1. Wstęp

Gromadzenie i archiwizowanie danych o ruchu w sieciach telekomunikacyjnych dla potrzeb

organów _ścigania i służb specjalnych jest koncepcją kontrowersyjną. Wg

jednych - stanowi głęboką ingerencję w sferę praw i wolności obywatelskich,

która narusza utrwalone w Europie standardy ochrony praw człowieka. Wg

drugich – jest niezbędnym warunkiem bezpieczeństwa publicznego w erze

społeczeństwa informacyjnego i globalnego zagrożenia terroryzmem. W opinii

trzecich – to kosztowne i nieefektywne narządzie, którego wprowadzenie może

przyczynić się nie tyle do podniesienia poziomu bezpieczeństwa obywateli, co

poziomu cen usług telekomunikacyjnych.

 

W założeniu, retencja danych ma zapewnić policji pełną kontrolę nad

wirtualnymi interakcjami użytkowników sieci. Pozwala bowiem, nawet po

upływie długiego czasu, dotrzeć do ”elektronicznych śladów” popełnionego

przestępstwa, którymi mogą okazać się dane ruchowe - generowane w toku

normalnej działalności gospodarczej przez operatorów telekomunikacyjnych

lub dostawców dostępu do Internetu i zazwyczaj po upływie stosunkowo

krótkiego czasu - usuwane z pamięci komputerów. Zatrzymanie danych obliguje

dostawców dostępu do Internetu i dostawców usług internetowych do

rutynowego rejestrowania i archiwizowania danych ruchowych przechodzących

przez ich serwery, ze wzglądu na potencjalną przydatność takich informacji dla

organów zajmujących się ściganiem przestępstw. Jest to więc rozwiązanie, które

z różnych powodów budzi obawy zarówno dostawców internetowych (problem

kosztów i wizerunku firmy), jak i zastrzeżenia organizacji i instytucji

odpowiedzialnych za ochronę danych osobowych (groźba naruszenia poufności

danych i możliwość inwigilowania kontaktów międzyludzkich w skali

masowej).

Retencja danych, niezależnie od toczących się na jej temat sporów i

prowadzonych aktualnie przez Komisję Europejską konsultacji  jest instytucją,

która zyskała w niektórych krajach uznanie polityków i poparcie parlamentów,

a w konsekwencji - status prawny.

W Belgii wprowadzono ją ustawą z 28 listopada 2000 r. o przestępstwach

komputerowych, która zobowiązała pod groźba odpowiedzialności karnej

operatorów sieci i dostawców usług telekomunikacyjnych do przechowywania

przez okres co najmniej 12 miesięcy danych o połączeniach lokalnych i

dokonywanych z obszaru Unii Europejskiej. Obowiązek ten nałożono na

wszelkie kategorie operatorów, zarówno sieci publicznych, jak i prywatnych, w

tym intranetów poszczególnych instytucji i organizacji, bez wzglądu na typ

sieci (kablowe, radiowe, telefonii mobilnej, satelitarnej itd.). Do szeroko

zdefiniowanej kategorii „dostawców usług telekomunikacyjnych” zaliczono nie

tylko dostawców usług i aplikacji internetowych (dostawcy dostępu, usług

informacyjnych, wyszukiwarek, portali, list dyskusyjnych), lecz również

podmioty świadczące usługi o wartości dodanej, np. w zakresie kryptografii,

bankowości internetowej, nie wyłączając właścicieli cyberkawiarni i

administratorów anonimowych remailerów.

Retencję danych „komunikacyjnych” przewiduje brytyjska ustawa z 2001 r. o

przeciwdziałaniu terroryzmowi, przestępczości i bezpieczeństwie, która

upoważniła Ministra Spraw Wewnętrznych do wydania szczegółowych regulacji

w tym względzie, w szczególności - zbioru zasad (code of practice)

dobrowolnego zatrzymywania danych komunikacyjnych przez dostawców

usług. Opracowany przez Home Office kodeks praktyki określa rodzaje danych

komunikacyjnych, które dzieli na trzy kategorie (dane identyfikujące

subskrybentów, dane dotyczące ruchu oraz dane o korzystaniu z usług).

Precyzuje też czas przechowywania poszczególnych rodzajów danych

komunikacyjnych przez dostawców usług (np. dane dotyczące abonenta i dane o

połączeniach telefonicznych – 12 miesięcy, dane dotyczące SMS, EMS, e-mail,

logi ISP – 6 miesięcy, logi serwerów proxy – 4 dni).

 

2. Ewolucja regulacji prawnej w Polsce

 

Równie szczegółowych regulacji w omawianym zakresie polskie prawo nie

zawiera. Zamiast jasnych, nie budzących wątpliwości interpretacyjnych

przepisów określających „kto?”, „co?” i „w jaki sposób?” ma przechowywać,

dysponujemy ogólnymi, nie w pełni spójnymi ze sobą unormowaniami, z

których nie łatwo wywieść jednoznaczne odpowiedzi na wyżej postawione

pytania.

Źródłem trudności interpretacyjnych jest m.in. metoda wprowadzenia do

polskiego prawodawstwa instytucji retencji danych. Nie dokonano tego od razu

„frontowymi drzwiami”, tj. w drodze odpowiednich zmian ustawodawczych,

lecz wykorzystano w tym celu (z naruszeniem, jak się wydaje, art. 49

Konstytucji RP) akty podstawowe. Genezy omawianej instytucji można

szukać w projekcie rozporządzenia Ministerstwa Spraw Wewnętrznych i

Administracji z grudnia 2000 r. w sprawie szczegółowych wymagań i sposobu

wykonywania przez operatorów zadań na rzecz obronności, bezpieczeństwa

państwa oraz bezpieczeństwa i porządku publicznego, który przewidywał

„ciągłe” monitorowanie użytkowników sieci telekomunikacyjnych, w tym

Internetu. Projekt tego rozporządzenia wywołał falę krytyki, w wyniku której

MSWiA wycofało się z jego popierania.

Instytucja retencji danych wprowadzona jednak została do systemu prawnego

„kuchennymi drzwiami” przez inny resort. Pojawiła się ona w obowiązującym

do dziś rozporządzeniu, które wydał Minister Infrastruktury w styczniu 2003

r. Ten akt wykonawczy do nieobowiązującej już ustawy – Prawo

telekomunikacyjne z 2000 roku, nakłada na operatorów m.in. obowiązek

zapewnienia „uprawnionym podmiotom” dostępu do posiadanych przez

operatorów danych „z ostatnich 12 miesięcy” ( § 5 pkt 7). Tym samym,

rozporządzenie zobowiązuje operatorów do przechowywania - na potrzeby

organów ścigania i bezpieczeństwa publicznego - danych „związanych ze

świadczoną usługą” (§ 2 ust. 1 pkt 1 rozporządzenia) przez okres 12 miesięcy,

od chwili powstania danych.

Obecnie retencja danych jest instytucją prawną o charakterze ustawowym.

Uzyskała ten status na mocy przepisów nowego prawa telekomunikacyjnego.

Zgodnie z art. 165 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne

(dalej: Ustawa), operatorzy publicznych sieci telekomunikacyjnych oraz

dostawcy publicznie dostępnych usług telekomunikacyjnych są obowiązani („z

uwagi na realizację przez uprawnione organy zadań i obowiązków na rzecz

obronności, bezpieczeństwa państwa i porządku publicznego”) do

przechowywania przez okres 12 miesięcy przetwarzanych przez te podmioty

danych transmisyjnych dotyczących abonentów i użytkowników końcowych .

Aktualnie mamy więc do czynienia z sytuacją, w której dwa akty prawne –

rozporządzenie i ustawa regulują tą samą instytucją w niejednolity sposób.

Zakres tej regulacji - z wyjątkiem okresu retencji danych, który w obu

przypadkach wynosi 12 miesięcy – wykazuje bowiem różnice, które dotyczą

zarówno rodzajów danych podlegających zatrzymaniu, jak i podmiotów do tego

zobowiązanych.

 

3. Przedmiot retencji

 

Na podstawie rozporządzenia Ministra Infrastruktury, 12-miesięczne

zatrzymanie danych przez operatora dotyczy trzech kategorii informacji

będących w jego posiadaniu: 1) danych identyfikujących abonentów,

użytkowników i zakończenia sieci telekomunikacyjnych, 2) danych

dotyczących faktu, okoliczności i rodzaju połączenia oraz prób uzyskania

połączenia między określonymi zakończeniami sieci telekomunikacyjnych; 3)

danych identyfikujących zaskoczenia sieci telekomunikacyjnych, miedzy

którymi wykonano połączenie, w tym połączenie konferencyjne, oraz

lokalizacje tych zakończeń. Chodzi zatem o informacje stanowiące element

tajemnicy telekomunikacyjnej w rozumieniu art. 67 ustawy Prawo

telekomunikacyjne z 12 maja 2000 r.

W nowym prawie telekomunikacyjnym definicja ustawowa tajemnicy

telekomunikacyjnej (art. 159) jest bardziej syntetyczna i posługuje się pojęciem

„danych transmisyjnych”, które można uznać za ekwiwalent znaczeniowy

danych o ruchu (traffic data) i danych dotyczących lokalizacji (location data),

czyli pojęć występujących na gruncie wielu europejskich instrumentów

prawnych, w szczególności Dyrektywy 2002/58/WE z dnia 12 lipca 2002 r.

dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze

komunikacji elektronicznej (dyrektywa o prywatności i komunikacji

elektronicznej), definiującej oba te terminy.  Definicje te mają charakter

abstrakcyjny i nie nadają sie do bezpośredniego stosowania bez ich

odpowiedniej operacjonalizacji. Z uwagi na potrzeby organów stanowiących i

stosujących prawo, w Europie podejmowane są próby tworzenia pragmatycznie

zorientowanych definicji „danych o ruchu w sieci”.

Stosując kryterium funkcjonalne, do kategorii danych o ruchu, oprócz tzw.

danych bilingowych związanych z usługami telefonicznymi, zalicza się ok. 60

rodzajów danych stanowiących ślady elektroniczne, jakie pozostawiają po sobie,

w różnych miejscach sieci, użytkownicy usług telekomunikacyjnych związanych

z dostępem do Internetu. Na ogół jest to adres poczty elektronicznej, adres IP

komputera włączonego do sieci i wszelkiego typu logi. Niekiedy takie dane

nawigacyjne (ang. navigation data), takie jak URL (Unique Resource Locator)

odwiedzanych stron internetowych, oraz tzw. dane lokalizacyjne (ang. location

data), które pozwalają określić współrzędne geograficzne mobilnego terminalu,

jakim jest telefon komórkowy.

Typologie danych stanowiących potencjalny trop cyberprzestępcy bywają bardzo

rozbudowane i chociaż opierają się na różnych założeniach metodologicznych

często nawiązują do architektury sieci i protokołów komunikacyjnych TCP/IP.

Jedna z klasyfikacji - szczególnie użyteczna z punktu widzenia organów

ścigania, dzieli dane dotyczące aktywności sieciowej użytkowników Internetu

na trzy podstawowe grupy : dane zawierające treść (content), dane o ruchu

(traffic) i dane o dostępie (access). Przykładowo, wspomniane wyżej dane

nawigacyjne (URLs) oraz nagłówki wiadomości przesyłanych pocztą

elektroniczną zaliczane są do kategorii danych zawierających treść ze względu na

znajdujące się w nich informacje pochodzące od nadawcy e-maila lub

nawigującego po sieci internauty. Logi serwera WWW oraz dane adresowe email

(logi SMTP i POP 3), to wg wspomnianej typologii - klasyczne dane o

ruchu w sieci, natomiast adresy IP i logi RADIUS zaliczane są do danych

dostępowych.

W literaturze spotkać się można z opinią, że cechą większości prawnych

definicji danych o ruchu jest brak niezbędnej w tym przypadku precyzji.

Uwagą tę można również odnieść do prawa polskiego, które nawet na poziomie

przepisów wykonawczych nie daje wystarczająco dokładnych wskazówek jakie

dane podlegają retencji.

 

4. Ochrona prawna danych transmisyjnych

 

Klasyfikacje danych o ruchu mają walory poznawcze także z prawnego punktu

widzenia. Pokazują, że nie wszystkie dane przetwarzane dla celów

przekazywania komunikatów w sieciach telekomunikacyjnych są generowane

automatycznie i mają tym samym charakter czysto techniczny. Część z nich

stanowi w istocie przekazy informacji pochodzących od użytkowników. Mimo

tego dane o ruchu, które zawierają treść nie podlegają silniejszej ochronie

prawnej od danych stricte transmisyjnych, tj. generowanych automatycznie

przez system. Dane o ruchu są generalnie słabiej chronione pod względem

prawnym niż treść indywidualnych komunikatów, mimo iż nie jest to zgodne z

orzecznictwem Trybunału Praw Człowieka. Na tle porównawczym, standardy

ochrony prawnej tych danych są w Polsce szczególnie niskie na gruncie tzw.

„ustaw policyjnych”.          
Świadczy o tym mało sformalizowany sposób uzyskiwania danych o ruchu od operatorów przez funkcjonariuszy Policji, ABW

i innych służb specjalnych. Przekazanie danych transmisyjnych może nastąpić

nawet na ustne żądanie uprawnionego funkcjonariusza i w odróżnieniu od

zatrzymania np. danych informatycznych jako dowodu przestępstwa lub

przechwytywania przekazów informacji nie podlega kontroli prokuratora lub

sądu.

Trzeba jednak podkreślić, że na gruncie Ustawy dane transmisyjne podlegają

ochronie prawnej nie tylko jako element tajemnicy telekomunikacyjnej, lecz

także jako dane osobowe. Ocena taka wynika z Dyrektywy 2002/58/WE z dnia

12 lipca 2002 r. o przetwarzaniu danych osobowych i ochronie prywatności w

sektorze komunikacji elektronicznej, oraz wzorowanych na tej Dyrektywie

przepisów rozdziału 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą

elektroniczną (dalej: usude). Kategoria danych transmisyjnych (w rozumieniu

prawa telekomunikacyjnego) występuje w usude pod nazwą „danych

eksploatacyjnych” (art.18 ust.5) i jest przez tą ustawę explicite traktowana jako

dane osobowe. Okoliczność ta rodzi określone implikacje prawne (wynikające z

ogólnych zasad ochrony danych osobowych) wobec operatorów publicznych

sieci telekomunikacyjnych oraz dostawców publicznie dostępnych usług

telekomunikacyjnych. Podmioty te w ramach reżimu retencji danych

transmisyjnych stają się bowiem administratorami danych w rozumieniu art. 7

ust. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ze

wszystkimi wynikającymi z tej okoliczności konsekwencjami prawnymi i

finansowymi.

Należy dodać, że ustawa o świadczeniu usług drogą elektroniczną zobowiązuje

usługodawców jedynie do udzielania informacji o danych eksploatacyjnych

organom państwowym na potrzeby prowadzonych przez nie postępowań (art. 18

ust.6). Nie przewiduje natomiast obowiązku przechowywania przez określony

czas danych o ruchu przechodzących przez serwery ISP dla potrzeb organów

ścigania. Co więcej, ustawa ta, zgodnie z kanonem prawa europejskiego w

dziedzinie ochrony prywatności w sektorze telekomunikacyjnym, w zasadzie

zakazuje przetwarzania danych osobowych usługobiorcy po zakończeniu

korzystania z usługi (art. 19 ust.1 usude). Przewiduje jednak od tej zasady kilka

wyjątków i zezwala na przetwarzanie danych eksploatacyjnych po zakończeniu

korzystania z usługi przez usługobiorcę m.in., gdy istnieje ku temu podstawa w

odrębnej ustawie (art. 19 ust. pkt 4 usude). Czy i w jakim zakresie art. 165

prawa telekomunikacyjnego stanowi taką podstawę jest jednak kwestią otwartą.

W kontekście unormowań zawartych w obu wspomnianych wyżej ustawach nie

jest bynajmniej oczywiste „na kim” spoczywają obowiązki wynikające z art.

165 Ustawy. Można zastanawiać się nad tym, czy występujące w tym przepisie

pojecie „dostawcy publicznie dostępnych usług telekomunikacyjnych” jest

równie pojemne i rozciągliwe jak jego odpowiednik w prawie belgijskim?

 

5. Podmioty zobowiązane do retencji danych

 

Wątpliwości interpretacyjne biorą się stąd, że analizowane pojęcie nie zostało

należycie zdefiniowane w Ustawie, nie wspominając już o rozporządzeniu

Ministra Infrastruktury, które posługuje się pojęciem „operator”. Z treści art. 2

pkt 27 Ustawy wynika, że „dostawcą usług” jest „przedsiębiorca

telekomunikacyjny, uprawniony do świadczenia usług telekomunikacyjnych”.

Kluczowe znaczenie dla wykładni terminu „dostawca usług” ma zatem pojęcie

„usługi telekomunikacyjnej”. Niestety, jej definicja nie jest szczególnie jasna.

Odnośny przepis stwierdza, że jest nią „usługa polegająca głównie – (podkr.

AA) na przekazywaniu sygnałów w sieci telekomunikacyjnej”. Jednocześnie

wspomniany przepis eliminuje z zakresu usługi telekomunikacyjnej usługę

poczty elektronicznej. W tym stanie rzeczy wykładnia językowo-logiczna

tego przepisu prowadzić może do następujących wniosków. Po pierwsze - na

dostawcy usługi poczty elektronicznej nie ciąży obowiązek retencji danych

transmisyjnych, o jakim mowa w art. 165 Ustawy, gdyż nie jest on dostawcą

usługi telekomunikacyjnej. Po drugie - z obowiązku retencji danych

zwolniony jest również dostawca usługi hostingu, który nie przekazuje

sygnałów w sieci telekomunikacyjnej, lecz przechowuje dane dostarczone przez

usługobiorców. Po trzecie – nie są zobowiązane do retencji danych także inne

podmioty świadczące usługi drogą elektroniczną; istota tych usług polega

bowiem na wysyłaniu i odbieraniu danych za pomocą systemów

teleinformatycznych (warstwa aplikacji), nie zaś na przekazywaniu sygnałów

w sieci telekomunikacyjnej (warstwa transportowa).

Jeżeli przesłanki, na których opiera się powyższe rozumowanie są trafne, to

można stwierdzić, że przedsiębiorcami telekomunikacyjnymi, na których

spoczywa obowiązek retencji danych transmisyjnych są oprócz operatorów

publicznej sieci telekomunikacyjnej dostawcy publicznie dostępnych usług

telekomunikacyjnych, których świadczenie wymaga zgłoszenia. Chodzi więc o

dostawców: usług telefonicznych, transmisji danych oraz dostępu do sieci

Internet.

Jak wynika z przeprowadzonej analizy, polski model prawny retencji danych

różni się od belgijskiego głównie tym, że nie obejmuje wszystkich podmiotów

zaangażowanych w szeroko pojętą działalność telekomunikacyjną, włączając w

to wszelkie kategorie dostawców usług i aplikacji internetowych. Uzasadnia to

oczywiście pytanie, czy model ten jest racjonalny? Kwestia ta wiąże się jednak z

zasadniczym problem – racjonalności instytucji retencji danych w ogóle.

Szczegółowe omówienie tego zagadnienia wykracza poza ramy niniejszego

referatu. Spróbujmy zatem ograniczyć się do zasygnalizowania najważniejszych

argumentów podnoszonych w toczącej się obecnie w Europie dyskusji na ten

temat.

 

6. Standard unijny?

 

Impulsem do dyskusji i ogłoszonych przez Komisją Europejską konsultacji na

temat retencji danych jest projekt decyzji ramowej w tej sprawie, który został

zgłoszony przez cztery kraje członkowskie (Francję, Irlandię, Szwecję i Wielką

Brytanię) 28 kwietnia 2004 r.

W konsultacjach wzięli udział głównie przedstawiciele sektora gospodarczego

ICT (operatorzy telekomunikacyjni, ISP) oraz organizacje pozarządowe

zajmujące się ochroną praw i wolności obywatelskich. Wyniki konsultacji,

które przedstawiono na otwartym seminarium w Brukseli 21 września 2004 r.

są dość jednoznaczne. Większość z 65 otrzymanych odpowiedzi negatywnie

ocenia instytucję retencji danych i zajmuje krytyczne stanowisko wobec

projektu decyzji ramowej z 28 kwietnia 2004 r.

Podstawowe zastrzeżenia mają charakter prawny. Argumenty techniczne i

finansowe przeciwko proponowanym rozwiązaniom są jednak nie mniej istotne.

a. Zastrzeżenia prawne

Gromadzenie i przechowywanie danych stanowiących „prawdziwą kopalnią

wiedzy o życiu prywatnym i zawodowym użytkowników sieci

telekomunikacyjnych” dla potrzeb ewentualnych postępowań karnych jest

uznawane za nielegalne. Narusza bowiem zasadę proporcjonalności ingerencji

państwa w prawa i wolności obywatelskie, gwarantowane przez Europejską

Konwencję Praw Człowieka (art. 8) oraz ustawy zasadnicze większości krajów

europejskich, w tym Konstytucję RP (art. 31 ust. 3). Trzeba w związku z tym

przypomnieć, że na naruszenie zasady proporcjonalności - w odniesieniu do

nadmiernego gromadzenia informacji o obywatelach - powołuje się

uzasadnienie wyroku Trybunału Konstytucyjnego z dnia 20 listopada 2002 r.,

który za niezgodne z konstytucją uznał „nałożenie na obywateli powszechnego

obowiązku ujawniania majątku w deklaracjach podatkowych” przez ustawą z

dnia 26 września 2002 r. o jednorazowym opodatkowaniu nieujawnionego

dochodu oraz o zmianie ustawy – Ordynacja podatkowa i ustawy – Kodeks

karny skarbowy (zawetowaną przez Prezydenta RP i uchyloną następnie

wspomnianym Wyrokiem Trybunału Konstytucyjnego).

Alternatywnym dla retencji danych i zgodnym z zasadą proporcjonalności

rozwiązaniem, które uwzględnia m.in. Konwencja Rady Europy o

cyberprzestępczości oraz znowelizowane niedawno przepisy kodeksu

postępowania karnego, jest instytucja „zabezpieczenia danych” (preservation of

data).

Dotyczy ona danych, które aktualnie znajdują się w dyspozycji operatora sieci

lub dostawcy usług (tzw. dane historyczne) i polega „zamrożeniu” na żądanie

uprawnionego organu przez administratora systemu (w tym IAP i ISP)

określonych danych, znajdujących się w posiadaniu lub pod kontrolą osoby,

której taki nakaz dotyczy. Zakres stosowania omawianego środka jest

ograniczony do postępowań toczących się w konkretnych sprawach i określa

górną granicą czasu zabezpieczenia danych na nie więcej niż 90 dni, z

możliwością przedłużenia tego okresu w uzasadnionych przypadkach.

„Zabezpieczenie danych” jest środkiem mniej dolegliwym finansowo i

organizacyjnie dla dostawców internetowych niż „zatrzymanie danych”.

Stanowi też mniejsze zagrożenie dla praw i wolności obywatelskich niż

alternatywny z omawianych środków. Z obu tych względów „zabezpieczenie

danych” jest uznawane za wyraz racjonalnego kompromisu pomiędzy interesem

wymiaru sprawiedliwości a poszanowaniem praw i wolności obywatelskich nie

tylko w oficjalnych dokumentach Rady Europy, lecz także stowarzyszeń

operatorów telekomunikacyjnych.

b. Wątpliwości praktyczne

Operatorzy, w odróżnieniu od „lobby bezpieczeństwa publicznego”, dysponują

na poparcie zajmowanego w tej sprawie stanowiska przekonywującymi

dowodami, z których wynika, że kosztowe przechowywanie gigantycznych

ilości danych o ruchu w sieci przez okres 12, 36, czy nawet 60 miesięcy

(Włochy) jest w gruncie rzeczy niepotrzebne policji. W praktyce nie zdarza się

bowiem, by policja żądała od operatorów danych za okres dłuższy niż trzy

miesiące. Nawet po zamachu bombowym na metro w Madrycie w marcu 2004

r., policja zwróciła się do operatora telekomunikacyjnego o dostarczenie danych

za okres grudzień 2003 – marzec 2004.

Zwraca się również uwagę, że instytucja retencji danych, oficjalnie uzasadniana

potrzebą skutecznej walki z przestępczością zorganizowaną i terroryzmem nie

będzie spełniać pokładanych w niej oczekiwań. Ze względu chociażby na

właściwości technologii trudno zakładać, że zatrzymanie danych będzie

stanowić jakiś poważny problem dla osób zaangażowanych w poważną

działalność przestępczość lub terroryzm. Zarówno bowiem systemy wymiany

plików (p2p) jak i poczta webowa, używana jako „skrzynka kontaktowa”,

pozwalają obejść system kontroli danych o ruchu, co w konsekwencji niweczy

cel tej instytucji.

 

Wszystko to sprawia, że w chwili obecnej trudno prognozować jakie będą

dalsze losy instytucji retencji danych oraz związanego z nią projektu decyzji

ramowej z 28 kwietnia 2004 r. Można natomiast stwierdzić, że niezależnie od

tego, czy zatrzymanie danych stanie się standardem unijnym czy nie, aktualna

polska regulacja prawna w tym względzie wymaga gruntownych zmian.

Odbiega ona bowiem wyraźnie od wszelkich standardów.