Kontynuując rozmowy przy kawie z Andrzejem Fudalą, ekspertem do spraw bezpieczeństwa w telekomunikacji z firmy SayF, tym razem skupiliśmy się na obowiązkach związanych z udostępnianiem danych.
Przedsiębiorcy telekomunikacyjni uważają, że są jedynymi podmiotami gospodarczymi tak obciążonymi obowiązkami z zakresu bezpieczeństwa. Czy to prawda?
Andrzej Fudala: Bardzo często w swoich artykułach, prelekcjach i wystąpieniach podkreślamy rolę telekomunikacji w życiu codziennym każdego z nas, w działalności administracji, przedsiębiorstw itp. Trudno sobie wyobrazić prawidłowe funkcjonowanie społeczeństwa bez dostępu do dobrze działającej telekomunikacji. Bardzo ważną rolę w zakresie bezpieczeństwa telekomunikacja pełni w działaniach związanych ze zwalczaniem przestępczości. Szczególnego znaczenia nabiera zaś telekomunikacja w sytuacjach kryzysowych takich jak klęski żywiołowe, zagrożenie wojenne lub wojna. Na ogół wtedy zapotrzebowanie na telekomunikację rośnie a sprawność telekomunikacji maleje. I rzeczywiście – próżno szukać innej grupy podmiotów gospodarczych, mających tak dużo obowiązków z zakresu bezpieczeństwa. Duża część z nich realizowana jest na rzecz podmiotów państwowych, ale wszystkie na koszt przedsiębiorcy telekomunikacyjnego.
Na czym polegają te obowiązki?
Andrzej Fudala: Można podzielić na dwie grupy: zapewnienie bezpiecznego korzystania z usług telekomunikacyjnych oraz działania telekomunikacji na rzecz zapewnienia bezpieczeństwa państwa oraz bezpieczeństwa publicznego. Pozornie są dość proste. Mamy wykaz danych, które są w posiadaniu przedsiębiorcy telekomunikacyjnego i ściśle określony katalog podmiotów uprawnionych do pozyskiwania takich danych. Konkretne działania polegają zaś na udostępnianiu właściwym organom administracji rządowej danych telekomunikacyjnych oraz informacji przesyłanej w sieci telekomunikacyjnej, będących w posiadaniu przedsiębiorcy telekomunikacyjnego.
Na czym w takim razie polegają trudności w realizacji obowiązków związanych z udostępnianiem danych telekomunikacyjnych?
Andrzej Fudala: Główny problem wynika z dużej ilości przepisów dotyczących zagadnień związanych z udostępnianiem danych oraz tego, że zagadnienie to opisane jest w skomplikowany sposób. W polskim prawie występuję dziesięć podmiotów, które w ustawie prawo komunikacji elektronicznej zdefiniowane są jako uprawnione do pozyskania danych od przedsiębiorców telekomunikacyjnych. Ich prawa i obowiązki określono w jedenastu ustawach. Ponadto sąd i prokurator działają na podstawie ustawy Kodeksu Postępowania Karnego i także są upoważnione do pozyskiwania danych telekomunikacyjnych. Jednocześnie obowiązki przedsiębiorcy telekomunikacyjnego określa PKE.
Czy prace prawo komunikacji elektronicznej nie uprościło przepisów? Słyszeliśmy takie deklaracje.
Andrzej Fudala: Niestety, przepisy dotyczące omawianych tu spraw, zawarte w ustawie z 12 lipca 2024 r. prawo komunikacji elektronicznej, nie poprawiły sytuacji. W ocenie wielu specjalistów jeszcze bardziej skomplikowano treść tych przepisów. Ja również uważam, że PKE w bardziej skomplikowany opisuje sprawy udostępniania danych telekomunikacyjnych niż to było pod rządami Prawa telekomunikacyjnego.
przepisy zawarte w ustawie prawo komunikacji elektronicznej nie poprawiły sytuacji
Kto poza sądem i prokuratorem może żądać danych telekomunikacyjnych?
Andrzej Fudala: Legalnie dostęp do danych telekomunikacyjnych mogą mieć podmioty wskazane w ustawie Prawo komunikacji elektronicznej, którymi są: Policja, Biuro Nadzoru Wewnętrznego, Straż Graniczna, Inspektorat Wewnętrzny Służby Więziennej, Służba Ochrony Państwa, Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, Żandarmeria Wojskowa, Centralne Biuro Antykorupcyjne i Krajowa Administracja Skarbowa, zwane uprawnionymi podmiotami. Jak już mówiłem, uprawnione podmioty mogą pozyskiwać dane na podstawie ustaw określających ich kompetencje. Sposób określające kompetencje uprawnionych podmiotów opisano jednak w dość skomplikowany sposób, bo w dwóch lub trzech artykułach w każdej ustawie o bardzo podobnej treści.
Możemy tu podać konkretny przykład?
Andrzej Fudala: Uprawnienia policji do pozyskiwania danych telekomunikacyjnych określają trzy artykuły, o bardzo podobnym brzmieniu, wskazujące bardzo podobny zakres danych telekomunikacyjnych, które mogą być udostępniane. Na podstawie tych przepisów przedsiębiorca telekomunikacyjny udostępnia nieodpłatnie dane telekomunikacyjne policjantowi wskazanemu w pisemnym wniosku Komendanta Głównego Policji, Komendanta CBŚP, Komendanta BSWP, Komendanta CBZC, komendanta wojewódzkiego Policji albo osoby przez nich upoważnionej lub na ustne żądanie policjanta posiadającego pisemne upoważnienie wskazanych wyżej osób. Dane telekomunikacyjne mogą być zaś udostępnianie za pośrednictwem sieci telekomunikacyjnej.
Wydać się może, że to nic nadzwyczajnego. W XXI wieku sieci telekomunikacyjne wykorzystuje się bardzo powszechnie do przesyłania informacji.
Andrzej Fudala: Tak, ale pojawia się tutaj dodatkowy czynnik. Otóż – przepisy dotyczące omawianego zakresu zawierają pewne warunki. Można udostępniać dane telekomunikacyjne policji, pod warunkiem, że będzie to odbywało się bez udziału pracownika przedsiębiorcy lub przy niezbędnym jego udziale, jeżeli możliwość taka jest przewidziana w porozumieniu zawartym pomiędzy Kierownictwem uprawnionego podmiotu, a tym przedsiębiorcą. Nie znam komunikatora, za pomocą którego można przesyłać informacje bez udziału człowieka. Nie znam również przedsiębiorców telekomunikacyjnych spośród mikro, małych i średnich, którzy zawarli takie porozumienie. Zawarcie takiego porozumienia nie jest obowiązkowe. W efekcie, stosując się do tych wymagań, przedsiębiorca praktycznie nie może przesyłać do uprawnionego podmiotu danych telekomunikacyjnych za pośrednictwem poczty elektronicznej (e-mail) lub innego dostępnego komunikatora. Nie znam komunikatora elektronicznego, za pomocą którego można wysłać informacje bez udziału człowieka.
Bardzo podobnie zredagowane przepisy zawierają pozostałe ustawy określające kompetencje uprawnionych podmiotów. Oczywiście w praktyce przedsiębiorcy telekomunikacyjni przesyłają dane e-mailem, odpowiednio je zabezpieczając, ale jest to sprzeczne z literalnym brzmieniem przepisów prawa.
Czy to ma wpływ na bezpieczeństwo?
Andrzej Fudala: I to bardzo duży. Jeżeli weźmiemy pod uwagę cel pozyskiwania i wykorzystywania danych telekomunikacyjnych przez uprawnione podmioty to odpowiedź nasuwa się sama. Musimy mieć na względzie, że uprawnione podmioty pozyskują i wykorzystują dane telekomunikacyjne w celu rozpoznawania, zapobiegania, wykrywania i zwalczania najcięższych przestępstw, w celu ratowania życia lub zdrowia ludzkiego, a także w ramach wsparcia działań poszukiwawczych lub ratowniczych. We wszystkich tych przypadkach bardzo często czas ma kluczowe znaczenie.
uprawnione podmioty pozyskują i wykorzystują dane telekomunikacyjne w celu rozpoznawania, zapobiegania, wykrywania i zwalczania najcięższych przestępstw
Udostępnianie danych przy wykorzystaniu systemów informatycznych może trwać co najwyżej kilka minut, przy wykorzystaniu poczty papierowej – nawet kilka tygodni. W wielu przypadkach, związanych na przykład z ratowaniem życia lub zdrowia, może to za późno.
Konsultował Pan takie przypadki w praktyce?
Andrzej Fudala: Tak. Spotykałem się z przypadkami, gdy policjant, na przykład z komendy miejskiej, otrzymał informację o próbie samobójstwa. Zwrócił się telefonicznie do prezesa zarządu przedsiębiorstwa telekomunikacyjnego z prośbą o udostępnienie danych osoby wykorzystującej w tym czasie znany policjantowi adres IP. Funkcjonariusz ten nie posiadał jednak wymaganego upoważnienia wydanego przez komendanta wojewódzkiego policji do pozyskiwania danych telekomunikacyjnych. I proszę przyjąć, że mamy piątek, późny wieczór. Takie upoważnienie na uzyskać najwcześniej w poniedziałek. Do tego czasu samobójstwo może być już skutecznie dokonane.
Chyba nie czekaliście?!
Andrzej Fudala: Doradziłem przedsiębiorcy, aby udostępnił adres lokalizacji zakończenia sieci, z którego korzystał niedoszły (na szczęście) samobójca. W międzyczasie sprawdziliśmy też czy policjant, który się kontaktował rzeczywiście służy we wskazanej komendzie policji. Wszystko na szczęście skończyło się szczęśliwie, ale nie do końca zgodnie z prawem.
To dobra informacja, ale to chyba nie powinno tak wyglądać?
Andrzej Fudala: Dlatego liczę, że z moim głosem zapozna się urzędnik ministerstwa cyfryzacji i zainicjuje nowelizację przepisów regulujących omówione tu kwestie, aby stały się jasne, proste i faktycznie służyły bezpieczeństwu państwa i obywateli.
Tym razem ciśnienie skoczyło mi nie tylko ze względu na wypitą kawę. Na kolejnej widzimy się zapewne na X Jubileuszowym Zjeździe MiŚOT, podczas którego firma SayF funduje Pomocną kawkę jego uczestnikom. Mam też propozycję tematu naszej kolejnej rozmowy – kontrolę informacji prowadzonej przez uprawnione podmioty, czyli taki legalny PEGASUS.
Andrzej Fudala: Temat na czasie, ponieważ w Ministerstwie Cyfryzacji trwają prace legislacyjne dotyczące kontroli informacji przesyłanej w sieci telekomunikacyjnej, a w PKE określone jako obowiązki zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania komunikatów elektronicznych i danych telekomunikacyjnych. Będzie ciekawie.
Czytaj także:
