Operatorzy telekomunikacyjni powinni zwrócić uwagę, że wdrożenie przepisów ustawy o zwalczaniu nadużyć w komunikacji elektronicznej skutkuje także zmianami w przetwarzaniu danych osobowych abonentów oraz koniecznością wykonania obowiązków przewidzianych przez rozporządzenie RODO. Przedstawiamy szerzej to zagadnienie.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej weszła w życie 25 września 2023 roku. Co istotne, duża część obowiązków ma późniejszy termin wdrożenia. Dotyczy to w szczególności takich zagadnień jak zwalczanie sztucznego ruchu i smishingu (6 miesięcy od wejścia w życie ustawy, tj. 25 marca 2024 roku), a także zwalczanie CLI spoofingu i nieuprawnionych zmian adresacji (12 m-cy od wejścia w życie ustawy, tj. 25 września 2024 roku).
Co ma RODO do nadużyć?
O ile znany jest fakt istnienia powyższych obowiązków, o tyle nie zawsze bierze się pod uwagę, że ich wdrożenie skutkuje także zmianami w przetwarzaniu danych osobowych abonentów oraz koniecznością wykonania obowiązków przewidzianych RODO.
Stosowane środki mogą obejmować bowiem:
1) dodatkowe analizy ruchu w sieci (w tym dotyczące indywidualnych numerów),
2) konieczność rejestrowania usług zablokowanych w związku z wykryciem niektórych nadużyć (art. 25);
3) dodatkową wymianę danych o ruchu z innymi przedsiębiorcami (art. 26).
Ustawa o zwalczaniu nadużyć zasadniczo nie wyłącza obowiązków przewidzianych RODO, w tym obowiązków informacyjnych względem podmiotów danych.
Jedyne modyfikacje w tym zakresie ograniczają się do wyłączenia zastosowania art. 15 RODO (żądanie dostępu do informacji o przetwarzaniu danych) oraz wprowadzenia możliwości ogłoszenia na stronie internetowej informacji o której mowa w art. 14 RODO (dane osobowe uzyskanie z innych źródeł niż podmiot danych, np. od innych przedsiębiorców telekomunikacyjnych). Oznacza to zatem, że nie zostało wyłączone, ani ograniczone zastosowanie art. 13 RODO, tj. regulującego przekazanie informacji o przetwarzaniu danych w przypadku ich zbierania od podmiotów danych, a zatem danych dotyczących własnych abonentów.
Zweryfikuj, wyślij, wdrażaj
Powyższe oznacza, że przedsiębiorca wdrażający zmiany z ustawy o zwalczaniu nadużyć w komunikacji elektronicznej powinien także ustalić zasadność:
1) zaktualizowania informacji o przetwarzaniu danych osobowych przedstawianych abonentom;
2) doręczenia takich zaktualizowanych informacji własnym abonentom (art. 13 RODO);
3) ogłoszenia takich zaktualizowanych informacji na swojej stronie internetowej, w zakresie w jakim dotyczą osób niebędących ich abonentami (czyli w zakresie danych uzyskiwanych o innych przedsiębiorców telekomunikacyjnych – art. 14 RODO).
Biorąc pod uwagę, że obowiązek doręczenia zmienionych informacji RODO może wymagać też wysyłki papierowej (tam, gdzie przedsiębiorca nie posiada innego kanału komunikacji do abonenta), rozważyć można przystąpienie do koniecznych prac już od początku 2024 roku. Pierwsze zmiany będą musiały być bowiem wdrożone już od 25 marca br.
Więcej aktualnych informacji ze świata telekomunikacji dostępne jest także w Biuletynie kancelarii Prawnej Media. Zapisz się, by być na bieżąco! https://kancelaria.media.pl/biuletyn/