9 godzin temu
RPO alarmuje, iż w związku z brakiem szczegółowych przepisów regulujących zasady pozyskiwania, przechowywania i wykorzystywania danych telekomunikacyjnych obywateli przez służby specjalne i policję istnieje potrzeba zmian w następujących aktach:
- ustawa z 12.7.2024 r. – Prawo komunikacji elektronicznej (Dz.U. z 2024 r. poz. 1221; dalej: PrKomElektr);
- ustawa z 6.4.1990 r. o Policji (t.j. Dz.U. z 2025 r. poz. 636; dalej: PolicjaU);
- ustawa z 12.10.1990 r. o Straży Granicznej (t.j. Dz.U. z 2026 r. poz. 367);
- ustawa z 24.5.2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (t.j. Dz.U. z 2025 r. poz. 902; dalej: BezpWewnU);
- ustawa z 9.6.2006 r. o Centralnym Biurze Antykorupcyjnym (t.j. Dz.U. z 2025 r. poz. 712);
- ustawy z 9.6.2006 r. o służbie funkcjonariuszy Służby Kontrwywiadu Wojskowego oraz Służby Wywiadu Wojskowego (t.j. Dz.U. z 2025 r. poz. 694);
- ustawy z 16.11.2016 r. o Krajowej Administracji Skarbowej (t.j. Dz.U. z 2025 r. poz. 1131);
- ustawy z 8.12.2017 r. o Służbie Ochrony Państwa (t.j. Dz.U. z 2025 r. poz. 34);
- oraz wydania rozporządzenia wykonawczego do art. 49 ust. 2 PrKomElektr.
Retencja danych telekomunikacyjnych
RPO przypomniał, iż wyrok Europejskiego Trybunału Praw Człowieka z 28.5.2024 r., Pietrzak i Bychawska-Siniarska przeciwko Polsce, 72038/17, Legalis, nie zamknął dyskusji o kontroli operacyjnej. Przeciwnie – otworzył ją na nowo, pokazując, iż problem nie ogranicza się wyłącznie do podsłuchów, kontroli korespondencji czy innych klasycznych form niejawnej inwigilacji. Równie istotna jest retencja danych telekomunikacyjnych, pocztowych i internetowych, czyli zatrzymywanie oraz udostępnianie organom państwa danych niedotyczących treści komunikacji. ETPC wskazał, iż polski system nie zapewnia wystarczających gwarancji przed arbitralnością i nadużyciami w obszarze niejawnego nadzoru, w tym także w odniesieniu do danych retencyjnych.
W piśmie do Ministra Cyfryzacji, Ministra Sprawiedliwości, Ministra Spraw Wewnętrznych i Administracji oraz Ministra Koordynatora Służb Specjalnych Rzecznik Praw Obywatelskich zwrócił uwagę, iż implementacja wyroku strasburskiego nie może ograniczać się do zmian dotyczących kontroli operacyjnej rozumianej jako dostęp do treści rozmów czy korespondencji. Konieczne jest także całościowe uregulowanie retencji danych i dostępu do nich. RPO podkreślił, iż dane o lokalizacji, dane transmisyjne, dane IP czy dane abonenckie, choć formalnie nie obejmują treści komunikatów, pozwalają odtworzyć szczegółowy obraz życia jednostki: jej przemieszczania się, kontaktów, aktywności, zainteresowań i relacji społecznych.
W tym sensie retencja danych nie jest technicznym dodatkiem do problematyki inwigilacji, a jednym z jej zasadniczych elementów. RPO trafnie określa ją jako formę „soft inwigilacji”. Pozornie mniej dolegliwa niż podsłuch, może w praktyce prowadzić do równie głębokiej ingerencji w prywatność. Z treści rozmowy wynika, co dana osoba powiedziała. Metadane mogą natomiast pokazać, z kim rozmawiała, jak często, skąd, kiedy i w jakim kontekście.
Skala problemu
Z danych opublikowanych przez „Gazetę Wyborczą”, a udostępnionych przez Ministra Sprawiedliwości wynika, iż w 2024 r. uprawnione organy sięgały po dane telekomunikacyjne obywateli, w tym billingi i informacje o lokalizacji ponad 2 mln razy. Była to najwyższa liczba od czasu wejścia w życie przepisów umożliwiających służbom dostęp do informacji bez konieczności uzyskiwania zgody sądu.
Na tym tle znaczenie ma rozróżnienie dwóch kwestii: samego zatrzymywania danych przez przedsiębiorców telekomunikacyjnych oraz późniejszego dostępu do tych danych przez organy państwa. Ministerstwo Cyfryzacji w odpowiedzi z 4.5.2026 r. wskazało, iż PrKomElektr reguluje przede wszystkim obowiązki przedsiębiorców telekomunikacyjnych, a nie cele i warunki sięgania po dane przez służby, sądy czy prokuraturę. Resort podkreślił, iż obecna uogólniona i niezróżnicowana retencja danych jest konsekwencją niedostosowania przepisów regulujących funkcjonowanie uprawnionych podmiotów. Innymi słowy, zmiana PrKomElektr nie wystarczy, o ile równocześnie nie zostaną przebudowane inne przepisy, m.in. BezpWewnU.
Zróżnicowanie danych
Szczególnie istotne jest rozbicie danych niedotyczących treści na odrębne kategorie. Dane abonenckie mają inny ciężar ingerencyjny niż dane o lokalizacji. Dane IP różnią się od danych transmisyjnych. Tymczasem krajowy system nie odzwierciedla w wystarczającym stopniu tej gradacji. RPO wskazuje, iż uogólniona i niezróżnicowana retencja danych o ruchu i lokalizacji może być dopuszczalna jedynie wyjątkowo, w sytuacji realnego zagrożenia dla bezpieczeństwa narodowego, i tylko jako środek czasowy. Nie powinna natomiast stanowić domyślnego modelu zatrzymywania danych dla celów ogólnie rozumianego zwalczania przestępczości.
Nie oznacza to oczywiście, iż państwo ma być pozbawione instrumentów służących ochronie bezpieczeństwa. Przeciwnie, warunkiem jest jednak ich precyzyjne uregulowanie, ograniczenie w czasie, powiązanie z konkretnym celem oraz zabezpieczenie przed wykorzystaniem danych do innych celów, np. w zwykłych sprawach karnych. Właśnie w tym miejscu ujawnia się zasadnicza słabość obecnego modelu: system zaprojektowany dla sytuacji wyjątkowych może być stosowany także poza nimi.
RPO postuluje również wzmocnienie zasad dostępu do danych retencyjnych. W przypadku danych o ruchu i lokalizacji dostęp powinien być możliwy zasadniczo po uzyskaniu uprzedniej zgody niezależnego organu. Kontrola taka nie może mieć charakteru czysto formalnego. Zdaniem rzecznika konieczne jest wskazanie celów retencji danych niedotyczących treści oraz ich hierarchii. Celem o najwyższej randze jest ochrona bezpieczeństwa narodowego, natomiast bezpieczeństwo powszechne i zwalczanie poważnej przestępczości są celami istotnymi, ale znajdującymi się niżej w hierarchii celów. Dostęp do danych o lokalizacji i ruchu/transmisyjnych nie powinien być możliwy w sprawach dotyczących drobnej przestępczości.
Istotny jest także postulat subsydiarności. Dane retencyjne, zwłaszcza lokalizacyjne i transmisyjne, nie powinny być pierwszym, najłatwiejszym narzędziem w rękach organów państwa.
Ochrona tajemnic prawnie chronionych i notyfikacja
Szczególnego znaczenia nabiera ochrona tajemnic prawnie chronionych. Dane niedotyczące treści mogą bowiem pozwalać na obejście gwarancji, które tradycyjnie wiązano z komunikacją. o ile organy państwa nie poznają treści rozmowy np. adwokata z klientem, ale ustalą częstotliwość, czas i miejsce kontaktów, ochrona tajemnicy obrończej może zostać faktycznie osłabiona. Podobnie dane o kontaktach dziennikarza mogą prowadzić do identyfikacji źródeł informacji.
Kolejnym elementem reformy powinna być notyfikacja osoby, której dane pozyskano. Obecny system jest projektowany w taki sposób, iż jednostka często nigdy nie dowiaduje się o ingerencji w jej prywatność. Tymczasem bez informacji o pozyskaniu danych trudno mówić o realnym prawie do zaskarżenia. RPO proponuje mechanizm, w którym osoba byłaby informowana po upływie określonego czasu, np. roku albo dwóch lat, chyba iż w wąskiej kategorii spraw przemawiałby przeciwko temu przeważający interes publiczny, w szczególności bezpieczeństwo narodowe.
Z notyfikacją wiąże się potrzeba pełnego wdrożenia art. 17 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez adekwatne organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L z 2016 r. Nr 119, s. 89). Chodzi o zapewnienie jednostce możliwości wykonywania praw w trybie pośrednim, gdy bezpośrednie udzielenie informacji jest ograniczone. Niezależny organ nadzorczy powinien móc zweryfikować legalność i zasadność przetwarzania danych, a następnie poinformować jednostkę co najmniej o tym, iż kontrola została przeprowadzona i czy stwierdzono naruszenia.
Równolegle realizowane są prace nad rządowym projektem ustawy o zmianie niektórych ustaw w celu wzmocnienia nadzoru sądowego nad kontrolą operacyjną (druk nr 2411). 1.4.2026 r. projekt wpłynął do sejmu, a 14.4.2026 r. został skierowany do I czytania w komisjach. Jego celem jest zwiększenie kontroli sądowej nad niejawnymi działaniami służb, takimi jak podsłuchy czy obserwacje. RPO pozytywnie ocenił kierunek zmian, ale wskazał, iż projekt nie rozwiązuje całości problemów. Jego zdaniem minusem jest to, iż sąd rozpoznawałby wniosek o kontrolę operacyjną na podstawie materiałów wyselekcjonowanych przez służby, bez możliwości zapoznania się z całością zgromadzonych informacji albo żądania ich przedstawienia jeszcze przed zgodą sądu na kontrolę.
