Tajemnica komunikacji elektronicznej – najważniejsze zasady wynikające z ustawy Prawo komunikacji elektronicznej

W dobie dynamicznego rozwoju technologii cyfrowych i powszechnego korzystania z usług telekomunikacyjnych, wszechobecnego Internetu i nieustannej wymiany informacji przez smartfony, komunikatory i pocztę elektroniczną, ochrona tajemnicy komunikacji elektronicznej nabiera podstawowego znaczenia. Każdego dnia miliardy wiadomości, e-maili i rozmów telefonicznych są przesyłane przez sieci telekomunikacyjne, a ich bezpieczeństwo zależy nie tylko od nowoczesnych technologii, ale także od odpowiednich regulacji prawnych.

O poufność swojej komunikacji martwią się nie tylko indywidualni użytkownicy (konsumenci), ale i przedsiębiorcy. Ochrona korespondencji biznesowej, danych klientów czy strategii handlowych jest dla firm bardzo istotna – ich wyciek może oznaczać straty finansowe, naruszenie reputacji lub konsekwencje prawne. Dla przedsiębiorców działających w sektorze telekomunikacyjnym lub korzystających z usług telekomunikacyjnych, zrozumienie i przestrzeganie przepisów dotyczących tajemnicy komunikacji elektronicznej to nie tylko obowiązek prawny, ale także element budowania zaufania klientów i partnerów biznesowych.

10 listopada 2024 r. weszła w życie ustawa z 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz. U. poz. 1221) (dalej ”PKE”), której celem jest wdrożenie do polskiego porządku prawnego przepisów unijnych. Nowa ustawa implementuje dwie ważne dyrektywy Parlamentu Europejskiego
i Rady (UE):

• dyrektywę z dnia 11 grudnia 2018 r. (2018/1972) ustanawiającą Europejski kodeks łączności elektronicznej („EKŁE”),
• dyrektywę z dnia 23 listopada 2022 r. dotyczącą zmian w dyrektywie 2014/53/UE w sprawie harmonizacji ustawodawstw państw członkowskich w zakresie udostępniania na rynku urządzeń radiowych.

Ustawa PKE ściśle łączy się też przepisami dotyczącymi ochrony danych osobowych - Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

Nowe przepisy zastąpiły dotychczas obowiązujące Prawo telekomunikacyjne z dnia 16 lipca 2004 r., wprowadzając istotne zmiany dla sektora telekomunikacyjnego. Oznacza to, że przedsiębiorcy muszą dostosować swoje działania do nowych wymogów. Jakie zmiany przyniosła ze sobą nowa ustawa? Jakie konsekwencje niesie za sobą jej wdrożenie dla użytkowników i firm? W tym artykule przeanalizujemy najważniejsze aspekty tajemnicy komunikacji elektronicznej oraz jej wpływ na biznes i prywatność
w erze cyfrowej.

Jaki jest zakres tajemnicy komunikacji elektronicznej, czyli kogo i co ona obejmuje?

Zanim jednak przejdziemy do szczegółów nowej ustawy, warto przyjrzeć się, czym tak naprawdę jest tajemnica komunikacji elektronicznej, jakie podmioty i jakie elementy komunikacji są objęte tajemnicą.

Podmioty objęte tajemnicą komunikacji elektronicznej

Tajemnica komunikacji elektronicznej dotyczy szerokiego grona podmiotów, które uczestniczą
w procesie przesyłania, odbierania i przechowywania informacji. Obejmuje ona:

1. użytkowników indywidualnych – każdą osobę fizyczną korzystającą z narzędzi komunikacji elektronicznej (np. e-maili, komunikatorów internetowych, wiadomości SMS), gdyż ma ona prawo do prywatności swoich rozmów i wiadomości,
2. przedsiębiorstwa i organizacje – firmy, instytucje publiczne oraz organizacje pozarządowe, prowadzące korespondencję elektroniczną, które są objęte ochroną przed nieautoryzowanym dostępem do ich komunikacji,
3. dostawców usług telekomunikacyjnych i internetowych – operatorów telefonicznych, dostawców Internetu i usług hostingowych, gdyż są oni zobowiązani do przestrzegania tajemnicy komunikacji elektronicznej i nie mogą ujawniać treści korespondencji swoich użytkowników bez uprawnienia prawnego,
4. organy państwowe – choć służby mogą mieć dostęp do komunikacji elektronicznej na podstawie decyzji sądowej, same podlegają regulacjom prawnym, dotyczącym ochrony prywatności użytkowników.

Ustawodawca dostrzegł potrzebę innego określenia kręgu dostawców usług telekomunikacyjnych i internetowych, których dotyczą nowe przepisy w porównaniu z regulacjami nieobowiązującego już Prawa telekomunikacyjnego. Mianowicie, rozszerzono zakres regulacji na nowe kategorie podmiotów. PKE obejmuje nie tylko przedsiębiorców telekomunikacyjnych, ale także podmioty świadczące publicznie dostępne usługi komunikacji interpersonalnej niewykorzystujące numerów, takie jak komunikatory internetowe (np. Messenger czy Zoom). Dzięki temu nowoczesne formy komunikacji, które wcześniej nie podlegały regulacjom, zostały objęte przepisami.

Równocześnie, ustawą PKE całkowicie wyłączono spod jej regulacji przedsiębiorców świadczących wyłącznie niepubliczne usługi telekomunikacyjne lub dostarczających sieci niepubliczne. Dotyczy to m.in. firm, które:

• świadczą usługi telekomunikacyjne wyłącznie na rzecz podmiotów powiązanych w ramach grupy kapitałowej,
• dostarczają usługi na potrzeby wewnętrzne, np. na terenie budynków biurowych, handlowych lub przemysłowych,
• nie oferują usług publicznie dostępnych.

Wcześniej, zgodnie z ustawą Prawo telekomunikacyjne, wszystkie te podmioty były traktowane jako przedsiębiorcy telekomunikacyjni i podlegały pełnemu reżimowi regulacyjnemu.

Nowa ustawa wprowadziła więc zmiany w definicji przedsiębiorcy telekomunikacyjnego, ograniczając ją wyłącznie do tych, którzy świadczą publicznie dostępne usługi telekomunikacyjne lub dostarczają publiczną sieć telekomunikacyjną. Dzięki temu podmioty świadczące usługi niepubliczne zostały zwolnione z obowiązków administracyjnych, takich jak raportowanie do Prezesa UKE czy realizacja tzw. obowiązków obronnych. Zmiana ta uprościła działalność tych przedsiębiorstw i pozwoliła im uniknąć obciążeń, które były często niecelowe lub trudne do wykonania w kontekście ich specyfiki działalności.

Zakres ochrony – co obejmuje tajemnica komunikacji elektronicznej?

Tajemnica komunikacji elektronicznej obejmuje różne aspekty wymiany informacji, zarówno pod względem treści, jak i metadanych związanych z komunikacją. W szczególności chronione są:

1. treść komunikacji – obejmuje to e-maile, wiadomości SMS, rozmowy telefoniczne, czaty internetowe i inne formy elektronicznej korespondencji. Bez zgody nadawcy i odbiorcy nie można ich przechwytywać, analizować ani udostępniać osobom trzecim;
2. metadane komunikacyjne – informacje dotyczące czasu i miejsca nadania wiadomości, adresów IP, numerów telefonów oraz innych danych technicznych, które mogą ujawniać tożsamość nadawcy
   i odbiorcy;
3. informacje o sposobie komunikacji – obejmuje metody szyfrowania, protokoły transmisji danych oraz inne techniczne aspekty przesyłu informacji, które mogą wpływać na bezpieczeństwo
   i integralność komunikacji;
4. dane przechowywane na serwerach – wiadomości e-mail i inne informacje zapisane na serwerach dostawców usług również podlegają tajemnicy komunikacji elektronicznej i nie mogą być udostępniane bez zgody użytkownika lub stosownego nakazu sądowego.    

Porównując stare i nowe przepisy widać, że objęte ochroną zostały nowe kategorie danych. W PKE tajemnicą komunikacji elektronicznej objęto:

• dane użytkownika,
• treści indywidualnych komunikatów elektronicznych,
• dane transmisyjne,
• dane o lokalizacji,
• informacje o próbach połączenia.

Wcześniejsze przepisy skupiały się głównie na danych związanych z tradycyjnymi usługami telekomunikacyjnymi. Obecnie ochrona obejmuje również dane związane z nowoczesnymi formami komunikacji elektronicznej.

Wyłączenia z zakazu przetwarzania informacji z komunikatu elektronicznego

Choć zasada poufności komunikacji elektronicznej jest fundamentalna, ustawa przewiduje pewne wyjątki, okoliczności, w których przetwarzanie danych może być dopuszczalne, jednak pod pewnymi warunkami. Są to następujące wyłączenia z zakazu przetwarzania informacji z komunikatu elektronicznego:

1) wyłączenia techniczne

(te wyjątki dotyczą sytuacji, w których przetwarzanie danych jest konieczne do prawidłowego funkcjonowania usług telekomunikacyjnych (przetwarzanie danych może być stosowane w zgodnej  z prawem praktyce handlowej do celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej),

2) wyłączenia oparte na zgodzie użytkownika

(przetwarzanie danych jest dozwolone, jeśli użytkownik wyrazi na to wyraźną, jednoznaczną
i dobrowolną zgodę. Dotyczy to m.in. celów marketingowych czy innych działań wymagających aktywnej akceptacji),

3) wyłączenia związane z bezpieczeństwem i obowiązkami prawnymi

• cele billingowe – dane mogą być przetwarzane w celu naliczania opłat za usługi telekomunikacyjne,
• względy bezpieczeństwa – administratorzy systemów mogą monitorować ruch sieciowy w celu wykrywania zagrożeń i zapobiegania atakom,
• obowiązki prawne – dane mogą być udostępniane organom ścigania lub innym uprawnionym podmiotom w uzasadnionych przypadkach (np. postanowienie prokuratora, postanowienia sądu w postępowaniu karnym),

4) wyłączenia dla celów statystycznych/badawczych (anonimizacja)

• cele statystyczne – dane mogą być przetwarzane w celach statystycznych, pod warunkiem ich anonimizacji,
• cele badawcze – dane mogą być wykorzystywane do badań naukowych lub analiz, jeśli są odpowiednio anonimizowane.

Aby wyłączenie z zakazu było uzasadnione, muszą być spełnione określone warunki:

• przetwarzanie powinno być ograniczone do minimum niezbędnego do osiągnięcia celu,
• dane muszą być odpowiednio zabezpieczone przed nieautoryzowanym dostępem,
• osoby, których dane dotyczą, powinny mieć możliwość kontroli nad swoimi informacjami (np. prawo do sprzeciwu lub usunięcia danych).

Chociaż generalnie przetwarzanie informacji z komunikatów elektronicznych jest zabronione, istnieje szereg wyłączeń pozwalających na ich legalne wykorzystanie. Kluczowe jest zapewnienie zgodności z przepisami prawa oraz ochrona prywatności i bezpieczeństwa danych. Praktyki w tym zakresie powinny być stosowane ostrożnie i zgodnie z obowiązującymi regulacjami.

Co wynika z obowiązku zachowania tajemnicy komunikacji elektronicznej?

Przedsiębiorcy świadczący usługi komunikacyjne, tacy jak operatorzy telekomunikacyjni czy dostawcy usług internetowych, są zobowiązani do przestrzegania szeregu zasad, które mają na celu ochronę danych osobowych, poufność komunikacji oraz bezpieczeństwo sieci. Poniżej najważniejsze aspekty wynikające z tego obowiązku:

Ochrona danych osobowych:

Przedsiębiorcy komunikacji elektronicznej są zobowiązani do ochrony danych osobowych użytkowników, zgodnie z przepisami o ochronie danych osobowych (RODO).

Poufność komunikacji:

Wszystkie formy komunikacji elektronicznej muszą być traktowane jako poufne, co oznacza, że przedsiębiorcy nie mogą ujawniać treści komunikacji bez zgody użytkownika.

Bezpieczeństwo sieci:

Przedsiębiorcy muszą zapewnić odpowiednie środki techniczne i organizacyjne, aby chronić sieci komunikacji elektronicznej przed nieuprawnionym dostępem i naruszeniami.

Informowanie użytkowników:

Przedsiębiorcy są zobowiązani do informowania użytkowników o wszelkich zagrożeniach związanych z naruszeniem tajemnicy komunikacji elektronicznej oraz o środkach, które mogą podjąć w celu ochrony swojej komunikacji.

Odpowiedzialność za naruszenie tajemnicy komunikacji elektronicznej

Naruszenie tajemnicy komunikacji elektronicznej może prowadzić do poważnych konsekwencji prawnych dla przedsiębiorców. Ustawa PKE przewiduje różne formy odpowiedzialności za takie naruszenia, które mają na celu ochronę praw użytkowników oraz zapewnienie zgodności z przepisami. Najważniejszymi aspektami odpowiedzialności za naruszenie tajemnicy komunikacji elektronicznej są:

Kary finansowe

Przedsiębiorcy, którzy naruszą tajemnicę komunikacji elektronicznej, mogą być ukarani karami finansowymi w wysokości do 10% obrotu rocznego, zgodnie z art. 387 ustawy PKE.

Odpowiedzialność cywilna

Użytkownicy, których tajemnica komunikacji została naruszona, mają prawo do dochodzenia odszkodowania od przedsiębiorcy za wszelkie szkody wynikające z tego naruszenia. Podstawy odpowiedzialności cywilnej wynikają m.in. z art. 386 PKE, który określa zakres ochrony danych objętych tajemnicą komunikacji elektronicznej.

Odpowiedzialność karna

W przypadku poważnych naruszeń tajemnicy komunikacji elektronicznej odpowiedzialność karna może być nałożona na osoby odpowiedzialne za takie działania. Naruszenie tajemnicy korespondencji jest typizowane jako przestępstwo w art. 267 Kodeksu karnego, które przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2.

Zawieszenie działalności

W skrajnych przypadkach, gdy naruszenia są powtarzające się i poważne, przedsiębiorcy mogą być zobowiązani do zawieszenia działalności komunikacji elektronicznej. Regulacje dotyczące zawieszenia świadczenia usług są określone w art. 382 PKE.

Zasady przetwarzania informacji objętych tajemnicą komunikacji

Jakie są więc zasady przetwarzania informacji objętych tajemnicą komunikacji? Zgodnie z ustawą PKE, przetwarzanie informacji objętych tajemnicą komunikacji elektronicznej podlega ścisłym zasadom, które mają na celu ochronę prywatności użytkowników oraz zapewnienie bezpieczeństwa komunikacji. Najważniejsze z nich to:

Zasada 1: Cel przetwarzania

Informacje objęte tajemnicą komunikacji elektronicznej mogą być przetwarzane wyłącznie na potrzeby świadczonej usługi komunikacji elektronicznej. Przetwarzanie tych informacji w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych lub za zgodą nadawcy i odbiorcy komunikatu, co wynika z art. 389 ustawy PKE.

Zasada 2: Anonimizacja danych

Dostawcy usług komunikacji elektronicznej mają możliwość anonimizacji informacji objętych tajemnicą komunikacji, co oznacza, że dane te mogą być przetwarzane w sposób uniemożliwiający identyfikację konkretnych użytkowników. Zasada ta została określona w art. 392 PKE.

Zasada 3: Zakres przetwarzania

Operatorzy mogą przetwarzać dane osobowe użytkowników końcowych jedynie w zakresie niezbędnym do realizacji obowiązków wynikających z przepisów prawa, takich jak zarządzanie kryzysowe. Podstawy prawne tego działania wynikają z art. 386 i art. 389 PKE.

Zasada 4: Bezpieczeństwo danych

Przedsiębiorcy komunikacji elektronicznej są zobowiązani do zapewnienia odpowiednich środków technicznych i organizacyjnych, które chronią przetwarzane informacje przed nieuprawnionym dostępem, utratą, zniszczeniem lub nieautoryzowanym ujawnieniem. Obowiązek ten wynika z art. 401 PKE.

Zasada 5: Informowanie użytkowników

Przedsiębiorcy muszą informować użytkowników o przetwarzaniu ich danych oraz o wszelkich zagrożeniach związanych z naruszeniem tajemnicy komunikacji elektronicznej. Użytkownicy powinni być również informowani o swoich prawach związanych z przetwarzaniem danych, takich jak prawo do dostępu, sprostowania, usunięcia danych oraz prawo do sprzeciwu (art. 391 PKE).

Zasada 6: Zgoda użytkownika:

Przetwarzanie informacji objętych tajemnicą komunikacji elektronicznej w celach innych niż świadczenie usługi komunikacji elektronicznej wymaga wyraźnej, jednoznacznej i dobrowolnej zgody użytkownika zgodnie z art. 389 PKE.

Podsumowanie

Nowe przepisy dotyczące tajemnicy komunikacji elektronicznej rozszerzają zakres ochrony na nowoczesne technologie i usługi oraz nakładają dodatkowe obowiązki na przedsiębiorców. Objęcie regulacjami nie tylko tradycyjnych usług telekomunikacyjnych, ale także usług komunikacji interpersonalnej, takich jak poczta elektroniczna i komunikatory internetowe, spowodowało, że użytkownicy tych usług są chronieni nie tylko przepisami o ochronie danych osobowych, ale także bardziej rygorystycznymi zasadami dotyczącymi tajemnicy komunikacji.

Zmiany te mają na celu lepsze zabezpieczenie prywatności użytkowników w dynamicznie rozwijającym się środowisku cyfrowym, ale też podwyższenie poziomu świadomości w tym zakresie, zarówno przedsiębiorców – dostawców, jak i samych użytkowników (przedsiębiorców i konsumentów).

Wdrożenie i przestrzeganie ww. przepisów będzie miało dla dostawców usług komunikacji elektronicznej praktyczny wymiar. Ustawa PKE nie tylko nakłada obowiązki na przedsiębiorców, ale również oferuje praktyczne rozwiązania umożliwiające skuteczne zarządzanie danymi i ochronę prywatności użytkowników. Dostosowanie działalności do nowych regulacji pozwala firmom unikać ryzyka prawnego, budować zaufanie klientów oraz zwiększać bezpieczeństwo operacyjne w erze cyfrowej. Przedsiębiorcy powinni traktować wdrożenie tych przepisów jako inwestycję w rozwój swojej działalności oraz poprawę relacji z klientami i partnerami biznesowymi.

Radca prawny Agnieszka Radniecka

Radca prawny Marta Sawicka

założycielki RADNIECKA SAWICKA Kancelaria Radców Prawnych s.c. z siedzibą w Poznaniu, specjalizującej się w kompleksowej i bieżącej obsłudze prawnej polskich i zagranicznych podmiotów gospodarczych, w szczególności spółek. Prowadzona przez nie kancelaria oferuje klientom codzienne wsparcie w takich dziedzinach jak prawo cywilne, handlowe, administracyjne, gospodarcze, nieruchomości, własność intelektualna, prawo Internetu i nowych technologii. Łącząc bogate doświadczenie w wyżej wskazanych dziedzinach, kancelaria przeprowadza także badania due diligence spółek i ZCP.