Uwagi Polskiej Izby Informatyki i Telekomunikacji

Uwagi Polskiej Izby Informatyki i Telekomunikacji
do projektu nowelizacji art. 165 ustawy - Prawo telekomunikacyjne
wraz z założeniami do rozporządzenia ministra właściwego ds. łączności
w sprawie retencji danych telekomunikacyjnych
-
transpozycja Dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady
z dnia 15 marca 2006 r.
Uwagi natury ogólnej
Zakres przechowywanych danych
Dyrektywa Parlamentu Europejskiego i Rady w sprawie zatrzymywania przetwarzanych
danych w związki ze świadczeniem publicznych usług łączności elektronicznej zmieniająca
dyrektywę 2002/58/WE (Directive of the European Parliament and of the Council on the
retention of data processed in connection with the provisions of public electronic
communication services and amending Directive 2002/58/EC) zawiera w sobie istotne
elementy, które powinny być implementowane do polskiego systemu prawnego, a nie
znajdują odzwierciedlenia w obecnie obowiązującym systemie prawnych.
Najbardziej istotnym elementem jest określenie zakresu przechowywanych danych. Obecnie
ustawa – Prawo telekomunikacyjne w brzmieniu nadanych nowelą z dnia 29 grudnia 2005 r.
(Dz. U. 2006 nr. 12 poz. 66), przewiduje obowiązek przechowywania danych transmisyjnych
przez okres dwu lat. Ustawa nie wskazuje jednak, jakie konkretnie dane transmisyjne
powinny być przechowywane przez operatora publicznej sieci telekomunikacyjnej, a także
dostawcę publicznie dostępnych usług telekomunikacyjnych. Tymczasem projekt Dyrektywy,
co zostało wyraźne podkreślone poprzez ostatnią propozycję 13 punktu preambuły (recital 13)
poprawką Parlamentu Europejskiego nr. 57, przewiduje retencję tylko tych podstawowych
danych, które dany podmiot przetwarza w ramach świadczenia usługi telekomunikacyjnej, nie
nakłada zaś obowiązku zbierania i przechowywania jakiś szczególnych, dodatkowych danych.
W naszej opinii powinno się, idąc za rozwiązaniem przewidzianych przez Dyrektywę,
określić katalog zamknięty takich danych. Przepisy w tym zakresie powinny w sposób
jednoznaczny i niebudzący wątpliwości zdefiniować zakres nałożonego obowiązku zgodnie z
tym, co przewiduje Dyrektywa.
Uwagi PIIT, 2006-07-24
1
Zwrot kosztów i nakładów poniesionych przez operatorów
Należy rozważyć zwrot kosztów i nakładów poniesionych przez operatorów publicznej sieci
telekomunikacyjnej, a także dostawców publicznie dostępnych usług telekomunikacyjnych w
związku z realizacją tego obowiązku. Wprowadzenie obowiązków, o których jest mowa w
projekcie nowelizacji ustawy i założeniach do rozporządzenia - to przede wszystkim bardzo
znaczący wydatek.
Według wstępnych szacunków po stronie operatorów jest to koszt rzędu kilkudziesięciu
milionów złotych na samo skalowanie wydajności i pojemności systemów. Pozostałe
działania, obejmujące w szczególności zwiększenie przepustowości sieci transmisyjnej i
wyposażenie central w dodatkowe ilości generowanych rekordów, spowodują dodatkowe
koszty. Olbrzymie koszty generowałoby przechowywanie tak ogromnej ilości danych.
Dodatkowo należy zauważyć, że w chwili obecnej systemy operatorów gromadzące rekordy
dla celów bilingowych nie zawierają danych o połączeniach niezrealizowanych. W związku z
powyższym, aby uczynić zadość takiemu obowiązkowi operatorzy musieliby zakupić nowe
systemy, które umożliwiałyby gromadzenie takich danych.
W świetle powyższego koniecznym jest jednoznacznie uregulowanie kwestii, w jakim
zakresie koszty związane z wykonywaniem zadań na rzecz obronności, bezpieczeństwa
państwa oraz porządku i bezpieczeństwa publicznego będą ponoszone przez odpowiednie
organy, służby czy podmioty. Specyfika działalności telekomunikacyjnej nie uzasadnia
całkowitego odejścia od zasady przewidzianej w przepisach ustawy o organizowaniu zadań na
rzecz obronności państwa realizowanych przez przedsiębiorców.
Zgodnie z zasadą demokratycznego państwa prawa, co do zasady funkcje Państwa, takie jak
w tym wypadku realizacja przez uprawnione organy zadań i obowiązków na rzecz obronności
i bezpieczeństwa, powinny być finansowane przez Państwo. Państwo powinno pozyskiwać na
realizację tych zadań środki dzięki odpowiedniej polityce podatkowej i budżetowej, a tylko w
wyjątkowych sytuacjach może nakładać na podmioty tzw. ciężary realne (czym jest np.
obowiązek świadczenia usług), ale i tak w takim wypadku zasadą jest co najmniej zwrot
kosztów.
Uwagi PIIT, 2006-07-24
2
W związku z powyższym proponujemy w art. 165 po ust. 5 dodać ust. 6 w brzmieniu:
„6. Operatorowi publicznej sieci telekomunikacyjnej, a także dostawcy publicznie
dostępnych usług telekomunikacyjnych przysługuje zwrot wykazanych dodatkowo
kosztów inwestycyjnych i operacyjnych powstałych na skutek spełniania wymogów, o
których mowa w ust. 1, w tym, wykazanych dodatkowych kosztów ochrony danych i
wszelkich późniejszych zmian oraz kosztów powstałych w związku z udostępnianiem
przechowywanych danych uprawnionym organom.”
Vacatio legis
Przewidywane 14 dniowe vacatio legis jest zbyt krótkie. W trakcie posiedzenia komisji
infrastruktury w dniu 19 lipca 2006 r posłowie zaakceptowali wydłużenie tego okresu do 30
dni (poprawka wprowadzająca 90 dniowe vacatio legis została odrzucona). Tym niemniej
wskazanie 90 dni byłoby jak najbardziej właściwe, biorąc pod uwagę zakres niezbędnych do
wykonania prac.
Kierowanie ruchu międzysieciowego z pominięciem punktów styku sieci
W kontekście planowanych zmian, których celem jest zwiększenie bezpieczeństwa i porządku
publicznego poprzez zapewnienie uprawnionym służbom dostępu do danych generowanych w
sieciach telekomunikacyjnych, konieczne jest poruszenie problemu kierowania ruchu
pomiędzy sieciami telekomunikacyjnymi z pominięciem punktów styku sieci. Środowisko
operatorów kilkakrotnie sygnalizowało potrzebę podjęcia działań mających na celu
zwalczanie i w konsekwencji wyeliminowanie zjawiska kierowania nieuprawnionego ruchu z
pominięciem punktów styku, przy użyciu urządzeń typu FCT. Takie kierowanie ruchu
pociąga za sobą liczne negatywne konsekwencje, w szczególności uniemożliwia wypełnianie
obowiązków przewidzianych w projekcie nowelizacji. Kierowanie ruchu przy wykorzystaniu
FCT z pominięciem punktów wymiany ruchu międzysieciowego sprawia, iż numer abonenta
wywołującego (numer A) jest albo podmieniany, albo w ogóle nie jest przesyłany. Abonent
odbierający połączenie jest wiec pozbawiony informacji o numerze, z którego pochodzi
wywołanie, ale co więcej, tej informacji jest też pozbawiony operator, do którego sieci trafiło
Uwagi PIIT, 2006-07-24
3
takie połączenie, jak również wszyscy kolejni operatorzy, przez których sieci to połączenie
jest tranzytowane, aż do operatora sieci docelowej włącznie.
Z powyższych względów konieczne jest wprowadzenie do ustawy Prawo telekomunikacyjne
przepisów zakazujących kierowania ruchu z jednej publicznej sieci telekomunikacyjnej do
drugiej z pominięciem punktów styku sieci.
Uwagi szczegółowe
Uwagi do art. 180 a ust. 1
W projekcie artykułu 180 a jest ogólnie mowa o usługach telekomunikacyjnych. Tymczasem w
założeniach do rozporządzenia jest uściślenie, ze chodzi o usługi telefoniczne. PIIT proponuję
poprawkę, aby już w zapisach Prawa telekomunikacyjnego było dokładnie określone, że zapis ten
odnosi się do usług telefonicznych.
Ponadto projekt nowelizacji posługuje się pojęciem „zatrzymywania danych”, które nie zostało
zdefiniowane w ustawie Prawo telekomunikacyjne i w niej nie występuje. Termin ten odpowiada
wprawdzie oficjalnemu tłumaczeniu dyrektywy, ale nie jest zgodny z terminologią obowiązująca w
polskim prawie. Z tego względu PIIT proponuje zastąpienie pojęcia „zatrzymywania danych”
pojęciem „przechowywania danych”, które jest zgodne z terminologią obowiązującą w polskim
prawie, m. in. w Prawie telekomunikacyjnym czy Ustawie o ochronie danych osobowych.
Ponadto, według PIIT, należy zgodnie z art. 6 Dyrektywy 2006/24/WE uściślić, iż okres
zatrzymania/przechowywania liczony jest od daty połączenia. Proponujemy więc sformułowanie „…,
przez okres 24 miesięcy od daty połączenia,…”. Należy również podkreślić, iż polski ustawodawca
już w nowelizacji z grudnia 2005 PT przyjął najdłuższy z terminów przyjętych w transponowanej
Dyrektywie.
Również zamiast "... niektórych danych generowanych..." PIIT proponuję "...kategorii danych, o
których mowa w ust.3, generowanych...". Takie nieprecyzyjne sformułowanie nie może być użyte w
przepisach nakładających obowiązki. Należy dookreślić, o jakie dane chodzi.
Uwagi do art. 180a ust. 2
Uwagi PIIT, 2006-07-24
4
Zapis zobowiązujący operatora do przechowywania i gromadzenia danych o połączeniach
nieskutecznych jest niezgodny z ustawą Prawo telekomunikacyjne obowiązującą w chwili obecnej.
Przepis art. 161 ust. 1 zezwala na utrwalanie i przechowywanie tylko takich danych, które dotyczą
usługi lub są niezbędne do jej wykonywania i dlatego przedsiębiorcy telekomunikacyjni nie rejestrują
ani nie przetwarzają danych o połączeniach nieskutecznych.
Ponadto wprowadzenie obowiązku rejestracji połączeń nieskutecznych oznacza dla operatora duże
koszty związane m. in. ze zmianą oprogramowania central, rozbudową systemów kolekcji danych oraz
podjęciem szeregu działań organizacyjnych, w tym restrukturyzacja zatrudnienia w komórkach
realizujących udostępnianie danych na rzecz bezpieczeństwa i porządku publicznego.
Zastrzeżenia
budzą
sformułowania
nakładające
obowiązek
zatrzymywania
(właściwie:
przechowywania) danych o nieudanych próbach połączeń, gdyż w chwili obecnej dane te z przyczyn
technicznych nie SA rejestrowane. Zgodnie z założeniami do rozporządzenia z art. 180a
podstawowym źródłem danych mają być rekordy gromadzone na potrzeby bilingowe, a te nie niosą
informacji o nieudanych próbach połączeń.
Nie wszystkie systemy centralowe mają możliwość rejestrowania połączeń nieskutecznych.
Przykładowo Telekomunikacja Polska – członek PIIT - w przypadku central typu S12 i DGT
może rejestrować połączenia nieskuteczne, na tych centralach możliwa jest rejestracja nieudanych
prób połączeń. Jednak centrale typu 5ESS, EWSD, E10B , do których przyłączona jest większość
abonentów sieci stałej Telekomunikacji Polskiej, obecnie nie rejestrują połączeń nieskutecznych.
Również w założeniach do rozporządzenia z art. 180a, w ust. 4.1. pkt 2 litera f i g - w ramach
udostępniania danych dotyczące: rozróżnienia rodzajów połączeń (SMS, TD, ISDN) - nie wszystko
można ustalić, podobnie jeśli chodzi o informacje o usługach (np. konferencja) - brak możliwości
rozróżnienia w wykazach połączeń historycznych zarówno rodzajów połączeń jak i rodzaju
wykorzystywanej usługi o ile systemy nie wymagają wprowadzenia danych manipulacyjnych (np.
komendy na przekierowanie). Według PIIT te zapisy powinny zostać usunięte lub ewentualnie
doprecyzowane w zapisie "o ile systemy gromadzą i udostępniają te dane" .
Wywiązanie się z obowiązków, które ma zamiar nałożyć ustawodawca, będzie wymagało nakładów
inwestycyjnych na rozbudowę możliwości rejestracji danych, które w chwili obecnej nie są możliwe w
zakresie proponowanym przez nowelizację art. 165 Prawa telekomunikacyjnego wraz z
rozporządzeniem.
Uwagi PIIT, 2006-07-24
5
PIIT podkreśla, iż Dyrektywa w art. 3 ust. 2 zd. 2 stanowi, że nie jest wymagane zatrzymanie danych
w przypadkach nie uzyskania połączenia telefonicznego. Przepis ten zawiera normę prawną
bezpośrednio skuteczną, na którą mogą powoływać się podmioty (orzeczenie ETS – O 1963, 1, Van
Gend en Loos, 26/62).
Uwagi do art. 180 a ust. 3 pkt. 1
Zaproponowany zapis dotyczy zatrzymywania trzech kategorii danych:
1. danych niezbędnych do ustalenia zakończenia sieci;
2. danych dot. telekomunikacyjnego urządzenia końcowego;
3. danych dot. użytkownika końcowego inicjującego połączenie.
Tymczasem Dyrektywa w art. 5 ust. 1) lit. a) pkt. 1) ppkt. i) oraz ii) stanowi o zatrzymywaniu w
przypadku telefonii stacjonarnej i komórkowej numeru nadawcy połączenia oraz nazwiska i adresu
abonenta lub zarejestrowanego użytkownika.
Pojęcia użyte w przepisie projektowanego artykułu ustawy i Dyrektywy nie pokrywają się. Tytułem
przykładu w Dyrektywie jest mowa o konkretnych danych tj. nazwisku i adresie abonenta lub
zarejestrowanego użytkownika, zaś w projektowanym przepisie ustawy jest mowa ogólnie o danych
bez wyszczególnienia, o jakie dane chodzi.
Ponadto zwrot „użytkownika końcowego inicjującego połączenie” użyty w projekcie przepisu ustawy
wskazuje na konieczność ustalenia konkretnej osoby, która zainicjowała połączenie, a osoba ta nie
musi być tożsama z osobą abonenta danego urządzenia końcowego.
Odnosząc
się
do
kwestii
zawartej
w
projektowanym
przepisie
ustawy
dot.
ustalenia
telekomunikacyjnego urządzenia końcowego należy wskazać, iż Dyrektywa stanowi jedynie o
numerze nadawcy i odbiorcy połączenia w przypadku telefonii stacjonarnej – art. 5 ust. 1) lit. e) ppkt.
1) Dyrektywy.
Uwagi do art. 180 a ust. 3 pkt. 2
Aktualne są uwagi zawarte w punkcie dot. propozycji art. 180 a ust. 3 pkt. 1, z tym że w wypadku
danych niezbędnych do ustalenia zakończenia sieci chodzi o wybierany numer odbiorcy połączenia, a
w przypadku dodatkowych usług jak przekierowywanie lub przełączanie połączeń numer, na który
połączenie jest przekierowywanie – art. 5 ust. 1 lit. b) ppkt. 1) ppkt. i) oraz ii) Dyrektywy.
Uwagi do art. 180 a ust. 3 pkt. 3
Dyrektywa nie wymaga uzyskiwania i zatrzymywania danych dot. czasu trwania połączenia.
Dyrektywa stanowi wyraźnie, iż w przypadku telefonii stacjonarnej wymagane jest ustalenie daty i
dokładnego czasu rozpoczęcia i zakończenia połączenia – art. 5 ust. 1 lit. c) pkt. 1) Dyrektywy.
Uwagi PIIT, 2006-07-24
6
Uwagi do art. 180 a ust. 3 pkt. 4
W założeniach do rozporządzenia z art. 180a, w ust. 4.1. pkt 2 litera f i g - w ramach udostępniania
danych dotyczące: rozróżnienia rodzajów połączeń (SMS, TD, ISDN) - nie wszystko można
ustalić, podobnie jeśli chodzi o informacje o usługach (np. konferencja) - brak możliwości
rozróżnienia w wykazach połączeń historycznych zarówno rodzajów połączeń jak i rodzaju
wykorzystywanej usługi, o ile systemy nie wymagają wprowadzenia danych manipulacyjnych (np.
komendy na przekierowanie). Według PIIT te zapisy powinny zostać usunięte lub ewentualnie
doprecyzowane w zapisie "o ile systemy gromadzą i udostępniają te dane" .
Uwagi do art. 180 a ust . 4
Sformułowanie „… dane są usuwane lub pozbawiane cech pozwalających na ich skojarzenie z
użytkownikiem…” jest bardzo nieprecyzyjne. Obecnie użyte określenie z art. 165 ust.1: „ …po
upływie tego okresu, dane transmisyjne są usuwane lub anonimizowane” jest bardziej jednoznaczne i
z tego względu proponujemy utrzymanie dotychczasowego brzmienia.
Uwagi do art. 180 a ust 7
Sformułowanie: „Dostęp do tych danych ma jedynie upoważniony do tego personel operatora lub
dostawcy” jest bardzo nieprecyzyjne. Brak jest zapisu, w jaki sposób mają być wydawane
upoważnienia. Obszar ten powinien być zdefiniowany w rozporządzeniu.
W ustępie tym ustawodawca nakłada dodatkowy obowiązek na operatorów. Należy liczyć się z
dodatkowymi kosztami operatorów.
Uwagi do art. 180a ust. 9
Ust. 9 dodawanego art. 180a wymienia "Głównego Inspektora Ochrony Danych Osobowych", - choć
wyraz "Głównego", należy zamienić na "Generalnego" - zgodnie z przyjętą w ustawie o ochronie
danych osobowych nazwą organu do spraw ochrony danych osobowych.
Ponadto należy rozważyć kwestię, czy istotnie konieczny nadzór dwóch organów tj. Prezesa UKE, jak
i GIODO, które są w pełni niezależne. PIIT proponuje wyznaczenie właściwym jednego organu z
uwagi
na
możliwy
do
wystąpienia
konflikt
i
sprzeczność
działań
pomiędzy
dwoma
nieskoordynowanymi organami. Wniosek PIIT jest ponadto zgodny z rozwiązaniami art. 9
transponowanej Dyrektywy 2006/24/WE.
Uwagi PIIT, 2006-07-24
7
W ustępie 9 pojawia się pojęcie przechowywania danych 9na zas „zatrzymywania danych” – jak w ust.
1) – stanowi to dodatkowy argument przemawiajacy za koniecznością ujednolicenia terminologii
zgodnie z propozycją PIIT dotyczącą ust. 1
Uwagi do Założeń rozporządzenia
W punkcie 4 Założeń do rozporządzenia pojawia się zapis, zgodnie z którym „wymagane jest, by dane
przekazywane przez operatorów telekomunikacyjnych były zgodne ze stanem w dniu realizacji
usługi, a tym samym uwzględniały takie zmiany jak; zmiana nazwy użytkownika, zmiana adresu,
korzystanie z usługi przenośności numeru przez użytkownika oraz zmiany w strukturze sieci operatora,
które mają wpływ na treść zatrzymywanych danych”.
Zapis ten jest w znacznej mierze niezrozumiały i budzi wątpliwości odnośnie zakresu wynikających z
niego obowiązków, wydaje się jednak, iż realizacja tych wymagań może okazać się czasochłonna i
bardzo skomplikowana technicznie, wymagać też będzie dużych nakładów finansowych na
zapewnienie odpowiedniej funkcjonalności i wydajności systemów informatycznych.
Projekt rozporządzenia zakłada możliwość zlecenia innemu przedsiębiorcy telekomunikacyjnemu
przechowywania danych. Aktualny zapis nie precyzuje jasno, czy w przypadku zlecenia innemu
przedsiębiorcy telekomunikacyjnemu przechowywania samych tylko danych transmisyjnych bez
danych osobowych, operator ma obowiązek uzyskania zgody abonentów na przekazanie tych danych.
Wątpliwości budzi również sytuacja, w której operator przekazuje innemu przedsiębiorcy
telekomunikacyjnemu dane dotyczące niezarejestrowanych użytkowników. Czyją zgodę powinien
wówczas otrzymać?
Brakuje też w projekcie rozporządzenia odpowiedzi na pytanie, czy i jaki obowiązek informacyjny
zostanie nałożony na operatora lub dostawce usług (w stosunku do abonentów i zarejestrowanych
użytkowników) w związku z przekazaniem danych transmisyjnych i osobowych w celu ich
przechowywania innemu przedsiębiorcy telekomunikacyjnemu.
Szczegółowej analizy wymaga kwestia ewentualnych obowiązków w zakresie pozyskiwania przez
operatorów zgody użytkowników końcowych a także obowiązków informacyjnych względem tych
użytkowników, które mogą powstać w związku z przechowywaniem przez operatorów danych
generowanych przez abonentów innych sieci, korzystających z sieci danego operatora w ramach
roamingu międzynarodowego.
Uwagi PIIT, 2006-07-24
8
Ponieważ nie zostały przedstawione konkretne rozwiązania legislacyjne (konkretne zapisy)
rozporządzenia, PIIT pozwala sobie zastrzec, że kompleksową opinię w zakresie projektowanego
rozporządzenia przedstawi po przedłożeniu projektu aktu normatywnego.
Z uwagi na istotne znaczenie tej nowelizacji dla rynku telekomunikacyjnego, PIIT zgłasza dalszy
akces do prac w przedmiotowej sprawie.
Uwagi PIIT, 2006-07-24
9