You are on page 1of 30

Dostp pastwa do danych uytkownikw usug internetowych Siedem problemw i kilka hipotez

Prba podsumowania Od kilku lat toczy si w Polsce dyskusja na temat wykorzystywania danych telekomunikacyjnych (billingw, danych o lokalizacji) na potrzeby walki z przestpczoci. Dziki niej udao si zdiagnozowa kilka niebanalnych problemw na styku praw czowieka, polityki bezpieczestwa i interesw prywatnych firm. Niektre z nich prbuje wanie rozwiza Ministerstwo Spraw Wewntrznych, proponujc zmiany w obowizujcym prawie. A przecie pastwo siga nie tylko po dane przetwarzane przez operatorw telekomunikacyjnych: z podobnymi daniami musz si mierzy take dostawcy usug wiadczonych drog elektroniczn 1. Faktem jest, e zawsze, kiedy pastwo siga po dane obywateli, ktre ci w zupenie innym celu powierzaj prywatnym firmom, pojawiaj si problemy, a przynajmniej powane dylematy. Przewidujc, e nie zabraknie ich take w obszarze usug internetowych, postanowilimy przyjrze si zasadom, na jakich odbywa si przekazywanie danych danych osobowych obywateli, a zarazem uytkownikw takich usug, na danie rnych organw pastwa. Kto i o co pyta? Jaka jest skala zapyta i czy to w ogle ma znaczenie? W jakim trybie zapytania o dane trafiaj do firm? Z jakich podstaw prawnych najczciej korzystaj organy pastwa? Czy z perspektywy firm obowizek przekazywania danych na danie organw pastwa jest uciliwy? Ile to kosztuje i kto za to paci? Z takimi pytaniami p roku temu rozpoczlimy projekt, ktrego celem byo lepsze poznanie tego, co si dzieje na styku firm wiadczcych usugi drog elektroniczn i organw pastwa. Przez kolejne miesice analizowalimy przepisy prawa, rozmawialimy z firmami i organami pastwa (najwicej z policj ), formuowalimy coraz bardziej szczegowe pytania i zbieralimy dane. Nie mamy wielu gotowych odpowiedzi czciej stawiamy hipotezy, ktre domagaj si zbadania. Mamy nadziej, e zebrane przez nas informacje i dane stan si pocztkiem debaty publicznej i zainspiruj dalsze dziaania o charakterze badawczym. Naszymi partnerami w tym procesie byo kilka firm wiadczcych usugi drog elektroniczn: Agora, Google, INTERIA.PL i Onet (w kolejnoci alfabetycznej). Zgodnie z prawem adna z tych firm nie ma obowizku ewidencjonowania ani raportowania zapyta, jakie otrzymuje od organw pastwa. Bez ich zaangaowania i dobrej woli poznanie praktyki funkcjonowania przepisw, ktre obliguj firmy do przekazywania danych organom pastwa, nie byoby moliwe. Tym bardziej doceniamy ich otwarto na tak rozmow.

W tej kategorii mieszcz si wszelkie usugi internetowe: dostarczanie poczty elektronicznej, hosting, administrowanie forami, serwisy zakupowe i aukcyjne, wyszukiwarki, wszelkiego rodzaju komunikatory i portale internetowe (nawet niekomercyjne). Tego typu dziaalno podlega regulacji w ustawie o wiadczeniu usug drog elektroniczn (UUDE).

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Niniejsze opracowanie jest prb zebrania i podsumowania wnioskw z tego procesu, ktry ze wzgldu na ograniczon skal i eksploracyjny charakter miejscami przynosi wicej nowych pyta ni jednoznacznych odpowiedzi. Niemniej mia on dla nas duy walor poznawczy. Zachcamy do zapoznania si z wnioskami, ktre publikujemy z intencj otwarcia potrzebnej debaty i zainspirowania szerzej zakrojonych dziaa badawczych.

Cele: co chcemy osign? Naszym celem nie byo zebranie i przedstawienie suchych informacji na temat skali zapyta o dane uytkownikw, jakie organy publiczne kieruj do firm wiadczcych usugi drog elektroniczn. Dowiadczenie z debaty na temat dostpu do danych telekomunikacyjnych nauczyo nas, e to nie liczby s najwaniejsze. Przygotowywane przez nas zestawienia danych pochodzcych z rnych rde, a ostatnio take raport Najwyszej Izby Kontroli, pokazay, e mimo obowizku raportowania naoonego na operatorw telekomunikacyjnych statystyki prowadzone bez spjnej metodologii s nierzetelne. W efekcie mog wprowadza w bd i odci ga uwag od powaniejszych problemw. Naszym celem nie jest pitnowanie firm, ktre poruszajc si w ramach prawa realizuj dania udostpnienia danych o uytkownikach. To, e przestrzegaj obowizujcego prawa, zasuguje tylko na uznanie. Jeli jeszcze dbaj przy tym o przejrzysto, ich klienci mog czu si uspokojeni. Z drugiej strony obywatele po prostu maj prawo wiedzie wicej na temat zasad, na jakich firmy musz wsppracowa z organami pastwa. Zaley nam na rozpoczciu merytorycznej i powanej debaty publicznej. Kluczowe w tym kontekcie jest zrozumienie i przedstawienie problemw, ktre wi si z dostpem policji, sdw, prokuratury i sub do danych, jakie przetwarzaj firmy wiadczce usugi drog elektroniczn. Dlatego najwicej uwagi powicalimy nastpujcym pytaniom: Czy istniejce procedury s wystarczajce? Jaka jest praktyka organw publicznych na jakie podstawy prawne najczciej si powouj? Czy w ocenie firm wikszo kierowanych zapyta okazuje si uzasadniona? Czy potrzeba dodatkowych mechanizmw kontroli nad dziaaniami policji i innych sub? Jakie koszty ponosz firmy wiadczce usugi drog elektroniczn i czy zasadnie? Prbujemy zainicjowa publiczn dyskusj na temat zasad przekazywania danych uytkownikw usug internetowych organom pastwa po to, by te zasady ulepszy. Diagnoza problemw jest tylko wstpem do wsplnego namysu nad ich rozwizaniem poprzez zmian lub doprecyzowanie obowizujcego prawa. Liczymy, e ta inicjatywa z udziaem czterech wiodcych firm okae si pocztkiem pewnej tendencji; e z czasem wszystkie liczce si na rynku firmy wiadczce usugi internetowe zgodz si z tym, e warto wyprzedza pytania i otwarcie mwi o zasadach przekazywania danych na danie organw pastwa. Otwarta debata na ten temat wydaje si korzystna dla wszystkich stron. Zderzajc perspektyw firm, obywateli i organw pastwa, jestemy w stanie zdiagnozowa te problemy, ktre dotykaj wszystkich, przez co okazuj si moliwe do rozwizania.

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Kontekst: od debaty o danych telekomunikacyjnych do afery podsuchowej Bezporedni inspiracj dla przyjrzenia si praktykom przekazywania danych o obywatelach-uytkownikach usug internetowych byy dla nas wnioski z debaty publicznej dotyczcej wykorzystywania przez organy pastwa danych telekomunikacyjnych. Po ponad trzech latach debaty na ten temat oywiajcej si za kadym razem, gdy Urzd Komunikacji Elektronicznej publikowa zbiorcze statystyki pokazujce skal zapyta o dane telekomunikacyjne obywateli (w tym billingi) wci mamy wiele niewiadomych. Najwiksz jest rzetelno i miarodajno generowanych statystyk, co ostatnio potwierdzi druzgoccy raport Najwyszej Izby Kontroli. Tym trudniej ustali, w jakich celach organy pastwa sigaj po dane telekomunikacyjne i jakiego rodzaju danych daj od operatorw. Mimo tych niewiadomych udao si zdiagnozowa kilka konkretnych problemw przede wszystkim to, e brakuje nadzoru ze strony niezalenego organu nad tym, kto, po co i o co pyta operatorw. Reakcj na tak postawion diagnoz s zapowiadane przez MSW zmiany w obowizujcym prawie, szczeglnie projekt stworzenia Komisji Kontroli Sub Specjalnych. W debacie publicznej pojawiy si te wtki wane dla firm, takie jak problem zwrotu kosztw czy potrzeba ujednolicenia procedur, z jakich korzystaj pytajce o dane organy. By moe w kolejnym kroku ustawodawca podejmie te problemy. Dowiadczenie z debat na temat zasad udostpniania danych telekomunikacyjnych przekonao nas, e zainteresowanie mediw i opiniotwrczych rodowisk trudnym tematem moe wyj na dobre, nawet jeli czasem cierpi na tym rzetelno przekazu. Wydaje si, e innej drogi do zmiany sytuacji na lepsze po prostu nie ma. Std pomys podjcia w rwnie kompleksowy sposb tematu ochrony prywatnoci uytkownikw usug internetowych w kontekcie dziaa wymiaru sprawiedliwoci oraz organw cigania i sub. Ta decyzja zbiega si w czasie z ujawnieniem informacji o tym, e amerykaskie suby na ogromn skal uzyskiway dostp do danych przechowywanych przez najwiksze firmy internetowe. Niniejsze opracowanie zakorzenione w polskich uwarunkowaniach prawnych nie jest gosem w dyskusji wywoanej rewelacjami Edwarda Snowdena. Prawo obowizujce w USA przewiduje, e dane klientw firm podlegajcych amerykaskiej jurysdykcji mog by udostpniane subom w zasadzie bez ogranicze, o ile klient nie jest obywatelem USA. Mimo braku niezalenych mechanizmw kontroli nad ich dziaaniem polskie suby musz kadorazowo uzasadni swoje danie udostpnienia danych, wskazujc odpowiedni podstaw prawn. Ani przepisy prawa, ani dowiadczenie firm nie daj podstaw, aby sdzi, e w Polsce mamy do czynienia z masow inwigilacj uytkownikw usug internetowych. T tez uzasadniamy w szczegowym opisie zasad udostpniania danych, ktry jest elementem drugiej czci tego opracowania.

***

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Ze wzgldu na specyfik zebranego materiau podzielilimy nasze opracowanie na dwie w duej mierze niezalene czci: pierwsza stanowi prb interpretacji danych, ktre otrzymalimy od firm w ramach badania pilotaowego oraz od organw pastwa (przede wszystkim sub) w odpowiedzi na wnioski o dostp do informacji publicznej; jako kontekst zostay przywoane rwnie dane zbierane od operatorw telekomunikacyjnych przez Urzd Komunikacji Elektronicznej; druga ma charakter problemowy zbiera wnioski z analizy przepisw prawa oraz z rozmw, jakie na etapie przygotowania lub analizy ankiet przeprowadzilimy z firmami wiadczcymi usugi internetowe, a take rozmw z policj.

Zapraszamy do lektury!

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

I. Praktyka firm i organw pastwa: analiza zebranych danych


W tej czci opracowania: opisujemy zebrane informacje na temat skali i praktyki przekazywania danych o uytkownikach usug internetowych na danie organw pastwa, ktre uzyskalimy dziki wsppracy z kilkoma wiodcymi firmami wiadczcymi takie usugi; porwnujemy odpowiedzi firm z informacjami, jakie w trybie dostpu do informacji publicznej uzyskalimy od organw pastwa; zestawiamy skal przekazywania danych o uytkownikach usug internetowych na danie organw pastwa ze skal udostpniania danych telekomunikacyjnych; stawiamy kilka hipotez, ktre uwaamy za warte zbadania i poddania weryfikacji.

I. BADANIE PILOTAOWE: CO CHCIELIMY OSIGN I CO SI UDAO? Podstawow trudnoci w ocenie skali i praktyk sigania po dane uytkownikw usug internetowych jest to, e polskie prawo nie zobowizuje ani firm wiadczcych takie usugi, ani organw pastwa, ktre sigaj po dane, do prowadzenia statystyk i przygotowywania sprawozda na ten temat. Jeli firmy przygotowuj takie sprawozdania robi to z wasnej woli, wychodzc naprzeciw spoecznym oczekiwaniom. Liczc na tak otwarto, postanowilimy zada kilka pyta wiodcym firmom, ktre wiadcz usugi internetowe na polskim rynku. Nikt przed nami nie rozmawia z tego typu firmami na temat zapyta, jakie kieruj do nich rozmaite organy pastwa. Nic wic dziwnego, e nawet przedsibiorstwa, ktre byy otwarte na tak rozmow, nie dysponoway jednolit i usystematyzowan wiedz. W niektrych przypadkach okazao si, e dane, ktrych szukamy owszem s, ale tylko w formie papierowej, a ich przeniesienie do formatu elektronicznego byoby dla firmy bardzo czasochonne. Zdajc sobie spraw z tego typu ogranicze, postanowilimy zacz od rozmowy z firmami i przeprowadzenia pilotau. Chcielimy zweryfikowa, czy dobrze stawiamy pytania, jak rwnie sprawdzi, jakimi danymi firmy dysponuj ju dzi i czy s skonne podzieli si t wiedz.

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Dlaczego firmy miayby otwarcie mwi o swoich praktykach przekazywania danych o uytkownikach usug internetowych na danie organw pastwa, skoro prawo ich do tego nie obliguje? Chcielimy sprawdzi, czy na wzr midzynarodowych gigantw, takich jak Apple, Facebook i Google, zechc ujawni pewne zestawienia statystyczne. Gdyby nam si to udao, byaby to pierwsza tego rodzaju inicjatywa, nie tylko w Polsce, ale i w Europie, nastawiona na poznanie realiw przekazywania danych przez firmy wiadczce usugi drog elektroniczn. Naszym celem nie byo stworzenie rankingu jawnoci wrd firm, dlatego te udzielone przez nie odpowiedzi poddalimy pseudonimizacji 2. Chcielimy sprawdzi, czy ujawnienie konkretnych danych pozwoli zobaczy, jak w praktyce funkcjonuj przepisy zwizane z pozyskiwaniem informacji o uytkownikach usug internetowych, nawet jeli przyniesie to wicej pyta ni odpowiedzi. Zdawalimy sobie spraw z tego, e na wejciu trudno nam bdzie zebra wyczerpujce dane. Nasze cele koncentroway si wok stworzenia spjnej metody, ktr bdzie mona wykorzysta w dalszych, szerzej zakrojonych dziaaniach badawczych, i rozpoczcia otwartej dyskusji na temat zasad przekazywania danych o uytkownikach usug internetowych na danie organw pastwa. Nie mamy pewnoci co do tego, czy wszystkie dane, ktre udao nam si zebra w ramach wsppracy z firmami, s w penym zakresie porwnywalne. Dooylimy jednak stara, by na wstpie wyjani moliwe niejasnoci i wtpliwoci. Przygotowanie formularza ankiet dla firm poprzedzilimy rozmowami z ich przedstawicielami, dziki ktrym moglimy si dowiedzie, jakie kategorie danych s zbierane przez poszczeglne firmy oraz w jakim zakresie wewntrzne zasady ich gromadzenia i sprawozdawczoci s ze sob zbiene.
Rozmowy z firmami analiza jakociowa Zaproszone przez nas firmy uczestniczy y w tym przedsiwziciu od samego pocztku, tak e na etapie przygotowania ankiet. Przeprowadzilimy rozmowy, ktre pomog y nam zrozumie zasady funkcjonowania wielu procesw i maj odzwierciedlenie w opisie praktyki stosowania przepisw w naszym kraju. Wikszo konkretnych problemw, ktre opisujemy w drugiej czci tego opracowania, zdiagnozowalimy wanie na podstawie rozmw z firmami, przeprowadzonych na etapie opracowywania formularza ankiet. To potwierdzio nasze zaoenie, e poznanie mechanizmw i zasad, na ktrych opiera si przekazywanie danych o uytkownikach usug internetowych na danie organw pastwa, jest waniejsze ni sucha, ilociowa analiza tego zjawiska.

Waniejsza ni skala pozyskanych danych okazaa si moliwo postawienia diagnozy problemw i wypracowania wsplnych konkluzji.

W tym przypadku: oddzielenie odpowiedzi na ankiety od danych bezporednio identyfikujcych firmy i zast pienie tych ostatnich liczbami porzdkowymi.

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Metoda Do udziau w pilotau zaprosilimy dwanacie firm, ktre s wacicielami najpopularniejszych polskojzycznych portali internetowych. Podstaw doboru firm byo badanie Megapanel PBI/Gemius (luty 2013). Rozstrzygajca bya pozycja firmy na polskim rynku usug internetowych mierzona liczb uytkownikw nie bralimy pod uwag jej lokalizacji ani pochodzenia. Std obok polskich w tej grupie znalazy si take firmy zagraniczne. Wikszo zaproszonych firm zadeklarowaa ch wsppracy, jednak w trakcie realizacji projektu kilka z nich zrezygnowao z udziau. Na wstpnym etapie przeprowadzilimy rozmowy z przedstawicielami zaproszonych do wsppracy firm, ktre nie tylko pomogy zebra informacje na temat praktyk sigania organw pastwa po dane i wyzwa pojawiajcych si na tym tle, ale stanowiy podstaw do przygotowania formularzy ankiet, ktre zostay nastpnie przekazane firmom. Kada z firm otrzymaa dwie wersje ankiety: podstawow i rozszerzon. W wersji podstawowej pytalimy o te informacje, ktre zgodnie z uzyskan wiedz byy w posiadaniu wikszoci z nich: Ile zapyta o dostp do danych organy pastwa skieroway do nich w ostatnim roku ogem oraz w rozbiciu na rodzaje tych organw? Ile wnioskw doczekao si odpowiedzi w postaci udostpnienia danych danych? Wersja rozszerzona zawieraa pytania o liczb kont, ktrych dotyczyy dania udostpnienia danych, oraz liczb kont, w przypadku ktrych dane rzeczywicie udostpniono. Pytalimy w niej te, ile razy dano dostpu do konkretnych kategorii danych oraz ile razy te dane rzeczywicie udostpniano. Chodzi o takie kategorie, jak: dane abonenckie, dane podawane przy rejestracji, histori logowania, dane geolokalizacyjne, tre komunikacji publicznej, informacje o sieci kontaktw oraz plikach, jakie uytkownicy zamieszczaj w chmurze. W rozszerzonej wersji ankiety znalazy si te pytania dotyczce podstaw prawnych, na jakie powoyway si organy pastwa przy daniu dostpu do danych, jak rwnie stosunku firmy do danej podstawy prawnej na etapie weryfikacji zasadnoci wnioskw. Pytalimy o procedur stosowan w przypadku odrzucenia wniosku ze wzgldw formalnych oraz o to, czy firmy pobieraj opaty od podmiotw dajcych dostpu do danych. Interesowao nas te, jakie obcienie czasowe wie si z obsug zapyta o dane oraz jakie kanay komunikacji z organami pastwa dopuszcza dana firma. eby uzupeni informacje, jakie przekazay nam firmy biorce udzia w pilotau, postanowilimy spyta drug stron prokuratur, policj i inne suby o liczb wnioskw, jakie te organy kieruj do firm wiadczcych usugi drog elektroniczn. Dostalimy jedynie pojedyncze odpowiedzi, ktre dla ilustracji przedstawiamy w dalszej czci tego opracowania.

II. CO WIEMY NA TEMAT SKALI ZAPYTA O DANE? Dyskusj o tym, ile organy pastwa chc wiedzie o obywatelach i w jakim stopniu angauj do tego firmy wiadczce usugi drog elektroniczn, atwo sprowadzi do liczb. To jednak niepotrzebne i niebezpieczne uproszczenie. Nie o sam skal przecie chodzi, ale przede wszystkim o to, czy pastwo pyta tylko wtedy, kiedy rzeczywicie ma do tego podstawy, a firmy odpowiadaj tylko wtedy, kiedy musz.
8

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Informacje na temat liczby zapyta pochodzcych od publicznych instytucji zostay udostpnione przez wszystkie cztery firmy biorce udzia w pilotau. Dane zebrane dla analizowanych 18 miesicy obrazuje wykres 1.
Wykres 1: Liczba zapyta skierowanych przez wszystkie uprawnione organy pastwa do firm wiadczcych usugi drog elektroniczn (na podstawie danych przekazanych przez cztery firmy)

148 1137 351 843

198 1633 409 2135

225 2155 496 1629

1000

2000

3000

4000

5000

Firma I

Firma II

Firma III

Firma IV

Z przekazanych odpowiedzi wynika, e bezwzgldna liczba zapyta o dane otrzymywanych przez poszczeglne firmy znaczco si rni. Jak mona wyjani te rnice? Hipotez, ktra nasuwa si jako pierwsza, jest to, e liczba zapyta zaley od wielkoci firmy i liczby klientw. W pewnym stopniu na pewno. Warto jednak zwrci uwag, e kada ze wsppracujcych firm prowadzi dziaalno na szerok skal i ma znaczc pozycj na polskim rynku. Wicej wiata na ten problem rzucaj rozmowy z przedstawicielami firm. Wynika z nich, e kluczowym czynnikiem jest w tym przypadku model biznesowy i rodzaj wiadczonych usug: im wicej moliwych sporw midzy uytkownikami i potencjalnych narusze prawa, tym wicej zapyta. Na przykad model biznesowy oparty na sprzeday towarw i usug przez Internet z zasady zakada wiksze ryzyko oszustw i sporw zwizanych z prawami autorskimi ni model zakadajcy prowadzenie portalu informacyjnego poczonego z forum dyskusyjnym. W tym drugim przypadku naley si spodziewa sporw midzy uytkownikami na tle naruszenia dbr osobistych, w tym zniesawienia, ktre relatywnie rzadziej angauj organy pastwa. Z naszych rozmw z policj ktra zaraz po prokuraturze pyta o dane uytkownikw najczciej wynika, e kolejnym istotnym czynnikiem jest lokalizacja serwera i jurysdykcja, jakiej podlega firma. Firmy zagraniczne obecne na polskim rynku z zasady

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

odsyaj policj i inne organy pastwa do swojej centrali. Nie wszyscy funkcjonariusze radz sobie z tak procedur. Jeli maj wybr, wol o to samo zapyta polsk firm. Dlatego w przypadku midzynarodowych korporacji takich jak Facebook czy Google liczba kierowanych do nich zapyta moe okaza si mniejsza, ni mona by oczekiwa na podstawie skali dziaania firmy. Analiza danych przekazanych przez wszystkie firmy, ktre wziy udzia w pilotau, prowadzi do wniosku, e w badanym okresie liczba zapyta, jakie kieruj do nich organy pastwa, konsekwentnie ronie. Otwarte pozostaje pytanie o to, z czego wynika ten wzrost. Czy organy pastwa miay wicej powodw, eby pyta (np. w zwizku ze wzrostem liczby toczcych si postpowa z udziaem klientw firm wiadczcych usugi drog elektroniczn )? Wiele na to wskazuje. Ze wzgldu na wycinkowo danych poddanych analizie trudno wyrokowa, czy zaobserwowany wzrost liczby zapyta jest szerszym i trwaym trendem. Jednak rozmowy, jakie przeprowadzilimy z przedstawicielami firm i policji, sugeruj, e taka teza jest uzasadniona. Wiele wskazuje na to, e wzrost liczby zapyta o dane uytkownikw usug internetowych ze strony organw pastwa to skutek uboczny wzrostu spoecznej aktywnoci w Internecie. Wraz z przenoszeniem si rnych sfer ycia do sieci przenosi si tam rwnie przestpczo; ronie te liczba sporw midzy obywatelami, ktre wynikaj z aktywnoci internetowej. T intuicj potwierdzaj liczne badania dotyczce aktywnoci uytkownikw Internetu na przestrzeni ostatnich lat. Autorzy badania CBOS za 2012 rok stwierdzaj: Dynamicznie ronie liczba internautw ju niemal dwie trzecie dorosych deklaruje, e korzysta z sieci w celach pozazawodowych. Rwnie realizowane w latach 201012 badania World Internet Project pokazuj, e odsetek uytkownikw Internetu w Polsce wzrasta z roku na rok. W 2012 r. z Internetu korzystao dwie trzecie badanych, w tym ponad 90% poniej 30 roku ycia. Badania aktywnoci dzieci i modziey m.in. Generalnego Inspektora Ochrony Danych Osobowych oraz inne, zrealizowane przez firm TNS we wsppracy z Fundacj Orange i Fundacj Dzieci Niczyje pokazuj, e z Internetu powszechnie korzystaj rwnie dzieci. Mona zaryzykowa stwierdzenie, e wraz z dojrzewaniem kolejnych pokole aktywnych uytkownikw Internetu bdzie wzrasta liczba zapyta o ich dane na potrzeby rozmaitych postpowa.
Dlaczego skala zapyta o dane bywa zwodnicza? Z rozmw z policj wiemy, e sama skala zapyta w niczym nie oddaje skali zainteresowania policji (czy innych sub) konkretnymi obywatelami. Wynika to z praktyki dziaa ledczych, ktre z zasady zaczynaj si od szerzej zakrojonych poszukiwa po to, by na dalszym etapie zawzi si do krgu osb podejrzanych. Aby ustali ten waciwy numer IP, zwykle trzeba zweryfikowa lub porwna ze sob wiele innych. To jednak nie znaczy, e policja interesuje si kad osob, ktrej numer IP znalaz si w aktach sprawy. Byaby to najkrtsza droga do sparaliowania pracy organw cigania. Dodatkowo dyskusj o skali zapyta, jakie organy pastwa kieruj do firm wiadczcych usugi drog elektroniczn, utrudnia brak spjnej metody prowadzenia sprawozdawczoci. Jak liczy takie zapytania? Czy pytanie o kady numer IP, nawet jeli zmierza do ustalenia jednego sprawcy, liczy osobno? Co w sytuacji, gdy jedno zapytanie (np. o numer IP) generuje kolejne, bardziej szczeg owe (np. o dane, ktre uytkownik poda w umowie), ale wci dotyczy tej samej sprawy? Wtpliwoci mona mnoy.

10

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

III. JAK FIRMY REAGUJ NA ZAPYTANIA O DANE? Porwnanie liczby zapyta kierowanych przez instytucje publiczne z liczb udzielanych odpowiedzi prowadzi o ciekawych wnioskw. Okazuje si, e w przypadku trzech firm, ktre byy w stanie przekaza odpowiednie dane, odsetki udostpnie s bardzo zrnicowane: od kilkunastu do kilkudziesiciu procent w skali 18 miesicy. Otwarte pozostaje pytanie o to, z czego mog wynika tak due rnice w procencie udostpnianych danych.
Wykres 2: Odsetek udostpnie danych uytkownikw przez firmy wiadczce usugi drog elektroniczn w odpowiedzi na zapytania organw pastwa w okresie 1.01.201230.06.2013 (na podstawie danych przekazanych przez trzy firmy)

99,8%

74,4%

16,6%*

Firma I

Firma II

Firma III

Zestawienie to naley interpretowa ostronie, ze wzgldu na fakt, e *w przypadku firmy III odsetek udostpnie dotyczy stosunku liczby zapyta dotyczcych kont uytkownikw do liczby udostpnie dotyczcych tyche kont, podczas gdy w przypadku pozostaych dwch firm odsetek ten odnosi si do stosunku liczby zapyta do udostpnie dotyczcych tych zapyta (bez wzgldu na to jakiej liczby kont dotyczyy). Niemniej rnice midzy firmami s tak znaczce (nawet midzy firm I i II, ktre poday analogiczne dane), e zasuguj na szczegln uwag. Na podstawie rozmw, jakie przeprowadzilimy z firmami i policj, mamy trzy wzajemnie si niewykluczajce hipotezy wyjaniajce t sytuacj. Rnice w procedurach stosowanych przez firmy Prawo nie reguluje w sposb precyzyjny, jak powinien wyglda i jakie warunki spenia wniosek o dane uytkownika usug internetowych (por. analiza na s. 24). W zwizku z tym firmy same te warunki doprecyzowuj i same oceniaj, czy dany wniosek spenia kryteria formalne. W efekcie moe si zdarzy, e niektre z nich respektuj wnioski, ktre inne uznayby za le wypenione. W sytuacji braku precyzyjnej regulacji s one skazane na wasn ocen i wdraanie wasnych procedur.

11

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Niespjno praktyk po stronie organw pastwa Dowiadczenie firm pokazuje, e rne organy pastwa stosuj rne standardy przygotowywania wnioskw o dane: czasem do firmy trafia dobrze umotywowany, kompletny wniosek; innym razem pismo wymaga wyjanie co moe mie odzwierciedlenie w statystykach. Rnice wynikajce z jurysdykcji Internet jest zjawiskiem globalnym. To oznacza, e nie istniej dla niego ani granice pastw, ani granice jurysdykcji i porzdkw prawnych. Poniewa cz firm oferujcych swoje usugi na terenie Polski ma swoje siedziby w innych pastwach, rne s te procedury stosowane w relacjach midzy organami pastwowymi a firmami zagranicznymi (por. analiza na s. 2122).

Nie przesdzajc, ktra z powyszych hipotez najlepiej odzwierciedla rzeczywisto, mona zaryzykowa stwierdzenie, e tak dugo, jak wiemy bardzo niewiele na temat dziaa organw pastwa wobec firm funkcjonujcych na polskim rynku, ale podlegajcych rnym reimom prawnym, rzetelne porwnanie praktyk samych firm w zakresie przekazywania danych o uytkownikach na danie organw pastwa bdzie niemoliwe.

IV. KTO I DLACZEGO PYTA? O wiele ciekawsza ni prba zbadania skali zapyta o dane uytkownikw usug internetowych wydaa nam si odpowied na pytanie o to, kto i w jakim celu domaga si przekazania takich danych. Na podstawie rozmw z firmami udao si ustali, jakie podstawy prawne s wykorzystywane przez organy pastwa pytajce o dane usugobiorcw, jakie podstawy s przez firmy respektowane i jakie problemy rodz si na tym tle. Wnioski z tej analizy zawarlimy w drugiej czci tego opracowania (por. s. 24). Niestety, okazao si, e adna z firm biorcych udzia w pilotau nie gromadzi szczegowych danych na temat podstaw prawnych, na jakie powouj si organy pastwa, a tym samym nie jest w stanie odtworzy udziau poszczeglnych podstaw prawnych w cznej liczbie kierowanych zapyta. Od trzech firm udao si natomiast uzyska informacje na temat tego, jakie podmioty i jak czsto sigaj po dane usugobiorcw. Poniszy wykres przedstawia udzia poszczeglnych organw w oglnej liczbie zapyta, jakie trafiy do firm w analizowanym okresie.

12

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Wykres 3: Udzia zapyta poszczeglnych organw pastwa w cznej liczbie zapyta skierowanych do firm wiadczcych usugi drog elektroniczn w okresie 1.01.201230.06.2013 (na podstawie danych przekazanych przez trzy firmy)

13

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Z odpowiedzi firm, ktre byy w stanie przekaza nam odpowiednie dane, wynika, e niekwestionowanym liderem, jeli chodzi o liczb zapyta o dane uytkownikw usug internetowych, jest prokuratura. Na drugim miejscu plasuje si policja. Zapytania kierowane bezporednio przez sdy s o wiele rzadsze. Natomiast zapytania od sub w tym ABW czy CBA stanowi zupeny margines. Przy czym adna z polskich firm nie zastrzega, e nie moe ujawni pewnych kategorii zapyta o dane. W ich odpowiedziach suby specjalne pojawiy si na rwni z policj i prokuratur. Na tej postawie oraz na podstawie analizy przepisw prawa moemy zaryzykowa tez, e polskie firmy nie otrzymuj zapyta od sub, ktrych skali nie mogyby ujawni ze wzgldu na obowizujc je tajemnic. Zdecydowana wikszo zapyta o dane uytkownikw usug internetowych przechodzi przez wymiar sprawiedliwoci lub organy cigania, ktre pozyskuj dane na potrzeby postpowa karnych. Zakadajc, e przekazane informacje s rzetelne, a pastwo nie stosuje metod niejawnego sigania po dane gromadzone przez firmy, nie ma przesanek, by sdzi, e polskie suby realizuj programy masowej inwigilacji w zakresie pobierania informacji o osobach korzystajcych z usug internetowych. Ze wzgldu na niewielk liczb firm, ktre wziy udzia w pilotau, postanowilimy przyjrze si zapytaniom o dane uytkownikw Internetu rwnie od strony organw pastwa. W tym celu skierowalimy analogiczne pytania do: policji, prokuratury, ABW, Agencji Wywiadu, CBA, Suby Kontrwywiadu Wojskowego, Suby Wywiadu Wojskowego, Suby Celnej, kontroli skarbowej, Stray Granicznej i andarmerii Wojskowej. W trybie dostpu do informacji publicznej zapytalimy te instytucje m.in. o to, ile zapyta o dane obywateli w tym samym czasie skieroway do firm wiadczcych usugi drog elektroniczn. Niestety, akurat w tych instytucjach, ktre wedug danych uzyskanych od firm pytaj najwicej, nasze wnioski o dostp do informacji publicznej napotkay na opr. Policja poinformowaa nas, e nie zbiera tego typu danych, a wic nie moe ich nam przekaza. Podobnie odpowiedziaa Prokuratura Generalna: poniewa prawo nie nakada na ni takiego obowizku, na poziomie centralnym nie prowadzi ewidencji wszystkich zapyta kierowanych przez poszczeglne prokuratury do firm wiadczcych usugi drog elektroniczn. Rzeczywista i precyzyjna skala zapyta, jak generuj te instytucje, pozostaje zatem wielk niewiadom. Natomiast udao nam si uzyska dane na temat liczby zapyta kierowanych do firm wiadczcych usugi drog elektroniczn od sub, ktre teoretycznie maj najwicej powodw, eby takie informacje uzna za poufne lub z innych powodw niedostpne. Zestawienie ich odpowiedzi prezentujemy poniej.

14

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Wykres 4: Liczba zapyta skierowanych przez poszczeglne uprawnione organy pastwa do firm wiadczcych usugi drog elektroniczn w okresie 1.01.201230.06.2013 (na podstawie danych uzyskanych od organw pastwa)

15

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Nie ulega wtpliwoci, e bez analogicznych danych od prokuratury i policji bardzo trudno oszacowa skal zapyta o dane uytkownikw usug internetowych w Polsce. Na podstawie zebranych danych moemy jednak zaryzykowa tez, e same suby poza policj pytaj mao. Ten wniosek ma oparcie nie tylko w danych przekazanych przez firmy, ale take w odpowiedziach sub udzielonych w trybie dostpu do informacji publicznej. W skali kraju podane przez nie liczby zapyta o dane uytkownikw usug internetowych to margines caego zjawiska.

V. KONTEKST: UDOSTPNIANIE DANYCH TELEKOMUNIKACYJNYCH eby umieci dyskusj o udostpnianiu danych uytkownikw usug internetowych w szerszym kontekcie, wracamy do punktu wyjcia: skali zapyta o dane obywateli, z ktr mierz si operatorzy telekomunikacyjni.

Wykres 5: Liczba zapyta skierowanych do operatorw telekomunikacyjnych przez wszystkie uprawnione organy pastwa w 2011 i 2012 r. (na podstawie danych zebranych przez Urzd Komunikacji Elektronicznej)

2011

1 874 107 1 762 620

2012

Mimo e jak wielokrotnie podkrelalimy suche liczby niewiele mwi o interesujcych nas problemach i trudno w oparciu o nie wyci ga daleko idce wnioski, samo porwnanie skali zapyta o te dwie kategorie danych daje do mylenia. Zestawienie danych publikowanych przez Urzd Komunikacji Elektronicznej oraz danych, jakie w trybie dostpu do informacji publicznej uzyskalimy od poszczeglnych organw pastwa, pokazuje, e zainteresowanie danymi generowanymi w sieciach telekomunikacyjnych jest zdecydowanie wiksze ni w przypadku usug wiadczonych drog elektroniczn.

16

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Tabela: Liczba zapyta skierowanych przez poszczeglne uprawnione organy pastwa w latach 2011-12 (na podstawie danych uzyskanych od organw pastwa)

Z perspektywy tej analizy najciekawsze wydaje si porwnanie liczby zapyta o dane telekomunikacyjne kierowanych przez poszczeglne uprawnione organy z analogicznym zestawieniem dotyczcym danych uytkownikw usug internetowych, szczeglnie e w przypadku zapyta kierowanych przez suby do operatorw telekomunikacyjnych udao nam si uzyska interesujce nas dane od policji (take w trybie dostpu do informacji publicznej). Jeli przyj zaoenie, e struktura zapyta w przypadku obu rodzajw danych danych abonentw telekomunikacyjnych i danych uytkownikw usug internetowych jest w miar podobna, potwierdza si wniosek wynikajcy z odpowiedzi uzyskanych od firm (por. wykres 3): policja interesuje si danymi obywateli w duo wikszym stopniu ni inne suby. Zdecydowana wikszo ingerencji w prywatno uytkownikw usug internetowych jest zwizana z postpowaniami karnymi i odbywa si pod kontrol wymiaru sprawiedliwoci, poniewa wszelkie dane zebrane przez policj ostatecznie trafiaj do akt postpowania albo s niszczone jako nieprzydatne.

17

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Drugi ciekawy wniosek dotyczy ogromnej dysproporcji midzy liczb zapyta, ktre organy pastwa kieruj do firm wiadczcych usugi drog elektroniczn, a liczb tych, ktre trafiaj do operatorw telekomunikacyjnych. Porwnanie tych danych wydaje si potwierdza to, czego dowiedzielimy si z rozmw z policj: do firm wiadczcych usugi internetowe organy cigania z zasady kieruj przede wszystkim pytania o numer IP. Ustalenie numeru IP uytkownika to zwykle pierwszy trop w sprawie, jeli dotyczy ona korzystania z usug internetowych. Jeli tylko jest taka moliwo, na etapie rozpracowania sprawy i gromadzenia dowodw policja i prokuratura wykorzystuj bardziej wiarygodne i mwice wicej dane, ktre s gromadzone przez operatorw telekomunikacyjnych (por. analiza na s. 23). Drugim czynnikiem, ktry moe mie wpyw na du skal zapyta o dane telekomunikacyjne, jest moliwo bezporedniego sigania po dane przechowywane przez operatorw za pomoc specjalnych interfejsw, uatwiajcych i przyspieszajcych dostp do tych danych. W przypadku sigania po dane uytkownikw usug internetowych organy pastwa nie maj takiej moliwoci i za kadym razem musz je uzyska od firmy wiadczcej usugi.

18

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

II. Udostpnianie danych: formalne zasady i praktyczne problemy


W tej czci opracowania: wyjaniamy podstawowe zasady gromadzenia danych przez firmy i ich udostpniania organom pastwa; opisujemy praktyczne problemy i dylematy, z ktrymi musz mierzy si firmy przekazujce dane na danie organw pastwa; diagnozujemy siedem kluczowych problemw, ktre wymagaj zmian w przepisach obowizujcego prawa.

I. CO FIRMY WIEDZ O UYTKOWNIKACH? Kady ruch w Internecie zostawia lad. Ten lad moe by rejestrowany przez dostawc usugi, z ktrej korzysta obywatel-uytkownik. Im wicej takich danych gromadzi firma, tym wicej informacji na temat obywateli-uytkownikw mog pozyska take organy pastwa, o ile tylko maj do tego podstaw prawn. Dlatego naturalnym punktem wyjcia do rozmowy o zasadach dostpu do danych uytkownikw usug internetowych powinno by przypomnienie, jakie dane na temat uytkownikw usug internetowych mog by przetwarzane przez same firmy.

Dane niezbdne To, jakie dane o swoich klientach moe przetwarza polska firma wiadczca usugi drog elektroniczn, jest cile uregulowane przepisami. Co do zasady s to informacje niezbdne, by prawidowo dostarczy i rozliczy wiadczon usug. W tej kategorii mieszcz si: dane osobowe, ktre s niezbdne do zawarcia umowy: np. nazwisko, PESEL, adres e-mail (por. infografika 1); dane eksploatacyjne, ktre s konieczne, by dopasowa usug do sprztu i oprogramowania uytkownika: np. numer IP, informacje o ustawieniach przegldarki i zainstalowanym oprogramowaniu (por. infografika 2).

19

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Zasady gromadzenia i udostpniania danych uytkownikw usug internetowych wg polskiego prawa

20

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Niezbdne do wiadczenia usugi moe by take przechowywanie treci korespondencji, jeli tego wanie oczekuje klient np. w ramach usugi poczty elektronicznej, wykorzystujcej hosting danych na wirtualnym serwerze. To oczywicie nie znaczy jeszcze, e firma ma prawo czyta nasze e-maile i wykorzystywa ich tre w innych celach ni te, ktre wynikaj bezporednio z umowy. Innym przykadem danych osobowych zbieranych przez firmy moe by adres, pod ktry sklep internetowy dostarcza zakupiony towar. Jednak zasada jest wci ta sama firma musi mie jasny, wynikajcy ze specyfiki swojego dziaania, powd do przetwarzania tych informacji. W Polsce zasady zbierania i przechowywania danych o klientach reguluj: ustawa o wiadczeniu usug drog elektroniczn i ustawa o ochronie danych osobowych. Tych regu nie musz jednak przestrzega firmy, ktre nie podlegaj polskiej jurysdykcji, nawet jeli dziaaj na polskim rynku.

Dodatkowe dane Moe si zdarzy, e firma chce zbiera dane, ktre nie s niezbdne do wiadczenia zamwionej przez uytkownika usugi np. suce lepszemu dopasowaniu reklam czy poprawiajce jako usug (por. infografika 3). W tym kontekcie takie informacje, jak historia aktywnoci w serwisie, szczegowy profil uytkownika czy informacje o kontaktach z innymi uytkownikami, mog by bardzo atrakcyjne. Jeli firma chce przetwarza dane osobowe, ktre nie s jej niezbdne do realizacji usug moe to zrobi wycznie za zgod uytkownika. W praktyce oznacza to, e powinna poinformowa kadego uytkownika, jakie dodatkowe informacje chce o nim zbiera i zapyta, czy akceptuje on takie warunki dostarczania usug. Zasad, jakie wynikaj z ustawy o wiadczeniu usug drog elektroniczn i ustawy o ochronie danych osobowych, nie musz przestrzega firmy, ktre nie podlegaj polskiej jurysdykcji (zarejestrowane poza Polsk i nieprzetwarzajce danych na terenie Polski). W ich przypadku zasady zbierania i przetwarzania danych uytkownikw okrela prawo kraju pochodzenia.

II. ZASADY UDOSTPNIANIA DANYCH ORGANOM PASTWA Informacje, ktre s niezbdne z perspektywy firm, jak rwnie te, ktre uytkownicy usug internetowych przekazuj im dobrowolnie, mog si okaza rwnie atrakcyjne z perspektywy pastwa. Najczstszym powodem takiego zainteresowania jest walka z przestpczoci, a konkretnie potrzeba zebrania dowodw w dochodzeniu przeciwko danej osobie. Zasady, na jakich organy pastwa mog wykorzystywa dane gromadzone przez firmy, rwnie okrela prawo.

21

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Z jednej strony ustawa o wiadczeniu usug drog elektroniczn nakada na wszystkie firmy wiadczce takie usugi obowizek udzielania informacji o przetwarzanych danych organom pastwa na potrzeby prowadzonych przez nie postpowa (art. 18 ust. 6 UUDE). Podobnie jak ograniczenia dotyczce zbierania i przetwarzania danych osobowych obowizki wynikajce z tej ustawy dotycz tylko firm podlegajcych polskiej jurysdykcji. Firmy zagraniczne stosuj si do takich zasad, jakie okrela prawo kraju, w ktrym s zarejestrowane. Jednak obowizki firm wynikajce z ustawy o wiadczeniu usug drog elektroniczn to tylko jedna strona medalu. Prawo przyznaje bowiem poszczeglnym organom pastwa wyrane uprawnienia, na podstawie ktrych mog si domaga od firm wydania danych osobowych uytkownikw usug internetowych. W relacji z tymi organami wyposaonymi w kompetencje wadcze wszystkie firmy dziaajce na terytorium Polski s rwne. Rwnie firmy zagraniczne musz si stosowa do postanowie sdu i prokuratora czy wnioskw kierowanych przez policj na podstawie jej przepisw kompetencyjnych. Zgodnie z kodeksem postpowania karnego (art. 218 i 236a) prokurator i sd maj prawo zada danych, jeli maj one znaczenie dla konkretnego postpowania. Z kolei zgodnie z ustaw o Policji (art. 20 ust. 2a) policja moe pobiera i przetwarza dane osobowe o osobach podejrzanych bez ich wiedzy i zgody. Analogiczne rozwizanie przewiduj tzw. ustawy kompetencyjne, regulujce dziaanie poszczeglnych sub (m.in. ABW, CBA, kontroli skarbowej, Suby Celnej). Przepisy regulujce funkcjonowanie policji i innych sub inaczej traktuj tylko niektre rodzaje danych (np. dane bankowe lub ubezpieczeniowe), natomiast nie przewiduj odrbnych regu postpowania z danymi uytkownikw usug internetowych. Std wniosek, e dostpu do tych danych (jako kategorii danych osobowych) suby mog da na podstawie oglnych przepisw dotyczcych pobierania danych osobowych. Polskie przepisy nie pozwalaj na swobodny dostp organw pastwa do baz danych, w ktrych firmy gromadz dane uytkownikw usug internetowych. Prokuratura, policja i inne suby mog pozyskiwa tylko informacje na temat konkretnych osb. Za kadym razem musz te przedstawia odpowiedni wniosek lub postanowienie, ze wskazaniem podstawy prawnej.

Rne standardy ochrony elektronicznej korespondencji W polskim prawie standard ochrony korespondencji nie jest jednolity. Zaley on od tego, jaki status ma przechowujca j firma. Operatorw telekomunikacyjnych obejmuje tzw. tajemnica telekomunikacyjna. W praktyce oznacza to, e sam operator nie moe si zapozna z treci przechowywanej korespondencji (np. wiadomoci SMS) ani sucha realizowanych rozmw; nie moe te na to pozwoli innym podmiotom, chyba e tajemnic telekomunikacyjn uchyli swoim postanowieniem sd karny. Przepisy regulujce zasady wiadczenia usug internetowych w tym poczty elektronicznej nie przewiduj analogicznej ochrony. Tajemnica telekomunikacyjna nie chroni zatem korespondencji przechowywanej przez firmy wiadczce usugi drog elektroniczn.

22

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Jakie ma to konsekwencje w praktyce? Na szczcie policja i inne suby, mimo braku ograniczenia tajemnic telekomunikacyjn, nie mog swobodnie siga po tre korespondencji ich przepisy kompetencyjne narzucaj w takich sytuacjach szczeglny tryb, bez wzgldu na to, kto przechowuje korespondencj. Zdarza si jednak, e sdy cywilne traktujc wszelkie informacje posiadane przez firmy jako dokument daj od firmy wiadczcej usugi drog elektroniczn ujawnienia korespondencji jej uytkownikw. Powouj si przy tym na przepisy kodeksu postpowania cywilnego, umoliwiajce sdom dostp do dokumentw w celach dowodowych. Mimo, e firmy nie przechowuj korespondencji swoich uytkownikw i nie s w posiadaniu tego typu dokumentw, odmowa wykonania postanowienia sdu cywilnego moe si wiza z koniecznoci zapacenia grzywny.

Obywatel nie zawsze wie, e by sprawdzany Czy obywatele wiedz o tym, kto i kiedy siga po dotyczce ich dane? To zaley od tego, kto pyta. Sdy i prokuratorzy dziaajcy na podstawie kodeksu postpowania karnego musz wyda postanowienie, ktre dorczane jest nie tylko firmie, ale i osobie, ktrej ono dotyczy. Przepisy pozwalaj sdom i prokuratorowi odroczy dorczenie takiego postanowienia ze wzgldu na dobro postpowania, ale obowizek poinformowania obywatela, e by sprawdzany, nie znika. Zupenie inne reguy obowizuj w tzw. postpowaniu przedprocesowym: ani policja, ani suby nie musz informowa osoby, ktrej dane wykorzystay w ramach czynnoci operacyjnych. T wiedz maj jedynie firmy, do ktrych suby zwracaj si z wnioskami i zapytaniami.
Najczciej poszukiwana informacja: adres IP Z rozmw z praktykami wiemy, e z caego katalogu dostpnych danych policj i prokuratorw najczciej interesuje numer IP. W przeciwiestwie do danych, ktre uytkownicy sami podaj firmom wiadczcym usugi internetowe, t informacj trudno zmieni czy zafaszowa. Na podstawie numeru IP organy cigania s w stanie dokona kolejnych ustale adresu czy nazwiska osoby podejrzanej. Ze wzgldu na wiksz wiarygodno danych, ktre posiadaj operatorzy telekomunikacyjni, kolejne (drce) zapytania trafiaj zwykle do nich. Wynika to m.in. z tego, e do zawarcia niektrych typw umw z operatorem telekomunikacyjnym potrzebne jest okazanie dokumentu.

III. NIEPEWNE PROCEDURY I PODSTAWY PRAWNE Prawo nie okrela precyzyjnie elementw, jakie powinien zawiera wniosek o dane, ktry organy pastwa kieruj do prywatnej firmy. To powoduje wtpliwoci interpretacyjne, ktre firmy musz rozstrzyga wg wasnej oceny i na wasne ryzyko. Aby otrzyma informacje o danym uytkowniku usug internetowych, suby i inne organy pastwa zawsze musz si powoa na konkretn podstaw prawn. Jedn z najczciej

23

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

powoywanych podstaw jest niezwykle lakoniczny art. 18 ust. 6 UUDE, ktry brzmi: Usugodawca udziela informacji o danych, o ktrych mowa w ust. 15, organom pastwa na potrzeby prowadzonych przez nie postpowa. I wanie wok tego przepisu toczy si swoisty spr interpretacyjny. Ten przepis nakazuje firmom przekazywa dane na danie organw pastwa, ale nie precyzuje, jakie podmioty mieszcz si w tej kategorii (w praktyce pojawia si wtpliwo na temat tego, czy np. izba lekarska lub leniczy to te organ pastwa uprawniony do pobierania danych). Jednak zdaniem samych organw w tym policji art. 18 ust. 6 UUDE jest do precyzyjny i nie wymaga zmiany. Wedug informacji przekazanych nam przez policj na podstawie tego wanie przepisu (a nie ustawy o Policji) Komendant Gwny Policji upowani grup funkcjonariuszy do pobierania danych od firm wiadczcych usugi internetowe szczeglnie do weryfikowania numerw IP. Inne zdanie na ten temat maj niektre firmy twierdzce, e do wydania danych potrzebuj jeszcze wyranej podstawy prawnej po stronie pytajcego organu. Z rozmw z firmami wynika, e praktyka rni si w zalenoci od przedsibiorstwa: niektre odpowiadaj na zapytania oparte wycznie o art. 18 ust. 6 UUDE, inne domagaj si dodatkowo wskazania podstawy prawnej wynikajcej z tzw. ustawy kompetencyjnej (regulujcej zasady dziaania policji lub innych sub). To jednak nie koniec wtpliwoci interpretacyjnych. Prawo nie okrela precyzyjnie elementw, jakie powinien zawiera wniosek o dane, ktry organy pastwa kieruj do prywatnej firmy (np. wskazanie sygnatury sprawy, w jakiej toczy si postpowanie; podpis funkcjonariusza; piecz instytucji). Nie jest te zdefiniowane, jak powinna zachowa si firma, jeli otrzyma wniosek niekompletny (zwrci do uzupenienia, a moe odmwi wydania danych?), ani jak naley dziaa w sytuacjach nagych np. zagroenia ycia kiedy brakuje czasu na nadmierne formalnoci. W efekcie decyzja o tym, czy prosi organy pastwa o dodatkowe wyjanienia, czy ze wzgldu na uzasadnione okolicznoci po prostu zrealizowa wniosek, zaley wycznie od oceny danej firmy. Obowizujce przepisy nie precyzuj te tego, jak drog organy pastwa mog kierowa do firm wiadczcych usugi internetowe zapytania o dane ich uytkownikw. Take w tej sferze praktyka i firm, i organw pastwa jest rna. Do mniejszych firm organy pastwa nadal wysyaj zapytania poczt tradycyjn; w kontaktach z wikszymi firmami, ktre mog sobie pozwoli na wdroenie bezpiecznych kanaw komunikacji elektronicznej, wykorzystuje si rwnie t form komunikacji. Policja potwierdza, e z niektrymi firmami nawizaa bezpieczne, szyfrowane poczenia wanie w celu sprawniejszego przekazywania wnioskw o dane. Nie ma jednak mowy o bezporednim dostpie do baz danych, czyli interfejsie pozwalajcym na samodzielne pobieranie danych. W nagych przypadkach np. zagroenia ycia mog si natomiast zdarza odpowiedzi na zapytania zoone przez telefon.

Spr o zwrot kosztw Konieczno odpowiadania na zapytania organw pastwa generuje koszty. Zwizane s one np. ze zbieraniem informacji, o ktre pyta dany organ, wydrukowaniem setek stron wyci gw i przesaniem ich tradycyjn poczt. Prawo nie precyzuje, czy firmom naley si zwrot poniesionych wydatkw. Firmy stosuj rne metody radzenia sobie z tym

24

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

problemem: cz z nich pobiera opaty za przekazywanie danych, a cz realizuje je na wasny koszt. Zdarza si te, e firmy egzekwuj zwrot kosztw na drodze sdowej.
Naduycia w zwizku z dostpem do danych Znane s przypadki zgaszania zawiadomie o pope nieniu przestpstwa naruszenia praw autorskich do prokuratury przez stowarzyszenia zajmujce si ochron praw autorskich tylko po to, by z pomoc organw cigania dotrze do danych osobowych domniemanych piratw. Majc takie informacje, stowarzyszenia lub ich pe nomocnicy kieruj danie zapaty za naruszenie praw autorskich ju bezporednio do uytkownika, co moe by odebrane jako forma szantau. Takie dziaanie wykorzystuje mechanizmy procesu karnego i organy pastwa w sporze o charakterze cywilnym, a wic stanowi naduycie prawa.

IV. MECHANIZMY KONTROLI Polskie prawo nie przewiduje jednolitego mechanizmu kontroli dziaa organw pastwa, kiedy w gr wchodzi wykorzystywanie danych uytkownikw usug internetowych czy te innych kategorii danych osobowych. Kontrola niezalenego organu np. sdu jest zasad tylko w przypadku niektrych typw postpowa; w przypadku innych takiej kontroli brak. W postpowaniu karnym prawo przewiduje kilka niezalenych mechanizmw kontroli. Przede wszystkim o przekazaniu danych decyduje sd lub prokurator, ale zawsze pod kontrol sdu czyli niezalenego organu. Dodatkowo postanowienie o signiciu po dane osobowe jest dorczane osobie, ktrej dotyczy. Dorczenie moe by odroczone do czasu zakoczenia postpowania, jeli jest to niezbdne ze wzgldu na dobro sprawy. Jednak sam obowizek poinformowania o tym, e dane byy wykorzystywane w sprawie, nie znika. Co wicej osobie, ktrej postanowienie dotyczy, przysuguje zaalenie, ktre rozpoznaje sd. Analogicznych bezpiecznikw i mechanizmw kontroli nad siganiem po dane o uytkownikach usug internetowych nie ma na etapie czynnoci operacyjnych prowadzonych np. w celu zapobiegania przestpczoci lub rozpracowywania rodowiska przestpczego. Takie czynnoci ze swojej natury s tajne. Informacja o tym, e suby, prowadzc czynnoci operacyjne, interesoway si danymi uytkownika usug internetowych, dotrze do niego tylko pod warunkiem, e zostanie wszczte postpowanie karne. Jeli zebrane dane nie dadz ku temu wystarczajcych podstaw, rwnie informacja o pobraniu danych przez policj i suby nie dotrze do uytkownika. Na etapie czynnoci operacyjnych policja i inne suby mog siga po dane o uytkownikach usug internetowych bez zewntrznej kontroli ze strony prokuratora lub sdu. Co wicej, suby specjalne nie s kontrolowane nawet przez Generalnego Inspektora Ochrony Danych Osobowych. Zapytania o dane przechodz jednak przez system kontroli wewntrznej. Z informacji, jakie uzyskalimy od policji wynika, e aden funkcjonariusz nie moe samodzielnie spyta o dane potrzebuje do tego zgody przeoonego, ktra moe jednak przyj form staego upowanienia.

25

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Statystyki i sprawozdawczo Firmy dostarczajce usugi internetowe nie maj obowizku informowania nikogo o tym, jak czsto organy pastwa pytaj je o dane uytkownikw i ile z tych zapyta zostaje ostatecznie zrealizowanych. Obowizek przekazywania tego rodzaju informacji maj natomiast operatorzy telekomunikacyjni, ktrzy w rozumieniu przepisw s innym rodzajem podmiotw. Dane pochodzce od nich gromadzi Urzd Komunikacji Elektronicznej i jak si okazuje jawno tych statystyk nie utrudnia pracy organom cigania ani wymiarowi sprawiedliwoci. Z drugiej strony nie ulega wtpliwoci, e najlepszym rdem takich statystyk s organy pastwa i to przede wszystkim one powinny gromadzi i udostpnia opinii publicznej informacje na temat da, jakie kieruj do prywatnych podmiotw.

V. PODSUMOWANIE: KLUCZOWE PROBLEMY Analiza przepisw prawa oraz informacji zebranych od firm i innych podmiotw przetwarzajcych dane uytkownikw Internetu day nam podstawy do opisania systemowych problemw zwizanych z przekazywaniem danych na danie organw pastwa. Szczegowo omwilimy je powyej; natomiast w tym miejscu chcemy je podkreli i podsumowa. Problem pierwszy: skala zapyta jest niemoliwa do oszacowania Brakuje danych obrazujcych skal sigania po dane uytkownikw usug internetowych. Poniewa firmy wiadczce usugi drog elektroniczn nie maj obowizku prowadzenia ewidencji zapyta, jakie kieruj do nich organy pastwa, i publikowania sprawozda na ten temat, robi to tylko niektre z wasnej inicjatywy oraz wedug wasnych zasad. Co gorsze, takiego obowizku nie maj take organy pastwa, w zwizku z czym tylko niektre dysponuj odpowiednimi danymi. W efekcie nie wiemy, ile jest zapyta o dane uytkownikw usug internetowych, czego konkretnie dotycz, kto je kieruje i ile z nich zostaje zrealizowanych. Tym trudniej oceni, czy np. moliwo korzystania z danych uytkownikw usug internetowych ma rzeczywisty wpyw na walk z przestpczoci albo prac operacyjn sub. Problem drugi: firmy musz same rozstrzyga powane wtpliwoci interpretacyjne Prawo nie precyzuje tego, jakie kryteria formalne powinien spenia wniosek o dane i w jakim trybie powinien zosta przekazany firmie (np. czy dopuszczalna jest forma elektroniczna). Na t niepewno nakadaj si problemy interpretacyjne, zwizane z kluczow podstaw sigania po dane przetwarzane przez firmy wiadczce usugi drog elektroniczn: art. 18 ust. 6 UUDE. W praktyce cay ciar oceny tego, czy wniosek o dane zosta odpowiednio przygotowany i czy przywoana przez pytajcego podstawa prawna jest wystarczajca, spoczywa na prywatnym przedsibiorcy. W efekcie trudno mwi o spjnym standardzie ochrony prywatnoci uytkownikw kada firma dokonuje takiej oceny wedug wasnego uznania. Brak precyzji przepisw utrudnia te

26

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

wypracowanie jednolitej metody gromadzenia danych do celw statystycznych np. nie wiadomo, jak liczy wniosek, ktry zawiera pytania o wielu uytkownikw. Tego typu wtpliwoci mona by mnoy. Problem trzeci: brak kontroli nad pobieraniem danych przez suby Brakuje zewntrznego nadzoru i niezalenych mechanizmw weryfikacji tego, czy suby (np. ABW czy CBA) korzystaj z danych uytkownikw usug internetowych zgodnie z prawem. Ten problem wielokrotnie podkrelaa Rzecznik Praw Obywatelskich, a ostatnio w swoim raporcie zauwaya te Najwysza Izba Kontroli aden organ w Polsce nie kontroluje, czy suby rzeczywicie dziaaj w granicach i na podstawie przepisw prawa. To dotyczy take (cho nie tylko) wykorzystywania danych uytkownikw usug internetowych. Tam, gdzie w gr wchodz dane osobowe, problem braku nadzoru nad dziaaniem sub pogbia to, e sami obywatele nie maj moliwoci zweryfikowania, czy suby pytay firmy o ich dane. Dla porwnania: w postpowaniu oskarony ma prawo do informacji o tym, e jego dane byy pobierane na potrzeby sprawy i moe nawet zoy w zwizku z tym zaalenie. Problem czwarty: rne procedury udostpniania danych obowizujce w firmach Polskie prawo przewiduje, z jednej strony, konkretne ograniczenia dla firm, jeli chodzi o moliwo gromadzenia danych o uytkownikach usug internetowych, z drugiej na te same firmy nakada obowizek udostpniania danych osobowych na danie uprawnionych organw. Nie wszystkie z tych regu stosuj si do firm zagranicznych: mimo e w takim samym stopniu musz one respektowa prawo karne i wsppracowa z sdami czy policj, nie podlegaj obowizkom wynikajcym z ustawy o wiadczeniu usug drog elektroniczn. W praktyce maj wobec pastwa podobne obowizki, ale dziaaj w oparciu o inne procedury. Ta rozbieno regu bez wzgldu na to, ktre w praktyce okazuj si lepsze ze wzgldu na ochron danych uytkownikw powoduje, e nie moemy rzetelnie porwna praktyk wszystkich firm dziaajcych na polskim rynku. Problem pity: brak jasnych regulacji dotyczcych zwrotu kosztw obsugi zapyta Brak jasnych regulacji dotyczcych zwrotu kosztw obsugi zapyta od organw pastwa powoduje, e firmy musz si mierzy z dodatkowym problemem: albo zaakceptowa to dodatkowe obcienie, albo domaga si zwrotu kosztw na drodze sdowej. W przypadku pobierania danych telekomunikacyjnych (od operatorw telekomunikacyjnych) prawo rozstrzyga problem kosztw na niekorzy operatorw: przepisy wyranie mwi, e dane s wydawane nieodpatnie. Analogicznego przepisu nie ma w przypadku firm wiadczcych usugi drog elektroniczn. W efekcie midzy firmami a organami pastwa nierzadko dochodzi do sporw interpretacyjnych. Co do zasady sdy przyznaj racj firmom i potwierdzaj ich prawo do zwrotu poniesionych kosztw, jednak niejasno przepisw generuje dodatkowe koszty (procesw sdowych) i pochania czas. Problem szsty: niejednolity standard ochrony poczty elektronicznej i danych telekomunikacyjnych W polskim prawie standard ochrony korespondencji zaley od tego, jaki status ma przechowujca j firma. Korespondencj (np. wiadomoci SMS) przesyan przez operatorw telekomunikacyjnych chroni tajemnica telekomunikacyjna. Korespondencja elektroniczna

27

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

(np. e-maile) przechowywana przez firmy wiadczce usugi drog elektroniczn nie podlega analogicznej ochronie. Dlatego w praktyce zdarza si, e sdy cywilne traktujc wszelkie informacje posiadane przez firmy jako dokument daj od firmy wiadczcej usugi drog elektroniczn ujawnienia korespondencji jej klientw. Podobnego dania nie mogyby skierowa do operatora telekomunikacyjnego. Problem sidmy: instrumentalne wykorzystywanie postpowania karnego do wyci gania danych osobowych Dowiadczenia firm potwierdzaj, e zdarza si instrumentalne wykorzystywanie postpowania karnego i kompetencji prokuratury przez podmioty zajmujce si ochron praw autorskich. Polega to na tym, e wszczcie postpowania karnego (poprzez zoenie zawiadomienia o popenieniu przestpstwa) ma jeden cel: ustali dane osobowe uytkownika, ktry rzekomo naruszy prawa autorskie. Takie dane (znajdujce si w aktach postpowania) s nastpnie wykorzystywane do dochodzenia praw na wasn rk najczciej uytkownik dostaje grony list z daniem zapaty. To nieetyczna praktyka, gboko ingerujca w prawa obywateli-uytkownikw.

*** Dane o uytkownikach usug internetowych to tylko jedne z wielu rodzajw danych osobowych, ktre przetwarzaj prywatne firmy i do ktrych mog uzyskiwa dostp podmioty publiczne. Przepisy regulujce funkcjonowanie policji i innych sub inaczej traktuj tylko niektre rodzaje danych (np. dane bankowe lub ubezpieczeniowe), natomiast wszystkie pozostae s pobierane na tych samych zasadach. Dlatego niektre z zasygnalizowanych powyej problemw maj charakter systemowy: nie dotycz jedynie sigania przez policj i inne suby po dane o uytkownikach usug internetowych. Dotyczy to zwaszcza braku moliwoci oszacowania, jaka jest skala zapyta o dane oraz braku kontroli nad pobieraniem danych przez suby.

28

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Kluczowi uczestnicy projektu podzikowania Dzikujemy firmom: Interia.pl, Onet i Agora za powicenie czasu i namys nad odpowiedziami oraz pen gotowo do rozmowy o tym, jak przepisy nakazujce udostpnianie danych uytkownikw funkcjonuj w praktyce. Ich dowiadczenie byo dla nas szczeglnie istotne, poniewa te firmy dziaaj na gruncie rodzimego prawa. Wane byo rwnie to, e do projektu doczya firma Google, ktra ju od kilku lat z wasnej inicjatywy publikuje raporty przejrzystoci, a jej dowiadczenia s reprezentatywne dla firm zagranicznych. Doceniamy te ch wczenia si do projektu ze strony firmy Facebook, ktra swj pierwszy raport przejrzystoci opublikowaa w tym roku mamy nadziej, e jest to pocztek staej dobrej praktyki. Niestety, ze wzgldu na niewystarczajcy zakres udostpnionych danych nie moglimy wczy jej odpowiedzi do niniejszego opracowania. Praca nad koncepcj bya przedsiwziciem ponadsektorowym. Pomogo nam Ministerstwo Administracji i Cyfryzacji pod jego auspicjami odbyo si pierwsze spotkanie robocze, a Minister Micha Boni publicznie podkrela konieczno zbadania skali zainteresowania organw pastwa danymi uytkownikw usug internetowych. Pomoc pro bono zaoferowaa kancelaria Bird & Bird, ktra poredniczya w przekazywaniu danych midzy firmami a Fundacj Panoptykon. Kancelaria dokonaa pseudonimizacji wypenionych ankiet, dziki czemu nie moemy przypisa udzielonych odpowiedzi konkretnym firmom.

29

Dostp pastwa do danych uytkownikw usug internetowych. Siedem problemw i kilka hipotez

Fundacja Panoptykon | panoptykon.org

Autorki Katarzyna Szymielewicz, Magorzata Szumaska Wsppraca Wojciech Klicki, Anna Mazgal, Anna Walkowiak Korekta Urszula Dobrzaska Projekt graficzny Filip Zagrski

Warszawa 2013

Publikacja udostpniona na licencji Creative Commons Uznanie autorstwa Na tych samych warunkach 3.0 Polska Publikacja zawiera wnioski z projektu, ktry zosta zrealizowany przez Fundacj Panoptykon przy wsparciu finansowym firmy Google

30