Autor: Michał Sieroń, radca prawny, Associate

Kable w stacji.

Zmiany w zakresie przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną

W temacie wdrożenia GDPR w polskim porządku prawnym, warto poświęcić kilka projektowi przepisów wprowadzających ustawę o ochronie danych osobowych, w zakresie w jakim dotykają ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2016 r., poz. 1489) w zakresie przetwarzania danych użytkowników będących osobami fizycznymi (projekt z dnia 12 września 2017 r. udostępniony przez Ministerstwo Cyfryzacji).

Dwie podstawy przetwarzania danych

Planowana nowelizacja obejmować ma zmianę m.in. przepisu art. 161 Prawa telekomunikacyjnego, który dotyczy przetwarzania danych objętych tajemnicą telekomunikacyjną. Przepis ten przewiduje obecnie dwie podstawy przetwarzania danych osobowych użytkowników będących osobami fizycznymi.

Do pierwszej z nich należą enumeratywnie wskazane dane, których przetwarzanie dotyczy usługi świadczonej użytkownikowi, jak również gdy jest niezbędne do jej wykonania, to jest: nazwiska i imiona, imiona rodziców, miejsce i data urodzenia, adres zamieszkania i adres korespondencyjny, PESEL, nazwa, seria i numer dokumentów potwierdzających tożsamość (w przypadku cudzoziemca – który nie jest obywatelem państwa członkowskiego Unii Europejskiej oraz państw członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu), dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych (art. 162 ust. 1-2 Prawa telekomunikacyjnego). Powyższe dane mogą być przetwarzane przez dostawców publicznie dostępnych usług telekomunikacyjnych bez uzyskiwania zgody użytkowników, na podstawie przesłanki ustawowej.


Druga podstawa przetwarzania danych obejmuje natomiast otwarty katalog danych przetwarzanych w związku ze świadczoną usługą, zawierający przykładowo numer konta bankowego lub karty płatniczej, adres poczty elektronicznej, czy numery telefonów kontaktowych. Przetwarzanie takich danych, zgodnie z przepisem art. 161 ust. 3 Prawa telekomunikacyjnego warunkowane jest uzyskaniem zgody użytkownika będącego osobą fizyczną.
 

Ujednolicenie regulacji

Zgodnie z planowaną nowelizacją, przepis art. 161 ust. 3 Prawa telekomunikacyjnego ma zostać uchylony, zaś przepis art. 161 ust. 2 Prawa telekomunikacyjnego nie będzie zawierał już zamkniętego katalogu danych osobowych przetwarzanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych bez konieczności uzyskiwania zgody użytkowników będących osobami fizycznymi. Zamiast tego, przepis art. 161 ust. 2 Prawa telekomunikacyjnego ma zawierać odesłanie do przepisów o ochronie danych osobowych, w tym niewątpliwie zasad wynikających z GDPR. Będzie to oznaczało w szczególności – w przypadku przetwarzania danych osobowych użytkownika będącego osobą fizyczną na podstawie zgody – ocenę legalności uzyskiwania zgody w świetle przepisów o ochronie danych osobowych.

Sposób uzyskiwania zgody przez abonenta lub użytkownika końcowego

Zmianom mają ulec także przepisy dotyczące sposobu wyrażania zgody przez abonenta lub użytkownika końcowego. Mając na uwadze planowaną nowelizację przepisu art. 174 Prawa telekomunikacyjnego, ustawa ta nie będzie już zawierała samoistnych kryteriów oceny prawidłowości sposobu uzyskiwania takiej zgody.

Zgodnie z obecnym brzmieniem przepisu art. 174 Prawa telekomunikacyjnego, zgoda użytkownika końcowego lub abonenta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, przy czym może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika oraz może być wycofana w każdym czasie, w sposób prosty i wolny od opłat. Po zmianach, do uzyskania zgody abonenta lub użytkownika końcowego zastosowanie mają mieć przepisy o ochronie danych osobowych (tj. GDPR). Przepisy GDPR utrzymują w tym zakresie możliwość wyrażenia zgody drogą elektroniczną (motyw 32), przy czym akcentują, aby zgoda stanowiła dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11). Przepis art. 7 ust. 1 GDPR wskazuje ponadto, że administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.


Niewykluczone, że choć omawiany projekt ustawy został przedstawiony jako ostateczny, po zakończeniu konsultacji mogą zostać do niego wprowadzone dalsze zmiany. Należy jednak zasygnalizować, że na chwilę obecną projektodawca nie zaproponował zmiany Prawa telekomunikacyjnego w zakresie przepisu art. 159 ust. 1 pkt 2-5. Oznacza to, że regulacją sektorową może pozostawać objęte przetwarzanie innych, niż omawiane, danych objętych tajemnicą telekomunikacyjną (w tym np. treści indywidualnych komunikatów, danych o lokalizacji), które mogą mieć charakter danych osobowych w rozumieniu GDPR. Podobnie ma się rzecz z przetwarzaniem przez danych osobowych w związku z używaniem telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego. Swoistą regulację w dalszym ciągu ma zawierać w tym temacie przepis art. 172 Prawa telekomunikacyjnego, z tym, że prawidłowość uzyskania zgody użytkownika końcowego lub abonenta dla legalnego używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego ma być oceniona w świetle GDPR, nie zaś obowiązującego obecnie przepisu art. 174 Prawa telekomunikacyjnego.
 

Bądź z nami w kontakcie