Przedsiębiorcy telekomunikacyjni, jako jedyna grupa podmiotów prowadzących działalność gospodarczą, są obciążeni tak wieloma obowiązkami z zakresu obronności i bezpieczeństwa. Obowiązki te określone zostały w art. 39 – 54 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej oraz w kilkunastu ustawach odrębnych. Duża część tych zadań realizowana jest na rzecz administracji rządowej na koszt przedsiębiorcy.
Tym razem omówimy zagadnienia dotyczące realizacji obowiązków związanych z przetwarzaniem danych stanowiących tajemnicę komunikacji elektronicznej obejmujące dane użytkownika, dane transmisyjne, dane o lokalizacji, dane o próbach uzyskania połączenia między zakończeniami sieci, dalej zwane „danymi telekomunikacyjnymi”. Obowiązki te zostały nieco zmienione i rozszerzone w porównaniu do obowiązków określanych w uchylonej ustawi z dnia 12 lipca 2004 r. Prawo telekomunikacyjne. Szczegóły tych różnić omówimy w odrębnym materiale.
Co zmieniło PKE?
Wraz z wejściem w życie ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej, dalej „PKE”, dokonano zmian w Kodeksie postępowania karnego oraz w ustawach określających prawa i obowiązki uprawnionych podmiotów. Są nimi: Policja, Biuro Nadzoru Wewnętrznego, Straż Graniczna, Inspektorat Wewnętrzny Służby Więziennej, Służba Ochrony Państwa, Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, Żandarmeria Wojskowa, Centralne Biuro Antykorupcyjne i Krajowa Administracja Skarbowa.
W czasie analizy przepisów określających obowiązki związane z przetwarzaniem danych telekomunikacyjnych pojawia się wiele pytań i wątpliwości.
I. Czy wykaz danych telekomunikacyjnych przewidzianych do udostępnienia sądowi prokuratorowi, uprawnionym podmiotom jest uzasadniony obiektywnymi potrzebami tych podmiotów?
Przedsiębiorcy telekomunikacyjni przetwarzają bardzo wiele danych dotyczących prywatności osób, których te dane dotyczą. Przepisy dość jednoznacznie określają uprawnienia sądu, prokuratora i uprawnionych podmiotów do pozyskiwania takich danych wyłącznie w celu zapobiegania lub wykrywania przestępstw albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych.
Warto aby właściwe organy państwowe przeanalizowały te zagadnienia i obiektywnie określiły zakres tych danych.
II. Czy przepisy PKE, KPK, ustaw kompetencyjnych precyzyjnie określają dane telekomunikacyjne podlegające udostępnianiu?
Już przyzwyczailiśmy się do udostępniania danych telekomunikacyjnych w sposób określony w ustawie Prawo telekomunikacyjne, aż przyszedł rok 2024 i weszły nowe przepisy w postaci ustawy Prawo komunikacji elektronicznej. Chcielibyśmy powiedzieć, że nowe znaczy lepsze. Niestety w PKE powielono błędy istniejące w Prawie telekomunikacyjnym i dodano nowe przepisy, które nie poprawiają ich czytelności.
Przykład: przepisy PKE nakładają na przedsiębiorcę obowiązek udostępniania danych telekomunikacyjnych określonych w:
- art. 43 ust. 1 PKE, (nie muszą to być dane związane z komunikatami elektronicznymi, które kontroluje uprawniony podmiot);
- art. 45 PKE, który powtarza dane określone w art. 43 i jednocześnie odwołuje się do art. 43 ust. 1 pkt 1 lit. a tiret drugie PKE. W prawie telekomunikacyjnym ten temat opisany był tylko w art. 180d.
Praktycznie dane określone w art. 43 ust. 1 i w art. 45 PKE są takie same. Dlaczego tak zredagowano te przepisy? To wiedzą tylko autorzy projektu PKE.
Niezależnie od tych przepisów przedsiębiorca telekomunikacyjny zobowiązany jest do gromadzenia, przechowywania przez 12 miesięcy, ochrony i udostępniania danych telekomunikacyjnych (art. 47 PKE) – tak zwanych danych retencyjnych. Ten przepis ma takie samo brzmienie jak wcześniejszy art. 180a Pt.
udostępnianie danych telekomunikacyjnych właściwym organom państwowym określone JEST w bardzo skomplikowany sposób
Już ten krótki opis pokazuje, że udostępnianie danych telekomunikacyjnych właściwym organom państwowym określone jest w bardzo skomplikowany sposób, często niezrozumiały nawet dla doświadczonych prawników.
Nie lepiej jest z przepisami określającymi uprawnienia niektórych organów do pozyskiwania danych telekomunikacyjnych.
III. Jakie wymogi formalne powinni spełniać przedstawiciele podmiotów żądających udostępnienia danych telekomunikacyjnych?
Zagadnienia związane z przetwarzaniem danych telekomunikacyjnych nie należą do najłatwiejszych, a jeśli są opisane w skomplikowany sposób, łatwo popełnić błąd. Właśnie w takich warunkach przedsiębiorca telekomunikacyjny realizuje obowiązek udostępniania danych telekomunikacyjnych.
Udostępnianie danych telekomunikacyjnych realizowane jest na żądanie sądu, prokuratury lub uprawnionego podmiotu. Sąd lub prokurator żądanie takie przedstawia w formie postanowienia, które jest dokumentem sformalizowanym, zawierającym ściśle określone elementy. W praktyce najczęściej popełniane błędy to:
- niewłaściwa nazwa podmiotu zobowiązanego do udostępniania danych;
- niewłaściwy termin przechowywanych danych retencyjnych;
- bardzo szeroki zakres żądanych danych, np. dane osoby posługującej się w serwisie internetowym określonym nickiem.
Żądanie udostępnienia danych telekomunikacyjnych najczęściej przyjmuje następujące formy:
- pisemny wniosek (tradycyjnie na papierze, przesłany jako przesyłka pocztowa). W takim przypadku najczęściej popełniane błędy to: niewłaściwa nazwa przedsiębiorcy telekomunikacyjnego i nieprecyzyjne określenie zakresu żądania. Najpoważniejszym błędem jest brak albo niewłaściwe upoważnienie do uzyskiwania danych. Upoważnienia przesyłane do przedsiębiorców na ogół są kopiami upoważnień wydanych przez właściwe organy. Jeśli przedsiębiorca żąda usunięcia takiego błędu formalnego otrzymuje kopię potwierdzoną za zgodność z oryginałem. Potwierdzenie to najczęściej jest dokonane przez pracownika organu wystawiającego taki dokument.
- korespondencji elektronicznej: na ogół jest to e-mail wysyłany na adres biura obsługi klienta. Zdarza się, że wcześniej wymienione zostaną wcześniej adresy e-mail przeznaczone do takiej korespondencji i klucze PGP wykorzystywane do szyfrowania tych e-maili. W odpowiedzi przedsiębiorca telekomunikacyjny, jeśli uzna to za właściwe, wysyła odpowiedź tą samą drogą, jaką otrzymał żądanie.
Tu pojawiają się następujące problemy natury formalnej:
- żądanie przesłane e-mailem nie jest opatrzone podpisem elektronicznym;
- załączone upoważnienie jest skanem papierowego oryginału, również nie jest podpisane elektronicznie;
- brak możliwości weryfikacji tożsamości osoby żądającej udostępnienie danych telekomunikacyjnych.
- sporadycznie zdarza się, że przedstawiciel uprawnionego podmiotu osobiście odpiera żądane dane. W takim przypadku na ogół nie występują problemy, a jeśli już wystąpią, są na bieżąco usuwane.
IV. W jaki sposób przedsiębiorca telekomunikacyjny może udostępniać wyżej wymienione dane?
Po sprawdzeniu poprawności złożonego żądania udostępnienia danych telekomunikacyjnych następuje zebranie potrzebnych informacji, zredagowanie odpowiedzi oraz prawidłowo jej wysłanie.
często żądania dotyczą szerszego zakresu danych niż przedsiębiorca może udostępnić
Tu także pojawiają się problemy. W mojej ocenie najwięcej z nich pojawia się w czasie redagowania odpowiedzi a następnie przesyłania jej do adresata. Oto przykłady:
- zebranie prawidłowych danych: często żądania dotyczą szerszego zakresu danych niż przedsiębiorca może udostępnić. Ponadto przepisy określające dane podlegające zatrzymywaniu są mało precyzyjnie. Szczególnie mało precyzyjnie określono dane dotyczące usług udostępnienia Internetu.
- jeśli już Przedsiębiorca zbierze poprawnie dane telekomunikacyjne, to pojawia się problem z wyborem sposobu ich przesłanie do adresata. Najprostszym i najszybszym sposobem jest wykorzystanie narzędzi komunikacji elektronicznej (poczty e-mail lub innego komunikatora) bardzo często wykorzystuje się pocztę elektroniczną, a treść szyfruje się kluczem PGP. Szybko, bezpiecznie ale UWAGA – NIEZGODNIE Z PRAWEM!!!
Przedsiębiorca telekomunikacyjny nieodpłatnie udostępnia dane telekomunikacyjne przedstawicielowi uprawnionego podmiotu za pośrednictwem sieci telekomunikacyjnej. Udostępnienie takie odbywa się bez udziału pracowników przedsiębiorcy telekomunikacyjnego lub przy niezbędnym ich udziale, jeżeli możliwość taka jest przewidziana w porozumieniu zawartym pomiędzy uprawnionym podmiotem a tym przedsiębiorcą.
Nie ulega wątpliwości, że brak właściwego porozumienia wyklucza możliwość legalnego wykorzystania e-mail do przesyłania do uprawnionego podmiotu danych telekomunikacyjnych. Niewielu jest przedsiębiorców telekomunikacyjnych, którzy zawarli takie porozumienie.
Na koniec zamiast podsumowania kierujemy prośbę do Ministerstwa Cyfryzacji by W TRYBIE SUPERPILNYM PODJĄĆ PRACE NOWELIZUJĄCE PRZEPISY DOTYCZĄCE OBOWIĄZKÓW Z ZAKRESU OBRONNOŚCI, BEZPIECZEŃSTWA PAŃSTWA, BEZPIECZEŃSTWA I PORZĄDKU PUBLICZNEGO W TELEKOMUNIKACJI.
