Marcin Kulesza

Jak wyglądają Twoje dane skopiowane przez Komisję Europejską?

Na stronie Komisji Europejskiej można sprawdzić, w jaki sposób eksportowane są dane kopiowane przez inspektorów Komisji Europejskiej podczas kontroli.

Od marca 2013 r. obowiązują zaktualizowane, kontrowersyjne „Wyjaśnienia dotyczące upoważnienia do przeprowadzenia kontroli w wykonaniu decyzji Komisji na podstawie art. 20 ust. 4 Rozporządzenia rady nr 1/2003”. O ich aktualizacji informowaliśmy w artykule „Czy kontroler może zabrać dyrektorowi telefon?”. Wyjaśnienia to zbiór podstawowych informacji i interpretacji uprawnień osób prowadzących w imieniu Komisji Europejskiej kontrolę z przeszukaniem (tzw. z ang. „dawn raid”). Celem aktualizacji Wyjaśnień było, między innymi, dostosowanie ich do nowoczesnych technik przechowywania i kopiowania danych.

W Wyjaśnieniach przedstawiono katalog nośników, które kontrolerzy mogą przeszukać. Obejmuje on „środowisko informatyczne oraz nośniki danych (laptopy, komputery stacjonarne, tablety, telefony komórkowe, CD-ROM, DVD, pendrive’y (klucze USB) itd.)” (pkt 10 Wyjaśnień). Nośniki danych, na czas przeglądu (przeszukania), podlegają zatrzymaniu przez kontrolerów. Mogą zostać zwrócone, jeżeli, na przykład, zostanie wykonana przez nich kopia na potrzeby ekspertyzy („forensic copy”). Do wykonania takich kopii kontrolerzy mogą używać własnego sprzętu i oprogramowania, tzw. „specjalistycznych narzędzi informatycznych” („Forensic IT tools”), przy pomocy których wszystkie urządzenia i nośniki mogą zostać przeszukane i skopiowane.

Na początku bieżącego tygodnia Komisja Europejska opublikowała demonstracyjne pliki pokazujące, w jakiej postaci elektroniczne dokumenty przedsiębiorcy są eksportowane (kopiowane) na nośniki inspektorów, a następnie udostępniane przedsiębiorcy i Komisji. Celem publikacji demo jest prezentacja przykładowego eksportu danych przedsiębiorcy, u którego prowadzona jest kontrola. Dzięki temu przedsiębiorcy i ich prawnicy mogą zapoznać się z metodą kopiowania dokumentów elektronicznych w toku kontroli oraz ze sposobem weryfikacji ich listy, której będą musieli dokonać podczas kontroli.

Kontrolę dokumentów elektronicznych urzędnicy Komisji prowadzą z wykorzystaniem platformy Nuix. Jest to oprogramowanie służące do przeglądania, przeszukiwania i wyszukiwania powiązań między dokumentami elektronicznymi. Dzięki temu narzędziu kontrolerzy mogą łatwo pozyskiwać i analizować dane z dysków twardych, smartfonów, kart pamięci, serwisów chmurowych czy systemów typu Lotus Notes, Microsoft Exchange i SharePoint.

W toku przeglądu pliki zawierające dane potencjalnie istotne dla postępowania są eksportowane z platformy Nuix i zachowywane w postaci pliku 7-zip. Dodatkowo plikowi temu towarzyszy tworzony przez system tzw. skrót MD5 w formacie .cvs. Skompresowane archiwum wraz z plikiem .cvs zawierającym skrót MD5 kopiowane są następnie na nośnik (DVD, pendrive USB lub dysk twardy). Za każdym razem nośnik ten wraz z wydrukowaną listą wyeksportowanych plików przekazywany jest przedstawicielom przedsiębiorcy podlegającego kontroli. Na liście widnieją informacje obejmujące nazwę, ścieżkę dostępu, datę i numer identyfikacyjny każdego wyeksportowanego dokumentu.

Przegląd wyeksportowanych danych umożliwia plik „Report.html”, znajdujący się wraz z dokumentami w pliku archiwum 7-Zip. Zawiera on listę danych oraz hiperlinki prowadzące bezpośrednio do kopii dokumentów na nośniku.

Po zamknięciu listy dokumentów i danych mających, zdaniem Komisji, znaczenie dla sprawy nośnik (plik zip wraz ze skrótem MD5) jest w całości kopiowany na płytę DVD w trybie „tylko do odczytu”. Powstają również dwie następne kopie tej płyty. Oryginalną płytę kontrolerzy przekazują przedstawicielom przedsiębiorcy, a kopie zabierają ze sobą. Procedurę zamyka podpisanie przez przedstawicieli kontrolowanego przedsiębiorcy i przez osobę kierującą zespołem kontrolerów Komisji wydruku pliku „Report.html”.

Aby zapoznać się z demo, należy, po zapoznaniu się ze wstępnymi instrukcjami, pobrać ze strony Komisji demonstracyjny plik zip. W pliku tym znajduje się szczegółowa instrukcja postępowania z demo oraz foldery zawierające przykładowe dane pozyskane w toku kontroli, po jednym dla środowiska MS Outlook i dla innych środowisk.

Marcin Kulesza, Zespół Prawa Konkurencji kancelarii Wardyński i Wspólnicy