Przedsiębiorcy telekomunikacyjni skupieni są aktualnie nad działaniami związanymi z dostosowaniem swojej działalności do wymogów przepisów zawartych w ustawie prawo komunikacji elektronicznej. Ustawa ta, podobnie jak dotychczasowe edycje prawa telekomunikacyjnego, zawiera przepisy nakładające na przedsiębiorców telekomunikacyjnych wiele obowiązków. Wśród nich są obowiązki na rzecz obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego.
Przedsiębiorcy telekomunikacyjni spodziewali się, że wraz z wejściem w życie PKE zmniejszone zostaną obciążenia na nich nakładane, a te które już muszą być nakładane zostaną urealnione. Czy w praktyce przepisy PKE dają nadzieję zmniejszenia obciążeń?
Jednym z cięższych obowiązków, wymagających od przedsiębiorców znacznych nakładów finansowych i organizacyjnych jest zapewnienie warunków ochrony informacji, w tym informacji niejawnych w rozumieniu ustawy z dnia z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2024 r. poz. 632, 1222).
Obciążenia dla przedsiębiorców
Aby ocenić obciążenia przedsiębiorcy telekomunikacyjnego, związane z realizacją ustawowych obowiązków polegających na zapewnieniu ustawowo upoważnionym organom administracji rządowej warunków kontroli informacji i danych przesyłanych (przetwarzanych) w sieci telekomunikacyjnej, należy przeanalizować wszystkie przepisy określające te obowiązki, a jest ich co najmniej kilkanaście. Nakładają je:
- ustawa z dnia 12 lipca 2024 r. prawo komunikacji elektronicznej (PKE) (art. 43 – 54);
- ustawa z dnia 6 czerwca 1997 r. kodeks postępowania karnego (KPK) (art. 237 – 242);
- art. 43 ust. 1 pkt 2 PKE czyli zapewnienie warunków technicznych do utrwalania i udostępniania na rzecz sądu i prokuratora;
- 11 ustaw określających prawa i obowiązki „uprawnionych podmiotów” tzn: policji, Biura Nadzoru Wewnętrznego (w MSWiA), Straży Granicznej, Inspektoratu Wewnętrznego Służby Więziennej, Służby Ochrony Państwa, Agencji Bezpieczeństwa Wewnętrznego, Służby Kontrwywiadu Wojskowego, Żandarmerii Wojskowej, Centralnego Biuro Antykorupcyjne i Krajowej Administrację Skarbową, zwane „ustawami kompetencyjnymi”. Podmioty te uprawnione są do prowadzenia kontroli operacyjnej.
PKE – nowe i stare zagadnienia
Art. 43 ust. 1 pkt 1 PKE zobowiązuje przedsiębiorcę telekomunikacyjnego do zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, dalej „warunkami dostępu i utrwalania”, umożliwiających uzyskiwanie przez uprawniony podmiot dostępu do komunikatów elektronicznych i danych stanowiących tajemnicę komunikacji elektronicznej.
Wymagania i sposób zapewnienia warunków dostępu i utrwalania określi Rada Ministrów w drodze rozporządzenia wydanego na podstawie art. 46 PKE.
Nowe zagadnienie (takiego nie było w ustawie prawo telekomunikacyjne) zawarto zaś w art. 43 ust. 4 tej ustawy, w którym określono początek procesu dostępu i utrwalania.
Przepis ten określa pierwsze zdarzenie z jakim może spotkać się przedsiębiorca telekomunikacyjny w przypadku potrzeby realizacji przez uprawniony podmiot czynności określonych w PKE jako zapewnienie warunków technicznych i organizacyjnych dostępu do komunikatów elektronicznych i danych stanowiących tajemnicę komunikacji elektronicznej.
Uprawniony podmiot zgłasza (dostarcza) do przedsiębiorcy telekomunikacyjnego zapotrzebowanie w postaci papierowej lub elektronicznej zawierające informacje niezbędne do określenia sposobu realizacji przez przedsiębiorcę telekomunikacyjnego warunków dostępu i utrwalania. Przedsiębiorca telekomunikacyjny zobowiązany odebrać taki dokument i zapewnić warunki jego bezpiecznego przechowywania.
W zgłoszeniu zapewne będą informacje o podmiocie, na rzecz którego będą realizowane czynności związane z dostępem i utrwalaniem, dane dotyczące osoby, wobec której te czynności będą realizowane (zidentyfikowane danymi personalnymi lub numerem telefonicznym, adresem IP, itp.), dane przedstawiciela uprawnionego podmiotu wykonującego czynności związane z dostępem i utrwalaniem, uzasadnienie takich działań.
O treści tej informacji decydować będzie nadawca tego dokumentu i to on będzie decydował o wymaganym poziomie ochrony informacji zawartej w tym dokumencie poprzez nadanie odpowiedniej klauzuli tajności.
Przedsiębiorca telekomunikacyjny na podstawie art. 43 ust. 4 PKE jest zobowiązany do przyjęcia każdego dokumentu, o dowolnej klauzuli tajności, w tym o najwyższej klauzuli „ściśle tajne”.
Dopiero po odbiorze takiego dokumentu i zapoznaniu się z jego treścią przedsiębiorca telekomunikacyjny będzie mógł określić sposób zapewnienia dostępu i utrwalania.
Przepis ten nakłada taki obowiązek na każdego przedsiębiorcę, bez względu na rodzaj świadczonych usług, posiadania lub nie sieci telekomunikacyjnej, wielkość itp.
Ustawa nie przewiduje doprecyzowania tego obowiązku w drodze rozporządzenia, co oznacza, że będzie on (art. 43 ust 4 PKE) stosowany bezpośrednio.
Dokumenty niejawne?
Powstaje w związku z tym pytanie: Czy dokumenty te muszą być oznaczone jako niejawne, w rozumieniu przepisów o ochronie informacji niejawnych?
Art. 5 ustawy o ochronie informacji niejawnej stanowi, że informacje uznaje się za niejawne i nadaje im klauzulę odpowiednią klauzulę tajności „ściśle tajne”, „tajne” lub „poufne”, jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej.
Rozpatrując zagadnienia związane z kontrolą informacji przesyłanej w sieci telekomunikacyjnej należy pamiętać, że działania te dotyczą zapobiegania lub zwalczania najcięższych przestępstw.
Jeżeli takie informacje nie uzna jako niejawne i nie nada im odpowiedniej klauzuli tajności, to będzie można je udostępnić osobie, której te informacje dotyczą, to znaczy abonentowi, do którego należy zakończenie sieci, będące przedmiotem czynności operacyjnych uprawnionego podmiotu.
Dopiero o odebraniu dokumentu zawierającego wyżej opisane informacje, przedsiębiorca telekomunikacyjny wspólnie z uprawnionym podmiotem ustalają szczegóły związane z zapewnieniem warunków dostępu i utrwalania biorąc pod uwagę możliwości techniczne i finansowe przedsiębiorcy telekomunikacyjnego oraz wymogi określonych w rozporządzeniu wydanym na podstawie art. 46 ust. 1 PKE.
WNIOSEK: Na podstawie art. 43 ust. 4 PKE KAŻDY przedsiębiorca telekomunikacyjny zobowiązany jest zapewnić warunki ochrony informacji niejawnych o klauzuli „ściśle tajne” potwierdzone Świadectwem Bezpieczeństwa Przemysłowego co najmniej II stopnia. Również dokumentacja dotycząca zapewnienia dostępu i utrwalania (rejestry, ewidencje, pisma przewodnie) musi być chroniona w sposób określony w przepisach o ochronie informacji niejawnych. W przeciwnym przypadku może być bardzo szeroko udostępniana.
KPK i obowiązki przedsiębiorcy telekomunikacyjnego
Kontrola i utrwalanie treści rozmów telefonicznych lub innych przekazów informacji regulują przepisy art. 237 – 241 KPK, na podstawie których sąd na wniosek prokuratora może zarządzić kontrolę i utrwalanie treści rozmów telefonicznych i innych przekazów informacji.
Kontrola procesowa jest dopuszczalna tylko wtedy, gdy toczące się postępowanie karne dotyczy co najmniej jednego z 27. najcięższych przestępstw.
Urzędy i instytucje prowadzące działalność telekomunikacyjną oraz przedsiębiorca telekomunikacyjny w rozumieniu przepisów PKE obowiązani są umożliwić wykonanie postanowienia sądu lub prokuratora w zakresie przeprowadzenia kontroli rozmów informacji przesyłanej w sieci telekomunikacyjnej oraz zapewnić rejestrowanie faktu przeprowadzenia takiej kontroli, zwanej „kontrolą procesową”.
Sposób przygotowania sieci telekomunikacyjnej do wykonywania kontroli procesowej oraz sposób dokonywania, rejestracji, przechowywania, odtwarzania i niszczenia zapisów z kontrolowanych rozmów telefonicznych oraz treści innych rozmów lub przekazów informacji określono w rozporządzeniu Ministra Sprawiedliwości z dnia 24 czerwca 2003 r. w sprawie sposobu technicznego przygotowania sieci służących do przekazywania informacji, do kontroli przekazów informacji oraz sposobu dokonywania, rejestracji, przechowywania, odtwarzania i niszczenia zapisów z kontrolowanych przekazów (Dz. U. z 2003, nr. 110, poz. 1052).
W myśl przytoczonych wyżej przepisów czynności związane z wykonywaniem orzeczeń i zarządzeń w przedmiocie kontroli procesowej, a także związane z nimi doręczenia, powinny być realizowane w sposób przewidziany dla przekazywania wiadomości, na które rozciąga się obowiązek ochrony informacji niejawnych oznaczonych klauzulą „tajne” lub „ściśle tajne”.
WNIOSEK: Oznacza to, że przedsiębiorcy telekomunikacyjni zobowiązani są do zapewnienia warunków ochrony informacji niejawnych potwierdzonych Świadectwem Bezpieczeństwa Przemysłowego co najmniej II stopnia do klauzuli „ściśle tajne”.
Warunki techniczne w praktyce
Obowiązek bardzo podobny do wskazanego w art. 237 – 241 KPK, określa art. 43 ust. 1 pkt 2. PKE. Polega on na zapewnieniu warunków technicznych do utrwalania i udostępniania, na własny koszt, na rzecz sądu i prokuratora, przez podmiot wskazany w postanowieniu sądu lub prokuratora, komunikatów elektronicznych i danych telekomunikacyjnych.
Trudno zrozumieć intencje projektantów tego przepisu, w którym nakładany jest obowiązek wyłącznie zapewnienie warunków technicznych, bez konieczności zapewnienia warunków organizacyjnych. Czy realizacja tak określonych obowiązków w ogóle jest możliwa? Może tym zagadnieniem zajmiemy się przy innej okazji.
Z przepisu tego wynika, że przedsiębiorca telekomunikacyjny jest zobowiązany zapewnić realizację czynności określonych w postanowieniu sądu lub prokuratora. Postanowienie to będzie zawierało informacje o podmiocie i osobie realizującym te czynności na rzecz sądu lub prokuratora, dane osoby wobec której będzie prowadzona kontrola informacji oraz może być uzasadnienie prowadzonej kontroli informacji. Mając na względzie to, że informacje te dotyczą najcięższych przestępstw, to dokumenty zawierające takie informacje muszą być chronione.
Obowiązki te nie będą objęte rozporządzeniem zawierającym szczegółowe warunki wypełniania tego obowiązku, co oznacza, że ten przepis należy stosować bezpośrednio.
Również na podstawie tego przepisu przedsiębiorcy telekomunikacyjni zobowiązani są do zapewnienia warunków ochrony informacji niejawnych o klauzuli „ściśle tajne” potwierdzone Świadectwem Bezpieczeństwa Przemysłowego co najmniej II stopnia.
Kontrola operacyjna
Przedsiębiorca telekomunikacyjny jest obowiązany do zapewnienia na własny koszt warunków technicznych i organizacyjnych umożliwiających prowadzenie przez uprawniony podmiot kontroli operacyjnej.
Jak wynika z przepisów ustaw kompetencyjnych kontrola operacyjna prowadzona jest niejawnie i polega, między innymi na:
- uzyskiwaniu i utrwalaniu treści rozmów prowadzonych przy użyciu środków technicznych, w tym za pomocą sieci telekomunikacyjnych;
- uzyskiwaniu i utrwalaniu treści korespondencji, w tym korespondencji prowadzonej za pomocą środków komunikacji elektronicznej;
- uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach informatycznych i teleinformatycznych;
Analiza przepisów ustaw kompetencyjnych oraz ustawy o ochronie informacji niejawnych jednoznacznie wskazuje, że przedsiębiorca telekomunikacyjny w ramach realizacji wyżej opisanych zadań, obowiązany jest, między innymi, zapewnić ochronę informacji przetwarzanej w związku z prowadzoną kontrolą operacyjną. Jedynym sposobem potwierdzenia wykonania tego obowiązku jest posiadanie Świadectwa Bezpieczeństwa Przemysłowego co najmniej II stopnia o klauzuli „Ściśle Tajne”.
WNIOSKI: Z przytoczonych wyżej przepisów PKE, ustawy kodeks postępowania karnego, ustaw kompetencyjnych oraz ustawy z dnia z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych jednoznacznie wynika, że przedsiębiorca telekomunikacyjny zobowiązany jest zapewnić ochronę informacji niejawnych o klauzuli „ściśle tajne” potwierdzoną Świadectwem Bezpieczeństwa Przemysłowego co najmniej II stopnia.
Nawet jeśli zostanie wydane rozporządzenie na podstawie art. 46 PKE, które bardzo złagodzi obowiązki zawarte w art. 43 ust. 1 pkt 1 PKE, to bez zmian przepisów kodeksu postępowania karnego, jedenastu ustaw kompetencyjnych oraz ustawy o ochronie informacji niejawnych, nic się nie zmieni.
SayF na Zjeździe MiŚOT
Zapraszamy na spotkanie z przedstawicielami SayF na najbliższym Zjeździe MiŚOT.
W czwartek (7.11), o godz. 13. w Sali MiŚOT, usłyszymy prelekcję na temat: Obronność i bezpieczeństwo – nowy kształt obowiązków po wejściu PKE. Usłyszymy wówczas więcej o bezpieczeństwie informacji na bazie nowych przepisów PKE i nie tylko.
Czytaj także:
Prosty przepis na dobre prawo – ISPortal
Czy płacić hakerom? – ISPortal
Słów kilka o (nie)zwalczaniu nadużyć w komunikacji elektronicznej – ISPortal
