Marek Chmaj: Projekt wykluczający dostawców 5G jest niekonstytucyjny

Pierwsze sieci 5G w Polsce to szybszy internet dla nielicznych
liloon/shutterstock

Rządowy Projekt ustawy o zmianie ustawy – o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych, wersja z dnia 7 września 2020 r., jest niekonstytucyjny – pisze Marek Chmaj, prawnik, konstytucjonalista.

Jakie są najważniejsze wątpliwości?

Projektowany tryb oceny dostawców sprzętu i oprogramowania budzi istotne wątpliwości w zakresie zgodności z Konstytucją. Ustrojodawca, w ustawie zasadniczej, określił fundamenty demokratycznego państwa prawnego, które powinny mieć odzwierciedlenie w prawie stanowionym. Zatem projektowane akty prawne powinny m. in. chronić prawa nabyte oraz muszą być zgodne z zasadą niedziałania prawa wstecz (art. 2 Konstytucji), z zasadą wolności działalności gospodarczej (art. 20 i 22 Konstytucji) oraz zasadą równości wobec prawa i zakazem dyskryminacji (art. 32 Konstytucji).

Jakie nowe rozwiązania prawne wprowadza Projekt?

Zgodnie z przepisami Projektu, opublikowanego w dniu 8 września 2020 r., na stronie resortu cyfryzacji, dostawcy sprzętu, oprogramowania lub usług mogą zostać poddani procedurze oceny ryzyka. Regulacje dotyczące procedury ocennej zostały określone w art. 66a, 66b i 66c zmienianej ustawy o krajowym systemie cyberbezpieczeństwa (art. 1 ust. 29 i nast. Projektu).

Legitymację do przeprowadzenia oceny nadano Kolegium do Spraw Cyberbezpieczeństwa – organowi opiniodawczemu i doradczemu utworzonemu przy Radzie Ministrów.

mat. pras.

Postępowanie ocenne wszczynane jest na wniosek członka Kolegium, w oparciu o możliwe obszary działalności, w których dostawca sprzętu lub oprogramowania może stanowić zagrożenie dla bezpieczeństwa narodowego (art. 66a ust. 2 pkt 2 Projektu).

Wniosek może obejmować kilku przedsiębiorców, zaś w toku postępowania ocennego Kolegium m.in. przeprowadza analizę zagrożeń bezpieczeństwa narodowego. Ocena przeprowadzona przez ten organ ma określić stopień występującego ryzyka. Projekt przewiduje, co ciekawe, następującą gradację ryzykownych dostawców: 1) wysokiego ryzyka; 2) umiarkowanego ryzyka; 3) niskiego ryzyka; lub 4) brak zidentyfikowanego poziomu ryzyka – jeżeli nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub jego poziom jest znikomy (art. 66a ust. 5).

Wynik postępowania ocennego zostanie ogłoszony w postaci komunikatu w „Monitorze Polskim”. Tylko i wyłącznie dostawcy z oceną wysokiego ryzyka mają legitymację do złożenia odwołania. Rozpoznaje je Kolegium, tj. ten sam organ, który wcześniej swobodnie i uznaniowo przeprowadzał procedurę ocenną (art. 66a ust 8).

W art. 66b projektowanej ustawy wymieniono sankcje dla dostawców określonych jako podmioty ryzykowne. Dostawcy wysokiego ryzyka będą mieli zakaz wprowadzenia do użytkowania sprzętu, oprogramowania i usług określonych w ocenie, jak również będą musieli wycofać w ciągu 5 lat od ogłoszenia komunikatu o ocenie dotychczas używany sprzęt, oprogramowanie i świadczone usługi. Natomiast dostawcy, w stosunku do których przeprowadzona ocena wykazała umiarkowane ryzyko nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania.

W świetle projektowanego art. 66c Pełnomocnikowi Rządu do Spraw Cyberbezpieczeństwa zostaje przyznana kompetencja do zobowiązania podmiotu krajowego systemu cyberbezpieczeństwa (do którego zastosowanie ma ocena) do sporządzenia i dostarczenia, w ciągu 3 miesięcy planu i harmonogramu wycofania z użytkowania sprzętu, oprogramowania i usług dostawcy sprzętu lub oprogramowania, którego dotyczy ocena określająca wysokie ryzyko.

Wspomniany wyżej Projekt, poza zmianami dotyczącymi ustawy o krajowym systemie cyberbezpieczeństwa, przewiduje również zmianę ustawy – Prawo zamówień publicznych.

Co w praktyce oznacza wejście w życie Projektu?

Analiza art. 66a, 66b i 66c projektowanych zmian do ustawy o krajowym systemie cyberbezpieczeństwa wprowadza jednostronną, uznaniową i subiektywną procedurę ocenną działalność dostawców sprzętu, oprogramowania i usług. Kryteria, w oparciu o które Kolegium dokona oceny działań dostawców są niekonkretne, co poddaje w wątpliwość, że kontrola zostanie wszczęta z zachowaniem zasady równości i niedyskryminacji dostawców.

Dostawcy nie biorą udziału w postępowaniu ocennym, nie przysługuje im przymiot strony. Kolegium samo prowadzi postępowanie, a o jego wyniku przedsiębiorcy dowiedzą się dopiero z komunikatu w Monitorze Polskim (art. 66a, 66b i 66c zmienianej ustawy).

Celem projektowanej regulacji jest weryfikacja działalności dostawców w oparciu o nieostre pojęcie bezpieczeństwa narodowego. Dlatego też przyjęte rozwiązania legislacyjne są nieproporcjonalne do obranych celów. Projektodawcy zbagatelizowali szkodę, jaką wyrządzą w majątku przedsiębiorców po publikacji komunikatu. Taka nieostateczna ocena dostawcy jako „ryzykownego”, z pewnością przyniesie mu szkodę. Do tego nie przewidziano prawa do odszkodowania za naruszenie przepisów przez organ oceniający.

Ponadto, w oparciu o projektowane przepisy nie wszyscy dostawcy, w stosunku do których wszczęto kontrolę mają prawo do odwołania. Kontrola wyników oceny przysługuje wyłącznie dostawcy, którego działalność oceniono jako wysoce ryzykowną. Zatem prawo do odwołania nie przysługuje dostawcy, którego działalność określono jako umiarkowanie ryzykowną lub niskiego ryzyka, co świadczy o nierównym traktowaniu przez projektodawcę dostawców, w stosunku do których wszczęto kontrolę.

Każdy z tych dostawców powinien mieć, zagwarantowaną w ustawie, szansę poddania kontroli przeprowadzonej oceny, zaś w razie jej zmiany prawo odzyskania zaufania publicznego  poprzez sprostowanie komunikatu w Monitorze Polskim. Tymczasem w Projekcie nie przewidziano procedury sprostowania treści komunikatu na skutek zmiany oceny przez Kolegium.

Projektodawcy zupełnie nie zainspirowali się obowiązującymi w krajowym porządku prawnym klarownymi i niedyskryminującymi procedurami weryfikującymi działalność przedsiębiorców. Do tego typu rozwiązań legislacyjnych zaliczyć można np. ogólną kontrolę działalności przedsiębiorcy dokonywaną w oparciu o przepisy ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców. Ustawodawca w sposób szczegółowy i niebudzący wątpliwości interpretacyjnych reguluje każdy etap kontroli. Dla porównania warto wskazać, że zgodnie z art. 50 ust. 1 ustawy – Prawo przedsiębiorców czynności kontrolne wykonuje się w obecności przedsiębiorcy lub osoby przez niego upoważnionej. Przedsiębiorca może wnieść sprzeciw wobec podjęcia i wykonywania przez organ kontroli czynności z naruszeniem przepisów (art. 59 ust. 1 Prawa przedsiębiorców). W związku z powyższym należy stwierdzić, że zaprojektowanie sprawiedliwej i obiektywnej procedury ocennej nie jest legislacyjnie niemożliwe.

Sankcje dla dostawców

Dostawcy z oceną „wysokie ryzyko” muszą liczyć się z obligatoryjnym zakazem dalszego prowadzenia działalności ocenionej jako ryzykowna oraz, z rozłożonym na 5 lat, obowiązkiem wyeliminowania z rynku sprzętu, oprogramowania i usług wskazanych w ocenie. Projektowane rozwiązanie narusza zatem konstytucyjną zasadę ochrony praw nabytych oraz zasadę niedziałania prawa wstecz (tzw. zasadę nieretroakcji). Za niewykonanie powyższego obowiązku przedsiębiorcy grozi kara pieniężna.

Natomiast dostawcy, których działalność określono jako umiarkowanie ryzykowną lub niskiego ryzyka, zostaną pozbawieni prawa wprowadzenia do użytkowania sprzętu, oprogramowania i usług określonych w ocenie.

Ponadto wszyscy dostawcy, którzy zostaną zdefiniowani jako źródła zagrożenia, zostaną wyłączeni z systemu zamówień publicznych w Polsce (art. 2 Projektu).

Co należy zmienić?

Doprowadzenie Projektu do stanu zgodnego z Konstytucją wymaga: 1) zmiany kryteriów procedury ocennej na precyzyjne i konkretne, 2) zagwarantowania dostawcom sprzętu lub oprogramowania czynnego udziału w postępowaniu ocennym poprzez nadanie im przymiotu strony, 3) wprowadzenia zakończenia postępowania ocennego poprzez wymóg wydania decyzji administracyjnej podlegającej kontroli instancyjnej przez niezależny organ odwoławczy, 4) zagwarantowania, że tylko ostateczna decyzja administracyjna z postępowania ocennego może podlegać publikacji w Monitorze Polskim, 5) wprowadzenia reguły, iż wykluczeniu z zamówienia publicznego powinny podlegać tylko ryzykowni dostawcy, w stosunku do których wydano ostateczną decyzję administracyjną.

CV

Prof. dr hab. Marek Chmaj – prawnik i politolog, profesor nauk prawnych, radca prawny, specjalista w zakresie prawa konstytucyjnego oraz prawa administracyjnego, od 2019 wiceprzewodniczący Trybunału Stanu. Przewodniczący Zespołu Doradców ds. kontroli konstytucyjności prawa przy marszałku Senatu X kadencji. Jest członkiem Komitetu Nauk Prawnych Polskiej Akademii Nauk kadencji 2020–2023.

Tagi:

Mogą Ci się również spodobać

Rzecz o Innowacjach: Odkrywam świat

Są jak dzieci – kapryszą, dają w kość, wyprowadzają z równowagi, ale jednocześnie są ...

Zastosowania grafenu w medycynie regeneracyjnej

Medycyna regeneracyjna łączy wiedzę m.in. z inżynierii tkankowej i biologii molekularnej, mających na celu ...

Szokująca lista brytyjskich naukowców. AI może być źródłem zła

Badacze z University College London stworzyli listę najgroźniejszych przestępstw, jakich może dopuścić się technologia ...

BBC chce być konkurencją dla Netflixa

BBC negocjuje z ITV stworzenie platformy streamingowej, która ma być konkurencją dla Netflixa oraz ...

Zbiórka na grę opartą na dziele Lema. Pierwszy taki projekt w historii

Ruszyła oferta publiczna krakowskiego studia, które pracuje nad grą, bazującą na twórczości Stanisława Lema. ...

Chmura Krajowa – system idealny?

Czy Chmura Krajowa jest systemem bez wad? To duży projekt, którego celem jest zwiększenie ...