Tajemnica telekomunikacyjna obowiązująca przedsiębiorcę telekomunikacyjnego a tzw. ustawa inwigilacyjna

Stan prawny na 2016

Termin "tajemnica telekomunikacyjna" zdefiniowany został w przepisie art. 159 ust. 1 „pt”. jako tajemnica komunikowania się.

 W ramach tajemnicy telekomunikacyjnej ustawodawca wyróżnił treści i dane. Stanowi o tym wprost przepis art. 159 ust. 2 „pt”. Zakres przedmiotowy tajemnicy telekomunikacyjnej określony został w art. 159 ust. 1 „pt” i obejmuje:

1) dane dotyczące użytkownika,

2) treści komunikacji (indywidualnych komunikatów) np. można to intepretować jako treści maili,

3) dane transmisyjne,

4) dane o lokalizacji,

5) dane o próbach uzyskania połączenia, w tym o próbach nieudanych.

"Zakres ten powinien być rozpatrywany w kontekście definicji usługi telekomunikacyjnej, gdyż odzwierciedla czynności dostawcy usługi telekomunikacyjnej związane z jej świadczeniem i w tym zakresie przewiduje ochronę objętą tajemnicą telekomunikacyjną.

Ustawodawca przewidział dwie przesłanki legalizujące przetwarzanie danych o użytkowniku będącym osobą fizyczną. Po pierwsze, wskazał na przesłankę ustawową, której spełnienie powoduje, że zgoda na przetwarzanie danych osobowych wymienionych w art. 161 ust. 1 „pt”. nie jest wymagana. W przepisie tym wyszczególnione zostały następujące dane użytkownika będącego osobą fizyczną:

1) nazwisko i imiona;

2) imiona rodziców;

3) miejsce i data urodzenia;

4) adres miejsca zameldowania na pobyt stały;

5) numer ewidencyjny PESEL - w przypadku obywatela Rzeczypospolitej Polskiej;

6) nazwy, serie i numery dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego Unii Europejskiej albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu;

7) zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.

Zakres przetwarzanych danych pozwala na identyfikację osoby fizycznej, której dane są przetwarzane, kwalifikując je jako dane osobowe, w rozumieniu art. 6 „uodo”. Dostawca usług telekomunikacyjnych, który przetwarza dane osobowe użytkowników (tj. swoich klientów, w tym abonentów lub też osób korzystających z usługi telekomunikacyjnej jako usługi przedpłaconej po ich identyfikacji, np. w procesie postępowania reklamacyjnego) - jako administrator danych w rozumieniu art. 7 pkt 4 „uodo” - decyduje o celach i środkach przetwarzania danych. Jeżeli użytkownik zostanie raz zidentyfikowany na podstawie przetwarzanych danych osobowych, wówczas wszelkie dodatkowe informacje będą kwalifikowane jako dane osobowe. Zgodnie z art. 161 ust. 3 „pt” dostawca usług jako administrator danych może przetwarzać dodatkowe informacje użytkownika będącego osobą fizyczną, poza zakresem wskazanym w ust. 1, pod warunkiem uzyskania jego zgody.  W przypadku, gdy użytkownikiem nie jest osoba fizyczna, dostawca usług telekomunikacyjnych będzie przetwarzał informacje o osobach fizycznych działających w imieniu i na rzecz użytkownika. Choć co prawda przepis art. 161 ust. 2 i 3 w zw. z art. 159 ust. 1 „pt” nie rozciąga się na tego rodzaju dane, należy ocenić zakres tych informacji w świetle ustawy o ochronie danych osobowych i obowiązki z tym związane. Zakres danych o osobach reprezentujących użytkownika niebędącego osobą fizyczną pozwala na ich identyfikację (w rozumieniu definicji danych osobowych zawartej w art. 6 „uodo”). Będą to z reguły informacje takie jak: imię, nazwisko, stanowisko służbowe, rodzaj umocowania, numer telefonu bądź adres e-mail.

Biorąc pod uwagę powyższe należy podkreślić iż zgodnie z „pt” zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że:

1)  będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania;

2)  nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą;

3)  dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej; 

4)  będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. 

Przepis art. 180a ust. 1 pkt 1 „pt” nakłada na operatora publicznej sieci telekomunikacyjnej oraz dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązek zatrzymywania i przechowywania danych przez 12 miesięcy.

Ponadto „pt” nakłada  obowiązek udostępniać tych danych, uprawnionym podmiotom, a także Służbie Celnej, sądowi i prokuratorowi, na zasadach i w trybie określonych w przepisach odrębnych;

Art. 180c „pt” określa zakres danych objętych obowiązkami przewidzianymi w art. 180a ust. 1 „pt”.

Obowiązek ten obejmuje swym zakresem dane, które są niezbędne do określenia:

1) daty i godziny połączenia oraz czasu jego trwania,

2) rodzaju połączenia,

3) lokalizacji telekomunikacyjnego urządzenia końcowego.

Zakres ten będzie wymagał doprecyzowania ze względu na stopień ogólności zapisu tego postanowienia oraz z uwagi na katalog danych podlegających retencji, który przewidziany został w art. 5 dyrektywy 2006/24/WE.

Zgodnie z  §  6 „Rozporządzenia 2”:

Dane niezbędne do ustalenia źródła połączenia stanowią w przypadku dostępu internetowego, elektronicznej poczty internetowej:

a) przyznany identyfikator użytkownika,

b) nazwisko i adres abonenta lub zarejestrowanego użytkownika, do którego w momencie połączenia należał adres IP, identyfikator użytkownika lub numer telefonu. 

Dane niezbędne do ustalenia odbiorcy połączenia to w przypadku elektronicznej poczty internetowej:

a) identyfikator użytkownika lub numer (numery),

b) nazwisko (nazwiska) i adres (adresy) abonenta (abonentów) lub zarejestrowanego (zarejestrowanych) użytkownika (użytkowników) i identyfikator użytkownika docelowego odbiorcy połączenia.

Dane niezbędne do określenia daty, godziny i czasu trwania połączenia to w przypadku elektronicznej poczty internetowej:

a) data i godzina zalogowania i wylogowania sesji internetowej na podstawie danej strefy czasowej włącznie z adresem protokołu komunikacyjnego dynamicznego lub statycznego (IP) przydzielonym przez dostawcę usług internetowych dla danej komunikacji oraz identyfikatorem użytkownika abonenta lub zarejestrowanego użytkownika;

b) data i godzina zalogowania i wylogowania z elektronicznej poczty internetowej.

Dane niezbędne do określenia rodzaju połączenia stanowią w przypadku elektronicznej poczty internetowej: wykorzystana usługa internetowa.

Dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji to w przypadku dostępu do Internetu, elektronicznej poczty internetowej:

a) numer telefonu przy dostępie za pośrednictwem dial-up,

b) identyfikator DSL lub inny identyfikator końcowy inicjatora połączenia. 

Co do samej treści maile można uznać iż w „pt” mowa jest o nich jako treść indywidualnych komunikatów, która podlega ochronie i obejmuje przedmiot przekazu pomiędzy nadawcą a odbiorcą komunikatu. Termin "komunikat" został zdefiniowany w art. 2 pkt 17 „pt” - jako każda informacja wymieniana lub przekazywana między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług telekomunikacyjnych. Definicja ta odzwierciedla art. 2 lit. d dyrektywy 2002/58/WE. Z motywu 15 preambuły do tej dyrektywy wynika, że komunikat może obejmować wszelkiego rodzaju nazwy, liczby lub adresy dostarczone przez nadawcę komunikatu lub użytkownika połączenia w celu przeprowadzenia łączności. Ponadto wskazuje się na to, że dane o ruchu mogą obejmować wszelkiego rodzaju przekształcenie tej informacji w sieci, przez którą nadawany jest komunikat, do celów przeprowadzenia operacji przesyłania danych.

Nie ma znaczenia, kto jest nadawcą, a kto odbiorcą komunikatu i wreszcie w jakiej formie komunikat ten jest przekazywany. Komunikat może odnosić się do transmisji głosowej, jak również do transmisji danych; może mieć charakter szyfrowany bądź nie. Nie ma również znaczenia, czy komunikacja, w ramach której przekazywany jest komunikat, realizowana jest za pośrednictwem osób fizycznych bądź bez udziału osób fizycznych.

Ochrona treści komunikatu, jako element tajemnicy telekomunikacyjnej, odzwierciedla tajemnicę korespondencji ujętą ochroną w Konstytucji RP. Tajemnicę korespondencji obejmuje tajemnica komunikowania się (W. Skrzydło, Konstytucja..., s. 59).

Biorąc pod uwagę powyższe, ustawodawca określił następujące ustawowe przesłanki niewymagające zgody osoby, której dane i treści objęte tajemnicą telekomunikacyjną są przetwarzane w tym komunikatów. Zakaz ten nie obowiązuje w sytuacji, w której wykorzystanie danych będzie przedmiotem usługi lub będzie niezbędne do jej wykonania (art. 159 ust. 2 „pt”).

Kolejną z przesłanek legalizujących wykorzystanie danych i treści objętych tajemnicą telekomunikacyjną jest konieczność ich wykorzystania z innych powodów przewidzianych ustawą lub przepisami szczególnymi. Odwołując się do przepisów ustawy, ustawodawca miał na myśli przepisy ustawy - Prawo telekomunikacyjne. Podstawa do wykorzystania danych osobowych może wynikać również z przepisów szczególnych. Przesłankę tę można rozpatrywać jako realizację uprawnienia lub obowiązku przewidzianego w przepisach prawa, zarówno w ustawie - Prawo telekomunikacyjne, jak i w przepisach szczególnych.

Przepis art. 159 pt. nie ogranicza kręgu zobowiązanych podmiotów, stąd należy przyjąć, że przepis ten będzie miał zastosowanie zarówno do przedsiębiorcy telekomunikacyjnego, jak i do innych podmiotów, z pomocą których przedsiębiorca telekomunikacyjny wykonuje czynności, przy których ma styczność z danymi podlegającymi ochronie."
(A. Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, Warszawa 2015, art. 159.)

Zgodnie z art. 20 c „up”

2. Przedsiębiorca telekomunikacyjny, (…...) usługodawca świadczący usługi drogą elektroniczną udostępnia nieodpłatnie dane, o których mowa w ust. 1:

1) policjantowi wskazanemu w pisemnym wniosku Komendanta Głównego Policji, Komendanta CBŚP, komendanta wojewódzkiego Policji albo osoby przez nich upoważnionej;

2) na ustne żądanie policjanta posiadającego pisemne upoważnienie osób, o których mowa w pkt 1;

3) za pośrednictwem sieci telekomunikacyjnej policjantowi posiadającemu pisemne upoważnienie osób, o których mowa w pkt

3.W przypadku, o którym mowa w ust. 2 pkt 3, udostępnianie danych, o których mowa w ust. 1, odbywa się bez udziału pracowników przedsiębiorcy telekomunikacyjnego, operatora pocztowego lub usługodawcy świadczącego usługi drogą elektroniczną lub przy niezbędnym ich udziale, jeżeli możliwość taka jest przewidziana w porozumieniu zawartym pomiędzy Komendantem Głównym Policji a tym podmiotem.

4.Udostępnienie Policji danych, o których mowa w ust. 1, może nastąpić za pośrednictwem sieci telekomunikacyjnej, jeżeli:

1) wykorzystywane sieci telekomunikacyjne zapewniają:

a) możliwość ustalenia osoby uzyskującej dane, ich rodzaju oraz czasu, w którym zostały uzyskane,

b) zabezpieczenie techniczne i organizacyjne uniemożliwiające osobie nieuprawnionej dostęp do danych;

2)  jest to uzasadnione specyfiką lub zakresem zadań wykonywanych przez jednostki organizacyjne Policji albo prowadzonych przez nie czynności. 

Przedsiębiorcy telekomunikacyjni mogą zostać ukarani karą pieniężną w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.

Źródło:

  1. ustawa - Prawo telekomunikacyjne – dalej „pt”;
  2. ustawa o ochronie danych osobowych – dalej „uodo”;
  3. ustawa z 18 lipca 2002 r o świadczeniu usług drogą elektroniczną (tekst jedn. Dz.U. z 2013 r., poz. 1422) – dalej „śude”;
  4. ustawa z 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz.U. Nr 89, poz. 555 ze zm., art. 218, 218a, 237, 238 i 239) – dalej „kpk”;
  5. rozporządzenie Ministra Sprawiedliwości z 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji - do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych (Dz.U. Nr 100, poz. 1023) – dalej „rozporządzenie 1”;
  6. ustawa o Policji – dalej „up”
  7. rozporządzenie Ministra Infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania – dalej „rozporządzenie 2”
  8. A. Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, Warszawa 2015, art. 159.