Stan prawny na 2016
Termin "tajemnica telekomunikacyjna" zdefiniowany został w przepisie art. 159 ust. 1 „pt”. jako tajemnica komunikowania się.
W ramach tajemnicy telekomunikacyjnej ustawodawca wyróżnił treści i dane. Stanowi o tym wprost przepis art. 159 ust. 2 „pt”. Zakres przedmiotowy tajemnicy telekomunikacyjnej określony został w art. 159 ust. 1 „pt” i obejmuje:
1) dane dotyczące użytkownika,
2) treści komunikacji (indywidualnych komunikatów) np. można to intepretować jako treści maili,
3) dane transmisyjne,
4) dane o lokalizacji,
5) dane o próbach uzyskania połączenia, w tym o próbach nieudanych.
"Zakres ten powinien być rozpatrywany w kontekście definicji usługi telekomunikacyjnej, gdyż odzwierciedla czynności dostawcy usługi telekomunikacyjnej związane z jej świadczeniem i w tym zakresie przewiduje ochronę objętą tajemnicą telekomunikacyjną.
Ustawodawca przewidział dwie przesłanki legalizujące przetwarzanie danych o użytkowniku będącym osobą fizyczną. Po pierwsze, wskazał na przesłankę ustawową, której spełnienie powoduje, że zgoda na przetwarzanie danych osobowych wymienionych w art. 161 ust. 1 „pt”. nie jest wymagana. W przepisie tym wyszczególnione zostały następujące dane użytkownika będącego osobą fizyczną:
1) nazwisko i imiona;
2) imiona rodziców;
3) miejsce i data urodzenia;
4) adres miejsca zameldowania na pobyt stały;
5) numer ewidencyjny PESEL - w przypadku obywatela Rzeczypospolitej Polskiej;
6) nazwy, serie i numery dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego Unii Europejskiej albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu;
7) zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.
Zakres przetwarzanych danych pozwala na identyfikację osoby fizycznej, której dane są przetwarzane, kwalifikując je jako dane osobowe, w rozumieniu art. 6 „uodo”. Dostawca usług telekomunikacyjnych, który przetwarza dane osobowe użytkowników (tj. swoich klientów, w tym abonentów lub też osób korzystających z usługi telekomunikacyjnej jako usługi przedpłaconej po ich identyfikacji, np. w procesie postępowania reklamacyjnego) - jako administrator danych w rozumieniu art. 7 pkt 4 „uodo” - decyduje o celach i środkach przetwarzania danych. Jeżeli użytkownik zostanie raz zidentyfikowany na podstawie przetwarzanych danych osobowych, wówczas wszelkie dodatkowe informacje będą kwalifikowane jako dane osobowe. Zgodnie z art. 161 ust. 3 „pt” dostawca usług jako administrator danych może przetwarzać dodatkowe informacje użytkownika będącego osobą fizyczną, poza zakresem wskazanym w ust. 1, pod warunkiem uzyskania jego zgody. W przypadku, gdy użytkownikiem nie jest osoba fizyczna, dostawca usług telekomunikacyjnych będzie przetwarzał informacje o osobach fizycznych działających w imieniu i na rzecz użytkownika. Choć co prawda przepis art. 161 ust. 2 i 3 w zw. z art. 159 ust. 1 „pt” nie rozciąga się na tego rodzaju dane, należy ocenić zakres tych informacji w świetle ustawy o ochronie danych osobowych i obowiązki z tym związane. Zakres danych o osobach reprezentujących użytkownika niebędącego osobą fizyczną pozwala na ich identyfikację (w rozumieniu definicji danych osobowych zawartej w art. 6 „uodo”). Będą to z reguły informacje takie jak: imię, nazwisko, stanowisko służbowe, rodzaj umocowania, numer telefonu bądź adres e-mail.
Biorąc pod uwagę powyższe należy podkreślić iż zgodnie z „pt” zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że:
1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania;
2) nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą;
3) dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej;
4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.
Przepis art. 180a ust. 1 pkt 1 „pt” nakłada na operatora publicznej sieci telekomunikacyjnej oraz dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązek zatrzymywania i przechowywania danych przez 12 miesięcy.
Ponadto „pt” nakłada obowiązek udostępniać tych danych, uprawnionym podmiotom, a także Służbie Celnej, sądowi i prokuratorowi, na zasadach i w trybie określonych w przepisach odrębnych;
Art. 180c „pt” określa zakres danych objętych obowiązkami przewidzianymi w art. 180a ust. 1 „pt”.
Obowiązek ten obejmuje swym zakresem dane, które są niezbędne do określenia:
1) daty i godziny połączenia oraz czasu jego trwania,
2) rodzaju połączenia,
3) lokalizacji telekomunikacyjnego urządzenia końcowego.
Zakres ten będzie wymagał doprecyzowania ze względu na stopień ogólności zapisu tego postanowienia oraz z uwagi na katalog danych podlegających retencji, który przewidziany został w art. 5 dyrektywy 2006/24/WE.
Zgodnie z § 6 „Rozporządzenia 2”:
Dane niezbędne do ustalenia źródła połączenia stanowią w przypadku dostępu internetowego, elektronicznej poczty internetowej:
a) przyznany identyfikator użytkownika,
b) nazwisko i adres abonenta lub zarejestrowanego użytkownika, do którego w momencie połączenia należał adres IP, identyfikator użytkownika lub numer telefonu.
Dane niezbędne do ustalenia odbiorcy połączenia to w przypadku elektronicznej poczty internetowej:
a) identyfikator użytkownika lub numer (numery),
b) nazwisko (nazwiska) i adres (adresy) abonenta (abonentów) lub zarejestrowanego (zarejestrowanych) użytkownika (użytkowników) i identyfikator użytkownika docelowego odbiorcy połączenia.
Dane niezbędne do określenia daty, godziny i czasu trwania połączenia to w przypadku elektronicznej poczty internetowej:
a) data i godzina zalogowania i wylogowania sesji internetowej na podstawie danej strefy czasowej włącznie z adresem protokołu komunikacyjnego dynamicznego lub statycznego (IP) przydzielonym przez dostawcę usług internetowych dla danej komunikacji oraz identyfikatorem użytkownika abonenta lub zarejestrowanego użytkownika;
b) data i godzina zalogowania i wylogowania z elektronicznej poczty internetowej.
Dane niezbędne do określenia rodzaju połączenia stanowią w przypadku elektronicznej poczty internetowej: wykorzystana usługa internetowa.
Dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji to w przypadku dostępu do Internetu, elektronicznej poczty internetowej:
a) numer telefonu przy dostępie za pośrednictwem dial-up,
b) identyfikator DSL lub inny identyfikator końcowy inicjatora połączenia.
Co do samej treści maile można uznać iż w „pt” mowa jest o nich jako treść indywidualnych komunikatów, która podlega ochronie i obejmuje przedmiot przekazu pomiędzy nadawcą a odbiorcą komunikatu. Termin "komunikat" został zdefiniowany w art. 2 pkt 17 „pt” - jako każda informacja wymieniana lub przekazywana między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług telekomunikacyjnych. Definicja ta odzwierciedla art. 2 lit. d dyrektywy 2002/58/WE. Z motywu 15 preambuły do tej dyrektywy wynika, że komunikat może obejmować wszelkiego rodzaju nazwy, liczby lub adresy dostarczone przez nadawcę komunikatu lub użytkownika połączenia w celu przeprowadzenia łączności. Ponadto wskazuje się na to, że dane o ruchu mogą obejmować wszelkiego rodzaju przekształcenie tej informacji w sieci, przez którą nadawany jest komunikat, do celów przeprowadzenia operacji przesyłania danych.
Nie ma znaczenia, kto jest nadawcą, a kto odbiorcą komunikatu i wreszcie w jakiej formie komunikat ten jest przekazywany. Komunikat może odnosić się do transmisji głosowej, jak również do transmisji danych; może mieć charakter szyfrowany bądź nie. Nie ma również znaczenia, czy komunikacja, w ramach której przekazywany jest komunikat, realizowana jest za pośrednictwem osób fizycznych bądź bez udziału osób fizycznych.
Ochrona treści komunikatu, jako element tajemnicy telekomunikacyjnej, odzwierciedla tajemnicę korespondencji ujętą ochroną w Konstytucji RP. Tajemnicę korespondencji obejmuje tajemnica komunikowania się (W. Skrzydło, Konstytucja..., s. 59).
Biorąc pod uwagę powyższe, ustawodawca określił następujące ustawowe przesłanki niewymagające zgody osoby, której dane i treści objęte tajemnicą telekomunikacyjną są przetwarzane w tym komunikatów. Zakaz ten nie obowiązuje w sytuacji, w której wykorzystanie danych będzie przedmiotem usługi lub będzie niezbędne do jej wykonania (art. 159 ust. 2 „pt”).
Kolejną z przesłanek legalizujących wykorzystanie danych i treści objętych tajemnicą telekomunikacyjną jest konieczność ich wykorzystania z innych powodów przewidzianych ustawą lub przepisami szczególnymi. Odwołując się do przepisów ustawy, ustawodawca miał na myśli przepisy ustawy - Prawo telekomunikacyjne. Podstawa do wykorzystania danych osobowych może wynikać również z przepisów szczególnych. Przesłankę tę można rozpatrywać jako realizację uprawnienia lub obowiązku przewidzianego w przepisach prawa, zarówno w ustawie - Prawo telekomunikacyjne, jak i w przepisach szczególnych.
Przepis art. 159 pt. nie ogranicza kręgu zobowiązanych podmiotów, stąd należy przyjąć, że przepis ten będzie miał zastosowanie zarówno do przedsiębiorcy telekomunikacyjnego, jak i do innych podmiotów, z pomocą których przedsiębiorca telekomunikacyjny wykonuje czynności, przy których ma styczność z danymi podlegającymi ochronie."
(A. Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, Warszawa 2015, art. 159.)
Zgodnie z art. 20 c „up”
2. Przedsiębiorca telekomunikacyjny, (…...) usługodawca świadczący usługi drogą elektroniczną udostępnia nieodpłatnie dane, o których mowa w ust. 1:
1) policjantowi wskazanemu w pisemnym wniosku Komendanta Głównego Policji, Komendanta CBŚP, komendanta wojewódzkiego Policji albo osoby przez nich upoważnionej;
2) na ustne żądanie policjanta posiadającego pisemne upoważnienie osób, o których mowa w pkt 1;
3) za pośrednictwem sieci telekomunikacyjnej policjantowi posiadającemu pisemne upoważnienie osób, o których mowa w pkt
3.W przypadku, o którym mowa w ust. 2 pkt 3, udostępnianie danych, o których mowa w ust. 1, odbywa się bez udziału pracowników przedsiębiorcy telekomunikacyjnego, operatora pocztowego lub usługodawcy świadczącego usługi drogą elektroniczną lub przy niezbędnym ich udziale, jeżeli możliwość taka jest przewidziana w porozumieniu zawartym pomiędzy Komendantem Głównym Policji a tym podmiotem.
4.Udostępnienie Policji danych, o których mowa w ust. 1, może nastąpić za pośrednictwem sieci telekomunikacyjnej, jeżeli:
1) wykorzystywane sieci telekomunikacyjne zapewniają:
a) możliwość ustalenia osoby uzyskującej dane, ich rodzaju oraz czasu, w którym zostały uzyskane,
b) zabezpieczenie techniczne i organizacyjne uniemożliwiające osobie nieuprawnionej dostęp do danych;
2) jest to uzasadnione specyfiką lub zakresem zadań wykonywanych przez jednostki organizacyjne Policji albo prowadzonych przez nie czynności.
Przedsiębiorcy telekomunikacyjni mogą zostać ukarani karą pieniężną w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.
Źródło:
- ustawa - Prawo telekomunikacyjne – dalej „pt”;
- ustawa o ochronie danych osobowych – dalej „uodo”;
- ustawa z 18 lipca 2002 r o świadczeniu usług drogą elektroniczną (tekst jedn. Dz.U. z 2013 r., poz. 1422) – dalej „śude”;
- ustawa z 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz.U. Nr 89, poz. 555 ze zm., art. 218, 218a, 237, 238 i 239) – dalej „kpk”;
- rozporządzenie Ministra Sprawiedliwości z 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji - do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych (Dz.U. Nr 100, poz. 1023) – dalej „rozporządzenie 1”;
- ustawa o Policji – dalej „up”
- rozporządzenie Ministra Infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania – dalej „rozporządzenie 2”
- A. Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, Warszawa 2015, art. 159.