Paweł Opitek: Poważnie kontrolować można nie tylko terrorystów

W dyskursie prawnym to przepisy stanowią podstawę do oceny zasadności podjętych czynności operacyjno-rozpoznawczych, a nie osobiste uprzedzenia i pozamerytoryczne poglądy.

Ważne są przepisy

Media żyją ostatnio tematem kontroli operacyjnej z wykorzystaniem „programu szpiegującego Pegasus". W pracy zawodowej nigdy nie spotkałem takiego programu, ale chodzi zapewne o formę pracy operacyjnej dotyczącą uzyskiwania i utrwalania danych zawartych w telekomunikacyjnym urządzeniu końcowym, która uregulowana jest ustawowo. W dyskusji wypowiadają się prawnicy oraz różni inni eksperci, formułując daleko idące tezy na podstawie przeróżnych racji, ale prawie nigdy nie odwołują się do konkretnych przepisów. Dlatego warto przeanalizować regulacje obowiązujące na omawianym polu, zastrzegając, że kontrola operacyjna to coś innego, aniżeli kontrola procesowa, uregulowana w Kodeksie postępowania karnego: obie instytucje prawne ukształtowane są odmiennie i nie należy ich ze sobą mylić.

Formy pracy niejawnej

Formy kontroli są enumeratywnie i szczegółowo opisane w ustawach regulujących funkcjonowanie dziewięciu służb uprawnionych do prowadzenia takiej kontroli (policja, CBA, ABW, KAS itd.). W każdej z ustaw jest mowa o tym, że niejawna kontrola operacyjna może polegać m.in. na „uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych".

„Uzyskiwanie" oznacza otrzymywanie czegoś, co było przedmiotem starań, a „utrwalanie" polega na zarejestrowaniu jakiejś treści w pamięci komputera w celu jej późniejszego odtworzenia (internetowy słownik PWN). Pozostałe części składowe opisujące tę formę kontroli zdefiniowano w konwencji o cyberprzestępczości, ustawie z 16 lipca 2004 r. – Prawo telekomunikacyjne oraz ustawie z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

„Dane informatyczne" to zapis określonej informacji przechowywanej na dysku lub na innym komputerowym nośniku, np. w telefonie lub laptopie. Dane składowane i przetwarzane są w informatycznych nośnikach, a więc urządzeniach służących do zapisywania, przechowywania i odczytywania cyfrowych artefaktów. Z kolei telekomunikacyjne urządzenia końcowe podłączone są do zakończeń sieci, co umożliwia abonentowi korzystanie poprzez łącza z przekazów telekomunikacyjnych. „System informatyczny" stanowi urządzenie, które zgodnie z programem wykonuje automatyczne przetwarzanie danych, a „system teleinformatyczny" umożliwia wysyłanie i odbieranie takich danych poprzez sieci telekomunikacyjne.

Odkodowując zatem pojęcia techniczne, którymi operują przepisy prawa, można powiedzieć, że jedna z form pracy operacyjnej dotyczy zdalnego uzyskiwania i rejestracji informacji zawartych w różnego rodzaju, użytkowanych przez figuranta, elektronicznych urządzeniach końcowych (np. smartfonie) w celu późniejszego ich odtworzenia i analizy.

Czytaj więcej

Opinie Prawne

Jacek Dubois, Michał Zacharski: Pegasus – kamień w wodę?

Niezależnie od tego, czy i jak zakończy się sprawa inwigilowania obywateli, zadawajmy władzy niewygodne pytania. Brońmy naszych praw i wolności przez ich używanie.

Wprowadzenie regulacji

Forma kontroli operacyjnej dotycząca „urządzenia końcowego" została wprowadzona ustawą z 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw i realizowała orzeczenie Trybunału Konstytucyjnego z 30 lipca 2014 r. (K 23/11), ale postulaty jej dopuszczenia pojawiły się o wiele wcześniej, bo nawet w 2009 r. Propozycję definicji kontroli operacyjnej ukierunkowanej na „urządzenie końcowe" przedstawił zespół ds. zmian legislacyjnych wynikających ze wspomnianego wyroku TK, powołany decyzją przewodniczącego Kolegium do spraw Służb Specjalnych (prezesa Rady Ministrów) z 8 października 2014 r.

Były z nią zbieżne definicje zaproponowane przez szefów ABW oraz CBA, przedstawione w pismach skierowanych do Komisji Ustawodawczej Senatu w lipcu 2015 r. Szef ABW napisał, że podsłuch rozmów telefonicznych może być realizowany „z równoczesnym podglądem informacji wysyłanych i otrzymywanych z objętego kontrolą operacyjną telefonu", co wiąże się m.in. z prowadzeniem rozmów z wykorzystaniem komunikatorów. Z kolei szef CBA zaproponował nowe brzmienie art. 17 ust. 5 pkt 4 ustawy o CBA, gdzie kontrola operacyjna polegała na „uzyskiwaniu i utrwalaniu danych zawartych w systemach lub urządzeniach teleinformatycznych przy pomocy środków technicznych służących uzyskiwaniu dostępu i utrwaleniu tych danych". Obecny kształt art. 17 ust. 5 pkt 4 ustawy o CBA jest zatem konsekwencją zmian procedowanych od 2014 r.

Patrząc szerzej, to „kontrola urządzenia końcowego" nie jest niczym nadzwyczajnym w palecie środków operacyjnych stosowanych przez służby na całym świecie i wynika z dostosowania form pracy operacyjnej do realiów „cyfrowego świata". Przepisy obowiązujące w Niemczech przyznają służbom prawo wykorzystania oprogramowania do przełamywania zabezpieczeń telefonów i komputerów oraz odczytywania zawartości urządzeń użytkowanych przez osoby, którym oficjalnie nie postawiono zarzutów, ale są podejrzewane o popełnienie przestępstwa. Narzędzia takie nazywane są „Staatstrojanern", czyli „trojanami państwowymi" i stosowane do szerszej grupy przestępstw, aniżeli tylko terrorystyczne.

Inne państwa wdrożyły jeszcze bardziej zaawansowane metody pracy operacyjnej, aniżeli formy przewidziane w prawie polskim. Przykładowo Europejski Trybunał Praw Człowieka w wyroku z 25 maja 2021 r. orzekł, że stosowanie przez szwedzkie służby systemu nasłuchu elektromagnetycznego, a więc przechwytywania i analizy treści komunikacji prowadzonej przez miliony obywateli, jest zgodne z prawem. Podobne rozwiązania przewidywał brytyjski Investigatory Powers Act, o czym pisałem na łamach gazety „Rzeczpospolita" w 2018 r. Inny przykład to przejęcie przez służby francuskie prywatnego komunikatora EncroChat i masowe przechwytywanie wiadomości z dziesiątek tysięcy telefonów.

Obalić mity i przekłamania

Trzeba jasno podkreślić, że kontrola operacyjna realizowana jest tylko i wyłącznie na podstawie postanowienia sądu – to sąd zarządza na wniosek służb jej uruchomienie. Nawet w „przypadku niecierpiącym zwłoki", gdy w trybie pilnym prokurator wyraża zgodę na uruchomienie „podsłuchu", to jednocześnie służba składa wniosek do sądu okręgowego o wyrażenie zgody na kontynuowanie takiej kontroli.

Jeżeliby w konkretnych sprawach zgody na prowadzenie kontroli w formie „uzyskiwania i utrwalania danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych" wydawały sądy w tym m.in. Sąd Okręgowy w Warszawie, Wojskowy Sąd Okręgowy w Warszawie, Sąd Apelacyjny w Warszawie lub Sąd Najwyższy, to wtedy decyzje w tym zakresie podejmowaliby sędziowie z ogromną wiedzą i nietuzinkowym doświadczeniem zawodowym. Co ważne, sędzia wraz z wnioskiem o zarządzenie/przedłużenie kontroli otrzymałby szczegółowe materiały uzasadniające potrzebę zastosowania kontroli. We wniosku podaje się m.in. dane osobowe figuranta, ustawowy opis formy kontroli i podstawę prawną, która ma być zastosowana. Ponadto we wnioskach o przedłużenie stosowania kontroli operacyjnej przytacza się wprost lub opisuje informacje uzyskane z urządzenia końcowego, a więc sąd rozpatrujący wniosek ma świadomość, skąd pochodzą informacje oraz jak zostały uzyskane. Zatem sugestie, że sędzia zarządzający, przedłużający lub wyrażający zgodę na kontynuację kontroli nie wiedziałby, jakiej formy ona dotyczy, godzą w powagę urzędu sędziowskiego, tym bardziej że sędzia ma ustawowy obowiązek zapoznania się z materiałami zgromadzonymi w toku prowadzonej kontroli.

Czytaj więcej

Prawo dla Ciebie

Inwigilacja w Polsce poza realną kontrolą. RPO pisze do premiera

Polskie prawo w sprawie inwigilacji nie odpowiada ani standardom konstytucyjnym, ani europejskim. Kontrola nad zbieraniem informacji o obywatelach jest bowiem iluzoryczna - powinien ją sprawować niezależny organ, który badałby też skargi. Obywatel nie jest zaś informowany o tym, że był inwigilowany, choć na taką potrzebę wskazał Trybunał Konstytucyjny

Każda forma kontroli operacyjnej prowadzona jest 24 godziny na dobę przez cały okres, na który została zarządzona. Tak stanowi prawo oraz uzasadniają względy praktyczne: organ prowadzący kontrolę nie wie przecież, kiedy figurant podejmie działania niezgodne z prawem i dotyczące przestępstw „katalogowych". Co więcej, wyłączanie i włączanie kontroli z uwzględnieniem „harmonogramu" życia figuranta jest niecelowe, bo żaden potencjalny łamiący prawo nie ma stałych, zaplanowanych godzin popełniania czynów zabronionych. W sytuacji gdy materiały uzyskane w trakcie kontroli zawierają tajemnice prawnie chronione (np. obrończą), których wykorzystanie w postępowaniu karnym jest niedopuszczalne, sąd zarządza ich niezwłoczne zniszczenie.

Jeśli chodzi o uruchomienie kontroli operacyjnej, to policja i pozostałe służby mają ustawowy obowiązek chronić środki, formy i metody realizowanych zadań. Dlatego kwestie techniczne związane z wdrożeniem „podsłuchu" nie są przedmiotem wniosku o zarządzenie kontroli operacyjnej. Co prawda, przepisy nakładają na określone podmioty obowiązek zapewnienia „warunków technicznych i organizacyjnych" umożliwiających prowadzenie kontroli, ale skorzystanie z nich jest fakultatywne i służby mają prawo realizować kontrolę własnymi środkami techniczno-logistycznymi.

Każda ustawa regulująca kontrolę operacyjną zawiera zbiór przestępstw tzw. katalogowych warunkujących możliwość stosowania tej kontroli i prawo nie przewiduje dzielenia ich na terrorystyczne, kiedy można kontrolą objąć urządzenie końcowe oraz inne, kiedy jest to zabronione. W przeciwnym razie nie byłoby możliwości skutecznego ścigania takich poważnych przestępstw, jak chociażby pranie pieniędzy i korupcja. Tak samo niedopuszczalny jest elitaryzm i twierdzenie, jakoby wobec „zwykłych" przestępców kryminalnych oraz terrorystów dopuszczalne było zarządzenie każdej formy podsłuchu, natomiast kontrola innych osób naruszających prawo nie może dotyczyć urządzenia końcowego. Przeciwnie: ludzie pełniący zawody zaufania publicznego podlegają takim samym przepisom prawa jak „zwykły" obywatel.

Dyskusja potrzebna, ale rzeczowa

Obowiązujące w Polsce przepisy dotyczące kontroli operacyjnej spełniają standardy wynikające z orzecznictwa Trybunału Sprawiedliwości UE i Europejskiego Trybunału Praw Człowieka, a sama kontrola stosowana jest tylko wobec osoby, która na podstawie uzyskanych wcześniej informacji mogła dopuścić się popełnienia przestępstwa „katalogowego". Należy prowadzić dyskusję o formach kontroli operacyjnej, ale uczestniczący w niej powinni opierać się na przepisach obowiązującego prawa, szczególnie ustaw regulujących pracę służb, a nie tylko ogólnikowych stwierdzeniach i pozaprawnych odwołaniach.

Autor jest dr. n. prawnych, prokuratorem w wydziale nadzoru nad czynnościami operacyjno-rozpoznawczymi w Prokuraturze Krajowej