Projekty dwóch ustaw dotyczących prawa komunikacji elektronicznej wpłynęły do Sejmu w grudniu. – Wprowadzenie nowych przepisów jest konieczne, bo ma na celu wykonanie prawa Unii Europejskiej i zastąpienie przestarzałej ustawy o prawie telekomunikacyjnym z 2004 roku – mówi Michał Kanownik, prezes Związku Cyfrowa Polska. – Jako przedstawiciele organizacji branżowej, zrzeszającej największe firmy z branży nowoczesnych technologii, dostrzegamy jednak konieczność rewizji kilku najbardziej kontrowersyjnych zapisów. Dlatego wystosowaliśmy pismo do marszałek Elżbiety Witek, w którym ze szczegółami wyjaśniamy problematyczne kwestie – precyzuje.

Czytaj: Nowe prawo pozwoli służbom zbierać więcej danych o obywatelach - Sejm pracuje nad projektem>>

Czytaj w LEX: RODO a ustawa o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne >>>

Czy państwo powinno mieć dostęp do naszych danych?

Zastrzeżenia ekspertów wzbudza przede wszystkim artykuł 43, nakładający na przedsiębiorców komunikacji elektronicznej obowiązek udzielenia służbom państwowym dostępu do danych użytkowników. Obowiązek ten musi zostać zrealizowany w ciągu 24 godzin bez kontroli sądowej. Przede wszystkim jednak artykuł 43 nie precyzuje okoliczności, w jakich służby mogą uzyskać prywatne dane użytkowników sieci. Zdaniem Cyfrowej Polski może to doprowadzić do naruszeń praw i wolności zagwarantowanych w Konstytucji.

– W coraz szybciej cyfryzującym się świecie prawo powinno regulować kwestie dostępu służb państwowych do przesyłanych w Internecie treści. Jednak z drugiej strony obowiązkiem przedsiębiorcy jest zapewnienie jak największego poszanowania prawa użytkowników, w tym ich bezpieczeństwa i prywatności. Dlatego ustawa powinna jasno określać granice stosowania tego przepisu – wyjaśnia Michał Kanownik.

Niewykonalne terminy problemem dla przedsiębiorców

Eksperci Związku Cyfrowa Polska podkreślają także krótki termin realizacji przepisu o wydaniu dostępu do danych. W piśmie do marszałek Elżbiety Witek zwracają uwagę, że w 24 godziny trudno zrealizować każde żądanie, tym bardziej, gdy mowa o podmiotach operujących w sferze wirtualnej i zapewniających funkcjonowanie systemów na całym świecie.

Tymczasem, zgodnie z projektem ustawy, jeszcze mniej czasu daje przedsiębiorcom artykuł 53, dotyczący nakazu zatrzymania świadczenia usług w przypadku niejasno określonego „zagrożenia obronności, bezpieczeństwa państwa lub porządku publicznego”. Jeśli wystąpią takie przesłanki, przedsiębiorca musi w ciągu sześciu godzin zablokować wskazane przez odpowiedni urząd przekazy lub połączenia. A to termin, który w wielu przypadkach może być niewykonalny – usługi komunikacji elektronicznej są często świadczone spoza terytorium Polski, a ich operatorzy funkcjonują według różnych stref czasowych.

 

 

Wątpliwości specjalistów budzi też tryb ustnego przekazania takiej decyzji.

 – Bezwzględnie uznajemy konieczność przeciwdziałania zagrożeniom bezpieczeństwa kraju. Uważamy jednak, że tak istotne przepisy powinny być skonstruowane w sposób maksymalnie przejrzysty i nie budzący wątpliwości w kwestii zgodności z zasadami konstytucyjnymi. Tymczasem zastosowane środki wydają się nieproporcjonalne i nieracjonalne, a często wręcz niemożliwe do spełnienia. Nie spełniają one zasady pewności prawa ani nie gwarantują skutecznego środka odwoławczego od wydanej decyzji – wyjaśnia Michał Kanownik.

Sprawdź też: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >>>

Nagłe przenosiny serwerowni zagrożeniem dla cyberbezpieczeństwa?

Prezes Cyfrowej Polski podkreśla też konieczność przyjrzenia się zapisom nakazującym przedsiębiorcom przechowywanie danych wyłącznie na terytorium Polski (artykuł 47). Według Michała Kanownika nakładanie takiego obowiązku na wszystkie podmioty świadczące usługi komunikacji elektronicznej czy przedsiębiorców telekomunikacyjnych jest nie tylko nadmiarowe i nietransparentne, ale stoi również w sprzeczności z ideą jednolitego rynku cyfrowego.

Takie rozwiązanie, jak dowodzi Cyfrowa Polska, nie powinno być wprowadzane odgórnie. Każda firma technologiczna korzysta bowiem ze swojej infrastruktury, której nie da się przebudować w krótkim czasie (według obecnie proponowanych zapisów: sześć miesięcy od wprowadzenia w życie PKE) bez konsekwencji dla cyberbezpieczeństwa. Tym bardziej, że fizyczna lokalizacja danych na terytorium danego państwa niekoniecznie musi się wiązać z ich ochroną przed nieuprawnionym dostępem – bardziej liczą się stosowane rozwiązania techniczne i wypracowane już procedury. Ich nagła zmiana może być groźna w skutkach.

Kontrowersyjne artykuły zostały dodane na ostatnim etapie prac rządowych, bez jakichkolwiek konsultacji z rynkiem.

 

Katarzyna Chałubińska - Jentkiewicz, Monika Nowikowska, Krzysztof Wąsowski

Sprawdź  
POLECAMY