Panoptykon

Zainteresowanie funkcjonowaniem służb specjalnych i policji jest obecnie na niezaprzeczalnie wysokim poziomie, o wiele większym od zainteresowania zasilenia ich szeregów. Odpowiedzią na popyt są wywiady, artykuły, książki i inne materiały uchylające rąbka tajemnicy działania służb. Jednym z takich materiałów jest po części jeden z ostatnich wywiadów w Impoderabiliach. Osobiście doceniam formaty, w których gość (lub goście) ma czas na wypowiedź powyżej kilkunastu minut. Daje to możliwość przekazania posiadanej wiedzy w sposób co najmniej dobry, bez skrótów myślowych czy niedomówień. Dlaczego o nim wspominam? Ponieważ czasami warto skorygować informacje, które zostały przekazane w znanym i lubianym podcaście przez ekspertów z dziedziny prywatności, jak się okazało nie do końca obeznanych z funkcjonowaniem organów ścigania.

Katarzyna Szymielewicz oraz Wojciech Klicki, prawnicy, którzy działając w Fundacji Panoptykon, poświęcają czas walce o bezpieczeństwo naszych danych, rozmawiali z Karolem Paciorkiem na temat naszej prywatności w obliczu żadnych wiedzy wielkich korporacji i państwa. Oczywiście znajdziemy tam bohaterów naszej nowej mitologii, czyli między innymi Pegasusa, czy wujka Gulgul.

Bill i lingi

Około 40 minuty podcastu, pojawia się temat pozyskiwania przez policję i inne służby wykazów połączeń. Rozmówcy opisują, jak wiele można się dowiedzieć o osobie tylko na podstawie historii rozmów. Niezaprzeczalnie poddane prawidłowej analizie dane, osadzone w kontekście prowadzonej sprawy, mogą być dla funkcjonariuszy cennym źródłem informacji. Warto zaznaczyć, jeśli nie słuchałeś podcastu, że billingi nie zawierają treści komunikacji. Zacznijmy jednak od podstaw i to prawnych, których zabrakło w rozmowie:

Art.  20c.  [Uzyskiwanie i przetwarzanie danych telekomunikacyjnych, pocztowych i internetowych]
W celu zapobiegania lub wykrywania przestępstw, przestępstw skarbowych albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych, Policja może uzyskiwać dane niestanowiące treści odpowiednio, przekazu telekomunikacyjnego, przesyłki pocztowej albo przekazu w ramach usługi świadczonej drogą elektroniczną, określone (…) oraz może je przetwarzać bez wiedzy i zgody osoby, której dotyczą.

W kwestii ilości pozyskanych danych, rozmówcy sami przyznali, że nie jest to przedmiotem dyskusji, w szczególności gdy zwrócimy uwagę na ilość zdarzeń obsługiwanych tylko i wyłącznie przez policję.

Pierwszym z momentów, kiedy ciśnienie krwi mi podskoczyło, było stwierdzenie, że „służby korzystają z tego narzędzia w swobodny sposób – funkcjonariusz nie musi napisać pisma, jedynym powodem jest to, że prowadzi postępowanie.”
Nie wiem, jakie jest źródło, na podstawie którego rozmówcy sformułowali takie wnioski, niestety wprowadza ono słuchaczy i prowadzącego w błąd.
Zacznijmy od tego, że nie każdy policjant w swoim komputerze ma dostęp do danych telekomunikacyjnych. Jest to jedynie niespełnione marzenie wielu funkcjonariuszy, które mogłoby przyspieszyć ich pracę, ale jak zwrócił uwagę pan Wojciech „wygoda działania nie może być podstawą”.
Policjanci, którzy mają taki dostęp muszą pracować w konkretnych komórkach organizacyjnych policji (m.in. techniki operacyjnej, wywiadu kryminalnego czy zwalczania cyberprzestępczości). I to również nie jest tajemna wiedza, a pochodząca z z Rozdziału 2 Zarządzenia nr 51 Komendanta Głównego Policji z dnia 28 marca 2022 roku. W tym samym Rozporządzeniu możemy przeczytać, że:

W przypadku potrzeby pozyskania danych policjant (…) przedkłada właściwemu przełożonemu dokument uzasadniający taką potrzebę, a także przygotowuje projekt wniosku o udostępnienie danych, zwany dalej „wnioskiem o dane”. W przypadku zgody na uzyskanie i przetwarzanie danych właściwy przełożony podpisuje wniosek i kieruje go do właściwej komórki organizacyjnej, o której mowa w § 2″.

Kontrola kontrolujących

Wsłuchując się w rozmowę odniosłem wrażenie, że nie istnieje mechanizm kontrolny w zakresie swobodnego (tak, to ironia) wykorzystywania danych przez policję. Otóż istnieje. Kontrolę nad uzyskiwaniem przez Policję danych telekomunikacyjnych, pocztowych lub internetowych sprawuje są okręgowy właściwy dla siedziby organu Policji, któremu udostępniono dane. W ramach kontroli, może zapoznać się z materiałami uzasadniającymi udostępnienie Policji danych telekomunikacyjnych, pocztowych lub internetowych. To był wycinek z art. 20ca Ustawy o Policji. Jak widać kontrola istnieje i sam kilkukrotnie spędziłem czas pakując odpowiednie dokumenty do wysyłki dla sądu okręgowego.

Impoderabilia

Poza przepisami, regulacjami i stosem dokumentacji, którą trzeba wypełnić, uzupełnić lub stworzyć od podstaw, prowadząc jakąkolwiek sprawę istnieją jeszcze inne ważne elementy rzeczywistości, mające wpływ na działanie służb. Zaczynając od etyki, a kończąc na braku czasu. Pomiędzy znajdzie się naprawdę dobra kontrola wewnętrzna, która skutecznie powstrzymuje niepohamowaną żądzę dosłownie każdego policjanta przed pobieraniem bilingów sąsiadów, matki, wujka i wczoraj spotkanej dziewczyny w metrze. Jeśli poczułeś ironię to dobrze. Bardziej od bezpodstawnej inwigilacji, obawiam się spadku kompetencji i braku środków do realizacji ustawowych celów przez policję.

Zagrożenia

Przebijające tu i ówdzie informacje na temat swobodnego inwigilowania społeczeństwa i zbyt dużych uprawnień, mogą w sposób negatywny wpłynąć na działania służb. Pan Wojciech, w odniesieniu do billingów, z uśmiechem stwierdził, że „kiedyś tego nie było i służby jakoś sobie radziły”. Kiedyś także nie było samochodów, czy komputerów i jakoś sobie radzili. Idąc tym tropem można zaoszczędzić sporo złotówek w budżecie policji. Przestępczość będzie korzystać z nowych technologii. Przestępcy nie odejdą od szyfrowanej komunikacji, szybkich samochodów, czy prania pieniędzy za pośrednictwem kryptowalut. Jeżeli chcemy czuć się bezpiecznie musimy w pewnym stopniu poświęcić naszą prywatność. Zrozumienie tej delikatnej materii jest niezmiernie ważne. Tymczasem, fragment rozmowy z ekspertami od prywatności roztacza przed nami błędną wizję nie skrępowanej niczym działalności służb.

Kontrolujmy, sprawdzajmy, rozliczajmy. Jestem zwolennikiem kamer nasobnych, informowania podsłuchiwanych, gdy kontrola operacyjna nie dała podstaw do postawienia zarzutów, sprawdzania zasadności pozyskiwania billingów. Dusza audytorska wyrywa się do kolejnych pomysłów. Pamiętajmy jednak, że do kontroli, rozliczania czy audytów potrzeba osób, które będą posiadały doświadczenie i wiedzę, pozwalające stawiać dobre pytania, i sprawdzać w odpowiednich miejscach. Tymczasem powoli brakuje nam osób do pracy, nie mówiąc o kontroli. Omawiając problematykę pegasusa, powinno się zaznaczyć, że do jego uruchomienia potrzebna była zgoda sądu. Nie mamy obecnie wysypu postępowań o przekroczenie uprawnień, można więc domniemywać, że wszystkie kontrole miały zgodę sądu. I tutaj pojawia się kolejny aspekt sprawy. W zamieszaniu, całkiem przy okazji, odkrywamy niestety również brak kompetencji sędziów, którzy nie rozróżniają formy od metody prowadzenia kontroli operacyjnej.

Stawiam więc tezę, że nie mamy problemu ze swobodą działania służb, a z brakiem kompetencji i zasobów, problemem systemowym, który bezsprzecznie wymaga poprawy.