Projekt ustawy Prawo o komunikacji elektronicznej niezgodny z RODO

Projekt nowej ustawy Prawo o komunikacji elektronicznej przeszedł już etap konsultacji, w których Prezes UODO brał zresztą udział. Większa część uwag Prezesa UODO została uwzględniona. Niemniej jednak w ocenie organu nadzorczego projekt nadal stoi w sprzeczności z zasadą ograniczenia przechowywania, dlatego kolejne uwagi zostały przekazane w piśmie do zastępcy szefa Kancelarii Sejmu.

Kontrowersje budzi model retencji i udostępniania uprawnionym podmiotom danych o użytkownikach. Otóż przedsiębiorcy telekomunikacyjni zostaną zobligowani do :

• przechowywania szczegółowych danych o połączeniach (czas, miejsce i rodzaj połaczenia, a także dane identyfikacyjne użytkowników) przez 1 rok,

• udostępniania tych danych sądom, prokuraturze, policji, Biuru Nadzoru Wewnętrznego, Straży Granicznej, Służbie Więziennej, SOP, ABW, SKW, Żandarmerii Wojskowej, CBA i Krajowej Administracji Skarbowej (art. 47 projektowanej ustawy).

Wątpliwości budzi określenie dokładnego zakresu przechowywanych danych na poziomie rozporządzenia. W ocenie Prezesa UODO kwestie takie powinna bowiem precyzować ustawa.

Drugi zarzut dotyczy nieprzeprowadzenia testu prywatności na etapie prac nad projektem ustawy. W konsekwencji rozwiązania przyjęte w projekcie nie uwzględniają zasady privacy by design (art. 25 RODO). Zabrakło także oceny skutków dla ochrony danych.

Wreszcie Prezes UODO wskazał, że zaproponowany w ustawie model bezwarunkowego gromadzenia danych osobowych wszystkich użytkowników jest sprzeczny z regułami:

• legalizmu, rzetelności i przejrzystości (art. 5 ust. 1 lit. a RODO),

• ograniczenia celu przetwarzania (art. 5 ust. 1 lit. b RODO),

• minimalizacji danych (art. 5 ust. 1 lit. c RODO)

• ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Poza tym model ten stoi w sprzeczności z wyartykułowaną w art. 51 ust. 2 Konstytucji zasadą ograniczenia gromadzenia informacji o obywatelach przez władze publiczne oraz z Kartą Praw Podstawowych UE. Na tę okoliczność organ nadzorczy przytoczył liczne wyroki Trybunału Sprawiedliwości UE:

• wyrok z 6 października 2020 r. La Quadrature du Net i in. przeciwko Premier ministre i in., sprawy połączone C-511/18, C-512/18 i C-520/18,

• wyrok z 6 października 2020 r. Privacy International przeciwko Secretary of State for Foreign and Commonwealth Affairs i in. sprawa C­623/17

• wyrok z 30 kwietnia 2024 r. w sprawie C-470/21 La Quadrature du Net i in. przeciwko Premier ministre i Ministere de la Culture

• wyrok z 30 kwietnia 2024 r. w sprawie C-178/22 Procura della Repubblica presso il Tribunale di Bolzano

• wyrok z 28 maja 2024 r. Pietrzak i Bychawska-Siniarska i inni przeciwko Polsce, nr skargi 72038/17.