w dniu 7 lutego 2016 roku weszła w życie ustawa o zmianie ustawy o Policji oraz niektórych innych ustaw. Akt ten gruntownie nowelizuje obowiązujące regulacje w obszarze niejawnej kontroli operacyjnej oraz modyfikuje procedury dostępu służb mundurowych do informacji gromadzonych przez operatorów pocztowych, telekomunikacyjnych i usługodawców elektronicznych. W związku z tym, że wprowadzone zmiany niosą ze sobą daleko idące konsekwencje prawne i biznesowe, już dziś chcemy zwrócić Państwa uwagę na ich najważniejsze skutki dla Państwa codziennej działalności oraz wskazać obszary, które mogą wymagać zmian organizacyjnych.

Najważniejsze zmiany

Najważniejsze zmiany omówimy odnosząc się do uprawnień przyznanych Policji, jednakże analogiczne zapisy wprowadzone zostały również do ustaw regulujących pracę innych służb mundurowych, m. in. Straży Granicznej, CBAABW i Agencji Wywiadu. Ponadto, takie same, rozszerzone, uprawnienia uzyskali funkcjonariuszewywiadu skarbowego oraz Służby Celnej. Poniżej zwięźle wskazujemy najważniejsze zmiany wprowadzone omawianą ustawą:

  • doprecyzowanie zakresu działań, które mogą być podejmowane w toku kontroli operacyjnej,
  • wprowadzenie 12-miesięcznego limitu czasowego dla prowadzenia niejawnej kontroli operacyjnej,
  • wprowadzenie zasad postępowania z danymi zgromadzonymi w toku kontroli operacyjnej, które zawierają lub mogą zawierać informacje objęte tajemnicą adwokacką/radcy prawnego,
  • wprowadzenie możliwości pozyskiwania przez Policję danych niestanowiących treści przekazu w ramach usługi świadczonej drogą elektroniczną oraz rozszerzenie istniejącego dotychczas uprawnienia Policji do pozyskiwania danych niestanowiących treści przesyłki pocztowej i przekazu telekomunikacyjnego w celu zapobiegania lub wykrywania przestępstw,ratowania życia lub zdrowia ludzkiego oraz wsparcia działań poszukiwawczych lub ratowniczych,
  • przyznanie sądom okręgowym ogólnego uprawnienia do następczej kontroli nad procesem pozyskiwania przez Policję danych, o których  mowa powyżej,
  • wprowadzenie obowiązku zapewnienia warunków technicznych i organizacyjnych dla prowadzenia kontroli operacyjnej przez Policję dla usługodawcy elektronicznego oraz utrzymanie obowiązku w odniesieniu do przedsiębiorców telekomunikacyjnych i operatorów pocztowych.

Praktyczne skutki

W naszej ocenie, na omówione zmiany należy spojrzeć w dwóch płaszczyznach:

  • Rozszerzony zakres uprawnień służb mundurowych oraz niejawny tryb pozyskiwania danych powodują, że działania Państwa pracowników w Internecie, a także ich rozmowy telefoniczne czy korespondencja pocztowa, mogą być przedmiotem badania przez służby mundurowe. Do prowadzenia takiego badania nie będzie wymagane uzyskanie zgody sądu i będzie odbywać się ono bez wiedzy i bez zgody podmiotu, którego dane dotyczą. W toku badania nie będzie możliwe pozyskanie treści przesyłanych komunikatów (na założenie „klasycznego podsłuchu” w dalszym ciągu wymagane jest uzyskanie zgody sądu), niemniej jednak w pełni legalne  będzie m. in. ustalenie imion i nazwisk rozmówców/odbiorców korespondencji, ich dokładnych adresów e-mail, czasu trwania rozmowy/daty nadania komunikatu, numerów IP komputerów, numerów telefonów, czy też wreszcie adresu prowadzenia działalności gospodarczej lub innych danych lokalizacyjnych stron rozmowy/komunikatu. Dane takie mogą więc potencjalnie pozwolić na prześledzenie m. in. tego z kim kontaktują się Państwa pracownicy w codziennej pracy, kim są Państwa kontrahenci, czy też gdzie udają się pracownicy w podróże służbowe.
  • Przeniesione na grunt ustawy o Policji pojęcie usługodawcy elektronicznego może być w praktyce służb interpretowane bardzo szeroko, a tym samym,obowiązek udostępnienia danych i zapewnienia warunków do prowadzenia kontroli operacyjnej, dotyczyć może nie tylko przedsiębiorców świadczących usługi online,  ale potencjalnie każdego podmiotu, który jest w jakikolwiek sposób obecny w sieci, np. poprzez  utrzymywanie własnej strony internetowej. W konsekwencji – w skrajnych wypadkach - może okazać się, żesłużby będą zwracać się o udostępnienie logów serwerów, które obsługują pocztę firmową czy też stronę internetową.

Rekomendacje DZP

W świetle powyższego rekomendujemy podjęcie następujących działań:

  • wdrożenie lub weryfikacja aktualnie obowiązujących procedur dostępu do zasobów IT, szczególnie w odniesieniu do zasad korzystania z firmowej sieci komputerowej i innych zasobów Państwa przedsiębiorstwa dostępnych online,
  • wdrożenie szczegółowych zasad postępowania w przypadku zwrócenia się przez służby z prośbą o udostępnienie danych związanych ze świadczeniem usługi drogą elektroniczną,
  • przeszkolenie pracowników w zakresie zasad właściwej komunikacji, szczególnie w odniesieniu do kontaktów z pracownikami organów administracji publicznej.