Soft inwigilacja bez powiadomienia. Państwo widzi metadane, obywatel nie widzi państwa.

Największym problemem nie jest sama możliwość korzystania przez państwo z metadanych w poważnych sprawach. Problemem jest system, w którym dane o życiu człowieka można pozyskiwać bez realnej uprzedniej kontroli, bez późniejszego powiadomienia i bez przejrzystej odpowiedzi, kiedy reforma przestanie być koncepcją, a stanie się ustawą.

RPO opublikował 1 czerwca 2026 r. aktualizację sprawy dotyczącej dostępu policji i służb do danych telekomunikacyjnych, pocztowych i internetowych. Chodzi o dane, które nie są treścią rozmowy ani wiadomości, ale potrafią powiedzieć o człowieku bardzo dużo: gdzie był telefon, z jakim numerem się łączył, kiedy urządzenie logowało się do sieci, jaki adres IP pojawiał się w komunikacji, do kogo formalnie przypisano usługę.

Rzecznik wskazuje, że takie dane mogą dostarczać organom państwa precyzyjnych informacji o życiu osoby i mogą być użyte przeciwko niej równie dotkliwie jak niejawna ingerencja w treść komunikacji. W tym sensie spór o metadane nie jest technicznym dodatkiem do debaty o podsłuchach. To osobny front walki o prywatność, bo współczesne życie zostawia ślad nawet wtedy, gdy nikt nie czyta wiadomości.

Odpowiedź MSWiA z 29 maja 2026 r. pokazuje zasadniczą sekwencję rządowego myślenia. Resort koncentruje się obecnie na projekcie ustawy o wzmocnieniu nadzoru sądowego nad kontrolą operacyjną, czyli nad bardziej klasycznym obszarem tajnych działań służb. Dopiero po zakończeniu tych prac w MSWiA mają zostać podjęte prace koncepcyjne nad kierunkami ewentualnych zmian w przepisach dotyczących pozyskiwania danych telekomunikacyjnych, pocztowych i internetowych.

Po pierwsze, wystąpienie RPO ma konkretną sygnaturę II.519.1068.2022.DC i zostało skierowane 7 kwietnia 2026 r. do wicepremiera, ministra cyfryzacji Krzysztofa Gawkowskiego, ministra sprawiedliwości i prokuratora generalnego Waldemara Żurka, ministra spraw wewnętrznych i administracji Marcina Kierwińskiego oraz ministra koordynatora służb specjalnych Tomasza Siemoniaka. RPO odwołuje się do wyroku Europejskiego Trybunału Praw Człowieka z 28 maja 2024 r. w sprawie Pietrzak i Bychawska-Siniarska i inni przeciwko Polsce.

Po drugie, Ministerstwo Cyfryzacji w odpowiedzi z 4 maja 2026 r. wskazało, że ustawa Prawo komunikacji elektronicznej przewiduje obowiązek zatrzymywania i przechowywania przez przedsiębiorców telekomunikacyjnych określonych danych przez 12 miesięcy. Resort podkreśla jednak, że PKE nie reguluje zasad udostępniania tych danych służbom - te wynikają z ustaw dotyczących uprawnionych podmiotów.

Po trzecie, MSWiA w odpowiedzi z 29 maja 2026 r. broni modelu jako ukierunkowanego i wskazuje, że nie ma możliwości dowolnego przeszukiwania baz przedsiębiorców telekomunikacyjnych. Jednocześnie resort przyznaje, że dopiero po pracach nad kontrolą operacyjną zostaną podjęte prace koncepcyjne dotyczące ewentualnych zmian w ustawach pragmatycznych służb. To nie jest harmonogram reformy. To zapowiedź rozważania reformy.

Treść rozmowy jest dla obywatela intuicyjnie wrażliwa. Każdy rozumie, że podsłuch rozmowy z lekarzem, prawnikiem, dziennikarzem, członkiem rodziny czy wspólnikiem ingeruje w prywatność. Metadane są mniej widowiskowe, więc łatwiej je zbagatelizować. To błąd. Dane o lokalizacji i ruchu potrafią pokazać rytm życia: miejsce pracy, wizyty, kontakty, przemieszczanie się, godziny aktywności, powtarzalne trasy, sieć relacji.

RPO trafnie opisuje to jako problem soft inwigilacji. Państwo nie musi słyszeć słów, by zobaczyć wzór zachowania. Nie musi czytać wiadomości, by ustalić, że ktoś regularnie kontaktował się z określoną osobą. Nie musi znać treści spotkania, by z danych lokalizacyjnych odtworzyć, że do niego doszło. W państwie cyfrowym milczące dane bywają bardziej uporczywe niż wypowiedziane zdania.

Mechanizm działania jest praktyczny. Operatorzy zatrzymują dane na podstawie przepisów. Uprawnione organy mogą występować o ich udostępnienie według zasad zapisanych w ustawach regulujących działanie służb i policji. Dostęp może następować także za pośrednictwem sieci telekomunikacyjnej, jeżeli system pozwala ustalić osobę uzyskującą dane, rodzaj danych i czas pozyskania oraz zapewnia zabezpieczenia techniczne. MSWiA podkreśla wewnętrzną rejestrowalność takich działań. RPO pyta jednak o coś więcej: o zewnętrzny nadzór, realną kontrolę, powiadamianie jednostki i granice łatwego sięgania po dane.

Władza ma mocny argument: przestępczość coraz częściej ma komponent technologiczny. Oszustwa, nękanie, cyberprzestępczość, działania z użyciem wielu kart SIM, numerów technicznych i aplikacji wymagają szybkiego odtwarzania powiązań. MSWiA wskazuje też na zmianę infrastruktury - przejście z 3G do 4G i 5G, gęstsze sieci nadajników i częstsze logowania urządzeń. Z perspektywy organów ścigania metadane mogą być narzędziem koniecznym.

Tyle że konieczność narzędzia nie rozwiązuje problemu gwarancji. W państwie prawa pytanie nie brzmi, czy służbom wolno mieć skuteczne instrumenty. Pytanie brzmi, kto pilnuje, aby instrument nie działał zbyt szeroko, zbyt łatwo i zbyt długo. RPO wskazuje, że dostęp do danych o ruchu i lokalizacji powinien być zasadniczo poprzedzony zgodą niezależnego organu, a przepisy powinny zawierać przesłanki subsydiarności, proporcjonalności i konieczności.

Najbardziej obciążające dla rządzących jest odsunięcie problemu w czasie. Skoro wyrok ETPC zapadł 28 maja 2024 r., a wystąpienie RPO z kwietnia 2026 r. pokazuje, że problem metadanych wciąż wymaga systemowej reakcji, odpowiedź 'najpierw inny projekt, potem koncepcje' brzmi jak administracyjne zwolnienie tempa tam, gdzie dotykamy fundamentalnych wolności.

Nie ma podstaw, by twierdzić, że samo pozyskiwanie metadanych przez uprawnione organy jest z definicji bezprawne. Takie uprawnienia istnieją w ustawach i służą również realnym celom bezpieczeństwa. Odpowiedzialność polityczna zaczyna się gdzie indziej: przy braku kompleksowej, terminowej i czytelnej reformy mechanizmu kontroli nad dostępem do danych.

Rządząca koalicja weszła do władzy z mocną deklaracją przywracania standardów państwa prawa. W sprawie retencji danych test jest bardzo konkretny. Nie wystarczy poprawić język komunikatów o służbach ani przesunąć akcent na sądowy nadzór nad kontrolą operacyjną. Jeżeli obywatel nadal nie dowiaduje się po czasie, że jego dane pozyskano, i jeżeli publiczne raportowanie nie pokazuje skali oraz celu takich działań, reforma pozostaje niepełna.

Ministerstwo Cyfryzacji przerzuca ciężar na ustawy sektorowe służb, MSWiA broni obecnych rygorów i zapowiada dopiero przyszłe koncepcje, Ministerstwo Sprawiedliwości wskazuje, że zasadniczy nurt sprawy pozostaje poza jego właściwością. Dla obywatela efekt jest czytelny: odpowiedzialność krąży między resortami, a system dalej działa.

Narracja administracji opiera się na dwóch słowach: skuteczność i bezpieczeństwo. To są słowa ważne, ale bardzo pojemne. Gdy państwo mówi, że musi działać szybko, obywatel zwykle słyszy, że pytania o gwarancje są przeszkodą. Tymczasem gwarancje nie są przeszkodą dla skutecznego państwa. Są zabezpieczeniem przed państwem zbyt wygodnym dla samego siebie.

Drugi element narracji to techniczne rozproszenie odpowiedzialności. Ministerstwo Cyfryzacji mówi, że Prawo komunikacji elektronicznej ma charakter uzupełniający wobec ustaw o służbach. MSWiA mówi o ustawach pragmatycznych i potrzebie działań koncepcyjnych po innym projekcie. W takim układzie obywatel nie widzi jednego gospodarza problemu. Widzi system, w którym każde ogniwo może powiedzieć, że dotyka tylko części mechanizmu.

Trzeci element to zamiana kontroli zewnętrznej na wewnętrzną rejestrowalność. Rejestr działań, identyfikacja funkcjonariusza i techniczne zabezpieczenia są potrzebne, ale nie zastępują niezależnej oceny, czy po dane należało sięgnąć. Państwo nie powinno samo sobie wystawiać najważniejszego certyfikatu ostrożności.

Dla zwykłego człowieka problem metadanych jest trudniejszy do zobaczenia niż podsłuch, bo dzieje się bez sceny, bez mikrofonu i bez poczucia naruszenia w danym momencie. Telefon loguje się do sieci, aplikacje odświeżają dane, urządzenie przemieszcza się między stacjami bazowymi. Z tych pozornie technicznych śladów powstaje mapa życia.

Jeżeli obywatel nie jest po czasie informowany, że jego dane zostały pozyskane, nie może skutecznie ocenić, czy działanie państwa było uzasadnione. Nie może złożyć skargi, nie może sprawdzić, czy doszło do nadużycia, nie może nawet wiedzieć, że powinien pytać. Prawo do prywatności bez prawa do wiedzy o ingerencji staje się prawem, którego naruszenie może nigdy nie wyjść z cienia.

Szczególnie wrażliwe są kontakty objęte tajemnicą zawodową: dziennikarską, obrończą, lekarską czy adwokacką. MSWiA wskazuje, że bez dostępu do pierwotnych danych trudno z góry ustalić, czy dana sytuacja dotyczy tajemnicy. Właśnie dlatego mechanizm gwarancji musi być mocniejszy, a nie słabszy. Jeżeli państwo dopiero po sięgnięciu po dane orientuje się, że mogło wejść w obszar chroniony, obywatel potrzebuje niezależnego hamulca.

Po pierwsze, trzeba sprawdzić, czy zapowiadane przez MSWiA prace koncepcyjne otrzymają termin, lidera i projekt założeń. Bez tego pozostaną urzędową obietnicą bez daty. Po drugie, potrzebne są publiczne dane o skali pozyskiwania metadanych w rozbiciu na kategorie: dane abonenckie, IP, dane o ruchu i lokalizacji. RPO wskazuje, że obecne raportowanie powinno pozwalać ocenić nie tylko liczbę przypadków, ale też rodzaj danych i cel sięgnięcia po nie.

Po trzecie, trzeba pilnować, czy rządowa reforma kontroli operacyjnej nie stanie się polityczną zasłoną dla braku reformy retencji danych. To są sprawy powiązane, ale nie tożsame. Można poprawić jedną procedurę i zostawić drugą w stanie, w którym obywatel nadal nie wie, kiedy państwo czyta jego cyfrowy cień.

Po czwarte, konieczna jest weryfikacja, czy projektowane rozporządzenia wykonawcze do Prawa komunikacji elektronicznej nie utrwalą technicznego dostępu bez równoczesnego domknięcia standardów kontroli i notyfikacji.

Moim zdaniem to jest jedna z tych spraw, w których państwo najchętniej mówi językiem techniki, bo technika usypia czujność. Metadane brzmią chłodno. Retencja brzmi administracyjnie. Ustawy pragmatyczne brzmią jak rzecz dla specjalistów. Ale pod tym słownikiem jest bardzo prosty obraz: państwo może sprawdzić kawałek życia człowieka, a człowiek może nigdy się o tym nie dowiedzieć.

Rządzący nie mogą traktować tej sprawy jako dodatku do większej reformy służb. Dla obywatela różnica między podsłuchem a dostępem do metadanych jest często różnicą techniczną, nie egzystencjalną. Jedno i drugie pozwala państwu wejść w prywatność. Jedno i drugie wymaga silnych zabezpieczeń. Jedno i drugie powinno mieć niezależny nadzór, rozliczalność i mechanizm późniejszej informacji, chyba że realny interes bezpieczeństwa uzasadnia wyjątek.

Najgorszy wariant to reforma etapowana tak długo, aż najtrudniejszy etap zostaje na końcu. Najpierw kontrola operacyjna, potem koncepcje, potem uzgodnienia, potem rozporządzenia, potem może ustawa. A w międzyczasie telefony nadal logują się do stacji bazowych, adresy IP nadal zostawiają ślady, a system nadal działa szybciej niż polityczna odwaga do jego ograniczenia.

Jeżeli reforma pozostanie w trybie zapowiedzi, Polska będzie dalej funkcjonować z poważnym sporem o zgodność standardu retencji danych z wymogami praw podstawowych. To może prowadzić do kolejnych interwencji RPO, sporów przed sądami, presji europejskiej i dalszego spadku zaufania do służb.

Jeżeli rząd przygotuje realną reformę, najważniejsze będą cztery elementy: rozróżnienie kategorii danych, ograniczenie łatwego dostępu do danych lokalizacyjnych i transmisyjnych, niezależna kontrola przed lub bezpośrednio po pozyskaniu danych oraz mechanizm powiadamiania obywatela po czasie tam, gdzie nie zagraża to bezpieczeństwu. Stawką nie jest odebranie służbom narzędzi. Stawką jest odebranie państwu pokusy, by narzędzia działały w półmroku. Bezpieczeństwo nie wymaga ślepoty obywatela. Wymaga mądrego nadzoru.

Władza lubi powtarzać, że nie czyta treści rozmów. Ale w epoce smartfonów to za mało. Czasem wystarczy wiedzieć, kto z kim, kiedy, skąd i jak często. Jeżeli obywatel nie dowiaduje się nawet po czasie, że państwo sięgnęło po jego cyfrowy ślad, prywatność przestaje być prawem, a staje się domysłem. A państwo prawa nie powinno opierać wolności obywatela na domyśle.