Rok pełnego śledzenia każdego użytkownika nadchodzi. Europa testuje granice prywatności

W europejskich stolicach trwa intensywna debata nad dokumentem Rady UE, który krąży pomiędzy państwami członkowskimi i ponownie otwiera najbardziej drażliwy spór w historii unijnych regulacji dotyczących prywatności.

Rządy dyskutują nad planem zobowiązania dostawców usług online do przechowywania ogromnych ilości danych użytkowników przez okres nawet jednego roku. Projekt obejmuje nie tylko operatorów telekomunikacyjnych. Zgodnie z założeniami objąłby praktycznie cały cyfrowy ekosystem: platformy chmurowe, dostawców hostingu domen, firmy obsługujące płatności internetowe, a także komunikatory z szyfrowaniem end-to-end, w tym WhatsApp i Signal.

Rządy chcą gromadzenia informacji kto kontaktował się z kim, z jakiego miejsca, w jakim czasie i za pośrednictwem jakiej usługi przez okres nawet jednego roku. 

Urzędnicy zapewniają w dokumencie, że nie zamierzają ingerować w szyfrowanie ani uzyskiwać dostępu do treści komunikacji. Zapowiadają koncentrację na metadanych, czyli informacjach o tym, kto kontaktował się z kim, z jakiego miejsca, w jakim czasie i za pośrednictwem jakiej usługi. Charakter tych danych pozwala odtwarzać pełne schematy aktywności oraz relacji społecznych użytkowników.

Próba odejścia od wyroków Trybunału

W przeszłości unijne i krajowe programy retencji danych były konsekwentnie odrzucane przez Trybunał Sprawiedliwości UE i krajowe sądy. Uznano je za niezgodne z prawem, ponieważ nakładały obowiązek gromadzenia informacji o wszystkich użytkownikach bez podziału na sytuacje wymagające interwencji. Wyroki wymagały ograniczenia zakresu i precyzyjnego określenia celów. Mimo tego nowa propozycja poszerza zakres retencji, zamiast skupiać się na działaniach ściśle ukierunkowanych.

Rząd Niemiec rozważał wariant zakładający przechowywanie przez kilka miesięcy wyłącznie adresów IP i numerów portów. Dokument Rady wskazuje jednak, że zdecydowana większość państw członkowskich lobbuje za bardziej rozbudowaną wersją obejmującą większy katalog danych oraz dłuższy okres retencji.

Rozszerzanie katalogu podmiotów i gromadzonych informacji

Projekt zakłada objęcie obowiązkiem retencji jak największej liczby usług internetowych. Wśród wymienianych znajdują się dostawcy VPN, hostingi, platformy handlu kryptowalutami, usługi gamingowe, serwisy przewozu osób oraz pośrednicy e-commerce. Oznaczałoby to, że niemal każda firma pośrednicząca w kontaktach online stałaby się częścią państwowego systemu archiwizacji danych.

Choć część urzędników deklaruje skupienie się na danych abonentów, wiele rządów domaga się znacznie szerszego zakresu retencji. W dokumencie pojawiają się propozycje zbierania numerów seryjnych urządzeń oraz danych o połączeniach komunikacyjnych określających szczegóły kontaktów między użytkownikami. Ten zakres przypomina obowiązki narzucone w unijnej dyrektywie z 2006 roku, która nakazywała rejestrowanie wszystkich rozmów telefonicznych i wiadomości.

Powrót do śledzenia lokalizacji

W dokumencie pojawia się również wątek rejestrowania danych o lokalizacji. Sieci komórkowe zapisują informacje o miejscu logowania telefonu, co pozwala śledzić ruchy użytkownika prawie w czasie rzeczywistym. Zwolennicy takiego rozwiązania wskazują na możliwość wykorzystania go podczas poszukiwania zaginionych osób. Sam dokument przyznaje jednak, że nie każdy przypadek zaginięcia wiąże się z przestępstwem. Mimo to część państw domaga się domyślnego gromadzenia tych danych o całej populacji.

Spór o czas przechowywania

Historycznie ramy EU ograniczały retencję do około pół roku. Obecny projekt niemal podwaja ten okres. Większość państw naciska na minimum roczne, a część z nich chce, by Bruksela określiła jedynie dolną granicę, bez wyznaczania górnego limitu. Stanowiłoby to potencjalnie nieograniczone przedłużanie przechowywania danych przez organy krajowe.

Kontrastuje to z wcześniejszymi ocenami organów ścigania. Federalny Urząd Kryminalny Niemiec podkreślał, że dla większości dochodzeń wystarczający byłby okres dwóch lub trzech tygodni. Unijny projekt odchodzi od tych ustaleń, nie przedstawiając wyjaśnienia, dlaczego wcześniejsze oceny mają zostać pominięte.

Ryzyko codziennego wykorzystania danych

Nowy system zakłada, że każde państwo członkowskie będzie samodzielnie definiować, jakie czyny będą uznawane za „poważne” przestępstwa. Ta konstrukcja otwiera drogę do wykorzystywania danych retencyjnych w dochodzeniach dotyczących nękania, mowy nienawiści oraz innych działań objętych rosnącymi regulacjami dotyczącymi treści. Dokument nie wyjaśnia, w jaki sposób system ma spełniać wymogi wcześniejszych wyroków TSUE, które zakazywały traktowania wszystkich użytkowników jako potencjalnych podejrzanych.

Wskazywana jest potrzeba ponownej oceny proporcjonalności retencji w świetle zmian technologicznych. W praktyce oznacza to dążenie do reinterpretacji granic prawnych, a nie do ich respektowania.

Harmonogram i możliwe konsekwencje

Komisja Europejska zakończyła już wstępne analizy oraz konsultacje społeczne. Ocena skutków powinna zostać opublikowana na początku 2026 roku, a projekt legislacyjny ma pojawić się w pierwszej połowie tego samego roku. Jeśli plan zostanie przyjęty, Europa może stać się ponownie obszarem masowej retencji danych. Dla użytkowników oznaczałoby to, że ich aktywność online, kontakty, używane aplikacje i lokalizacje byłyby przechowywane co najmniej przez rok, a organy państwowe uzyskałyby dostęp do tych informacji podczas postępowań.