Normy Konstytucji wydają się nie przeszkadzać rządzącym tak w procesie legislacyjnym, jak i w projektowaniu przepisów nowelizacji – pisze prof. dr hab. Marek Chmaj w odpowiedzi Robertowi Kośli, dyrektorowi departamentu cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów.
Po zapoznaniu się z komentarzem Pana Robert Kośli, dyrektora departamentu cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów na temat publikacji zmienionej wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nie mam wątpliwości, że Rząd po raz kolejny dąży do zmiany praw i wolności obywateli, w tym przypadku podmiotów z branży IT, „pod osłoną nocy”. Normy Konstytucji wydają się nie przeszkadzać rządzącym tak w procesie legislacyjnym, jak i w projektowaniu przepisów nowelizacji.
CZYTAJ TAKŻE: Robert Kośla, Kancelaria Premiera: Nie chcemy nikogo wykluczać z rynku 5G
Na wstępie podkreślam, że każda zmiana prawa wymaga konsultacji społecznych. Prawo do zajęcie stanowiska w procesie ustawodawczym stanowi urzeczywistnienie wpływu społeczeństwa na porządek prawny.
Do styczniowej wersji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa wprowadzono szereg zmian. Przedstawiciel Kancelarii Premiera przyznaje, że wprowadzanie zmian do projektu zajęło sporo czasu. Dodano m.in. kompetencje dla ekspertów prowadzących analizy cyberzagrożeń i przewidujących ich potencjalny wpływ na bezpieczeństwo usług zapewnianych przez podmioty krajowego systemu cyberbezpieczeństwa. Eksperci będą badali bezpieczeństwo łańcucha dostaw produktów, usług i procesów teleinformatycznych wykorzystywanych w krajowym systemie cyberbezpieczeństwa, w szczególności przez operatorów usług kluczowych.
Pan Dyrektor przyznaje, że Rząd nie zamierza pytać branży o opinię na temat szeregu nowych przepisów dodanych do projektu. Czyżby monopol na mądrość? Otóż nie. Uzasadnienie zaniechania przedłożenia projektu do konsultacji jest takie, że z góry wiadomo, że opinie będą na pewno negatywne, dlatego nie ma sensu tego robić. Do tej pory myślałem, wzorem mistrza Krasickiego, że „prawdziwa cnota krytyk się nie boi”. Przedstawiciel Kancelarii Premiera jednak inaczej uzasadnia brak zainteresowania opiniami specjalistów: „mamy doświadczenia z wprowadzania rozporządzenia z art. 175d Prawa telekomunikacyjnego. Przeprowadziliśmy wtedy trzy serie konsultacji publicznych i de facto nie doprowadziły one do polepszenia tego dokumentu. Zawsze któraś ze stron była niezadowolona. A przecież treść rozporządzenia była bardzo krótka – zawierała 3 paragrafy rozpisane na 2 stronach”.
Słowa ujęte w powyższym cytacie są nadużyciem. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa nowelizuje kilkadziesiąt artykułów, a jego treść wraz z uzasadnieniem zajmuje ponad 100 stron. Z tego względu tak gruntowna zmiana zasad działania podmiotów z branży IT absolutnie powinna być poddana konsultacjom.
W polskim porządku ustrojowym konsultacje społeczne w procesie prawotwórczym stanowią rzeczywistą formę komunikacji pomiędzy ustawodawcą a społeczeństwem. Nawiązuje do nich ujęte w Preambule Konstytucji sformułowanie o „dialogu społecznym” jako jednym z fundamentów, na którym oparte są prawa podstawowe Rzeczypospolitej Polskiej oraz art. 2 Konstytucji i wynikająca z art. 2 Konstytucji zasada przyzwoitej legislacji. Zasada ta ma na celu wskazanie reguł, którymi winien kierować się ustawodawca w procesie legislacyjnym, tak by tworzone prawo było racjonalne i stanowiło pełną ochronę jego adresatów.
Faktu, że rządzący odmawiając społeczeństwu prawa do weryfikacji wprowadzonych zmian legislacyjnych nie można tłumaczyć inaczej, niż jako usilne starania odłączenia, w demokratycznym państwie, demos (z grec. lud) od kratos (z grec. władza).
Rekomendacje wspólnotowe dotyczące ujednolicenia zasad bezpieczeństwa sieci telekomunikacyjnych 5G nie stoją na przeszkodzie przeprowadzeniu krajowej nowelizacji w sposób zgodny z zasadą przyzwoitej legislacji.
Merytoryczna analiza projektowanych przepisów prowadzi do wniosku, że trudno dopatrzeć się w nich sprawiedliwych i bezstronnych zasad weryfikacji dostawców sprzętu i oprogramowania. Przypominam, że zgodnie z przepisami projektu, postępowanie kontrolne, wobec dostawców, będzie prowadzone przez organ państwowy – Kolegium – jednostronnie, bez udziału kontrolowanego. Jeśli postępowanie kończy się uznaniem kontrolowanego za dostawcę ryzykownego, bez względu na wynik postępowania odwoławczego, ma on natychmiastowy obowiązek wycofania z rynku produktów i usług dostarczanych nie później niż 7 lat od dnia opublikowania informacji o decyzji oraz zakaz wprowadzania do użytku produktów, usług.
Pan Dyrektor twierdzi, że „przepisy nie mają charakteru dyskryminującego”, choć analiza prowadzona przez Kolegium ds. Cyberbezpieczeństwa przed wydaniem decyzji administracyjnej przez ministra właściwego do spraw informatyzacji będzie uwzględniała zarówno kwestie techniczne, jak i nietechniczne związane z ryzykiem dla bezpieczeństwa narodowego, w kontekście konkretnych procesów, produktów i usług.
Z literalnego brzmienia projektu wynika, że opinia Kolegium zawiera analizę prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem m.in. stopnia i rodzaju powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem, b) prawodawstwa oraz stosowania prawa w zakresie ochrony danych osobowych, zwłaszcza tam gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem, c) struktury własnościowej dostawcy sprzętu lub oprogramowania, d) zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania (por art. 66a ust. 6 pkt 2 zmienianej ustawy o krajowym systemie cyberbezpieczeństwa).
Kryteria oceny dostawców na ryzykownych i nieryzykowanych bezwzględnie powinny być oparte na przesłankach technicznych takich jak parametry i funkcjonalności oferowanego sprzętu. Pozostałe nietechniczne kryteria oceny, tj. np. kraj pochodzenia, to wyłącznie furtka do dyskryminacji, a nie przejaw troski o cyberbezpieczeństwo krajowe.
To nie tylko przykre, ale bardzo niebezpieczne, że wysoki urzędnik państwowy, osoba która winna spełniać najwyższe standardy, wykazuje taką ignorancję. Nie chciałbym podejrzewać złej woli, ale posługując się jeszcze jednym cytatem z Krasińskiego wskażę, że „cnota, nie odzież, czyni zakonnika”.
Prof. dr hab. Marek Chmaj
Żadna część jak i całość utworów zawartych w dzienniku nie może być powielana i rozpowszechniana lub dalej rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (w tym także elektroniczny lub mechaniczny lub inny albo na wszelkich polach eksploatacji) włącznie z kopiowaniem, szeroko pojętę digitalizację, fotokopiowaniem lub kopiowaniem, w tym także zamieszczaniem w Internecie - bez pisemnej zgody Gremi Media SA. Jakiekolwiek użycie lub wykorzystanie utworów w całości lub w części bez zgody Gremi Media SA lub autorów z naruszeniem prawa jest zabronione pod groźbą kary i może być ścigane prawnie.
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami "Regulaminu korzystania z artykułów prasowych" [Poprzednia wersja obowiązująca do 30.01.2017]. Formularz zamówienia można pobrać na stronie www.rp.pl/licencja.
Gremi Media SA, Prosta Office Centre, ul. Prosta 51, 00-838 Warszawa