Dopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych (casus Pegasusa)

Data publikacji: 15 lutego 2022

Autorzy ekspertyzy:
dr hab. Agnieszka Barczak-Oplustil
dr hab. Mikołaj Małecki
dr hab. Szymon Tarapata
dr Adam Behan
dr Witold Zontek
(Katedra Prawa Karnego Uniwersytetu Jagiellońskiego)

Wnioski

1. Użycie systemów teleinformatycznych, których integralną częścią są programy komputerowe, pozwalające utrwalać, bez wiedzy  i zgody użytkownika, prowadzone rozmowy telefoniczne oraz pobierać wiadomości SMS/MMS oraz wiadomości z komunikatorów używanych przez osobę poddaną kontroli operacyjnej, w tym wiadomości wysyłane i otrzymywane  przed datą rozpoczęcia kontroli operacyjnej, jest zgodne  z przepisami polskiego prawa, pod warunkiem wykorzystania do tego celu akredytowanych przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programów komputerowych zapewniających bezpieczeństwo informacji niejawnych, których funkcjonalności nie umożliwiają ingerencji w treść danych zgromadzonych w urządzeniu ani udostępniania tych danych osobom trzecim, nieuprawnionym do dostępu do informacji niejawnych.
2. Użycie programów komputerowych pozwalających utrwalać treść rozmów i obraz w pomieszczeniach, w których znajduje się telefon/tablet/inne urządzenie, po przejęciu kontroli nad urządzeniem i uruchomieniu przez służby mikrofonu lub kamery, jest sprzeczne z przepisami polskiego prawa, które nie przewidują kompetencji służb do aktywnego wykorzystywania funkcjonalności systemu informatycznego lub urządzenia końcowego w celu agregowania danych nie znajdujących się  w systemie informatycznym objętym kontrolą w wyniku aktywności użytkownika tego systemu bądź na skutek jego indywidualnej konfiguracji.
3. Użycie programów komputerowych pobierających z telefonu/tabletu/innego urządzenia osoby objętej kontrolą operacyjną dane dostępowe (hasła/klucze) pozwalające na logowanie się na serwerach z pocztą elektroniczną, bankowych, portalach społecznościowych jest zgodne z przepisami polskiego prawa, przy czym jest sprzeczne z przepisami polskiego prawa przeglądanie i pobieranie danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych (haseł/kluczy).
4. Użycie programów komputerowych pobierających z telefonu/tabletu/innego urządzenia osoby objętej kontrolą operacyjną całą jego zawartość zgromadzoną w urządzeniu w trakcie trwania oraz przed rozpoczęciem kontroli operacyjnej budzi wątpliwości co do zgodności z przepisami polskiego prawa w kontekście spełnienia in concreto konstytucyjnej zasady proporcjonalności, a jest sprzeczne z przepisami polskiego prawa, gdy wykorzystane są do tego celu nieakredytowane przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programy komputerowe nie zapewniające bezpieczeństwa informacji niejawnych, bądź których funkcjonalności umożliwiają ingerencję w treść danych zgromadzonych w urządzeniu, bądź których użycie wiąże się z udostępnianiem tych danych osobom trzecim nieuprawnionym do dostępu do informacji niejawnych.
5. Użycie w ramach kontroli operacyjnej programów komputerowych pozwalających na uzyskanie dostępu do całości lub części systemu informatycznego w telefonie/tablecie/innym urządzeniu osoby poddanej kontroli operacyjnej i dokonywanie zmian w ich zawartości (w tym dodawanie, edytowanie lub usuwanie plików) jest sprzeczne z przepisami polskiego prawa.
6. Nabycie i używanie programów komputerowych, których wykorzystywanie w ramach kontroli operacyjnej wiąże się z przekazywaniem pozyskiwanych danych do osób trzecich, nieuprawnionych do dostępu do informacji niejawnych,  w szczególności administratorów lub służb wywiadowczych obcych państw, jest sprzeczne z przepisami polskiego prawa.
7. Wniosek o kontrolę operacyjną kierowany do sądu powinien określać cele, zakres i sposób kontroli, w tym wykorzystywane programy komputerowe wraz ze wskazaniem ich funkcjonalności w kontekście rodzaju, źródeł i liczby pozyskiwanych informacji,  a także zakres czasowy gromadzenia danych.
8. Osoba kontrolowana, w świetle standardu konstytucyjnego, powinna mieć prawo do powiadomienia o zakończonej wobec niej kontroli operacyjnej i złożenia zażalenia do niezależnego organu kontroli na podjęte wobec niej czynności operacyjne.