Nowa ustawa – Prawo komunikacji elektronicznej. Obowiązki dostawców usług komunikacji interpersonalnej niewykorzystujących numerów

Potrzeba dokonania zmian w przepisach prawa polskiego w obszarze komunikacji elektronicznej wynika z przyjęcia dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej[1] (dalej zwanej „Dyrektywą”).

Nowa Dyrektywa

Przed przyjęciem Dyrektywy funkcjonowało pięć różnych innych dyrektyw, które łącznie stanowiły obowiązujące ramy regulacyjne dla sieci i usług łączności elektronicznej. Przeciwdziałanie fragmentacji regulacyjnej występującej na rynku telekomunikacyjnym było jednym z celów, które nakreśliła Komisja Europejska w komunikacie z dnia 6 maja 2015 r. ustanawiającym strategię jednolitego rynku cyfrowego dla Europy[2]. Miało to sprzyjać bardziej spójnemu stosowaniu przepisów oraz większej skuteczności regulacji, a co za tym idzie – polepszeniu ochrony konsumentów, czy zrównaniu warunków działania wszystkich uczestników rynku. Równie istotnym celem było dostosowanie przepisów do nowych realiów rynkowych.

Dyrektywa rozróżnia usługi łączności interpersonalnej wykorzystujące i niewykorzystujące numery. Te pierwsze opierają swoje funkcjonowanie o przydzielone użytkownikom końcowym numery identyfikacyjne. Te drugie nie wymagają wykorzystania takich numerów dla nawiązania łączności – nie korzystają z publicznie nadanych zasobów numeracyjnych pochodzących z krajowych lub międzynarodowych planów numeracji, ani nie umożliwiają połączenia z takimi numerami i w związku z tym nie uczestniczą w gwarantowanym przez władze publiczne interoperacyjnym środowisku. Odmienne traktowanie usług łączności interpersonalnej wykorzystujących numery jest uzasadnione, ponieważ są one uczestnikami zagwarantowanego przez organy publiczne interoperacyjnego środowiska, a zatem również z niego korzystają.

Unijny prawodawca zauważył jednak rosnące znaczenie usług łączności interpersonalnej niewykorzystujących numerów i w związku z tym stwierdził, że usługi te również powinny podlegać odpowiednim wymogom bezpieczeństwa zgodnie z ich specyficznym charakterem. Poziom bezpieczeństwa powinien odpowiadać przy tym istniejącemu ryzyku związanemu z korzystaniem z tych usług. W Dyrektywie stwierdzono, że poziom ryzyka w przypadku usług niewykorzystujących numerów jest niższy, ponieważ dostawcy tych usług, w przeciwności do tradycyjnych usług łączności elektronicznej, nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach.

W Dyrektywie przewidziano również, że zgodnie z zasadą proporcjonalności szereg przepisów dotyczących praw użytkowników końcowych, nie powinien mieć zastosowania do mikroprzedsiębiorstw, które dostarczają usługi łączności interpersonalnej niewykorzystujące numerów. Usług łączności interpersonalnej niewykorzystującej numerów nie powinny też dotyczyć ograniczenia w możliwości dokonywania zmian warunków umownych przez dostawców publicznie dostępnych usług łączności. W stosunku do takich dostawców przewidziano ogólnie, że dokonywane przez nich zmiany warunków umownych, które nie są korzystne (albo gdy połączono zmiany korzystne z niekorzystnymi) dla użytkownika końcowego, powinny dawać użytkownikowi prawo do rozwiązania umowy bez ponoszenia kosztów.

Dyrektywa przewidziała, że jej transpozycja, czyli wprowadzenie jej postanowień do prawa krajowego, powinna nastąpić w terminie najpóźniej do dnia 21 grudnia 2020 r. W tym czasie powinny powstać i zostać przyjęte i opublikowane przepisy niezbędne do wykonania Dyrektywy.

Transpozycja i data wejścia w życie PKE

Projekt ustawy – Prawo komunikacji elektronicznej[3] (dalej „Projekt PKE”) został sporządzony przez Ministerstwo Cyfryzacji i nosi datę 29 lipca 2020 r. Projektowana ustawa ma zastąpić aktualnie obowiązującą ustawę z dnia 16 lipca 2004 r. Prawo telekomunikacyjne[4] (dalej „PT”). Prawie siedemnaście lat, które minęły od uchwalenia PT, to w przypadku rozwoju technologii cała epoka. Również autorzy projektu podkreślają dynamicznie postępujący proces informatyzacji gospodarki będący następstwem rozwoju technologii informacyjno-komunikacyjnych. Technologie mają duży wpływ na przemiany w obszarze komunikacji międzyludzkiej, a co za tym idzie – na wszelkie obszary życia i biznesu, gdzie ta komunikacja ma istotne znaczenie. Za wprowadzeniem nowej regulacji przemawiać ma również zakres i liczba zmian, które nastąpiły w przepisach we wspomnianym siedemnastoletnim okresie, co powoduje konieczność uporządkowania przepisów z zakresu prawa telekomunikacyjnego.

W momencie publikacji niniejszego artykułu został już przekroczony określony w Dyrektywie termin jej transpozycji. Z przepisów opublikowanego 12 lutego 2021 r. projektu ustawy – Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej[5] wynika, że przewiduje się wejście w życie PKE po upływie sześciu miesięcy od dnia jej ogłoszenia. Twórcy przepisów zakładali, że PKE wejdzie w życie na początku 2021 r., co jednak okazało się nierealne.

Oprócz regulacji, których wdrożenia do polskiego porządku prawnego wymaga Dyrektywa, Projekt PKE zawiera również zestaw przepisów w zakresie zasad przetwarzania danych telekomunikacyjnych oraz ochrony tajemnicy komunikacji elektronicznej stanowiącej wdrożenie dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)[6] oraz kwestie wymagań dla urządzeń radiowych, które wdrażają przepisy dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE z dnia 16 kwietnia 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych i uchylającej dyrektywę 1999/5/WE[7]. Przepisy te nie zostały w prosty sposób przeniesione do Projektu PKE – ich treść wymagała uwzględnienia brzmienia przepisów Dyrektywy i w związku z tym pewnego doprecyzowania. Tajemnicą telekomunikacyjną objęto więc także dostawców usług komunikacji interpersonalnej niewykorzystującej numeracji, a także podmioty z nimi współpracujące. Również przetwarzanie danych osobowych niezbędnych do świadczenia usług komunikacji elektronicznej przez dostawców usług komunikacji interpersonalnej niewykorzystujących numerów znalazło swoje uregulowanie w przepisach Projektu PKE.

Objęcie usług komunikacji interpersonalnej niewykorzystującej numerów przepisami Projektu PKE

Jednym z zagadnień, które do tej pory nie doczekało się uregulowania w PT i jest w związku z tym swoistym novum w polskim prawie, są zasady dotyczące dostawców publicznie dostępnych usług komunikacji interpersonalnej niewykorzystującej numerów. Nowe przepisy mają w założeniu zwiększyć prawa użytkowników końcowych korzystających z tych usług.

Świadczenie usług komunikacji interpersonalnej niewykorzystujących numerów zostało jednoznacznie uznane za działalność polegającą na zapewnieniu komunikacji elektronicznej i objęte regulacją PKE obok „tradycyjnej” działalności telekomunikacyjne, czyli świadczenia usług telekomunikacyjnych, dostarczania sieci telekomunikacyjnych i świadczenia usług z tym powiązanych. Przedsiębiorcy świadczący takie usługi zaliczeni zostają natomiast do kategorii dostawców usług komunikacji elektronicznej.

Co to oznacza?

Próbując ustalić, co mieści się w zakresie nowej kategorii usług zacząć, należy od stwierdzenia, że usługi te muszą spełniać wymogi stawiane dla usług komunikacji interpersonalnej, czyli:

1) umożliwiać bezpośrednią interpersonalną (tzn. między osobami fizycznymi, w tym również, jeżeli osoby te działają w imieniu osób prawnych, czy innych jednostek organizacyjnych) i interaktywną (to znaczy pozwalającą na udzielanie odpowiedzi) wymianę informacji;

2) za pośrednictwem sieci telekomunikacyjnej;

3) między skończoną liczbą osób (czyli w założeniu niekierowaną do potencjalnie nieograniczonej liczby odbiorców);

4) gdzie osoby inicjujące połączenie lub w nim uczestniczące decydują o jego odbiorcy lub odbiorcach.

Jako przykłady takich usług podaje się połączenia głosowe, jak również pocztę elektroniczną, usługi przekazywania wiadomości lub czaty grupowe. Usługami, które zdobywają coraz większy udział w rynku i będą mieścić się w definicji usług komunikacji interpersonalnej, będą w szczególności komunikatory internetowe. Z drugiej strony usługami, które nie będą mieścić się w podanych ramach, będą strony internetowe, serwisy społecznościowe czy blogi, a także np. usługa dostarczania wideo na żądanie.

Z tej definicji jednocześnie zostały wyłączone te z usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej. Wskazówkę, jak rozumieć to wyłączenie, znajdziemy w motywach do Dyrektywy, gdzie podane jest, że chodzi o takie usługi, które stanowią wyłącznie nieznaczny dodatek do innej usługi i z obiektywnych przyczyn taki dodatek nie może być użytkowany bez usługi głównej. Integracja tego dodatku z usługą główną nie może też służyć obejściu wymogów, jakie stawiają przepisy wobec usługi komunikacji interpersonalnej. Dobrym przykładem jest tu możliwość komunikowania się między graczami w rozgrywkach typu multiplayer, która służy jedynie jako dodatek do samej rozgrywki będącej usługą podstawową i może tę rozgrywkę ułatwiać, choć wcale nie musi być dla jej prowadzenia niezbędna.

Te z usług komunikacji interpersonalnej, które nie umożliwiają realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, będą właśnie usługami komunikacji interpersonalnej niewykorzystującej numerów. Z drugiej strony PKE wyraźnie określa, że usługi komunikacji interpersonalnej niewykorzystującej numerów wyłączone zostają z definicji usługi telekomunikacyjnej. Do usług telekomunikacyjnych zaliczać będą się więc usługi komunikacji interpersonalnej wykorzystujące numery. Zatem dostawca usług komunikacji interpersonalnej niewykorzystującej numerów nie będzie jednocześnie dostawcą usług telekomunikacyjnych.

Obowiązki przedsiębiorców świadczących nowo zdefiniowany rodzaj usług

Na dostawców usług komunikacji elektronicznej nałożono w Projekcie PKE szereg nowych obowiązków, wśród których należy wskazać:

1) obowiązek odpowiadania na zapytania Prezesa Urzędu Komunikacji Elektronicznej (dalej „Prezesa UKE”) na równi z przedsiębiorcami telekomunikacyjnymi,

2) obowiązki dotyczące obronności i bezpieczeństwa państwa,

3) uprawnienie Prezesa UKE do nakładania obowiązków regulacyjnych,

4) obowiązki informacyjne wobec użytkowników końcowych.

Z racji tego, że dostawców usług komunikacji interpersonalnej niewykorzystującej numerów (dalej „Dostawcy”) objęto Projektem PKE, w stosunku do nich zacznie obowiązywać szereg wymagań, jakie częściowo do tej pory obejmowały inne podmioty na gruncie PT. Z jednej strony duża część obowiązków wynikających z Projektu PKE nie stosuje się do przedsiębiorców komunikacji elektronicznej świadczących wyłącznie publicznie dostępne usługi komunikacji interpersonalnej niewykorzystujące numerów będących mikroprzedsiębiorcami.

Z drugiej, Prezes UKE, w drodze decyzji, może nałożyć na podmiot świadczący usługi komunikacji interpersonalnej niewykorzystującej numerów, które osiągnęły znaczny poziom zasięgu i upowszechnienia wśród użytkowników, dodatkowo obowiązki w zakresie:

1) zapewnienia dostępu do interfejsu programistycznego aplikacji oraz

2) zapewnienia związanych z tymi usługami udogodnień, które służą zapewnieniu możliwości zapoznania się z treścią przez osoby z niepełnosprawnościami.

Prezes UKE może nałożyć te obowiązki wyłącznie w sytuacji, gdy możliwość komunikowania się między użytkownikami końcowymi jest zagrożona ze względu na brak interoperacyjności między usługami komunikacji interpersonalnej oraz takie zagrożenie zostało stwierdzone przez Komisję Europejską.

Istotna grupa obowiązków, które Projekt PKE nakłada na Dostawców, dotyczy bezpieczeństwa świadczonych usług. Dostawca, w celu zapewnienia ciągłości działania świadczonych usług, jest zobowiązany uwzględniać możliwość wystąpienia sytuacji szczególnego zagrożenia, czyli stanów nadzwyczajnych, sytuacji kryzysowych w rozumieniu przepisów ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym lub bezpośredniego zagrożenia dla bezpieczeństwa sieci i usług[8]. Obowiązki w zakresie bezpieczeństwa obejmują w szczególności konieczność przeprowadzania systematycznej oceny ryzyka wystąpienia zagrożenia, podejmowania środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do poziomu ryzyka oraz dokumentowania podejmowanych działań. Nie trudno zauważyć, że zarówno zakres, jak i sposób opisania tych obowiązków przypomina treść obowiązków administratorów danych osobowych, jakie wynikają chociażby z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[9] („RODO”). Zasadne są więc uwagi w zakresie „neutralności technologicznej” nowych przepisów – ustawodawca nie proponuje konkretnych rodzajów zabezpieczeń, ale kładzie nacisk na ich adekwatność, którą można zapewnić tylko wtedy, jeżeli ich wprowadzenie poprzedzone zostanie oceną ryzyka. Niezbędnym krokiem zabezpieczającym interesy prawne każdego Dostawcy jest w związku z tym odpowiednie dokumentowanie podejmowanych działań, co pozwalać będzie w przyszłości wykazać rzeczoną adekwatność chociażby w przypadku podejmowania działań kontrolnych przez odpowiedni organ.

Kolejnym istotnym obowiązkiem w zakresu bezpieczeństwa, również przywodzącym na myśl ten wynikający z RODO, jest konieczność informowania Prezesa UKE o wystąpieniu incydentu bezpieczeństwa oraz o podjętych działaniach zapobiegawczych i środkach naprawczych. Definicja incydentu bezpieczeństwa jest dosyć szeroka – jest to każde zdarzenie, które ma rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci i usług. Poinformowanie powinno nastąpić w bardzo krótkim, 24-godzinnym terminie, liczonym od wykrycia incydentu. Tu jednak widzimy różnicę w stosunku do obowiązku notyfikacji wynikającego z RODO, zgodnie z którym termin liczony jest od stwierdzenia naruszenia ochrony danych osobowych, a w ramach „stwierdzenia” Europejska Rada Ochrony Danych przewiduje czas na dokonanie oceny, czy rzeczywiście do naruszenia doszło. Skrócenie terminu do 24 godzin oraz posłużenie się pojęciem „wykrycia” w Projekcie PKE zdaje się być bardziej rygorystyczne niż i tak uznawane za surowe obowiązki notyfikacji wynikające z RODO. Co istotne, progi incydentu bezpieczeństwa, których spełnienie spowoduje powstanie obowiązku informacyjnego, mają zostać określone w rozporządzeniu ministra właściwego do spraw informatyzacji, co też jest rozwiązaniem odmiennym niż zastosowane w RODO. Dostawca, który wykonuje działalność na rynku detalicznym, ma być obowiązany do zamieszczania informacji na swojej stronie internetowej o wystąpieniu incydentu i jego wpływie na dostępność świadczonych usług, jeżeli wpływ ten jest istotny.

W Projekcie PKE uregulowano również uprawnienia Prezesa UKE do dokonywania oceny podjętych przez Dostawcę środków zapewniający bezpieczeństwo sieci i usług. Dostawca musi informować o podjętych środkach, celem umożliwienia Prezesowi UKE realizacji jego uprawnienia, a Prezes UKE, po dokonaniu powyższej oceny, może w drodze decyzji nałożyć na Dostawcę obowiązek zastosowania dodatkowych środków zapewniających bezpieczeństwo sieci lub usług, albo poddania się audytowi, którego wyniki przedsiębiorca udostępnia Prezesowi UKE.

Na Dostawcę w Projekcie PKE zostały również nałożone obowiązki związane z przetwarzaniem danych osobowych. Zdają się one w pewnym zakresie pokrywać z obowiązkami, które już wynikają z przepisów RODO, choć nie w całości. Przepisy Projektu PKE wymagają chociażby wdrożenia polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych, podczas gdy RODO nie przewiduje wprost konieczności posiadania takiego dokumentu, wskazując tylko, że jednym ze środków wymaganych od administratorów jest wdrożenie odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania. W Projekcie PKE przewidziano również wyraźny obowiązek prowadzenia rejestru naruszeń danych osobowych z określeniem, co w tym rejestrze ma się znajdować. Ponownie jest to wymóg bardziej szczegółowy niż wynikający z RODO, gdzie jedynie określono, iż administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, nie wskazując konkretnie, że dokumentowanie ma przyjąć formę rejestru o określonej zawartości.

Sankcje za naruszenie przepisów Projektu PKE

Zwracać musi uwagę bardzo obszerny i określony w dosyć kazuistyczny sposób katalog przypadków, za które w Projekcie PKE przewidziano sankcję w postaci kary pieniężnej. Część z tych przypadków wyraźnie dotyczy Dostawców; np. kary pieniężne nakłada Prezes UKE, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Osobne zasady obliczania kary określono dla podmiotów, które nie przekroczyły wskazanych w przepisach progów w zakresie przychodu w poprzednim roku kalendarzowym lub które nie przekażą informacji o wysokości osiągniętego przychodu. Co istotne decyzji o nałożeniu kary pieniężnej nie nadaje się rygoru natychmiastowej wykonalności. Ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia charakter i zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.

Niezależnie od kar pieniężnych Prezes UKE może nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym, w szczególności osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego przedsiębiorcy telekomunikacyjnego lub związku takich przedsiębiorców, karę pieniężną w wysokości do 300% jego miesięcznego wynagrodzenia. Z racji tego, że usługi komunikacji interpersonalnej niewykorzystującej numerów nie mieszczą się w definicji usług telekomunikacyjnych, to w przypadku osób zarządzających przedsiębiorstwami dostarczającymi ten szczególny rodzaj usług ta dodatkowa odpowiedzialność nie będzie mogła być nałożona.

Podsumowanie

Wejście w życie przepisów Projektu PKE oznacza powstanie szeregu nowych obowiązków dla podmiotów dostarczających usługi komunikacji interpersonalnej niewykorzystującej numerów. Są to obowiązki nowe i z pewnością stanowić będą wyzwanie dla co najmniej części z tych przedsiębiorców, do którego to obowiązku należy zacząć przygotowywać się odpowiednio wcześniej. Jak dodatkowo przewidują autorzy Projektu PKE, wejście w życie jego przepisów, w tym również właśnie objęcie tymi przepisami przedsiębiorców świadczących usługi komunikacji interpersonalnej niewykorzystującej numerów, spowoduje istotne konsekwencje również dla budżetu, w tym wynikające z potrzeby zwiększenia zatrudnienia w urzędach centralnych (UKE oraz w wybranych ministerstwach), a także z potrzeby wydania poradnika dla przedsiębiorców z zakresu nowych regulacji.

Michał Czuryło

radca prawny, wpisany na listę w OIRP w Krakowie od 2013 r., absolwent studiów prawniczych na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego oraz Szkoły Prawa Amerykańskiego współorganizowanej przez Columbus School of Law The Catholic University w Waszyngtonie, Certified Information Privacy Professional – Europe (CIPP/E), specjalizuje się w ochronie danych, prawie nowych technologii, prawie własności intelektualnej, a także w procedurze administracyjnej, partner w Konieczny, Wierzbicki Kancelaria Radców Prawnych, specjalizującej się w dziedzinie szeroko rozumianego prawa gospodarczego, nowych technologii, korporacyjnego, budowlanego oraz prawa cywilnego.

Artykuł pochodzi z Biuletynu Euro Info 2/2021

Więcej takich artykułów przeczytasz w strefie wiedzy PARP

---

[1] Dziennik Urzędowy Unii Europejskiej L 321 z 17 grudnia 2018 r., s. 36.

[2] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów Strategia jednolitego rynku cyfrowego dla Europy z dnia 6 maja 2015 r. COM(2015) 192 final.

[3] Projekt opublikowany w Biuletynie Informacji Publicznej Rządowego Centrum Legislacji pod numerem UC45, https://legislacja.gov.pl/projekt/12336501 - dostęp z 13 kwietnia 2021 r., godzina 17:36.

[4] Tekst jednolity: Dziennik Ustaw z 2021 r, poz. 576.

[5] Projekt opublikowany w Biuletynie Informacji Publicznej Rządowego Centrum Legislacji pod numerem UC46, https://legislacja.gov.pl/projekt/12336502 - dostęp z 13 kwietnia 2021 r., godzina 17:37.

[6] Dziennik Urzędowy Wspólnot Europejskich L 201 z 31 lipca 2002 r., s. 37.

[7] Dziennik Urzędowy Unii Europejskiej L 153 z 22 maja 2014 r., s. 62.

[8] Tekst jednolity: Dziennik Ustaw z 2020 r., poz. 1856 wraz z późniejszymi zmianami.

[9] Dziennik Urzędowy Unii Europejskiej L 119 z 4 maja 2016 r., s. 1.