Ustawa o działaniach antyterrorystycznych zmienia między innymi przepisy ustawy Prawo telekomunikacyjne wprowadzając deanonimizację przedpłaconych kart telefonicznych. Ustawa, która miała chronić państwo prze działaniami terrorystów wprowadziła chaos. „Czarny rynek” sprzedaży kart SIM, nadmierna chęć pozyskania danych przez operatorów, możliwość rejestracji kart poza systemem. Te wszystkie problemy mogą oznaczać początek kłopotów abonentów.
Bezwzględnie musimy pamiętać, że operator nie ma prawa kserować dowodu osobistego abonenta, jeśli nie ma podstawy prawnej do pozyskiwania wszystkich danych zawartych w dowodzie osobistym.
Kopiowanie dokumentów jest czynnością techniczną, która ze swojej istoty nie jest zakazana przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Z punktu widzenia przepisów tej ustawy istotne jest bowiem, aby podmiot, który czynności tej dokonuje, legitymował się jedną z przesłanek legalności przetwarzania, w tym gromadzenia danych osobowych, które dla danych tzw. zwykłych (jak np. imię, nazwisko, adres zamieszkania, numer PESEL) określone zostały w art. 23 ust. 1 pkt 1-5.
- Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z 19 grudnia 2001 r. (sygn. akt II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną; posługiwanie się taką czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania). Najważniejszy jest bowiem zakres danych, jakie się przy tym pozyskuje, co często uregulowane jest w innych, niż ustawa o ochronie danych osobowych, przepisach prawa – informuje Agnieszka Popławska, prawnik Federacji Konsumentów.
Zakres danych o użytkowniku, jaki przetwarzać mogą dostawcy usług telekomunikacyjnych, określają przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 161 ust. 2). Zgodnie natomiast z ust. 3 niniejszego artykułu, oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.
Jeśli zatem dostawca usług telekomunikacyjnych, kopiując dowód osobisty, pozyskuje np. wizerunek, do przetwarzania, którego nie upoważniają ją przepisy prawa, wówczas na takie postępowanie ma obowiązek uzyskać zgodę osoby, której dane dotyczą.
Rejestracja kart prepaid: Czy sprzedawca może odmówić klientowi takiej operacji?
- Rejestrację kart trudno jest ocenić jednoznacznie. Z jednej strony w wielu krajach UE taki obowiązek wprowadzony został już jakiś czas temu i ani nie został odebrany, jako naruszenie wolności obywatelskiej, ani proces rejestracji nie wygenerował dodatkowych problemów. Z drugiej strony rejestracja kart Prepaid wynikająca z „ustawy antyterrorystycznej” została wprowadzona w jakimś celu i obawiam się, że celu tego nie spełni. W Internecie można znaleźć liczne strony internetowe gdzie odbywa się handel takimi zarejestrowanymi kartami, bez trudu również uda się zarejestrować kartę za parę złoty na dane pana pod sklepem- zauważa Agnieszka Popławska, prawnik Federacji Konsumentów.
Federacja Konsumentów natomiast dostrzega zagrożenie w zupełnie innym miejscu. Chodzi o profesjonalizm, a właściwie często brak profesjonalizmu przedstawicieli handlowych operatora. - Dotychczas problemy niepożądanej zmiany operatora telekomunikacyjnego dotyczyły jedynie telefonii stacjonarnej. Kurier przywoził do podpisania staruszce umowę twierdząc, że jest przysłany od dotychczasowego operatora, a konsumentka w rezultacie zmieniała podmiot świadczący usługi. Mieliśmy jedno zgłoszenie gdzie konsument dowiedział się przy rejestracji, że jego numer już został na kogoś zarejestrowany. W sytuacji rejestracji kart prepaid gdzie pozyskiwane dane są bardzo ograniczone (imię, nazwisko i PESEL lub numer dowodu) pracownicy operatora mogą mieć dostęp do niezarejestrowanych jeszcze kart SIM i samodzielnie zarejestrować karty. Konsument może także udostępnić dane operatorowi A, a wskutek rotacji pracowników, karta za jakiś czas może zostać zarejestrowana u operatora B. Każdy taki przypadek należy bezwzględnie zgłaszać organom policji. Podobnie jest w przypadku zgubienia czy kradzież telefonu – dodaje Popławska.
To o czym powinni jeszcze pamiętać konsumenci to ważność kart. Numery niezarejestrowane do 1.02.2017 r. zostaną wyłączone, a doładowane środki przepadną. Także dokonując teraz doładowania co prawda ważność konta przedłużona zostaje o rok, ale w rezultacie konsument skorzysta z usługi tylko przez 5 miesięcy. Także albo należy zarejestrować kartę już teraz bez kolejek i obawy, że w styczniu o tym zapomniemy albo doładowywać ją mniejszymi nominałami tak, aby po wyłączeniu karty nie żałować nieskonsumowanych środków.
Komentarz eksperta
Artur Piechocki, radca prawny w APLaw, specjalista prawa Internetu i nowych technologii.
Deanonimizacja przedpłaconych kart telefonicznych niesie za sobą poważne skutki
Warto przede wszystkim pamiętać, że przyjęte w „ustawie antyterrorystycznej” rozwiązanie nie jest nowością w Europie. Zgodnie z uzasadnieniem tej ustawy ograniczenia w zakresie możliwości nabycia anonimowych kart przedpłaconych w punktach obsługowych dostawców usług telekomunikacyjnych istnieją m.in. w Niemczech, Wielkiej Brytanii, Hiszpanii, Bułgarii czy na Węgrzech. Rozważane jest wprowadzenie obowiązku rejestracji kart pre-paid na Słowenii i w Chorwacji. Pomimo przyjęcia w poszczególnych krajach różnych rozwiązań, celem w każdym przypadku jest możliwość zidentyfikowania danych osobowych osoby, która zawarła umowę o korzystanie z usług telekomunikacyjnych, do których dostęp umożliwia karta. Identyfikacja może sprzyjać utrudnieniu posługiwania się przez tzw. zagranicznych bojowników usługami telekomunikacyjnymi w celach terrorystycznych, nie zaś wykluczeniu takiej możliwości, jak słusznie podkreślają organizacje pozarządowe. Nawet takie utrudnienie stanowi jednak krok w kierunku zabezpieczenia przed działaniami terrorystycznymi gorzej „zorganizowanych” bojowników.
Sama ustawa antyterrorystyczna wraz z Prawem telekomunikacyjnym nie rozwiązują wszystkich kwestii praktycznych związanych z deanonimizacją przedpłaconych kart telefonicznych. Wśród najważniejszych warto zwrócić uwagę, za Generalnym Inspektorem Ochrony Danych Osobowych, na nadal powszechną i naganną praktykę kopiowania i przechowywania kopii dokumentów tożsamości. Weryfikacja danych znajdujących się w tych dokumentach nie wymaga ich kopiowania i przechowywania przez dostawców usług telekomunikacyjnych, szczególnie w sytuacji, gdy dokumenty te zawierają dane zbędne z punktu widzenia ustawy anyterrorystycznej, np. fotografia.
Inny, poważny skutek praktyczny ustawy antyterrorystycznej, zamieszczono w jej art. 60, czyli w przepisach przejściowych. Zgodnie z tym przepisem do 1 lutego 2017 r. abonenci usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy antyterrorystycznej, są obowiązani do podania dostawcy usług przedpłaconych danych, o których powyżej i potwierdzenia ich w opisany tam sposób. W razie niewykonania tych obowiązków dostawca usług przedpłaconych w publicznej sieci telekomunikacyjnej zaprzestaje świadczenia tych usług. Innymi słowy, niezweryfikowanie danych prowadzić będzie do braku możliwości korzystania z usług danego dostawcy usług. Kwestia ta jest szeroko komentowana w mediach z uwagi na intensywne działania marketingowe dostawców usług telekomunikacyjnych, próbujących pozyskać możliwie dużą liczbę użytkowników kart przedpłaconych, którzy będą zmuszeni do podania swoich danych jednemu z dostawców usług.
Zaprzestanie świadczenia usług telekomunikacyjnych w razie niespełnienia warunków wymaganych przez nowe przepisy wiązać się będzie z utratą środków znajdujących się na kartach przedpłaconych. Problem ten jednak nie powinien być wiązany wyłącznie z omawianą zmianą w prawie, bowiem zwracała na niego uwagę już Prezes UKE Anna Streżyńska (obecnie Minister Cyfryzacji). Warto o tym pamiętać rozważając zawarcie umowy z nowym dostawcą usług telekomunikacyjnych.
Rejestracja kart prepaid: Oto, jakie promocje przygotowali operatorzy
Warto przyjrzeć się jak w praktyce wygląda deanonimizacja przedpłaconych kart telefonicznych:
Zgodnie z nowym art. 60b Prawa telekomunikacyjnego abonent, z wyłączeniem abonenta korzystającego z publicznie dostępnych usług telefonicznych świadczonych za pomocą aparatu publicznego lub przez wybranie numeru dostępu do sieci dostawcy usług oraz abonenta usług przedpłaconych polegających na rozpowszechnianiu lub rozprowadzaniu programów telewizyjnych drogą naziemną, kablową lub satelitarną, będzie zobowiązany do podania dostawcy usług następujące dane:
1) w przypadku abonenta będącego osobą fizyczną:
a) imię i nazwisko,
b) numer PESEL, jeżeli go posiada, albo nazwę, serię i numer dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu;
2) w przypadku abonenta niebędącego osobą fizyczną:
a) nazwę,
b) numer identyfikacyjny REGON lub NIP lub numer w Krajowym Rejestrze Sądowym albo ewidencji działalności gospodarczej, lub innym właściwym rejestrze.
Abonent podaje powyższe dane przy zawieraniu umowy w formie pisemnej lub elektronicznej. Abonent będący stroną umowy o świadczenie usług przedpłaconych w publicznej sieci telekomunikacyjnej podaje dane dostawcy usług. Dane mogą być podane również drogą elektroniczną albo w inny sposób określony przez dostawcę tych usług.
Dostawca usług rozpoczyna świadczenie usług telekomunikacyjnych dopiero po potwierdzeniu zgodności podanych przez abonenta danych z danymi zawartymi w dokumencie potwierdzającym tożsamość abonenta będącego osobą fizyczną, a w przypadku abonenta niebędącego osobą fizyczną, danymi zawartymi we właściwym rejestrze. Natomiast w przypadku potwierdzenia danych drogą elektroniczną możliwe jest wykorzystanie:
a) środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym banku krajowego,
b) danych weryfikowanych za pomocą bezpiecznego podpisu elektronicznego weryfikowanego za pomocą ważnego kwalifikowanego certyfikatu,
c) środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym dostawcy usług telekomunikacyjnych, jeżeli dane abonenta zostały już zweryfikowane w związku z inną umową,
d) środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym ePUAP.
Potwierdzenia dostawca usług może dokonać również za pośrednictwem osoby trzeciej działającej w imieniu dostawcy usług.