A może outsourcing?

Na mocy ustawy obowiązek retencji może być przekazany stronie trzeciej - wyspecjalizowanemu w tym zakresie podmiotowi. Jednakże w tej samej ustawie znajduje się zapis o potrzebie udostępniania tych danych przez samego operatora. Taki stan rzeczy może prowadzić do sytuacji, w której zajmujący się retencją podmiot nie będzie mógł wydać danych bez każdorazowego zezwolenia swojego kontrahenta. Niejednoznaczne zapisy ustawy prawdopodobnie utrudnią oferowanie usług w trybie managed service wielu podmiotom, posiadającym odpowiednie do tego typu operacji zaplecze technologiczne. Pojawiają się też wątpliwości związane ze statusem firmy, której może zostać powierzona funkcja retencjonowania.

W nowelizacji ustawy Prawo Telekomunikacyjne, przyjętej 24 kwietnia 2009 roku widnieje zapis, iż obowiązek retencji może zostać powierzony na mocy umowy innemu przedsiębiorcy telekomunikacyjnemu. Wymóg posiadania przez usługodawców owego statusu może spowodować, iż część z nich będzie pozbawiona możliwości świadczenia tego typu usług. W myśl obecnej ustawy przedsiębiorcy telekomunikacyjni będą mogli wspólnie realizować obowiązek gromadzenia, zabezpieczania i udostępniania danych. Mogą także wspólnie zlecić wykonywanie tego typu usług innemu przedsiębiorcy telekomunikacyjnemu, wyspecjalizowanemu w ich świadczeniu.

Potrzeba dialogu

Niepokoje towarzyszące powstawaniu dyrektywy wymogły na ustawodawcy

przeprowadzenie konsultacji społecznych na temat zasadności wprowadzania takich rozwiązań. Obecnie retencji podlegają dane dotyczące ruchu, tzw. traffic data, które pozwalają na określenie użytkowników łącznie z ich geograficzną lokalizacją, a także określające sposób korzystania z danej usługi oraz czasy trwania połączeń. Tak więc, dyrektywa 2006/24/WE odnosi się do danych powstałych w wyniku usługi z zakresu łączności, a nie do samej treści komunikatów. Po upływie dwóch lat przedsiębiorca telekomunikacyjny jest zobowiązany do usunięcia lub anonimizacji przechowywanych danych.

Anonimizacja, czyli pozbawienie danych cech danych osobowych, uniemożliwiające identyfikację osoby fizycznej, wydaje się nie mieć racjonalnego uzasadnienia. Dla operatorów retencjonowane dane nie mają aż tak dużego znaczenia - w przeciwnym wypadku już dawno by je składowali, a sam proces pozbawiania ich znamion danych osobowych jest dość ogólnikowo określony, co może rodzić możliwość nadużyć w tym zakresie.

Zgodność z prawem

Choć organy państwowe zapewniają, iż pracowały nad ustawą wsłuchując się w głos podmiotów telekomunikacyjnych, to nadal istnieje wiele niedomówień. Przedsiębiorcy telekomunikacyjni mają trudności z uzyskaniem konkretnych informacji, szczególnie tych, odnoszących się do technicznego rozwiązywania problemów retencji. W przypadku szumu informacyjnego i ogólnej niepewności

związanej z implementacją regulacji retencyjnych, przedsiębiorcy są zdani sami na siebie.

Niektóre firmy utworzyły punkty informacyjne dla przedsiębiorstw zobowiązanych do retencji danych na mocy ustawy. Zadaniem tej inicjatywy jest umożliwienie uzyskania aktualnej i rzetelnej informacji o obowiązkach wynikających z ustawy i technicznych sposobach ich realizacji. Szeroko konsultowane z UKE zagadnienia prawne pozwalają na opracowywanie rozwiązań oraz metod ich technicznej realizacji dla wszystkich zainteresowanych podmiotów.

Aleksandra Koralewska jest konsultantem IT w Verax Systems.