Kolejna już wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 12 października 2021 r. zawiera rozwiązania wyłączające prawo do bycia stroną postępowania przez podmioty obowiązane do wykonania decyzji administracyjnej.
15 października 2021 r. na stronie Biuletynu Informacji Publicznej Ministra Cyfryzacji pojawił się komunikat pt. „Kluczowa faza prac nad ustawą o KSC”. Poinformowano w nim o opublikowaniu nowej wersji projektu nowelizacji ustawy o krajowym systemie Cyberbezpieczeństwa (projekt z 12 października 2021 r.), który został skierowany do Komitetu Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych (KRMBNSO). Wskazano, że po zaopiniowaniu projektu ustawy przez KRMBNSO, zostanie on skierowany pod obrady Stałego Komitetu Rady Ministrów, zaś po zaakceptowaniu projektu przez ten komitet, projekt zweryfikuje komisja prawnicza pod względem poprawności legislacyjnej i redakcyjnej. Decyzję o przyjęciu projektu i skierowaniu go do Sejmu podejmie Rada Ministrów. W komunikacie brak jest informacji o ogłoszeniu konsultacji publicznych nad kolejną już wersją tak ważnego dla całego rynku telekomunikacyjnego projektu ustawy. Do uzasadnienia nowej wersji projektu nie dołączono przy tym oceny skutków regulacji (OSR) przedstawiającej wyniki oceny przewidywanych skutków społeczno-gospodarczych nowo proponowanych rozwiązań.
Nowy projekt, podobnie jak poprzednia wersja nowelizacji ustawy o KSC (z 20 stycznia 2021 r.), przewiduje przyznanie ministrowi właściwemu ds. informatyzacji kompetencji do wydania decyzji w przedmiocie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. W toku postępowania administracyjnego minister ma oceniać, czy dostawca stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. W przypadku wydania takiej decyzji, wiele podmiotów, w tym m.in. przedsiębiorcy telekomunikacyjni wykorzystujący sprzęt lub oprogramowanie objęte zakresem decyzji, ma być obowiązanych nie tylko do niewprowadzania do użytkowania produktów, usług i procesów w zakresie objętym decyzją, ale także do wycofania ich z dotychczasowego użytkowania. A zatem, decyzja wydana przez ministra nałoży uciążliwe obowiązki i zakazy m.in. na operatorów telekomunikacyjnych korzystających z produktów, usług i procesów objętych zakresem decyzji.
Aprobując co do zasady potrzebę wzmocnienia bezpieczeństwa państwa zwłaszcza w stosunkowo nowym jego aspekcie jakim jest cyberbezpieczeństwo, nie można jednak tracić z pola widzenia interesów poszczególnych uczestników rynku telekomunikacyjnego, a zwłaszcza ich praw, w tym praw i wolności gwarantowanych konstytucyjnie oraz traktatowo. Tymczasem, rozwiązania proceduralne przewidziane w nowym projekcie budzą poważne wątpliwości nie tylko ze względu na proponowane ograniczenie, a wręcz wyłączenie prawa do efektywnego środka zaskarżania i prawa do sądu, ale też – co stanowi zupełne novum w stosunku do poprzedniej wersji projektu – ze względu na proponowane odebranie szeregu podmiotom prawa do bycia stroną postępowania administracyjnego.
W myśl nowego projektu, procedura oceny ryzyka dostawcy sprzętu lub oprogramowania ma być oparta na przepisach Kodeksu postępowania administracyjnego (k.p.a.) z wyłączeniem jednak tych przepisów, które są kluczowe dla strony postępowania. Projektodawca chce wyłączenia m.in. przepisów określających kto jest stroną postępowania oraz dających możliwość organizacji społecznej (np. branżowego zrzeszenia przedsiębiorców) wstąpienia do postępowania na prawach strony. W to miejsce projektodawca proponuje przepis, w myśl którego stroną postępowania będzie ten, wobec kogo zostanie ono wszczęte. Oznacza to, że wiele podmiotów (jak choćby przedsiębiorcy telekomunikacyjni) korzystających z produktów, usług i procesów objętych zakresem postępowania zostanie pozbawionych przymiotu strony. Podmioty, które na podstawie ogólnych zasad k.p.a. miałyby pełne prawa strony, w myśl projektu zostaną całkowicie pozbawione możliwości udziału i obrony swych praw w toku postępowania administracyjnego.
Jak wskazano w uzasadnieniu nowego projektu, zawężenie przymiotu strony oraz wyłączenie udziału organizacji społecznej ma być rzekomo konieczne w celu uniknięcia obstrukcji postępowania i wzmocnienia trwałości rozstrzygnięć (mając na względzie, że do każdego takiego postępowania, według zasad ogólnych mogłoby przystąpić na prawach strony nawet setki podmiotów korzystających z konkretnych produktów pochodzących od konkretnego dostawcy sprzętu lub oprogramowania). A zatem, w ocenie projektodawcy jedynym środkiem rzekomego usprawnienia toku postępowania administracyjnego, w którym co do zasady powinno brać udział wiele stron, jest pozbawienie ich przymiotu strony. Do tego projektodawca dokłada jeszcze zakaz udziału w tym postępowaniu organizacji społecznych.
Choć w demokratycznym państwie prawnym konstytucyjne prawa i wolności mogą być ograniczane na podstawie ustawy, gdy jest to konieczne dla bezpieczeństwa państwa (do której to kategorii niewątpliwie należy także cyberbezpieczeństwo), to jednak ograniczenia te nie mogą naruszać istoty wolności i praw. A zatem, nikt nie może być zupełnie pozbawiony konstytucyjnie gwarantowanych praw i wolności. Tymczasem, pozbawienie jednostki prawa do bycia stroną postępowania administracyjnego implikuje szereg dalszych konsekwencji, pozbawiając ją prawa do ochrony konstytucyjnie gwarantowanej swobody działalności gospodarczej, czy prawa własności. Jednocześnie wyłącza konstytucyjne prawo strony do dwuinstancyjnego postępowania administracyjnego.
Próba wprowadzenia tak daleko idących ograniczeń (a wręcz wyłączeń) w korzystaniu z konstytucyjnych wolności i praw, jak proponowane w projekcie nowelizacji, powinna być poprzedzona szczegółową analizą nie tylko co do celowości, ale także samej możliwości ich wprowadzenia w ramach konstytucyjnego porządku. Przytoczony fragment uzasadnienia projektu nie dowodzi jednak przeprowadzenia takiej analizy. Co więcej, z uwagi na brak dołączenia do uzasadnienia nowego projektu oceny skutków regulacji (OSR), należy uznać, że projektodawca w ogóle nie poddał ocenie przewidywanych skutków społeczno-gospodarczych nowo proponowanych przez siebie rozwiązań.
Dodatkowo wypada wskazać, że także i zamierzony cel proponowanej regulacji w postaci „uniknięcia obstrukcji postępowania i wzmocnienia trwałości rozstrzygnięć”, jest wielce wątpliwy w zderzeniu z konstytucyjnie gwarantowanym prawem do sądu. W myśl przepisów Prawa o postepowaniu przed sądami administracyjnymi (p.p.s.a.), skargę na decyzję może wnieść każdy, kto ma w tym interes prawny. Oznacza to, że podmiotem uprawnionym do wniesienia skargi może być także podmiot niebędący formalnie stroną postępowania administracyjnego (por. post. NSA z 14.06.2011 r., sygn. akt II GZ 304/11). Podmiot, który nie był stroną postepowania administracyjnego, ale na który decyzja nakłada prawa i obowiązki, będzie uprawniony do wniesienia skargi do sądu administracyjnego. Sąd będzie władny uchylić zaskarżoną decyzję gdy uzna, że strona faktycznie była pozbawiona możliwości obrony swych praw. A zatem, wbrew intencji projektodawcy, to właśnie proponowane przez niego rozwiązanie uderzałoby w trwałość rozstrzygnięć.