To główne wnioski z raportu „Demokracja na podsłuchu. Polska wobec Pegasusa i oprogramowania szpiegującego” przygotowanego przez Fundację Panoptykon. Opracowanie stanowiące bilans działań rządu, parlamentu i organów ścigania pokazuje, że pomimo szumnych zapowiedzi zrobiono zbyt mało w celu ucywilizowania zasad stosowania kontroli operacyjnej, w szczególności oprogramowania typu spyware, jak Pegasus. A i efekty podjętych działań nie rzucają na kolana.
Używane przez służby (nie tylko w Polsce) programy szpiegowskie umożliwiają natomiast przełamywanie zabezpieczeń i wgląd do wszystkich danych znajdujących się w telefonie czy komputerze, a także zdalny dostęp do mikrofonu czy kamery.
– Po spyware sięgają zarówno rządy krajów autorytarnych, jak i demokratycznych. Same państwa często zaprzeczają stosowaniu takiego rodzaju narzędzi lub przyznają się do tego dopiero po ujawnieniu dowodów. Nie wiemy, czy po głośnej „aferze Pegasusa” polskie służby korzystają z takiego oprogramowania, ale potencjalnie jest to możliwe – czytamy w raporcie Panoptykonu. Dlatego organizacje pozarządowe w całej Europie uznają kwestię oprogramowania szpiegującego za jedno z najważniejszych zagrożeń dla demokracji, praw człowieka i cyberbezpieczeństwa w Unii Europejskiej i na świecie.
Czytaj więcej
Część ściśle tajna raportu z prac sejmowej komisji ds. Pegasusa będzie niedostępna dla posłów. Dostęp do największych tajemnic ma tylko 15 osób w S...
Narzędzie to, oprócz zwalczania terroryzmu czy zorganizowanej przestępczości, jest bowiem wykorzystywane do inwigilacji opozycji, aktywistów czy dziennikarzy.
wobec tylu osób służby używały oprogramowania Pegasues w latach 2017-2022
W Polsce Pegasusa użyto m.in. wobec Krzysztofa Brejzy, gdy ten był szefem sztabu Koalicji Obywatelskiej. W okresie kampanii wyborczej w 2019 r. do telefonu tego polityka włamywano się co najmniej 33 razy i wykradziono m.in. 80 tys. wiadomości SMS przesyłanych od 2010 r.
Pegasus na granicy prawa
Mało tego, oprogramowanie nie tylko posiada zdolność rejestracji pełnej aktywności zainfekowanego urządzenia, ale umożliwia też dokonywanie w nim zmian, innymi słowy de facto fabrykowanie dowodów.
M.in. dlatego zdaniem ekspertów Panoptykonu oprogramowanie szpiegujące nie mieści się w definicji kontroli operacyjnej.
„(…) użycie Pegasusa i innych programów szpiegujących wiąże się z przełamaniem zabezpieczeń urządzenia i modyfikacją sposobu jego działania. Ani ustawa o CBA, ani żadna inna nie daje służbom prawa do przełamywania zabezpieczeń urządzeń należących do osób, wobec których została zarządzona kontrola operacyjna” – czytamy w raporcie.
Po drugie, oprogramowanie szpiegujące daje możliwość pozyskania i utrwalenia danych historycznych (również z okresu poprzedzającego decyzję o zarządzeniu kontroli) i bez ograniczeń czasowych.
– Tymczasem sąd może zarządzić kontrolę operacyjną na maksymalnie 3 miesiące od momentu zarządzenia kontroli, nie wstecz. Dlatego naszym zdaniem nie ma w tej chwili przewidzianej w przepisach podstawy prawnej, by uznać, że Pegasus lub inne oprogramowanie szpiegujące jest narzędziem służącym do realizacji kontroli operacyjnej – zwracają uwagę eksperci Panoptykonu, dodając, że stosowanie oprogramowania szpiegującego w tej formie narusza również prawo unijne.
Czytaj więcej
Były Szef Agencji Bezpieczeństwa Wewnętrznego Piotr P. oraz były Szef Służby Kontrwywiadu Wojskowego Maciej M. usłyszeli zarzut niedopełnienia obow...
Przykładowo, możliwość ingerencji w treść materiału na urządzeniu docelowym podważa też podstawowe gwarancje rzetelnego procesu wyrażone w art. 47 Karty Praw Podstawowych. Stosowanie Pegasusa narusza również dyrektywę ePrivacy (dyrektywa 2002/58/WE), która wprowadza zasadę, że przechwytywanie komunikacji elektronicznej jest dopuszczalne bez zgody użytkownika tylko na podstawie ściśle określonych wyjątków (tj. bezpieczeństwo narodowe, podejrzenie o przestępstwo).
Kontrola sądowa to fikcja
W maju 2024 Europejski Trybunał Praw Człowieka uznał (w sprawie zainicjowanej przez aktywistów z Fundacji Panoptykon, Helsińskiej Fundacji Praw Człowieka i adwokata Mikołaja Pietrzaka), że prawo krajowe nie zapewnia wystarczających zabezpieczeń, aby zapobiec nadmiernemu korzystaniu z nadzoru i nadmiernej ingerencji w życie prywatne osób inwigilowanych. Wyrok ten do tej pory nie został wykonany.
Raport pokazuje także, że ciągle aktualne są – pomimo wprowadzonych zmian w prawie – zastrzeżenia co do skuteczności sądowej kontroli nad stosowaniem kontroli operacyjnej. Po pierwsze, do wniosku o wydanie zgody na inwigilację służby załączają tylko materiały „uzasadniające” potrzebę prowadzenia kontroli operacyjnej, a nie cały materiał.
W postępowaniu dotyczącym zarządzenia kontroli operacyjnej nie bierze udziału podmiot reprezentujący prawo do prywatności osoby, której dotyczyć będzie kontrola operacyjna (np. znany z modelu brytyjskiego tzw. adwokat prywatności). Jeśli więc sąd wyrazi zgodę na kontrolę operacyjną, nie ma komu zakwestionować słuszności tej decyzji.
Uzasadnienia wymagają jedynie odmowy zastosowania kontroli operacyjnej. Stanowi to swoistą zachętę dla sędziów, by wyrażali zgodę na stosowanie kontroli. Wreszcie wnioski rozpatruje tylko jeden sędzia dyżurujący danego dnia, podczas gdy do Sądu Okręgowego w Warszawie wpływa codziennie średnio ok. 25 takich wniosków.
Czytaj więcej
Na ostateczny wyrok w precedensowej sprawie dotyczącej legalności dowodów pozyskanych w ramach inwigilacji Pegasusem musimy poczekać. Sąd Najwyższy...
Co prawda w 2024 r. wydano szereg rozporządzeń w sprawie sposobu dokumentowania kontroli operacyjnej przez poszczególne służby, które nałożyły na sądy obowiązek sporządzenia uzasadnienia także w przypadku zgody na zastosowanie kontroli, ale w praktyce wielu sędziów tego nie robi. Powód? Jest to sprzeczne z kodeksem postępowania karnego, który w art. 98 § 3 stanowi, że uzasadnienie uwzględnienia wniosku, któremu inna strona nie sprzeciwiła się, wymagane jest tylko wtedy, gdy orzeczenie podlega zaskarżeniu. W postępowaniu o wyrażenie zgody na prowadzenie kontroli operacyjnej nie ma „innej strony”, a postanowienie o zgodzie na podsłuch nie podlega zaskarżeniu.
Natomiast krokiem w dobrym kierunku jest wprowadzenie wymogu, by wnioskująca o zastosowanie kontroli operacyjnej informowała, jakiego narzędzia chce użyć do inwigilacji i jakiego typu dane zamierza pozyskać za jego pośrednictwem (dzięki czemu sąd wie, czy chodzi o klasyczny podsłuch, czy oprogramowanie szpiegujące). Wcześniej sądy wydawały zgodę na zastosowanie kontroli operacyjnej, nie mając świadomości, że do jej realizacji będzie używany Pegasus.
Nowa ustawa nie rozwiąże wszystkich problemów
Procedowany obecnie w Sejmie projekt ustawy o zmianie niektórych ustaw „w celu wzmocnienia nadzoru sądowego nad kontrolą operacyjną” ma wprowadzić bezwzględny obowiązek uzasadnienia postanowień w przedmiocie kontroli operacyjnej, ale zdaniem autorów opracowania zmiany mogłyby być dalej idące. Przykładowo sąd będzie miał tylko możliwość nadzoru nad już zarządzoną kontrolą operacyjną, ale nie obowiązek.
Projekt przewiduje też, że sąd będzie mógł zażądać przedstawienia materiałów zebranych w toku prowadzonej już kontroli operacyjnej. Zdaniem Panoptykonu w praktyce może skończyć się to zasypaniem sądu nieprzetworzoną ilością materiałów, których sąd i tak nie będzie w stanie ocenić, by na tej podstawie zweryfikować, czy wciąż istnieje konieczność prowadzenia kontroli operacyjnej.
Niedawno swoje zastrzeżenia do projektowanych rozwiązań przedstawił też rzecznik praw obywatelskich prof. Marcin Wiącek, który wskazywał m.in., że projekt nie rozwiązuje podstawowego problemu, tj. nie wprowadza obowiązku udostępniania pełnego, a nie tylko wybranego materiału przed decyzją o zastosowaniu kontroli operacyjnej.
Jak działa oprogramowanie Pegasus
Rekomendacje Panoptykonu
– Celem raportu jest zwrócenie uwagi, że wykorzystywanie oprogramowania szpiegowskiego jest wątpliwe pod względem prawnym. Dlatego zarówno w interesie bezpieczeństwa państwa, jak i w interesie obywateli oraz praw człowieka potrzebujemy regulacji, które jednocześnie zapewnią skuteczność działania służb i będą zapobiegały nadużyciom – mówi Wojciech Klicki, wiceprezes Fundacji Panoptykon.
Zdaniem autorów raportu oprogramowanie szpiegujące powinno być szczególną, wyodrębnioną formą prowadzenia niejawnej ingerencji, co wymaga zmiany zarówno generalnych zasad stosowania kontroli operacyjnej (które dotyczą tradycyjnych podsłuchów, jak i oprogramowania szpiegującego), jak i odrębnego uregulowania oprogramowania szpiegującego.
Do tego kontrola wstępna powinna być realna, a nie iluzoryczna. A więc, sędzia powinien mieć możliwość zapoznania się z całym materiałem dotyczącym sprawy, mieć na to czas i środki.
– Postępowanie powinno być zrównoważone przez obecność adwokata prywatności broniącego prawa osoby, której dotyczy wniosek, mającego możliwość zaskarżenia decyzji sądu o zgodzie na prowadzenie kontroli operacyjnej. Natomiast wniosek o kontrolę operacyjną kierowany do sądu powinien jednoznacznie określać cele, zakres i sposób kontroli, w tym informacje o tym, jakie funkcjonalności mają być wykorzystane, jakie dane będą pozyskane oraz czy będą pozyskane dane historyczne – mówi Wojciech Klicki.
Zdaniem fundacji fundamentalne znaczenie ma także wprowadzenie obowiązku poinformowania osoby, względem której została zarządzona kontrola operacyjna (po 12 miesiącach od zakończenia kontroli).
– Oczywiście możliwe są wyjątki od tej zasady np. ze względu na bezpieczeństwo państwa (pod warunkiem uzyskania zgody sądu). Ponadto niezbędne jest wprowadzenie mechanizmu skutecznej weryfikacji działania służb w trakcie prowadzenia przez nie kontroli operacyjnej. Naszym zdaniem optymalnym rozwiązaniem byłoby stworzenie wyspecjalizowanej instytucji kontrolnej – podsumowuje Wojciech Klicki.
Czytaj więcej
To nie ja zakupiłem Pegasusa, bo nie miałem pojęcia, jak się nazywa i jak dokładnie działa – mówi Zbigniew Ziobro, wiceprezes PiS, były minister sp...
Opinia dla "Rzeczpospolitej"
dr Adam Behman, prawnik i informatyk z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego i Wydziału Informatyki, Elektroniki i Telekomunikacji Akademii Górniczo-Hutniczej w Krakowie
Spyware wymaga osobnej regulacji, bo jego użycie oznacza znacznie głębszą ingerencję niż klasyczna kontrola operacyjna. Regulacji powinno podlegać nie tylko samo użycie takiego narzędzia, lecz także jego zakup, akredytacja, audyt bezpieczeństwa i wyposażanie w nie służb. Sprawa Pegasusa pokazała, że obejście wymogów akredytacyjnych może prowadzić do używania systemu, którego bezpieczeństwo i integralność budzą zasadnicze wątpliwości nawet służb, które go używały. Popieram obowiązek następczego informowania osoby objętej kontrolą, ale termin 12 miesięcy jest zbyt krótki. Mam natomiast wątpliwość, czy sędzia powinien otrzymywać cały materiał sprawy. Takie rozwiązanie może w praktyce prowadzić do pozornej, a nie realnej kontroli: sąd zostałby zasypany tysiącami stron, których sędzia fizycznie nie byłby w stanie przeczytać. Kluczowa jest rozliczalność działań służb: realna kontrola zarówno w toku prowadzenia czynności, jak i po ich zakończeniu, zwłaszcza po następczym poinformowaniu osoby objętej kontrolą. Nie przekonuje mnie ograniczenie spyware tylko do terroryzmu: skoro komunikacja przeniosła się do szyfrowanych komunikatorów, katalog musi być szerszy, choć ścisły.
