Projekt PKE, podobnie jak PT, reguluje bardzo wiele obszarów. Poniżej przyjrzę się jednej z „nowości”, czyli przepisom dotyczącym usług komunikacji interpersonalnej niewykorzystujących numerów. Mogą być one ważne w szczególności dla podmiotów z branży internetowej. Należy oczywiście zastrzec, że jak wskazano wyżej, nie jest jeszcze znana ostateczna treść przepisów, więc niektóre postanowienia mogą ulec pewnym zmianom. Termin na implementację ww. dyrektywy upłynął 21 grudnia 2020 r., a również taki termin wejścia w życie większości przepisów został wskazany w Projekcie wprowadzającym PKE. Obecnie, jako prawdopodobny termin uchwalenia nowych przepisów wskazuje się na pierwszy kwartał 2021 r. – nie wiadomo jednak, jaki zostanie przyjęty termin rozpoczęcia stosowania nowych przepisów w stosunku do daty ich uchwalenia.

Usługi komunikacji interpersonalnej niewykorzystujące numerów

EKŁE, a w ślad za nim również Projekt PKE posługuje się pojęciem przedsiębiorców komunikacji elektronicznej. Wynika to z faktu rozszerzenia zakresu podmiotowego EKŁE w stosunku do dotychczasowych dyrektyw telekomunikacyjnych. Poza „tradycyjnymi” przedsiębiorcami telekomunikacyjnymi, zakresem regulacji zostały objęte również podmioty świadczące usługę komunikacji interpersonalnej niewykorzystującej numerów.

Przez usługę komunikacji interpersonalnej rozumie się:

„usługę umożliwiającą bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej, w tym usługę, która:

a) umożliwia realizację połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, zwaną „usługą komunikacji interpersonalnej wykorzystującą numery”,

b) nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, zwaną „usługą komunikacji interpersonalnej niewykorzystującą numerów.”

Usługa komunikacji interpersonalnej musi więc umożliwiać:

• bezpośrednią, interpersonalną (między osobami fizycznymi) oraz interaktywną (tzn. umożliwiającą odpowiedź odbiorcy) wymianę informacji
• za pośrednictwem sieci telekomunikacyjnej
• między skończoną liczbą osób (tzn. nie potencjalnie nieograniczoną)
• gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach.

W EKŁE wskazano, że ww. kategoria obejmuje takie „usługi, jak tradycyjne połączenia głosowe między dwiema osobami, lecz również wszystkie rodzaje poczty elektronicznej, usług przekazywania wiadomości lub czatów grupowych”. Zakresem regulacji mogą być więc objęte w szczególności komunikatory internetowe.

Równocześnie, jak widać z powyższej definicji wyłączone zostały usługi, w których komunikacja stanowi wyłącznie funkcję podrzędną względem głównej usługi. Jak wskazuje się w EKŁE[7]: „[w] wyjątkowych okolicznościach usługi nie należy uznać za usługę łączności interpersonalnej, jeżeli narzędzie do komunikacji interpersonalnej i interaktywnej stanowi wyłącznie nieznaczny dodatek do innej usługi oraz z obiektywnych przyczyn technicznych nie może być użytkowane bez tej usługi głównej, a jego integracja z usługą nie służy obejściu zasad regulujących usługi łączności elektronicznej”. Jako przykład takiej usługi, EKŁE wskazuje na „kanał komunikacyjny w grach internetowych”.

Jednocześnie, usługa komunikacji interpersonalnej stanowi przy tym jedną z kategorii usług komunikacji elektronicznej. Usługa komunikacji interpersonalnej będzie więc również usługą świadczoną za pomocą sieci telekomunikacyjnej, zwykle za wynagrodzeniem. Wynagrodzenie, choć nie wskazano tego wprost w Projekcie PKE, obejmuje nie tylko świadczenia pieniężne. Jak wynika z EKŁE[8], „[p]ojęcie wynagrodzenia powinno zatem obejmować sytuacje, gdy dostawca usług prosi o dane osobowe w rozumieniu rozporządzenia (UE) 2016/679 [RODO – przyp. aut.] lub inne dane, a użytkownik końcowy świadomie, pośrednio lub bezpośrednio, udostępnia dostawcy usług takie dane. Powinno ono również obejmować przypadki, gdy użytkownik końcowy zezwala na dostęp do informacji, choć ich aktywnie nie udostępnia, takich jak dane osobowe, w tym adres IP, lub inne automatycznie generowane informacje, takie jak dane gromadzone i przekazywane przez pliki cookie. (…) wynagrodzenie w rozumieniu Traktatu istnieje również wówczas, gdy dostawca usług otrzymuje zapłatę od strony trzeciej, a nie od usługobiorcy. Pojęcie wynagrodzenia powinno zatem obejmować również sytuacje, gdy użytkownik końcowy jest wystawiony na działanie reklamy jako warunku uzyskania dostępu do usługi, lub sytuacje, gdy dostawca usług uzyskuje korzyść pieniężną z danych osobowych, które zgromadził zgodnie z rozporządzeniem (UE) 2016/679.”

Ponadto, jak wynika z przytoczonej wyżej definicji usługi komunikacji elektronicznej niewykorzystującej numerów, nie umożliwia ona realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, co odróżnia ją od usługi komunikacji elektronicznej wykorzystującej numery, która zalicza się do usług telekomunikacyjnych.

PKE ma określać przy tym zasady wykonywania i kontroli działalności polegającej na zapewnianiu komunikacji elektronicznej, obejmującej świadczenie publicznie dostępnych usług komunikacji interpersonalnej niewykorzystujących numerów. Publicznie dostępne usługi, to usługi dostępne dla ogółu użytkowników.

Wybrane obowiązki nałożone na przedsiębiorcę komunikacji elektronicznej świadczącego usługi komunikacji interpersonalnej niewykorzystujące numerów

Bezpieczeństwo sieci i usług

Na podmiot świadczący usługi komunikacji interpersonalnej niewykorzystującej numerów (dalej jako „usługodawca”) zostało nałożone szereg obowiązków. W pierwszej kolejności można tutaj wskazać na grupę obowiązków związanych z bezpieczeństwem tych usług. Usługodawca w celu zapewnienia ciągłości działania świadczenia usług jest obowiązany uwzględniać możliwość wystąpienia sytuacji szczególnego zagrożenia (czyli stan nadzwyczajny, sytuację kryzysową, w rozumieniu ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym lub bezpośrednie zagrożenie dla bezpieczeństwa sieci i usług). W tym kontekście, usługodawca jest zobowiązany w szczególności do:

• przeprowadzania systematycznej oceny ryzyka wystąpienia zagrożenia,
• podejmowania środków technicznych i organizacyjne zapewniających poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka oraz
• udokumentowania ww. działań.

Ponadto, usługodawca jest zobowiązany do przekazywania Prezesowi Urzędu Komunikacji Elektronicznej (UKE) informacji o wystąpieniu incydentu bezpieczeństwa (każde zdarzenie, które ma rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci i usług), przekraczającego progi incydentu bezpieczeństwa określone w przepisach wykonawczych oraz podjętych środkach naprawczych. Poinformowanie Prezesa UKE powinno nastąpić niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia. Informację uzupełnia się w trakcie obsługi incydentu bezpieczeństwa. Jednocześnie, usługodawca wykonujący działalność na rynku detalicznym jest zobowiązany poinformować, w tym na swojej stronie internetowej, o incydencie bezpieczeństwa i jego wpływie na dostępność świadczonych usług, jeżeli w jego ocenie ten wpływ jest istotny. Niezależnie od wystąpienia incydentu, usługodawca wykonujący działalność na rynku detalicznym, jest zobowiązany również do zamieszczenia informacji na stronie internetowej dot.: potencjalnych zagrożeń związanych z korzystaniem z usług, rekomendowanych środków ochronnych i sposobów zabezpieczeń, przykładowych konsekwencji nieodpowiedniego zabezpieczenia urządzeń końcowych.

Umowy dotyczące świadczenia usług komunikacji interpersonalnej niewykorzystującej numerów

Kolejną grupą obowiązków nałożonych na usługodawców są obowiązki związane z zawieranymi umowami dotyczącymi świadczenia usług komunikacji interpersonalnej niewykorzystującej numerów. W projekcie PKE zawarto m.in. minimalne wymagania treściowe samej umowy, w zależności od tego jaki rodzaj podmiotu jest usługobiorcą. Usługodawca jest również zobowiązany do przedstawienia stronie umowy będącej konsumentem odpowiednich informacji przedumownych, a także zwięzłego podsumowania warunków umowy (wymogi te mają również odpowiednie zastosowanie do użytkownika końcowego będącego mikroprzedsiębiorcą, małym przedsiębiorcą lub organizacją pozarządową).

Obowiązki związane z przetwarzaniem danych osobowych

Na usługodawcę zostały również nałożone obowiązki związane z przetwarzaniem danych osobowych, obok tych wskazanych w ogólnym rozporządzeniu o ochronie danych[9] (RODO). Projekt PKE wskazuje, że usługodawca obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Jednocześnie „niezależnie od wymogów wskazanych w RODO” takie środki ochrony zapewniają, co najmniej:

• aby dostęp do danych osobowych miała jedynie osoba upoważniona przez administratora danych,
• ochronę przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
• wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Wydaje się jednak, że wskazane wymogi wynikają już z samego RODO, więc przy odpowiednim dostosowaniu podmiotu do wymogów RODO, wprowadzenie dużych zmian w zakresie ochrony danych osobowych zasadniczo nie będzie konieczne.

Projekt PKE zakłada również autonomiczną względem wymogów RODO regulację w zakresie informowania Prezesa Urzędu Ochrony Danych Osobowych (PUODO) o naruszeniu ochrony danych osobowych, odwołując się przy tym do rozporządzenia unijnego wydanego na podstawie dyrektywy e-Privacy tj. rozporządzenia 611/2013[10]. Rozporządzenie nakłada obowiązek informowania o każdym naruszeniu (w przeciwieństwie do RODO, gdzie wskazano, że zgłoszenie naruszenia do PUODO nie jest konieczne, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych).

Wspomniane rozporządzenie zawiera również wymogi co do treści zgłoszenia, zarówno w zakresie informowania organu nadzorczego, jak i osób, których dane dotyczą. Na marginesie należy wskazać, że regulacja dotycząca kwestii informowania o naruszeniu ochrony danych w Projekcie PKE niekonsekwentnie posługuje się pojęciami określającymi adresatów wspomnianych obowiązków, wskazujących w różnych miejscach na dostawców usług komunikacji elektronicznej, dostawców usług telekomunikacyjnych, jak i przedsiębiorców telekomunikacyjnych. Znacząco komplikuje to interpretację projektowanych przepisów.

Kary za nieprzestrzeganie przepisów

Projekt PKE, podobnie jak i obecne PT, zawiera listę kilkudziesięciu naruszeń przepisów, które uprawniają do nałożenia kary pieniężnej. Kary pieniężne nakłada Prezes UKE, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. W większość przypadków, Prezes UKE powinien uwzględnić przy nakładaniu kary pieniężnej okoliczności takie jak: niższe przychody albo brak przychodów w poprzednim roku kalendarzowym, charakter i zakres naruszenia, dotychczasową działalności podmiotu oraz jego możliwości finansowe. Jednocześnie, decyzji o nałożeniu kary pieniężnej nie nadaje się rygoru natychmiastowej wykonalności. Z drugiej strony, co warto podkreślić, kara może zostać nałożona także w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli Prezes UKE uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. Ponadto, niezależnie od ww. kar pieniężnych, Prezes UKE może nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym, w szczególności osobę pełniącą funkcję kierowniczą, karę pieniężną w wysokości do 300% jego miesięcznego wynagrodzenia.

Poza Prezesem UKE, kary pieniężne na podstawie przepisów Projektu PKE, mogą zostać również nakładane przez PUODO – w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.

Podsumowanie

Wprowadzenie opisywanych przepisów może być sporym wyzwaniem dla podmiotów, które wcześniej nie były objęte reżimem prawa telekomunikacyjnego. Dotyczy to w szczególności obowiązku zapewnienia właściwego poziomu bezpieczeństwa sieci i usług, w tym obowiązku informowania właściwych organów o incydentach bezpieczeństwa w ciągu 24 godzin od momentu ich wykrycia. Będzie się to wiązać z koniecznością wdrożenia dodatkowych środków organizacyjnych i technicznych, a przynajmniej z dokonaniem przeglądu i odpowiedniego dostosowania stosowanych już środków, w tym procedur wdrożonych wewnątrz organizacji.

[1] https://legislacja.gov.pl/projekt/12336501 (dostęp 23.12.2020 r.).

[2] https://legislacja.gov.pl/projekt/12336502/ (dostęp 23.12.2020 r.).

[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona) (Dz. U. UE. L. z 2018 r. Nr 321, str. 36 z późn. zm.).

[4] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2019 r. poz. 2460 z późn. zm.).

[5] Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE. L. z 2002 r. Nr 201, str. 37 z późn. zm.).

[6] Dyrektywa Parlamentu Europejskiego i Rady 2014/53/UE z dnia 16 kwietnia 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych i uchylająca dyrektywę 1999/5/WE (Dz. U. UE. L. z 2014 r. Nr 153, str. 62 z późn. zm.).

[7] Por. motyw 17 EKŁE.

[8] Por. motyw 16 EKŁE.

[9] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

[10] Rozporządzenie Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. U. UE. L. z 2013 r. Nr 173, str. 2).