Ochrona danych osobowych w firmie i szkolenia ABI
Koniec anonimowych abonentów pre-paid

Koniec anonimowych abonentów pre-paid

sim

Od 01 lipca br. weszły w życie przepisy Ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych. Co ważne przepisy wskazanej ustawy nie odnoszą się jedynie do zadań służb (w szczególności Agencji Bezpieczeństwa Wewnętrznego) w zakresie przeciwdziałania aktom terroryzmu, ale wprowadzają również liczne zmiany w innych aktach prawnych m.in. w Ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

W treści wpisu nie będę analizował całości Ustawy o działaniach antyterrorystycznych, odniosę się jedynie do regulacji zawartej w art. 43, która znowelizowała przepisy Ustawy Prawo telekomunikacyjne (przepis art. 43 wszedł w życie 25 lipca br.).

Podstawa nowelizacji

Kontekst zmian był jednoznaczny – zwiększenie efektywności wykrywania przez służby przestępstw. Nie ma co ukrywać, że udostępnianie oraz analiza wykazu połączeń czy monitorowanie logowań kart jest  jedną z najtańszych i najbardziej wykorzystywanych metod operacyjnych, dlatego jakość bazy z której korzystają służby odgrywa tutaj kolosalną rolę wobec efektywności tej metody. W uzasadnieniu nowelizacji wskazano, że:

„anonimowość tzw. przedpłaconych kart telefonicznych (pre-paid) dostarcza – jak pokazują przypadki krajowe i zagraniczne – przestępcom, w tym osobom zaangażowanym w działalność terrorystyczną, dogodnego narzędzia do komunikowania się i kamuflażu”

Było od początku wiadome, że wprowadzone na gruncie regulacji zmiany, szczególnie uzasadnione potrzebą efektywnego działania służb w przedmiocie wykrywania i reagowania na akty terroryzmu, mają wpłynąć na poziom wykrywalności odpowiedzialnych podmiotów w zakresie innych kategorii przestępstw, tam gdzie komunikacja z użyciem pre-paid pozwalała zachować osobom dokonującym czynów sprzecznych z prawem pełną anonimowość. Wprowadzając wymóg podania danych przez abonenta warunkując tym samym możliwość skorzystania przez niego z pre-paid ustawodawca upiekł kilka pieczeni na jednym ogniu, a służby zyskały potężne narzędzie umożliwiające dostęp do bardzo dużej ilości informacji o abonencie – dotąd anonimowym.

Zakres nowelizacji – art. 60b

W Ustawie Prawo telekomunikacyjne nie zmieniono żadnego przepisu, dodano natomiast art. 60b oraz art. 179 ust. 9a. Artykuł 60b reguluje cały proces pobierania przez dostawcę usług danych osobowych od „abonenta korzystającego z publicznie dostępnych usług telefonicznych (…) oraz abonenta usług przedpłaconych polegających na rozpowszechnianiu lub rozprowadzaniu programów telewizyjnych drogą naziemną, kablową lub satelitarną” .

Co do artykułu 179 ust. 9a to określa on zasady udostępniania przez Prezesa Urzędu Komunikacji Elektronicznej informacji o przeniesionych numerach zawartych w bazie danych numerów z planu numeracji krajowej dla publicznych sieci telekomunikacyjnych m.in Policji, Straży Granicznej, ABW, Służbie Kontrwywiadu Wojskowego, Żandarmerii Wojskowej oraz CBA.

Wymogi aktywacji usługi

Nabyta od 25 lipca br. karta pre-paid (co do zasady również karta nabyta przed tą datą i niezalogowana wcześniej do sieci) nie będzie (a przynamniej nie powinna) umożliwiać korzystania z usług oferowanych przez ich dostawcę. Świadczenie usług będzie możliwe dopiero po przeprowadzeniu całego procesu jej aktywacji, który opisuje nowelizacja, czyli:

  1. Podanie odpowiednich danych
  2. Potwierdzeni zgodności danych
  3. Aktywacja usługi

Podanie danych osobowych

Zgodnie z art. 60b ust. 1 Abonenci usług przedpłaconych aby móc skorzystać z pre-paid są zobowiązani podać ich dostawcy następujące dane:

Abonent – osoba fizyczna:

  • imię i nazwisko
  • numer PESEL (jeżeli go posiada), albo
  • nazwę, serię i numer dokumentu potwierdzającego tożsamość (obywatel państwa członkowskiego UE), albo
  • numer paszportu lub karty pobytu (osoba, która nie jest obywatelem państwa członkowskiego UE albo Konfederacji Szwajcarskiej)

Abonent – osoba niebędąca osobą fizyczną:

  • nazwę
  • numer identyfikacyjny (REGON, NIP, KRS, z ewidencji działalności gospodarczej lub z innego właściwego rejestru)

Jak stanowi przepis „Abonent będący stroną umowy o świadczenie usług przedpłaconych w publicznej sieci telekomunikacyjnej podaje dane dostawcy usług” – oznacza to tyle, że nie określono w tym miejscu szczególnej formy, ani wymaganego momentu podania danych przez klienta usług przedpłaconych, a jedynie odbiorcę tych danych. Może wydaje się to nielogiczne, ale na gruncie zasad możliwości rozpoczęcia świadczenia usług rozwiązanie to jest idealne.

Potwierdzenie zgodności danych i aktywacja usługi

Rozpoczęcie świadczenia usług świadczonych z wykorzystaniem pre-paid jest uzależnione od podania przez abonenta danych oraz potwierdzenia ich zgodności z danymi:

  • zawartymi w dokumencie potwierdzającym tożsamość abonenta będącego osobą fizyczną
  • zawartymi we właściwym rejestrze – w przypadku abonentów niebędących osobą fizyczną

Wobec powyższego to na abonencie, który chce korzystać z pre-paid spoczywa obowiązek rejestracji SIM i podania danych, dostawca usług musi jedynie zagwarantować właściwość procesu weryfikacji danych, aktywacji karty i prowadzenia odpowiedniej bazy abonentów, a także wywiązać się z obowiązku zakazu świadczenia usług z wykorzystaniem pre-paid wobec abonenta, który nie przeprowadził procesu podania danych i rejestracji karty w odpowiednim terminie (abonenci którzy zawarli umowę o korzystanie z pre-paid przed 25 lipca br. mają czas na podanie danych do 01.02.2017 r. inaczej dostawca zaprzestanie świadczenia im usług).

Proces w swoich założeniach jest prosty, a jednak jego techniczne rozwiązanie wcale już takie proste nie jest. Co do zasady wyróżnię 2 podstawowe metody potwierdzania danych i ich weryfikacji tj. tradycyjna np. w trakcie wizyty w punkcie sprzedaży produktów operatora (autoryzowany bądź nie), gdzie abonent okazuje dokument tożsamości w celu weryfikacji podanych danych oraz elektroniczna z wykorzystaniem:

  1. środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym banku krajowego (podobnie jak program 500+)
  2. danych weryfikowanych za pomocą bezpiecznego podpisu elektronicznego weryfikowanego za pomocą ważnego kwalifikowanego certyfikatu
  3. środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym dostawcy usług telekomunikacyjnych, jeżeli dane abonenta zostały już zweryfikowane w związku z inną umową
  4. środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym, który spełnia wymagania określone w przepisach wydanych na podstawie art. 20a ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

Każda z tych metod ma swoje plusy i minusy. Tradycyjne gwarantują większą dostępność dla klienta, są szybkie i pewne bo dane otrzymuje bezpośrednio Operator, który przy ich weryfikacji w założeniu posługuje się osobami posiadającymi odpowiednie kompetencje i przeszkolenie (teoretycznie również w zakresie ochrony danych osobowych), które posiadają stosowne upoważnienie do przetwarzania danych bezpośrednio od ich administratora (operatora). Kolejną zaletą tradycyjnej formy jest to, że rejestracja SIM może realnie być impulsem do skorzystania przez abonenta z innej oferty operatora np. zawarcia umowy abonamentowej. Minusem z kolei może okazać się to, że operatorzy istotnie ograniczają sobie dostęp do klienta – przecież abonenci to też osoby mieszkające lub podmioty posiadające siedzibę w miejscach gdzie nie ma autoryzowanego punktu sprzedaży operatora więc w przypadku takiej kategorii klientów dobrym rozwiązaniem byłoby stosowanie metod elektronicznych lub skorzystanie z pośrednictwa osoby trzeciej działającej w imieniu dostawcy usług. Moim zdaniem metody elektroniczne wskazane powyżej w zakresie pkt 1-4 nie spełnią potrzeb operatorów szczególnie w aspekcie ilości kart niezbędnych do rejestracji (szacunkowo ok. 20 mln kart bez uwzględnienia kart dostawców programów telewizyjnych) – pomimo tego, że wydaja się od strony technicznej najbezpieczniejsze. Najbardziej efektywnymi metodami elektronicznymi mogą  się okazać: metoda wykorzystania środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym banku krajowego (podobnie jak miało to miejsce przy realizacji programu „500+”) oraz metoda z wykorzystaniem środków identyfikacji elektronicznej służących do uwierzytelniania w systemie teleinformatycznym dostawcy usług telekomunikacyjnych, jeżeli dane abonenta zostały już zweryfikowane w związku z inną umową. Metody te tak naprawdę będą bazować na danych już zgromadzonych w posiadanych bazach (banku oraz dostawcy).

Pośrednictwo osoby trzeciej w imieniu dostawcy usług

Pole dodatkowych możliwości daje forma potwierdzenia danych za pośrednictwem osób trzecich działających w imieniu dostawcy, która powinna odnieść skutek wobec abonentów którzy nie korzystają np. z usług bankowości online, nie mają możliwości lub posiadają utrudniony dostęp do salonu sprzedaży operatora albo też nigdy nie udostępniali swoich danych operatorowi.

Chciałbym się skupić na tym kanale rejestracji kart pre-paid bo wydaje się być najbardziej ciekawy ze względu na fakt, że nie ma gotowych rozwiązań dla tej formy (poza autoryzowanymi sieciami operatorów). Jak wynika z poprzednich informacji w zakresie ilości kart pre-paid skala możliwości skorzystania z tego kanału jest ogromna. Co więcej mając na uwadze stworzenie bezpiecznych i pewnych rozwiązań przy uregulowaniu odpowiedniego procesu zarządzania bezpieczeństwem informacji na linii operator – osoba trzecia, będzie dla abonentów najprostszym i najszybszym rozwiązaniem. Wyobraźmy sobie sytuację, że kupując kartę pre-paid w sieciowym sklepie mamy jednocześnie możliwość jej rejestracji jak w salonie operatora. Prosto, szybko bez konieczności stania w kolejce w salonie operatora albo logowania się do serwisu bankowości online. Konieczne do tego celu jest jednak stworzenie bezpiecznej infrastruktury informatycznej umożliwiającej szybki transfer danych abonenta do bazy operatora w łatwej i bezpiecznej pod względem technicznym formie, możliwej do wykorzystania np. na stacji paliw czy w kiosku.

Wiem, że takie rozwiązania są przygotowywane i w najbliższym czasie powinny być dostępne. Kluczem do właściwości tej formy będzie odpowiedni sposób weryfikacji i ochrony danych, a więc przygotowanie osób trzecich w zakresie przestrzegania zasad bezpieczeństwa oraz poufności danych zgodnie z przepisami Ustawy o ochronie danych osobowych.

Prawo, a rzeczywistość

Przygotowując wpis natrafiłem na bardzo ciekawy artykuł/badanie na portalu Spidersweb.pl autorstwa Mateusza Nowaka. Autor przetestował przygotowanie operatorów i dystrybutorów kart pre-paid do rejestracji i w ogóle świadomości o tym obowiązku. Artykuł pokazuje dokładnie, że operatorzy tak naprawdę poza własnymi kanałami dystrybucji nie są przygotowani do właściwego wypełnienia obowiązków wynikających z nowelizacji ustawy. Co więcej niektóre z zakupionych 25 lipca br. kart były aktywne w dniu ich nabycia bez konieczności rejestracji! Mając to na uwadze należy zaznaczyć, że operatorów czeka dużo pracy w zakresie realizacji zasad obowiązujących od 25 lipca również w stosunku do abonentów, którzy korzystali z kart sim pre-paid przed datą wejścia w życie regulacji.

Swoją drogą szkoda, że nie przeanalizowano przypadku w którym nabyliśmy kartę sim pre-paid przed 25 lipca i skorzystaliśmy z niej (pierwsze uruchomienie w urządzeniu czyli de facto zawarcie umowy o świadczenie usług) po tej dacie. Zgodnie z ustawą moim zdaniem taka karta nie powinna umożliwiać korzystania z usług operatora.

Marcin Kaleta

Prezes Zarządu