Branża cyfrowa krytykuje projekt Prawo komunikacji elektronicznej: "Niekorzystny wpływ na prywatność i cyberbezpieczeństwo"

Projekty dwóch ustaw dotyczących prawa komunikacji elektronicznej wpłynęły do Sejmu w grudniu, na bieżaco na łamach CyberDefence24.pl opisujemy stan prawny i efekt ewentualnego wejścia przepisów w życie. Relacjonowaliśmy m.in. pierwsze czytanie projektu w Sejmie.

"Wprowadzenie nowych przepisów jest konieczne, bo ma na celu wykonanie prawa Unii Europejskiej i zastąpienie przestarzałej ustawy o prawie telekomunikacyjnym z 2004 roku – mówi Michał Kanownik, prezes Związku Cyfrowa Polska.

"Jako przedstawiciele organizacji branżowej, zrzeszającej największe firmy z branży nowoczesnych technologii, dostrzegamy jednak konieczność rewizji kilku najbardziej kontrowersyjnych zapisów. Dlatego wystosowaliśmy pismo do marszałek Elżbiety Witek, w którym ze szczegółami wyjaśniamy problematyczne kwestie" – precyzuje.

Czy państwo powinno mieć dostęp do naszych danych?

Zastrzeżenia ekspertów wzbudza przede wszystkim artykuł 43, nakładający na przedsiębiorców komunikacji elektronicznej obowiązek udzielenia służbom państwowym dostępu do danych użytkowników. Obowiązek ten musi zostać zrealizowany w ciągu 24 godzin bez kontroli sądowej.

Przede wszystkim jednak artykuł 43 nie precyzuje okoliczności, w jakich służby mogą uzyskać prywatne dane użytkowników sieci. To zdaniem Cyfrowej Polski może doprowadzić do naruszeń praw i wolności zagwarantowanych w Konstytucji.

"W coraz szybciej cyfryzującym się świecie prawo powinno regulować kwestie dostępu służb państwowych do przesyłanych w internecie treści. Jednak z drugiej strony obowiązkiem przedsiębiorcy jest zapewnienie jak największego poszanowania prawa użytkowników, w tym ich bezpieczeństwa i prywatności. Dlatego ustawa powinna jasno określać granice stosowania tego przepisu" – wyjaśnia Michał Kanownik.

Prezes Cyfrowej Polski dodaje również, że organy władzy publicznej mogą działać tylko na podstawie i w granicach prawa. Z konsekwencjami źle napisanej ustawy możemy się zatem mierzyć przez wiele następnych lat.

Niewykonalne terminy problemem dla przedsiębiorców

Eksperci Związku Cyfrowa Polska podkreślają także krótki termin realizacji przepisu o wydaniu dostępu do danych. W piśmie skierowanym do marszałek Elżbiety Witek zwrócili uwagę, że w 24 godziny trudno zrealizować każde żądanie, szczególnie jeśli chodzi o firmy działające wirtualnie - poza granicami państw.

Tymczasem, zgodnie z projektem ustawy, jeszcze mniej czasu daje przedsiębiorcom artykuł 53, dotyczący nakazu zatrzymania świadczenia usług w przypadku niejasno określonego "zagrożenia obronności, bezpieczeństwa państwa lub porządku publicznego".

W takim wypadku przedsiębiorca - wedle projektu ustawy - musi w ciągu 6 godzin zablokować wskazane przez odpowiedni urząd przekazy lub połączenia. Związek Cyfrowa Polska uważa, że to termin, który w wielu przypadkach może być niewykonalny – usługi komunikacji elektronicznej są często świadczone spoza terytorium Polski, a ich operatorzy funkcjonują według różnych stref czasowych.

Wątpliwości specjalistów budzi też tryb ustnego przekazania takiej decyzji.

"Bezwzględnie uznajemy konieczność przeciwdziałania zagrożeniom bezpieczeństwa kraju. Uważamy jednak, że tak istotne przepisy powinny być skonstruowane w sposób maksymalnie przejrzysty i nie budzący wątpliwości w kwestii zgodności z zasadami konstytucyjnymi. Tymczasem zastosowane środki wydają się nieproporcjonalne i nieracjonalne, a często wręcz niemożliwe do spełnienia. Nie spełniają one zasady pewności prawa, ani nie gwarantują skutecznego środka odwoławczego od wydanej decyzji" – ocenia Kanownik.

Nagłe przenosiny serwerowni zagrożeniem dla cyberbezpieczeństwa?

Prezes Cyfrowej Polski podkreśla też konieczność przyjrzenia się zapisom nakazującym przedsiębiorcom przechowywanie danych wyłącznie na terytorium Polski (artykuł 47). Według Michała Kanownika nakładanie takiego obowiązku na wszystkie podmioty świadczące usługi komunikacji elektronicznej czy przedsiębiorców telekomunikacyjnych jest "nie tylko nadmiarowe i nietransparentne, ale stoi również w sprzeczności z ideą jednolitego rynku cyfrowego".

Czy oznaczałoby to, że cyfrowi giganci zostaliby zmuszeni do przenoszenia obszernych serwerowni na teren Polski? Takie rozwiązanie - zdaniem ZIPSEE - nie powinno być wprowadzane odgórnie.

"Każda firma technologiczna korzysta bowiem ze swojej infrastruktury, której nie da się przebudować w krótkim czasie - według obecnie proponowanych zapisów: sześć miesięcy od wprowadzenia w życie PKE - bez konsekwencji dla cyberbezpieczeństwa. Tym bardziej, że fizyczna lokalizacja danych na terytorium danego państwa niekoniecznie musi się wiązać z ich ochroną przed nieuprawnionym dostępem – bardziej liczą się stosowane rozwiązania techniczne i wypracowane już procedury. Ich nagła zmiana może być groźna w skutkach" - czytamy w opinii ZIPSEE, przekazanej naszej redakcji.

Zmiana na rynku cyfrowym dotknie wszystkich użytkowników

Zdaniem organizacji, przepisy tej rangi "powinny podlegać szerokim konsultacjom społecznym i spotkaniom warsztatowym, by wypracować przemyślane rozwiązania, nienaruszające zasad swobody prowadzenia działalności gospodarczej i uwzględniających realia ekonomiczne oraz technologiczne".

Natomiast kontrowersyjne artykuły zostały dodane na ostatnim etapie prac rządowych, bez jakichkolwiek konsultacji z rynkiem.

"Ingerencja w zaproponowane przez rząd przepisy jest według Cyfrowej Polski konieczna, bo wprowadzenie ustaw o PKE będzie się wiązać z fundamentalną zmianą zasad funkcjonowania rynku cyfrowego w Polsce. A to dotknie nie tylko przedsiębiorców z branży cyfrowej, ale przede wszystkim końcowych użytkowników sieci – czyli nas wszystkich" - podsumowuje Związek Cyfrowa Polska.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].