Projekt rozporządzenia Rady Ministrów w sprawie zapewnienia przez przedsiębiorcę telekomunikacyjnego warunków dostępu i utrwalania oraz przygotowania technicznych i organizacyjnych warunków udostępniania danych doczekał się pierwszego poważnego omówienia. 2 grudnia 2025 r. w siedzibie Ministerstwa Cyfryzacji odbyło się pierwsze spotkanie przedstawicieli administracji rządowej z przedstawicielami przedsiębiorców telekomunikacyjnych. Oczekiwanie na spotkanie trwało ponad trzy miesiące. Aktualna wersja projektu nosi datę sierpniową.
Na wstępnie podkreślić należy, że Ministerstwo Cyfryzacji przyjęło dobrą zasadę. Zapraszanie na spotkania i warsztaty przedstawicieli przedsiębiorców telekomunikacyjnych ma głęboki sens. Szczególnie, gdy decyduje się na nich o kształcie istotnych przepisów dotyczących telekomunikacji.
Cel rozporządzenia, czyli: Komu jest potrzebne?
Warto pamiętać, że przepisy omawianego rozporządzenia, podobnie jak cały Rozdział 5 w Dziale 1 PKE Zadania i obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, dotyczą bardzo istotnej dziedziny życia jaką jest bezpieczeństwo.
Dotyczy to w szczególności omawianego rozporządzenia, które w rękach właściwych podmiotów administracji rządowej, powinno stwarzać narzędzie umożliwiające zwalczanie przestępczości i to przestępczości najcięższej. Dlatego przepisy te powinny być zredagowane w taki sposób, aby nie wymagały nadmiernej interpretacji.
Najczęściej bezpośrednimi wykonawcami obowiązków określonych tymi przepisami są przedstawiciele (pracownicy) przedsiębiorców telekomunikacyjnych, nieposiadający prawniczego przygotowania, działający pod wielką presją czasu i sytuacji.
Niestety, przepisy określające obowiązki przedsiębiorców telekomunikacyjnych z zakresu obronności i bezpieczeństwa zawarte w PKE (i nie tylko) są tak skomplikowane, że trudności z ich interpretacją mogą mieć (i mają) prawnicy zawodowo zajmujący się doradzaniem w telekomunikacji.
Dlaczego projekt rozporządzenia kojarzy się z PYRRUSOWYM ZWYCIĘSTWEM?
Pyrrusowe zwycięstwo oznacza sukces osiągnięty dużym kosztem, często wręcz nadmiernym wobec osiągniętych korzyści. Podobne skojarzenie nasuwają się w przypadku działań, których celem jest osiągnięcie bardzo pozytywnych rezultatów, jednak ostateczne ich skutki są znacznie gorsze od oczekiwanych, a często nawet inne niż oczekiwane.
W przypadku omawianego rozporządzenia oczekiwany cel działań pozornie został osiągnięty, jednak po szczegółowej analizie ich efekty są dokładnie przeciwne. Zamiast oczekiwanych pozytywnych efektów osiągane są negatywne skutki dla wszystkich beneficjentów tego działania. Dlaczego?
Otóż: Ministerstwo Cyfryzacji zaprojektowało rozporządzenie, bardzo poważnie realizując oczekiwania przedsiębiorców telekomunikacyjnych, umieszczając zapisy, których celem jest zmniejszenie obciążenia mikro lub małych przedsiębiorców. Projekt rozporządzenia przewiduje zwolnienie tej grupy przedsiębiorców z obowiązku posiadania Świadectwa Bezpieczeństwa Przemysłowego w rozumieniu przepisów o ochronie informacji niejawnych. Dostęp do informacji niejawnych przedsiębiorcy ci uzyskają na podstawie jednorazowych upoważnień wydanych przez właściwe organy administracji rządowej.
Ponadto w projekcie przewiduje się obniżenie klauzuli tajności przetwarzanej informacji w związku z realizacją przedmiotowych obowiązków z Ściśle tajne do Tajne, a nawet do Poufne.
Przepisy projektu rozporządzenia należy ocenić jako bardzo pozytywne działanie podjęte przez MC, mające na celu zmniejszenie obciążeń finansowych i organizacyjnych spoczywających na przedsiębiorcach telekomunikacyjnych, choć – zdaniem wielu prawników – może to pozostawać w sprzeczności z zasadami techniki prawodawczej.
To koniec dobrych informacji
W projekcie nie sposób nie zauważyć przepisów podwyższających wymagania (w porównaniu z przepisami aktualnie regulującymi sprawy dostępu i utrwalania). Podwyższenie tych wymagań dotyczy przedsiębiorców średnich i większych oraz tych, którzy będą chcieli zapewnić warunki dostępu i utrwalania za pomocą własnych urządzeń.
W takich przypadkach przepisy w omawianym rozporządzeniu określają wymagania wobec urządzeń przedsiębiorcy telekomunikacyjnego służących zapewnieniu dostępu i utrwalania. W myśl przepisów projektowanego rozporządzenia urządzenia te muszą zapewnić możliwość przetwarzania w systemach informatycznych informacji niejawnych o klauzuli Tajne.
Niestety, taki przepis wymaga od przedsiębiorców średnich i większych oraz chcących zapewnić warunki dostępu i utrwalania za pomocą własnych urządzeń, posiadanie świadectwa bezpieczeństwa przemysłowego I stopnia do klauzuli Tajne. Wszystkie urządzenia służące do realizacji opisywanych w rozporządzeniu obowiązków muszą przy tym spełniać wymogi ochrony informacji niejawnych. Jest to zdecydowane zwiększenie wymagań w porównaniu do wymagań wynikających z aktualnych przepisów. Przepisy milczą jednocześnie na temat szczegółowego wykazu lub opisu urządzeń służących do zapewnienia warunków dostępu i utrwalania.
Kolejną trudnością w spełnieniu wymagań wynikających z przepisów o ochronie informacji niejawnych jest fakt, że urządzenia te muszą być podłączone do publicznej sieci telekomunikacyjnej oraz to, że te urządzenia będą musiały być zainstalowane w różnych lokalizacjach.
Mamy nadzieję, że w trakcie prac legislacyjnych wymagania dotyczące Świadectwa Bezpieczeństwa Przemysłowego zostaną urealnione. Tylko w takim przypadku projekt rozporządzenia zaproponowany przez Ministerstwo Cyfryzacji spełni oczekiwania przedsiębiorców telekomunikacyjnych.
Gdzie skrywa się zwycięstwo?
Identyfikując zakres obowiązków określanych w przepisach prawa powszechnego należy poddać analizie wszystkie przepisy zawarte w ustawach i rozporządzeniach pośrednio lub bezpośrednio określające przedmiot tych obowiązków.
Przedsiębiorca telekomunikacyjny obowiązany jest zapewnić warunki wykonywania legalnej kontroli informacji przesyłanej w sieci telekomunikacyjnej wynikające ze wszystkich aktów prawa powszechnego. Obowiązki te określane są w kilkunastu ustawach, które stosują różne określenia opisujące te obowiązki, co zgodnie z zasadami techniki prawodawczej, należy rozumieć jako różne obowiązki.
Jako przykład przedstawimy obowiązki określone w art. 43 ust. 1 pkt 1 i pkt 2 prawa komunikacji elektronicznej (PKE).
Art. 43 ust. 1 pkt 1 PKE określa obowiązki zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania jednoczesne i wzajemnie niezależne umożliwiających jednoczesne i wzajemnie niezależne uzyskiwanie przez uprawnione podmioty (Policję, Biuro Nadzoru Wewnętrznego, Straż Graniczną, Służbę Ochrony Państwa, Agencję Bezpieczeństwa Wewnętrznego, Służbę Kontrwywiadu Wojskowego, Żandarmerię Wojskową, Centralne Biuro Antykorupcyjne i Krajową Administrację Skarbową) dostępu do informacji przesyłanych lub powstałych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej. Te kwestie zostaną doprecyzowane rozporządzeniem będącym przedmiotem tego artykułu (na podstawie art. 46 ust. 1 PPKE).
Natomiast art. 43 ust. 1 pkt. 2 PKE nakłada na przedsiębiorcę telekomunikacyjnego obowiązek zapewnienia warunków technicznych do utrwalania i udostępniania komunikatów elektronicznych i danych telekomunikacyjnych na potrzeby sądu lub prokuratora. Te obowiązki nie będą uszczegółowiane w drodze rozporządzenia, co oznacza, że przepis ten należy stosować bezpośrednio.
Projekt rozporządzenia jednoznacznie określa, że wszelkie informacje przetwarzane w związku z wykonywaniem legalnej kontroli informacji są informacjami niejawnymi o klauzuli co najmniej Tajne, a urządzenia telekomunikacyjne służące do realizacji tej kontroli muszą spełniać wymogi przewidziane w przepisach o ochronie informacji niejawnych.
Nawet, jeśli to rozporządzenie nie zostanie wydane w projektowanej wersji, to należy przyjąć za wiarygodną opinię wydaną przez MC w zakresie wymagań ochrony informacji niejawnych jakie powinny spełniać przedsiębiorcy telekomunikacyjni i urządzenia wykorzystywane do legalnej kontroli informacji również na rzecz sądu lub prokuratury.
Oznacza to, że obowiązkowi wynikającemu z art. 43 ust. 1 pkt. 2 PKE podlegają wszyscy przedsiębiorcy telekomunikacyjni i wszyscy przedsiębiorcy telekomunikacyjni (bez wyjątków) powinni zapewniać ochronę informacji niejawnych potwierdzonych świadectwem bezpieczeństwa przemysłowego I stopnia do klauzuli Ściśle tajne. W takim przypadku każdy operator sieci telekomunikacyjnej i każdy dostawca usług telekomunikacyjnych powinien przygotować dziewięć zestawów urządzeń telekomunikacyjnych dla uprawnionych podmiotów, jeden zestaw dla sądu i prokuratora oraz jedno stanowisko informatyczne przeznaczone do wykonywania dokumentacji w przedmiotowej sprawie. I to właśnie jest owo pyrrusowe zwycięstwo.
Celem projektu rozporządzenia jest zmniejszenie obciążenia spoczywającego na przedsiębiorcach telekomunikacyjnych, a faktycznie skutkiem takich działań jest podwyższenie (i to znaczne!) tych obciążeń. Wymagania zapewnienia ochrony informacji niejawnych przetwarzanych przez urządzenia telekomunikacyjne służące zapewnieniu warunków dostępu i utrwalania spoczywać będą (a nawet już spoczywają) na wszystkich przedsiębiorcach telekomunikacyjnych eksploatujących sieć telekomunikacyjną oraz dostawców usług telekomunikacyjnych, bez względu na wielkość przedsiębiorstwa, obszar na którym wykonywana jest działalność telekomunikacyjną.
Wpływ rozporządzenia na obciążenie przedsiębiorców telekomunikacyjnych obowiązkami z zakresu obronności i bezpieczeństwa
Skoro autorzy rozporządzenia (Ministerstwo Cyfryzacji) przymierzają się do jego wydania, to znaczy, że jest taka potrzeba. Bez niego będzie dziura w prawie a bezpieczeństwo państwa będzie poważnie zagrożone.
Jak już wcześniej odpowiadaliśmy, przepisy określające uprawnienia właściwych podmiotów administracji rządowej oraz obowiązki przedsiębiorców telekomunikacyjnych, osiągnęły ogromny stopień skomplikowania. W wielu miejscach są wręcz sprzeczne. W efekcie rozporządzenie w sprawie zapewnienia warunków dostępu i utrwalania nie będzie miało istotnego znaczenia, szczególnie wobec przedsiębiorców telekomunikacyjnych będących mikro lub małymi przedsiębiorcami. Natomiast wobec przedsiębiorców średnich i większych od średnich rozporządzenie to podwyższy wymagania, bez wpływu na zapewnienie odpowiednio wyższego poziomu bezpieczeństwa.
Skąd te pesymistyczne wnioski?
Analizując przepisy określające obowiązki należy rozpocząć od zapoznania się z przepisami ustawowymi określającymi te sprawy. Jako przykład posłuży nam art. 43 ust. 10 PKE, który uzależnia sposób realizacji obowiązków od skali prowadzonej działalności, osiąganych przychodów oraz możliwości technicznych.
Ten zapis budzi wielkie wątpliwości. Określenie skali prowadzonej działalności, osiąganych przychodów oraz możliwości technicznych uzasadniających realizację obowiązków zapewnienia warunków dostępu i utrwalania, jest bardzo uznaniowe. Przedsiębiorca dysponujący silnym wsparciem prawniczym i merytorycznym uzasadni, że każdy poziom skali prowadzonej działalności (lub każdy poziom osiąganych przychodów) uzasadnia nierealizowanie ww. obowiązków albo, że może realizować te obowiązki w sposób nieakceptowany przez uprawniony podmiot.
Mikro i mały przedsiębiorca będzie nieposiadający odpowiedniego wsparcia merytorycznego i prawnego, będą w znacznie gorszej sytuacji.
Skoro jest tak dobrze, to dlaczego jest tak źle?
Pytania można tu mnożyć: Czy treść rozporządzenia oznacza, że wymogi posiadania kancelarii tajnej – a bardziej precyzyjnie: posiadania Świadectwa Bezpieczeństwa przemysłowego – i w związku z tym ponoszenie znacznych kosztów właśnie przeszło do historii? Czy przedsiębiorcy mogą odetchnąć z ulgą?
Część komentatorów właśnie tak przedstawia sukces wynikający w przepisów PKE i z omawianego projektu rozporządzenia.
Podkreślić jednak należy, że rozporządzenie to regulować będzie wyłącznie obowiązki przedsiębiorcy telekomunikacyjnego w zakresie zapewnienia warunki kontroli informacji wyłącznie na potrzeby uprawnionych podmiotów. Nie obejmuje (i nie będzie obejmowało) obowiązków na rzecz sądu lub prokuratury. Oznacza to, że każdy przedsiębiorca telekomunikacyjny i tak musi posiadać Świadectwo Bezpieczeństwa Przemysłowego I stopnia do klauzuli Ściśle tajne.
Podsumowanie
Jak z powyższego opisu wynika, niezależnie od tego jak ostatecznie będzie brzmiało rozporządzenie w sprawie zapewnienia warunków dostępu i utrwalania, na każdym przedsiębiorcy telekomunikacyjnym i tak spoczywa obowiązek zapewnienie warunków technicznych i organizacyjnych legalnej kontroli informacji telekomunikacyjnej, zapewnienia warunków do ochrony informacji niejawnych potwierdzonych Świadectwem Bezpieczeństwa Przemysłowego I stopnia do klauzuli Ściśle tajne.
W efekcie mamy właśnie pyrrusowe rozporządzenie – miało być lżej a okazuje się, że będzie (a właściwie już jest) znacznie ciężej.
Czytaj także:
