Projekt nowelizacji Prawa telekomunikacyjnego – stanowisko Panoptykonu

2 sierpnia przesłaliśmy Ministerstwu Infrastruktury nasze uwagi w konsultacjach projektu nowelizacji Prawa telekomunikacyjnego. Zakres proponowanych zmian jest dość szeroki. My skupiliśmy się na tych, które dotyczą zasad wykorzystywania plików cookies, tajemnicy telekomunikacyjnej i obowiązku zawiadomienia o naruszeniu bezpieczeństwa danych osobowych.

Proponowane zmiany art. 173 ust. 1 Prawa telekomunikacyjnego dotyczą obowiązków informacyjnych związanych z wykorzystywaniem plików cookies, które umożliwiają profilowanie internautów i rejestrowanie ich codziennej działalności w sieci. Zaproponowane zmiany niewątpliwie pomogą bardziej efektywnie chronić prawa użytkowników sieci, jednak w naszej ocenie są niewystarczające. Nie gwarantują dostatecznego poziomu ochrony prywatności użytkowników Internetu.

Badania pokazują, że niewiele osób korzystających z sieci, poświęca czas na modyfikowanie domyślnych ustawień prywatności i odpowiednią konfigurację przeglądarek internetowych. Jednocześnie poczucie zagrożenia związane z ochroną prywatności w Internecie wzrasta – problem naruszeń prywatności w sieci staje się coraz powszechniej dostrzegalny, o czym świadczy choćby liczba skarg do Generalnego Inspektora Ochrony Danych Osobowych dotyczących Internetu, która w 2010 r. podwoiła się w stosunku do 2009 r. Co więcej, trudno oczekiwać, aby świadomość „statystycznego użytkownika” Internetu w pełni nadążała za szybkim rozwojem technologicznym, który postępuje także w odniesieniu do ciągłej ewolucji plików typu cookies.

Dlatego w swoim stanowisku przestrzegamy przed rezygnacją projektodawcy z przyjętego w dyrektywie modelu opt-in – który wymaga zgody użytkownika na przechowywanie i uzyskiwanie dostępu do plików cookies – i przyjęciem założenia, że zgoda może mieć w tym przypadku charakter domyślny. Jak piszemy w naszym stanowisku: „Użytkownicy Internetu powinni mieć zagwarantowaną nie tylko możliwość zgłoszenia sprzeciwu, ale przede wszystkim prawo do niewyrażenia zgody. Utrzymanie »zgody« jako »opcji domyślnej« nie zapewnia pełnej świadomości korzystania z usług internetowych związanych z korzystaniem z plików cookies. (…) Aby uniknąć zagrożeń i niedogodności związanych z ograniczeniem działalności podmiotów gospodarczych korzystających z cookies, należy jednocześnie założyć, że wyraźna zgoda wyrażona w trybie opt-in nie musi dotyczyć każdego konkretnego pliku, ale może być generyczna (dotyczyć danego rodzaju pliku cookies lub danego usługodawcy)”.

Pozytywnie oceniamy propozycję wprowadzenia przepisów dotyczących obowiązku zawiadamiania o przypadkach naruszenia danych osobowych użytkowników Generalnego Inspektora Ochrony Danych Osobowych, a w przypadku zagrożenia prywatności również samych użytkowników (art. 174a). Zwracamy jednak uwagę, że obowiązek zawiadomienia użytkowników powinien być utrzymany w każdej sytuacji, nawet jeśli „usługodawca wdrożył odpowiednie techniczne środki ochrony danych osobowych”.

Z aprobatą przyjmujemy również propozycję poszerzenie definicji „danych transmisyjnych” o dane "wskazujące położenie geograficzne urządzenia końcowego" wygenerowane także „w ramach usług telekomunikacyjnych” (art. 159 ust. 1 pkt 3) oraz ograniczenie prawa ujawniania „komunikatów i danych” objętych tajemnicą telekomunikacyjną do sytuacji, w których postanowienie w tym przedmiocie wyda sąd karny (art. 159 ust. 4), a nie – jak wynika to z obecnie obowiązujących przepisów – każdy sąd.

Ostatnia zmiana – zgodnie z przedstawionym uzasadnieniem projektu nowelizacji – ograniczyć ma korzystanie z danych retencyjnych na użytek prowadzonych postępowań cywilnych. Zmianę tę oceniamy pozytywnie, jednak uważamy za kosmetyczną i niewystarczającą w kontekście innych przepisów Prawa telekomunikacyjnego:

Tak długo, jak pozostaną w mocy obecne zasady dotyczące retencji danych (przede wszystkim art. 180a Prawa telekomunikacyjnego) zasadniczy problem – niekontrolowanego dostępu do gromadzonych danych przez służby i inne organy, w tym sądy cywilne – pozostaje nierozwiązany. Potrzebna jest zatem kompleksowa rewizja postanowień Prawa telekomunikacyjnego, a także przepisów zawartych w odrębnych ustawach regulujących dostęp i korzystanie z przechowywanych przez usługodawców danych telekomunikacyjnych (czyli w „ustawach kompetencyjnych” regulujących uprawnienia poszczególnych służb czy w Kodeksie postępowania karnego).

Pełna treść naszego stanowiska