Obowiązek retencji danych znany jest przedsiębiorcom telekomunikacyjnym od ponad dekady. Wprowadzony został do polskiego systemu prawnego w 2009 r. na skutek implementacji dyrektywy 2006/24/WE i przewidywał początkowo, że okres zatrzymania danych retencyjnych wynosić ma 24 miesiące. Polski ustawodawca skorzystał zatem z maksymalnego możliwego okresu zatrzymania danych, na jaki pozwalała dyrektywa. Dla porównania, okres zatrzymania danych zgodnie z dyrektywą nie mógł być krótszy niż 6 miesięcy. Od 2013 r. do chwili obecnej okres retencji danych wynosi 12 miesięcy od próby połączenia.

Dodatkowo przedsiębiorcy telekomunikacyjni byli zobowiązani do składania Prezesowi UKE sprawozdań o łącznej liczbie przypadków, w których uprawnionym podmiotom, Służbie Celnej, sądowi i prokuratorowi były udostępnione dane. Odstąpiono jednak od tego obowiązku w 2016 r.

Widać zatem, że na przestrzeni lat wymóg retencji ulegał istotnym zmianom, ale w dalszym ciągu obowiązuje. Czy zmieni się to za sprawą wyroku Trybunału Sprawiedliwości Unii Europejskiej, który zapadł 6 października 2020 r. w sprawach połączonych C-511/18, C-512/18 i C-520/18?

Retencja danych od początku kontrowersyjna

Realizacja obowiązku retencji budziła wątpliwości od chwili jej wejścia w życie. W przeciągu ostatniej dekady wydawane były orzeczenia zarówno przez Trybunał Sprawiedliwości Unii Europejskiej, jak również przez sądy krajowe, które stwierdzały, że retencja danych w modelu zaproponowanym w dyrektywie pozostaje w sprzeczności z prawami podstawowymi, w tym z prawem do prywatności, które gwarantuje również Konstytucja.

Sprawę retencji analizował także Trybunał Konstytucyjny, który w wyroku z dnia 30 lipca 2014 r. stwierdził niezgodność z Konstytucją części przepisów regulujących działalność uprawnionych podmiotów i Służby Celnej, związanych z obowiązkiem retencji danych. Niezgodność dotyczyła braku niezależnej kontroli udostępniania danych telekomunikacyjnych, o których mowa w art. 180c i 180d ustawy Prawo telekomunikacyjne („PT”). Za sprawą tego wyroku, od 7 lutego 2016 r. obowiązuje sądowa kontrola udostępniania danych telekomunikacyjnych, która niestety jest tylko kontrolą następczą – realizowaną po udostępnieniu danych.

Nieważność dyrektywy sobie, rzeczywistość też sobie, tylko operatorów żal

Przepisy w zakresie retencji zmieniano, jednak w dalszym ciągu obowiązek retencji jako taki obowiązywał. Przedsiębiorcy telekomunikacyjni w obawie przed karami ze strony organu nadzoru również wypełniali formalny obowiązek zatrzymywania danych, a UKE dokonywało i nadal dokonuje kontroli w zakresie realizacji obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Zakresem kontroli objęty jest zatem obowiązek zatrzymywania, przechowywania oraz udostępniania danych (art. 180 c i 180c PT).

Z kolei służby domagające się udostępniania danych coraz bardziej niedbale podchodzą do formułowania żądań w zakresie retencji danych. Przedsiębiorcom telekomunikacyjnym pozostaje skrupulatne weryfikowanie takich żądań i wzywanie do ich doprecyzowania lub zmiany, jeśli nie są zgodne z obowiązującymi wciąż przepisami PT lub ustaw kompetencyjnych regulujących funkcjonowanie danej służby.

Wszystko to pochłania czas i środki przedsiębiorców, którzy dodatkowo znajdują się w niewygodnej sytuacji wizerunkowej. Z jednej strony chcieliby zachować lojalność wobec swoich klientów i nie uczestniczyć w naruszaniu prawa do prywatności, skoro orzecznictwo jest w tym zakresie jasne. Z drugiej jednak strony operatorzy wciąż obawiają się kar ze strony regulatora, który nie zajął stanowiska nawiązującego do orzeczeń TSUE.

Czy jest zatem na co czekać w kwestii retencji danych po ostatnim wyroku TSEU?

Patrząc na liczbę orzeczeń, którym do tej pory opierał się obowiązek retencji danych można sądzić, że wyrok TSUE w połączonych sprawach C-511/18, C-512/18 i C-520/18 przyczyni są po raz kolejny do dyskusji, ale bez istotnego wpływu na ukształtowanie samego obowiązku operatorów.

Trybunał Sprawiedliwości w wyroku z 6 października podniósł po raz kolejny, iż ogólny obowiązek zatrzymywania i przechowywania danych jest sprzeczny z prawem unijnym. Trybunał podkreślił jednak, że w obliczu poważnego i realnego zagrożenia bezpieczeństwa narodowego, państwo członkowskie powinno mieć możliwość odstąpienia od obowiązku zapewniania poufności danych telekomunikacyjnych. Jednocześnie państwa członkowskie powinny zagwarantować, aby tak zatrzymane dane były przechowywane tak długo, jak jest to konieczne w sytuacji utrzymującego się zagrożenia.

Niestety to mało precyzyjne określenie kryteriów dozwolonych wyjątków od zakazu ogólnej retencji danych może sprawić, że najnowszy wyrok TSEU nie będzie argumentem do rychłej zmiany przepisów. Co więcej przedstawiciele Prokuratury Krajowej już w pierwszych komentarzach odnosili się krytycznie do wydanego wyroku twierdząc, że Trybunał staje po stronie prywatności kosztem bezpieczeństwa.

Wyrok TSUE nie pozostał niezauważony w gronie parlamentarzystów. Część z nich wystąpiła do Premiera i Ministra Cyfryzacji z poselską interpelacją i pytaniem, kiedy można spodziewać się zmian w prawie. Nie można wykluczać, że szybciej niż zmian w prawie doczekamy się wyłonienia z grona operatorów kogoś kto uzna, że danych nie udostępni bądź wręcz zaprzestanie ich gromadzenia. Wtedy taka sprawa znalazłaby być może finał przed sądem, a operator nie byłby pozbawiony argumentów patrząc na niewątpliwie ukształtowaną już w tym zakresie linię orzeczniczą.

Jarosław Straś- radca prawny