DEKOMPRESOR 45: DEKOMPRESOR /PRAWO #3: Retencja danych, Bazy danych osobowych.

Treścią odcinka jest przede wszystkim retencja danych, pokazana od XIX w. do dnia dzisiejszego. Rozmawiamy o zakresie retencji, obowiązkach zwykłych użytkowników internetu, obowiązkach właścicieli sklepów internetowych i dostawców internetowych oraz telekomunikacyjnych. Opisujemy również patologie związane z dostępem do danych telekomunikacyjnych przez Policję, ABW, CBŚ, CBA czy prokuraturę.


 

Retencja danych

Potencjał monitorowania komunikacji między ludźmi organy ścigania dostrzegły już w XIX w. – wówczas stacje telegrafu były zobligowane do przetrzymywania przez rok kopii przesyłanych depesz. Bogactwo cyfrowych śladów, jakie generujemy w XXI w., jest bez porównania bardziej kuszące.

Retencja danych telekomunikacyjnych polega na przechowywaniu przez określony czas informacji o tym, gdzie się znajdujemy, z jakich urządzeń korzystamy i z kim się kontaktujemy. Te okruchy informacji, tzw. metadane, pozwalają odtworzyć szczegółowy obraz naszego życia: codziennych zwyczajów, powiązań biznesowych, relacji intymnych, szlaków komunikacyjnych. Prawo zmusiło operatorów telekomunikacyjnych do przechowywania i udostępniania tych danych organom ścigania. Wszystko to miało służyć walce z poważnymi przestępstwami, przede wszystkim z terroryzmem.

Szczegółowe dane o naszej komunikacji zaczęły być zatrzymywane na wszelki wypadek. Wszyscy zostaliśmy uznani za potencjalnych przestępców (i to poważnych!).

Treść komunikacji objęta jest tajemnicą i poddane szczególnej ochronie. Jednak już same metadane (czyli nie treść rozmowy, ale informacje o rozmowie, przede wszystkim: z kim, gdzie i kiedy się odbyła) wystarczają, żeby zbudować szczegółowy profil aktywności każdego użytkownika sieci. Potwierdził to eksperyment niemieckiego polityka Maltego Spitza [3] oraz badania naukowców z Massachusetts Institute of Technology.

Malte Spitz chciał zweryfikować, jak szczegółowy profil jego osoby można uzyskać w oparciu o dane, które zgodnie z niemieckim prawem przechowywał na jego temat operator telekomunikacyjny. Po długiej batalii prawnej (operator nie chciał udostępnić żądanych informacji) doszło do zawarcia ugody. Malte Spitz uzyskał z bazy danych operatora 35 000 rekordów, które szczegółowo dokumentowały sześć miesięcy jego życia. Te dane, poddane obróbce graficznej, pozwoliły zwizualizować szlaki komunikacyjne polityka i częstotliwość jego telefonicznych interakcji. W połączeniu z publicznie dostępnymi danymi z takich źródeł jak Twitter czy tradycyjne media bez większych trudności można było odtworzyć także cele podróży Maltego Spitza i kontekst, w jakim kontaktował się z otoczeniem [4].

Naukowcy z Massachusetts Institute of Technology ustalili, że na podstawie danych telekomunikacyjnych tylko z jednego miesiąca można odtworzyć sieć kontaktów i w 90% przypadków ustalić tożsamość osób należących do tej sieci. Co więcej, aż w 95% przypadków na podstawie danych telekomunikacyjnych można przewidzieć, gdzie dana osoba znajdzie się w ciągu kolejnych 12 godzin.

Dyrektywa retencyjna (oficjalnie: Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z 15 marca 2006 r. [5] w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/ WE) zobowiązała wszystkie państwa członkowskie Unii Europejskiej do stworzenia przepisów obligujących operatorów telekomunikacyjnych do przechowywania i udostępniania organom ścigania danych swoich klientów.

Retencja danych miała być wykorzystywana wyłącznie w celu walki z „poważną przestępczością”, a więc nie w celach prewencyjnych czy związanych z drobnymi naruszeniami prawa. Jednak niektóre państwa, w tym Polska, wdrożyły ten obowiązek w szerszym zakresie (a więc niezgodnie z celami dyrektywy), czyniąc z retencji danych uniwersalne narzędzie działania policji i innych służb.

Dyrektywa retencyjna, obowiązująca od 2006 r., określa okres zatrzymywania danych na nie mniej niż 6 miesięcy i nie więcej niż 2 lata. Najkrótszy, 6-miesięczny, okres retencji obowiązuje m.in. na Litwie i Słowacji. W Irlandii i we Włoszech wprowadzono 2-letni okres retencji. Również polskie władze początkowo zdecydowały się na maksymalny, 2-letni, okres retencji. Dopiero w styczniu 2013 r., na fali społecznej krytyki, został on skrócony do 12 miesięcy.

Nigdy nie udowodniono, że obowiązkowe przechowywanie danych telekomunikacyjnych rzeczywiście jest niezbędne do zapewnienia bezpieczeństwa. Badania Instytutu Maxa Plancka prowadzą do wprost przeciwnych wniosków. Wynika z nich, że tzw. zamrażanie danych przechowywanych przez dostawców usług telekomunikacyjnych w celach komercyjnych, czyli mniej inwazyjna dla praw i wolności obywatelskich alternatywa dla retencji, jest metodą skuteczną w 99,99% prowadzonych spraw.

Właśnie ten instrument został przewidziany w Konwencji Rady Europy o zwalczaniu cyberprzestępczości.

Zamrażanie danych (ang. quick freeze) to zatrzymywanie przez operatora telekomunikacyjnego wskazanych danych na wniosek uprawnionej służby w związku z konkretnym, już toczącym się, postępowaniem. Zamrożenie dokonywane jest natychmiastowo, bez oczekiwania na decyzję sądu, co skutecznie zapobiega utracie cennych danych, które inaczej mogłyby zostać skasowane, jako zbędne dla operatora. Aby jednak uzyskać dostęp do zamrożonych danych, potrzebna jest zgoda sądu. Prawo dostępu do danych telekomunikacyjnych mają w Polsce sądy, prokuratura, policja i inne (liczne!) służby: Centralne Biuro Antykorupcyjne, Agencja Bezpieczeństwa Wewnętrznego, Straż Graniczna, Żandarmeria Wojskowa, Służba Kontrwywiadu Wojskowego, kontrola skarbowa i Służba Celna.

Z raportu Komisji Europejskiej wynika, że tylko w Polsce, na Słowacji i na Łotwie można sięgać po dane telekomunikacyjne bez jakiejkolwiek kontroli – sądu, prokuratora lub niezależnego organu administracyjnego. Dla kontrastu: niemieckie służby mogą pozyskiwać dane telekomunikacyjne tylko w drodze nakazu sądowego, którego ważność jest ograniczona do 3 miesięcy. W uzasadnionych przypadkach nakaz może zostać wydłużony o kolejne 3 miesiące.

Urząd Komunikacji Elektronicznej podał informację, że operatorzy telekomunikacyjni w 2009 r. otrzymali od uprawnionych podmiotów ponad milion zapytań o dane telekomunikacyjne. W kolejnym roku ta liczba wyniosła ponad 1,3 mln. W 2011 r. wszyscy uprawnieni sięgali po dane telekomunikacyjne ponad 1,87 mln razy, zaś w 2012 r. – 1,72 mln.

W ostatnich latach liczba żądań danych telekomunikacyjnych wzrosła, chociaż w tym samym okresie nie stwierdzono równie dynamicznego przyrostu poważnych przestępstw w Polsce. Wzrost liczby zapytań nie wpłynął również na poprawę wykrywalności przestępstw. Tymczasem policja i inne służby (bez sądów, prokuratury i Służby Kontrwywiadu Wojskowego) „przyznają się” do znacznie większej liczby zapytań: ponad 1,92 mln w 2011 r. i 2,13 mln w 2012 r.

Z raportu Komisji Europejskiej oceniającego funkcjonowanie dyrektywy retencyjnej wynika, że w Niemczech służby sięgają po dane telekomunikacyjne aż 35-krotnie rzadziej niż w Polsce. Według polskiego MSW nie można jednak porównywać tych danych, ponieważ nie wiadomo, w jaki sposób w inne państwa liczą swoje „sprawdzenia telekomunikacyjne”.

Najgłośniejsze sprawy, w których bezprawnie pozyskiwano dane telekomunikacyjne, dotyczyły dziennikarzy. Okazało się chociażby, że w latach 2005–2007 ABW, CBA i policja zbierały dane na temat rozmów telefonicznych co najmniej dziesięciorga dziennikarzy. Obie służby zaprzeczyły, ale prokurator uzyskał z systemu operatora potwierdzenie złożenia zapytań przez CBA i ABW. W maju 2010 r. śledztwo w tej sprawie umorzono „z powodu niewykrycia przestępstwa”

W odcinku wykorzystane zostały informacje z opracowania „TELEFONICZNA KOPALNIA INFORMACJI. PRZEWODNIK” [2] – Fundacji Panoptykon.

Oryginalny wpis: DEKOMPRESOR 45: DEKOMPRESOR /PRAWO #3: Retencja danych, Bazy danych osobowych.