Branża cyfrowa postuluje, aby rząd wycofał się z planowanego wymogu przechowywania danych w Polsce. W interpretacji obecnych przepisów różni się z Kancelarią Prezesa Rady Ministrów.

– Rządowy projekt ustawy – Prawo komunikacji elektronicznej (druk nr 2861; dalej: p.k.e.) nie przestaje budzić kontrowersji. Tym razem chodzi o miejsce przechowywania danych o połączeniach objętych tajemnicą telekomunikacyjną.

W projekcie, nad którym pracuje obecnie Sejm, przewidziano (art. 47 par. 1), że operator będzie zobowiązany „zatrzymywać i przechowywać na terytorium Rzeczy pospolitej Polskiej dane, o których mowa w art. 49 ust. 1, generowane w publicznej sieci telekomunikacyjnej lub przez niego przetwarzane, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia”.

– Wszyscy dotychczas skupiali się na inwigilacji i ten temat umykał publicznej dyskusji – mówi dr Aleksandra Musielak, dyrektorka departamentu gospodarki cyfrowej w Konfederacji Lewiatan.

Przypomina, że w 2018 r. Polska była twarzą unijnego rozporządzenia „Free flow of data” (chodzi o rozporządzenie 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych). – A teraz rząd próbuje ograniczyć obszar przechowywania danych telekomunikacyjnych, choć nie ma ku temu powodu. Co więcej, myślę, że byłoby to niezgodne z przepisami unijnymi – podkreśla.

Koszty i konkurencyjność

Branża podnosi przeciwko projektowanemu przepisowi argumenty biznesowe i związane z bezpieczeństwem. Te pierwsze dotyczą korzystnego ekonomicznie modelu przechowywania danych w chmurze. W skierowanym do Sejmu w styczniu br. piśmie dotyczącym p.k.e. Lewiatan stwierdza, że „obowiązek podmiotów z branży telekomunikacyjnej dotyczący retencji danych generowanych w publicznych sieciach telekomunikacyjnych jest obecnie realizowany w sposób efektywny kosztowo, a zarazem gwarantujący wysoki poziom bezpieczeństwa – przy wykorzystaniu usług chmurowych”.

Podkreśla też, że wymóg lokalizacji danych w Polsce „stoi w kontrze do zasady wspierania wspólnego rynku” Unii Europejskiej. Dodaje, że postawi to polskich operatorów „w niesprzyjającej sytuacji wyjściowej w zakresie konkurencyjności”, gdyż „w wielu przypadkach ich konkurenci” z innych państw nie mają takich ograniczeń. Negatywnie wpłynie to, zdaniem Lewiatana, na polską gospodarkę: „zmniejszy wielkość handlu, obniży produktywność i podniesie ceny dla wielu branż, które opierają się na danych – w tym dla branży telekomunikacyjnej”.

– Dlatego chcielibyśmy rozszerzenia dozwolonego terytorium na Europejski Obszar Gospodarczy lub przynajmniej UE – mówi Aleksandra Musielak.

Dane Polaków w Polsce

W uzasadnieniu projektu p.k.e. ani ocenie skutków regulacji nie poruszono kwestii lokalizacji danych. Dlaczego więc dane mają być w Polsce?

– Żebyśmy mieli pewność, że są chronione zgodnie z przepisami polskiego prawa – odpowiada Paweł Lewandowski, podsekretarz stanu w Kancelarii Prezesa Rady Ministrów (znajdujący się tam resort cyfryzacji odpowiada za projekt p.k.e.).

– Nie chcemy, żeby objęte tajemnicą telekomunikacyjną dane polskich obywateli były przechowywane poza granicami państwa. Powinny podlegać polskiej jurysdykcji – podkreśla.

Projektowany przepis pochodzi jeszcze sprzed ataku Rosji na Ukrainę. Jak można go ocenić dzisiaj?

– Kwestie cyberodporności w przypadku ryzyka agresji zbrojnej to jest dla nas nowy kontekst. Wojna w Ukrainie pokazała, że najeźdźca uzyskuje fizyczny dostęp do infrastruktury, systemów, być może danych. Taki dostęp mógł być wykorzystywany do pomocy w filtracji ludności – stwierdza dr Łukasz Olejnik, badacz i doradca cyberbezpieczeństwa, autor książki „Filozofia cyberbezpieczeństwa”. – Oczywiście żywimy nadzieję, że taki ekstremalny scenariusz Polski nie będzie dotyczył – dodaje.

Ambasada na czas wojny

Ekstremalny scenariusz jest jednak ważnym argumentem branży telekomunikacyjnej przeciwko projektowanemu przepisowi. Jak zaznacza Konfederacja Lewiatan, „fizyczna lokalizacja danych na terytorium danego państwa nie chroni ich przed nieuprawnionym dostępem”. Przeciwnie, może to utrudnić ochronę danych „i możliwość ich przeniesienia w przypadku sytuacji szczególnych zagrożeń”.

Przykładem takiego zagrożenia jest wojna tocząca się za naszą wschodnią granicą. Przed rosyjską agresją ukraińskie prawo zabraniało władzom państwowym gromadzenia i przetwarzania danych w chmurach pozarządowych. Infrastruktura cyfrowa państwa znajdowała się więc na serwerach w kraju, w budynkach rządowych. Tydzień przed wybuchem wojny ukraiński parlament zmienił jednak prawo, pozwalając na migrację danych. Uchroniło je to przed zniszczeniem, gdyż jednym z wczesnych celów rosyjskich ataków rakietowych i cybernetycznych były właśnie rządowe centra danych.

Podobny manewr, choć w spokojniejszym tempie, zastosowała Estonia, która od kilku lat korzysta z tzw. ambasady państwowych danych w Luksemburgu.

Podobnie, ale inaczej

W piśmie do Sejmu Lewiatan stwierdza, że według obecnie obowiązującego prawa „przedsiębiorcy telekomunikacyjni nie mają obowiązku przechowywania zatrzymanych danych na danym terytorium, w szczególności na terenie RP”.

ikona lupy />
Dynamika cyberataków na polskie firmy / Dziennik Gazeta Prawna - wydanie cyfrowe

Sprawa nie jest jednak oczywista. Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648 ze zm.) zawiera bowiem przepis dość podobny do projektowanego. Różnią się przecinkami i szykiem wyrazów. Artykuł 180a stanowi, że „operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych” są obowiązani „zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy”. Czy to nie przeszkadza operatorom przechowywać danych w chmurze poza Polską?

– Nie. W odniesieniu do obecnego przepisu, z wtrąceniem po przecinku, przyjmujemy interpretację korzystną dla rynku – odpowiada Aleksandra Musielak.

Paweł Lewandowski z KPRM jest tą interpretacją zdziwiony. – Intencja projektu jest taka, żeby przenieść do p.k.e. obecny przepis prawa telekomunikacyjnego – mówi, dodając, że składnia nie wpływa na wymowę tej regulacji.

– Obecne brzmienie art. 180a ust. 1 pkt. 1 prawa telekomunikacyjnego może budzić wątpliwości – czy chodzi o takie dane, które są zatrzymywane i gromadzone na terytorium RP (czyli takie dane muszą być gromadzone, ale można to robić w Polsce i poza jej granicami, bo przepis mówi tylko tyle, że chodzi o dane zatrzymywane i gromadzone w Polsce), czy też chodzi o to, że muszą być one zatrzymywane i gromadzone tylko w Polsce (tj. mogą być tylko gromadzone i przechowywane w Polsce) – analizuje prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy.

– W tym ujęciu sformułowanie z p.k.e. jest zawężające, gdyż doprecyzowuje, że dane te muszą być przechowywane na terytorium RP. Nie ma już swobody interpretacyjnej – stwierdza.

Czy w związku z tym na gruncie obecnego prawa telekomunikacyjnego dozwolone jest przechowywanie danych telekomunikacyjnych poza Polską, np. w chmurze?

– Będzie możliwe przechowywanie danych w chmurze poza Polską, gdy chmura będzie zapasowym miejscem przechowywania tych danych – odpowiada prof. Rogalski.

Tłumaczy, że przy zastosowaniu wykładni, że w art. 180a prawa telekomunikacyjnego chodzi jednak o przechowywanie danych na terytorium RP, dane, o których mowa w art. 180c, zawsze będą musiały być zatrzymywane na terytorium Polski i zgodnie z art. 180a ust. 1 pkt 1 powinny być też tu gromadzone. Zapasowo, w chmurze, mogą być gromadzone także poza granicami Polski.

– Zagadnieniem z tym związanym jest kwestia podstaw prawnych do przetwarzania danych w chmurze. Należy przyjąć, że podstawą prawną do ich przetwarzania będzie art. 161 ust. 1 prawa telekomunikacyjnego, który dotyczy przetwarzania danych niezbędnych do wykonania usługi, a nie art. 165, który dotyczy przetwarzania tzw. danych transmisyjnych niezbędnych np. do naliczania opłat za usługi – dodaje.

Na jaką skalę operatorzy korzystają z przecinkowej furtki? Orange, T-Mobile, Play i Plus odpowiadają, że dane na potrzeby realizacji tego obowiązku z art. 180a prawa telekomunikacyjnego przechowują w Polsce.

T-Mobile zastrzega jednak, że przyszły kształt przepisów w tym zakresie wymaga refleksji, „mając na uwadze jednolite zasady przechowywania danych na terytorium EOG wynikające z harmonizacji przepisów dotyczących przetwarzania danych osobowych na poziomie unijnym”. ©℗