Rozporządzenie retencyjne - czy minister infrastruktury przekroczył delegację ustawową?

No i mamy kolejny kłopocik, tym razem z rozporządzeniem ministra infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania. Dlaczego to kłopocik? Nie tylko dlatego, że chodzi o retencje danych i dalsze losy działań opisanych w tekście Policja zabiega o wprowadzenie ustawowego obowiązku retencji danych przetwarzanych przez dostawców usług internetowych, ale chodzi również o problem związany z ustaleniem, czy nie doszło do przekroczenia delegacji ustawowej. Bo czym innym jest usługa poczty elektronicznej, a czym innym jest usługa przekazywania poczty elektronicznej... Inna sprawa, że zastosowana technika prawodawcza, polegająca na pozostawieniu ministrowi możliwości wybrania w rozporządzeniu konkretnych danych, które podlegać mają obowiązkowi retencji, również pozostawia wiele do życzenia. Wszak wchodzimy w obszar konstytucyjnych praw i wolności, a te mogą być przecież ograniczone tylko w ustawie.

Tekst ujednolicony ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne można znaleźć na stronie Sejmu RP, rozporządzenie ministra infrastruktury, o którym wyżej mowa, opublikowano na ministerialnej stronie (PDF). Rozporządzenie wydano na podstawie art. 180c ust. 2 ustawy Prawo telekomunikacyjne, dlatego istotne jest, by się tej delegacji przyjrzeć w pierwszej kolejności.

Ten artykuł brzmi:

Art. 180c.
1. Obowiązkiem, o którym mowa w art. 180a ust. 1, objęte są dane niezbędne do:

1) ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego:
a) inicjującego połączenie,
b) do którego kierowane jest połączenie;

2) określenia:
a) daty i godziny połączenia oraz czasu jego trwania,
b) rodzaju połączenia,
c) lokalizacji telekomunikacyjnego urządzenia końcowego.

2. Minister właściwy do spraw łączności w porozumieniu z ministrem właściwym do spraw wewnętrznych, mając na uwadze rodzaj wykonywanej działalności telekomunikacyjnej przez operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych, dane określone w ust. 1, koszty pozyskania i utrzymania danych oraz potrzebę unikania wielokrotnego zatrzymywania i przechowywania tych samych danych, określi, w drodze rozporządzenia:
1) szczegółowy wykaz danych, o których mowa w ust. 1;
2) rodzaje operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do zatrzymywania i przechowywania tych danych.

W art 180a mowa o tym, że - z pewnym zastrzeżeniem - operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt m.in.

zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 24 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;

Ten przepis jest bardziej rozbudowany, ale zacytowałem istotny fragment. Jak widać art 180c jest tu kluczowy, chociaż wiele nie wyjaśnia, bo prawodawca postanowił tak ważną sprawę oddać do regulacji aktem wykonawczym. Rozporządzenie zaś m.in. przewiduje:

§ 6. Danymi niezbędnymi w przypadku usługi dostępu do Internetu, usługi poczty elektronicznej i usługi telefonii internetowej:
1) do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego, inicjującego połączenie, są:
a) identyfikator użytkownika,
b) numer przydzielony użytkownikowi końcowemu, korzystającemu z dostępu dial-up,
c) identyfikator użytkownika i numer przydzielony użytkownikowi końcowemu inicjującemu połączenie kierowane do publicznej sieci telekomunikacyjnej,
d) adres IP,
e) imię i nazwisko albo nazwa oraz adres użytkownika końcowego, któremu w czasie połączenia przypisano adres IP, a także identyfikator użytkownika lub przydzielony mu numer w telefonii internetowej,
f) identyfikator zakończenia sieci, w którym użytkownik końcowy uzyskał dostęp do Internetu, w szczególności identyfikator cyfrowej linii abonenckiej DSL (Digital Subscriber Line), numer wykorzystywanego portu sieciowego lub adres MAC urządzenia końcowego inicjującego połączenie;

2) do ustalenia daty i godziny połączenia oraz czasu jego trwania są:
a) data i godzina każdorazowego połączenia i rozłączenia z Internetem, zgodnie z czasem lokalnym, wraz z przydzielonymi dynamicznie lub statycznie adresami IP wykorzystywanymi w czasie trwania połączenia oraz identyfikatorem użytkownika,
b) data i godzina zalogowania i wylogowania z usługi poczty elektronicznej i telefonii internetowej, zgodnie z czasem lokalnym.

§ 7. Danymi niezbędnymi w przypadku usługi poczty elektronicznej i usługi telefonii internetowej do ustalenia:
1) zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego, do którego jest kierowane połączenie, są:
a) numer przydzielony użytkownikowi końcowemu, do którego jest kierowane połączenie w telefonii internetowej,
b) imię i nazwisko albo nazwa oraz adres zarejestrowanego użytkownika końcowego usługi poczty elektronicznej lub usługi telefonii internetowej, do którego jest kierowane połączenie, oraz identyfikator tego użytkownika;

2) rodzaju połączenia jest określenie wykorzystanej usługi, w tym numer wykorzystanego portu sieciowego.

Jak wiadomo kiedyś w ustawowej definicji pojęcia "usługa telekomunikacyjna" był ten sławny fragment, że "usługa poczty elektronicznej nie stanowi usługi telekomunikacyjnej". Wykreślono go (por. Transpozycja dyrektywy o retencji danych - kolejna próba) i teraz mamy definicję usługi telekomunikacyjnej bez wyróżnienia w niej poczty elektronicznej. Brzmi ona tak (określenia użyte w ustawie oznaczają): "usługa telekomunikacyjna - usługę polegającą głównie na przekazywaniu sygnałów w sieci telekomunikacyjnej". Wykreślenie argumentowano w uzasadnieniu projektu ustawy w następujący sposób:

Zmiana w definicji usługi telekomunikacyjnej ma na celu objecie regulacjami telekomunikacyjnymi tych aspektów poczty elektronicznej, które polegają na przekazywaniu sygnałów w sieci telekomunikacyjnej. W tym celu wykreślono zapis, iż usługa poczty elektronicznej nie stanowi usługi telekomunikacyjnej. Jest to zgodne z Dyrektywami 2002/58/WE i 2002/21/WE, a także pozwoli na wyeliminowanie wątpliwości interpretacyjnych, co do pojęcia poczty elektronicznej.

Istniejący dotychczas zapis mógł budzić wątpliwości interpretacyjne co do zakresu pojęcia przekazywania poczty elektronicznej i usługi poczty elektronicznej. Tymczasem nie są to pojęcia tożsame, co wynika jednoznacznie z Dyrektyw.

Dyrektywa 2002/58/WE nie definiuje wprost usługi poczty elektronicznej, definiuje jedynie pocztę elektroniczna, jako wszelkiego rodzaju wiadomości tekstowe, głosowe, dźwiękowe lub wizualne przesyłane przez publiczną sieć telekomunikacyjną, które mogą być przechowywane w sieci lub w urządzeniu końcowym odbiorcy dopóki nie zostaną przez niego odebrane. Poczta elektroniczna jest jednym z rodzajów przekazu, który podlega ochronie zgodnie z przepisami omawianej dyrektywy.

Z kolei pojecie usługi przekazywania poczty elektronicznej jest wyraźnie objęte dyrektywą ramowa, co statuuje pkt 10 motywów tej dyrektywy. Powyższe potwierdza również art. 2c tej dyrektywy w definicji usługi łączności elektronicznej, tj. usługi polegającej całkowicie lub częściowo na przekazywaniu sygnałów w sieciach łączności elektronicznej, w zakres której wchodzą usługi telekomunikacyjne i usługi transmisyjne świadczone poprzez sieci nadawcze.

Definicja ta jest tożsama z definicja usługi telekomunikacyjnej w polskim PT. Obie te definicje obejmują swym zakresem usługę przekazywania poczty elektronicznej. Sama usługa poczty elektronicznej nie jest usługa telekomunikacyjna, gdyż jej zasadniczymi elementami są: udostępnienie indywidualnego konta pocztowego, zapewnienie możliwości odbierania poczty elektronicznej kierowanej na konto pocztowe, zapewnienie możliwości wysyłania poczty elektronicznej z konta pocztowego, zapewnienie możliwości przechowywania poczty elektronicznej. W związku z powyższym należy uznać, iż usługa ta jest usługa społeczeństwa informacyjnego, wyłączona mocą art.2c dyrektywy ramowej z zakresu usług łączności elektronicznej.

Jedynie drugie z powyższych pojęć, czyli pojecie „usługa przekazywania poczty elektronicznej” jest usługa telekomunikacyjna i zmieniona nowelizacją treść przepisu art. 2 ust. 48 jest skutkiem przyjętej powyżej interpretacji definicji związanych z poczta elektroniczna.

Przygotowując rozporządzenie ministerstwo zauważyło:

Zgodnie z obowiązującym do 31 grudnia 2009 r. art. 165 ust. 1 ustawy, operatorzy publicznej sieci telekomunikacyjnej, zwani dalej „operatorami” ,lub dostawcy publicznie dostępnych usług telekomunikacyjnych, zwanie dalej „dostawcami”, posiadają obowiązek przechowywania przez okres 2 lat danych transmisyjnych, o których mowa w art. 159 ust. 1 pkt 3 ustawy. W chwili obecnej brak jest wskazania jednoznacznego katalogu danych podlegających przechowywaniu przez operatorów lub dostawców. Dane te zdefiniowane są ogólnie jako dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące na położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych.

Powołano się również na artykuł 5 dyrektywy o retencji danych telekomunikacyjnych, który obszernie cytowałem w tekście Retencja danych w pracach nad nowelą ustawy o świadczeniu usług drogą elektroniczną. Owszem. W tym artykule dyrektywy 2006/24/WE mowa jest o dostępie internetowym, elektronicznej poczcie internetowej i telefonii internetowej, ale nie oznacza to, że są to usługi związane z "działalnością telekomunikacyjną" w rozumieniu polskiej ustawy Prawo telekomuniacyjne. Być może taki mamy system prawny, że w kilku miejscach trzeba retencyjne jajko podrzucić (część w ustawie Prawo telekomunikacyjne, część w ustawie o świadczeniu usług drogą elektroniczną), nie zaś przygotować jedną wielką pisankę.

Jeśli zatem usługa poczty elektronicznej i usługa przekazywania poczty elektronicznej nie są pojęciami tożsamymi, to - być może - doszło do przekroczenia delegacji ustawowej, bo rozporządzenie mówi o usłudze poczty elektronicznej, która - jak już wiemy - usługą telekomunikacyjna nie jest.

Ach. Zapomniałbym. Rozporządzenie weszło w życie z dniem 1 stycznia 2010 r., a w dziale retencja danych ostatnio zbieram materiały dotyczące prób wprowadzenia blokowania treści internetowych, ale też o próbach podważania przepisów dokonujących transpozycji dyrektywy. Przeczytaj zwłaszcza: Rumuński Trybunał Konstytucyjny uznał, że tamtejsza ustawa o retencji danych jest niezgodna z konstytucją oraz Teraz Niemiecki Federalny Trybunał Konstytucyjny przyjrzy się retencji danych, ale również Rejestr i inwigilacja: nie w tym projekcie, to w następnym (ale jednak w tym) i Blokowanie treści i inwigilacja: zacznijcie raz jeszcze, ale tym razem uczciwie.