Rozporządzenie retencyjne - czy minister infrastruktury przekroczył delegację ustawową?

No i mamy kolejny kłopocik, tym razem z rozporządzeniem ministra infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania. Dlaczego to kłopocik? Nie tylko dlatego, że chodzi o retencje danych i dalsze losy działań opisanych w tekście Policja zabiega o wprowadzenie ustawowego obowiązku retencji danych przetwarzanych przez dostawców usług internetowych, ale chodzi również o problem związany z ustaleniem, czy nie doszło do przekroczenia delegacji ustawowej. Bo czym innym jest usługa poczty elektronicznej, a czym innym jest usługa przekazywania poczty elektronicznej... Inna sprawa, że zastosowana technika prawodawcza, polegająca na pozostawieniu ministrowi możliwości wybrania w rozporządzeniu konkretnych danych, które podlegać mają obowiązkowi retencji, również pozostawia wiele do życzenia. Wszak wchodzimy w obszar konstytucyjnych praw i wolności, a te mogą być przecież ograniczone tylko w ustawie.

Tekst ujednolicony ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne można znaleźć na stronie Sejmu RP, rozporządzenie ministra infrastruktury, o którym wyżej mowa, opublikowano na ministerialnej stronie (PDF). Rozporządzenie wydano na podstawie art. 180c ust. 2 ustawy Prawo telekomunikacyjne, dlatego istotne jest, by się tej delegacji przyjrzeć w pierwszej kolejności.

Ten artykuł brzmi:

Art. 180c.
1. Obowiązkiem, o którym mowa w art. 180a ust. 1, objęte są dane niezbędne do:

1) ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego:
a) inicjującego połączenie,
b) do którego kierowane jest połączenie;

2) określenia:
a) daty i godziny połączenia oraz czasu jego trwania,
b) rodzaju połączenia,
c) lokalizacji telekomunikacyjnego urządzenia końcowego.

2. Minister właściwy do spraw łączności w porozumieniu z ministrem właściwym do spraw wewnętrznych, mając na uwadze rodzaj wykonywanej działalności telekomunikacyjnej przez operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych, dane określone w ust. 1, koszty pozyskania i utrzymania danych oraz potrzebę unikania wielokrotnego zatrzymywania i przechowywania tych samych danych, określi, w drodze rozporządzenia:
1) szczegółowy wykaz danych, o których mowa w ust. 1;
2) rodzaje operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do zatrzymywania i przechowywania tych danych.

W art 180a mowa o tym, że - z pewnym zastrzeżeniem - operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt m.in.

zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 24 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;

Ten przepis jest bardziej rozbudowany, ale zacytowałem istotny fragment. Jak widać art 180c jest tu kluczowy, chociaż wiele nie wyjaśnia, bo prawodawca postanowił tak ważną sprawę oddać do regulacji aktem wykonawczym. Rozporządzenie zaś m.in. przewiduje:

§ 6. Danymi niezbędnymi w przypadku usługi dostępu do Internetu, usługi poczty elektronicznej i usługi telefonii internetowej:
1) do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego, inicjującego połączenie, są:
a) identyfikator użytkownika,
b) numer przydzielony użytkownikowi końcowemu, korzystającemu z dostępu dial-up,
c) identyfikator użytkownika i numer przydzielony użytkownikowi końcowemu inicjującemu połączenie kierowane do publicznej sieci telekomunikacyjnej,
d) adres IP,
e) imię i nazwisko albo nazwa oraz adres użytkownika końcowego, któremu w czasie połączenia przypisano adres IP, a także identyfikator użytkownika lub przydzielony mu numer w telefonii internetowej,
f) identyfikator zakończenia sieci, w którym użytkownik końcowy uzyskał dostęp do Internetu, w szczególności identyfikator cyfrowej linii abonenckiej DSL (Digital Subscriber Line), numer wykorzystywanego portu sieciowego lub adres MAC urządzenia końcowego inicjującego połączenie;

2) do ustalenia daty i godziny połączenia oraz czasu jego trwania są:
a) data i godzina każdorazowego połączenia i rozłączenia z Internetem, zgodnie z czasem lokalnym, wraz z przydzielonymi dynamicznie lub statycznie adresami IP wykorzystywanymi w czasie trwania połączenia oraz identyfikatorem użytkownika,
b) data i godzina zalogowania i wylogowania z usługi poczty elektronicznej i telefonii internetowej, zgodnie z czasem lokalnym.

§ 7. Danymi niezbędnymi w przypadku usługi poczty elektronicznej i usługi telefonii internetowej do ustalenia:
1) zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego, do którego jest kierowane połączenie, są:
a) numer przydzielony użytkownikowi końcowemu, do którego jest kierowane połączenie w telefonii internetowej,
b) imię i nazwisko albo nazwa oraz adres zarejestrowanego użytkownika końcowego usługi poczty elektronicznej lub usługi telefonii internetowej, do którego jest kierowane połączenie, oraz identyfikator tego użytkownika;

2) rodzaju połączenia jest określenie wykorzystanej usługi, w tym numer wykorzystanego portu sieciowego.

Jak wiadomo kiedyś w ustawowej definicji pojęcia "usługa telekomunikacyjna" był ten sławny fragment, że "usługa poczty elektronicznej nie stanowi usługi telekomunikacyjnej". Wykreślono go (por. Transpozycja dyrektywy o retencji danych - kolejna próba) i teraz mamy definicję usługi telekomunikacyjnej bez wyróżnienia w niej poczty elektronicznej. Brzmi ona tak (określenia użyte w ustawie oznaczają): "usługa telekomunikacyjna - usługę polegającą głównie na przekazywaniu sygnałów w sieci telekomunikacyjnej". Wykreślenie argumentowano w uzasadnieniu projektu ustawy w następujący sposób:

Zmiana w definicji usługi telekomunikacyjnej ma na celu objecie regulacjami telekomunikacyjnymi tych aspektów poczty elektronicznej, które polegają na przekazywaniu sygnałów w sieci telekomunikacyjnej. W tym celu wykreślono zapis, iż usługa poczty elektronicznej nie stanowi usługi telekomunikacyjnej. Jest to zgodne z Dyrektywami 2002/58/WE i 2002/21/WE, a także pozwoli na wyeliminowanie wątpliwości interpretacyjnych, co do pojęcia poczty elektronicznej.

Istniejący dotychczas zapis mógł budzić wątpliwości interpretacyjne co do zakresu pojęcia przekazywania poczty elektronicznej i usługi poczty elektronicznej. Tymczasem nie są to pojęcia tożsame, co wynika jednoznacznie z Dyrektyw.

Dyrektywa 2002/58/WE nie definiuje wprost usługi poczty elektronicznej, definiuje jedynie pocztę elektroniczna, jako wszelkiego rodzaju wiadomości tekstowe, głosowe, dźwiękowe lub wizualne przesyłane przez publiczną sieć telekomunikacyjną, które mogą być przechowywane w sieci lub w urządzeniu końcowym odbiorcy dopóki nie zostaną przez niego odebrane. Poczta elektroniczna jest jednym z rodzajów przekazu, który podlega ochronie zgodnie z przepisami omawianej dyrektywy.

Z kolei pojecie usługi przekazywania poczty elektronicznej jest wyraźnie objęte dyrektywą ramowa, co statuuje pkt 10 motywów tej dyrektywy. Powyższe potwierdza również art. 2c tej dyrektywy w definicji usługi łączności elektronicznej, tj. usługi polegającej całkowicie lub częściowo na przekazywaniu sygnałów w sieciach łączności elektronicznej, w zakres której wchodzą usługi telekomunikacyjne i usługi transmisyjne świadczone poprzez sieci nadawcze.

Definicja ta jest tożsama z definicja usługi telekomunikacyjnej w polskim PT. Obie te definicje obejmują swym zakresem usługę przekazywania poczty elektronicznej. Sama usługa poczty elektronicznej nie jest usługa telekomunikacyjna, gdyż jej zasadniczymi elementami są: udostępnienie indywidualnego konta pocztowego, zapewnienie możliwości odbierania poczty elektronicznej kierowanej na konto pocztowe, zapewnienie możliwości wysyłania poczty elektronicznej z konta pocztowego, zapewnienie możliwości przechowywania poczty elektronicznej. W związku z powyższym należy uznać, iż usługa ta jest usługa społeczeństwa informacyjnego, wyłączona mocą art.2c dyrektywy ramowej z zakresu usług łączności elektronicznej.

Jedynie drugie z powyższych pojęć, czyli pojecie „usługa przekazywania poczty elektronicznej” jest usługa telekomunikacyjna i zmieniona nowelizacją treść przepisu art. 2 ust. 48 jest skutkiem przyjętej powyżej interpretacji definicji związanych z poczta elektroniczna.

Przygotowując rozporządzenie ministerstwo zauważyło:

Zgodnie z obowiązującym do 31 grudnia 2009 r. art. 165 ust. 1 ustawy, operatorzy publicznej sieci telekomunikacyjnej, zwani dalej „operatorami” ,lub dostawcy publicznie dostępnych usług telekomunikacyjnych, zwanie dalej „dostawcami”, posiadają obowiązek przechowywania przez okres 2 lat danych transmisyjnych, o których mowa w art. 159 ust. 1 pkt 3 ustawy. W chwili obecnej brak jest wskazania jednoznacznego katalogu danych podlegających przechowywaniu przez operatorów lub dostawców. Dane te zdefiniowane są ogólnie jako dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące na położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych.

Powołano się również na artykuł 5 dyrektywy o retencji danych telekomunikacyjnych, który obszernie cytowałem w tekście Retencja danych w pracach nad nowelą ustawy o świadczeniu usług drogą elektroniczną. Owszem. W tym artykule dyrektywy 2006/24/WE mowa jest o dostępie internetowym, elektronicznej poczcie internetowej i telefonii internetowej, ale nie oznacza to, że są to usługi związane z "działalnością telekomunikacyjną" w rozumieniu polskiej ustawy Prawo telekomuniacyjne. Być może taki mamy system prawny, że w kilku miejscach trzeba retencyjne jajko podrzucić (część w ustawie Prawo telekomunikacyjne, część w ustawie o świadczeniu usług drogą elektroniczną), nie zaś przygotować jedną wielką pisankę.

Jeśli zatem usługa poczty elektronicznej i usługa przekazywania poczty elektronicznej nie są pojęciami tożsamymi, to - być może - doszło do przekroczenia delegacji ustawowej, bo rozporządzenie mówi o usłudze poczty elektronicznej, która - jak już wiemy - usługą telekomunikacyjna nie jest.

Ach. Zapomniałbym. Rozporządzenie weszło w życie z dniem 1 stycznia 2010 r., a w dziale retencja danych ostatnio zbieram materiały dotyczące prób wprowadzenia blokowania treści internetowych, ale też o próbach podważania przepisów dokonujących transpozycji dyrektywy. Przeczytaj zwłaszcza: Rumuński Trybunał Konstytucyjny uznał, że tamtejsza ustawa o retencji danych jest niezgodna z konstytucją oraz Teraz Niemiecki Federalny Trybunał Konstytucyjny przyjrzy się retencji danych, ale również Rejestr i inwigilacja: nie w tym projekcie, to w następnym (ale jednak w tym) i Blokowanie treści i inwigilacja: zacznijcie raz jeszcze, ale tym razem uczciwie.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Fajna sprawa z tą pocztą

Fajna sprawa z tą pocztą elektroniczną. Kompletnie się komuś pomieszały pojęcia. I tylko zastanawiam się teraz, kto (dostawcy usług pocztowych? dostawcy dostępu do sieci?) i co będą zatrzymywać?

Czas lokalny, czas UTC

Pomijając moją zgodę lub niezgodę na retencję danych /i tak serwery trzymam, UFF!, za granicą/, to zapis

b) data i godzina zalogowania i wylogowania z usługi poczty elektronicznej i telefonii internetowej, zgodnie z czasem lokalnym.

woła o pomstę do nieba. To, że urzędnik Ministerstwa Infrastruktury nie potrafi sobie przeliczyć czasu UTC na czas lokalny, to jego problem. Ale czy nie zauważył tego drobiazgu, że w czasie lokalnym godzina 2:30am występuje pewnego pięknego dnia w roku dwukrotnie?

Łukasz
--
http://7thguard.net

Pomijając moją zgodę lub

Pomijając moją zgodę lub niezgodę na retencję danych /i tak serwery trzymam, UFF!, za granicą/

Jesteś pewien, że to Ciebie chroni przed realizacją obowiązków nałożonych tym rozporządzeniem ? Jeśli poczta elektroniczna byłaby usługą telekomunikacyjną, to w myśl art 2.41 i tak musiałbyś to robić, a na dodatek dane retencyjne musiałbyś przechowywać na terenie RP

2.41) świadczenie usług telekomunikacyjnych - wykonywanie usług za pomocą własnej sieci, z wykorzystaniem sieci innego operatora lub sprzedaż we własnym imieniu i na własny rachunek usługi telekomunikacyjnej wykonywanej przez innego dostawcę usług;

Ale te dane z zagranicy - to

Ale te dane z zagranicy - to mają być w czasie lokalnym danego kraju, czy Polski? :)
Choć stwierdzenie w czasie lokalnym wyraźnie wskazuje na czas lokalny serwera, więc z takimi Stanami będzie jeszcze różnica w momencie wprowadzania czasu letniego/zimowego.

Godzina nie wystepuje dwukrotnie,

a przynajmniej w świecie prawa :)

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW
z dnia 23 grudnia 2008 r. w sprawie wprowadzenia i odwołania czasu letniego środkowoeuropejskiego w latach 2009—2011,(Dz.U. 2008 nr 236 poz. 1627):
§.1, pkt.3
Czas od godziny 2 minut 00 do godziny 3 minut
00 czasu środkowoeuropejskiego będzie się oznaczać
dodatkową literą „a” (godzina 2a minut 01 do
godziny 3a minut 00), po czym nastąpi godzina 3 minut
01 czasu środkowoeuropejskiego.

Z tych co znam, jedynie kolejarze tego używają. Ale jednak prawo.

Nawiasem mówiąc, ta dziwna

Nawiasem mówiąc, ta dziwna regulacja skutecznie rozwala wszelkie regexpy do weryfikacji pól oznaczających godzinę.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT

prace nad rozporządzeniem

Łukaszu,
rozporządzenie, nad którego postanowieniami trwa dyskusja zostało wydane w porozumieniu MI z MSWiA. Urzędnicy MI mogli nawet nie mieć czasu na przeliczenie czasu UTC na czas lokalny.

Interesuje mnie teraz bardzo

Interesuje mnie teraz bardzo sytuacja prawna w jakiej znalazły się wszystkie PIAP’y (publiczne punkty dostępu do Internetu), które na nie jednej polskiej wsi są nieocenionym dobrem, umożliwiającym w ogóle jakikolwiek dostęp do Internetu na terenach z obszarów wykluczenia cyfrowego. Korzystanie z dostępu do sieci odbywa się tam w sposób całkowicie anonimowy, nikt nie rejestruje kto i z jakich zasobów korzysta w tych miejscach. Podobnie jest w kawiarenkach internetowych, które mimo wszystko gdzie nie gdzie jeszcze funkcjonują.

Jeszcze bardziej skomplikowana wydaje mi się sytuacja gmin które uruchomiły dla swoich mieszkańców tzw. „socjalny” dostęp do Internetu (na bazie własnej sieci). Także i w takich sieciach niejednokrotnie nie stosuje się rejestracji użytkowników.

Na koniec pozostaje jeszcze kwestia całej rzeszy darmowych Hot-Spotów WiFi funkcjonujących w tysiącach miejsc naszego kraju. O ich przydatności nie trzeba chyba nikogo przekonywać, a osobiście nie wyobrazi sobie nawet sytuacji gdyby miało ich zabraknąć w miejscach turystycznie atrakcyjnych.

Proszę o Wasze komentarze w tej kwestii.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>