Przyjęta nowelizacja kilku ustaw zakłada, że kontrola operacyjna będzie mogła trwać maksymalnie 18 miesięcy (poprzednio obowiązujące przepisy tego nie określały). Przez ten czas służby specjalne będą uprawnione – po uzyskaniu zgody sądu – do podsłuchiwania osób objętych śledztwem, sprawdzania ich korespondencji oraz danych zapisanych na nośnikach cyfrowych.
Operatorzy sieci oraz dostawcy usług telekomunikacyjnych są zobowiązani do gromadzenia i przetrzymywania danych wszystkich klientów przez 12 miesięcy. Dotyczy to danych internetowych i telekomunikacyjnych niezawierających treści (billingi, ale już nie treść połączeń; liczba, nadawcy i adresaci SMS-ów, ale nie ich treść).
Nowa ustawa zawiera pojęcie „danych internetowych”, czyli wszystkich informacji przechowywanych przez strony internetowe w celu identyfikacji użytkowników. Może to być imię i nazwisko, adres e-mail, numer IP, czas logowania, tytuły ściąganych plików, lecz także PESEL i numer dowodu osobistego.
Służby mogą uzyskać dostęp do danych internetowych „w celu zapobiegania lub wykrywania przestępstw albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych”. To znacznie szersze pojęcie niż poprzednio obowiązujące, które stanowiło, że dane mogą być pozyskiwane jedynie na „potrzeby prowadzonych postępowań”.
Służby zostały poddane kontroli następczej (po zakończeniu postępowania). Co pół roku muszą składać sprawozdania, dotyczące wykorzystania danych internetowych i telekomunikacyjnych do właściwego sądu okręgowego. Sprawozdania powinny zawierać: informacje o liczbie i rodzaju pozyskanych danych oraz kwalifikacje prawne czynów, na podstawie których o nie wystąpiono. Sprawozdania nie są jawne.
Nowelizację skrytykowała opozycja, organizacje pozarządowe. Rzecznik Prawa Obywatelskich zapowiedział zaskarżenie jej do Trybunału Konstytucyjnego.
Jędrzej Kmieć