We wtorek 24 stycznia 2023 roku zaplanowane było, przesunięte z wcześniejszego terminu, posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii poświęcone rozpatrzeniu rządowych projektów ustaw Prawo komunikacji elektronicznej [PKE] i przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej [wPKE] (druk sejmowy odpowiednio nr 2861, 2862).

Projekty te stanowią bardzo obszerny materiał. PKE to 445 artykułów, natomiast wPKE to „tylko” 117 artykułów i zawiera nowelizację 65 ustaw. Projekty łącznie z uzasadnieniami, OSR, projektami przepisów wykonawczych to ponad 4700 stron.

Analizując te projekty pamiętać należy również o innych projektach będących w legislacji, na przykład nowelizacji ustawy o KSC, o zwalczaniu nadużyć w telekomunikacji, zwalczaniu pornografii w Internecie. Analiza całych projektów ustaw i przepisów nowelizowanych tymi projektami wymaga bardzo dużo pracy no i oczywiście nie mniej czasu.

W związku z powyższym zajęliśmy się przede wszystkim analizą tej części przepisów na której znamy się najlepiej, czyli regulujących sprawy obowiązków nakładanych na przedsiębiorców komunikacji elektronicznej, a w szczególności dotyczących obronności i bezpieczeństwa.

Analizując i komentując zagadnienia związane nawet pośrednio z szeroko pojętym bezpieczeństwem należy mieć na uwadze, że bezpieczeństwo jest to jedna z najważniejszych wartości i potrzeb człowieka. Ważniejsze są tylko zapewnienie potrzeb fizjologicznych (sen, pożywienie, schronienie, itp.) Mając świadomość bezpieczeństwa oczekuje się od wszystkich uczestników procesu jego zapewnienia dołożenia najwyższej staranności.

Oczekujemy, że autorzy projektów aktów prawnych przestrzegają zasad racjonalnego prawodawcy, przestrzegając nie tylko formalnych zasad tworzenia prawa, opracowują i wprowadzają do stosowania optymalne przepisy, zredagowane zwięźle i syntetycznie, aby były zrozumiałe przez adresatów i dokładnie wyrażały intencje prawodawców.

Poniżej, bardzo krótko kilka, no może kilkadziesiąt, zdań na temat zakresu obowiązków i podmiotów zobowiązanych do ich realizacji. W kolejnych artykułach podzielimy się spostrzeżeniami uwzględniając również naszą wieloletnią praktykę.

Najbardziej skomplikowana i zarazem bardzo kosztowna grupa obowiązków spoczywających na przedsiębiorcy komunikacyjnym to przygotowanie sieci telekomunikacyjnej w taki sposób, aby ustawowo upoważnione podmioty mogły przeprowadzić legalną kontrolę informacji.

Mając powyższe na względzie, jak wynika z projektowanych przepisów PKE i wPKE, na przedsiębiorcy komunikacji elektronicznej spoczywa kilka różnych obowiązków dotyczących zapewnienia określonym organom kontroli informacji przesyłanej w sieci telekomunikacyjnej oraz danych związanych z tymi kontrolowanymi informacjami.

W kolejnych artykułach przedstawimy bardziej szczegółową analizę poszczególnych obowiązków spoczywających na przedsiębiorcach komunikacji elektronicznej.

Kilka słów o wybranych obowiązkach mogących generować koszty.

Obowiązki związane z opracowaniem planu działań w sytuacjach szczególnych zagrożeń (art. 176a pt) generują jednorazowy koszt od kilkuset do nawet kilku tysięcy zł, powtarzający się co trzy lata.

Koszt ten związany jest z opracowaniem tego dokumentu osobiście przez właściciela lub zleceniem jego opracowania podmiotowi zewnętrznemu.

Niemniej koniecznym jest wskazanie, że systematycznie zmniejsza się grono przedsiębiorców obowiązanych do posiadania planu działań, podnoszone są progi przychodu podmiotu obowiązanego w chwili obecnej 4 mln. zł. W projekcie jest 10 mln. Zł.

Również koszt udostępnienia danych transmisyjnych (art. 180a pt) jest stosunkowo niski, wiąże się wyłącznie z koniecznością zakupu odpowiedniej powierzchni dyskowej oraz właściwą konfiguracją wykorzystywanych urządzeń. Ponadto, należy wyznaczyć jednego,  dwóch pracowników, którzy z posiadanej bazy będą w stanie wyszukać i przygotować do udostępnienia wymagane dane.

Najpoważniejszy dla przedsiębiorcy telekomunikacyjnego wydatek związany jest z zapewnieniem warunków dostępu i utrwalania, który został opisany w art. 179 ust. 3 pt. Z obowiązkiem tym nierozłącznie wiąże się konieczność zapewnienia ochrony informacji niejawnych.[1]

Należy przyjąć, iż przedsiębiorca musi wydać ponad 40 tysięcy złotych przy iii stopniu, ponad 100 tysięcy złotych przy ii stopniu, ponad 200 tysięcy złotych przy i stopniu (górna granica niemożliwa jest do określenia) i wydatek ten jest powtarzalny co 5 lat, a ponadto musi przewidzieć stały wydatek związany z zatrudnieniem pionu ochrony, tj. min. pełnomocnika ochrony i kierownika kancelarii tajnej.

Jak zostało określone w doktrynie, obowiązek wynikający z art. 179 ust. 3 pt jest „podstawowym zadaniem przedsiębiorców”[2] z zakresu obronności i bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego.

Obowiązek ten, polega na stworzeniu warunków technicznych i organizacyjnych umożliwiających zapoznanie się, przez uprawnionych funkcjonariuszy i jednoczesne zarejestrowanie treści indywidualnych komunikatów i danych stowarzyszonych, równocześnie z powstaniem i transmisją tych danych i treści w sieci, dalej „podsłuch”.

Pt zobowiązuje przedsiębiorców telekomunikacyjnych do przygotowania sieci w ten sposób, aby wszystkie uprawnione podmioty równocześnie i niezależnie od siebie mogły prowadzić kontrolę korespondencji.

Co to oznacza dla przedsiębiorcy telekomunikacyjnego?

W rzeczywistości przedsiębiorca telekomunikacyjny jest obowiązany przygotować co najmniej 10 stanowisk (9 dla uprawnionych podmiotów i jedno dla prokuratora lub sądu), które umożliwią funkcjonariuszom zapoznanie się w czasie rzeczywistym z treścią rozmów telefonicznych lub komunikatów wysyłanych i odbieranych na urządzeniach końcowych klienta wskazanego w postanowieniu zarządzającym prowadzenie czynności operacyjno – rozpoznawcze. Dodatkowo, sprzęt musi mieć możliwość utrwalenia słuchanych/oglądanych treści oraz po zakończeniu przekazu danych stowarzyszonych, tych samych, które są zatrzymywane w ramach obowiązków 180a i 180d pt. Ponadto, stanowisko realizujące zadania na rzecz sądu lub prokuratora (kontrola procesowa), w przypadku gdy przedsiębiorca jest wskazany jako podmiot uprawniony, w sposób automatyczny bez możliwości zapoznania się z treścią komunikatów przez pracownika przedsiębiorcy, powinno rejestrować treści indywidualnych komunikatów i dane stowarzyszone. Jednocześnie przedsiębiorca telekomunikacyjny obowiązany jest rejestrować fakt prowadzenia kontroli operacyjnych i procesowych.[3]

Stanowiska te muszą mieć dedykowane łącza telekomunikacyjne, zasilanie energetyczne oraz sprzęt przeznaczony wyłącznie do realizacji tego celu.

Jak wcześniej wskazano na czynności związane z podsłuchami rozciąga się obowiązek zapewnienia ochrony informacjom niejawnym.

Jednakże należy podkreślić, że obowiązek spełnienia wymagań z zakresu ochrony informacji niejawnych, nie jest dodatkowym zadaniem wynikającym z pt, lecz jest to nierozłączna część obowiązku zapewnienia uprawnionym podmiotom warunków prowadzenia podsłuchów.

Bardzo często kwestionowana jest przez przedsiębiorców telekomunikacyjnych konieczność posiadania właściwego świadectwa bezpieczeństwa przemysłowego, lecz obowiązek ten został nałożony na przedsiębiorców telekomunikacyjnych w związku z tym, że fakt prowadzenia podsłuchów nie może być znany osobom postronnym.

Musimy mieć świadomość, że treści indywidualnych komunikatów (rozmowa telefoniczna, transmisja danych itp.), ze swej natury są jawne, oczywiście chronione jako tajemnica telekomunikacyjna (art. 159 ust. 1 pkt 2 pt), a dopiero połączenie ich z informacją o tym, jaka służba, w jakim okresie, interesuje się konkretnym abonentem nadaje tym treściom charakter informacji niejawnej.

Art. 179 ust. 4a pt przewiduje możliwość realizacji obowiązku zapewnienia warunków dostępu i utrwalania również, jako alternatywne rozwiązanie, z wykorzystaniem interfejsu.

Interfejs należy rozumieć jako rozbudowaną bramkę dostępową do sieci przedsiębiorcy, w ramach której przedsiębiorca umożliwia samodzielne, spoza jego siedziby, dedykowanie zakończeń sieci, które mają być słuchane. Oczywiście do tego koniecznym jest zestawienie bezpiecznego dedykowanego kanału łączności pomiędzy przedsiębiorcą, a miejscem wykonywania Podsłuchu oraz konfigurację systemu w ten sposób aby dostęp do niego był możliwy po wprowadzeniu bezpiecznych metod uwierzytelniania. Wszystkie elementy sieci, urządzenia i programy wchodzące w skład interfejsu muszą zostać uzgodnione z odpowiednimi służbami. Interfejs jest najdroższym (nawet kilkukrotnie w porównaniu do opisanej wcześniej metody) sposobem realizacji zadania określonego w art. 179 ust. 3 pt i jak wskazuje praktyka opłacalnym tylko dla kilku największych przedsiębiorców.

Nowelizacja pt wprowadzona art. 9 ustawy z dnia 15 stycznia 2016 r. O zmianie ustawy o policji oraz niektórych innych ustaw (dz. U. Z 2016 r. Poz. 147), wyłącza z grona podmiotów uprawnionych do realizacji podsłuchów z wykorzystaniem interfejsu, przedsiębiorców telekomunikacyjnych będących mikroprzedsiębiorcami albo małymi przedsiębiorcami w rozumieniu ustawy z dnia 2 lipca 2004 r. O swobodzie działalności gospodarczej, w rzeczywistości jest to zapis potwierdzający, iż małe podmioty nie są w stanie podołać obciążeniom finansowym związanym z budową i utrzymaniem interfejsu.

Po zapoznaniu się z faktycznymi kosztami związanymi z realizacją obowiązków obronnych przedsiębiorca, przed rozpoczęciem jakichkolwiek inwestycji, może również rozważyć możliwość powierzenia obowiązków podmiotowi zewnętrznemu. „outsourcing” zazwyczaj obniża koszty i niweluje ryzyko kary pieniężnej, przy jednoczesnym zagwarantowaniu właściwej realizacji istniejących obowiązków.

Należy pamiętać, iż powierzenie obowiązków nie może w żaden sposób być ograniczone tylko do części obowiązku. Powyższe wynika bezpośrednio z doktryny „… z ust. 7 wynika, że można powierzyć wykonywanie obowiązków z ust. 3 innemu przedsiębiorcy telekomunikacyjnemu, co oznacza, że całość tych obowiązków w zakresie obronności i bezpieczeństwa powinna być powierzona jednemu przedsiębiorcy.”[4]

Zatem rozważając oferty outsourcingu należy zwrócić uwagę na kompleksowość oferowanej usługi tzn., czy zleceniobiorca deklaruje chęć wyrywkowego przyjęcia części obowiązków  np. Związanych z ochroną informacji niejawnych (kancelaria tajna) lub w zakresie administrowania stanowiskami do podsłuchów, czy jednak całości.

Każdy przedsiębiorca musi mieć świadomość, że powierzenie nie zwalnia powierzającego z odpowiedzialności za nienależyte wypełnianie obowiązków (art. 179 ust. 7 zdanie 2 pt).

Jednocześnie w przypadku podpisania umowy powierzenia klienci podmiotu zlecającego, w ramach kontroli operacyjnej, przez służby realizujące tą kontrolę postrzegani są jako klienci podmiotu przyjmującego zlecenie.

Zatem jeśli nie jesteśmy jedynym klientem tego podmiotu należałoby sprawdzić, ilu abonentów już posiada (suma abonentów, którym świadczy usługi oraz abonentów wszystkich podmiotów, z którymi podpisał umowę powierzenia jako strona przyjmująca zlecenie). Dopiero tę liczbę odnosimy do posiadanego przez zleceniobiorcę stopnia świadectwa bezpieczeństwa przemysłowego.

Oczywiście ze względu na tajemnicę przedsiębiorstwa możemy bazować na oświadczeniu podmiotu przyjmującego zlecenie.

W praktyce istotne może okazać się również, czy przedsiębiorca, z którym mamy zamiar podpisać umowę powierzenia, posiada gwarancje rekompensaty za ewentualne błędy popełnione przy realizacji tego zadania, może to być np. Ubezpieczenie lub zapis umowny określający zasady dochodzenia odszkodowania.

Jak wynika z danych zamieszczanych na stronach UKE, prezes UKE w przeszłości nakładał na podmiot zlecający kary, nawet w wysokości 200 000 zł, za niewłaściwe zlecenie wykonywania obowiązków obronnych (https://archiwum.uke.gov.pl/sad-apelacyjny-oddalil-apelacje-vectry-15138).