21 stycznia opublikowany został nowy, poprawiony projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne. To zmiany wypracowane m.in w wyniku konsultacji publicznych...
...i to bardzo intensywnych. Nieczęsto się zdarza, że do projektu nowelizacji ustawy zgłaszane jest 750 uwag przez 114 różnych podmiotów. To pokazuje, że temat jest bardzo ważny, a jednocześnie, że zaproponowane w nowelizacji zmiany budzą ogromne kontrowersje.
Głośno było zwłaszcza o kryteriach, według których dostawca sprzętu i oprogramowania mógł zostać wykluczony z polskiego rynku, co w rezultacie ograniczyłoby możliwość działania w Polsce firm pochodzących z Chin.
Tak, projektowane przepisy w tym zakresie jednak tylko symbolicznie złagodzono (przyp. red. w pierwszej wersji nowelizacji ustawy proponowano, by wykluczyć współpracę z firmami, które pochodzą z państw, których prawodawstwo uderza w prawa obywatelskie i prawa człowieka, co mogło sprawić, że chińskie firmy uznawane byłyby za dostawcę wysokiego ryzyka) i uzupełniono ocenę dostawców o kilka innych aspektów. Ale to wciąż bardzo niejasne postanowienia, które z pewnością będą wywoływać problemy interpretacyjne. Uważam, że przy ocenie ryzyk związanym z danym dostawcą, podobnie jak w innych krajach, takich jak np. Niemcy, powinniśmy brać pod uwagę przede wszystkim kryteria techniczne, przykładowo powinien być stosowany mechanizm certyfikacji.
To sprawiłoby, że proces ten byłby znacznie bardziej przejrzysty i budziłby mniej kontrowersji.
Ale, zawsze firma, która niepomyślnie przejdzie ten proces i zostanie uznana za dostawcę wysokiego ryzyka, a co za tym idzie nie będzie mogła dostarczać swojego sprzętu czy usług, będzie czuła się pokrzywdzona.
Pewnie tak. I tu pojawia się kolejny poważny mankament tej poprawionej wersji ustawy. Choć do obecnej wersji wprowadzono przepis, który określa zasadę, że do postępowania w sprawie oceny dostawcy stosuje się przepis kodeksu postępowania administracyjnego, to jednocześnie wprowadzono wiele wyjątków od tej zasady. Powodują one, że podmiot, którego będzie dotyczyć rozstrzygnięcie, będzie miał ograniczone możliwości skorzystania z przysługujących mu praw. Przykładem może być choćby przepis umożliwiający wydanie decyzji o tym, że dostawca jest wysokiego ryzyka, bez jej uzasadnienia. Trudno się w takiej sytuacji odwoływać, skoro nie zna się powodów takiej decyzji. Inny przykład to możliwość wyznaczenia niejawnego posiedzenia sądu administracyjnego w tej sprawie. W jaki sposób będzie mógł się bronić dostawca, skoro nawet nie będzie mógł uczestniczyć w rozpoznawaniu jego sprawy przez sąd. Kwestie te muszą zostać odpowiednio uregulowane, gdyż w przeciwnym razie przepisy te mogą zostać uznane za naruszające prawo do rzetelnego procesu i odwołania się do sądu.
A jak nowe przepisy mają się do uregulowań międzynarodowych?
Przede wszystkim, projekt ten powinien zostać notyfikowany do Komisji Europejskiej. Obowiązek ten wynika z rozporządzenie Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych. Zakładam, że obowiązek ten zostanie jeszcze zrealizowany. Zwracałem już wcześniej uwagę, że rozwiązania w zakresie prowadzenia postępowania w sprawie oceny dostawcy sprzętu telekomunikacyjnego, to jest liczne ograniczenia praw uczestników tego postępowania, z pewnością będą budzić wątpliwości z punktu widzenia Europejskiej Konwencji Praw Człowieka czy Karty Praw Podstawowych Unii Europejskiej, która stanowi, że „każdy jest równy wobec prawa” oraz zabrania się „wszelkiej dyskryminacji ze względu na narodowość”. Z pewnością mogą się także pojawić problemy z przestrzeganiem Traktatu o Funkcjonowaniu Unii Europejskiej, który zakazuje przykładowo ograniczania swobody przedsiębiorczości. Wreszcie przewidziane w Projekcie rozwiązania w zakresie możliwości wykluczenia z polskiego rynku niektórych dostawców produktów i usług ICT, budzą poważne zastrzeżenia, gdy chodzi o realizację zobowiązań Polski wynikających z przepisów prawa międzynarodowego, w szczególności Porozumienia o Wolnym Handlu GATT, a także bilateralnych porozumień inwestycyjnych (BIT).
Czyli, choć ten projekt uwzględnia niektóre zmiany, jakie zaproponowane były w debacie publicznej, to jest jeszcze wiele do dopracowania?
Tak. Właściwie, to należałoby go uznać nie tyle za kolejną wersję noweli, ale po prostu za nowy projekt. Opublikowany w styczniu dokument zawiera np. cały nowy rozdział – 28 artykułów o certyfikacji. To ważne zagadnienie, ale do tej pory nie były w ogóle dyskutowane publicznie propozycje tych przepisów. Biorąc pod uwagę ilość uwag w pierwszym procesie publicznych konsultacji, uznać należy za konieczne przeprowadzenie drugiej tury takich konsultacji. Temat jest ważny i trzeba do niego podejść bardzo odpowiedzialnie.
Prof. dr hab. Maciej Rogalski – wykładowca Uczelni Łazarskiego. Od 2018 roku pełni funkcję rektora Uczelni Łazarskiego. Wspólnik w kancelarii prawnej Rogalski i Wspólnicy. Specjalizuje się w prawie karnym oraz regulacjach sektorowych, w szczególności prawie telekomunikacyjnym.
