Home Archive by category Panoptykon

Panoptykon

MSW przedstawiło projekt regulujący zasady ochrony danych obywateli w sektorze bezpieczeństwa. Ochrona prywatności stanie się tam wyjątkiem, a nie regułą.

Reforma ochrony danych osobowych to także dyrektywa policyjna, czyli tzw. brzydsza siostra RODO. Podczas gdy firmy i organizacje gorączkowo przygotowują się do wdrożenia nowego rozporządzenia, te organy państwa, które gromadzą dane o obywatelach w niejawny sposób, nierzadko posługując się kontrowersyjnymi metodami, mogą spać spokojnie. W ich świecie niewiele się zmieni, a jeśli się zmieni – to w kierunku jeszcze większej swobody działania i jeszcze mniejszej przejrzystości. Ministerstwo Spraw Wewnętrznych przedstawiło wreszcie projekt regulujący zasady ochrony naszych danych w sektorze bezpieczeństwa. Niestety, jest on tak dziurawy, że ochrona prywatności stanie się tam wyjątkiem, a nie regułą. Jak do tego doszło i czym to grozi? – zadaje pytanie Panoptykon na swoim portalu.

Wyjęci spod prawa

Na podstawie dyrektywy państwa członkowskie zobowiązane są przyjąć przepisy, zgodnie z którymi policja i inne podmioty zajmujące się przeciwdziałaniem przestępczości mogą pobierać tylko te dane, które są niezbędne do realizacji ich zadań. Żadnych danych na zapas, dla wygody i na wszelki wypadek. Prawo unijne pozostawia jednak furtkę w postaci „bezpieczeństwa narodowego” – ci, którzy się nim zajmują, nie podlegają ograniczeniom wynikającym z dyrektywy. Zgodnie z definicją bezpieczeństwa narodowego jest nim nie tylko praca kontrwywiadowcza prowadzona przez kontrwywiad wojskowy czy zapobieganie terroryzmowi przez Agencję Bezpieczeństwa Wewnętrznego, ale nawet przeciwdziałanie korupcji w sporcie.

Efekt: pięć służb specjalnych jest wyjętych spod zakresu obowiązywania nowych przepisów i w konsekwencji nie będzie miało żadnych ograniczeń związanych z pozyskiwaniem danych osobowych.

Przykład: Agencja Bezpieczeństwa Wewnętrznego może pozyskiwać od Policji nagrania uczestników antyrządowych demonstracji, mimo że nie jest to niezbędne do realizacji jej ustawowych działań. Żadna ustawa tego nie zabroni, a Prezes Urzędu Ochrony Danych Osobowych nie skontroluje.

Dyrektywa minus

Nawet po wyłączeniu spod ustawy służb specjalnych zobowiązane do jej przestrzegania będą m.in. Policja i Straż Graniczna. Mogłoby się więc wydawać, że będziemy mieli – jako osoby, których dane te formacje wykorzystują – pewne uprawnienia. Fundamentalnym z nich jest prawo do uzyskania informacji, czy i jakie dane na nasz temat są przetwarzane i co się z nimi dzieje. Dyrektywa dopuszcza oczywiście wyjątki (np. związane z dobrem prowadzonego śledztwa), jednak autorzy ministerialnego projektu zdecydowanie wykroczyli poza inwencję twórców dyrektywy i dodali nowe ograniczenia. Jednym z nich jest propozycja, by nie można było ujawniać informacji pochodzących z tzw. czynności operacyjno-rozpoznawczych. Problem w tym, że takie czynności to worek bez dna obejmujący lwią część działań podejmowanych przez służby mundurowe: od podsłuchów, przez pobieranie danych telekomunikacyjnych, po obserwacje. A autorzy nie dodają, że ograniczenie to dotyczy wyłącznie sytuacji, w której cały czas prowadzone są działania, a ujawnienie informacji wywoła jakąś szkodę. Nawet jeśli śledztwo dawno jest zamknięte, bo np. Policja stwierdzi, że nie doszło do przestępstwa, to dostęp do tego, czy pobierano nasze informacje, będzie zamknięty raz na zawsze. Innym przykładem inwencji twórców projektu jest konieczność wykazania „żywotnego interesu”.

Przykład: Chcesz się dowiedzieć, czy przy okazji kradzieży roweru, którą zgłosiłeś na Policji wiele lat temu, funkcjonariusze nie pobierali twoich billingów – tak się bowiem składa, że jesteś adwokatem i nie życzysz sobie, by Policja miała informacje na temat tego, z kim rozmawiasz. Nie wiesz, czy Policja ma te dane, ale pytając o to, musisz wykazać, że uzyskanie tej informacji jest niezbędne do ochrony Twoich żywotnych interesów. Trudne? Właśnie takie ma być!

Artykuł ukazał się pierwotnie na panoptykon.org.

Fot. Pixabay

Ministerstwo Cyfryzacji udostępniło Fundacji Panoptykon statystyki, które pokazują, ile razy w latach 2016–2017 ABW pobierała zdjęcia paszportowe z bazy prowadzonej przez resort.

To efekt naszej grudniowej wygranej przed Wojewódzkim Sądem Administracyjnym w Warszawie. Okazuje się, że nie wszystko, co dotyczy służb, musi być tajne!

Perypetie sukcesu

Początek sprawy sięga sierpnia 2017 r. – to wtedy wysłaliśmy do Ministerstwa Cyfryzacji wniosek o udostępnienie informacji publicznej dotyczącej tego, ile razy w latach 2016–2017 ABW pobierała zdjęcia paszportowe zgromadzone w prowadzonej przez MC centralnej ewidencji dokumentów paszportowych. Nasze pytanie zainspirował opublikowany w lipcu 2017 r. materiał Gazety Wyborczej, która twierdziła, że ABW tworzyła listy uczestników protestów w obronie niezawisłości sądów poprzez porównywanie policyjnych nagrań z manifestacji ze zdjęciami zgromadzonymi w centralnej ewidencji.

Przypomnijmy: ABW może uzyskiwać dostęp do wszystkich państwowych rejestrów, w tym do centralnej ewidencji dokumentów paszportowych, w drodze tzw. teletransmisji, czyli bez konieczności każdorazowego występowania z wnioskiem o dostęp do danych konkretnej osoby. Nad tym, jak ABW wykorzystuje stałe łącze, nie ma żadnej kontroli, a sama Agencja wielokrotnie odmawiała nam dostępu do informacji o tym, jak często korzysta ze swoich uprawnień. To dlatego tym razem zwróciliśmy się do resortu cyfryzacji, którego system rejestruje zapytania Agencji.

Zapytania przechowywane w logach systemu dotyczą realizacji ustawowych zadać ABW.

Ministerstwo Cyfryzacji stwierdziło jednak, że logi, w których przechowywane są zapytania ABW, mają charakter techniczny i nie są informacją publiczną. Po bezowocnej próbie przekonania Ministerstwa do naszej interpretacji w marcu 2018 r. złożyliśmy skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W grudniowym wyroku sąd przyznał nam rację i nakazał Ministerstwu ponownie rozpatrzyć nasz wniosek. W uzasadnieniu sąd podkreślił, że nasza prośba dotyczy nie czysto technicznego wykazu logowań do systemu, ale zbiorczej liczby zapytań, poprzez które ABW realizuje swoje ustawowe zadania, a więc informacji publicznej. Przez ponad miesiąc w napięciu czekaliśmy na uprawomocnienie się wyroku – gdyby MC złożyło skargę kasacyjną do Naczelnego Sądu Administracyjnego, na ewentualne statystyki poczekalibyśmy kolejne kilka lat. Na szczęście MC nie poszło tą drogą, tylko udostępniło nam dane, o które wnioskowaliśmy. Co dostaliśmy i dlaczego to ważne?

Wiedza kontra bezpieczeństwo

Zbiorcze dane, które udostępniło nam Ministerstwo Cyfryzacji, pokazują duże wahania częstotliwości zapytań: od zera w grudniu 2016 r. do 557 zapytań w październiku 2017 r., bez wyraźnego trendu malejącego lub rosnącego. Na przestrzeni dwóch lat (2016–2017) ABW skierowała do centralnej ewidencji dokumentów paszportowych łącznie 3732 zapytania, co daje średnio 155,5 zapytań na miesiąc. Trudno jednak wyciągnąć z tego daleko idące wnioski, ponieważ „zapytanie” nie jest zdefiniowane – nie wiadomo nawet, ilu osób jednorazowo dotyczy.

Zestawienie liczby zapytań, które w latach 2016–2017 ABW skierowała do centralnej ewidencji dokumentów paszportowych

Mimo trudności z wyciąganiem kategorycznych wniosków dostęp do statystyk jest przydatny i stanowi choć szczątkową kontrolę nad służbami. Statystyki pokazują tendencje i umożliwiają zadawanie pytań, np. co oznacza gwałtowny wzrost liczby zapytań w październiku i listopadzie 2017 r.?

Służby, w tym ABW, wielokrotnie odmawiały nam dostępu do statystyk, nawet tych archiwalnych, twierdząc, że ich ujawnienie spowoduje zagrożenie dla bezpieczeństwa narodowego. Coraz częściej wtórują im w tym niestety sądy. Teraz, ze świeżymi statystykami przed oczami, możemy zadać sobie pytanie: czy naprawdę ujawnienie tych danych tak bardzo zagroziło bezpieczeństwu naszego kraju?

Teraz, ze świeżymi statystykami przed oczami, możemy zadać sobie pytanie: czy naprawdę ujawnienie tych danych tak bardzo zagroziło bezpieczeństwu naszego kraju?

W wyroku z 2012 r. NSA pisał, że w demokratycznym państwie prawnym niezwykle istotne jest to, by działalność służb specjalnych „podlegała społecznej kontroli w obszarach, które nie ograniczają możliwości ich skutecznego działania i nie dotyczą konkretnych prowadzonych postępowań czy też stosowanych metod operacyjnych”. Dane, jakie uzyskaliśmy od MC, w naszej opinii w żaden sposób nie wykraczają poza zakreślone przez NSA granice społecznej kontroli.

Od statystyk do realnej kontroli nad służbami jeszcze kawałek drogi. Docelowo każda osoba powinna móc dowiedzieć się, czy służby miały dostęp do jej danych, i poprzez Urząd Ochrony Danych Osobowych zweryfikować, czy było to zasadne.Taką możliwość przewidywała unijna dyrektywa policyjna, jednak w Polsce nie będzie to miało miejsca – nasz ustawodawca w implementującej dyrektywę ustawie (tzw. DODO) wyłączył z zakresu jej obowiązywania wszystkie służby specjalne.

Nie wszystko musi być tajne

Od jakiegoś czasu obserwujemy tendencję, którą ochrzciliśmy mianem „kultury najwyższej tajności”. Dotychczas sądy w sprawach dotyczących statystyk wykorzystywania uprawnień służb stawały po stronie jawności, teraz coraz powszechniejsza staje się retoryka strachu przed „wojną terroryzmu z całym światem demokratycznym”, niepoparta merytorycznymi argumentami. Nawet dane, które kiedyś były w oczywisty sposób jawne (chociażby statystyki dostępu do billingów), są dziś zasnute mgłą tajemnicy. Dużym problemem jest też brak realnej weryfikacji nakładania klauzul tajności przez służby. A konsekwencje nie są błahe – w praktyce wszystkie dane osobowe uznane przez służby za informacje niejawne będą wyłączone spod reżimu przepisów o ochronie danych osobowych i objęte pozbawioną realnych gwarancji i niezgodną z prawem unijnym ustawą DODO.

W tym kontekście udostępnienie statystyk przez Ministerstwo Cyfryzacji, niewpisujące się w ten negatywny trend, szczególnie nas cieszy. Pokazuje, że nie wszystko, co dotyczy służb, musi być z automatu „tajne, bo tak”. Zmotywowani tym sukcesem będziemy dalej walczyć o kontrolę nad działaniami służb.

Karolina Iwańska

Współpraca: Wojciech Klicki

Tekst ukazał się pierwotnie na stronie Fundacji Panoptykon.

Fot. Pixabay

Fundacja Panoptykon przeanalizowała doniesienia medialne o potencjalnej inwigilacji opozycji przez ABW.

Z wnioskiem o udostępnienie informacji publicznej fundacja Panoptykon zwróciła się do Ministerstwa Cyfryzacji w sierpniu 2017 roku. Celem Panoptykonu było zweryfikowanie doniesień Gazety Wyborczej, która twierdziła, że uczestnicy lipcowych protestów w obronie niezawisłości sądów mogli być inwigilowani przez Agencję Bezpieczeństwa Wewnętrznego.

Miała ona porównywać przekazywane przez Policję nagrania z manifestacji ze zdjęciami zgromadzonymi w centralnej ewidencji dokumentów paszportowych, którą prowadzi Ministerstwo Cyfryzacji. Dzięki wykorzystaniu systemu rozpoznawania twarzy ABW miała tworzyć listy uczestników protestów.

Analiza Panoptykonu wykazała, że prawo nie stoi takim działaniom na drodze.

Uprawnienie to wynika z ogólnych postanowień ustawy o Policji – art. 15 ust. 1 pkt 5a ustawy zezwala funkcjonariuszom na obserwowanie i rejestrowanie przy użyciu środków technicznych obrazu zdarzeń w miejscach publicznych. Według Policji nagrywanie manifestacji to standardowe, zgodne z procedurami działanie, które ma na celu zapewnienie bezpieczeństwa i zgromadzenie potencjalnego materiału dowodowego w razie nieprawidłowości lub naruszenia przepisów porządkowych. Jeśli nie zostaną stwierdzone żadne naruszenia, zgromadzone materiały są archiwizowane, a następnie niszczone zgodnie z przepisami o archiwizacji.

Minister cyfryzacji prowadzi w systemie teleinformatycznym centralną ewidencję wydanych i unieważnionych dokumentów paszportowych, do której poszczególne organy paszportowe – wojewodowie oraz minister spraw wewnętrznych i administracji – przekazują m.in. takie dane, jak imię i nazwisko, PESEL, seria i numer paszportu oraz wizerunek twarzy jego właściciela lub właścicielki. Zgodnie z art. 52 ustawy o dokumentach paszportowych „dane przetwarzane w centralnej ewidencji udostępnia się, w zakresie niezbędnym do wykonywania ustawowych zadań” m.in. Agencji Bezpieczeństwa Wewnętrznego. Ponieważ wymiana informacji między służbami owiana jest gęstniejącą mgłą tajemnicy, Panoptykon przyjrzał się bliżej, jak działa dostęp do rejestru zdjęć paszportowych. Zapytał Minister Cyfryzacji, jak funkcjonuje centralna ewidencja oraz kto ma do niej dostęp – zwłaszcza w jakim trybie może do niej sięgać ABW i ile razy w 2017 roku skorzystała z tego uprawnienia.

Okazało się, że „ABW ma dostęp do bazy dokumentów paszportowych, w tym do zdjęć posiadaczy paszportów, w trybie teletransmisji, który umożliwia skierowanie zapytania online do rejestru i zwrotne uzyskanie odpowiedzi zawierające dane poszukiwanej osoby”. Co więcej, ABW nie wskazuje zasadności dostępu do danych. Panoptykon ustalił, że nagrania z manifestacji i zdjęcia paszportowe mogły trafić do ABW. Zgodnie z doniesieniami medialnymi Centrum Antyterrorystyczne ABW dysponuje informatycznym systemem rozpoznawania twarzy. Tego rodzaju systemy pozwalają na identyfikację osób poprzez porównanie zarejestrowanych wizerunków (np. w postaci zdjęć lub nagrań wykonanych w miejscu publicznym) ze zdjęciami twarzy zawartymi w bazie danych, np. w centralnej ewidencji dokumentów paszportowych. Typowe systemy w pierwszej kolejności dokonują detekcji twarzy na obrazie wejściowym – zdjęciu lub nagraniu. System następnie wyodrębnia cechy charakterystyczne wizerunku danej osoby – najczęściej poprzez wyznaczenie geometrycznych współrzędnych cech twarzy (położenie nosa, ust, oczu), kształtu owalu twarzy oraz geometrycznych zależności między poszczególnymi elementami (np. odległość między centrami oczu, odległość pomiędzy linią oczu a linią nosa, podbródka itd.). Wyodrębnione informacje są w dalszej kolejności automatycznie porównywane z wizerunkami zawartymi w referencyjnej bazie danych.

Panoptykon postanowił dalej drążyć ten temat, zapytał Ministra Cyfryzacji o to, czy przeprowadziła postępowanie sprawdzające spełnienie przez ABW technicznych i prawnych warunków do sięgania po dane online oraz ile razy w ciągu ostatnich dwóch lat w systemie, w którym prowadzona jest centralna ewidencja, zarejestrowano zapytania o dane skierowane przez ABW.

Ministerstwo Cyfryzacji stwierdziło, że logi, w których przechowywane są zapytania ABW, mają charakter techniczny i nie są informacją publiczną. Po bezowocnej próbie przekonania ministerstwa do interpretacji Panoptykonu w marcu 2018 roku. złożył on skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Odpowiedź na temat dostępu ABW do centralnej ewidencji paszportowej utwierdziła niepokój Panoptykonu, że realna kontrola nad działaniami służb specjalnych i ich dostępem do danych o obywatelach i cudzoziemcach to mrzonka. Ustawy inwigilacyjna i antyterrorystyczna przyznały ABW daleko idące uprawnienia w tym dostęp funkcjonariuszy ABW do publicznych rejestrów i ewidencji bez jakiejkolwiek kontroli sądu. Przetwarzania danych osobowych przez Agencję Bezpieczeństwa Wewnętrznego nie kontroluje też Generalny Inspektor Ochrony Danych Osobowych, którego uprawnienia w obszarze służb specjalnych są drastycznie ograniczone.

W grudniowym wyroku sąd przyznał rację Panoptykonowi i nakazał Ministerstwu Cyfryzacji ponownie rozpatrzyć jego wniosek. W uzasadnieniu sąd podkreślił, że prośba Panoptykonu dotyczyła nie czysto technicznego wykazu logowań do systemu, ale zbiorczej liczby zapytań, poprzez które ABW realizuje swoje ustawowe zadania, a więc informacji publicznej. Ministerstwo Cyfryzacji udostępniło dane, o które wnioskował Panoptykon. Fundacja od jakiegoś czasu obserwuje tendencję, którą ochrzciła mianem „kultury najwyższej tajności”. Dotychczas sądy w sprawach dotyczących statystyk wykorzystywania uprawnień służb stawały po stronie jawności, teraz coraz powszechniejsza staje się retoryka strachu przed „wojną terroryzmu z całym światem demokratycznym”, niepoparta merytorycznymi argumentami. Nawet dane, które kiedyś były w oczywisty sposób jawne (chociażby statystyki dostępu do billingów), są dziś zasnute mgłą tajemnicy. Dużym problemem jest też brak realnej weryfikacji nakładania klauzul tajności przez służby. A konsekwencje nie są błahe – w praktyce wszystkie dane osobowe uznane przez służby za informacje niejawne będą wyłączone spod reżimu przepisów o ochronie danych osobowych objęte pozbawioną realnych gwarancji i niezgodną z prawem unijnym ustawą DODO.

Przy okazji warto przytoczyć wyrok NSA z 2012 roku który pisał, że w demokratycznym państwie prawnym niezwykle istotne jest to, by działalność służb specjalnych „podlegała społecznej kontroli w obszarach, które nie ograniczają możliwości ich skutecznego działania i nie dotyczą konkretnych prowadzonych postępowań czy też stosowanych metod operacyjnych”.

Źródło: Fundacja Panoptykon

Fot. Pixabay