Ubocznym efektem wejścia w życie ustawy inwigilacyjnej jest nałożenie na przedsiębiorców świadczących usługi drogą elektroniczną nowych, kosztownych obowiązków. Aby policja mogła przeprowadzać kontrole – przedsiębiorcy są zmuszeni do dokonania inwestycji w posiadaną infrastrukturę informatyczną. Problem w tym, że dokładając przedsiębiorcom małym i mikro nowych obowiązków, nie pomyślano, że trzeba im wskazać, w jaki sposób powinni swoją infrastrukturę przystosować. Nie przewidziano w ich wypadku odrębnych przepisów wykonawczych. W efekcie odsyłani są przez ministerstwo do tego samego rozporządzenia, które obowiązuje wielkie firmy telekomunikacyjne. Tyle że aby spełnić wymogi, musieliby ponieść koszty, często olbrzymie!
Autor artykułu: Tomasz Zalewski radca prawny, partner w kancelarii prawnej Wierzbowski Eversheds / Dziennik Gazeta Prawna
7 lutego 2016 r. weszła w życie ustawa o zmianie ustawy o Policji oraz niektórych innych ustaw, uchwalona przez Sejm 15 stycznia 2016 r., która wprowadziła zmiany w zasadach prowadzenia kontroli operacyjnej przez wiele służb mundurowych takich jak policja, organy kontroli skarbowej, Straż Graniczna, Agencja Wywiadu czy Centralne Biuro Antykorupcyjne. Zmienione przepisy dały ww. służbom możliwość dokonywania kontroli operacyjnej, która polega m.in. na uzyskiwaniu i utrwalaniu danych zawartych w systemach informatycznych i teleinformatycznych. W związku z tym pojawiła się potrzeba nałożenia na przedsiębiorców świadczących usługi drogą elektroniczną obowiązku odpowiadającemu prawu ww. służb do uzyskiwania takich danych. Od kilku miesięcy usługodawcy świadczący usługi drogą elektroniczną są zobowiązani na własny koszt zapewnić warunki techniczne i organizacyjne umożliwiające prowadzenie kontroli operacyjnej uprawnionym służbom mundurowym. Dotychczas takie obowiązki spoczywały tylko na przedsiębiorcach telekomunikacyjnych oraz operatorach pocztowych.
Kogo dotyczy zmiana
Problem dotyczy nie tylko dużych, ale i małych i średnich podmiotów, chociaż w różnym stopniu.
Przedsiębiorcy świadczący usługi drogą elektroniczną (zatrudniający więcej niż 50 pracowników lub osiągający roczny obrót netto przekraczający równowartość 10 milionów euro) będą musieli zapewnić, aby w razie przeprowadzonej u nich kontroli operacyjnej stworzone były warunki techniczne i organizacyjne dla uzyskiwania i utrwalania danych zawartych w posiadanych przez nich systemach informatycznych oraz teleinformatycznych przez uprawnione służby (m.in. art. 19 ust. 12 ustawy z 6 kwietnia 1990 r. o Policji (t.j Dz.U. z 2015 r. poz. 355 ze zm.).
Zmiana w mniejszym zakresie będzie dotyczyła usługodawców, którzy są mikro lub małymi przedsiębiorcami w rozumieniu ustawy z 2 lipca 2004 r. (t.j. Dz.U. z 2015 r. poz. 584 ze zm.) o swobodzie działalności gospodarczej. Są to przedsiębiorcy, którzy w co najmniej jednym z ostatnich dwóch lat obrotowych zatrudniali średniorocznie mniej niż 50 pracowników lub uzyskali obroty netto poniżej równowartości w złotych 10 milionów euro (a dokładniej, których roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nie przekroczył równowartości w złotych 10 milionów euro lub suma aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyła równowartości w złotych 10 milionów euro). Omawiany obowiązek będzie w stosunku do nich ograniczony do możliwości wynikających z posiadanej już infrastruktury (art. 19 ust. 12a ustawy o policji).
Usługi elektroniczne – problem z określeniem
Wyżej wskazany nowy obowiązek i związane z nim koszty dotyczą głównie przedsiębiorców, którzy:
● nie są mikro lub małymi przedsiębiorcami, oraz jednocześnie
● świadczą usługi drogą elektroniczną.
Pierwsza przesłanka jest łatwa do weryfikacji, jednak w przypadku mikro i małych przedsiębiorców wymaga corocznego sprawdzenia, czy nie został przekroczony próg obrotów lub liczba pracowników, co skutkuje objęciem rozszerzonym zakresem obowiązków związanych z kontrolą operacyjną.
Większy problem w praktyce może sprawić ustalenie, o jakie usługi świadczone drogą elektroniczną chodzi, aby doszło do spełnienia drugiej przesłanki. Ustawa o świadczeniu usług drogą elektroniczną bardzo ogólnie definiuje pojęcie tej kategorii usług, wskazując na cztery elementy:
● brak konieczności jednoczesnej fizycznej obecności stron,
● usługa polega na przekazie danych na indywidualne żądanie usługobiorcy,
● przekaz następuje za pomocą urządzeń do elektronicznego przetwarzania (komputer, smartfon, tablet itd.)
● przekaz danych następuje w ramach sieci telekomunikacyjnej.
Usługa taka powinna być przy tym co do zasady świadczona odpłatnie. Ustawa o świadczeniu usług drogą elektroniczną nie wymaga wyraźnie, by usługa taka świadczona była za wynagrodzeniem, jednak przesłanka odpłatności wynika wprost z definicji usługi społeczeństwa informacyjnego zawartej w art. 1 ust. 2 dyrektywy 98/34/WE, wskazującej, iż jest to usługa „normalnie świadczona za wynagrodzeniem”.
Z utrwalonego orzecznictwa Trybunału Sprawiedliwości UE wynika, że warunek świadczenia usługi za wynagrodzeniem nie oznacza, że za usługę płacić powinny bezpośrednio osoby z niej korzystające. Wynagrodzenie to może być uzyskiwane np. poprzez przychód z reklam wyświetlanych użytkownikowi na stronie internetowej przez operatora tej strony, przy czym nieistotna jest wartość takich przychodów.
Co więcej, jeśli przedsiębiorca oferuje swoim klientom taką usługę w ramach swojej działalności gospodarczej, nawet bezpłatnie, to zazwyczaj świadczy on – jakkolwiek akcesoryjnie wobec swojej głównej działalności – usługę o charakterze gospodarczym. Usługi takie stanowią bowiem zwykle formę marketingu mającą na celu pozyskanie klientów, która przyczynia się do rozwoju głównej działalności przedsiębiorcy.
Przykładowo formalnie darmowy dostęp do sieci Wi-Fi dla klientów kawiarni czy hotelu jest związany z odpłatnością za świadczenia główne oferowane w tych miejscach. Podobnie usługi oferowane bezpłatnie, jednakże w ramach modelu biznesowego zakładającego, że co najmniej część użytkowników skorzysta z płatnej oferty przedsiębiorcy, także będą się mieściły w pojęciu usługi świadczonej drogą elektroniczną. Moim zdaniem, podobnie także każda inna, formalnie bezpłatna, usługa o promocyjnym charakterze świadczona przez przedsiębiorcę, obliczona na przyciągnięcie nowej klienteli lub zwiększenie obrotów z dotychczasową, będzie miała charakter usługi „normalnie świadczonej za wynagrodzeniem”.
Adresatów wielu
Oznacza to tym samym, że zakresem obowiązków wynikających z omawianej nowelizacji objęci będą wszyscy przedsiębiorcy, niezależnie od swojej podstawowej branży, jeśli – choćby ubocznie – świadczą usługi drogą elektroniczną. Takie usługi to przykładowo:
● udostępnianie klientom sklepu/lokali dostępu do internetu poprzez hotspot Wi-Fi;
● udostępnianie klientom sklepu internetowego dodatkowych funkcjonalności, takich jak konto użytkownika;
● serwis internetowy dla klientów z elementami serwisu społecznościowego (np. strona internetowa z możliwością umieszczania przepisów kulinarnych użytkowników);
● oferowanie klientom newslettera z promocjami lub informacjami o towarach/usługach.
Z nowelizacji nie wynika, aby zakres i skala usług świadczonych drogą elektroniczną miała znaczenie dla objęcia obowiązkami wynikającymi z nowelizacji. Zatem co do zasady każdy przedsiębiorca, który choćby ubocznie świadczy usługi drogą elektroniczną, podlega regulacjom wielu ustaw dotyczących kontroli operacyjnej.
Zakres obowiązków
Wszyscy przedsiębiorcy świadczący usługi drogą elektroniczną będą musieli zatem co najmniej pozwalać na kontrolę operacyjną dotyczącą świadczonych przez siebie usług drogą elektroniczną, a ci więksi dodatkowo zapewnić na własny koszt warunki techniczne i organizacyjne, umożliwiające prowadzenie takiej kontroli operacyjnej. Może to oznaczać de facto obowiązek dostosowania swojej infrastruktury technicznej w ten sposób, aby umożliwiła ona prowadzenie kontroli operacyjnej, tj. uzyskiwanie i utrwalanie danych zawartych w posiadanych przez nich systemach informatycznych oraz teleinformatycznych przez uprawnione służby.
Ustawodawca nie precyzuje, jakie konkretnie warunki muszą być spełnione, aby możliwe było prowadzenie kontroli operacyjnej z udziałem usługodawców. Nie zostało też przewidziane określenie takich warunków w rozporządzeniu. Brak także jakiejkolwiek wzmianki w uzasadnieniu projektu nowelizacji nt. skutków finansowych dla usługodawców.
Koszty
Nie jest to jedyny obowiązek dla przedsiębiorców. Kolejną istotną zmianą wynikającą z nowelizacji jest przeniesienie na usługodawców elektronicznych ciężaru kosztów udostępniania informacji na żądanie uprawnionych organów. Jest to efekt znowelizowania art. 18 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2013 r. poz. 1422 ze zm.), gdzie do obowiązku udostępnienia danych dodano zastrzeżenie, że następuje ono bezpłatnie.
Dotychczas usługodawca świadczący usługi drogą elektroniczną, przekazując dane na żądanie uprawnionego organu, mógł domagać się zwrotu od Skarbu Państwa kosztów z tym związanych. Uprawnienie to znalazło swoje potwierdzenie w uchwale Sądu Najwyższego z 30 września 2014 r. (sygn. akt I KZP 18/14).
Teraz, niezależnie od zakresu przekazywanych informacji oraz rozmiaru poniesionych kosztów, usługodawcy nie będą mogli już domagać się zwrotu kosztów, jeśli z żądaniem wydania danych wystąpił uprawniony organ państwowy. Obowiązek nieodpłatnego wydania danych dotyczy wszystkich usługodawców, bez względu na rozmiar przedsiębiorstwa lub skalę świadczonych usług drogą elektroniczną.
Konsekwencje
Nowelizacja nie określiła konsekwencji związanych z niezastosowaniem się usługodawców świadczących usługi drogą elektroniczną do nowych obowiązków.
Wydaje się zatem, że w zależności od konsekwencji, jakie niezapewnienie odpowiednich warunków technicznych może mieć dla przebiegu kontroli operacyjnej, zastosowanie znajdą tu ogólne zasady prawa karnego dotyczące odpowiedzialności za utrudnianie postępowania karnego.
KOMENTARZ EKSPERTA
Tomasz Lisiecki, IT manager w Sollers Consulting / Dziennik Gazeta Prawna
W oparciu o analizę rozporządzenia dotyczącego wymagań technicznych stosowanych w przedsiębiorstwach telekomunikacyjnych przygotowanie wymaganych do kontroli warunków z pewnością będzie wymagało dodatkowych nakładów finansowych i organizacyjnych. Nie jest to jednak zagadnienie skomplikowane technologicznie, a dla firm specjalistycznych w branży telecom wręcz standardowe. Możemy wskazać trzy istotne kategorie kosztów, jakie będzie musiał ponieść przedsiębiorca. Po pierwsze, będzie konieczne zestawienie i utrzymanie łączy cyfrowych typu RLLO (Reference Leased Lines Offer) do uprawnionych instytucji, chyba że warunki takich łączy do celów specjalnych zostały lub będą doprecyzowane w innych rozporządzeniach. Niezbędne też będzie zbudowanie dwóch dodatkowych interfejsów, które mają być zgodne ze specyfikację techniczną oraz powinny realizować określone przez rozporządzenie funkcje. Koszt budowy oraz wdrożenia (w tym testów integracyjnych z odpowiednimi instytucjami) takiego pojedynczego interfejsu, zwykle rozliczany jest w osobodniach i wynosi szacunkowo od 40 do 120 osobodni. Rynkowe stawki wewnętrzne są obecnie na poziomie 150–600 zł netto za osobodzień. Są one jednak zależne od firmy i często mają charakter umowny. Co więcej przy zleceniach zewnętrznych, stawki dla prac informatycznych tego typu mogą osiągać poziom od 1,5 do 3 razy wyższy.
Dodatkowo przedsiębiorcy muszą się liczyć z kosztami utrzymania ciągłości pracy takich interfejsów. W zależności od stopnia zautomatyzowania dostępu może to wymagać zaangażowania dedykowanych zasobów informatycznych, zarówno osobowych, jak i technicznych. Natomiast liczba zleceń przychodzących od upoważnionych instytucji będzie determinować koszty dodatkowych pracowników (0,2–1,5 etatu) oraz zapewnienia odpowiedniej przestrzeni dyskowej.
Tomasz Zalewski radca prawny, partner w kancelarii prawnej Wierzbowski Eversheds