Uwagi do projektu zmiany ustawy o nadzorze nad rynkiem finansowym oraz niektórych innych ustaw (UD265)

I. Termin wejścia w życie projektowanych przepisów

W pierwszej kolejności zawracamy uwagę, iż projektowany 14-dniowy termin wejścia w życie projektowanych zmian, o którym mowa w art. 7 projektu, jest stanowczo zbyt krótki dla praktycznego wdrożenia i uruchomienia mechanizmów nakładających na dostawców usług telekomunikacyjnych obowiązek blokowania domen internetowych, wpisanych przez Komisję Nadzoru Finansowego (dalej: KNF) do rejestru stanowiącego część listy ostrzeżeń publicznych KNF („Rejestr Finansowy").

W związku z powyższym zawracamy uwagę na konieczność zmiany art. 7 projektu w taki sposób, aby przepisy dotyczące blokowania domen internetowych wpisanych do Rejestru Finansowego wchodziły w życie w terminie 6 miesięcy od dnia ogłoszenia.

Postulowany okres jest niezbędnym minimum nie tylko dla dostawców usług telekomunikacyjnych, ale jak się wydaje również dla KNF na przeprowadzenie technicznych ustaleń i prac wdrożeniowych, niezbędnych do uruchomienia Rejestru Finansowego w praktyce. Rejestr Finansowy ma być rozwiązaniem teleinformatycznym, umożliwiającym automatyczne przekazywanie przedsiębiorcom telekomunikacyjnym świadczącym usługi dostępu do sieci Internet informacji o zastrzeżonej domenie internetowej. Bez względu na projektowane przepisy zawracamy uwagę, że praktyczne uruchomienie Rejestru Finansowego, integracja systemów przedsiębiorców telekomunikacyjnych z Rejestrem Finansowym oraz blokowanie dostępu do domen wpisanych do Rejestru Finansowego będzie wymagało szczegółowych ustaleń technicznych pomiędzy przedsiębiorcami telekomunikacyjnymi a KNF.

Analogiczna sytuacja miała miejsce w przypadku praktycznego uruchomienia Rejestru Domen Służących do Oferowania Gier Hazardowych Niezgodnie z Ustawą („Rejestr Hazardowy"), uruchomionego 1 kwietnia br. na podstawie nowelizacji ustawy z dnia 19 listopada 2009 r. o grach hazardowych, co było poprzedzone długotrwałymi pracami wdrożeniowymi i przygotowawczymi, zarówno po stronie przedsiębiorców telekomunikacyjnych, jak i Ministerstwa Finansów. Podkreślić należy, iż Rejestr Finansowy ma być rejestrem odrębnym od Rejestru Hazardowego (co również nie jest w naszej opinii rozwiązaniem optymalnym, o czym szerzej w dalszych uwagach). Tym samym nie jest uprawniony wniosek, iż funkcjonowanie Rejestru Hazardowego oznacza, że Rejestr Finansowy można uruchomić  w 14 dni. Owszem, wcześniej zdobyte doświadczenia mogą być do pewnego stopnia pomocne, nie zmienia to jednak faktu, że uruchomienie Rejestru Finansowego będzie wymagało odrębnych prac wdrożeniowych, które z technicznego punktu widzenia będą musiały być prowadzone w ścisłej współpracy z KNF. W naszej ocenie przeprowadzenie takich prac wdrożeniowych (których nie można prowadzić tylko na podstawie projektu ustawy, która będzie się zmieniała w toku prac legislacyjnych) w terminie 14 dni jest nierealne zarówno dla przedsiębiorców telekomunikacyjnych jak i KNF. W opinii Konfederacji Lewiatan, czas niezbędny na rzetelne przygotowanie i wdrożenie rozwiązań technicznych to 6 miesięcy od dnia wejścia w życie nowych obowiązków.

II. Blokowanie domen internetowych wpisanych do rejestru prowadzonego przez Komisję Nadzoru Finansowego

Konfederacja Lewiatan pragnie zwrócić uwagę, iż projektowany Rejestr Finansowy jest już drugim rejestrem (po Rejestrze Hazardowym), który nakłada na dostawców usług dostępu do sieci Internet obowiązek blokowania domen internetowych, wyłącznie na podstawie rozstrzygnięć administracyjnych, niepodlegających uprzedniej kontroli sądowej. Co więcej, projekt przewiduje, że KNF będzie zamieszczał w Rejestrze Finansowym domeny internetowe, co do których uznaje, iż doszło do naruszenia jednej z wielu ustaw leżących w gestii KNF, jeżeli w ocenie KNF wymaga tego ochrona interesów uczestników rynku finansowego (również w przypadkach, w których KNF nie złożyła zawiadomienia o popełnieniu przestępstwa). W naszej ocenie oznacza to niepokojące upowszechnianie się mechanizmu, który pozwala na blokowanie użytkownikom dostępu do usług świadczonych drogą elektroniczną, w oparciu o niepodlegające uprzedniej kontroli sądowej rozstrzygnięcia administracyjne, co w oczywisty sposób rodzi pytanie o proporcjonalność i adekwatność tych środków w stosunku do praw i swobód obywatelskich, takich jak wolność wypowiedzi, prawo dostępu do informacji czy swoboda działalności gospodarczej.

W opinii Konfederacji środek w postaci blokowania domen internetowych jest rozwiązaniem na tyle dotkliwym dla przedsiębiorców świadczących usługi albo sprzedających towary
w Internecie (blokada domeny de facto uniemożliwia prowadzenie działalności), jak również dla praw obywateli korzystających z usług elektronicznych, iż mechanizmy tego typu powinny być wdrażane tylko i wyłącznie w tych przypadkach, gdy zawiodły wszystkie inne dostępne narzędzia, w tym rozbudowane narzędzia przewidziane w obowiązującym już prawie administracyjnym, karnym czy cywilnym
.

Zwracamy ponadto uwagę, iż w uzasadnieniu do projektu nie wykazano w najmniejszym stopniu, iż obecnie istniejące narzędzia i kompetencje KNF nie pozwalają na skuteczne eliminowanie naruszeń prawa, co uzasadniałoby stworzenie Rejestru Finansowego. Wydaje się wręcz, iż projektodawca uznał, że rozwiązanie w postaci blokowania domen jest uzasadnione, gdyż jest najprostsze z perspektywy organów odpowiedzialnych za egzekwowanie prawa.

Ponadto nie można wykluczyć, iż w niedalekiej przyszłości pojawią się kolejne „resortowe" rejestry (obok działającego już Rejestru Hazardowego i projektowanego Rejestru Finansowego), zarządzane przez kolejne organy albo ministerstwa, co z perspektywy przedsiębiorców telekomunikacyjnych oznaczałoby konieczność kosztownego wdrożenia i integracji z każdym takim rejestrem odrębnie, jak również koszty związane z utrzymaniem komunikacji i funkcjonowania blokad domen wpisywanych do poszczególnych rejestrów. Funkcjonowanie kilku czy kilkunastu niezależnych rejestrów, mających w zasadzie taki sam cel (blokowania domen internetowych), jest również niekorzystne z perspektywy obywateli korzystających z usług dostępu do Internetu, którzy mogą szybko pogubić się w różnych rejestrach.

Mając na względzie powyższe, postulujemy stworzenie jednego, centralnego rejestru, obejmującego wszystkie wymagające zablokowania domeny internetowe, gromadzącego wpisy dodawane przez poszczególne organy czy ministerstwa na podstawie właściwych przepisów resortowych czy sektorowych. Co prawda funkcjonowanie takiego centralnego rejestru nie uchyla wspomnianych wątpliwości co do proporcjonalności i adekwatności mechanizmu blokowania domen z perspektywy praw i swobód obywatelskich, niemniej jednak ułatwiłoby obywatelom i organizacjom pozarządowym monitorowanie skali i konkretnych przypadków wpisania domeny do rejestru, a z perspektywy przedsiębiorców telekomunikacyjnych oznaczałoby znaczne podniesienie efektywności oraz obniżenie kosztów wdrażania i obsługi takiego mechanizmu.

Za stworzeniem rejestru centralnego, w miejsce wielu różnych rejestrów „resortowych", przemawia również fakt, iż istnienie różnych rejestrów, służących takiemu samemu celowi, będzie prowadziło do nieuchronnych konfliktów pomiędzy rejestrami zarówno na poziomie technicznym jak i prawnym, a skala problemów będzie rosła wraz z każdym kolejnym rejestrem. Nie można bowiem wykluczyć, a w zasadzie bardzo prawdopodobnym jest, że wcześniej czy później ta sama domena zostanie wpisana zarówno do Rejestru Hazardowego jak i Rejestru Finansowego, w szczególności, że zarówno obecne jak i projektowane przepisy nie wymagają od organów prowadzących rejestry weryfikacji, czy wpisywana domena nie jest już wpisana
w innym rejestrze.

Wpisanie do dwóch (albo więcej) rejestrów tej samej domeny będzie skutkowało szeregiem poważnych problemów:

1. Systemy teleinformatyczne dostawców usług telekomunikacyjnych będą musiały w jakiś sposób (choć wobec braku odpowiednich przepisów nie wiadomo w jaki) określić pierwszeństwo blokowania domeny z danego rejestru, co może prowadzić do konfliktów systemowych oraz błędów zagrażających stabilności albo szczelności blokad.

2. Przepisy dotyczące Rejestru Hazardowego jak i dotyczące Rejestru Finansowego przewidują, że abonent, który chce uzyskać połączenie z domeną wpisaną do rejestru, ma zostać przekierowany przez przedsiębiorcę telekomunikacyjnego do dedykowanej dla danego rejestru strony internetowej. W przypadku Rejestru Hazardowego ma to być dedykowana strona prowadzona przez Ministerstwo Finansów, a dla Rejestru Finansowego ma to być dedykowana strona prowadzona przez KNF. Jeśli ta sama domena zostanie wpisana do obu rejestrów, nie ma możliwości (ani żadnego uzasadnienia), aby abonenta odesłać jednocześnie do dwóch różnych stron. Co gorsza, zgodnie z przepisami dotyczącymi Rejestru Hazardowego oraz projektowanymi przepisami dotyczącymi Rejestru Finansowego niewywiązanie się przez przedsiębiorcę telekomunikacyjnego z obowiązków dotyczących rejestru zagrożone jest karą do 250 tys. zł, przy czym obowiązek ten obejmuje nie tylko uniemożliwienie dostępu do domeny wpisanej do rejestru, ale również obowiązek przekierowania abonenta do dedykowanej strony. Jak już wskazano powyżej, w przypadku umieszczenia tej samej domeny w dwóch (albo więcej) rejestrach nie ma możliwości przekierowania abonenta jednocześnie do dwóch (albo więcej) stron (co z perspektywy abonenta byłoby działaniem niezrozumiałym i wprowadzającym w błąd). W efekcie może się okazać, że organ kontrolny uzna za naruszenie zagrożone karą fakt, iż abonent został przekierowany tylko do jednej, a nie do drugiej ze stron.

3. Jeszcze większy problem i niedające się usunąć ryzyko regulacyjne dla przedsiębiorców telekomunikacyjnych powstanie, jeśli ta sama domena, pierwotnie wpisana do dwóch (albo więcej) rejestrów zostanie następnie z jednego z rejestrów wykreślona, a pozostanie wpisana w drugim z nich. W takim przypadku przepisy dotyczące rejestru, z którego domena jest wykreślana, będą wymagały od przedsiębiorcy telekomunikacyjnego - pod groźbą kary pieniężnej - zniesienia blokady w terminie 48 godzin od wykreślenia domeny, podczas gdy przepisy dotyczące rejestru, w którym domena dalej pozostaje wpisana, będą wymagały od przedsiębiorcy telekomunikacyjnego - pod groźbą kary pieniężnej - utrzymania blokady dostępu do takiej domeny. Z przyczyn oczywistych nie można dopuścić do przyjęcia rozwiązań prawnych, które nakazują adresatowi normy prawnej sprzeczne i wzajemnie wykluczające się działania, pod groźbą dotkliwej kary pieniężnej.

Kolejną systemową niespójnością - również przemawiającą za stworzeniem jednego rejestru centralnego - pomiędzy przepisami regulującymi działanie rejestrów jest fakt, iż kary pieniężne za naruszenie przez przedsiębiorców telekomunikacyjnych obowiązków związanych z blokowaniem domen wpisanych do rejestru:

  • są nakładane przez Ministra Finansów - w przypadku Rejestru Hazardowego (art. 90 ust. 1 pkt 2 ustawy o grach hazardowych), z uwzględnieniem przesłanek i procedury właściwej dla gier hazardowych;
  • mają być nakładane przez Prezesa Urzędu Komunikacji Elektronicznej - w przypadku Rejestru Finansowego (projektowany nowy art. 209 ust. 1 pkt 22c ustawy Prawo telekomunikacyjne), z uwzględnieniem przesłanek i procedury właściwej dla Prawa telekomunikacyjnego.

Biorąc powyższe pod uwagę, jedynym racjonalnym rozwiązaniem wydaje się stworzenie rejestru centralnego, zastępującego rejestry „resortowe", co pozwoliłoby uniknąć opisanych powyżej problemów wynikających z konfliktów pomiędzy rejestrami. Wydaje się, że taki rejestr centralny - przy wprowadzeniu odpowiednich zmian w ustawie o grach hazardowych oraz projektowanej ustawie o zmianie ustawy o nadzorze nad rynkiem finansowym oraz niektórych innych ustaw - mógłby powstać na bazie działającego już Rejestru Hazardowego.

W przypadku utrzymania koncepcji rejestrów „resortowych", w naszej opinii konieczne jest określenie w projektowanych przepisach reguł kolizyjnych dla przypadków wpisania oraz wykreślenia tej samej domeny w Rejestrze Hazardowym oraz Rejestrze Finansowym.

W tym miejscu pragniemy pokreślić i wyjaśnić, iż postulat stworzenia rejestru centralnego (w miejsce niezależnych rejestrów „resortowych") ma charakter racjonalizatorski i porządkujący i w żaden sposób nie uchyla wcześniej wyrażonych zastrzeżeń dotyczących proporcjonalności, adekwatności oraz zasadności wprowadzania do porządku prawnego mechanizmów nakazujących blokowanie dostępu do treści i usług elektronicznych poprzez blokadę domen internetowych, co jest rozwiązaniem godzącym w prawa i swobody obywatelskie, takie jak wolność wypowiedzi, prawo dostępu do informacji czy swoboda działalności gospodarczej.

III. Uprawnienie Przewodniczącego Komisji Nadzoru Finansowego do żądania danych objętych tajemnicą telekomunikacyjną

Projekt zakłada przeniesienie do ustawy o nadzorze nad rynkiem finansowym normy zawartej obecnie w art. 38 ustawy z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym. Przepis ten upoważnia Przewodniczącego KNF, na potrzeby sprawdzenia, czy zachodzi uzasadnione podejrzenie popełnienie przestępstwa, do żądania od podmiotu świadczącego usługi telekomunikacyjne udostępnienia informacji, stanowiących tajemnicę telekomunikacyjną w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne w zakresie wykazu połączeń telefonicznych lub innych przekazów informacji, dotyczących podmiotu dokonującego czynności faktycznych lub prawnych mających związek z wyjaśnianymi faktami, z uwzględnieniem danych abonenta pozwalających na jego identyfikację, czasu ich dokonania i innych informacji związanych z połączeniem lub przekazem, niestanowiących treści przekazu.

Pragniemy zwrócić uwagę na konieczność doprecyzowania przepisu, który w obecnym kształcie posługuje się pojęciami i terminami niejasnymi, co może rodzić praktyczne problemy z ustaleniem zakresu udostępnianych danych i informacji. Obowiązujący, jak również projektowany przepis, odsyła ogólnie do danych objętych tajemnicą telekomunikacyjną na podstawie ustawy Prawo telekomunikacyjnie, aby następnie wskazać nieprecyzyjnie (bez odnoszenia się do konkretnych przepisów Prawa telekomunikacyjnego), że chodzi o zakres dotyczący wykazu połączeń telefonicznych lub innych przekazów informacji, dotyczących podmiotu dokonującego czynności faktycznych lub prawnych mających związek z wyjaśnianymi faktami, z uwzględnieniem danych abonenta pozwalających na jego identyfikację, czasu ich dokonania i innych informacji związanych z połączeniem lub przekazem, niestanowiących treści przekazu.

W związku z powyższym zwracamy uwagę, iż przepisy Prawa telekomunikacyjnego (dalej: Pt) szczegółowo regulują to, jakie dane przedsiębiorca telekomunikacyjny może gromadzić, jakie dane musi gromadzić i przechowywać (retencja, legal interception) oraz jakie dane musi udostępniać uprawnionym podmiotom. W szczególności Pt definiuje i wskazuje dane objęte tajemnicą telekomunikacyjną (art. 159 Pt), dane dotyczące abonentów będących osobami fizycznymi, które mogą być przetwarzane przez przedsiębiorcę telekomunikacyjnego (art. 161 ust. 1 i 2 Pt), dane objęte tzw. legal interception (art. 179 Pt), zakres danych objętych retencją (art. 180a i art. 180c Pt) oraz udostępnianie poszczególnych kategorii danych uprawnionym podmiotom (art. 180d Pt).

Biorąc pod uwagę niezwykle wrażliwy obszar oraz konieczność minimalizacji udostępnianych danych, zawracamy uwagę na konieczność zmiany brzmienia projektowanego przepisu w taki sposób, aby odsyłał on do konkretnych przepisów ustawy Prawo telekomunikacyjne, co pozwoli uniknąć wątpliwości co do zakresu przekazywanych danych.

Odesłanie do konkretnych przepisów Prawa telekomunikacyjnego jest tym bardziej potrzebne, że projektowany art. 18a ust. 1c pkt 1 w obecnym brzmieniu posługuje się pojęciami wysoce nieprecyzyjnymi. W szczególności wątpliwości budzą sformułowania otwarte, takie jak „inne przekazy informacji", „inne informacje związane z połączeniem lub przekazem, niestanowiące treści przekazu", czy „dane abonenta pozwalające na jego identyfikację" - Prawo telekomunikacyjne nie posługuje się takimi sformułowaniami i terminami, tym samym przy obecnym brzmieniu zarówno obecnie obowiązującego, jak i projektowanego przepisu, ustalenie zakresu udostępnianych danych może być problematyczne.

IV. Ocena Skutków Regulacji

Pomimo, iż projektowana ustawa w zakresie dotyczącym blokowania domen internetowych w sposób oczywisty wpłynie na działalność przedsiębiorców telekomunikacyjnych, punkt 4 OSR („Podmioty, na które oddziałuje projekt") całkowicie pomija przedsiębiorców telekomunikacyjnych.

Również w punkcie 7 OSR („Wpływ na konkurencyjność gospodarki i przedsiębiorczość, w tym funkcjonowanie przedsiębiorców oraz na rodzinę, obywateli i gospodarstwa domowe") brak jest jakichkolwiek informacji (zarówno w ujęciu pieniężnym jak i niepieniężnym) na temat wpływu (niewątpliwie negatywnego) projektowanych rozwiązań nie tylko na przedsiębiorców telekomunikacyjnych, ale na cały sektor przedsiębiorstw.

W związku z powyższym, Konfederacja Lewiatan zwraca uwagę na potrzebę uzupełnienia OSR w punktach 4 i 7 o rzetelną i wyczerpującą ocenę wpływu projektowanych rozwiązań na przedsiębiorców telekomunikacyjnych, uwzględniającą fakt, iż zarówno uruchomienie jak i obsługa rejestru domen blokowanych będą generowały po stronie zobowiązanych przedsiębiorców znaczne koszty, zarówno wdrożeniowe jak i związane z utrzymaniem nowych obowiązków.

 

Konfederacja Lewiatan,  Warszawa, 27  lipca 2017 r.

KL/325/103/1379/ADP