Retencja danych telekomunikacyjnych wraca dziś do centrum debaty o prywatności. Prezes UODO Mirosław Wróblewski przedstawił istotny pogląd, w którym wskazał, że polskie przepisy dotyczące obowiązkowego przechowywania danych przez operatorów telefonii komórkowej budzą poważne zastrzeżenia zarówno na gruncie prawa Unii Europejskiej, jak i Konstytucji RP. Stanowisko zostało przedstawione w sprawie o sygn. I C 1281/25 i ma pomóc sądowi w wykładni przepisów dotyczących ochrony danych osobowych w kontekście retencji danych telekomunikacyjnych.
To nie jest wyłącznie spór techniczny o obowiązki operatorów. W tle znajduje się znacznie ważniejsze pytanie: jak daleko państwo może sięgać po informacje o naszej aktywności komunikacyjnej i lokalizacji, zanim naruszy granice prawa do prywatności. Prezes UODO wyraźnie sygnalizuje, że obecny model retencji w Polsce jest zbyt szeroki, zbyt mało zróżnicowany i zbyt słabo osadzony w europejskich standardach proporcjonalności.
Spis treści
Czym właściwie są dane telekomunikacyjne
Sprawa dotyczy danych przechowywanych przez operatorów telefonii komórkowej, czyli przede wszystkim danych o ruchu i lokalizacji. Chodzi m.in. o numery telefonów, identyfikatory kart SIM i urządzeń, adresy IP, daty i godziny połączeń, czas ich trwania oraz inne informacje techniczne związane z komunikacją elektroniczną. W ocenie Prezesa UODO są to dane osobowe, ponieważ po zestawieniu z innymi informacjami pozwalają zidentyfikować konkretną osobę.
To bardzo ważne rozróżnienie. Na pierwszy rzut oka może się wydawać, że takie dane nie mówią wiele, bo nie zawierają treści rozmowy ani wiadomości. W praktyce jednak właśnie metadane potrafią powiedzieć o człowieku bardzo dużo. Analizowane w dłuższym okresie pozwalają odtworzyć rytm życia, miejsca pobytu, regularne trasy, kontakty społeczne, a czasem także informacje o zdrowiu, pracy, życiu rodzinnym czy przekonaniach. Dlatego Prezes UODO podkreśla, że nie można ich traktować jak neutralnych zapisów technicznych pozbawionych znaczenia dla prywatności.
Na czym polega problem z polską retencją danych
Obowiązujące przepisy nakazują operatorom przechowywanie takich danych przez 12 miesięcy. Co istotne, obowiązek ten dotyczy wszystkich użytkowników, a nie tylko osób podejrzewanych o popełnienie przestępstwa. Dane te mogą być następnie udostępniane uprawnionym służbom, a po upływie ustawowego okresu powinny zostać zniszczone. Prezes UODO zwraca uwagę, że jest to model o charakterze generalnym i prewencyjnym, bo obejmuje całą populację użytkowników usług telekomunikacyjnych.
Właśnie ten element budzi najpoważniejsze zastrzeżenia. Problemem nie jest samo to, że państwo w pewnych sytuacjach może sięgać po dane telekomunikacyjne. Problemem jest to, że obecny model zakłada masowe i niezróżnicowane przechowywanie danych wszystkich obywateli, niezależnie od tego, czy istnieje wobec nich jakiekolwiek podejrzenie związane z przestępczością albo zagrożeniem bezpieczeństwa. W ocenie Prezesa UODO taki mechanizm trudno pogodzić ze standardami prawa unijnego.
Co mówi prawo Unii Europejskiej
Prezes UODO, powołując się na orzecznictwo Trybunału Sprawiedliwości UE, wskazuje, że ogólna i niezróżnicowana retencja danych telekomunikacyjnych jest co do zasady sprzeczna z prawem Unii. Standard unijny dopuszcza ingerencję w prywatność tylko wtedy, gdy jest ona ściśle niezbędna i proporcjonalna. Innymi słowy, samo odwołanie się do bezpieczeństwa publicznego nie wystarcza jeszcze do uzasadnienia powszechnego przechowywania danych wszystkich użytkowników.
Z unijnego punktu widzenia dopuszczalne mogą być rozwiązania bardziej precyzyjne, ograniczone do określonych sytuacji, kategorii danych, czasu i celu. Przykładowo, TSUE od lat akcentuje, że sięganie po dane telekomunikacyjne może być uzasadnione przy zwalczaniu poważnej przestępczości lub ochronie bezpieczeństwa państwa, ale nie w modelu całkowicie powszechnym i automatycznym. To właśnie dlatego Prezes UODO uważa, że polskie regulacje wymagają dostosowania do standardu europejskiego, a sąd krajowy powinien oceniać ich zgodność z prawem Unii z uwzględnieniem wykładni TSUE.
Pytanie nie dotyczy tylko RODO
Choć w sprawie naturalnie pojawia się RODO, problem jest szerszy niż sama legalność przetwarzania danych przez administratora. Prezes UODO przypomina, że każda operacja przetwarzania danych musi opierać się na jednej z podstaw prawnych z art. 6 ust. 1 RODO. Jeżeli podstawą ma być obowiązek prawny administratora albo wykonywanie zadania realizowanego w interesie publicznym, to sama regulacja krajowa również musi spełniać standardy prawa Unii i nie może pozostawać z nimi w sprzeczności.
To bardzo istotna uwaga praktyczna. Nie wystarczy powiedzieć: „operator przechowuje dane, bo tak nakazuje ustawa”. Jeżeli sama ustawa budzi poważne wątpliwości co do zgodności z prawem UE, to powstaje problem na poziomie samego fundamentu przetwarzania. Właśnie dlatego Prezes UODO tak mocno akcentuje nie tylko art. 6 RODO, ale też podstawowe zasady z art. 5 RODO, takie jak legalność, przejrzystość, minimalizacja danych, ograniczenie celu i ograniczenie przechowywania. Każda regulacja przewidująca masowe przetwarzanie danych musi być oceniana również przez ten pryzmat.
Wymiar konstytucyjny: prywatność, tajemnica komunikowania się i autonomia informacyjna
Stanowisko Prezesa UODO nie ogranicza się do prawa unijnego. Organ zwraca też uwagę, że retencja danych ingeruje w konstytucyjnie chronione prawa i wolności, w szczególności w prawo do prywatności, wolność i tajemnicę komunikowania się oraz autonomię informacyjną jednostki. Ograniczenia tych praw mogą być wprowadzane tylko ustawą i tylko wtedy, gdy są rzeczywiście niezbędne w demokratycznym państwie prawnym.
To oznacza, że ustawodawca nie ma pełnej swobody w projektowaniu systemów masowego gromadzenia danych. Sama potrzeba sprawnego działania służb nie kończy analizy. Trzeba jeszcze odpowiedzieć na pytanie, czy skala ingerencji jest konieczna, czy zakres danych nie jest nadmierny, czy czas przechowywania nie jest zbyt długi i czy istnieją realne mechanizmy kontroli dostępu do tych informacji. Właśnie na te elementy od lat zwraca uwagę zarówno polskie orzecznictwo konstytucyjne, jak i standard europejski.
Europejski Trybunał Praw Człowieka też dostrzegł problem
Dodatkowym punktem odniesienia jest wyrok Europejskiego Trybunału Praw Człowieka w sprawie dotyczącej polskich regulacji o inwigilacji i dostępie do danych komunikacyjnych. ETPCz 28 maja 2024 r. uznał, że polskie przepisy nie zapewniają wystarczających gwarancji ochrony prawa do prywatności i korespondencji. To ważne, bo pokazuje, że wątpliwości wobec polskiego modelu nie pojawiają się wyłącznie w debacie krajowej czy w stanowiskach UODO, ale zostały już dostrzeżone również na poziomie europejskim.
Warto tu doprecyzować datę, bo w obiegu publicznym zdarzają się rozbieżności. Oficjalny komunikat ETPCz wskazuje na 28 maja 2024 r., nie na 28 czerwca 2024 r. Sama treść rozstrzygnięcia pozostaje jednak zgodna z główną tezą przywoływaną przez Prezesa UODO: obecne ramy prawne dotyczące pozyskiwania i wykorzystywania danych komunikacyjnych w Polsce nie dają obywatelom dostatecznych gwarancji ochronnych.
Dlaczego sprawa jest teraz szczególnie ważna
Bezpośrednim impulsem do zajęcia stanowiska przez Prezesa UODO było skierowanie przez Sąd Okręgowy w Gdańsku pytania prejudycjalnego do Trybunału Sprawiedliwości UE w sprawie C-741/25 Ranerski. Pytanie dotyczy interpretacji art. 15 ust. 1 dyrektywy 2002/58/WE w związku z art. 7, 8, 11 oraz 52 ust. 1 Karty Praw Podstawowych UE. Sam fakt zadania pytania prejudycjalnego pokazuje, że sąd krajowy dostrzega poważne wątpliwości co do zgodności polskich regulacji z prawem unijnym.
To może być moment przełomowy. Odpowiedź TSUE może wpłynąć nie tylko na praktykę operatorów telekomunikacyjnych, ale również na sposób działania służb i na przyszły kształt polskich regulacji. W gruncie rzeczy nie chodzi wyłącznie o interpretację jednego przepisu, lecz o wyznaczenie granicy między interesem publicznym a prawem obywatela do prywatności i kontroli nad informacjami o własnym życiu.
Co właściwie krytykuje Prezes UODO
Najważniejszy zarzut nie sprowadza się do tego, że państwo w ogóle gromadzi dane. Prezes UODO krytykuje przede wszystkim model „na wszelki wypadek”, czyli obowiązek przechowywania danych wszystkich użytkowników, przez długi okres, bez indywidualizacji i bez wystarczająco silnych bezpieczników. Taki model oznacza, że z góry zakłada się potencjalną przydatność danych każdego obywatela, nawet jeśli nie ma wobec niego żadnych konkretnych podstaw do podejrzeń.
Z perspektywy ochrony danych to szczególnie problematyczne, bo stoi w napięciu z zasadą minimalizacji danych i ograniczenia przechowywania. Skoro dane mają być przetwarzane tylko w zakresie niezbędnym do określonego celu, to trudno uznać za neutralne rozwiązanie, które masowo obejmuje wszystkich użytkowników przez 12 miesięcy. Właśnie dlatego Prezes UODO wyraźnie sygnalizuje potrzebę zmiany prawa, a nie jedynie korekty praktyki stosowania obecnych przepisów.
Co to może oznaczać dla dalszej debaty w Polsce
Stanowisko Prezesa UODO nie jest jeszcze wyrokiem ani wiążącą interpretacją prawa. Nie rozstrzyga indywidualnej sprawy i nie zmienia automatycznie obowiązujących regulacji. Ma jednak duże znaczenie jako argument prawny i punkt odniesienia dla sądów, pełnomocników, operatorów telekomunikacyjnych oraz ustawodawcy.
W praktyce ten pogląd wzmacnia tezę, że dalsze utrzymywanie obecnego modelu retencji może być coraz trudniejsze do obrony. Jeżeli TSUE potwierdzi zastrzeżenia widoczne już w dotychczasowym orzecznictwie, polski ustawodawca będzie musiał wrócić do pytania nie o to, czy retencja danych jest potrzebna, ale jak ją zaprojektować, by nie naruszała podstawowych praw obywateli. To będzie debata nie tylko o bezpieczeństwie, ale też o granicach państwowej ingerencji w codzienne życie ludzi.
Podsumowanie
Istotny pogląd Prezesa UODO dotyczący retencji danych telekomunikacyjnych to ważny sygnał, że obecny polski model przechowywania danych o ruchu i lokalizacji użytkowników może nie wytrzymywać konfrontacji ze standardami unijnymi i konstytucyjnymi. Organ wskazuje, że masowa, ogólna i niezróżnicowana retencja danych wszystkich obywateli budzi poważne zastrzeżenia z punktu widzenia prawa do prywatności, tajemnicy komunikowania się i zasad przetwarzania danych osobowych.
Najbliższe miesiące mogą okazać się dla tego obszaru kluczowe. Odpowiedź TSUE w sprawie C-741/25 Ranerski może przesądzić, czy Polska będzie musiała istotnie przebudować swoje przepisy o retencji danych. A to oznacza, że dyskusja o billingach, lokalizacji i metadanych przestaje być tematem niszowym. Staje się sporem o to, ile państwo może wiedzieć o obywatelu tylko dlatego, że ten korzysta z telefonu i internetu.
