Związek Cyfrowa Polska o projekcie PKE: cyberbezpieczeństwo i prywatność zagrożone

Cyberbezpieczeństwo oraz prywatność użytkowników mogą być zagrożone przez wprowadzenie nowych ustaw o prawie komunikacji elektronicznej (PKE), zdaniem Związku Cyfrowa Polska. Eksperci organizacji zwracają uwagę m.in. na kwestie dostępu służb do danych wrażliwych oraz na konieczność przenoszenia centrów danych do Polski, co stoi w sprzeczności z ideą jednolitego rynku cyfrowego i może nieść za sobą konkretne zagrożenia z dziedziny bezpieczeństwa cyfrowego.

– Wprowadzenie nowych przepisów jest konieczne, bo ma na celu wykonanie prawa Unii Europejskiej i zastąpienie przestarzałej ustawy o prawie telekomunikacyjnym z 2004 roku – mówi cytowany w komunikacie Michał Kanownik, prezes Związku Cyfrowa Polska. – Jako przedstawiciele organizacji branżowej, zrzeszającej największe firmy z branży nowoczesnych technologii, dostrzegamy jednak konieczność rewizji kilku najbardziej kontrowersyjnych zapisów. Dlatego wystosowaliśmy pismo do marszałek Elżbiety Witek, w którym ze szczegółami wyjaśniamy problematyczne kwestie – precyzuje.

Zastrzeżenia ekspertów wzbudza przede wszystkim artykuł 43, nakładający na przedsiębiorców komunikacji elektronicznej obowiązek udzielenia służbom państwowym dostępu do danych użytkowników. Obowiązek ten musi zostać zrealizowany w ciągu 24 godzin bez kontroli sądowej. Przede wszystkim jednak artykuł 43 nie precyzuje okoliczności, w jakich służby mogą uzyskać prywatne dane użytkowników sieci. To zdaniem Cyfrowej Polski może doprowadzić do naruszeń praw i wolności zagwarantowanych w Konstytucji.

Eksperci Związku Cyfrowa Polska podkreślają także krótki termin realizacji przepisu o wydaniu dostępu do danych. zwracają uwagę, że w 24 godziny trudno zrealizować każde żądanie, tym bardziej, gdy mowa o podmiotach operujących w sferze wirtualnej i zapewniających funkcjonowanie systemów na całym świecie.

Zgodnie z projektem ustawy, jeszcze mniej czasu daje przedsiębiorcom artykuł 53, dotyczący nakazu zatrzymania świadczenia usług w przypadku niejasno określonego „zagrożenia obronności, bezpieczeństwa państwa lub porządku publicznego”. Jeśli wystąpią takie przesłanki, przedsiębiorca musi w ciągu 6 godzin zablokować wskazane przez odpowiedni urząd przekazy lub połączenia. A to termin, który w wielu przypadkach może być niewykonalny – usługi komunikacji elektronicznej są często świadczone spoza terytorium Polski, a ich operatorzy funkcjonują według różnych stref czasowych. Wątpliwości specjalistów budzi też tryb ustnego przekazania takiej decyzji.

Prezes Cyfrowej Polski podkreśla też konieczność przyjrzenia się zapisom nakazującym przedsiębiorcom przechowywanie danych wyłącznie na terytorium Polski (artykuł 47). Według Michała Kanownika nakładanie takiego obowiązku na wszystkie podmioty świadczące usługi komunikacji elektronicznej czy przedsiębiorców telekomunikacyjnych jest nie tylko nadmiarowe i nietransparentne, ale stoi również w sprzeczności z ideą jednolitego rynku cyfrowego.

A jak realizacja przepisu miałaby wyglądać z technicznego punktu widzenia? Czy cyfrowi giganci zostaliby zmuszeni do przenoszenia obszernych serwerowni na teren Polski? Takie rozwiązanie, jak dowodzi Cyfrowa Polska, nie powinno być wprowadzane odgórnie. Każda firma technologiczna korzysta bowiem ze swojej infrastruktury, której nie da się przebudować w krótkim czasie (według obecnie proponowanych zapisów: sześć miesięcy od wprowadzenia w życie PKE) bez konsekwencji dla cyberbezpieczeństwa. Tym bardziej, że fizyczna lokalizacja danych na terytorium danego państwa niekoniecznie musi się wiązać z ich ochroną przed nieuprawnionym dostępem – bardziej liczą się stosowane rozwiązania techniczne i wypracowane już procedury.

W piśmie do marszałek Elżbiety Witek czytamy, że przepisy tej rangi „powinny podlegać szerokim konsultacjom społecznym i spotkaniom warsztatowym celem wypracowania przemyślanych rozwiązań, nie naruszających zasady swobody prowadzenia działalności gospodarczej i uwzględniających realia ekonomiczne oraz technologiczne”. Tymczasem kontrowersyjne artykuły zostały dodane na ostatnim etapie prac rządowych, bez jakichkolwiek konsultacji z rynkiem.

Ingerencja w zaproponowane przez rząd przepisy jest według Cyfrowej Polski konieczna, bo wprowadzenie ustaw o PKE będzie się wiązać z fundamentalną zmianą zasad funkcjonowania rynku cyfrowego w Polsce. A to dotknie nie tylko przedsiębiorców z branży cyfrowej, ale przede wszystkim końcowych użytkowników sieci.