To Feel Safe!
To Feel Safe!

Twarde prawo, ale prawo... komunikacji elektronicznej

25.01.2023 14:37 przez Andrzej Fudala

Łacińskie określenie „Dura lex sed lex” czyli srogie prawo, ale prawo, bardzo obrazowo określa przepisy projektowanego Prawa komunikacji elektronicznej, w szczególności te dotyczące obronności i bezpieczeństwa.
Za sprawą informacji o wznowieniu prac legislacyjnych nad projektem ustaw Prawo komunikacji elektronicznej i przepisami wprowadzającymi ustawę – Prawo komunikacji elektronicznej w mediach pojawia się bardzo dużo wypowiedzi prawników, polityków, dziennikarzy. Najwięcej czasu i energii komentatorzy poświęcają kolejnej próbie ingerencji państwa w prywatność społeczeństwa. Najczęściej pojawiające się i omawiane hasła to znany już powszechnie „lex pilot”, ale także „inwigilacja”, „podsłuchy”, itp.

We wtorek 24 stycznia 2023 roku zaplanowane było, przesunięte z wcześniejszego terminu, posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii poświęcone rozpatrzeniu rządowych projektów ustaw Prawo komunikacji elektronicznej [PKE] i przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej [wPKE] (druk sejmowy odpowiednio nr 2861, 2862).

Nowy termin to 26 stycznia 2023 godzina 11:00

Może tym razem się uda 😉

Jest co czytać

Projekty te stanowią bardzo obszerny materiał. PKE to 445 artykułów, natomiast wPKE to „tylko” 117 artykułów i zawiera nowelizację 65 ustaw. Projekty łącznie z uzasadnieniami, OSR, projektami przepisów wykonawczych to ponad 4700 stron.

Analizując te projekty pamiętać należy również o innych projektach będących w legislacji, na przykład nowelizacji ustawy o KSC, o zwalczaniu nadużyć w telekomunikacji, zwalczaniu pornografii w Internecie. Analiza całych projektów ustaw i przepisów nowelizowanych tymi projektami wymaga bardzo dużo pracy no i oczywiście nie mniej czasu.

W związku z powyższym zajęliśmy się przede wszystkim analizą tej części przepisów na której znamy się najlepiej, czyli regulujących sprawy obowiązków nakładanych na przedsiębiorców komunikacji elektronicznej, a w szczególności dotyczących obronności i bezpieczeństwa.

Uwagi na temat pozostałych zagadnień postaramy się przekazywać w najbliższym czasie razem z radcami prawnymi, z którymi mamy przyjemność współpracować.

Analizując i komentując zagadnienia związane nawet pośrednio z szeroko pojętym bezpieczeństwem należy mieć na uwadze, że bezpieczeństwo jest to jedna z najważniejszych wartości i potrzeb człowieka. Ważniejsze są tylko zapewnienie potrzeb fizjologicznych (sen, pożywienie, schronienie, itp.) Mając świadomość bezpieczeństwa oczekuje się od wszystkich uczestników procesu jego zapewnienia dołożenia najwyższej staranności.

Oczekujemy, że autorzy projektów aktów prawnych przestrzegają zasad racjonalnego prawodawcy, przestrzegając nie tylko formalnych zasad tworzenia prawa, opracowują i wprowadzają do stosowania optymalne przepisy, zredagowane zwięźle i syntetycznie, aby były zrozumiałe przez adresatów i dokładnie wyrażały intencje prawodawców.

Należy wierzyć, że ich projektanci kierowali się racjonalnymi przesłankami, a tym samym uwzględniali podstawowe zasady tworzenia prawa, z których wynika, że do oznaczenia jednakowych pojęć używa się jednakowych określeń, a różnych pojęć nie oznacza się tymi samymi określeniami, a przepisy, zredagowane są zwięźle i syntetycznie, tak, aby były zrozumiałe przez adresatów i dokładnie wyrażały intencje prawodawców.

Trochę o naszych spostrzeżeniach po analizie nowych przepisów

Poniżej, bardzo krótko kilka, no może kilkadziesiąt, zdań na temat zakresu obowiązków i podmiotów zobowiązanych do ich realizacji. W kolejnych artykułach podzielimy się spostrzeżeniami uwzględniając również naszą wieloletnią praktykę.

I.    Przedsiębiorca komunikacji elektronicznej obowiązany jest podjąć działania mające na celu zapewnienia ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej uwzględniając możliwość wystąpienia sytuacji szczególnego zagrożenia, określony w projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (wersja z dnia 17.01.2023 r).

Aktualnie obowiązek ten pod nazwą: „Zapewnienie bezpieczeństwa i integralności sieci i usług telekomunikacyjnych” określony jest w ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

II.   Przedsiębiorca telekomunikacyjny jest obowiązany posiadać aktualny i uzgodniony oraz wprowadzony do stosowania plan działań w sytuacji szczególnego zagrożenia.

III.   Obowiązki przedsiębiorcy telekomunikacyjnego dotyczące obronności i bezpieczeństwa nakładane decyzjami Prezesa Urzędu Komunikacji Elektronicznej.

IV.  Gromadzenie, przechowywanie, zabezpieczanie, udostępnianie danych stanowiących tajemnicę komunikacji elektronicznej, z wyłączeniem treści informacji przesyłanej w sieci telekomunikacyjnej (komunikatów elektronicznych to znaczy treści rozmów, SMS, e-maili, itp.). Ten obowiązek polega na gromadzeniu danych związanych ze świadczoną usługą, którymi są:

1) dane dotyczące użytkownika, którymi są, w przypadku abonenta będącego osobą fizyczną, są to imię i nazwisko, numer PESEL albo dane dokumentu tożsamości a w przypadku abonenta niebędącego osobą fizyczną nazwę, numer identyfikacyjny REGON, NIP, KRS, CEDG itp. zgromadzone w trakcie zawierania umowy na świadczenie usług telekomunikacyjnych,

2) dane transmisyjne, dane o lokalizacji, dane o próbach uzyskania połączenia między zakończeniami sieci generowane w czasie po uzyskaniu od właściwego podmiotu gromadzenia i udostępnienia takich danych.

W grupie tych danych nie ma informacji przesyłanej w sieci telekomunikacyjnej, to znaczy treści rozmów, SMS, e-maili itp.; przedsiębiorcy nie wolno przechwytywać, gromadzić i przechowywać takich informacji z własnej woli lub dotyczących wszystkich swoich abonentów.

V.  Gromadzenie, przechowywanie na terytorium Rzeczypospolitej Polskiej, zabezpieczanie, przechowywanie przez 12 miesięcy licząc od chwili wykonania połączenia, udostępnianie danych telekomunikacyjnych dotyczących połączeń (kto inicjuje połączenie, z kim, czas trwania połączenia, rodzaj wykorzystywanej itp.), lokalizacja urządzenia końcowego, dane identyfikujące użytkownika końcowego, to jest podmiotu, który zawarł umowę na świadczenie usług telekomunikacyjnych – jest to potocznie zwana „RETENCJA DANYCH”.

W tej grupie danych również nie ma i nie może być informacji przesyłanej w sieci telekomunikacyjnej, to znaczy treści rozmów, SMS, e-maili itp.).

VI.    Zapewnienie warunków umożliwiających sądowi, prokuratorowi, służbom specjalnym (10 podmiotów) prowadzenie kontroli informacji przesyłanej w sieci telekomunikacyjnej.

Najbardziej skomplikowana i zarazem bardzo kosztowna grupa obowiązków spoczywających na przedsiębiorcy komunikacyjnym to przygotowanie sieci telekomunikacyjnej w taki sposób, aby ustawowo upoważnione podmioty mogły przeprowadzić legalną kontrolę informacji.

Mając powyższe na względzie, jak wynika z projektowanych przepisów PKE i wPKE, na przedsiębiorcy komunikacji elektronicznej spoczywa kilka różnych obowiązków dotyczących zapewnienia określonym organom kontroli informacji przesyłanej w sieci telekomunikacyjnej oraz danych związanych z tymi kontrolowanymi informacjami.

1. Zapewnienie warunków technicznych i organizacyjnych wykonywania kontroli operacyjnej

Przepisy 11 (jedenastu) ustaw zobowiązują przedsiębiorców komunikacji elektronicznej do zapewnienia warunków technicznych i organizacyjnych wykonywania kontroli operacyjnej przez wskazane w tych ustawach 10 (dziesięć) podmiotów. Przedsiębiorca ma obowiązek przygotowania ich na własny koszt.
Przygotowanie tych obowiązków polega na przygotowaniu odpowiednich urządzeń telekomunikacyjnych, informatycznych służących przechwytywaniu informacji wysyłanej/odbieranych przez wskazane zakończenie sieci oraz do utrwalania tych informacji. System ten musi zapewniać również dostęp do danych związanych z tymi informacjami.
Ponadto przedsiębiorca musi być przygotowany do przyjęcia informacji o wszczęciu i realizacji kontroli operacyjnej oraz możliwości zaewidencjonowania przypadku prowadzenia kontroli operacyjnej.
Pamiętać należy, że kontrolę operacyjną można prowadzić w związku z działaniami dotyczącymi najcięższych przestępstw.

2. Przygotowanie sieci telekomunikacyjnej do przeprowadzania kontroli rozmów telefonicznych oraz innych przekazów informacji

Po wszczęciu postępowania karnego sąd na wniosek prokuratora może zarządzić kontrolę i utrwalanie treści rozmów telefonicznych lub przekazów informacji, w tym korespondencji przesyłanej pocztą elektroniczną w celu wykrycia i uzyskania dowodów dla toczącego się postępowania lub zapobieżenia popełnieniu nowego przestępstwa (tzw. „kontrola procesowa”). 
Kontrola i utrwalanie treści rozmów telefonicznych są dopuszczalne tylko wtedy, gdy toczące się postępowanie lub uzasadniona obawa popełnienia nowego przestępstwa dotyczy co najmniej jednego z najcięższych przestępstw wymienionych w Kodeksie postępowania karnego.
Przedsiębiorca komunikacji elektronicznej zobowiązany jest do przygotowania urządzeń technicznych zapewniających kontrolę i utrwalanie przesyłanej w sieci telekomunikacyjnej informacji i danych związanych z tą informacją.
Ponadto przedsiębiorca musi przygotować warunki przyjęcia postanowienia dotyczącego wszczęcia kontroli procesowej, zaewidencjonowania go, zaewidencjonowania faktu rozpoczęcia, prowadzenia i jej zakończenia.

3. Zapewnienie warunków technicznych i organizacyjnych dostępu do komunikatów elektronicznych i danych oraz ich utrwalania

Na podstawie przepisów projektowanego PKE oraz wPKE przedsiębiorca komunikacji elektronicznej jest obowiązany do zapewnienia warunków technicznych i organizacyjnych umożliwiających uzyskiwanie przez uprawnione podmioty (tym razem 9!) dostępu do informacji przesyłanych w sieciach telekomunikacyjnych oraz do danych związanych z tymi komunikatami.
Uszczegółowienia tych obowiązków nastąpi w rozporządzeniu Rady Ministrów.

W kolejnych artykułach przedstawimy bardziej szczegółową analizę poszczególnych obowiązków spoczywających na przedsiębiorcach komunikacji elektronicznej.

Andrzej Fudala

Ekspert ds. Telekomunikacji SayF

Kategorie :
Tagi :