Z perspektywy prawnej, szeroko podnoszona niezgodność projektowanych regulacji ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz ustawy Prawo telekomunikacyjne z przepisami prawa UE i międzynarodowego może doprowadzić do sporu przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE). Niekorzystny wyrok dla Polski może w efekcie oznaczać konieczność uchylenia decyzji po kilku latach ich obowiązywania i skutkować roszczeniami odszkodowawczymi względem Skarbu Państwa, poinformowała ISBnews adwokat, associate partner, lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych EY Law Justyna Wilczyńska-Baraniak.
"Styczniowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo telekomunikacyjne (UKSC) wywołuje liczne krytyczne komentarze. Są on kierowane nie tylko w odniesieniu do proponowanych nietechnicznych kryteriów, wykluczających dostawców sprzętu i oprogramowania, ale także w odniesieniu do samego przebiegu procesu konsultacji projektowanej ustawy. Jest to zrozumiałe, jeśli weźmie się pod uwagę, że zmiany w UKSC będą miały ogromny wpływ na ukształtowanie rynku telekomunikacyjnego. Z perspektywy prawnej, szeroko podnoszona niezgodność projektowanych regulacji z przepisami prawa UE i międzynarodowego może doprowadzić do sporu przed Trybunałem Sprawiedliwości. Niekorzystny wyrok dla Polski może w efekcie oznaczać konieczność uchylenia decyzji po kilku latach ich obowiązywania i skutkować roszczeniami odszkodowawczymi względem Skarbu Państwa" - powiedziała ISBnews Wilczyńska-Baraniak.
Wskazała, że projekt ze stycznia 2021 roku nadal zakłada kryteria nietechniczne oceny dostawcy, jak np. analizę prawdopodobieństwa, że dostawca "znajduje się pod kontrolą państwa" spoza Unii Europejskiej lub NATO. Niektórzy dostawcy wciąż mogą więc zostać na tej podstawie uznani za dostawców wysokiego ryzyka i tym samym wykluczeni z wdrażania sieci 5G w Polsce.
"Wprowadzenie kryteriów nietechnicznych do oceny dostawcy budzi wątpliwość w zakresie zgodności z regulacjami międzynarodowymi i może prowadzić do wydania zakazów dla podmiotów prowadzących działalność gospodarczą, które poważnie ograniczą prawo własności i swobodę przedsiębiorczości, zagwarantowane nie tylko w polskiej Konstytucji, ale i w Europejskiej Konwencji Praw Człowieka i Karcie Praw Podstawowych Unii Europejskiej" - dodała Associate Partner EY Law.
Dodała, że decyzje nie mogą naruszać również podstawowych zasad prawa Unii Europejskiej, między innymi swobodnego przepływu towarów i swobody prowadzenia działalności gospodarczej (art. 34 i 49 TFUE), a nadto powinny być zgodne z postanowieniami Dyrektywy Europejskiego Kodeksu Łączności Elektronicznej (EKŁE) w zakresie publicznych sieci łączności. Artykuł 34 TFUE zawiera w sobie zasadę swobodnego przepływu towarów i zakazuje państwom członkowskim UE nakładania ograniczeń ilościowych lub równoważnych środków na towary będące przedmiotem wymiany handlowej na rynku wewnętrznym. Artykuł 36 TFUE zawiera odstępstwa od zakazu wynikającego z art. 34 TFUE. Jedno z nich dotyczy bezpośredniego zagrożenia bezpieczeństwa wewnętrznego, które w mojej ocenie będzie bardzo trudno udowodnić, przyjmując za podstawę wykluczenia okoliczności wskazane w art. 66a ust. 6 pkt 2 a-d projektowanej UKSC.
"Kraje członkowskie powinny także konsultować się z Komisją Europejską, kiedy tworzone przez nie regulacje wpływają na handel między krajami Unii. Faktyczne wyłączenie sprzętu jednego z dostawców jest czynnikiem wpływającym na handel unijny i może stanowić kryterium dyskryminujące w przypadku powoływania się na aspekt bezpieczeństwa, bez przeprowadzenia niezależnych badań. Wskazać także należy, że Polska jest stroną Układu Ogólnego w sprawie Taryf Celnych i Handlu (General Agreement on Tariffs and Trade, GATT), którego podstawową zasadą jest obowiązek niedyskryminacji i równego traktowania w stosunkach handlowych, bez przejawów dyskryminacji czy pozbawienia przywilejów udzielonych innym partnerom zagranicznym" - wymieniła Wilczyńska-Baraniak.
Wskazała także, że w uzasadnieniu odmowy zmiany projektowanych zapisów powołano się na ocenę dostawcy zaproponowaną w tzw. Toolbox 5G. Toolbox jest jednak dokumentem technicznym i organizacyjnym, zawierającym rekomendacje w zakresie budowy i zakupu sprzętu przeznaczonego do infrastruktury 5G, w szczególności przedstawia, w jaki sposób minimalizować zidentyfikowane wcześniej ryzyka.
"Wprowadzenie do projektu nowelizacji UKSC kryterium dostawcy wysokiego ryzyka i powiązanie go z koniecznością dokonania analizy stopnia i rodzaju powiązań pomiędzy dostawcą sprzętu lub oprogramowania, a państwem jego pochodzenia, może skutkować uznaniem, że inne usługi i produkty pochodzące z państwa pochodzenia dostawcy także stanowią produkty i usługi wysokiego ryzyka. Dopóki konkretnemu dostawcy nie zostanie udowodnione, że stwarza bezpośrednie zagrożenie dla bezpieczeństwa wewnętrznego, to wykluczanie go z rynku, zarówno z punktu widzenia prawa unijnego, jak i międzynarodowego, będzie budzić poważne wątpliwości" - stwierdziła associate partner EY Law.
W świetle przepisów EKŁE, zapewnienie bezpieczeństwa publicznych sieci łączności powinno opierać się na właściwych i proporcjonalnych środkach technicznych i organizacyjnych. Przyjęte środki muszą zapewniać poziom bezpieczeństwa proporcjonalny do istniejącego ryzyka, z uwzględnieniem aktualnego stanu wiedzy i technologii. Chodzi tu jednak o ocenę stanu faktycznego, z którego płyną informacje o możliwych negatywnych skutkach korzystania z danego sprzętu lub usług. Prawodawca unijny nie zdecydował się na włączenie tutaj czynników politycznych czy też prawnych, które nie dotyczą wprost bezpieczeństwa łączności, a innych dziedzin funkcjonowania państwa, zaznaczyła ekspert.
"Polska w projektowanej nowelizacji UKSC zapewnia znaczną prerogatywę władzy. Zgodnie z art. 66a8 UKSC, to minister właściwy do spraw informatyzacji uznaje - w drodze decyzji - dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. W przypadku wszczęcia postępowania w sprawie uznania za dostawcę wysokiego ryzyka z urzędu, minister właściwy do spraw informatyzacji, przed rozstrzygnięciem sprawy zasięga opinii Kolegium, która powinna uwzględniać m.in. wyżej przywołane kryteria nietechniczne. Dla porównania, regulacja niemiecka nie dopuszcza ingerencji organów publicznych, kształtując regulacje rynku poprzez odwołanie się wyłącznie do kryteriów technicznych. Warto zwrócić uwagę także na projektowany art. 66a ust. 10, na mocy którego minister właściwy do spraw informatyzacji może odstąpić od sporządzenia uzasadnienia decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, w części dotyczącej uzasadnienia faktycznego, a także na art. 66 d ust. 2 i 3 UKSC, który ogranicza zakres doręczanego uzasadnienia wyroku sądu administracyjnego oraz wyłącza możliwość wstrzymania natychmiastowej wykonalności decyzji o uznaniu dostawcy usług za podmiot wysokiego ryzyka. Rządowe Centrum Legislacji zwraca uwagę, że przepisy wymagają ponownej analizy w zakresie spójności z regulacjami ustawy - Prawo o postępowaniu przed sądami administracyjnymi i ustawą o ochronie informacji niejawnych. Z uwagi na prawo do rzetelnego postępowania, strona nie powinna być ograniczona w samym dostępie do uzasadnienia rozstrzygnięcia podejmowanego przez sąd, aby mieć możliwość ich zaskarżenia. Pozostawienie regulacji w obecnym kształcie może doprowadzić do sporu przed Europejskim Trybunałem Sprawiedliwości ze względu na sprzeczność takiej regulacji z prawem UE (np. art. 41 ust. 1 - 2 Karty Praw Podstawowych Unii Europejskiej). Na koniec warto wskazać, że zmiany wprowadzone w projekcie UKSC ze stycznia 2021 roku w dużej mierze nie uwzględniają uwag, które zgłoszone zostały w odniesieniu do projektu UKSC z września 2020 roku. W konsekwencji Rządowe Centrum Legislacji w piśmie z dnia 27 stycznia 2021 roku wskazuje, że w związku ze zmianą zakresu projektu UKSC ze stycznia 2021 powinien on podlegać ponownie procesowi uzgodnień, konsultacji i opiniowania" - podsumowała Wilczyńska-Baraniak.