W dniu 7 lutego 2016 roku weszła w życie ustawa o zmianie ustawy o Policji oraz niektórych innych ustaw. Akt ten gruntownie nowelizuje obowiązujące regulacje w obszarze niejawnej kontroli operacyjnej oraz modyfikuje procedury dostępu służb mundurowych do informacji gromadzonych przez operatorów pocztowych, telekomunikacyjnych i usługodawców elektronicznych. W związku z tym, że wprowadzone zmiany niosą ze sobą daleko idące konsekwencje prawne i biznesowe, już dziś chcemy zwrócić Państwa uwagę na ich najważniejsze skutki dla Państwa codziennej działalności oraz wskazać obszary, które mogą wymagać zmian organizacyjnych.

Ustawa inwigilacyjna - najważniejsze zmiany

Najważniejsze zmiany omówimy odnosząc się do uprawnień przyznanych Policji, jednakże analogiczne zapisy wprowadzone zostały również do ustaw regulujących pracę innych służb mundurowych, m. in. Straży Granicznej, CBA, ABW i Agencji Wywiadu. Ponadto, takie same, rozszerzone, uprawnienia uzyskali funkcjonariusze wywiadu skarbowego oraz Służby Celnej. Poniżej zwięźle wskazujemy najważniejsze zmiany wprowadzone omawianą ustawą:

• doprecyzowanie zakresu działań, które mogą być podejmowane w toku kontroli operacyjnej,
• wprowadzenie 12-miesięcznego limitu czasowego dla prowadzenia niejawnej kontroli operacyjnej,
• wprowadzenie zasad postępowania z danymi zgromadzonymi w toku kontroli operacyjnej, które zawierają lub mogą zawierać informacje objęte tajemnicą adwokacką/radcy prawnego,
• wprowadzenie możliwości pozyskiwania przez Policję danych niestanowiących treści przekazu w ramach usługi świadczonej drogą elektroniczną oraz rozszerzenie istniejącego dotychczas uprawnienia Policji do pozyskiwania danych niestanowiących treści przesyłki pocztowej i przekazu telekomunikacyjnego w celu zapobiegania lub wykrywania przestępstw, ratowania życia lub zdrowia ludzkiego oraz wsparcia działań poszukiwawczych lub ratowniczych,
• przyznanie sądom okręgowym ogólnego uprawnienia do następczej kontroli nad procesem pozyskiwania przez Policję danych, o których mowa powyżej,
• wprowadzenie obowiązku zapewnienia warunków technicznych i organizacyjnych dla prowadzenia kontroli operacyjnej przez Policję dla usługodawcy elektronicznego oraz utrzymanie obowiązku w odniesieniu do przedsiębiorców telekomunikacyjnych i operatorów pocztowych.

Praktyczne skutki ustawy inwigilacyjnej

W naszej ocenie, na omówione zmiany należy spojrzeć w dwóch płaszczyznach:

• Rozszerzony zakres uprawnień służb mundurowych oraz niejawny tryb pozyskiwania danych powodują, że działania Państwa pracowników w Internecie, a także ich rozmowy telefoniczne czy korespondencja pocztowa, mogą być przedmiotem badania przez służby mundurowe. Do prowadzenia takiego badania nie będzie wymagane uzyskanie zgody sądu i będzie odbywać się ono bez wiedzy i bez zgody podmiotu, którego dane dotyczą. W toku badania nie będzie możliwe pozyskanie treści przesyłanych komunikatów (na założenie „klasycznego podsłuchu” w dalszym ciągu wymagane jest uzyskanie zgody sądu), niemniej jednak w pełni legalne będzie m. in. ustalenie imion i nazwisk rozmówców/odbiorców korespondencji, ich dokładnych adresów e-mail, czasu trwania rozmowy/daty nadania komunikatu, numerów IP komputerów, numerów telefonów, czy też wreszcie adresu prowadzenia działalności gospodarczej lub innych danych lokalizacyjnych stron rozmowy/komunikatu. Dane takie mogą więc potencjalnie pozwolić na prześledzenie m. in. tego z kim kontaktują się Państwa pracownicy w codziennej pracy, kim są Państwa kontrahenci, czy też gdzie udają się pracownicy w podróże służbowe.
• Przeniesione na grunt ustawy o Policji pojęcie usługodawcy elektronicznego może być w praktyce służb interpretowane bardzo szeroko, a tym samym, obowiązek udostępnienia danych i zapewnienia warunków do prowadzenia kontroli operacyjnej, dotyczyć może nie tylko przedsiębiorców świadczących usługi online, ale potencjalnie każdego podmiotu, który jest w jakikolwiek sposób obecny w sieci, np. poprzez  utrzymywanie własnej strony internetowej. W konsekwencji – w skrajnych wypadkach - może okazać się, że służby będą zwracać się o udostępnienie logów serwerów, które obsługują pocztę firmową czy też stronę internetową.

Rekomendacje DZP w związku z wejściem w żucie ustawy inwigilacyjnej

W świetle powyższego rekomendujemy podjęcie następujących działań:

• wdrożenie lub weryfikacja aktualnie obowiązujących procedur dostępu do zasobów IT, szczególnie w odniesieniu do zasad korzystania z firmowej sieci komputerowej i innych zasobów Państwa przedsiębiorstwa dostępnych online,
• wdrożenie szczegółowych zasad postępowania w przypadku zwrócenia się przez służby z prośbą o udostępnienie danych związanych ze świadczeniem usługi drogą elektroniczną,
• przeszkolenie pracowników w zakresie zasad właściwej komunikacji, szczególnie w odniesieniu do kontaktów z pracownikami organów administracji publicznej.