Tarcza 2.0 - Udostępnianie danych o lokalizacji

28.04.2020 21:56 przez Dariusz Fudala

Z dniem 18 kwietnia 2020 r., to znaczy z dniem wejścia w życie ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, Minister Cyfryzacji uzyskał ustawowe prawo do pozyskiwania od przedsiębiorcy telekomunikacyjnego danych o lokalizacji telekomunikacyjnego urządzenia końcowego użytkownika chorego na chorobę zakaźna COVID-19 lub objętego kwarantanną oraz zanonimizowanych danych o lokalizacji dotyczących wszystkich użytkowników.
Wcześniej podobne uprawnienia nadano sądom, prokuratorom oraz podmiotom właściwym w sprawach bezpieczeństw takim jak Policja, ABW CBA, SKW, KAS itp. głównie w celu wykrywania i zwalczania przestępstw.
Analizując te zagadnienia zastanawialiśmy się, czy w systemie prawnym są przepisy, inne niż art. 11f Ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374, 567 i 568), dalej zwana „Ustawą COVID-19”, umożliwiające administracji publicznej pozyskiwanie danych o użytkownikach w celu ratowania życia lub zdrowia ludzkiego. Okazało się, że są.
Znowelizowana Ustawa COVID-19, nakłada na przedsiębiorcę telekomunikacyjnego obowiązki, które dotyczą operatora w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne i polegają na udostępnianiu Ministrowi Cyfryzacji danych o lokalizacji urządzenia końcowego użytkownika chorego na chorobę zakaźna COVID – 19 lub objętego kwarantanną obejmujących okres ostatnich 14 dni. Udostępnianie następuje na żądanie oraz w sposób i w formie ustalonej przez Ministra Cyfryzacji.

Dane lokalizacyjne vs. dane o lokalizacji

Wyjaśnienia wymagają niektóre pojęcia użyte w art. 11f Ustawy COVID-19 oraz sposób postępowania z danymi podlegającymi udostępnieniu Ministrowi Cyfryzacji. Takimi pojęciami są dane lokalizacyjne oraz dane o lokalizacjiPotocznie pojęcia te używane są zamiennie ze względu na ich podobne brzmienie. Jednak według przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne mają trochę różne znaczenie.
  • Dane lokalizacyjne są to wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług telekomunikacyjnych wskazujące położenie geograficzne telekomunikacyjnego urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych.
  • Dane o lokalizacji są danymi wskazującymi położenie geograficzne urządzenia końcowego, lecz wykraczającymi poza dane niezbędne do transmisji komunikatu lub wystawienia faktury..
Na przykład danymi lokalizacyjnymi będą współrzędne geograficzne stacji BTS, w obszarze której znajduje się telekomunikacyjne urządzenie końcowe, azymut, wiązkę i zasięg roboczy anteny stacji BTS. Danymi lokalizacyjnymi będą również adresy użytkowników, na które wysyłane są rachunki.
Danymi o lokalizacji będą na przykład dane w postaci współrzędnych geograficznych lub danych adresowych miejsc, w których znajdowało się telekomunikacyjne urządzenia końcowe. Dane te mogą być wykorzystywane do świadczenia niektórych usług na przykład usług lokalizacji pojazdów. Przykładem wykorzystywania danych o lokalizacji może być również lokalizacja telekomunikacyjnych urządzeń końcowych znajdujących się w strefie objętej zasięgiem sieci Wi-Fi, ma to zastosowanie na przykład w dużych centrach handlowych, w celu przekazania informacji handlowej (reklam) osobom tam przebywającym. 

Usługa o wartości wzbogaconej

Usługę telekomunikacyjną wymagającą przetwarzania danych o lokalizacji, w Prawie telekomunikacyjnym określono jako „usługa o wartości wzbogaconej”. Do przetwarzania danych o lokalizacji uprawnione są podmioty działające z upoważnienia operatora publicznej sieci telekomunikacyjnej lub dostawcy publicznie dostępnych usług telekomunikacyjnych oraz podmioty świadczące usługę o wartości wzbogaconej.
Dane o lokalizacji mogą być przetwarzane wyłącznie dla celów niezbędnych do świadczenia usług o wartości wzbogaconej
Aby można wykorzystać dane o lokalizacji należy uzyskać zgodę użytkownika końcowego na przetwarzanie danych o lokalizacji jego dotyczących lub dokonać anonimizacji tych danych. Zgoda taka jest wymagana od każdego użytkownika końcowego, nie tylko od użytkownika końcowego będącego osobą fizyczną. Ponadto, przed uzyskaniem jego zgody, należy tego użytkownika poinformować o rodzaju danych o lokalizacji, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane innemu podmiotowi dla celów świadczenia usługi tworzącej wartość wzbogaconą. Zgoda na przetwarzanie danych osobowych musi spełniać wymagania określone w przepisach o ochronie danych osobowych.
Art. 11f ust. 3 Ustawy COVID 19 zwalnia operatora z uzyskania zgody użytkownika końcowego na przetwarzanie, w tym na udostępnianie, danych o lokalizacji. Ustawa COVID-19 nie uchyla jednak art. 166 ust. 4 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne mówiącego, że dane o lokalizacji mogą być przetwarzane wyłącznie dla celów niezbędnych do świadczenia usług o wartości wzbogaconej.
Z powyższego opisu wynika, że przedsiębiorca telekomunikacyjny może posiadać dane o lokalizacji wyłącznie związane ze świadczeniem usług o wartości wzbogaconej. W innym przypadku gromadzenie i przechowywanie danych o lokalizacji może być naruszeniem przepisów o tajemnicy telekomunikacyjnej, a jeśli te dane dotyczą osoby fizycznej to również przepisów o ochronie danych osobowych.
W sytuacji, gdy do lokalizacji można wykorzystywać GPS dający bardzo dokładne dane, to usługi lokalizacyjne w ramach usług telekomunikacyjnych nie są zbyt powszechne. Zdecydowanie większą skuteczność miałby przepis odnoszący się do danych lokalizacyjnych, co jak wynika z przepisów prawa telekomunikacyjnego są to „…wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług telekomunikacyjnych wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych;”.
Niezależnie od wyżej opisanych obowiązków przedsiębiorca telekomunikacyjny na żądanie Ministra Cyfryzacji ma obowiązek przekazać, w sposób i w formie określonej przez tego Ministra, dane o lokalizacji telekomunikacyjnych urządzeń końcowych użytkowników. W tym przypadku dane dotyczą wszystkich użytkowników a nie tylko chorych na COVID 19 lub objętych kwarantanną.

Nie ulega żadnej wątpliwości, że w celu ratowania życia lub zdrowia ludzkiego należy korzystać ze wsparcia technicznego, jednak ustawodawca powinien dołożyć wszelkiej staranności, aby przepisy z tego zakresu nie budziły żadnych wątpliwości.

A może wykorzystać już istniejące przepisy?

Celem przepisów Ustawy COVID-19, mówiących o udostępnianiu Ministrowi Cyfryzacji danych, jest ochrona zdrowia lub życia ludzkiego poprzez lokalizację osób przebywających na kwarantannie lub osób zakażonych.
W naszej ocenie przepisem umożliwiającym pozyskiwanie danych telekomunikacyjnych w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań ratowniczych jest art. 20cb ustawy z dnia 6 kwietnia 1990 r. o Policji. (tj. Dz. U. z 2020 r., poz. 360.) Na podstawie tego przepisu Policja może uzyskiwać dane telekomunikacyjne objęte tajemnicą telekomunikacyjną z wyłączeniem treści przekazów telekomunikacyjnych (rozmów, treści maili itp.). Dane te znacznie wykraczają poza zakres danych objętych przepisami Ustawy COVID-19.

Dariusz Fudala