Ochrona danych osobowych a Prawo komunikacji elektronicznej – co zdaniem Prezesa UODO wymaga zmian?
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 30 kwietnia 2024 r. w sprawie C-470/21 La Quadrature du Net (dalej jako: „Wyrok TSUE”) odgrywa kluczową rolę w dyskusji na temat ochrony danych osobowych użytkowników. Jak zauważa Prezes Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”) fakt istnienia powyższego wyroku wskazuje na konieczność rozważenia wprowadzenia zmian w przepisach polskiego prawa tj. w zakresie Ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz. U. poz. 1221 z późn. zm.; dalej jako: „PKE”). W niniejszym artykule przedstawiamy, co zdaniem Prezesa UODO powinno zostać poddane nowelizacji oraz jak potencjalne zmiany mogą oddziaływać na branżę telekomunikacyjną.
Wyrok TSUE
Wskazać należy, że Wyrok TSUE dotyczy interpretacji artykułu 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r., w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskie. TSUE wskazał, że powyższy przepis: „nie stoi na przeszkodzie uregulowaniu krajowemu, które zezwala organowi publicznemu odpowiedzialnemu za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw, do których dochodzi w Internecie, na dostęp do przechowywanych przez dostawców publicznie dostępnych usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresom IP zbieranym wcześniej przez organizacje zrzeszające uprawnionych, aby ów organ mógł zidentyfikować posiadaczy tych adresów wykorzystywanych do aktywności mogącej stanowić takie naruszenia i aby mógł on w razie potrzeby zastosować wobec nich środki”. Jednakże Wyrok TSUE stawia szereg warunków, które powinny zostać spełnione, tak aby powyższa interpretacja mogła być zastosowana.
Po pierwsze dane powinny być przechowywane zgodnie z zasadami technicznymi, które gwarantują poszanowanie prawa do życia prywatnego, rodzinnego oraz korespondencji. Wynika ono wprost z art.8 Europejskiej Konwencji Praw Człowieka. Ponadto konieczne jest zapewnienie organom publicznym dostępu do danych, które będą przechowywane w sposób odseparowany i rzeczywiście szczelny. Koniecznym jest udostępnianie ww. organom takich danych, które jednoznacznie wskazują na zidentyfikowanie osoby podejrzanej o dopuszczenie się czynu zabronionego. Dodatkowo Wyrok TSUE wskazuje, że powiązanie adresów IP z danymi umożliwiającymi identyfikację tytułów chronionych utworów, zwłaszcza przy ponownych naruszeniach przez tę samą osobę, powinno podlegać uprzedniej kontroli sądowej lub administracyjnej. Kontrola ta nie może być w pełni zautomatyzowana, ponieważ takie powiązanie może ujawniać wrażliwe informacje o życiu prywatnym. Ostatnim zaś elementem, który według TSUE powinien być spełniony, jest wskazanie na konieczność kontroli systemu przetwarzania danych wykorzystywanych przez organ publiczny. Kontrole te mają służyć ocenie integralności systemu, w tym skuteczności zabezpieczeń przed nieuprawnionym lub niezgodnym z prawem dostępem i wykorzystaniem danych, oraz weryfikacji jego efektywności i niezawodności w wykrywaniu ewentualnych uchybień.
Wyrok TSUE został wydany w sprawie dotyczącej przekazywania danych IP w sprawie naruszenia praw autorskich i praw pokrewnych do organu publicznego działającego we Francji, który ma kompetencję do ścigania przestępstw przeciwko prawom własności intelektualnej.
Co na to Prezes UODO?
W pierwszej kolejności, Prezes UODO wskazuje, że zgodnie z orzecznictwem TSUE oraz utrwalonym stanowiskiem sądów polskich, adres IP jest uznawany za daną osobową w rozumieniu RODO. W celu ustalenia danych osoby naruszającej prawo, konieczne jest zwrócenie się do przedsiębiorcy telekomunikacyjnego o ujawnienie danych osoby posługującej się adresem IP, które pozwolą na ustalenie jej tożsamości.
W piśmie skierowanym do Wiceprezesa Rady Ministrów, Ministra Cyfryzacji Krzysztofa Gawkowskiego (znak: DPNT.413.9.2025), Prezes UODO zwraca uwagę na przepisy regulujące niniejszą materie w rozdziale 5 PKE, wskazując, że powstały one zasadniczo implementując przepisy dyrektywy 2002/58/WE o prywatności i łączności elektronicznej. Zgodnie z art. 43 ust. 1 pkt 1 PKE przedsiębiorca telekomunikacyjny jest co do zasady obowiązany do zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, umożliwiających jednoczesne i wzajemnie niezależne uzyskiwanie przez m.in. Policję, Biuro Nadzoru Wewnętrznego, ABW, CBA czy KAS. Jednakże, Prezes UODO podkreśla, że „PKE na gruncie Wyroku TSUE nie odpowiada standardom wynikającym z art. 7, 8, 11 oraz art. 25 ust. 1 Karty Praw Podstawowych Unii Europejskiej, a ograniczenie tajemnicy komunikacji elektronicznej nie spełnia warunku wynikającego z art. 15 ust. 1 dyrektywy 2002/58 w postaci niezbędności i proporcjonalności w społeczeństwie demokratycznym.”
Zdaniem Prezesa UODO, w celu zapewnienia właściwej ochrony danych osobowych, konieczne jest aby te dane były przechowywane w taki sposób, aby nie było możliwe uzyskanie informacji pozwalających na wyciągnięcie precyzyjnych wniosków na temat życia osobistego osoby, której dane miałyby być przekazane. Poszczególne dane osobowe miałyby być od siebie odseparowane, tak aby nie było możliwe łączenie i tworzenie profilu aktywności użytkownika, a żeby konkretne dane jak np. IP dla potrzeb ich przekazania właściwym organom ścigania, pozwalały wyłącznie na ustalenie tożsamości użytkownika.
Prezes UODO wskazuje także na konieczność wprowadzenia kontroli sądu lub niezależnego organu administracyjnego, wskazując, że: „Kontrola przeprowadzona przez te podmioty byłaby też zgodna z zasadą pogłębiania zaufania obywateli do państwa, gdyż eliminowałaby ryzyko nieproporcjonalnej ingerencji w prawa podstawowe, jak też gwarantowałaby pewność stosowania prawa.”
Dodatkowo, Prezes UODO podkreśla wagę przekazywanych przez przedsiębiorców telekomunikacyjnych, m.in. wskazuje na wyrok Europejskiego Trybunału Praw Człowieka (dalej: „ETPCz”) z 28 maja 2024 r. w sprawie Pietrzak, Bychawska-Siniarska i inni przeciwko Polsce (skargi nr 72038/17 i 25237/18). Niniejsza sprawa wskazywała, że polskie ustawodawstwo umożliwia służbom zbieranie informacji o obywatelach pod pretekstem walki z przestępczością. ETPCz jednoznacznie wskazuje, że rezultatem braku realnej kontroli nad zbieraniem informacji czy posiadania dobrze funkcjonującego systemu kontroli, skutkuje naruszeniem art. 8 EKPC, jakim jest prawo do prywatności.
Reasumując, w ocenie Prezesa UODO na gruncie PKE brak jest jednoznacznych norm kontrolujących informacje przesyłane organom w ramach prowadzonych postępowań. Wskazana luka prawna skutkuje naruszeniem szereg praw obywateli, które powinny być respektowane.
Jak potencjalna zmiana może wpłynąć na przedsiębiorców telekomunikacyjnych?
Jak wskazuje Prezes UODO konieczne jest sformułowanie konkretnych norm regulujących zasady udostępniania adresów IP oraz innych danych osobowych dla upoważnionych organów w rozumieniu PKE. Przedsiębiorcy zostaliby zobowiązani do jeszcze silniejszej ochrony danych swoich abonentów, przy jednoczesnym działaniu w ich interesie. Wprowadzone zmiany w zakresie zasad udostępniania danych osobowych organom ścigania zmierzałyby w efekcie do przemodelowania zasad przechowywania danych i zmian w procedurach RODO, bowiem zgodnie z głównym założeniem Prezesa UODO bazującym na wnioskach z Wyroku TSUE, dane upubliczniane organom ścigania miały być fizycznie wydzielane od innych kategorii danych osobowych.
Jako kancelaria specjalizująca się w prawie komunikacji elektronicznej oraz ochronie danych osobowych, jesteśmy zainteresowani ewentualnymi zmianami w obszarze ochrony danych osobowych i ich wpływu na sytuację prawną przedsiębiorców telekomunikacyjnych, dlatego każde potencjalne zmiany w prawie śledzimy z uważnością.