Wielu spośród małych i średnich operatorów proszonych było o udzielenie pomocy Policji oraz innym służbom państwowym, takim jak Agencja Bezpieczeństwa Wewnętrznego, Centralne Biuro Śledcze czy Centralne Biuro Antykorupcyjne. Dziś, w czasach nasilonego działanie cyberprzestępców, szczególnie ważna jest weryfikacja tego, kto rzeczywiście się z nami kontaktuje.
Na podstawie obowiązującej ustawy o Policji, instytucja ta ma prawo żądania pomocy od przedsiębiorców prowadzących działalność w zakresie użyteczności publicznej. Do tej kategorii zaliczają się także operatorzy telekomunikacyjni. Co więcej, przedsiębiorcy ci zobowiązani są do udzielenia tej pomocy w zakresie swojego działania. Naturalnym – i wskazanym wprost w ustawie – ograniczeniem takiej pomocy są oczywiście obowiązujące przepisy prawa. Nic więc dziwnego, że Policja, a także inne instytucje (CBŚ, CBA, ABW) regularnie korzystają z pomocy operatorów, szczególnie w zakresie pozyskania danych osobowych klientów posługujących się konkretnym adresem IP.
– Policja i inne służby mają prawo pytać, a operator wszelkie podstawy by z nimi współpracować, udzielić odpowiedzi i udostępnić informacji, o które został poproszony – podkreśla Marcin Zemła ze spółki Informatics z Jaworzna, współpracującej przy projekcie MiŚOT dla Security. – Równie ważne w tej sytuacji jest jednak także podstawowe uprawnienie każdego przedsiębiorcy; identyfikacja osoby, która zwraca się z żądaniem udzielenia pomocy.
Spisać Policję
Zwracając się do przedsiębiorców i organizacji społecznych o niezbędną pomoc, a w nagłych wypadkach do każdej osoby o udzielenie doraźnej pomocy (wciąż tylko i wyłącznie w ramach obowiązujących przepisów prawa), policjant ma obowiązek wylegitymowania się. Oznacza to podanie imienia, nazwiska, stopnia służbowego.
Wynika to rozporządzenia Rady Ministrów w sprawie postępowania przy wykonywaniu niektórych uprawnień policjantów. Czytamy w nim, że policjant, który przystępuje do czynności służbowych związanych z wykonywaniem swoich uprawnień podaje swój stopień oraz imię i nazwisko. Musi tego dokonać w sposób umożliwiający odnotowanie tych danych. Ponadto funkcjonariusz zobowiązany jest podać przyczynę podjęcia czynności służbowych, a na żądanie osoby, wobec której jest prowadzona czynność, podaje podstawę prawną podjęcia tej czynności. Policjant nieumundurowany przy wykonywaniu uprawnień, o których mowa wyżej, okazuje legitymację służbową, a na żądanie osoby, wobec której podjęto wykonywanie tych uprawnień, okazuje ją w sposób umożliwiający odnotowanie danych w niej zawartych.
W przypadku zwracania się o pomoc do operatora telekomunikacyjnego w ustaleniu danych osobowych funkcjonariusz powinien też wskazać pisemnie z czyjego działa upoważnienia i o jakie konkretnie dane występuje.
Teoria i praktyka
– W praktyce często zdarza się nam konsultować sytuacje, w których pisma skierowane przez Policję do operatorów nie spełniają wymogów formalnych – przyznaje Marcin Zemła. – Podchodzimy do nich różnie. Gdy na przykład dobrze znany operatorowi funkcjonariusz od lat zajmujący się określonymi przestępstwami, z oszczędności czasu, prosi nas o pomoc mailem, nie widzę powodu by oponować.
Zdarzają się jednak sytuacje, w których przedstawiciele określonych służb całkowicie bezzasadnie dokonują przekroczenia przysługujących im uprawnień. Znany jest redakcji przypadek, gdy osoba dysponująca legitymacją jednej ze służb i faktycznie w niej pracująca, domagała się dostępu do informacji bez upoważnienia zwierzchnika. Sposób jej zachowania, a w szczególności nie podanie nazwiska i stopnia, wzbudził czujność przedstawiciela operatora. Ostatecznie okazało się, że funkcjonariuszka zaniedbała pewnych czynności i chciała je niezwłocznie nadrobić w sposób niezgodny z obowiązującymi ją procedurami.
– Bardzo ważne z punktu widzenia operatora jest jednak by nie przekazywać danych osobowych klientów osobom, które nie są do tego upoważnione – podkreśla Marcin Zemła. – Należy w związku z tym stworzyć i ściśle przestrzegać wewnętrznych procedur dostępu do takich danych i udostępniania ich.
W kontakcie z Policją, ABW, CBA, CBŚ i innymi służbami zachowajmy też daleko idącą ostrożność. Pamiętajmy też, że dość łatwo możemy narazić się na odpowiedzialność karną.
– Anegdotyczna w środowisku jest niefrasobliwość jednego z operatorów, który otrzymał z Policji pospiesznie przygotowane pismo z ewidentnymi błędami – wspomina Marcin Zemła. – Uznał to za zabawne, więc podzielił się nim w zamkniętej (na szczęście!) grupie na Facebooku. Zainterweniowaliśmy praktycznie natychmiast ponieważ zachowanie to mogłoby zostać uznane za naruszenie tajemnicy śledztwa – dodaje.
Do tematu udostępniania przez operatorów informacji Policji powrócimy jeszcze zarówno na łamach ISPortalu, jak i magazynu ICT Professional.