Pegasus jest sprzeczny z polskim prawem? Miażdżąca ekspertyza prawników
Prawnicy z Krakowskiego Instytutu Prawa Karnego zbadali, czy i jak system inwigilacyjny Pegasus może być użytkowany przez polskie służby. Ich ekspertyza wskazuje jasno: już sam sposób funkcjonowania Pegasusa sprawia, że w świetle polskiego prawa nie można go legalnie używać. Ale autorzy raportu wskazali też szereg innych zastrzeżeń.
Od czasu, gdy w grudniu 2021 roku wybuchła afera inwigilacyjna, system Pegasus nie schodzi z nagłówków. Jak do tej pory ustalili eksperci z kanadyjskiego ośrodka badawczego Citizen Lab, służby specjalne użyły go, by włamać się do telefonów prawnika Romana Giertycha, prokurator Ewy Wrzosek, senatora KO Krzysztofa Brejzy, a także lidera AgroUnii Michała Kołodziejczaka. Wciąż pojawiają się doniesienia o kolejnych domniemanych "ofiarach" Pegasusa.
Tymczasem eksperci z Krakowskiego Instytutu Prawa Karnego przeanalizowali, czy i kiedy zastosowanie systemu izraelskiej NSO Group jest legalne w świetle polskiego prawa. Oto najważniejsze wnioski z ich ekspertyzy.
Pegasus nie może być legalnie stosowany w Polsce
Eksperci z KPIK wskazują, że program Pegasus, używa "rozproszonej geograficznie sieci połączeń transferujących dane od atakowanego urządzenia", czyli np. zhakowanego telefonu, "do miejsca lokalizacji serwera danej instancji (np. siedziby CBA), także poza obszar Rzeczypospolitej". I podają przykład: "jeśli zaatakowane urządzenie końcowe znajduje się w Szczecinie, a serwer CBA w Warszawie, to całość danych z telefonu przekazana zostanie np. do Londynu, potem np. do San Francisco, następnie do np. Kairu i dopiero z powrotem do Warszawy". Poza tym, jak podają eksperci, "będące w gestii NSO zewnętrzne serwery można wyposażyć w oprogramowanie, które transmitowane dane przesyłałoby również do siedziby samego NSO" w Izraelu.
To, zdaniem prawników, powoduje, że Pegasus nie może być stosowany na gruncie polskiego prawa. Dlaczego? Ponieważ, jak czytamy w dokumencie, "pozyskane w toku kontroli operacyjnej dane pozostają pod szczególną ochroną określoną w ustawie o ochronie informacji niejawnych (...) i jako takie nie mogą być bez określonej w prawie kompetencji przekazywane osobom trzecim, nieuprawnionym do dostępu czy przetwarzania informacji objętych klauzulą tajności". Jak zaznaczyli eksperci "niedopuszczalne jest pozyskiwanie tak głęboko ingerujących w prawo do prywatności informacji w ramach kontroli operacyjnej, którym nie zostanie nadana stosowna klauzula poufności i będą one w konsekwencji, w sposób niekontrolowany, dostępne dla osób postronnych zwłaszcza, jeśli ich pozyskiwanie odbywać się będzie przez nieakredytowane systemy teleinformatyczne".
Nie można używać mikrofonu i kamery
Jak wiemy, Pegasus umożliwia także, po przejęciu kontroli nad telefonem lub komputerem, korzystanie z zainstalowanych w nim mikrofonu czy kamer, co pozwala służbom nagrywać rozmowy prowadzone wokół urządzenia. To także, jak podkreślają eksperci KPIK, jest sprzeczne z przepisami polskiego prawa. Dlaczego? Ponieważ służby nie mogą "aktywnie wykorzystywać funkcjonalności systemu informatycznego lub urządzenia końcowego w celu agregowania danych nie znajdujących się w systemie informatycznym objętym kontrolą w wyniku aktywności użytkownika tego systemu bądź na skutek jego indywidualnej konfiguracji". Słowem, mogą jedynie korzystać z danych już zastanych na kontrolowanym urządzeniu, czyli wytworzonych przez obiekt inwigilacji.
Nie można pobierać danych
W ekspertyzie KPIK jasno stwierdzono, że "w obecnym stanie prawnym inwigilujący nie może uzyskać kontroli nad cudzym urządzeniem elektronicznym ani robić z pamięcią urządzenie nic więcej ponad to, co czyni sam użytkownik (nie może inicjować zdarzeń systemowych ani interakcji z innymi systemami/programami)". W związku z tym sprzeczne z prawem jest także pobieranie przez służby danych dostępowych (haseł/kluczy) z telefonu inwigilowanego, by zalogować się na jego konto mailowe, profil w mediach społecznościowych lub konto w banku. Nie można, jak ujęli to autorzy ekspertyzy, "przeglądać i pobierać danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych (haseł/kluczy)".
Bezużyteczne dowody
Prawnicy z KPIK podkreślają, że ponieważ stosowanie Pegasusa jest w świetle polskiego prawa niedozwolone, zatem wszystkie dowody, zgormadzone przy jego pomocy, nie mogą być wykorzystane w procesie karnym.
Po wszystkim powinni poinformować
Wreszcie, jak podkreślają autorzy ekspertyzy, po zakończeniu kontroli operacyjnej osoba kontrolowana powinna być o niej poinformowana. Na przykład po to, by móc wnieść zażalenie do niezależnego organu kontroli służb. Mówi o tym wyrok TK, K 23/11, w którym napisano:
"Niejawne pozyskiwanie przez organy władzy publicznej informacji o jednostce wymaga zachowania daleko idących gwarancji proceduralnych. Przede wszystkim ma istnieć obowiązek poinformowania jednostki o podjętych wobec niej działaniach operacyjno-rozpoznawczych oraz pozyskaniu informacji na jej temat, i to bez względu na to, czy były to osoby podejrzane o naruszenie prawa, czy osoby postronne, które przypadkowo stały się obiektem kontroli. (…) Zaniechanie poinformowania o zebraniu o jednostkach informacji przez władze publiczne samo w sobie stanowi naruszenie art. 51 ust. 3 i 4 Konstytucji."