„Bruksela bierze na celownik VPN-y i planuje ich stały zakaz, bo są »barierą w dostępie do sprawiedliwości«” – te słowa pojawiły się w poście na Facebooku i zostały dalej udostępnione we wpisie na X. Chociaż niektórzy użytkownicy pod wpisem wyrażali się neutralnie, przeważały głosy krytyczne: „Preludium do wprowadzenia całkowitej cenzury”, „Welcome to USSR Bis …”, „Komuna to przedszkole w porównaniu z terrorystami (zbrodniarzami?) z UE!”, „UE musi zostać zniszczona!”. To tylko niektóre z nich.
Socjologia ilustrowana, źródło facebookowego wpisu, zamieściła w komentarzu link do raportu Grupy Wysokiego Szczebla ds. dostępu do danych na potrzeby skutecznego egzekwowania prawa (High-Level Group (HLG) on access to data for effective law enforcement) – organu doradczego UE, którego zadaniem było przedstawienie rekomendacji dalszego rozwoju polityki Unii w zakresie dostępu do danych. Czytamy więc raport i sprawdzamy, czy Unia Europejska faktycznie planuje zakazać VPN.
Post Socjologii ilustrowanej z dnia 6 sierpnia 2025 roku
W skrócie
- Informacje, że Unia Europejska planuje „stały zakaz” VPN, są fałszywe.
- Raport unijnej Grupy Wysokiego Szczebla ds. dostępu do danych na potrzeby skutecznego egzekwowania prawa dotyczy jedynie ułatwienia organom ścigania dostępu do danych w toku postępowań, a nie zakazu usług VPN.
- Żadne z obecnie planowanych przepisów nie ograniczają legalnego korzystania z wirtualnych sieci prywatnych.
- Głównym wyzwaniem pozostaje znalezienie równowagi między ochroną prywatności i cyberbezpieczeństwa a potrzebą zapewnienia śledczym dostępu do danych w uzasadnionych przypadkach.
Czym właściwie jest VPN?
Zacznijmy od tego, czym jest VPN. VPN, czyli wirtualna sieć prywatna, to usługa, która zabezpiecza ruch internetowy poprzez jego szyfrowanie i ukrywanie adresu IP, czyli numeru identyfikacyjnego nadawanego urządzeniom łączącym się z siecią. Adres IP zostaje zamieniony na adres serwera VPN, a faktyczna lokalizacja użytkownika pozostaje niewidoczna. Pozwala to na zachowanie prywatności w sieci i utrudnia zewnętrznym podmiotom śledzenie aktywności online.
Dostawcy usług VPN znają prawdziwy adres IP użytkownika, ponieważ pojawia się on w logach serwera, czyli w automatycznych zapisach aktywności użytkowników. To, czy informacje te są trwale przechowywane, zależy od polityki usługodawcy. Renomowani dostawcy VPN deklarują stosowanie polityki no-logs, czyli nie przechowują adresów IP i zapisów aktywności użytkowników.
Duże znaczenie ma tutaj jednak prawo kraju, w którym siedzibę ma dostawca VPN. Z przepisów obowiązujących pod daną jurysdykcją może wynikać np. obowiązek przechowywania danych przez określony czas. I właśnie z kwestią obowiązku przechowywania danych, a nie zakazem używania VPN, mamy do czynienia w przypadku zmian proponowanych przez wspomniany wyżej unijny zespół.
Dostęp a prywatność
Podczas nieformalnego spotkania w styczniu 2023 r. ministrowie sprawiedliwości i ministrowie spraw wewnętrznych niektórych państw członkowskich (Belgia, Czechy, Estonia, Grecja, Francja, Cypr, Łotwa, Litwa, Holandia, Polska, Słowenia i Słowacja) zwrócili uwagę na trudności organów ścigania wynikające z rozwoju technologii i ograniczeń prawnych, zwłaszcza w zakresie przechowywania i dostępu do danych. W odpowiedzi 6 czerwca 2023 roku powołano Grupę Wysokiego Szczebla ds. dostępu do danych (HLG). HLG powstało jako ciało doradcze składające się z wysokich rangą przedstawicieli państw członkowskich, Komisji, organów i agencji UE (takich jak np. Agencja Unii Europejskiej ds. Współpracy Organów Ścigania, czyli Europol) oraz koordynatora UE ds. zwalczania terroryzmu. Celem Grupy było wypracowanie długofalowej wizji skutecznego i zgodnego z prawem dostępu do informacji, uwzględniającego poszanowanie praw podstawowych i cyberbezpieczeństwa.
Eksperci HLG w raporcie końcowym z 13 marca 2025 roku stwierdzili, że do kluczowych wyzwań w kwestii dostępu do danych należą m.in. szyfrowane urządzenia i aplikacje, nowi operatorzy komunikacyjni oraz wirtualne sieci prywatne, ponieważ jako rozwiązania projektowane z myślą o prywatności i bezpieczeństwie użytkowników zapewniają ochronę również przestępcom. Autorzy raportu podkreślili, że dane cyfrowe – zwłaszcza metadane komunikacyjne, takie jak adresy IP – bywają kluczowe dla identyfikacji podejrzanych i w wielu sprawach stanowią jedyne dostępne źródło informacji. Dlatego organy ścigania muszą mieć dostęp do takich danych w czytelnej formie, a ich przechowywanie przez dostawców jest niezbędne, aby umożliwić skuteczne prowadzenie śledztw. Tymczasem obecnie w UE nie ma jednolitych przepisów dotyczących przechowywania danych. Natomiast komunikacja często odbywa się za pośrednictwem szyfrowania typu end-to-end, które uniemożliwia śledczym i innym osobom trzecim dostęp do informacji.
Raport kończy się rekomendacją opracowania przez Komisję Europejską planu działania dotyczącego legalnego dostępu do danych w skali Unii. Opublikowany w czerwcu 2025 roku plan ma uwzględniać wyzwania związane z szyfrowaniem, zapewniać wysoki poziom cyberbezpieczeństwa i ochrony praw podstawowych oraz unikać rozwiązań osłabiających szyfrowanie end-to-end.
Raport nie wprowadza więc zakazu VPN. Skupia się na kwestiach szyfrowania i potrzebie dostępu do danych przez śledczych. Jeśli jednak przepisy wymuszą na dostawcach rejestrowanie aktywności, anonimowość użytkowników zostanie ograniczona – operatorzy VPN będą musieli przechowywać i, w przypadku podejrzeń, również przekazywać określone informacje. Może to mieć wpływ na działanie VPN w krajach Unii. Jak czytamy na stronie Surfshark, jednego z dostawców VPN: „gromadzenie logów aktywności (…) jest sprzeczne z podstawową zasadą korzystania z usług VPN”.
Strategia ProtectEU
Na bazie raportu HLG 1 kwietnia 2025 roku Komisja Europejska przedstawiła europejską strategię bezpieczeństwa wewnętrznego ProtectEU, której celem jest zwiększenie możliwości zapewnienia bezpieczeństwa mieszkańcom krajów członkowskich.
Wśród głównych celów i działań wymienione są „skuteczniejsze narzędzia dla organów ścigania i wzmocnione agencje WSiSW” (Wymiaru Sprawiedliwości i Spraw Wewnętrznych). Zgodnie z informacją zawartą na stronie Komisji „85 proc. postępowań przygotowawczych opiera się na informacjach cyfrowych, dlatego ważny jest zgodny z prawem dostęp do danych”. W związku z tym Komisja przedstawiła plan działania oraz ma przedstawić plan działania w zakresie technologii szyfrowania i ocenę skutków na potrzeby aktualizacji unijnych przepisów dotyczących zatrzymywania danych.
Poprosiliśmy o komentarz Biuro Rzecznika Prasowego Komisji Europejskiej. Zgodnie z otrzymanymi informacji Komisja nie rozważa wprowadzenia zakazu korzystania z usług VPN i nie uznała usług VPN za kluczowe wyzwanie dla organów ścigania:
„Planowane regulacje w ramach europejskiej strategii bezpieczeństwa wewnętrznego nie mają na celu ograniczenia prywatności użytkowników VPN (…). Na obecnym etapie żadna planowana inicjatywa ustawodawcza nie będzie miała wpływu na usługi VPN, które już spełniają obowiązujące wymogi prawne” – komentuje Rzecznik prasowy ds. spraw wewnętrznych.
Biuro podkreśliło, że działania organów ścigania były ukierunkowane na usługi VPN wykorzystywane przez grupy przestępcze takie jak DoubleVPN.
Podsumowanie
Stwierdzenie, że Unia Europejska planuje wprowadzić stały zakaz VPN jest fałszywe. Komisja Europejska podkreśla jednak, że metadane komunikacyjne odgrywają kluczową rolę w przypadku wielu postępowań. Wyzwaniem jest więc pogodzenie ochrony prywatności i cyberbezpieczeństwa z potrzebą zapewnienia organom ścigania dostępu do czytelnych danych przez określony czas.
