Kiedy minister spraw wewnętrznych Bartłomiej Sienkiewicz zapowiadał prace nad polską ustawą „przeciw Wielkiemu Bratu”, nie mógł przewidzieć, że już za chwilę jego paralela trafi na nagłówki gazet w zupełnie innym kontekście. Jak się mają uprawnienia polskich służb do tego, co mogą ich amerykańskie odpowiedniki? Czy wyzwanie w postaci odpowiedniego uregulowania naszego poletka nie blednie wobec problemów, jakie stwarza amerykańska inwigilacja europejskiego internetu? To nie są pytania retoryczne. O obu obszarach wiemy dziś tak niewiele, że równie trudno ocenić wagę problemów. W każdym z nich jest też konkretna praca do wykonania, od której nie mogą już uciec ani polski rząd, ani Unia Europejska.

>>> Czytaj również: Afera PRISM: Tysiące firm w USA miało dostęp do tajnych danych

O tym, że uprawnienia polskich służb wymagają co najmniej przeglądu, a zapewne i gruntownej rewizji, wiadomo od dawna. Do uporządkowania tego, co wolno w ramach kontroli operacyjnej, zabierało się już paru ministrów, a grupa ekspertów związana z Polską Platformą Bezpieczeństwa Wewnętrznego w zasadzie napisała projekt ustawy. O tym, że nasze prawo dotyczące zbierania i wykorzystywania danych telekomunikacyjnych (w tym billingów i danych o lokalizacji) negatywnie wyróżnia się na tle Europy – dając obywatelom bodaj najsłabsze gwarancje, a służbom najszersze uprawnienia – dyskutujemy od prawie trzech lat.

Na debacie publicznej na szczęście się nie skończyło: Rzecznik praw obywatelskich skierowała do Trybunału Konstytucyjnego kilka wniosków o uznanie za niekonstytucyjne przepisów w zakresie kontroli operacyjnej i dostępu do danych telekomunikacyjnych. Trybunał połączył je do wspólnego rozpoznania, co daje szansę na przełomowe orzeczenie, nakreślające zakres i kierunki przymusowej reformy uprawnień policji i innych służb. Wiele wskazuje na to, że minister spraw wewnętrznych czeka na te wytyczne z przygotowaniem założeń zmian prawnych, które obiecywał jeszcze jego poprzednik Jacek Cichocki. Zwłoka z jednej strony zrozumiała, z drugiej bardzo ryzykowna, bo na opracowanie tak wielowątkowej i ważnej regulacji ministrowi może zwyczajnie nie wystarczyć kadencji. Chyba że na to właśnie liczy rząd?

Jak się kończy unikanie trudnego tematu i liczenie na to, że „nie wypłynie”, dobitnie pokazała afera z amerykańskim programem PRISM. O tym, że Amerykanie mają przynajmniej szerokie możliwości pozyskiwania danych obywateli UE od podlegających ich jurysdykcji firm, wiadomo od ponad 10 lat. Jeszcze w 2002 r., w ramach dostosowywania amerykańskiego porządku prawnego do potrzeb wojny z terroryzmem, Kongres przyjął Foreign Intelligence Surveillance Act, którego ostrze zostało wymierzone właśnie w cudzoziemców. Firmy takie jak Google, Microsoft, Yahoo, Apple czy AOL nie mają wyjścia: w świetle prawa muszą udostępniać NSA i FBI dane swoich klientów. Można było dywagować o tym, jakie są skala czy tryb tego dostępu, jednak nie można było udawać, że problemu nie ma.

Europejskie instytucje też nie udawały, że wszystko jest w porządku. W ubiegłym roku Parlament Europejski zamówił analizę na temat zagrożeń związanych z przechowywaniem danych w chmurze, czyli na wirtualnych serwerach zagranicznych firm. Nie zabrakło w niej odniesień do szczególnych uprawnień amerykańskich służb. Od dwóch lat na stole jest projekt porozumienia między Unią Europejską i USA o ochronie danych w sferze współpracy policyjnej i sądowej, które w zamyśle ma narzucić takie same standardy postępowania z danymi osobowymi organom egzekwowania prawa po obu stronach Atlantyku. Ale to wciąż tylko projekt. Komisja Europejska starała się też zawrzeć gwarancje zapobiegające takim praktykom, jak niekontrolowany dostęp organów innych państw do danych obywateli UE, w projekcie rozporządzenia o ochronie danych osobowych, nad którym prace są bardziej zaawansowane. Co prawda te gwarancje byłyby raczej papierowe, bo to, co Unia Europejska wpisze do swojego prawa, nie wpływa automatycznie na zagraniczne przepisy, takie jak FISAA. Jednak nawet to się nie udało. Z relacji brukselskich urzędników i dokumentów, jakie wyciekły do mediów, wynika, że zadziałała dyplomatyczna presja USA.

>>> Czytaj również: Ochrona danych osobowych: Amerykański wywiad przyznaje, że używał PRISM

Podobnie jak w Polsce – to, że wszyscy widzą problem, niekoniecznie pomaga w znalezieniu rozwiązania. Potrzebna jest jeszcze wola polityczna. Afera, jaka wybuchła po ujawnieniu szczegółów programu PRISM, niewiele wnosi do naszej wiedzy o skali i celach inwigilacji. Amerykańskie firmy zgodnie podważają rewelacje Snowdena i zapewniają, że „bezpośredniego dostępu do serwerów” nikomu nie dają. Komisarz ds. praw podstawowych Viviane Reding zadała amerykańskiemu prokuratorowi generalnemu siedem pytań, na które oczekuje „szybkich i konkretnych odpowiedzi”. Jeśli je dostanie, dowiemy się, czy rzeczywiście to, co mogą amerykańskie służby, jest powodem do większego niepokoju niż sytuacja, z jaką mierzymy się w Polsce.

Już dziś jedno jest jednak pewne: ktokolwiek chce się zabrać do ujarzmiania Wielkiego Brata, musi myśleć o tym zadaniu globalnie. Nie ma sensu rozmowa o uprawnieniach polskich służb w oderwaniu od tego, jakie uprawnienia mają agencje wywiadowcze naszych politycznych sojuszników – tak jak nie ma sensu rozmowa o ochronie danych osobowych w Europie bez dyskusji o amerykańskich standardach i obowiązkach globalnych internetowych korporacji. Sztuczne oddzielenie gwarancji dotyczących zbierania i przetwarzania danych przez komercyjne firmy od przepisów, które dają dostęp do tych danych organom egzekwowania prawa, ma bardzo krótkie nogi. Sytuacja, w której ABW zwraca się z prośbą do amerykańskiego odpowiednika o „sprawdzenie” danych polskiego obywatela na serwerze amerykańskiej firmy, nie wydaje się przecież nieprawdopodobna.

Zagrożenia dla naszej prywatności, podobnie jak internet, już dawno przekroczyły granice. To samo muszą zrobić twórcy nowych gwarancji prawnych, jeśli te mają być mocniejsze niż papier. Komentując sprawę PRISM, celnie podsumowała to rzeczniczka Komisji Europejskiej, Mina Andreeva: „Bezpieczeństwo narodowe to sprawa państw członkowskich, jednak ta sprawa pokazała nam, że jasne ramy prawne dotyczące ochrony danych osobowych nie są luksusem ani ograniczeniem, to po prostu nasze fundamentalne prawo.”