Igor Kowalewski
Sprawozdanie z Wiosennej Konferencji Europejskich Komisarzy Ochrony Danych Osobowych. 10 - 11 maja 2001 r., Ateny
SESJA 1 - PRZESTĘPSTWA KOMPUTEROWE I OCHRONA DANYCH OSOBOWYCH - [Cybercrime and data protection]
[Spis treści]
Na wstępie, Pan Francis Aldhouse, zastępca Komisarza Ochrony Danych Osobowych z Wielkiej Brytanii przypomniał, że kwestie dotyczące przestępstw komputerowych były omawiane podczas ubiegłorocznej Konferencji Europejskich Organów Ochrony Danych Osobowych w Sztokholmie. Podczas konferencji przedstawiono dokumenty opisujące różnorodne inicjatywy Grupy G8 i Rady Europy skupiające się wokół kwestii przechowywania danych, a w szczególności danych dotyczących ruchu na serwerze przez dostawców usług internetowych [ISP -Internet Service Providers]. Przedstawiciele organów ochrony danych osobowych stwierdzili, że przechowywanie danych dotyczących ruchu na serwerze [traffic data] w zakresie nieadekwatnym do potrzeb bilingu, może stanowić nieuzasadnione naruszenie podstawowych praw jednostek zagwarantowanych w art. 8 Europejskiej Konwencji Praw Człowieka. Przestępstwa komputerowe wciąż pozostają przedmiotem uwagi Komisarzy oraz negocjacji prowadzonych na forum Rady Europy dotyczących przygotowania Konwencji o przestępstwach komputerowych. Powyższe kwestie są przedmiotem prac zarówno Grupy Roboczej ds. przetwarzania danych osobowych w sektorze Policji [Police Working Party], jak i Grupy Roboczej Art. 29 [Article 29 Working Party], która wyraziła swój pogląd w Opinii 4/2001. Pan Aldhouse zwrócił się wobec powyższego z pytaniem, czy istnieje potrzeba kontynuowania prac w ramach Police Working Party, które de facto często powielają działania przedsięwzięte już uprzednio przez członków Grupy Roboczej Art. 29. Mając na uwadze, jak istotne znaczenie dla poszanowania podstawowych praw jednostek ma przetwarzanie danych w sektorze policji i sektorze telekomunikacyjnym, pięciu komisarzy (Włochy, Niemcy, Austria, Szwajcaria, Irlandia) udzieliło poparcia dla kontynuowania prac Police Working Party. W związku z powyższym Aldhouse poinformował, że pierwsze warsztaty zostaną zorganizowane w listopadzie 2001 r. Tematy poruszane w ramach warsztatów pozostają do uzgodnienia w przyszłości, jednakże już teraz, strona brytyjska proponuje poruszenie spraw dotyczących zbierania informacji przez policję oraz technik analiz kryminalistycznych. Warsztaty Police Working Party będą odbywały się dwa razy w roku, a przedmiotem prac będą szczególne techniki wykrywania przestępstw cybernetycznych [cybercrimes] m. in. : wywiad kryminalny, tworzenie profili DNA i automatyczne systemy rozpoznawania tożsamości.
Pan Aldhouse stwierdził, że w obliczu problemów dotyczących ochrony danych osobowych w dobie nowoczesnych technologii, sprawą niezwykłej wagi będzie przyjęcie przez Europejskich Komisarzy deklaracji w poniższym brzmieniu:
"Uczestnicy Wiosennej Konferencji Europejskich Komisarzy Ochrony Danych Osobowych, biorąc pod uwagę wcześniejsze propozycje stwierdzają, że dostawcy usług internetowych [ISP] przechowują dane dotyczące ruchu na serwerze w zakresie nieadekwatnym do potrzeb bilingu, w celu ewentualnego udostępnienia ich organom ścigania i wymiaru sprawiedliwości. Konferencja podkreśla wyrażony w Sztokholmie pogląd, że tego rodzaju przechowywanie danych może stanowić nieuzasadnione naruszenie podstawowych praw jednostek zagwarantowanych w Art. 8 Europejskiej Konwencji Praw Człowieka. Przechowywanie danych dotyczących ruchu na serwerze wykraczające poza wskazany powyżej cel, może mieć miejsce jedynie w szczególnych przypadkach, gdy zachodzi uzasadniona potrzeba. Okres przechowywania tych danych powinien być jak najkrótszy, a prawo jasno ureguluje tego rodzaju praktykę. Konferencja wskazuje również, że tego rodzaju przechowywanie danych może także stanowić naruszenie prawa do prywatności i ochrony danych osobowych zagwarantowanych w Art. 8 i 7 przyjętej ostatnio Karty Podstawowych Praw Unii Europejskiej".
Następnie głos zabrał pan George Papapavolou, szef jednostki "Usług internetowych" Komisji Europejskiej. W swoim wystąpieniu zatytułowanym "Przestępstwa komputerowe i ochrona danych osobowych: pytania szczegółowe" podkreślił, że kwestie związane z przestępczością komputerową i ochroną danych osobowych są ze sobą zbieżne. Zaufanie obywateli wobec społeczeństwa informacyjnego może zostać znacząco osłabione zarówno przez nadużycia technologii informacyjno-komunikacyjnych [ICTs - Information & Communication Technology] i Internetu, jak i naruszenia danych osobowych. W niektórych krajach tego rodzaju naruszenie podlega sankcjom karnym i zaliczane jest do kategorii przestępstw komputerowych, wśród których wyróżnić można również m.in. hacking, wprowadzanie wirusów do systemów informatycznych, zablokowanie usług internetowych, rozpowszechnianie pornografii, oszustwa, naruszenia praw autorskich, handel narkotykami, handel ludźmi. Powyższe kategorie przestępstw zostały obecnie wprowadzone do krajowych przepisów karnych, jednakże w niektórych przypadkach niezbędne jest wprowadzenie dodatkowych środków prewencyjnych.
Pan Papapavlou stwierdził, ze wobec powyższego stanu rzeczy, niezbędna jest harmonizacja prawa materialnego na poziomie międzynarodowym, a dopóki nie jest to możliwe, chociażby na poziomie europejskim. Odpowiednie kroki zostały już podjęte zarówno na forum Unii Europejskiej, jak i Rady Europy. Odnośnie współpracy międzynarodowej znacznie więcej problemów rodzi harmonizacja prawa proceduralnego poszczególnych państw członkowskich. Szczególnie trudna pozostaje kwestia zbierania przez organy ścigania dowodów w prowadzonych postępowaniach, które często może pozostawać w sprzeczności z prawami człowieka i zasadą suwerenności. W związku z powyższym, w przygotowanym przez Komisję Europejską "Komunikacie dotyczącym bezpieczeństwa sieci informatycznych i związanych z nim przestępstw komputerowych" [Communication on information networks and computer related crimes], kwestie proceduralne zostały na razie pominięte. Pan Papapavlou podkreślił bardzo mocno, że wkład europejskich Komisarzy w rozwiązanie problemów związanych z przestępczością komputerową i ochroną danych osobowych będzie absolutnie niezbędny. Należy stworzyć forum, na którym dyskutowane będą najbardziej skomplikowane kwestie.
W dalszej części swego wystąpienia prelegent zwrócił uwagę na wielkie zmiany jakie nastąpiły w sektorze telekomunikacyjnym w związku z rozwojem Internetu i telefonii komórkowej. Możliwości popełnienia przestępstwa za pośrednictwem Internetu, który stanowi obecnie narzędzie używane powszechnie we wszelkich stosunkach międzyludzkich, rodzi znacznie poważniejsze konsekwencje, niż w przypadku przestępstw popełnianych z użyciem tradycyjnych sieci telefonicznych. Z drugiej strony, w związku ze zmianą formy płatności za usługi internetowe (opłata stała zastępuje opłatę zależną od wykorzystania usługi), przechowywanie danych dotyczących ruchu danych na serwerze [traffic data] dla potrzeb bilingu staje się nieuzasadnione.
Pan Papapavlou wskazał, iż obecnie w dwóch prawnie obowiązujących dyrektywach dotyczących ochrony danych osobowych znajduje się szereg przepisów odnoszących się bezpośrednio lub pośrednio do kwestii przechowywania danych dotyczących ruchu na serwerze. W Dyrektywie 95/46/EC art. 3 par. 2 przewiduje, że Dyrektywa nie dotyczy przetwarzania danych osobowych w ramach działalności wykraczającej poza zakres przewidziany prawem Wspólnoty, przetwarzania danych dotyczących bezpieczeństwa publicznego, obronności, bezpieczeństwa Państwa oraz działalności Państwa w dziedzinie prawa karnego (podobne zastrzeżenie zawiera art. 1 par. 3 Dyrektywy 97/66/EC). Powstaje zatem pytanie, czy przechowywanie danych dotyczących ruchu na serwerze przez dostawców usług internetowych celem udostępnienia ich organom ścigania mieściłoby się ewentualnie w zakresie powołanych dyrektyw. Powyższe pytanie ma raczej akademicki charakter, biorąc pod uwagę, że Państwa Członkowskie zasadniczo włączyły sprawy trzeciego filara do swoich wewnętrznych porządków prawnych. Ponadto, istnieją międzynarodowe instrumenty prawne (Europejska Konwencja Praw Człowieka i Konwencja Nr 108 Rady Europy), które nie wyłączają tego rodzaju działalności. Art. 6 (b) Dyrektywy 95/46/EC stanowi natomiast wyraźnie, że dane osobowe nie będą poddawane dalszemu przetwarzaniu w sposób niezgodny z celem, dla którego zostały zebrane. Z kolei w myśl art. 6 par. 4 Dyrektywy 97/66/EC, przetwarzanie danych dotyczących ruchu na serwerze jest ograniczone do osób zajmujących się zarządzaniem bilingiem lub ruchem w sieci telekomunikacyjnej, informowaniem klientów, systemem wykrywania oszustw itd. Odpowiedź na pytanie, czy wymienione w powyższym przepisie działania uzasadniają przechowywanie danych dotyczących ruchu na serwerze zostanie udzielona nieco później.
Kolejne wątpliwości odnośnie gromadzenia i przetwarzania danych dotyczących ruchu na serwerze rodzi treść art. 6 (c) Dyrektywy 95/46/EC, zgodnie z którym dane osobowe są merytorycznie poprawne, stosowne oraz adekwatne w stosunku do celów, dla których zostały zgromadzone i / lub dalej przetwarzane. Można postawić pytanie, czy istnieje określone minimum danych dotyczących ruchu na serwerze, niezbędne dla celów prowadzenia postępowania karnego. Czy minimalna ilość danych powinna zostać zdefiniowana w przepisach prawa, czy też powinna być rozpatrywana w każdym indywidualnym przypadku osobno. Odpowiedzi przyniesie praktyka działań organów ścigania oraz debata prowadzona w ramach przygotowywania Konwencji Rady Europy o Przestępstwach Komputerowych [Cybercrime Convention].
Pan Papapavlou przedstawił następnie definicję danych dotyczących ruchu na serwerze [traffic data]. Początkowo definicja była bardzo obszerna i stopniowo zawężana. Dziś pojęcie danych dotyczących ruchu na serwerze obejmuje: wszelkie dane komputerowe dotyczące komunikacji w systemie informatycznym, tworzone przez system komputerowy, stanowiące element łańcucha komunikacyjnego, wskazujące położenie hosta, miejsce przeznaczenia (adres), ścieżkę dostępu w obrębie hosta, ścieżkę dostępu w obrębie systemu rozproszonego, godzinę, datę, rozmiar, czas połączenia i rodzaj podstawowej usługi sieciowej. Przedstawiciel Zgromadzenia Parlamentarnego Rady Europy [Parliamentary Assambly of the Council of Europe - PACE], pan Tallo zaproponował zawężenie zakresu pojęcia danych dotyczących ruchu na serwerze jedynie do: numerów telefonicznych, czasu połączenia i adresów dostawców usług internetowych. Jednakże PACE nie przyjęło powyższego brzmienia definicji. Z pewnością również definicja "traffic data" zawarta w poprawkach do Dyrektywy w sprawie przetwarzania danych osobowych i ochrony prywatnych danych w sektorze telekomunikacyjnym wydaje się być zbyt szeroka, jeśli rozpatrywać ją w kontekście przestępstw komputerowych. W myśl tej definicji za dane dotyczące ruchu na serwerze uznaje się "wszelkie dane przetwarzane w trakcie lub w celu transmisji danych i komunikacji w elektronicznej sieci komunikacyjnej".
Ostatnie pytanie postawione przez prelegenta dotyczyło celu przechowywania danych dotyczących ruchu na serwerze. Czy tego rodzaju dane miałyby być przechowywane dla celów prowadzenia postępowania karnego, czy też raczej wzmożenia bezpieczeństwa sieci. Przyjęcie pierwszej z wymienionych opcji oznaczałoby konieczność stworzenia odpowiednich przepisów określających wyraźnie obowiązki nakładane na dostawców usług internetowych. Druga opcja przewidywałaby dobrowolną możliwość zastosowania przez providerów ściśle określonych zabezpieczeń dotyczących poufności, określenia czasu przechowywania i kryteriów dostępu do tych danych przez organy ścigania i wymiaru sprawiedliwości.
Pan Papapapvlou wskazał, że prawnych podstaw przetwarzania danych dotyczących ruchu na serwerze można poszukiwać analizując treść art.7 (c) i art. 7 (e) Dyrektywy 95/46/EC. W myśl pierwszego ze wskazanych, kryterium legalności jest spełnione, gdy przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego administratora danych. Art. 7 (e) stanowi natomiast, że dane osobowe mogą być przetwarzane, gdy jest to konieczne dla realizacji zadania wykonywanego w interesie publicznym lub w ramach wykonywania oficjalnych uprawnień przyznanych kontrolerowi lub osobie trzeciej, której ujawniane są dane. Również art. 13 (d) Dyrektywy 97/66/EC przewiduje możliwość ograniczenia zakresu zobowiązań i uprawnień dotyczących przetwarzania danych osobowych, jeśli takie ograniczenie jest niezbędne do zapobiegania i wykrywania przestępstw oraz karania ich sprawców. We wszystkich powyżej przytoczonych przepisach kluczową rolę odgrywa analiza sytuacji, w których przetwarzanie jest "niezbędne", "konieczne". Można postawić pytanie, czy przechowywanie danych dotyczących ruchu na serwerze jest niezbędne dla prowadzenia postępowania karnego. W opinii 3/99 Grupy Roboczej Art.29 z września 1999 r., został wyrażony pogląd, że dane dotyczące ruchu na serwerze mogą odegrać istotną rolę w działaniach mających na celu wykrywanie przestępstw popełnianych przez Internet. Równocześnie stwierdzono, że dane dotyczące ruchu na serwerze nie mogą być przechowywane jedynie w celu ewentualnego udostępnienie ich organom ścigania i wymiaru sprawiedliwości. Przepisy prawa krajowego wskażą okres, przez który dane będą mogły być przechowywane, który nie może przekraczać okresu przechowywania danych dla potrzeb bilingu. Opinia powyższa została wydana w oparciu o przepisy dyrektyw dotyczących ochrony prywatności i Europejskiej Konwencji Praw Człowieka. Można zatem wysnuć wniosek, że dane dotyczące ruchu na serwerze nie mogą być przechowywane w celu innym niż dla potrzeb bilingu, stwierdził pan Papapavlou. Prelegent wyraził również pogląd, że w nawiązaniu do przedstawionej opinii, art. 6 (b) Dyrektywy 95/46/EC nie stanowi prawnej podstawy przetwarzania danych dotyczących ruchu na serwerze.
Następnie prelegent przedstawił kwestię uregulowania okresu przechowywania danych dotyczących ruchu na serwerze w kilku Państwach Członkowskich. W Belgii okres ten wynosi 1 rok, w Holandii -3 miesiące. Jak dotąd niewielu dostawców usług internetowych przechowuje dane w celu zabezpieczenia sieci. Przyczyną tego stanu rzeczy jest często brak odpowiedniej infrastruktury lub brak jasnych zasad przechowywania tego rodzaju danych, co z kolei uniemożliwia wykrycie wielu przestępstw, których dokonanie zostało zauważone przez providerów.
Art. 6 (e) Dyrektywy 95/46/EC stanowi, że dane osobowe mogą być przetwarzane w formie umożliwiającej identyfikację podmiotów danych nie dłużej, niż jest to konieczne dla celów, dla których dane zostały zgromadzone, lub dla których są dalej przetwarzane. Dla potrzeb bilingu okres przetwarzania danych w różnych Państwach Członkowskich wynosi od 14 dni do 10 lat. Grupa Robocza Art. 29, w swojej rekomendacji 3/99 wyraża konieczność harmonizacji prawa w powyższej kwestii oraz zaleca wprowadzenie okresu 3 miesięcznego.
Konkludując, prelegent wyraził nadzieję, że kwestia przechowywania danych dotyczących ruchu na serwerze wymaga dalszej rzetelnej i konstruktywnej dyskusji. Odpowiedzi na postawione w odczycie pytania zostaną zatem udzielone w przyszłości. Współpraca będzie odbywała się również za pośrednictwem przygotowywanej właśnie strony internetowej, (dostępnej od końca maja) oraz w ramach spotkań, które rozpoczną się we wrześniu bieżącego roku.
