MAiC w ofensywie: nowe Prawo telekomunikacyjne i nowe przepisy o retencji danych. Co my na to?

Artykuł

Ministerstwo Administracji i Cyfryzacji (MAiC) ogłosiło właśnie dodatkowe, otwarte konsultacje projektu Prawa telekomunikacyjnego. Najwyraźniej nasz postulat „konsultacje w Internecie, nie w gabinecie” przebił się w MAiC – każdy może przekazać swoje opinie za pośrednictwem elektronicznej platformy Mam Zdanie. A czy każdy powinien? Naszym zdaniem tak, bo proponowane zmiany dotkną każdego użytkownika sieci. Najważniejsze wątki to: skrócenie okresu retencji (czyli przechowywania danych telekomunikacyjnych dla celów bezpieczeństwa) z 24 do 12 miesięcy, zagwarantowanie użytkownikom prawa sprzeciwu wobec serwowanych im plików cookie i nałożenie na firmy obowiązku informowania o niebezpiecznych wyciekach danych osobowych. 

 

Rozwiązania proponowane w konsultowanym projekcie są ważne, ale bynajmniej nie nowe. W dużej mierze wynikają one z konieczności wdrożenia tzw. Pakietu telekomunikacyjnego (kilku powiązanych dyrektyw dotyczących telekomunikacji). Prace nad nowelizacją trwają już dobrze ponad rok, a oficjalne konsultacje społeczne odbyły się w sierpniu 2011 r. Jedyną nowością, jaka pojawiła się w projekcie konsultowanym przez MAiC, jest propozycja skrócenia okresu retencji danych z 24 do 12 miesięcy. Tę propozycję przedstawił – jeszcze we wrześniu 2011 r. – minister Jacek Cichocki (wówczas Sekretarz Kolegium ds. Służb Specjalnych), jako część większego pakietu reformującego zasady korzystania przez sądy, prokuraturę i służby z danych telekomunikacyjnych.

Z propozycji ministra Cichockiego do konsultowanej nowelizacji przedostał się tylko jeden postulat: skrócenia okresu retencji. To sprawa ważna, ale wciąż tylko czubek góry lodowej. Eksperci MAiC zdają sobie z tego sprawę, ponieważ zastrzegają, że obecna nowelizacja Prawa telekomunikacyjnego to dopiero początek. Trzeba się będzie zmierzyć z kilkunastoma „ustawami kompetencyjnymi”, czyli przepisami, które regulują sposób korzystania z naszych danych przez poszczególne służby. Warto by też zajrzeć do kodeksów postępowania karnego i cywilnego, pod kątem uprawnień sądów i prokuratury. To poważna reforma, której nie da się zrealizować w jednym kroku. Z drugiej strony, otwarte konsultacje społeczne miałyby o wiele większy sens, gdyby na stole leżał już cały pakiet, a nie dopiero szczątkowe rozwiązania.

Tym bardziej, że także w ramach samego Prawa telekomunikacyjnego przydałyby się dodatkowe zmiany. Sygnalizowaliśmy je jeszcze w grudniu, komentując rozwiązania proponowane przez ministra Cichockiego. Nierozwiązana pozostaje na przykład kwestia zwrotu kosztów, jakie po stronie operatorów generują obowiązek zatrzymywania i udostępniania danych. Przerzucenie na policję i służby przynajmniej częściowego obowiązku pokrywania tych kosztów mogłoby podziałać na funkcjonariuszy dyscyplinująco. Wciąż niedoskonałe są przepisy dotyczące sprawozdawczości: Urząd Komunikacji Elektronicznej dostaje tylko ogólne dane od samych operatorów (ile zapytań od wszystkich uprawnionych organów było w danych roku), natomiast nie mamy żadnej możliwości zweryfikowania, jakie organy i w jakich celach pobierają konkretne rodzaje danych telekomunikacyjnych.

Co do samego okresu retencji, wielokrotnie podkreślaliśmy, że skrócenie obecnie obowiązującego okresu o symboliczną "połowę", niepoparte odpowiednimi analizami, nie rozwiązuje problemu. W opinii wysłanej w grudniu do ministra Cichockiego pisaliśmy:


Naszym zdaniem to ograniczenie jest niewystarczające. Co więcej, wybór akurat tego okresu nie został poparty dostateczną analizą. W uzasadnieniu jest jedynie mowa o braku dostatecznego uzasadnienia dla zatrzymywania danych przez okres 24 miesięcy, natomiast nie pojawiają się konkretne argumenty za przyjęciem okresu 12-miesięcznego. Zgodnie z Raportem na temat ewaluacji dyrektywy retencyjnej opracowanym przez Komisję Europejską6 tylko w Polsce wprowadzono obowiązkową retencję wszystkich typów danych telekomunikacyjnych przez maksymalny okres 2 lat. W 15 krajach czas ten wynosi 12 miesięcy, a w trzech (Cypr, Litwa, Luksemburg) jedynie 6 miesięcy.

Warto również pamiętać, że kilka krajów w ogóle nie wdrożyło dyrektywy retencyjnej i polega wyłącznie na danych przechowywanych przez operatorów w celach komercyjnych (zwykle jest to okres od 3 do 6 miesięcy). Termin roczny stanowi niejako „wypośrodkowanie” istniejących rozwiązań niepoparte dostateczną analizą, podczas gdy to po stronie państwa (na podstawie art. 31 ust. 3, art. 47 i 49 Konstytucji RP) istnieje obowiązek wykazania, że proponowane ograniczenie prawa do prywatności jest konieczne i proporcjonalne w demokratycznym państwie.


Co do pozostałych zmian proponowanych w konsultowanej nowelizacji, swoje uwagi przesłaliśmy  Ministerstwu Infrastruktury jeszcze w sierpniu, przy okazji pierwszych kosultacji społecznych. Pisaliśmy w nich m.in.:

Pozytywnie oceniamy również wprowadzone w projekcie ustawy ograniczenie prawa ujawniania „komunikatów i danych” objętych tajemnicą telekomunikacyjną do sytuacji, w których postanowienie w tym przedmiocie wyda sąd karny (art. 159 ust. 4), a nie – jak wynika to z obecnie obowiązujących przepisów – każdy sąd. Zmiana ta – zgodnie z przedstawionym uzasadnieniem projektu nowelizacji – ograniczyć ma niedopuszczalne w odniesieniu do ochrony przed nadmierną ingerencją w prawa i wolności obywatelskie, korzystanie z dostępu do danych retencyjnych na użytek prowadzonych postępowań cywilnych. (…)

Potrzebna jest kompleksowa rewizja postanowień Prawa telekomunikacyjnego, a także przepisów zawartych w odrębnych ustawach regulujących dostęp i korzystanie z przechowywanych przez usługodawców danych telekomunikacyjnych (czyli w „ustawach
kompetencyjnych” regulujących uprawnienia poszczególnych służb, czy w Kodeksie postępowania karnego). Postulowane, najbardziej pilne zmiany dotyczą m.in. zdefiniowania katalogu najpoważniejszych przestępstw, przy których będzie można korzystać z retencji; ograniczenia kategorii danych, jakie są przechowywane; ograniczenia kręgu podmiotów uprawnionych do dostępu do danych; wprowadzenie zewnętrznej kontroli nad dostępem do danych, wprowadzenia obowiązku informacyjnego względem inwigilowanej osoby o czynnościach kontrolnych po ich zakończeniu; czy też skrócenie czasu przechowywania danych przez operatorów.

Zdecydowanie krytycznie odnieśliśmy się do przepisów dotyczących serwowania plików cookie. Nowelizacja Prawa telekomunikacyjnego ma zakończyć wdrażanie znowelizowanej dyrektywy o prywatności i łączności elektronicznej, która (w art. 5 ust. 3) wyraźnie zabrania serwowania plików cookie bez uprzedniej zgody użytkownika. Przy czym od tej zasady zrobiono ważny wyjątek dla danych, których zachowanie na urządzeniu końcowym użytkownika jest konieczne do świadczenia usługi. Tymczasem w projekcie nowelizacji w miejsce wymogu uzyskania zgody użytkownika pojawia się tylko prawo do wyrażenia sprzeciwu (wobec serwowania plików cookie w przyszłości) oraz zaostrzone obowiązki informacyjne po stronie usługodawcy. W naszych uwagach pisaliśmy:

Przyjęcie, że rozszerzone obowiązki informacyjne po stronie usługodawców spowodują w sposób automatyczny, że użytkownicy będą w bardziej świadomie „obsługiwać” pliki typu cookies jest niebezpieczną fikcją. Badania pokazują, że niewielu użytkowników Internetu, poruszając się po sieci, poświęca czas na modyfikowanie narzuconych „odgórnie” ustawień prywatności i odpowiednią konfigurację przeglądarek internetowych. Jednocześnie poczucia zagrożenia związane z ochroną prywatności w Internecie wzrasta – problem naruszeń prywatności w sieci staje się coraz powszechniej dostrzegalny, o czym świadczy choćby liczba skarg do Generalnego Inspektora Ochrony Danych Osobowych dotyczących Internetu, która w 2010 r. uległa podwojeniu w stosunku do 2009 r.

(…) uważamy za niezbędne wprowadzenie modelu wyrażania zgody w trybie opt-in. Użytkownicy Internetu powinni mieć zagwarantowaną nie tylko możliwość zgłoszenia sprzeciwu, ale przede wszystkim prawo do niewyrażenia zgody. Utrzymanie zgody jako „opcji domyślnej” nie zapewnia pełnej świadomości korzystania z usług internetowych związanych z korzystaniem z plików cookies. Dlatego też, w naszej ocenie, projektodawca powinien rozważyć rezygnację z utrzymania zgody domniemywanej z braku sprzeciwu i wprowadzić obowiązek jej uprzedniego uzyskania przez usługodawców.

Komentarze

Nie wiem jak dla Was, ale dla mnie art 175c jest tak ogolny, ze mozna go sobie dowolnie zinterpretowac: "mające na celu eliminację przekazu komunikatu, który stwarza ryzyko dla bezpieczeństwa sieci lub usług lub może skutkować ich degradacją." A przepraszam, jaki to "przekaz komunikatu" stwarza takie zagrozenie ? I co to sa "proporcjonalne i uzsadnione srodki techniczne, organizacyjne i prawne" , ktore to dostawca moze podjac w celu wyeliminowania zagrozenia ?? Dla mnie brzmi to jednoznacznie - przemycamy furtke do odcinania uzytkownika od sieci, tudziez powiadamiania "odpowiednich sluzb", ze jakis uzytkownik "zlamal prawo"... Poprawcie mnie prosze jesli sie myle.

Jak przeciętny bloger, mikro firma mająca stronę domową czy NGO korzystający w większości z Joomla, Wordpress, Drupal i innych cms-ów serwujących cisteczka mają zapewnić blokowanie ciasteczek utrzymując działanie serwisu. Przecież oni nie mają wiedzy programistycznej. Chcecie ich zmusić żeby wynajęli  i opłacili programistę który im dorobi taką funkcjonalność?Nie tędy droga szanowni Państwo, mnie jako blogera piszącego hobbystycznie (i płacącego samodzielnie za utrzymanie bloga) nie stać na dodatkowe koszty, czyli zapłacenie za głupotę użytkownika. Sam nie będę w stanie tego zrobić więc co mam zamknąć bloga?Trzeba edukować użytkowników że cookie mogą być złe, pokazywać jak je blokować a nie przekładać odpowiedzialność na tych co mają za co wprowadzić takich zmian, no chyba że chcecie wybić cały wartościowy plankton z internetu. 

... a jedynie ciastek serwowanych w celach reklamowych, które śledzą zachowanie użytkownika i umożliwiają jego profilowanie. Nie chodzi też o uregulowanie właścicieli blogów, ale firm, które zarabiają na reklamie behawioralnej. Art. 5 ust 3 dyrektywy o prywatności i łączności elektronicznej, który Polska próbuje wdrożyć, wyraźnie WYŁĄCZA z obowiązku uzyskiwania zgody dane (ciastka), których zapisywanie na urządzeniu końcowym użytkownika jest konieczne do świadczenia usługi. Ktoś, kto hobbistycznie prowadzi bloga i nie próbuje na nim zarabiać dzięki reklamie bahewioralnej nie musi się o nic martwić, jego ta regulacja nie dotyczy. Z drugiej strony ten, kto blogu próbuje zarabiać - dzięki reklamie behawioralnej - i tak musi zawrzeć kontrakt z kimś "większym", kto obsłuży dość skomplikowany mechanizm OBA na jego blogu (np. z firmą Google;-). Nie jest jeszcze ustalone, jak ten nowy obowiązek miałby być implementowany, ale z pewnością obowiązki informacyjne lub obowiązek uzyskiwania zgody ciążyłby tylko na tych podmiotach, które obsługują ciastka wysyłane w celu profilowania użytkowników (a nie tych, np. pojedynczego blogera, którzy pośrednio z tego systemu korzystają). Wreszcie, nikt nie proponuje wdrażania systemu, w którym potrzebna będzie zgoda na KAŻDE ciastko! Chodzi o rozwinięcie skutecznych mechanizmów "hurtowego" akceptowania (bądź nie) ciastek serwowanych przez różne podmioty. Taki mechanizm prawdopodobnie musiałby działać na poziomie przeglądarki, a nie indywidualnego bloga... Czy to jest teraz odrobinę jaśniejsze?Z pozdrowieniami,Fundacja Panoptykon

Interpretacja tego przepisu wymaga sporej kompetencji technicznej. My w tym zakresie posiłkujemy się opiniami kolegów "szkolonych w IT", bo sami jesteśmy przede wszystkim "szkoleni w prawie" ;-) Z opinii, jakie do tej pory zebraliśmy wynika, że dla ludzi odpowiedzialnych za bezpieczeństwo sieci to jest jasne. Chodzi o takie komunikaty jak np. wirusy rozsyłane przez botnety czy inne, ewidentne ataki na system informatyczny albo spam. Tego narzędzia nie można wykorzystać do kontroli komunikatów pod względem ich "zawartości": operator nie ma nawet prawa sprawdzić, co "leci" wewnątrz pakietu. Jeśli zatrzyma "nieszkodliwy" komunikat, użytkownik ma do dyspozycji standardową procedurę reklamacyjną. I jeśli się okaże, że interwencja była nieuzasadniona, UKE może takiego operatora ukarać bardzo dotkliwą karą finansową (do 3% przychodu). To naprawdę by im się nie opłacało :-)Ale oczywiście, sprawa nie jest bagatalna - właśnie dlatego się jej przyglądamy. Jeśli ktoś z szanownych czytelników czuje, że potrafiłby ten przepis sensownie doprecyzować - prosimy o pilny kontakt! W piątek wysyłamy swoją opinię.Z pozdrowieniami,Fundacja Panoptykon

to przecież próżna dyskusja ze złodziejami na temat czy mogą nas okrasać na maxa, czy tylko trochę mniej - bo jeśli trochę mniej, to znaczy, że już dobrze i mamy się zgodzić ??? ja w ogóle nie zdadzam się, by amerykanie okradali nas w trybie ich tzw. "własności intelektualnej" !!!każdy monopol, a takim właśnie jest tzw. "własność intelektualna", oznacza utratę wolności, bo wyklucza równość prawa, konkurencję, uczciwość, etykę, demokrację i swobody obywatelskie...

kolejny "bzdetotemat" mający na celu odwrócenie uwagi...Jestem użytkownikiem internetu od początku istnienia go w Polsce. To co widzę to już nie jest obawa tylko przerażenie. Państwo Polskie daje wolną rękę prywatnym firmą i korporacjom do inwigilowania i manipulacji za pośrednictwem internetu. Cel jest prosty, zrobić z nas bandę idiotów którzy nie będą mieli prawa wypowiedzieć się w wolny sposób w sieci, za to będą dawać swoje dane , które są mięsem firm marketingowych i nie wiadomo jeszcze kogo (?). Wciągnięto nas w Internet- darmowe strony których nie byli w stanie ogarnąć zastąpili portalami społecznościowymi (żałosne)- bezpieczne i wygodne dla internetowych tuzów, ale nie dla społeczeństwa.Ustawa "antyterrorystyczna" to żenada do kwadratu- chodzi o to byście czuli bat na dupie gdy piszecie coś niepasującego do "ogólnie popieranego" prądu szarej głupoty. Państwo i rządy będące na usługach korporacji (bo chyba tylko naiwny dureń tego nie rozumie) ma gdzieś nasze bezpieczeństwo - widać to po kilku milionach obywateli którzy stąd uciekli...Ciasteczka..PORNOGRAFIA jest zakazana i powinna być zakazana- prawo ? Dlaczego nikt tego jeszcze nie załatwił? Czy właściciele tych stron nadają z Księżyca. Obłuda, manipulacja. dezinformacja..poziom intelektualny Polaków i ich wyobraźnia chyba dosięga bruku, jeśli tego nie dostrzegacie i nie "trąbicie" żeby bronić własne otłuszczone tyłki...Państwa i korporacje nie interesuje wasza internetowa wygoda, tylko totalna kontrola nad wszystkim i wszystkimi...15 lat temu komputery były dużo wolniejsze i internet miał mniejszą przepustowość, ale dało się bez problemów surfować...teraz jest wieeelokrotnie szybsze jedno i drugie (podobno). a załadowanie najprostszej strony to czasami makabra, nie mówiąc o tym co wycieka i wnika do waszych komputerów bez waszej wiedzy. Kilka miliardów ludzi i jedna, jedynie słuszna przeglądarka -do tego to zmierza i tak się kończy dyskusja na temat monopoli i "wolności"- tego też nie widzicie ? Same kłamstwa i szowinizm obecnej "pojemnej" sieci z której wymiotło się olbrzymią ilość wartościowych stron (oczywiście syf jak był tak jest i to o "pół piekła" gorszy). Oślepliście dokumentnie ,czy za krótko żyjecie?

Dodaj komentarz