Projektowane nowe prawo komunikacji elektronicznej powinno rozwiać wszystkie wątpliwości pojawiające się na styku dyrektywy o ochronie prywatności (e-Privacy) i RODO. Z analizy projektu wynika, że tak się nie stanie, a jego uzasadnienie nie wyjaśnia dlaczego. W efekcie powstaje obawa, że prezes Urzędu Ochrony Danych Osobowych będzie mógł karać dwa razy za jeden incydent wycieku lub utraty danych przez firmy telekomunikacyjne.

 

Dwie podstawy do karania

Zgodnie z projektowanym art. 411 prawa komunikacji elektronicznej prezes Urzędu Danych Osobowych będzie mógł nałożyć karę w wysokości do 3 proc. przychodu za niewdrożenie technicznych i organizacyjnych środków zapewniających ochronę danych (za nieprzestrzeganie projektowanego art. 363), nie powiadomienie o incydencie urzędu i użytkownika (naruszenia projektowanego art. 364 ust. 1 i 4), nie spełnienie obowiązku informacyjnego, nieprowadzenia rejestru naruszeń danych osobowych (naruszenie projektowanego art. 367). 
Jednocześnie zgodnie z art. 83 pkt. 4 RODO prezes UODO za te same naruszenia może nałożyć administracyjną karę pieniężną w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa - w wysokości do 2 proc jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Przepis dający prezesowi UODO prawo do karania firm telekomunikacyjnych pojawił się w prawie telekomunikacyjnym od 4 maja 2019 roku za sprawą tzw. ustawy sektorowej dostosowującej do RODO przepisy w poszczególnych branżach. Niewiele osób zwróciło na nie uwagę, bo nowelizacja zmieniała aż 170 ustaw, a póki co prezes UODO nie skorzystał z nowej kompetencji. Jedyna firma ukarana za wyciek danych to morele.net. Prezes UODO nałożył na nią ok. 660 tys. euro kary (blisko 3 miliony złotych)  za niewystarczające zabezpieczenia organizacyjne i techniczne, które spowodowały wyciek danych.

 


Realna groźba łącznej wysokiej kary

Prawnicy analizujący projekt nowego prawa telekomunikacyjnego zwracają jednak uwagę, że istnieje niebezpieczeństwo nałożenia podwójnej kary za ten sam incydent wycieku danych. Dlaczego? 

Ani obowiązujące, ani projektowane przepisy nie wskazują, jaka jest relacja między nimi a RODO – mówi dr Arwid Mednis, radca prawny, partner w kancelarii Kobylański Lewoszewski Mednis. Podobnie uważa Bartosz Pilc, radca prawny i partner w kancelarii Core Law. W efekcie, gdyby doszło do wycieku danych w firmie telekomunikacyjnej, prezes UODO mógłby się pokusić o nałożenie podwójnej kary, jednej na podstawie RODO, i drugiej na podstawie obowiązującego, czy projektowanego prawa. Jednocześnie prawnicy wskazują, że art. 95 RODO mówi, że rozporządzenie nie nakłada dodatkowych obowiązków na osoby prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej podlegające e-Privacy. Zatem ten artykuł RODO powinien przesądzić, że kara może być jedna. Lepiej by było jednak, aby zostało to jasno określone w przepisach krajowych, by w przypadku podwójnej kary nie toczyć batalii w sądzie.

Z przepisów powinno wynikać, że kara jest jedna

Mec. Mednis uważa, że projektowany art. 411, tak jak obowiązujący art. 210a w ogóle są niepotrzebne. – Prezes UODO może ukarać firmy za naruszenie danych na podstawie RODO i tym samym wypełnić znamiona dyrektywy e-Privacy – tłumaczy dr Mednis. Byłoby o tyle, lepiej, że RODO określa, że maksymalna kara może wynieść 10 milionów euro, a obowiązujące prawo telekomunikacyjne i projektowane PKE nie określa górnego limitu jej wysokości.

- Skoro padają argumenty, że dyrektywa e-Privacy niezależnie od RODO wymaga, aby Państwa Członkowskie przewidziały w swoim prawie kary za naruszenia, to chociaż w uzasadnieniu projektu PKE powinno znaleźć się wyjaśnienie, że kara nałożona na podstawie projektowanych przepisów wyklucza karę na podstawie RODO - podpowiada  Bartosz Pilc. I dodaje, że w uzasadnienie projektu mówi wprost, że zgłoszenie incydentu zgodnie z projektowanym art. 364 ust. 4 PKE wypełnienia jednocześnie obowiązek wynikający z art. 33 RODO. - To przykład, niestety chyba jedyny, gdzie projektodawca usuwa wątpliwości, które przepisy należy stosować. Pozostałe kwestie wywołujące pytania nie są już rozstrzygane, jak chociażby to, czy jeśli dostawca usług komunikacji elektronicznej nie zgłosi incydentu, to czy może zostać podwójnie ukarany – raz na podstawie art. 411 PKE (karą pieniężną do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym) i drugi raz na podstawie RODO – tłumaczy mec. Pilc.

Jego zdaniem tak samo powinny być rozstrzygnięte pozostałe kwestie. Projekt jest dopiero na etapie konsultacji publicznych, zatem Ministerstwo Cyfryzacji - jego autor - ma jeszcze szansę na doprecyzowanie przepisów.