Prawo
Zwalczanie nadużyć w komunikacji elektronicznej
Obowiązki spoczywające na przedsiębiorcy telekomunikacyjnym
We wrześniu ubiegłego roku weszła w życie ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która określa prawa i obowiązki podmiotów (urzędów, przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej, itp.) i ich działania mające na celu ochronę użytkowników lub przedsiębiorców telekomunikacyjnych przed negatywnymi skutkami nadużyć w telekomunikacji (komunikacji elektronicznej).
Projektanci tej ustawy nie uniknęli błędów merytorycznych i legislacyjnych, ale o tym już pisaliśmy i zapewne pojawi się jeszcze wiele opracowań w tej sprawie.
Jako przepis uchwalony, podpisany, opublikowany i wdrożony do stosowania, obowiązuje i obowiązki tam określone należy wykonywać.
Ustawa ta nakłada, między innymi, na przedsiębiorcę telekomunikacyjnego obowiązek podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu zapobieganie nadużyciom w telekomunikacji, a w razie ich wykrycia – obowiązek zwalczania.
Użycie określenia „proporcjonalnych”, bez uszczegółowiających przesłanek, uzasadnia bardzo szeroką interpretację dotyczącą sposobu i zakresu podejmowania środków, o których mowa wyżej.
Jako nadużycia w telekomunikacji określono zdarzenie polegające na świadczeniu lub korzystaniu z usługi telekomunikacyjnej lub korzystaniu z urządzeń telekomunikacyjnych, którego celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu albo osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.
Ustawodawca wskazuje i definiuje takie zdarzenia, którymi, w szczególności, są:
1) generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów lub generowanie połączeń głosowych w sieci telekomunikacyjnej, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe. Z tej definicji wynika, że nadużycie to może dotyczyć wyłącznie zdarzeń związanych z komunikacją głosową (telefonią) lecz nie dotyczy ono korzystanie z usług dostępu do Internetu. Działanie związane ze zwalczaniem sztucznego ruchu opisane jest w aktualnie obowiązującym Prawie telekomunikacyjnym, które uprawnia przedsiębiorcę telekomunikacyjnego do eliminacji przekazu komunikatu (blokady połączenia) albo przerwanie lub ograniczenie świadczenia usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających bezpieczeństwu sieci lub usług.
2) smishing, to wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania. To zdarzenie związane jest ściśle ze świadczeniem usług w telekomunikacji mobilnej (komórkowej).
3) CLI Spoofing – nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyci się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania. Opisując to najprościej jest to podmiana numeru telefonu użytkownika inicjującego połączenie (linii wywołującej).
4) nieuprawniona zmiana informacji adresowej, to niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.
Pod pojęciem informacji adresowej ukrywa się numer telefonu lub identyfikator użytkownika wysyłającego komunikat (adres IP, MACADRES, itp.).
Ustawodawca wyłączył spod pojęcia nadużycia w telekomunikacji zdarzenie polegające wyłącznie na zmianie adresu IP. Każda inna zmiana informacji adresowej uznana będzie jako nadużycie.
Obowiązek wdrożenia i stosowania środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie, o których mowa wyżej w pkt 1 – 4, spoczywa na przedsiębiorcach telekomunikacyjnych w terminie do dnia:
1) 25 marca 2024 r. – dotyczy pkt 1 i 2,
2) 25 września 2024 r. – dotyczy pkt 3 i 4.
Kolejnym obowiązkiem spoczywającym na przedsiębiorcy telekomunikacyjnym jest blokowanie stron internetowych, za pomocą których wyłudzane są dane, w tym dane osobowe, oraz za pomocą których doprowadza się użytkowników Internetu do niekorzystnego rozporządzenia ich mieniem. Ten obowiązek spoczywa na przedsiębiorcy telekomunikacyjnym od 1 listopada 2023 r., ale wyłącznie na tym, który dobrowolnie zawarł z Ministrem Cyfryzacji, Prezesem UKE oraz z NASK porozumienie w tej sprawie. Przedsiębiorcy, którzy nie zawarli takiego porozumienia nie mają prawa blokowania złośliwych stron internetowych.
Niezależnie od wyżej opisanych obowiązków przedsiębiorca telekomunikacyjny musi być przygotowany na blokowanie dostępu do numeru telefonu lub usługi telekomunikacyjnej zgodnie z decyzją administracyjną Prezesa UKE.
Przedsiębiorca realizujący powyższe obowiązki powinien prowadzić rejestr informacji o usługach telekomunikacyjnych, które nie zostały przez tego przedsiębiorcę wykonane w związku ze zwalczaniem nadużyć w komunikacji elektronicznej w zakresie umożliwiającym rozpatrzenie ewentualnej reklamacji.
UWAGA!
W świetle przepisów omawianej Ustawy przedsiębiorca telekomunikacyjny może występować jako podmiot uczestniczący w procesie identyfikacji sprawców nadużyć, przeciwdziałający lub zwalczający nadużycia a także jako ofiara nadużyć. Może też występować jako sprawca nadużyć. Jest to niezwykle wielka odpowiedzialność spoczywająca na przedsiębiorcy telekomunikacyjnym, szczególnie ze względu na możliwe kary nakładane za niewykonanie albo niewłaściwe wykonanie ustawowych obowiązków lub kary przewidzianej dla sprawcy nadużycia w komunikacji elektronicznej.
Pamiętać należy, że zarówno nadmierne jak i niedostateczne działanie może powodować negatywne skutki zarówno dla przedsiębiorcy telekomunikacyjnego, jak i dla podejrzanych o nadużycia w komunikacji elektronicznej.
Z tego względu rekomendujemy bardzo poważne podejście do realizacji praw i obowiązków wynikających z przepisów ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
W kolejnych materiałach bardziej szczegółowo omówimy sposób ich realizacji, zmiany jakie należy dokonać w systemie ochrony informacji, w tym ochrony danych osobowych oraz przewidywane kary, jakie mogą być nakładane na sprawców nadużyć w komunikacji elektronicznych oraz przedsiębiorców niewłaściwie wykonujących obowiązki nałożone Ustawą.
