Poruszając kwestię zmian, wprowadzonych wejściem w życie ustawy o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw (Dz. U. z 2012 roku, poz. 1445) – dalej Ustawa Nowelizująca, należy zwrócić uwagę na kwestie dotyczące skrócenia okresu retencji danych telekomunikacyjnych oraz nowe obowiązki operatorów telekomunikacyjnych/dostawców usług w zakresie ochrony danych osobowych abonentów.
Przypomnijmy, że zgodnie z brzmieniem przepisów (art. 180a- 180d) ustawy Prawo telekomunikacyjne w brzmieniu obowiązującym do 21 stycznia 2013 roku, na operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych, nałożony został obowiązek zatrzymywania i przechowywania danych telekomunikacyjnych przez 24 miesiące, licząc od dnia połączenia lub nieudanej próby połączenia. Polski ustawodawca zdecydował się tym samym na zastosowanie najdłuższego z możliwych okresów, do jakiego zobowiązywały przepisy tzw. dyrektywy retencyjnej (okres retencji powinien wynosić od 6 do 24 miesięcy).
Zgodnie z zapowiedziami, Ustawa Nowelizująca okres retencji danych skróciła o połowę tj. z 24 do 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia. Z dniem wejścia w życie nowelizacji (zob. art. 27 Ustawy Nowelizującej), operatorzy telekomunikacyjni zostali zobowiązani do zniszczenia danych przechowywanych przez okres dłuższy niż 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia. Obowiązek ten nie dotyczy jednak danych, które zostały zabezpieczone zgodnie z przepisami odrębnymi (np. na podstawie aktów prawny regulujących działalność takich służb jak Policji czy Agencji Bezpieczeństwa Wewnętrznego).
Nowelizacja wprowadza dodatkowo nowe przepisy w zakresie ochrony danych osobowych (art. 174a- 174d PT), wchodzą one w życie z dniem 21 marca 2013 roku. Zgodnie z art. 174a PT dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, ale nie później niż w terminie 3 dni od stwierdzenia naruszenia. Przez naruszenie danych osobowych przepis art. 174a ust. 2 każe rozumieć przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.
W przypadkach, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika będącego osobą fizyczną, dostawca ma również obowiązek co do zasady, w powyższym terminie zawiadomić abonenta lub użytkownika końcowego. Przez naruszenie danych osobowych, które wywrzeć może niekorzystny wpływ na prawa abonenta (użytkownika końcowego), rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. Wobec zaniechania w zawiadomieniu abonenta (użytkownika końcowego będącego osobą fizyczną), GIODO może nałożyć taki obowiązek w drodze wydanej przez siebie decyzji. Przepisy art. 174a PT określają jakie informacje powinno zawierać zawiadomienie kierowane zarówno do GIODO jak i abonenta. Dostawca zobowiązany jest również, do prowadzenia rejestru naruszeń danych osobowych. Prowadzenie rejestru może zostać powierzone także innemu przedsiębiorcy na podstawie zawartej z nim umowy.
Przestrzeganie przez operatora powyższych obowiązków może być przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z odpowiednimi przepisami ustawy o ochronie danych osobowych.
Łukasz Bazański
Autor jest radcą prawnym, prowadzącym kancelarię radcy prawnego, zajmującym się i specjalizującym w problematyce zagadnień wynikających z ustawy o wspieraniu rozwoju usług i sieci telekomunikacyjnych oraz prawa telekomunikacyjnego.
itB Legal Kancelaria Radcy Prawnego Łukasz Bazański
www.itblegal.pl, sekretariat@itblegal.pl, tel. +48 609 534 158