Pomoc techniczna dla Ministerstwa Infrastruktury i Urzędu Regulacji Telekomunikacji i Poczty dotycząca regulacji rynków telekomunikacyjnych, bezpieczeństwa sieci i kwestii związanych z połączeniami sieci oraz rozliczeniami międzyoperatorskimi (interconnect) Program Phare 2002/000-605.02.02.05.01 Nowe ramy regulacyjne dla łączności elektronicznej Raport z zadania1 Zagadnienia związane z bezpieczeństwem sieci Przetwarzanie danych osobowych, z punktu widzenia ochrony praw konsumenta na podstawie doświadczeń państw członkowskich UE Praktyczne aspekty regulacji na temat tajemnicy telekomunikacyjnej w państwach członkowskich Piotr Rutkowski rotel 20 lipca 2005 2 2005 Andersen Business Consulting. All rights reserved.
Podsumowanie Informacja staje się najważniejszym zasobem gospodarki i całego społeczeństwa. Coraz więcej danych jest przesyłanych, przetwarzanych i gromadzonych w sieciach łączności elektronicznej. Pojawiają się jednak liczne czynniki ryzyka, które zwiększają zapotrzebowanie na prawne zabezpieczenie interesów konsumenta oraz wprowadzanie norm akceptowanych przez wszystkie kraje. Ochrona danych osobowych, ochrona prywatności, zapewnienie bezpieczeństwa sieci i usług łączności elektronicznej to problemy, które będą absorbować dużo uwagi ze względu na potencjalne zagrożenia. Przystosowanie polskiego systemu prawnego do europejskich przepisów o ochronie danych osobowych następowało w Polsce stopniowo, w kilku różnych ustawach, przy okazji transpozycji kolejnych dyrektyw. Najważniejszą jest kierunkowa, ogólna ustawa o ochronie danych osobowych 1 (nazywana dalej w przypisach UODO). W prawie telekomunikacyjnym 2 z 2004 r. (zwanym dalej prawo telekomunikacyjne, a w przypisach PT) transponuje się do polskiego systemu regulacyjnego obszerny pakiet dyrektyw tzw. Nowych Ram Regulacyjnych dla sieci i usług łączności elektronicznej. Dyrektywa 2002/58/WE o prywatności i łączności elektronicznej 3 (zwana dalej w przypisach DP) jest z jednej strony integralną częścią tego pakietu, ale jest również rozwinięciem i uzupełnieniem ogólnych przepisów o ochronie danych osobowych wprowadzonych dyrektywą 95/46/WE o ochronie danych osobowych 4. Rozwiązania wprowadzane dyrektywą o prywatności i łączności elektronicznej wynikają z ewolucji poglądów na temat prywatności 1 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jednolity Dz.U. z 2002 r. Nr 101 poz. 926 z poźn. zm. 2 Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, Dz.U. z 2004 r. Nr 171 poz.1800 z poźn. zm. 3 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 roku w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) 4 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnym przepływem tych danych 1
w sieciach i usługach łączności elektronicznej i jej właściwa transpozycja powinna być analizowana również pod tym kątem. Większość rozwiązań prawa europejskiego w zakresie ochrony danych osobowych w sieciach i usługach łączności elektronicznej zostało wprost przeniesionych do prawa telekomunikacyjnego. Różnicą o istotnym znaczeniu jest uregulowanie w prawie telekomunikacyjnym problematyki ochrony danych osobowych w kontekście tajemnicy telekomunikacyjnej, co może mieć potencjalnie wpływ na interpretacje szczegółowych przepisów o ochronie prywatności konsumentów usług łączności elektronicznej. Naruszenie prywatności i zagrożenia bezpieczeństwa, związane ze zjawiskiem cyberprzestępczości są coraz bardziej widoczne i dotyczą wszystkich, którzy korzystają z dostępu dosieli i usług łączności elektronicznej. Zagrożenia dotyczą indywidualnych osób, ale często mają charakter masowy. W sieciach i usługach muszą się pojawić na różnych poziomach systemy zabezpieczające interes użytkowników, w tym chroniące prywatność. Pojawia się jednak równocześnie nagląca potrzeba dostosowywania prawa karnego, a także czynności procesowych do nowych innowacyjnych rodzajów przestępstw. Nie można się dziwić, że wiele z tych działań wymyka się dotąd stosowanym kwalifikacjom prawnym. Nowe koncepcje działania w obszarze nowych technologii inspirują w równym stopniu tych, którzy chcą świadczyć usługi inne niż wszystko, do czego się przyzwyczailiśmy, jak i tych, którzy szukają metod na obejście norm współżycia społecznego. Masowy charakter cyberprzestępstw może stwarzać nie tylko zagrożenia indywidualne. Można się liczyć ze zjawiskiem wtórnej reakcji na zagrożenia, spadkiem zaufania do nowych technologii, hamowaniem rozwoju gospodarki elektronicznej. Nie bez znaczenia jest również konieczność uruchomienia działań prewencyjnych, wyprzedzających okazje do rozwoju zjawiska, które określa się w języku wojskowym mianem wojny informacyjnej, w tym również zagrożeniem cyberterroryzmem. Ponieważ większość szkodliwego oprogramowania powstaje poza granicami Polski i wiele firm z niego korzystających także działa poza granicami naszej jurysdykcji powstaje praktyczny problem ze skutecznością zgłaszania skarg w polskich organach ścigania, sądach, a nawet urzędach zainteresowanych ochroną interesów konsumenta w sieciach i usługach łączności elektronicznej. Niniejsza ekspertyza obejmuje szereg zagadnień z dziedziny ochrony danych osobowych sieciach i usługach łączności elektronicznej oraz tajemnicy telekomunikacyjnej 2005 Andersen Business Consulting. All rights reserved. 2
Wybrano dla analizy następujące grupy tematyczne 1. Ochrona danych osobowych w systemie regulacyjnym 2. Wybrane zagadnienia z zakresu problematyki prawa konsumenta w kontekście danych osobowych 3. Wybrane z zagadnienia związane z naruszeniami prywatności i innych praw użytkownika 4. Poczta elektroniczna 5. Bezpieczeństwo i poufność przekazu telekomunikacyjnego W wyniku analiz pojawiają się wnioski i zalecenia. Kolejność zachowuje chronologię dokumentu i nie odzwierciedla wagi zagadnień: 1. Należałoby rozważyć rozdzielenie w prawie telekomunikacyjnym przepisów o ochronie tajemnicy telekomunikacyjnej od przepisów o ochronie danych osobowych (prywatności); 2. Wyjaśnić różnice w ochronie danych osób fizycznych i innych użytkowników; 3. Nadać przepisom o ochronie danych osobowych brzmienie, które jednoznacznie, określa, że każdy ma prawo do ochrony dotyczących go danych osobowych 4. Doprowadzić do stanu, w którym zakres kompetencyjny prawa telekomunikacyjnego i ustawy o ochronie danych osobowych będą rozdzielone wobec ustawy o świadczeniu usług drogą elektroniczną: a. Np. wyjaśnić na użytek prawa telekomunikacyjnego, że przesyłanie poczty elektronicznej w sieci telekomunikacyjnej jest usługą telekomunikacyjną; b. Usunąć z ustawy oświadczeniu usług drogą elektroniczną przepis 5 wyłączający stosowanie ustawy o ochronie danych osobowych. 5. Ujednolicić nazewnictwo danych osobowych w całej ustawie 5 art.16 ust 1 wraz dalszymi konsekwencjami 2005 Andersen Business Consulting. All rights reserved. 3
6. Usunąć niejednoznaczności i redundancje prawa telekomunikacyjnego i ustawy o ochronie danych osobowych. 7. Definicja przetwarzania, o ile jest w prawie telekomunikacyjnym potrzebna, nie powinna być zawarta w przepisie, który określa granicę zastosowania tajemnicy telekomunikacyjnej 8. Przywrócić właściwą relację pomiędzy pojęciem bezpieczeństwo i poufność (tajemnica telekomunikacyjna). 9. Udostępnić poprzez stronę www URTiP specjalny serwis informacyjny (portal) dla konsumentów o ich uprawnieniach i sposobach rozwiązywania problemów 10. Dążyć do ujednolicenia formy billingu dla całego rynku. 11. Promować oferowanie bilingów elektronicznych, najlepiej w jednolicie wypracowanej formie. 12. Promować uwzględnianie SMS w bilingach szczegółowych. 13. Użytkownicy prepaid powinni mieć takie same prawa jak użytkownicy post-paid w granicach funkcjonalności usług. 14. Promować działanie u operatorów systemów wczesnego ostrzegania, które będą przeciwdziałać narastaniu należności 15. Ustalić mechanizm stałych roboczych kontaktów z UOKiK w sprawie naruszeń związanych z marketingiem bezpośrednim i innych kwestii konsumenckich 16. Należy przeprowadzić analizę przepisów prawa karnego pod kątem ich skuteczności w kwalifikowaniu nowych, potencjalnie najbardziej groźnych cyberprzestępstw. 17. Przy opracowaniu nowych przepisów karnych można się posłużyć nowymi rozwiązaniami amerykańskimi, które obecnie wyprzedzają podobne przepisy w innych krajach. 18. Należy przeprowadzić analizę prawa procesowego. W przypadku cyberprzestępstw, krytyczną rolę odgrywa czas. Istotne są również procedury gromadzenia i zabezpieczanie dowodów, oraz kopiowania i uwierzytelniania materiału dowodowego. 2005 Andersen Business Consulting. All rights reserved. 4
19. Doświadczenia analiz światowego orzecznictwa wskazują, że najbardziej restrykcyjne przepisy karne w sprawach przestępstw zorientowanych na wykorzystanie wpływu nowych technologii na społeczeństwo i gospodarkę mogą być nieskuteczne, jeżeli: a. Odpowiedzialne jednostki organizacyjne policji są zbyt małe i nie mają środków na rozwój i szkolenie; b. Świadomość zagrożeń nie wzrośnie na tyle, by orzekać proporcjonalnie do rzeczywistej wagi tego rodzaju przestępstw. 20. Konieczne jest podejmowanie inicjatyw, mających na celu zwiększenie społecznej świadomości zagrożeń prywatności, związanych z korzystaniem Internetu, ich rodzajach, sposobach zapobiegania i postępowania w przypadku zaistnienia szkód. Informacje tego typu powinny być dostępne zarówno na stronach URTiP, UOKiK, jak i GIODO. 21. Propagować stosowanie norm bezpieczeństwa teleinformatycznego (PN17799 ISO/IEC) 2005 Andersen Business Consulting. All rights reserved. 5
Terminologia stosowana w tekście ekspertyzy Problemem w interpretacji przepisów jest to, że żadnego z udostępnionych publicznie tłumaczeń dyrektyw, nie można uznać za tłumaczenie wierne. Dotyczy to zarówno tłumaczenia dostępnego na stronie URTiP i zupełnie innego na stronie GIODO. Ze względu na różnice w tłumaczeniach i brak oficjalnej uzgodnionej wersji, autor proponuje przyjąć dla potrzeb niniejszego dokumentu roboczą konwencję terminologiczną. Zgodnie z polityką Unii Europejskiej regulacje sektora telekomunikacji połączono z regulacjami dla sieci mediów elektronicznych, w tym telewizji kablowych oraz sieci teleinformatycznych, ponieważ oferuje się w nich od dłuższego czasu podobne usługi. Wspólne podejście do historycznie różnego rodzaju sieci zawarto w pakiecie dyrektyw nazwanych Nowymi Ramami Regulacyjnymi dla sieci i usług łączności elektronicznej. W Polsce ustawa dostosowująca do Nowych Ram Regulacyjnych nazywa się prawo telekomunikacyjne. Nie wydaje się w związku z tym, by uznawać z zasady za mylące równoległe posługiwanie się bezpośrednim i znaczeniowo rozszerzającymi pojęciami z nowych dyrektyw i tymi, które w polskim porządku prawnym stosuje prawo telekomunikacyjne, chyba że definicje zawarte w dyrektywach europejskich i w prawie telekomunikacyjnym się różniłyby się. Uwagi na ten temat znajdują się w rozdziale na temat obszarów niezgodności. Komentarz Prawo telekomunikacyjne stosuje dwa pojęcia: Odpowiednik angielski Location data Bezpieczeństwo Dane lokalizacyjne, jako część danych transmisyjnych Dane o lokalizacji dane lokalizacyjne, wykraczające poza te, które pełnią funkcje danych transmisyjnych Bezpieczeństwo to: Security Poufność Integralność 2005 Andersen Business Consulting. All rights reserved. 6
Bezpieczeństwo teleinformatyczne dostępność Cybersecurity Bilingi szczegółowe Szczegółowy wykaz połączeń otrzymywany wraz z rozliczeniem za usługi Itemized billing Dane transmisyjne Dla zachowania zgodności z pojęciem zastosowanym w prawie telekomunikacyjnym (definicja w art. 159 ust.1 pkt3 PT) Traffic data informacja wrażliwa Ogólnie - informacja wymagająca ochrony, ale nie tylko katalog osobistych informacji z uzasadnienia dyrektywy o prywatności i łączności elektronicznej sensitive information Infrastruktura Krytyczna sektory gospodarki, instytucje, sieci dystrybucyjne, systemy, które zapewniają ciągłość przepływu towarów i usług istotnych dla obronności kraju, bezpieczeństwa gospodarczego, zdrowia i bezpieczeństwa obywateli. Infrastrukturę należy uważać z krytyczną, kiedy jej nieprawidłowe działanie, ograniczenie lub zniszczenie mogłoby mieć wpływ na osłabienie kraju lub regionu. Critical infrastructure Opt-in konsument musi otrzymać możliwość wyrażenia zgody na otrzymywanie korespondencji marketingowej, np. zaznacza w tym celu pole zagadzam się. Jeżeli nie wyrazi swojej zgody poprzez zaznaczenie tego pola, nie powinien otrzymywać żadnej niezamówionej korespondencji. 2005 Andersen Business Consulting. All rights reserved. 7
Opt-out Konsument musi otrzymać możliwość wyrażenia braku zgody na otrzymywanie korespondencji marketingowej, np. w tym celu zaznacza pole nie zgadzam się. Jeżeli Ne zaznaczy tego pola, może otrzymywać dowolną korespondencję Porzucone wywołanie W telemarketingu, w systemie wybierającym kilka numerów naraz niektóre wywołania nie mogą być podjęte, wtedy abonent otrzymuje głuchy telefon abandoned call Poufność komunikatów Słowo komunikat nie odzwierciedla wiernie anglojęzycznego znaczenia communications, ale takie tłumaczenie jest bliskie poprawności, ponadto ułatwia wykorzystanie definicji komunikatu z prawa telekomunikacyjnego Confidentiality of the communications Prepaid Karta z usługą przedpłaconą Sieci i usługi łączności elektronicznej Electronic communications network and services sieci i usługi telekomunikacyjne Telemarketing Marketing bezpośredni za pośrednictwem sieci i usług łączności elektronicznej. W tym kontekście głównie marketing bezpośredni z wykorzystaniem telefonu 2005 Andersen Business Consulting. All rights reserved. 8
Spis treści: 1. Ochrona danych osobowych w systemie regulacyjnym...13 1.1 Ochrona danych osobowych w europejskim systemie regulacyjnym...14 1.2 Ochrona danych osobowych a ochrona prywatności...15 1.3 Podsumowanie regulacji na temat ochrony danych osobowych w sieciach łączności elektronicznej...18 1.3.1 Dyrektywa o prywatności i łączności elektronicznej opis podstawowych zagadnień regulacyjnych...18 1.3.1.1 Zakres obowiązywania dyrektywy o prywatności i łączności elektronicznej...19 1.3.1.2 Bezpieczeństwo sieci i usług...21 1.3.1.3 Poufność komunikatów...23 1.3.1.4 Dane transmisyjne...26 1.3.1.5 Dane lokalizacyjne...29 1.3.1.6 Publiczne spisy abonentów...32 1.3.1.7 Informacje przechowywane w urządzeniu końcowym użytkownika...34 1.3.1.8 Niezamówione komunikaty...35 1.3.1.9 Prezentacja identyfikacji linii wywołującej i wywoływanej...37 1.3.2 Wdrożenie dyrektywy o prywatności i łączności elektronicznej do polskiego systemu prawnego 40 1.3.2.1 Polskie regulacje prawne o ochronie danych osobowych w telekomunikacji...40 1.3.2.2 Cele i zakres regulacji...43 1.3.2.3 Bezpieczeństwo...54 1.3.2.4 Poufność komunikatów...55 1.3.2.5 Niezamówione komunikaty...57 1.3.2.6 Identyfikacja linii wywołującej...59 1.4 Różnice w podejściu do ochrony danych w UE i Stanach Zjednoczonych...61 1.4.1 Safe Harbor Agreement...62 1.4.2 Deklaracje polityki prywatności firm amerykańskich...65 2005 Andersen Business Consulting. All rights reserved.
1.5 Przykłady podejścia innych pozaeuropejskich krajów do problematyki prywatności...68 2. Prawa konsumenta w kontekście ochrony danych osobowych...69 2.1 Bilingi nieuszegółowione...70 2.1.1 Przykłady wdrożenia przepisów o ochronie danych w rachunkach szczegółowych...73 2.2 SMS w bilingach...75 2.2.1 Przykłady...77 2.3 Uprawnienia użytkowników prepaid...78 2.3.1 Anonimowość użytkowników prepaid...79 2.3.2 Zakres uprawnień użytkowników prepaid..81 2.3.3 Szczegółowy biling użytkowników prepaid 83 2.3.4 Płatności za dodatkowe usługi z wykorzystaniem prepaid...85 2.4 Cesja wierzytelności...86 2.4.1 Przykłady uregulowania problematyki ochrony danych osobowych przy ściąganiu wierzytelności...91 2.5 Marketing bezpośredni, w tym automatyczne systemy wywołujące...92 2.5.1 Przykłady...99 2.6 Spisy abonentów i usługa biura numerów...102 2.6.1 Przykłady uregulowania zakresu informacji w publicznych spisach abonentów...104 3. Naruszenie prywatności i innych praw użytkownika...106 3.1 Rozwiązania programistyczne związane ze świadczeniem usług...106 2005 Andersen Business Consulting. All rights reserved.
3.2 Oprogramowanie szkodliwe, ataki na systemy informatyczne, niektóre aspekty cyberprzestępczości...108 3.2.1 Analiza zjawiska, rodzaje narzędzi...108 3.2.1.1 Malware...108 3.2.1.2 Adware...109 3.2.1.3 Oprogramowanie szpiegujące (spyware) 110 3.2.1.4 Dialery...112 3.2.1.5 Phishing...115 3.2.1.6 Kradzież tożsamości...119 3.2.2 Opcjonalne podejście...120 3.2.2.1 Wspólne podejście w zakresie prawa materialnego...121 3.2.2.2 Prawo procesowe...124 3.2.2.3 Umowy o wzajemnej pomocy prawnej 125 3.2.3 Amerykańskie ustawy anty-spyware, antyphishing 125 4. Zabezpieczenie poczty elektronicznej w sieciach komunikacji elektronicznej...130 4.1 Poczta elektroniczna jako usługa wyłączona z regulacji prawa telekomunikacyjnego...130 4.2 Ochrona adresu poczty, nr IP...133 4.2.1 Adres poczty elektronicznej...133 4.2.2 Inne adresy identyfikacyjne w Internecie.136 4.3 SPAM...137 5. Bezpieczeństwo i poufność przekazu telekomunikacyjnego...145 5.1 Sposób uregulowania wymagań bezpieczeństwa teleinformatycznego w innych krajach...149 5.2 Wprowadzanie norm bezpieczeństwa w kontekście danych osobowych...153 6. Skróty użyte w tekście...158 7. bibliografia...160 2005 Andersen Business Consulting. All rights reserved.
2005 Andersen Business Consulting. All rights reserved.
1. Ochrona danych osobowych w systemie regulacyjnym Przystosowanie polskiego systemu prawnego do europejskich przepisów o ochronie danych osobowych następowało w Polsce stopniowo, w kilku różnych ustawach, przy okazji transpozycji kolejnych dyrektyw. Najważniejszą jest kierunkowa, ogólna ustawa o ochronie danych osobowych 6 (nazywana dalej w przypisach UODO). W prawie telekomunikacyjnym 7 z 2004 r. (zwanym dalej prawo telekomunikacyjne, a w przypisach PT) transponuje się do polskiego systemu regulacyjnego obszerny pakiet dyrektyw tzw. Nowych Ram Regulacyjnych dla sieci i usług łączności elektronicznej. Dyrektywa 2002/58/WE o prywatności i łączności elektronicznej 8 (zwana dalej w przypisach DP) jest z jednej strony integralną częścią tego pakietu, ale jest również rozwinięciem i uzupełnieniem ogólnych przepisów o ochronie danych osobowych wprowadzonych dyrektywą 95/46/WE o ochronie danych osobowych 9. Rozwiązania wprowadzane dyrektywą o prywatności i łączności elektronicznej wynikają z ewolucji poglądów na temat prywatności w sieciach i usługach łączności elektronicznej i jej właściwa transpozycja powinna być analizowana również pod tym kątem. Większość rozwiązań prawa europejskiego w zakresie ochrony danych osobowych w sieciach i usługach łączności elektronicznej zostało wprost przeniesionych do prawa telekomunikacyjnego. Różnicą o zasadniczym znaczeniu jest uregulowanie w prawie telekomunikacyjnym problematyki ochrony danych osobowych w kontekście tajemnicy 6 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, tekst jednolity Dz.U. z 2002 r. Nr 101 poz. 926 z późn. zm. 7 Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, Dz.U. z 2004 r. Nr 171 poz.1800 z późn. zm. 8 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 roku w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) 9 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnym przepływem tych danych 2005 Andersen Business Consulting. All rights reserved. 13
telekomunikacyjnej, co może mieć potencjalnie wpływ na interpretacje szczegółowych przepisów o ochronie prywatności konsumentów usług łączności elektronicznej. 1.1 Ochrona danych osobowych w europejskim systemie regulacyjnym Rozwój międzynarodowej wymiany handlowej, wzrost znaczenia sieci i usług łączności elektronicznej i złożone przemiany, które określa się umownie Społeczeństwem Informacyjnym powodują, że dane osobowe są przechowywane i przetwarzane w wielu miejscach, znajdują się pod kontrolą wielu osób i swobodnie przepływają przez granice państw. Bardzo istotne jest osiągnięcie wspólnego podejścia do regulowania problematyką prywatności w różnych państwach. Jest to szczególnie ważne w Unii Europejskiej, gdzie systematycznie znoszone są wszelkie bariery w handlu, podejmowaniu działalności gospodarczej, osiedlaniu się i zatrudnianiu. Komisja Europejska prowadzi w sprawie ujednolicenia podejścia do ochrony danych osobowych dialog z państwami spoza Unii Europejskiej, którego celem jest zapewnienie bezpieczeństwa obywatelom wspólnoty. W 1995 roku w Unii Europejskiej przyjęto ogólną dyrektywę 95/46/WE o ochronie danych osobowych, określającą podstawowe zasady gromadzenia, przechowywania i wykorzystania danych osobowych, które powinny być respektowane przez organy rządowe, przedsiębiorców lub osoby fizyczne mające dostęp do tego rodzaju danych. Dyrektywa określiła także potrzebę powołania niezależnych organów nadzorujących stosowanie prawa o ochronie danych osobowych w poszczególnych krajach. Dwa lata później przyjęto dyrektywę 97/66/WE w sprawie ochrony danych osobowych w sieciach telekomunikacyjnych 10, mającą uregulować specyficzne problemy z ochroną danych osobowych na rynku sieci i usług telekomunikacyjnych, których nie rozstrzygał ogólny system ochrony danych osobowych wprowadzony w 1995 roku. Pierwotny projekt 10 Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector, OJ L 024, 30/01/1998 2005 Andersen Business Consulting. All rights reserved. 14
dyrektywy 97/66/EC pochodzący z roku 1990 został przedstawiony wspólnie 11 z ogólną dyrektywą o ochronie danych osobowych przyjętą ostatecznie w roku 1995 12. Obie dyrektywy miały być przyjęte równocześnie, ale stało się inaczej, ponieważ telekomunikacyjny obszar danych osobowych musiał poczekać na dopasowanie do pakietu 22 dyrektyw dla rynku telekomunikacyjnego z 1998 roku. W związku z przebudową systemu regulacyjnego dla sektora telekomunikacji pakiet dyrektyw z roku 1998 został zastąpiony w roku 2002 przez pakiet 6 dyrektyw tzw. Nowych Ram Regulacyjnych 13, w tym dyrektywę o prywatności i łączności elektronicznej [8]. 1.2 Ochrona danych osobowych a ochrona prywatności Ochrona prywatności należy do praw podstawowych, które są gwarantowane w prawie międzynarodowym na poziomie traktatowym, na przykład w Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności z 1950 roku, a także potwierdzane w ustawie zasadniczej prawie każdego kraju 14. Masowe pojawianie się systemów automatycznego przetwarzania danych o osobach skłoniło Radę Europy do przyjęcia w 1981 roku Konwencji nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych 15.W preambule Konwencji zawarte są intencje Rady Europy : zważywszy, że pożądane jest poszerzanie ochrony praw i podstawowych wolności każdego człowieka, w szczególności prawa do poszanowania prywatności Dyrektywa o prywatności i łączności elektronicznej wyraża ewolucję poglądów na temat ochrony dóbr osobistych, ukazując tendencję do poszerzania ochrony danych osobowych w większym niż dotąd stopniu na sferę prywatności. Manifestuje się to między innymi w skróconym tytule dyrektywy, a także ogólnym wyjaśnieniem w punkcie 1 Preambuły, a także w art.1. W dyrektywie widać tendencję do traktowania pojęcia prywatności i pojęcia 11 OJ C 277, 5.11.1990 12 95/46/WE 13 ang. New Regulatory Framework 14 Np. art.47 i art.51 Konstytucji RP 15 opublikowana oficjalnie w Polsce w 2002 roku (Dz.U z 2003 nr 3 poz.26) 2005 Andersen Business Consulting. All rights reserved. 15
ochrony danych osobowych rozdzielnie. Prywatność jest lepiej rozumiana przez użytkowników, jako przesłanka oceny zachowania ich praw, niż techniczne pojęcie danych osobowych 16. Posługując się przesłanką ochrony prywatności łatwiej jest kwalifikować wiele naruszeń w sieciach i usługach łączności elektronicznej, na przykład w dziedzinie szkodliwego oprogramowania, plików wprowadzanych do urządzeń końcowych użytkownika 17. Łatwiej też zrozumieć powody ochrony informacji w rachunkach szczegółowych 18, stosowania eliminacji prezentacji linii wywołującej 19, spamu, marketingu bezpośredniego 20. W sieciach i usługach łączności elektronicznej będą się coraz częściej pojawiać problemy z ochroną praw użytkownika. Łatwiej będzie je rozstrzygać posługując się kategorią prywatności, niż kategorią ochrony danych osobowych. Na przykład technicznie rozproszona struktura sieci IP dostarcza problemów innych niż tradycyjne systemy oparte o ochronę zbiorów danych osobowych. Chociaż Dyrektywa o prywatności i łączności elektronicznej podkreśla znaczenie prywatności, to zawiera bardzo konkretne wymagania dotyczące podstawowych problemów prawnych związanych z bezpieczeństwem, poufnością, danymi transmisyjnymi, danymi o lokalizacji, sporządzaniem rachunków, prezentacją linii wywołującej, spisami abonentów, marketingiem bezpośrednim, w których kryterium zachowania prywatności pojawia się dopiero w przypadku bardziej złożonych rozstrzygnięć. Prawo do prywatności ustępuje dobru ogólnemu, na przykład w działaniu służb odpowiedzialnych za obronność i bezpieczeństwo państwa oraz bezpieczeństwo i porządek publiczny. Może także ustępować interesowi podmiotów gospodarczych, kiedy pojawiają się roszczenia związane z nieuregulowanymi należnościami 21 16 pkt 5 Preambuły DP 17 pkt 24, 25 Preambuły DP 18 pkt 33 Preambuły DP 19 pkt 34 Preambuły DP 20 pkt 40 Preambuły DP 21 art. 23 ust.4 pkt 2 UODO 2005 Andersen Business Consulting. All rights reserved. 16
W polskiej ustawie o ochronie danych osobowych z 1997 roku, w przeciwieństwie do dyrektywy 95/46/WE, nie można zauważyć bezpośrednich odwołań do prawa do prywatności. Konstytucja RP poświęca prywatności i ochronie danych dwa odrębne artykuły 22, co narzuca interpretację, że są to odrębne zagadnienia. Prywatność mieści się w pojęciu dóbr osobistych w rozumieniu prawa cywilnego 23 Autorzy wydanego niedawno komentarza do prawa o ochronie danych osobowych [J.Barta, P.Fagielski, R.Markiewicz[6] stoją na stanowisku, że pomiędzy ochroną prawa do prywatności, a ochroną danych osobowych, zachodzi stosunek krzyżowania, ale że są to nadal w polskim prawie reżimy niezależne. Często, ale nie zawsze, nieuprawnione przetwarzanie danych osobowych będzie naruszało prywatność danej osoby; z drugiej strony ingerencja w prawo do prywatności nie sprowadza się do przypadków niedozwolonego przetwarzania tego rodzaju danych [6, s.180] Zauważają jednak, że nowoczesna technika informatyczna sprawia, że cechę prywatności nabywają wszelkie dane dotyczące zidentyfikowanej osoby, o ile istnieje możliwość ich powiązania z oznaczoną osobą. Z powyższego komentarza można wywnioskować, że prywatność w zakresie, który dotyczy ochrony danych umożliwiających zidentyfikowanie osób, jest kategorią prawną, która mogłaby być przydatna dla lepszego rozumienia działań regulacyjnych na rynku sieci i usług łączności elektronicznej, wzbogacając je o bardzo ważne i łatwe do powszechnego zaakceptowania przesłanki. Jednak bez zmiany obwiązujących ustaw właściwe interpretacje miałyby szansę się pojawić dopiero w następstwie orzecznictwa dotyczącego ochrony dóbr osobistych. 22 art. 47 i art. 51 23 art. 23, 24, Kodeks Cywilny z dnia 23 kwietnia 1964, Dz.U. z 1964 Nr 16 poz.93 z późn.zm. 2005 Andersen Business Consulting. All rights reserved. 17
1.3 Podsumowanie regulacji na temat ochrony danych osobowych w sieciach łączności elektronicznej 1.3.1 Dyrektywa o prywatności i łączności elektronicznej opis podstawowych zagadnień regulacyjnych Europejska dyrektywa o prywatności i łączności elektronicznej (nazywana w tym rozdziale w skrócie dyrektywą) jest częścią pakietu dyrektyw Nowych Ram Regulacyjnych dla sektora sieci i usług łączności elektronicznej. Państwa Członkowskie miały obowiązek wprowadzić rozwiązania regulacyjne tej dyrektywy do krajowych systemów najpóźniej do 31 października 2003 roku. Jest to kolejna regulacja na ten temat, która zastąpiła dyrektywę 97/66/EC w sprawie ochrony danych osobowych w sieciach telekomunikacyjnych, będącą częścią wcześniejszego pakietu regulacyjnego dla sektora telekomunikacji z 1998 roku, która zobowiązała Państwa Członkowskie do wprowadzenia prawnych gwarancji poufności informacji przesyłanych i przetwarzanych w sieciach telekomunikacyjnych Dyrektywa 97/66/EC zawierała postanowienia dotyczące następujących zagadnień: Bezpieczeństwo danych przekazywanych w publicznych sieciach telekomunikacyjnych, Poufność łączności, Ograniczenia odnośnie zakresu i czasu przeznaczonego na przetwarzanie przez dostawców usług danych dotyczących ruchu i fakturowania, Możliwość zachowania prywatności w związku z identyfikacją abonenta wywołującego i wywoływanego, Identyfikacja połączeń złośliwych lub uciążliwych, Zachowanie prywatności w przypadku automatycznie przekierowywanych wywołań, Prawa abonentów do wykluczenia ich danych z publicznie dostępnych spisów numerów, Ochrona prywatności w odniesieniu do połączeń niepożądanych. Gwarancje poufności informacji przekazywanych w sieciach telekomunikacyjnych oznaczały przede wszystkim zakaz nieupoważnionego podsłuchiwania, nagrywania, przechowywania informacji. Dyrektywa 97/66/EC wprowadziła między innymi prawo abonenta do zablokowania identyfikacji swojej linii u abonenta wywoływanego, prawo 2005 Andersen Business Consulting. All rights reserved. 18
bezpłatnego zastrzeżenia umieszczania swoich danych w publicznych spisach abonentów, a także prawo identyfikacji połączeń uciążliwych, otwierając również drogę dla roszczeń prawnych w przypadkach naruszeń. Nowe brzmienie przepisów o ochronie danych osobowych w dyrektywie miało uwzględnić znaczący postęp technologiczny, który nastąpił od czasów zaprojektowania dyrektywy z 1997 roku oraz zmiany w strukturze rynku. Postęp technologiczny to między innymi: rozwój technologii cyfrowych, wiele opcjonalnych koncepcji przetwarzania i przesyłania sygnałów w sieciach telekomunikacyjnych, rozwój technologii światłowodowych, rozwój radiokomunikacji ruchomej, satelitarnej, nowe techniki dostępu radiowego, coraz tańszy dostęp szerokopasmowy, nowe aplikacje. Tendencje rynkowe to pojawienie się konkurencji we wszystkich warstwach sieci telekomunikacyjnych i wszystkich rodzajach usług, burzliwy wzrost popularności telefonów komórkowych, coraz większy popyt na stałe szerokopasmowe łącza do Internetu i zacieranie się różnic pomiędzy telekomunikacją, teleinformatyką i telemediami. Podobnie jak inne dyrektywy Nowych Ram Regulacyjnych, dyrektywa o prywatności i łączności elektronicznej jest przejawem dążenia do jednolitego neutralnego technologicznie podejścia do problemów regulacyjnych 24 w sieciach i usługach łączności elektronicznej. 1.3.1.1 Zakres obowiązywania dyrektywy o prywatności i łączności elektronicznej Zakres dyrektywy o prywatności i łączności elektronicznej jest szerszy niż dyrektywy 97/66/EC, przede wszystkim ze względu na zastąpienie pojęć usługi telekomunikacyjne i sieci telekomunikacyjne pojęciami sieci i usługi łączności elektronicznej. Dyrektywa posługuje się pojęciem komunikatu 25, które oznacza każdą informację wymienianą lub przekazywaną pomiędzy skończoną liczbą stron za pomocą publicznie dostępnej usługi telekomunikacyjnej. Z zakresu tej definicji wyłączono tylko informacje rozsyłane jako część publicznej usługi nadawczej radiofonii lub telewizji, z wyjątkiem przekazów indywidualnie dedykowanych (np. telewizja interaktywna na życzenie ). Tak 24 pkt 4,5,6 Preambuły DP 25 art. 2 lit.d DP 2005 Andersen Business Consulting. All rights reserved. 19