Cyberbezpieczeństwo oraz prywatność użytkowników – to dwie główne kwestie, jakie zdaniem Związku Cyfrowa Polska mogą być zagrożone przez wprowadzenie nowych ustaw o prawie komunikacji elektronicznej (PKE). Eksperci organizacji zwracają uwagę między innymi na kwestie dostępu służb do danych wrażliwych oraz na konieczność przenoszenia centrów danych do Polski, co stoi w sprzeczności z ideą jednolitego rynku cyfrowego i może nieść za sobą konkretne zagrożenia z dziedziny bezpieczeństwa cyfrowego.
Projekty dwóch ustaw dotyczących prawa komunikacji elektronicznej wpłynęły do Sejmu w grudniu. – Wprowadzenie nowych przepisów jest konieczne, bo ma na celu wykonanie prawa Unii Europejskiej i zastąpienie przestarzałej ustawy o prawie telekomunikacyjnym z 2004 roku – mówi Michał Kanownik, prezes Związku Cyfrowa Polska. – Jako przedstawiciele organizacji branżowej, zrzeszającej największe firmy z branży nowoczesnych technologii, dostrzegamy jednak konieczność rewizji kilku najbardziej kontrowersyjnych zapisów. Dlatego wystosowaliśmy pismo do marszałek Elżbiety Witek, w którym ze szczegółami wyjaśniamy problematyczne kwestie – precyzuje.
Czy państwo powinno mieć dostęp do naszych danych?
Zastrzeżenia ekspertów wzbudza przede wszystkim artykuł 43, nakładający na przedsiębiorców komunikacji elektronicznej obowiązek udzielenia służbom państwowym dostępu do danych użytkowników. Obowiązek ten musi zostać zrealizowany w ciągu 24 godzin bez kontroli sądowej. Przede wszystkim jednak artykuł 43 nie precyzuje okoliczności, w jakich służby mogą uzyskać prywatne dane użytkowników sieci. Co zdaniem Cyfrowej Polski może doprowadzić do naruszeń praw i wolności zagwarantowanych w Konstytucji.
– W coraz szybciej cyfryzującym się świecie prawo powinno regulować kwestie dostępu służb państwowych do przesyłanych w Internecie treści. Jednak z drugiej strony obowiązkiem przedsiębiorcy jest zapewnienie jak największego poszanowania prawa użytkowników, w tym ich bezpieczeństwa i prywatności. Dlatego ustawa powinna jasno określać granice stosowania tego przepisu – wyjaśnia Michał Kanownik. Prezes Cyfrowej Polski dodaje również, że organy władzy publicznej mogą działać tylko na podstawie i w granicach prawa. Z konsekwencjami źle napisanej ustawy możemy się zatem mierzyć przez wiele następnych lat.
Niewykonalne terminy problemem dla przedsiębiorców
Eksperci Związku Cyfrowa Polska podkreślają także krótki termin realizacji przepisu o wydaniu dostępu do danych. W piśmie do marszałek Elżbiety Witek zwracają uwagę, że w 24 godziny trudno zrealizować każde żądanie, tym bardziej, gdy mowa o podmiotach operujących w sferze wirtualnej i zapewniających funkcjonowanie systemów na całym świecie.
Tymczasem, zgodnie z projektem ustawy, jeszcze mniej czasu daje przedsiębiorcom artykuł 53, dotyczący nakazu zatrzymania świadczenia usług w przypadku niejasno określonego „zagrożenia obronności, bezpieczeństwa państwa lub porządku publicznego”. Jeśli wystąpią takie przesłanki, przedsiębiorca musi w ciągu 6 godzin zablokować wskazane przez odpowiedni urząd przekazy lub połączenia. A to termin, który w wielu przypadkach może być niewykonalny – usługi komunikacji elektronicznej są często świadczone spoza terytorium Polski, a ich operatorzy funkcjonują według różnych stref czasowych.
Wątpliwości specjalistów budzi też tryb ustnego przekazania takiej decyzji. – Bezwzględnie uznajemy konieczność przeciwdziałania zagrożeniom bezpieczeństwa kraju. Uważamy jednak, że tak istotne przepisy powinny być skonstruowane w sposób maksymalnie przejrzysty i nie budzący wątpliwości w kwestii zgodności z zasadami konstytucyjnymi. Tymczasem zastosowane środki wydają się nieproporcjonalne i nieracjonalne, a często wręcz niemożliwe do spełnienia. Nie spełniają one zasady pewności prawa ani nie gwarantują skutecznego środka odwoławczego od wydanej decyzji – wyjaśnia Michał Kanownik.
Nagłe przenosiny serwerowni zagrożeniem dla cyberbezpieczeństwa?
Prezes Cyfrowej Polski podkreśla też konieczność przyjrzenia się zapisom nakazującym przedsiębiorcom przechowywanie danych wyłącznie na terytorium Polski (artykuł 47). Według Michała Kanownika nakładanie takiego obowiązku na wszystkie podmioty świadczące usługi komunikacji elektronicznej czy przedsiębiorców telekomunikacyjnych jest nie tylko nadmiarowe i nietransparentne, ale stoi również w sprzeczności z ideą jednolitego rynku cyfrowego.
A jak realizacja przepisu miałaby wyglądać z technicznego punktu widzenia? Czy cyfrowi giganci zostaliby zmuszeni do przenoszenia obszernych serwerowni na teren Polski? Takie rozwiązanie, jak dowodzi Cyfrowa Polska, nie powinno być wprowadzane odgórnie. Każda firma technologiczna korzysta bowiem ze swojej infrastruktury, której nie da się przebudować w krótkim czasie (według obecnie proponowanych zapisów: sześć miesięcy od wprowadzenia w życie PKE) bez konsekwencji dla cyberbezpieczeństwa. Tym bardziej, że fizyczna lokalizacja danych na terytorium danego państwa niekoniecznie musi się wiązać z ich ochroną przed nieuprawnionym dostępem – bardziej liczą się stosowane rozwiązania techniczne i wypracowane już procedury. Ich nagła zmiana może być groźna w skutkach.
Zmiana na rynku cyfrowym dotknie wszystkich użytkowników
W piśmie do marszałek Elżbiety Witek czytamy, że przepisy tej rangi „powinny podlegać szerokim konsultacjom społecznym i spotkaniom warsztatowym celem wypracowania przemyślanych rozwiązań, nie naruszających zasady swobody prowadzenia działalności gospodarczej i uwzględniających realia ekonomiczne oraz technologiczne”. Tymczasem kontrowersyjne artykuły zostały dodane na ostatnim etapie prac rządowych, bez jakichkolwiek konsultacji z rynkiem.
Ingerencja w zaproponowane przez rząd przepisy jest według Cyfrowej Polski konieczna, bo wprowadzenie ustaw o PKE będzie się wiązać z fundamentalną zmianą zasad funkcjonowania rynku cyfrowego w Polsce. A to dotknie nie tylko przedsiębiorców z branży cyfrowej, ale przede wszystkim końcowych użytkowników sieci – czyli nas wszystkich.