Ochrona danych osobowych w Prawie komunikacji elektronicznej

Ustawa z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (dalej: pke), która weszła w życie 10 listopada 2024 roku, wprowadza szereg istotnych zmian, mających na celu dostosowanie przepisów prawnych do współczesnych wymagań dotyczących komunikacji elektronicznej i ochrony danych osobowych. W ramach nowego prawa szczególną uwagę zwrócono na kwestie związane z bezpieczeństwem danych i prywatnością użytkowników.

W dobie cyfryzacji, kiedy  dane osobowe są przetwarzane i udostępniane na niespotykaną dotąd skalę, pojawiają się nowe wyzwania związane z ochroną prywatności. Jednym z kluczowych aspektów tej ochrony jest prawo do bycia zapomnianym, które zyskało na znaczeniu po wprowadzeniu RODO. Prawo to, chociaż  niełatwe do wdrożenia w praktyce, odgrywa istotną rolę w zapewnieniu, że dane osobowe są przetwarzane w sposób zgodny z oczekiwaniami  osób, których dotyczą.

Regulacje dotyczące przetwarzania danych osobowych w sektorze komunikacji elektronicznej stanowią jeden z najszybciej rozwijających się obszarów prawa w erze cyfryzacji i globalnej łączności. Ich znaczenie jest nie do przecenienia, ponieważ komunikacja elektroniczna stanowi fundament współczesnej gospodarki oraz codziennego życia. W obliczu coraz większych zagrożeń dla prywatności użytkowników konieczne okazało się stworzenie przepisów, które zagwarantują odpowiedni poziom ochrony danych osobowych przetwarzanych przez podmioty działające w branży usług telekomunikacyjnych.

Pke powstała w odpowiedzi na wymogi Europejskiego Kodeksu Łączności Elektronicznej (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/ 1972 z dnia 11 grudnia 2018 r.), która stanowi kluczowy akt prawny regulujący przetwarzanie danych osobowych w sektorze usług komunikacyjnych. Artykuły 386 – 405 pke wprowadzają szczegółowe ramy prawne, które uzupełniają przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/ 679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), uwzględniając specyfikę sektora telekomunikacyjnego.

Chociaż podstawowym aktem regulującym przetwarzanie danych osobowych w UE jest RODO, które określa ogólne zasady, takie jak legalność przetwarzania danych (art. 6), minimalizacja danych i ograniczenie celu ich przetwarzania (art. 5), to nie należy zapominać, iż przepisy te są uzupełniane przez tzw. regulacje sektorowe zawarte w dziale VII, rozdziale 5 pke, które zaostrzają standardy ochrony danych. Art. 401 pke, przykładowo nakłada na dostawców usług komunikacyjnych obowiązek wdrożenia środków technicznych i organizacyjnych, które dodatkowo zabezpieczają przetwarzanie danych osobowych, wykraczając poza wymogi RODO.

Pke uwzględnia także aspekty techniczne, prawne i organizacyjne przetwarzania danych osobowych. Naruszenia tych przepisów mogą negatywnie wpływać na prawa użytkowników końcowych. Pke wzmacnia więc ochronę danych, określając kompetencje Prezesa UODO oraz wytyczne dotyczące reagowania na incydenty. Na podstawie art. 2 Rozporządzenia Komisji (UE) nr 611/ 2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/ 58/ WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, dostawcy usług muszą powiadomić Prezesa UODO o naruszeniach danych osobowych w terminie do 24 godzin od ich wykrycia, o ile jest to wykonalne.

Dyrektywa 2002/ 58/ WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. (tzw. Dyrektywa o prywatności i łączności elektronicznej) to zbiór przepisów, wprowadzających kluczowe zasady dotyczące przetwarzania danych w komunikacji, w tym dotyczące plików „cookies”. Zgodnie z jej postanowieniami użytkownicy powinni być szczegółowo informowani o celu stosowania technologii „cookies”, a także mieć możliwość odmowy ich przechowywania. Wspomniany powyżej rozdział 5 pke rozszerza te przepisy, precyzując obowiązki dostawców usług elektronicznych w zakresie przetwarzania danych, w szczególności danych lokalizacyjnych (art. 386 ust. 1 pkt 4 pke).

Przetwarzanie zatem i ochrona danych osobowych w sektorze usług komunikacji elektronicznej podlegają rozbudowanym i złożonym regulacjom prawnym. Podstawy tych regulacji stanowią:

  • RODO,
  • Ustawa z dnia 12 lipca 2024 r Prawo komunikacji elektronicznej,
  • Dyrektywa 2002/ 58/ WE o prywatności i łączności elektronicznej,
  • Rozporządzenie nr Komisji (UE) nr 611/ 2013,

a także – pośrednio – inne akty prawne, takie jak Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/ 2555 z 14 grudnia 2022 r. dotycząca wysokiego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2).

Powyżej wskazane akty prawne tworzą komplementarny zbiór norm, których celem jest ochrona danych osobowych i prywatności użytkowników w kontekście świadczenia usług telekomunikacyjnych i internetowych.

RODO, jako jeden z kluczowych aktów prawnych dotyczących ochrony danych osobowych, wprowadza uniwersalne zasady obowiązujące we wszystkich sektorach, w tym w usługach komunikacji elektronicznej. Do najważniejszych zasad RODO należą:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie danych musi być zgodne z prawem, uczciwe i przejrzyste dla osób, których dane dotyczą. W kontekście usług komunikacyjnych oznacza to obowiązek dostarczania użytkownikom jasnych i zrozumiałych informacji na temat przetwarzania ich danych.
  2. Zasada ograniczenia celu – dane powinny być zbierane wyłącznie w jasno określonych, legalnych celach i nie mogą być wykorzystywane w sposób niezgodny z tymi celami. W sektorze telekomunikacyjnym dotyczy to m.in. danych o ruchu i lokalizacji, które mogą być przetwarzane jedynie w zakresie niezbędnym do świadczenia usług lub na potrzeby organów ścigania.
  3. Minimalizacja danych – przetwarzanie danych musi być ograniczone do zakresu niezbędnego dla realizacji zamierzonych celów. Operatorzy telekomunikacyjni mają obowiązek regularnie przeglądać posiadane dane i usuwać te, które są zbędne.
  4. Dokładność danych – dane muszą być prawidłowe i aktualne. Przedsiębiorcy telekomunikacyjni powinni wdrażać mechanizmy umożliwiające aktualizację danych, takie jak zmiana adresu czy numeru telefonu abonenta.
  5. Ograniczenie przechowywania – dane należy przechowywać wyłącznie przez okres niezbędny do realizacji celów przetwarzania. Przedsiębiorcy są zobowiązani do precyzyjnego określenia okresów przechowywania danych abonentów i innych danych operacyjnych.
  6. Integralność i poufność – dane muszą być zabezpieczone przed nieuprawnionym przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. Wymaga to zastosowania odpowiednich środków technicznych i organizacyjnych.
  7. Rozliczalność – administrator danych musi być w stanie wykazać zgodność z zasadami przetwarzania. W usługach telekomunikacyjnych oznacza to obowiązek prowadzenia odpowiedniej dokumentacji oraz wdrożenia mechanizmów audytowych.

Pke, dostosowując ogólne zasady RODO i Dyrektywy 2002/ 58/ WE, wprowadza szczególne regulacje dotyczące przetwarzania danych w sektorze telekomunikacyjnym, takie jak ochrona tajemnicy komunikacji elektronicznej oraz przetwarzanie danych transmisyjnych i lokalizacyjnych.

Dane podlegające szczególnej ochronie w ramach tajemnicy komunikacji elektronicznej (art. 386 pke) obejmują:

  • dane dotyczące użytkownika,
  • komunikaty elektroniczne,
  • dane transmisyjne (np. dane o ruchu i lokalizacji),
  • dane o lokalizacji wykraczające poza potrzeby transmisji,
  • dane o próbach połączeń, w tym nieudanych.

Przetwarzanie tych danych jest dozwolone wyłącznie w zakresie niezbędnym do świadczenia usług komunikacyjnych, a wykorzystanie ich w innych celach wymaga wskazania odpowiedniej podstawy prawnej lub uzyskania zgody użytkownika (art. 389 pke).

Dostawca usług musi ponadto poinformować użytkownika o rodzaju, celu i czasie przetwarzania danych oraz ewentualnym przekazaniu ich podmiotom trzecim. Obowiązek uzyskania zgody jest wyłączony w przypadku działań prowadzonych na podstawie prawa, np. przez sądy lub prokuraturę.

Dyrektywa 2002/ 58/ WE również odgrywa kluczową rolę, ustanawiając szczegółowe zasady dotyczące ochrony danych komunikacyjnych, takich jak treści wiadomości i metadane. Wymaga ona uzyskania wyraźnej zgody użytkownika na przetwarzanie jego danych.

Przedsiębiorcy telekomunikacyjni powinni przetwarzać dane abonentów, dane o ruchu oraz dane o lokalizacji, zgodnie z regulacjami prawnymi dotyczącymi minimalizacji oraz bezpieczeństwa danych.

Dane dotyczące abonenta obejmują:

  • imię i nazwisko – do identyfikacji abonenta.
  • adres zamieszkania – do korespondencji i weryfikacji.
  • numer telefonu – dla świadczenia usługi i kontaktu.
  • adres e-mail – do faktur, informacji i marketingu (za zgodą).
  • inne dane – np. PESEL, dowód osobisty, dane płatnicze.

Dane te są przetwarzane w celu realizacji umowy, wystawiania faktur, obsługi reklamacji i działań marketingowych (za zgodą). Abonenci mają prawo wglądu, poprawiania i usuwania swoich danych.

Dane o ruchu obejmują:

  • daty i godziny połączeń – do rozliczeń.
  • czasu trwania połączeń – dla intensywności usług.
  • numerów telefonów – identyfikacja rozmów.
  • adresów IP i danych technicznych – dla usług internetowych i bezpieczeństwa.

Dane te są przetwarzane do świadczenia usług, wykonywania rozliczeń i ochrony przed nadużyciami. Dodatkowe cele, w szczególności cele marketingowe, wymagają zgody użytkownika.

Dane o lokalizacji obejmują m. in. informacje o położeniu urządzeń (np. dane z nadajników GPS). Są one przetwarzane za zgodą użytkownika lub w przypadkach koniecznych (nawigacja, ratownictwo). Wymaga to szczególnej ochrony i jasnego informowania użytkowników o celach przetwarzania.

Przedsiębiorcy telekomunikacyjni są zobowiązani do regularnych przeglądów okresów przechowywania danych (retencja danych), zgodnie z zasadą rozliczalności wynikającą z RODO. Muszą ocenić, czy okresy przechowywania danych są adekwatne i zgodne z przepisami, oraz wprowadzać odpowiednie korekty, aby zapewnić zgodność z ochroną danych osobowych.

Pke określa maksymalny okres przechowywania danych o ruchu i metadanych, takich jak dane połączeń czy lokalizacja użytkownika, do 12 miesięcy. Zawiera także przepisy dotyczące przechowywania danych o wykonanych usługach przez 12 miesięcy, a w przypadku reklamacji – przez czas niezbędny do rozstrzygnięcia sporu.

Po upływie okresu retencji dane muszą zostać usunięte lub anonimizowane, aby zminimalizować ryzyko nadużyć. Przedsiębiorcy powinni wdrożyć procedury zapewniające skuteczne usuwanie danych oraz dokumentować ten proces. Wymaga to m.in. używania technik takich jak szyfrowanie czy pseudonimizacja, oraz regularnych audytów.

Zarówno RODO jak i pke wprowadzają sankcje i odpowiedzialność za naruszenie przepisów. Ma to na celu egzekwowanie zasad ochrony danych osobowych i zapewnienie prywatności użytkowników. Odpowiedzialność za naruszenia obejmuje zarówno kary administracyjne, jak i cywilne.

RODO przewiduje kary pieniężne do 20 mln €lub 4% rocznego obrotu przedsiębiorstwa, zależnie od wysokości. Kary te mogą dotyczyć m.in. braku odpowiednich środków ochrony danych czy nieprzestrzegania praw osób, których dane dotyczą.

Pke uzupełnia w tym zakresie RODO, przyznając Prezesowi UODO możliwość nałożenia kary do 3% rocznego przychodu. Dodatkowo, Prezes UODO może ukarać osoby zarządzające przedsiębiorstwem karą do 300% miesięcznego wynagrodzenia.

Najcięższe naruszenia dotyczą naruszenia tajemnicy komunikacji, które wiążą się z surowymi sankcjami. Niewłaściwe przetwarzanie danych objętych tajemnicą może skutkować karą nałożoną przez Prezesa UKE.

Naruszenia mogą także prowadzić do odpowiedzialności cywilnej, w tym odszkodowań za wyrządzone szkody materialne lub niematerialne.

 

Autor

Jarosław W. MROŻEK

Radca prawny, audytor RODO, stały mediator sądowy.

Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach.
Doradzał spółkom z branży produkcyjnej, handlowej, turystycznej i budowlanej.
Pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych osobowych w spółkach i innych podmiotach.
Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Cechuje się praktyczną znajomością przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z rozporządzeniem RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO.
Posługuje się biegle jęz. angielskim i francuskim.