25 lipca 2024 r. Senat ostatecznie uchwalił Prawo komunikacji elektronicznej, które ma zastąpić w tej chwili obowiązujące Prawo telekomunikacyjne. Nowa ustawa nałoży kolejne obowiązki na przedsiębiorców komunikacji elektronicznej – nowy krąg podmiotów niepodlegających wcześniejszej regulacji. W artykule wyjaśniamy, kim są przedsiębiorcy komunikacji elektronicznej i jakie będą ich obowiązki.
Tło historyczne
25 lipca 2024 r., po prawie czterech latach prac i konsultacji, Senat uchwalił Prawo komunikacji elektronicznej (dalej: PKE). Celem tej regulacji jest przede wszystkim wdrożenie unijnej dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej[1] (dalej: EKŁE). PKE ma zastąpić w tej chwili obowiązujące Prawo telekomunikacyjne, które już od 20 lat stanowi podstawę regulacji sektora telekomunikacyjnego w Polsce.
PKE już raz trafiło do Sejmu – w grudniu 2022 r. Jednak na skutek krytyki, która wiązała się z wprowadzeniem do ustawy bardzo kontrowersyjnych zmian w ostatniej fazie rządowych prac legislacyjnych[2], projekt ustawy został wycofany z Sejmu. Następnie po wyborach z października 2023 r. powrócono do prac nad projektem i w lutym 2024 r. opublikowano nowy projekt PKE, który usuwał z ustawy najbardziej kontrowersyjne zmiany. Pod koniec maja 2024 r. projekt PKE ponownie został skierowany do Sejmu.
Równolegle, od lipca 2022 r. toczyło się postępowanie przed Trybunałem Sprawiedliwości UE w związku z brakiem terminowego wdrożenia przepisów EKŁE w Polsce. 14 marca 2024 r. Trybunał wydał w tej sprawie wyrok, w którym orzekł o uchybieniu przez Polskę swoich zobowiązań. Jednocześnie Trybunał nałożył na Polskę ryczałtową karę w wysokości 4 mln euro, a także okresową karę pieniężną w wysokości 50 tys. euro za każdy dzień dalszego niewdrożenia EKŁE. Oznacza to, iż sumaryczna wysokość nałożonych kar pieniężnych przekroczyła już 10 mln euro.
Z kolei samo EKŁE zostało uchwalone i weszło w życie w grudniu 2018 r., wyznaczając ostateczny termin jej transpozycji przez państwa członkowskie na grudzień 2020 r. Celem EKŁE było stworzenie ram prawnych dla zapewnienia swobody w zakresie dostarczania sieci i usług łączności elektronicznej, a także znowelizowanie i ujęcie w jednym akcie prawnym dotychczasowych dyrektyw regulujących działanie rynku telekomunikacyjnego.
Kogo obejmą przepisy PKE?
Jedną z największych zmian, jakie przyniesie PKE, będzie rozszerzenie zakresu podmiotowego nowej regulacji na „przedsiębiorców komunikacji elektronicznej”. Pojęcie to obejmuje nie tylko przedsiębiorców telekomunikacyjnych (jak ma to miejsce w tej chwili na gruncie Prawa telekomunikacyjnego), ale także „podmioty świadczące publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów”. Rozszerzenie zakresu podmiotowego regulacji ma zapewnić dostosowanie jej do zmieniającej się rzeczywistości, w której tradycyjne usługi telekomunikacyjne są coraz częściej zastępowane przez nowoczesne formy komunikacji, świadczone przede wszystkim za pośrednictwem Internetu.
Choć przepisy PKE nie udzielają jednoznacznej odpowiedzi na pytanie, czym jest „usługa komunikacji interpersonalnej niewykorzystująca numerów”, to zagadnienie to zostało szerzej opisane w EKŁE. Wskazano tam, iż są to usługi umożliwiające interpersonalną i interaktywną wymianę informacji między skończoną (ograniczoną) liczbą osób. Do usług tych należą m.in.: poczta elektroniczna, komunikatory internetowe, a także narzędzia umożliwiające prowadzenie spotkań online, które pozwalają na bezpośrednią i dwustronną komunikację uczestników takiego spotkania.
Poza zakresem tego pojęcia pozostają natomiast – przykładowo – usługi VOD, strony internetowe, serwisy społecznościowe lub blogi, ale także narzędzia komunikacyjne, które stanowią wyłącznie nieznaczny dodatek do innej usługi oraz nie mogą być użytkowane bez usługi głównej, np. kanały komunikacyjne w grach internetowych.
Wyjątek ten należy jednak interpretować stosunkowo wąsko. Dlatego ustalenie, czy w konkretnym stanie faktycznym mamy do czynienia z „usługą komunikacji interpersonalnej niewykorzystującą numerów”, nie raz może przysporzyć wielu trudności. Potencjalnie bowiem ta sama usługa (to samo rozwiązanie techniczne) w zależności od sposobu i kontekstu wykorzystania może zostać inaczej zakwalifikowana.
Obowiązki wobec użytkowników końcowych
Na wstępie warto zaznaczyć, iż wiele z wymienianych poniżej obowiązków – w takiej samej lub bardzo zbliżonej formie – funkcjonuje w Prawie telekomunikacyjnym. Tym samym nie wszystkie z opisanych tu regulacji są nowością dla systemu prawnego, ale dopiero teraz obejmą one również przedsiębiorców świadczących usługi komunikacji interpersonalnej niewykorzystującej numerów.
Jedną z najważniejszych grup obowiązków, które będą nakładane na wszystkich przedsiębiorców komunikacji elektronicznej, będą szczególne obowiązki wobec użytkowników końcowych. Ich szczegółowy zakres będzie zależał od rodzaju świadczonej usługi, ale co do zasady należą do nich m.in.:
- obowiązek doręczenia konsumentowi, jeszcze przed zawarciem umowy, bezpłatnie i na trwałym nośniku, szeregu informacji przedumownych oraz zwięzłego podsumowania warunków umowy (art. 285 i n. PKE);
- zakaz dyskryminacji użytkowników końcowych ze względu na obywatelstwo, miejsce zamieszkania lub siedziby, a także zakaz uzależniania zawarcia umowy od niezawierania umowy z innym dostawcą (art. 298 PKE);
- obowiązek publikowania na swojej stronie internetowej w sposób jasny, zrozumiały oraz umożliwiający odczyt maszynowy, a także w formie dostępnej dla użytkowników z niepełnosprawnościami, aktualnych informacji dotyczących m.in. oferowanych usług, ich głównych cech oraz ceny, zakresu usług posprzedażnych oraz standardowych warunków umowy (art. 300 PKE);
- ograniczenia dotyczące możliwości dokonania jednostronnej zmiany warunków umowy o świadczenie usług komunikacji elektronicznej przez dostawcę usług komunikacji elektronicznej (art. 306 i n. PKE);
- obowiązek zapewnienia użytkownikom końcowym z niepełnosprawnościami dostępu do świadczonych udogodnień i usług w sposób równoważny do dostępu, z jakiego korzysta większość użytkowników końcowych, a także publikowania informacji o tych udogodnieniach i usługach na swojej stronie internetowej (art. 340 PKE);
- obowiązek uzyskania uprzedniej zgody abonenta na uruchomienie usługi fakultatywnego obciążania rachunku (art. 349 PKE);
- obowiązek rozpatrzenia reklamacji usługi komunikacji elektronicznej lub usługi fakultatywnego obciążania rachunku (art. 378 PKE).
Tajemnica komunikacji elektronicznej oraz ochrona danych
Przedsiębiorcy komunikacji elektronicznej oraz podmioty z nimi współpracujące będą obowiązane do zachowania tajemnicy komunikacji elektronicznej, a także do zachowania należytej staranności przy zabezpieczaniu urządzeń telekomunikacyjnych, publicznych sieci telekomunikacyjnych oraz danych przed ujawnieniem tajemnicy komunikacji elektronicznej (art. 387 PKE).
Ponadto dostawca usług komunikacji elektronicznej będzie musiał poinformować użytkownika końcowego m.in. o:
- zakresie i celu przetwarzania danych transmisyjnych oraz innych danych ich dotyczących;
- możliwościach wpływu na zakres tego przetwarzania;
- rodzaju danych transmisyjnych, które będą przetwarzane, oraz o okresie tego przetwarzania do celów marketingu usług komunikacji elektronicznej lub świadczenia usług o wartości wzbogaconej (art. 391 PKE).
Co więcej, w celu wykorzystania danych o lokalizacji dostawca usług komunikacji elektronicznej będzie musiał dokonać anonimizacji tych danych (art. 392 PKE).
Dostawca usług komunikacji elektronicznej, niezależnie od obowiązków wynikających z RODO, będzie musiał wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych, które zapewnią co najmniej:
- aby dostęp do danych osobowych miała osoba posiadająca upoważnienie wydane przez administratora danych;
- ochronę przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;
- wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych (art. 401 PKE).
Ponadto dostawcy usług komunikacji elektronicznej będą musieli prowadzić rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań (art. 405 PKE).
Cyberbezpieczeństwo
Warto również wskazać, iż choć przepisy PKE nie regulują kwestii dotyczących cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej i świadczonych przez nich usług, to wszystkie takie podmioty – niezależnie od wielkości – będą uznawane za podmioty najważniejsze lub ważne na podstawie projektowanej w tej chwili nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa[3] (dalej: UKSC), która wdraża unijną dyrektywę NIS 2[4].
Tym samym do obowiązków przedsiębiorców komunikacji elektronicznej w tym zakresie – w oparciu o projekt nowelizacji UKSC z kwietnia 2024 r. – będzie należało m.in.:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka;
- zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
- zarządzanie incydentami;
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi;
- stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe.
Kary pieniężne
W razie niewykonania lub nienależytego wykonania większości z opisanych w tym artykule obowiązków, Prezes UKE będzie mógł nałożyć na przedsiębiorców komunikacji elektronicznej karę pieniężną w wysokości aż do 3% przychodu osiągniętego przez tego przedsiębiorcę w poprzednim roku kalendarzowym.
Wejście w życie
PKE trafi teraz do Prezydenta, gdzie będzie czekać na podpis. Gdy ustawa zostanie podpisana, większość z jej przepisów wejdzie w życie po upływie trzech miesięcy od dnia ogłoszenia. Termin wejścia w życie niektórych przepisów PKE został jednak rozciągnięty w czasie i waha się od dnia następującego po dniu ogłoszenia ustawy aż do 12 miesięcy od tego dnia.
[1] Dyrektywa 2018/1972 Parlamentu Europejskiego i Rady (UE) z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej
[2] Dotyczyły one m.in. rozszerzenia zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego na wszystkich przedsiębiorców komunikacji elektronicznej
[3] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dostępny tutaj: https://legislacja.gov.pl/projekt/12384504/katalog/13055207)
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148