ustawa zdnia 12padziernika 1990 r. oStray Granicznej (Dz.U. z2011 r. Nr116, poz.675 zezm.). 5. Ustawa zdnia 24maja 2002 r. oAgencji Bezpieczestwa Wewntrznego oraz Agencji Wywiadu (Dz.U. z2010 r. Nr29, poz.154 zezm.). 6. Ustawa z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2012 r., poz.621). 7. Ustawa zdnia 29sierpnia 1997 r. oochronie danych osobowych (Dz.U. z2002 r. Nr101, poz.926 zezm.). 8. Ustawa zdnia 5sierpnia 2010 r. oochronie informacji niejawnych (Dz.U. Nr182, poz.1228). 9. Ustawa zdnia 16lipca 2004 r. Prawo telekomunikacyjne (Dz.U. Nr171 poz.1800 z pn. zm.). 10. Ustawa zdnia 28wrzenia 1991 r. okontroli skarbowej (Dz.U. z2011 r. Nr41, poz.214 zezm.). 11. Ustawa z dnia 24 sierpnia 2001 r. o andarmerii Wojskowej i wojskowych organach porzdkowych (Dz.U. Nr123, poz.1353 zezm.). 12. Ustawa zdnia 9czerwca 2006 r. oSubie Kontrwywiadu Wojskowego oraz Subie Wywiadu Wojskowego (Dz.U. Nr104, poz.709 zezm.). 13. Ustawa zdnia 27sierpnia 2009 r. oSubie Celnej (Dz.U. Nr168, poz.1323 zezm.). 14. Ustawa zdnia 20czerwca 1985 r. oprokuraturze (Dz.U. z2011 r., Nr270, poz.1599 zezm.). 15. Rozporzdzenie Ministra Infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegowego wykazu danych oraz rodzajw operatorw publicznej sieci telekomunikacyjnej lub dostawcw publicznie dostpnych usug telekomunikacyjnych obowizanych do ich zatrzymywania iprzechowywania (Dz.U. Nr226, poz.1828). 16. Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce doprzetwarzania danych osobowych (Dz.U. Nr100, poz.1024). 17. Rozporzdzenie Ministra Sprawiedliwoci z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemw i sieci sucych do przekazywania informacji do gromadzenia wykazw pocze telefonicznych i innych przekazw informacji oraz sposobw zabezpieczania danych informatycznych (Dz.U. Nr100, poz.1023).
122 W brzmieniu obowizujcym wkontrolowanym okresie.
89
z a c z n i k i 5.6. Wykaz organw, ktrym przekazano informacj owynikach kontroli

1. Prezydent Rzeczypospolitej Polskiej 2. Marszaek Sejmu Rzeczypospolitej Polskiej 3. Marszaek Senatu Rzeczypospolitej Polskiej 4. Prezes Rady Ministrw Rzeczypospolitej Polskiej 5. Prezes Trybunau Konstytucyjnego 6. Minister Finansw 7. Minister Obrony Narodowej 8. Minister Spraw Wewntrznych 9. Minister Sprawiedliwoci 10. Prokurator Generalny 11. Rzecznik Praw Obywatelskich 12. Generalny Inspektor Ochrony Danych Osobowych 13. Przewodniczcy Sejmowej Komisji Spraw Wewntrznych 14. Przewodniczcy Sejmowej Komisji doSpraw Kontroli Pastwowej 15. Przewodniczcy Sejmowej Komisji doSpraw Sub Specjalnych 16. Szef Biura Bezpieczestwa Narodowego 17. Szef Agencji Bezpieczestwa Wewntrznego 18. Szef Centralnego Biura Antykorupcyjnego 19. Szef Suby Kontrwywiadu Wojskowego 20. Komendant Gwny Policji 21. Komendant Gwny Stray Granicznej 22. Komendant Gwny andarmerii Wojskowej 23. Prezes Urzdu Komunikacji Elektronicznej
90

Nik P 12 191 Billingi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nik P 12 191 Billingi

Uploaded by

Copyright:

Available Formats

KPB-P/12/191 Nrewid.

107/2013/P/12/191/KPB Wersja jawna

Informacja owynikach kontroli

Akceptuj: Marian Cichosz

Wiceprezes Najwyszej Izby Kontroli

Zatwierdzam: Jacek Jezierski

Prezes Najwyszej Izby Kontroli dnia czerwca 2013

WPROWADZENIE5 1. ZAOENIA KONTROLI6 2. PODSUMOWANIE WYNIKW KONTROLI8

2. WANIEJSZE WYNIKI KONTROLI 18

4. INFORMACJE DODATKOWE OPRZEPROWADZONEJ KONTROLI 74

Wy k az stosowanych sk rtw ipoj

12 Kwestia tazostaa szczegowo omwiona wpkt3.1. nastr. 18.

2.2 Przestrzeganie praw iwolnoci obywatelskich wzwizku zpozyskiwaniem danych telekomunikacyjnych

pofakcie zawiadamia zainteresowanego, e jego dane gromadzono.

2.3 Uwagi kocowe iwnioski

Centralne Biuro Antykorupcyjne

art.18 ustawy oCBA art.20c ustawy oPolicji

realizacja wszelkich zada ustawowych29 zapobieganie iwykrywanie przestpstw

Jednostka Suba Kontrwywiadu Wojskowego Stra Graniczna

zapobieganie iwykrywanie przestpstw

3.2 Istotne ustalenia kontroli

Razem 7. 1448 611

44 Policja odmwia udostpnienia danych zapierwsze procze 2012 r.

84 Dz.U. Nr44, poz.255 zezm. 85 Dz.U. Nr182, poz.1228.

3.3 Dobre praktyki

4.2 Postpowanie kontrolne idziaania podjte pozakoczeniu kontroli

od150 do300 dokumentw/zapisw wybranych zzastosowaniem metod statystycznych.

103 Zostay zoone poupywie terminu ustawowego.

10. Ministerstwo Finansw 11. Sd Okrgowy wBydgoszczy

Sd Okrgowy 12. wSzczecinie

14. 15. 16. 17. 18.

104 Aktualizacja na31grudnia 2012 r.

z a c z n i k i 5.3. Zasadnicze ustalenia kontroli ioceny jednostek105

Agencja 1. Bezpieczestwa Wewntrznego

Centralne Biuro 2. Antykorupcyjne

pozytywna, pomimo stwierdzonych nieprawidowoci

Komenda Gwna 3. Policji

pozytywna, pomimo stwierdzonych nieprawidowoci

Komenda Wojewdzka 4. Policji wKatowicach Komenda Wojewdzka 5. Policji wRzeszowie

uwzgldniono ich ograniczone kompetencje wynikajce zfunkcjonowania wformacji scentralizowanej.

Komenda Wojewdzka 6. Policji weWrocawiu

Suba 7. Kontrwywiadu Wojskowego

Komenda Gwna Stray Granicznej

Komenda Gwna 9. andarmerii Wojskowej

Sd Okrgowy 13. wWarszawie

Prokuratura 14. Okrgowa wKatowicach

pozytywna, pomimo stwierdzonych nieprawidowoci

Prokuratura 15. Okrgowa wRzeszowie

Prokuratura 16. Okrgowa wWarszawie

pozytywna, pomimo stwierdzonych nieprawidowoci

Prokuratura Okrgowa 17. weWrocawiu

z a c z n i k i 5.4. Charakterystyka obszaru objtego kontrol

115 Dz.U. Nr134, poz.779, akt wygas zdniem 15marca 2012 r.

z a c z n i k i 5.5. Wykaz podstawowych aktw prawnych122

122 W brzmieniu obowizujcym wkontrolowanym okresie.

z a c z n i k i 5.6. Wykaz organw, ktrym przekazano informacj owynikach kontroli

You might also like

WPROWADZENIE5 1. ZAOENIA KONTROLI6 2. PODSUMOWANIE WYNIKW KONTROLI8

2. WANIEJSZE WYNIKI KONTROLI 18

4. INFORMACJE DODATKOWE OPRZEPROWADZONEJ KONTROLI 74