Prawo Komunikacji elektronicznej jest to planowana nowa ustawa implementująca do polskiego prawa Dyrektywę Parlamentu Europejskiego i Rady UE 2018/1972 z dnia 11 grudnia 2018 roku ustanawiającą Europejski Kodeks Łączności Elektronicznej. Prawo komunikacji elektronicznej zastąpi obowiązującą ustawę z dnia 16 lipca 2004 r. prawo telekomunikacyjne oraz ustawę o świadczeniu usług drogą elektroniczną. Cel nowej ustawy to wprowadzenie do polskiego prawa rozwiązań prawnych zawartych w Europejskim Kodeksie Łączności Elektronicznej (EKŁE).
Zakres zmian
Nowe Prawo Komunikacji Elektronicznej (PKE) całościowo reguluje obszar usług komunikacji elektronicznej, w tym zasady wykonywania działalności polegającej na świadczeniu usług komunikacji elektronicznej, sieci 5G, konkurencję, inwestycje, bezpieczeństwo sieci i usług, gospodarowanie częstotliwościami, zasobami numeracji, prawa użytkowników końcowych usług łączności elektronicznej czy przetwarzanie danych telekomunikacyjnych. W wielu z tych obszarów zmiany będą rewolucyjne.
Projekt PKE stworzony został przez Ministerstwo Cyfryzacji 29 lipca 2020 roku. Autorzy projektu podkreślają postępujący proces informatyzacji gospodarki, będący następstwem rozwoju technologii informacyjnych i komunikacyjnych. Technologie mają duży wpływ na przemiany w obszarze komunikacji międzyludzkiej, co wiąże się ze zmianami w życiu codziennym, jak i biznesie.
Wprowadzenie w życie nowych przepisów natrafiło jednak na spore trudności. Z przepisu opublikowanego 12 lutego 2021 r. projektu ustawy „Przepisy wprowadzające ustawę Prawo komunikacji elektronicznej”, wynika, że przewiduje się jej wejście w życie po upływie sześciu miesięcy od dnia jej ogłoszenia. Twórcy zakładali, że PKE wejdzie w życie na początku 2021 r., co jednak okazało się niewykonalne.
Jak nowe prawo ma się do ochrony danych osobowych?
Zaprojektowane przepisy obejmą regulacje dotyczące przesyłania niezamówionych informacji handlowych w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, marketingu bezpośredniego, cookies, czy tajemnicy komunikacji elektronicznej. Projekt wprowadza zmiany w zakresie przetwarzania danych osobowych użytkowników usług łączności komunikacji elektronicznej. Szczególną ochroną zostaną teraz objęte nie tylko osoby korzystające z tradycyjnych usług telekomunikacyjnych, ale także użytkownicy komunikatorów internetowych, takich jak Messenger, WhatsApp czy Skype.
Projekt Prawa Komunikacji Elektronicznej” nakłada na dostawców usług istotne obowiązki. Obowiązek w zakresie bezpieczeństwa obejmuje konieczność przeprowadzenia systematycznych ocen ryzyka wystąpienia zagrożeń, wykorzystanie środków technicznych i organizacyjnych, tak aby zapewnić poziom bezpieczeństwa adekwatny do poziomu ryzyka oraz dokumentowanie podjętych działań.
Jak widzimy sposób i opis obowiązków jest prawie taki sam jak ten nałożony na administratorów danych osobowych wynikający z przepisów RODO.
W myśl nowych przepisów ustawodawca nie proponuje konkretnych typów zabezpieczeń, ale zaznacza, że mają one być adekwatne, a ich wprowadzenie zostanie poprzedzone oceną ryzyka. Dokumentowanie podjętych działań jest kolejnym etapem zabezpieczającym interes prawny dostawców usług telekomunikacyjnych.
Kolejny obowiązek z zakresu bezpieczeństwa żywcem wyjęty z RODO to konieczność informowania Prezesa UKE o wystąpieniu incydentu, podjęcia działań zapobiegawczych i planu naprawczego. W porównaniu z RODO, ustawodawca skrócił czas na poinformowanie Prezesa UKE do 24 godzin od momentu wykrycia incydentu. Projekt PKE jest zatem bardziej rygorystyczny w porównaniu do RODO. Odmiennie od RODO, to Minister właściwy do spraw informatyzacji ma określić rozporządzeniem ramy incydentu bezpieczeństwa, których spełnienie spowoduje powstanie obowiązku notyfikacji. Dodatkowo dostawcy usług, którzy wykonują swoją działalność na rynku detalicznym będą zobowiązani do zamieszczania na swoich stronach internetowych informacji o wystąpieniu incydentów i ich wpływie na dostępność świadczonych usług, oczywiście jeśli ten wpływ był istotny.
PKE reguluje również uprawnienia Prezesa UKE do dokonywania oceny podjętych przez dostawców środków zapewniających bezpieczeństwo ich usług i sieci. Dostawcy będą musieli informować Prezesa UKE jakie środki bezpieczeństwa zostały podjęte, a Prezes UKE po dokonaniu oceny w drodze decyzji może nałożyć na dostawcę usług obowiązek zastosowania dodatkowych środków bezpieczeństwa, albo poddaniu się audytowi, którego wyniki przedstawiane są Prezesowi UKE.
Dostawca będzie mieć również obowiązki związane z przetwarzaniem danych osobowych. W większej części pokrywają się one z RODO. Wymagają one wdrożenia polityki bezpieczeństwa w stosunku do przetwarzania danych osobowych. Projekt zakłada również prowadzenie rejestrów naruszeń ochrony danych osobowych i co w tym rejestrze ma się znajdować.
Kary za naruszenie przepisów PKE
W drodze decyzji Prezes UKE może nałożyć na dostawców usług kary pieniężne w wysokości do 3% przychodu osiągniętego w poprzednim roku kalendarzowym. Osobne zasady obliczania kary określono dla podmiotów, które nie przekroczyły wskazanych w przepisach progów w zakresie przychodu w poprzednim roku kalendarzowym lub które nie przekażą informacji o wysokości osiągniętego przychodu. Prezes UKE ustali wysokość kary pieniężnej, uwzględniając charakter i zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe. Istotną informacją jest to, że po nałożeniu kary finansowej nie nadaje się rygoru natychmiastowej wykonalności takiej decyzji.
Niezależnie od kary finansowej nałożonej na dostawcę usług telekomunikacyjnych, Prezes UKE może ukarać również konkretne osoby fizyczne. Chodzi o przedsiębiorców prowadzących przedsiębiorstwo telekomunikacyjne, osoby pełniące funkcje kierownicze lub wchodzące w skład organu zarządzającego przedsiębiorstwem lub związkiem takich przedsiębiorców. Maksymalna kara finansowa w takim przypadku może wynosić do 300% wysokości miesięcznego wynagrodzenia ukaranego pracownika.
Podsumowanie
Wejście w życie Prawa Komunikacji Elektronicznej spowoduje powstanie szeregu nowych obowiązków dla dostawców usług komunikacji interpersonalnej niewykorzystujących numerów telefonów. Zatem liczba tzw. operatorów telekomunikacyjnych, podlegających pod PKE radykalnie wzrośnie. Niektóre obowiązki są nowe również dla obecnych operatorów i na początku będą stanowić trudność i wyzwanie dla przedsiębiorców, zwłaszcza tych którzy do zmian nie przygotowali się odpowiednio wcześnie.
Warto pamiętać, że wiele przepisów PKE będzie dotyczyło nie tylko operatorów telekomunikacyjnych, ale również innych przedsiębiorców świadczących usługi drogą elektroniczną oraz wykorzystujących m.in. technologię cookies na swoich stronach internetowych. Podobnie jak to było w dotychczas obowiązujących przepisach.
Z uwagi na zbieżność wymagań PKE i RODO zapewne będziemy wracać do tematyki nowej regulacji w kolejnych naszych artykułach.