REKLAMA
Dziennik Ustaw - rok 2023 poz. 1703
USTAWA
z dnia 28 lipca 2023 r.
o zwalczaniu nadużyć w komunikacji elektronicznej1), 2), 3)
Art. 1. [Zakres przedmiotowy]
1) prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
2) kompetencje Prezesa Urzędu Komunikacji Elektronicznej, zwanego dalej „Prezesem UKE”, związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
3) zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej;
4) zasady świadczenia usług związanych z wysyłaniem krótkich wiadomości tekstowych (SMS) zawierających nadpisy na rzecz podmiotów publicznych;
5) zasady wnoszenia sprzeciwu przez podmiot posiadający tytuł prawny do domeny internetowej wobec wpisania tej domeny na listę ostrzeżeń;
6) obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej;
7) szczególne zasady przetwarzania informacji objętych tajemnicą telekomunikacyjną związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem.
Art. 2. [Definicje]
1) CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, w rozumieniu art. 2 pkt 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703);
2) dostawca poczty elektronicznej - osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadzi, chociażby ubocznie, działalność zarobkową lub zawodową związaną ze świadczeniem poczty elektronicznej;
3) informacja adresowa - numer telefonu lub identyfikator użytkownika wysyłającego komunikat;
4) integrator usług SMS - dostawcę publicznie dostępnych usług telekomunikacyjnych świadczącego usługę wysyłania krótkich wiadomości tekstowych (SMS);
5) komunikat - komunikat w rozumieniu art. 2 pkt 17 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648, 1933 i 2581 oraz z 2023 r. poz. 1394 i 1703);
6) lista ostrzeżeń - jawną listę ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu;
7) nadpis - identyfikator krótkiej wiadomości tekstowej (SMS);
8) nadużycie w komunikacji elektronicznej - świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;
9) operator - operatora w rozumieniu art. 2 pkt 27 lit. b ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
10) poczta elektroniczna - usługę komunikacji interpersonalnej, która nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, i która umożliwia przekazywanie komunikatu z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje;
11) podmiot publiczny - podmiot, o którym mowa w art. 4 pkt 7-15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
12) połączenie głosowe - połączenie ustanowione za pomocą publicznie dostępnej usługi komunikacji interpersonalnej pozwalające na dwukierunkową komunikację głosową;
13) przedsiębiorca telekomunikacyjny - przedsiębiorcę telekomunikacyjnego w rozumieniu art. 2 pkt 27 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
14) sieć telekomunikacyjna - sieć telekomunikacyjną w rozumieniu art. 2 pkt 35 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
15) tajemnica telekomunikacyjna - tajemnicę, o której mowa w art. 159 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
16) uprawnione podmioty - podmioty, o których mowa w art. 179 ust. 3 pkt 1 lit. a ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
17) urządzenie telekomunikacyjne - urządzenie telekomunikacyjne w rozumieniu art. 2 pkt 46 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
18) usługa komunikacji interpersonalnej - usługę umożliwiającą bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej;
19) usługa telekomunikacyjna - usługę telekomunikacyjną w rozumieniu art. 2 pkt 48 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
20) użytkownik - użytkownika w rozumieniu art. 2 pkt 49 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
21) użytkownik końcowy - użytkownika końcowego w rozumieniu art. 2 pkt 50 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne.
Art. 3. [Zakaz nadużyć w komunikacji elektronicznej]
1) generowanie sztucznego ruchu - wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
2) smishing - wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
3) CLI spoofing - nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
4) nieuprawniona zmiana informacji adresowej - niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.
2. Nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat.
3. Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.
Art. 4. [Monitoring smishingu]
2. CSIRT NASK na podstawie wyników monitorowania, o którym mowa w ust. 1, tworzy wzorzec wiadomości wyczerpującej znamiona smishingu, zwany dalej „wzorcem wiadomości”.
3. CSIRT NASK zapewnia funkcjonowanie systemu teleinformatycznego służącego do udostępniania i przekazywania informacji o wystąpieniu smishingu wraz ze wzorcem wiadomości oraz jest administratorem danych przetwarzanych w tym systemie.
4. CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, zapewnia dostęp do informacji o występowaniu smishingu wraz ze wzorcami wiadomości Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym.
5. CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, przekazuje przedsiębiorcy telekomunikacyjnemu informacje o wystąpieniu smishingu wraz ze wzorcem wiadomości.
6. Podmioty, o których mowa w ust. 4, w celu wymiany informacji o występowaniu smishingu wraz ze wzorcami wiadomości są obowiązane do korzystania z systemu, o którym mowa w ust. 3.
7. Wzorzec wiadomości CSIRT NASK udostępnia na swojej stronie internetowej, nie wcześniej niż w terminie 14 dni i nie później niż w terminie 21 dni od dnia jego przekazania przedsiębiorcy telekomunikacyjnemu w sposób, o którym mowa w ust. 5.
8. CSIRT NASK w przypadku uznania, że:
1) treść wzorca wiadomości nie wyczerpuje znamion smishingu, lub
2) niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości
- niezwłocznie informuje o tym podmioty, o których mowa w ust. 4, oraz zamieszcza na swojej stronie internetowej informacje o okresie, w jakim wzorzec wiadomości obowiązywał.
9. CSIRT NASK przetwarza dane pozyskane w związku z monitorowaniem występowania smishingu na zasadach określonych w art. 39 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Art. 5. [Przyjmowanie zgłoszeń dotyczących smishingu]
2. Przedsiębiorca telekomunikacyjny zapewnia swoim użytkownikom końcowym oraz CSIRT NASK możliwość bezpłatnego korzystania z numeru skróconego 8080, które polega na przekazywaniu do CSIRT NASK krótkich wiadomości tekstowych (SMS) zgłoszonych na numer skrócony 8080 oraz bezpłatną wysyłkę krótkich wiadomości tekstowych (SMS) z tego numeru przez CSIRT NASK.
Art. 6. [Obowiązki przedsiębiorcy telekomunikacyjnego]
1) blokuje krótkie wiadomości tekstowe (SMS), zawierające treść zgodną z treścią wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację krótkich wiadomości tekstowych (SMS), albo
2) zaprzestaje blokowania krótkich wiadomości tekstowych (SMS) w przypadku uznania, że treść wzorca wiadomości nie wyczerpuje znamion smishingu lub że niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości.
Art. 7. [Sprzeciw wobec zablokowania wiadomości tekstowych (SMS)]
2. Sprzeciw, o którym mowa w ust. 1, zawiera:
1) pełną treść krótkiej wiadomości tekstowej (SMS);
2) uzasadnienie wyjaśniające, dlaczego treść krótkiej wiadomości tekstowej (SMS) nie wyczerpuje znamion smishingu;
3) wskazanie numeru wykorzystanego do nadania krótkiej wiadomości tekstowej (SMS);
4) dane identyfikujące nadawcę:
a) imię (imiona) i nazwisko, adres zamieszkania - w przypadku osób fizycznych,
b) nazwę (firmę) podmiotu, adres siedziby, numer z właściwego rejestru - w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
c) imię i nazwisko osoby uprawnionej do reprezentowania nadawcy wraz z upoważnieniem - jeżeli dotyczy.
3. Sprzeciw, o którym mowa w ust. 1, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się na adres do doręczeń elektronicznych Prezesa UKE.
4. Sprzeciw, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2 i 3, pozostawia się bez rozpoznania.
Art. 8. [Rozpatrzenie sprzeciwu]
1) rozpatruje sprzeciw, o którym mowa w art. 7 ust. 1, w terminie 14 dni od dnia jego otrzymania oraz
2) niezwłocznie informuje nadawcę krótkiej wiadomości tekstowej (SMS) o sposobie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, za pomocą środków komunikacji elektronicznej, których użył nadawca krótkiej wiadomości tekstowej (SMS), wnosząc ten sprzeciw.
2. Prezes UKE, rozpatrując sprzeciw, o którym mowa w art. 7 ust. 1:
1) uwzględnia ten sprzeciw, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, nie wyczerpuje znamion smishingu, albo
2) nie uwzględnia tego sprzeciwu, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, wyczerpuje znamiona smishingu.
3. W przypadku uwzględnienia sprzeciwu, o którym mowa w art. 7 ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczną, nie później niż w terminie 3 dni od dnia uwzględnienia tego sprzeciwu, zmianę wzorca wiadomości w taki sposób, aby krótka wiadomość tekstowa (SMS) o treści, o której mowa w art. 7 ust. 2 pkt 1, nie była blokowana.
4. Nieuwzględnienie sprzeciwu, o którym mowa w art. 7 ust. 1, jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
5. Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 1-3.
6. Do postępowania w sprawie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 i 803) nie stosuje się.
Art. 9. [Sposób blokowania wiadomości tekstowych (SMS)]
2. Przedsiębiorca telekomunikacyjny może blokować wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania. Blokowanie odbywa się za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości.
Art. 10. [Wykaz nadpisów podmiotów publicznych]
2. CSIRT NASK za pośrednictwem systemu, o którym mowa w art. 4 ust. 3, zapewnia dostęp do wykazu nadpisów podmiotów publicznych Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym.
3. Podmiot publiczny może złożyć do CSIRT NASK wniosek o wpis albo o zmianę wpisu w wykazie nadpisów podmiotów publicznych w zakresie go dotyczącym. Wniosek może dotyczyć zastrzeżenia nazwy lub skrótu jako nadpisu dla wiadomości wysłanej w związku z wykonywaniem konkretnego zadania publicznego.
4. CSIRT NASK może stworzyć warianty nazwy lub skrótu, mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zwane dalej „wariantami nazwy lub skrótu”.
5. Zastrzeżone nazwa lub skrót oraz warianty nazwy lub skrótu, jeżeli zostały stworzone, CSIRT NASK wpisuje w wykazie nadpisów podmiotów publicznych.
6. Wykaz nadpisów podmiotów publicznych zawiera:
1) nazwę (firmę) podmiotu publicznego;
2) adres siedziby podmiotu publicznego;
3) numer identyfikacyjny podmiotu publicznego w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON);
4) nazwę lub skrót zastrzeżone dla podmiotu publicznego jako nadpis wiadomości pochodzącej od tego podmiotu publicznego;
5) warianty nazwy lub skrótu, jeżeli zostały stworzone;
6) datę wpisu w wykazie nadpisów podmiotów publicznych;
7) datę wykreślenia wpisu z wykazu nadpisów podmiotów publicznych;
8) numer w wykazie nadpisów podmiotów publicznych.
7. Wpis albo zmiana wpisu w wykazie nadpisów podmiotów publicznych nie może polegać na zastrzeżeniu dla podmiotu publicznego wnioskującego nazwy lub skrótu zastrzeżonych dla innego podmiotu publicznego.
8. Wniosek, o którym mowa w ust. 3, zawiera dane, o których mowa w ust. 6 pkt 1-4. Wniosek o zmianę wpisu w wykazie zawiera wskazanie danych zmienianych.
9. CSIRT NASK dokonuje wpisu albo zmiany wpisu w wykazie nadpisów podmiotów publicznych niezwłocznie, nie później niż w terminie 7 dni od dnia otrzymania wniosku, o którym mowa w ust. 3.
10. CSIRT NASK informuje podmiot publiczny o odmowie wpisu w wykazie nadpisów podmiotów publicznych z powodu, o którym mowa w ust. 7.
11. Wniosek, o którym mowa w ust. 3, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym.
12. Wniosek, o którym mowa w ust. 3, składa się przy użyciu formularza elektronicznego udostępnionego na stronie internetowej CSIRT NASK.
13. CSIRT NASK pozostawia bez rozpoznania wniosek, o którym mowa w ust. 3, niespełniający wymagań, o których mowa w ust. 8, 11 lub 12, o czym informuje niezwłocznie podmiot publiczny.
14. CSIRT NASK co najmniej raz w miesiącu aktualizuje wykaz nadpisów podmiotów publicznych na podstawie nowych danych pozyskanych z krajowego rejestru urzędowego podmiotów gospodarki narodowej (REGON).
15. CSIRT NASK wykreśla wpis z wykazu nadpisów podmiotów publicznych po uzyskaniu informacji o wykreśleniu podmiotu publicznego z krajowego rejestru urzędowego podmiotów gospodarki narodowej (REGON).
16. CSIRT NASK może aktualizować wykaz nadpisów podmiotów publicznych w zakresie wariantów nazwy lub skrótu.
17. Wpis, zmiana wpisu oraz wykreślenie wpisu z wykazu nadpisów podmiotów publicznych są czynnościami mate-rialno-technicznymi.
18. Prezes Głównego Urzędu Statystycznego udostępnia CSIRT NASK dane, o których mowa w art. 45 ust. 1 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2023 r. poz. 773), zawarte w rejestrze podmiotów, o którym mowa w art. 42 ust. 1 tej ustawy, w celu prowadzenia wykazu nadpisów podmiotów publicznych.
Art. 11. [Wniosek o wykreślenie z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu]
2. Wniosek, o którym mowa w ust. 1, może dotyczyć wykreślenia nazwy lub skrótu lub wariantu nazwy lub skrótu, który jest identyczny z:
1) firmą przedsiębiorcy;
2) skrótem firmy przedsiębiorcy w rozumieniu art. 435 § 4 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2023 r. poz. 1610 i 1615);
3) znakiem towarowym, na który udzielono prawa ochronnego.
3. Wniosek, o którym mowa w ust. 1, zawiera:
1) imię (imiona) i nazwisko oraz adres zamieszkania - w przypadku osób fizycznych;
2) nazwę (firmę) przedsiębiorcy, adres siedziby, numer z właściwego rejestru - w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej;
3) skrót firmy przedsiębiorcy, jeśli przedsiębiorca się nim posługuje;
4) wskazanie znaku towarowego, na który udzielono prawa ochronnego;
5) numer identyfikacyjny przedsiębiorcy w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON);
6) adres do doręczeń elektronicznych przedsiębiorcy, jeżeli przedsiębiorca go posiada;
7) adres poczty elektronicznej przedsiębiorcy przyporządkowany do wykonywanej działalności;
8) imię i nazwisko osoby uprawnionej do złożenia tego wniosku wraz z upoważnieniem, jeżeli dotyczy;
9) wskazanie wariantu nazwy lub skrótu wpisanego w wykazie nadpisów podmiotów publicznych, którego wykreślenia żąda przedsiębiorca;
10) uzasadnienie tego wniosku.
4. Jeżeli przedsiębiorca żąda wykreślenia z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu ze względu na ich identyczność ze skrótem firmy przedsiębiorcy, do wniosku załącza się dokument potwierdzający posługiwanie się przez przedsiębiorcę skrótem firmy. Za dokument potwierdzający posługiwanie się przez przedsiębiorcę skrótem firmy w szczególności uznaje się umowy, wzorce umowne, dowody księgowe oraz pisma przedsiębiorcy kierowane do organów administracji publicznej, w których posłużono się skrótem firmy.
5. Jeżeli przedsiębiorca żąda wykreślenia z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu ze względu na ich identyczność ze znakiem towarowym, na który udzielono prawa ochronnego, do wniosku załącza się świadectwo ochronne.
6. Jeżeli dokument potwierdzający posługiwanie się przez przedsiębiorcę skrótem firmy ma postać papierową, do wniosku, o którym mowa w ust. 1, załącza się odwzorowanie cyfrowe tego dokumentu sporządzone przez przedsiębiorcę i opatrzone przez niego kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym potwierdzającym zgodność odwzorowania cyfrowego z dokumentem w postaci papierowej.
7. Wniosek, o którym mowa w ust. 1, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym.
8. Wniosek, o którym mowa w ust. 1, składa się przy użyciu formularza elektronicznego udostępnionego przez Prezesa UKE na stronie internetowej obsługującego go urzędu.
9. Prezes UKE pozostawia bez rozpoznania wniosek, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2-8.
10. Prezes UKE pozostawia bez rozpoznania wniosek, o którym mowa w ust. 1, zawierający dane sprzeczne z danymi przedsiębiorcy zawartymi w Centralnej Ewidencji i Informacji o Działalności Gospodarczej albo w Krajowym Rejestrze Sądowym.
11. Prezes UKE rozpoznaje w terminie 14 dni od dnia otrzymania wniosek, o którym mowa w ust. 1, spełniający wymagania, o których mowa w ust. 2-8, oraz zawierający dane zgodne z danymi zawartymi w Centralnej Ewidencji i Informacji o Działalności Gospodarczej albo w Krajowym Rejestrze Sądowym.
12. Prezes UKE uwzględnia wniosek, o którym mowa w ust. 1, jeżeli nazwa lub skrót lub wariant nazwy lub skrótu, których wykreślenia żąda przedsiębiorca, są identyczne z firmą lub skrótem firmy przedsiębiorcy lub znakiem towarowym, na który udzielono prawa ochronnego, w przeciwnym wypadku odmawia wykreślenia. Odmowa wykreślenia jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
13. Prezes UKE niezwłocznie informuje przedsiębiorcę o pozostawieniu wniosku, o którym mowa w ust. 1, bez rozpoznania wraz z podaniem przyczyny.
14. W przypadku uwzględnienia wniosku, o którym mowa w ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczne, nie później niż w terminie 7 dni od dnia otrzymania informacji o uwzględnieniu tego wniosku, wykreślenie z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu, zgodnie z żądaniem przedsiębiorcy.
15. W przypadku wykreślenia z wykazu nadpisów podmiotów publicznych nazwy lub skrótu CSIRT NASK w terminie 7 dni od dnia otrzymania informacji o uwzględnieniu wniosku, o którym mowa w ust. 1, tworzy nową nazwę lub skrót dla podmiotu publicznego i wpisuje do tego wykazu, o czym informuje podmiot publiczny.
16. Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 9-13.
17. Do postępowania w sprawie rozpatrzenia wniosku, o którym mowa w ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego nie stosuje się, z wyjątkiem przepisów działu I rozdziału 8 tej ustawy.
Art. 12. [Zastrzeżenie nadpisu #RP]
Art. 13. [Blokowanie wiadomości tekstowych (SMS)]
2. Przedsiębiorca telekomunikacyjny blokuje krótkie wiadomości tekstowe (SMS), w których jako nadpis został użyty wariant nazwy lub skrótu, zawarty w wykazie nadpisów podmiotów publicznych.
3. Przedsiębiorca telekomunikacyjny wykonuje obowiązki, o których mowa w ust. 1 i 2, niezwłocznie, nie później niż w terminie 3 dni od dnia wpisania nadpisu lub wariantu nazwy lub skrótu w wykazie nadpisów podmiotów publicznych.
Art. 14. [Zlecenie wysłania wiadomości tekstowych (SMS)]
2. Integrator usług SMS, wysyłając wiadomość w imieniu podmiotu publicznego, jako nadpis tej wiadomości używa nazwy lub skrótu zastrzeżonych dla danego podmiotu publicznego w wykazie nadpisów podmiotów publicznych.
3. Prezes UKE prowadzi wykaz, o którym mowa w ust. 1, w systemie teleinformatycznym i udostępnia ten wykaz w Biuletynie Informacji Publicznej na stronie internetowej obsługującego go urzędu.
4. Wykaz, o którym mowa w ust. 1, zawiera:
1) imię (imiona) i nazwisko oraz adres zamieszkania - w przypadku osób fizycznych;
2) nazwę (firmę) podmiotu i adres siedziby - w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej;
3) numer z rejestru przedsiębiorców telekomunikacyjnych, o którym mowa w art. 10 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
4) adres do doręczeń elektronicznych, jeżeli integrator usług SMS go posiada;
5) adres poczty elektronicznej przyporządkowany do wykonywanej działalności;
6) adres strony internetowej, o ile integrator usług SMS ją prowadzi;
7) datę wpisu w tym wykazie;
8) datę wykreślenia z tego wykazu;
9) numer w tym wykazie.
5. W wykazie, o którym mowa w ust. 1, udostępnionym w Biuletynie Informacji Publicznej nie wykazuje się adresu integratora usług SMS będącego osobą fizyczną.
6. Wniosek o wpis, o zmianę wpisu albo o wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, zawiera dane, o których mowa w ust. 4 pkt 1-6.
7. Integrator usług SMS składa wniosek o zmianę wpisu w wykazie, o którym mowa w ust. 1, w zakresie danych, o których mowa w ust. 4 pkt 4-6, w terminie 14 dni od dnia ich zmiany. Wniosek o zmianę wpisu w wykazie, o którym mowa w ust. 1, zawiera wskazanie zmienianych danych, numer w tym wykazie oraz oświadczenie, o którym mowa w ust. 8.
8. Wniosek o wpis albo o zmianę wpisu w wykazie, o którym mowa w ust. 1, zawiera oświadczenie integratora usług SMS o następującej treści: „Świadomy odpowiedzialności karnej za złożenie fałszywego oświadczenia wynikającej z art. 233 § 6 Kodeksu karnego oświadczam, że dane zawarte we wniosku są zgodne z prawdą”. Klauzula ta zastępuje pouczenie o odpowiedzialności karnej za złożenie fałszywego oświadczenia.
9. Wniosek o wpis, o zmianę wpisu albo o wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym.
10. Wniosek o wpis, o zmianę wpisu albo o wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, składa się przy użyciu formularza elektronicznego udostępnionego przez Prezesa UKE na stronie internetowej obsługującego go urzędu.
11. Prezes UKE dokonuje wpisu albo zmiany wpisu w wykazie, o którym mowa w ust. 1, w terminie 7 dni od dnia otrzymania wniosku o wpis albo o zmianę wpisu w tym wykazie.
12. Prezes UKE niezwłocznie wzywa integratora usług SMS do uzupełnienia wniosku niespełniającego wymagań, o których mowa w ust. 6-10, w terminie 7 dni od dnia doręczenia wezwania. Wniosek nieuzupełniony w wyznaczonym terminie pozostawia się bez rozpoznania.
13. Prezes UKE weryfikuje dane zawarte we wniosku o wpis albo o zmianę wpisu w wykazie, o którym mowa w ust. 1, z danymi zawartymi w rejestrze przedsiębiorców telekomunikacyjnych. W przypadku wystąpienia rozbieżności między danymi zawartymi w rejestrze przedsiębiorców telekomunikacyjnych a danymi zawartymi we wniosku, Prezes UKE przyjmuje dane z tego rejestru, o czym informuje integratora usług SMS.
14. Prezes UKE aktualizuje wpis w wykazie, o którym mowa w ust. 1, na podstawie danych zawartych w rejestrze przedsiębiorców telekomunikacyjnych.
15. Wpis, zmiana wpisu oraz wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, są czynnościami materialno-technicznymi.
16. Prezes UKE wykreśla integratora usług SMS z wykazu, o którym mowa w ust. 1:
1) na wniosek integratora usług SMS wpisanego w tym wykazie;
2) po wykreśleniu integratora usług SMS z rejestru przedsiębiorców telekomunikacyjnych.
Art. 15. [Wyłączenie stosowania przepisów art. 10-14]
Art. 16. [Zapobieganie i zwalczanie CLI spoofing]
Art. 17. [Jawny wykaz numerów służących wyłącznie do odbierania połączeń głosowych]
2. Prezes UKE dokonuje wpisu w wykazie, o którym mowa w ust. 1, na wniosek:
1) banku,
2) oddziału banku zagranicznego,
3) oddziału instytucji kredytowej,
4) Krajowej Spółdzielczej Kasy Oszczędnościowo-Kredytowej,
5) spółdzielczej kasy oszczędnościowo-kredytowej,
6) firmy inwestycyjnej w rozumieniu art. 3 pkt 33 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2023 r. poz. 646 i 825),
7) funduszu inwestycyjnego,
8) towarzystwa funduszy inwestycyjnych,
9) instytucji płatniczej,
10) zakładu ubezpieczeń,
11) zakładu reasekuracji,
12) jednostki sektora finansów publicznych
- w zakresie wykorzystywanych przez te podmioty numerów.
3. Prezes UKE na wniosek przedsiębiorcy telekomunikacyjnego dokonuje wpisu w wykazie, o którym mowa w ust. 1, numerów służących wyłącznie do odbierania połączeń głosowych wykorzystywanych przez przedsiębiorcę telekomunikacyjnego wyłącznie na potrzeby własnego biura obsługi klientów lub infolinii.
4. Wniosek, o którym mowa w ust. 2 albo 3, zawiera:
1) dane wnioskodawcy:
a) imię (imiona) i nazwisko, adres zamieszkania - w przypadku osób fizycznych,
b) nazwę (firmę) wnioskodawcy, adres siedziby, numer z właściwego rejestru w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
c) imię i nazwisko osoby uprawnionej do reprezentowania wnioskodawcy wraz z upoważnieniem - jeżeli dotyczy;
2) wskazanie numeru, o którym mowa w ust. 1 albo 3.
5. Do wniosku, o którym mowa w ust. 2 albo 3, dołącza się dokument potwierdzający prawo do dysponowania numerem, którego ten wniosek dotyczy.
6. W przypadku gdy wniosek, o którym mowa w ust. 2 albo 3, nie spełnia wymagań, o których mowa w ust. 4, Prezes UKE wzywa wnioskodawcę do uzupełnienia tego wniosku w terminie 7 dni od dnia otrzymania wezwania pod rygorem pozostawienia tego wniosku bez rozpoznania.
7. Prezes UKE dokonuje wpisu w wykazie, o którym mowa w ust. 1, w terminie 5 dni od dnia otrzymania wniosku, o którym mowa w ust. 2 albo 3, spełniającego wymagania, o których mowa w ust. 4 i 5.
8. Wpis w wykazie, o którym mowa w ust. 1, jest czynnością materialno-techniczną.
9. Prezes UKE pozostawia wniosek o wpis w wykazie, o którym mowa w ust. 1, bez rozpoznania, jeżeli wniosek ten został złożony przez podmiot nieuprawniony albo podmiot, któremu Prezes UKE nie przydzielił numeracji na podstawie decyzji, o której mowa w art. 126 ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, albo podmiot, który nie wykorzystuje numeracji na podstawie umowy, o której mowa w art. 31 albo art. 128 ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, w zakresie numeru wskazanego we wniosku, o którym mowa w ust. 4 pkt 2. Prezes UKE niezwłocznie informuje wnioskodawcę o pozostawieniu wniosku bez rozpoznania.
10. Wnioskodawca, który złożył wniosek, o którym mowa w ust. 2 albo 3, lub podmiot, który aktualnie korzysta z numeru wpisanego w wykazie, o którym mowa w ust. 1, może złożyć wniosek o wycofanie numeru z tego wykazu.
11. Do wniosku o wycofanie numeru z wykazu, o którym mowa w ust. 1, przepisy ust. 4-6 i 9 stosuje się odpowiednio.
12. W przypadku, o którym mowa w ust. 10, Prezes UKE niezwłocznie, jednak nie później niż w terminie 5 dni od dnia otrzymania wniosku o wycofanie numeru z wykazu, o którym mowa w ust. 1, wykreśla go z tego wykazu.
13. Wniosek, o którym mowa w ust. 2, 3 albo 10, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się do Prezesa UKE na adres do doręczeń elektronicznych Prezesa UKE.
14. Wniosek, o którym mowa w ust. 2, 3 albo 10, niespełniający wymagań, o których mowa w ust. 13, pozostawia się bez rozpoznania.
15. Przedsiębiorca telekomunikacyjny świadczący usługę połączeń głosowych niezwłocznie, nie później niż w terminie 3 dni od dnia wpisu numeru w wykazie, o którym mowa w ust. 1, blokuje połączenia przychodzące do jego sieci z wykorzystaniem numeru wpisanego w tym wykazie.
16. Przedsiębiorca telekomunikacyjny zaprzestaje blokowania połączeń przychodzących do jego sieci z wykorzystaniem numeru wpisanego w wykazie, o którym mowa w ust. 1, w terminie 3 dni od dnia wykreślenia numeru z tego wykazu.
Art. 18. [Elementy wykazu]
1) wskazanie numeru, o którym mowa w art. 17 ust. 1 albo 3;
2) datę wpisania numeru, o którym mowa w art. 17 ust. 1 albo 3, w tym wykazie;
3) datę wykreślenia numeru, o którym mowa w art. 17 ust. 1 albo 3, z tego wykazu.
Art. 19. [Środki służące realizacji obowiązków, o których mowa w art. 16]
2. Dostawca publicznie dostępnych usług telekomunikacyjnych świadczący usługi telekomunikacyjne dla co najmniej 50 000 abonentów, będący jednocześnie operatorem, może zawrzeć z Prezesem UKE porozumienie określające szczegółowe środki organizacyjne i techniczne, o których mowa w ust. 1, które będzie stosował przy realizacji obowiązków, o których mowa w art. 16.
3. Zawarcie porozumienia, o którym mowa w ust. 2, i jego prawidłowe wykonywanie stanowi spełnienie przez operatora będącego stroną tego porozumienia obowiązku, o którym mowa w art. 3 ust. 3, w zakresie, o którym mowa w art. 3 ust. 1 pkt 3.
4. Operator prawidłowo wykonujący porozumienie, o którym mowa w ust. 2, nie ponosi odpowiedzialności za niewykonanie albo nienależyte wykonanie usługi telekomunikacyjnej będące skutkiem zastosowanych środków organizacyjnych i technicznych, o których mowa w ust. 1.
5. Prezes UKE kontroluje prawidłowość stosowania środków organizacyjnych i technicznych, o których mowa w ust. 1, określonych w porozumieniu, o którym mowa w ust. 2. Do kontroli stosuje się przepisy działu X rozdziału 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne.
6. Dla przedsiębiorców telekomunikacyjnych innych niż określeni w ust. 2 Prezes UKE może wydać rekomendacje określające szczegółowe środki organizacyjne i techniczne, o których mowa w ust. 1, służące realizacji obowiązków, o których mowa w art. 16. Rekomendacje udostępnia się w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa UKE.
7. Przedsiębiorca telekomunikacyjny inny niż określony w ust. 2, prawidłowo stosujący środki organizacyjne i techniczne, o których mowa w ust. 1, określone w rekomendacjach, o których mowa w ust. 6, nie ponosi odpowiedzialności za niewykonanie albo nienależyte wykonanie usługi telekomunikacyjnej będące skutkiem wprowadzenia tych środków.
Art. 20. [Czynności podejmowane w celu ochrony użytkowników internetu przed stronami internetowymi wyłudzającymi dane]
2. W przypadku zawarcia porozumienia, o którym mowa w ust. 1, podmiotem odpowiedzialnym za prowadzenie listy ostrzeżeń jest CSIRT NASK.
3. Na listę ostrzeżeń wpisuje się domeny internetowe, które za podstawowy cel swojego działania mają wprowadzenie w błąd użytkowników internetu i doprowadzenie do wyłudzenia ich danych lub niekorzystnego rozporządzenia mieniem.
4. Każdy może zgłosić domenę internetową, o której mowa w ust. 3, do CSIRT NASK. Zgłoszenie może zawierać uzasadnienie.
5. CSIRT NASK z inicjatywy własnej lub po otrzymaniu zgłoszenia, o którym mowa w ust. 4, wpisuje na listę ostrzeżeń domenę internetową, o której mowa w ust. 3.
6. CSIRT NASK udostępnia na stronie podmiotowej Biuletynu Informacji Publicznej Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego informację określającą sposób dokonywania zgłoszeń, o których mowa w ust. 4.
7. Porozumienie, o którym mowa w ust. 1, określa co najmniej zasady współpracy stron tego porozumienia.
8. Przedsiębiorca telekomunikacyjny będący stroną porozumienia, o którym mowa w ust. 1, może uniemożliwić użytkownikom internetu dostęp do stron internetowych wykorzystujących nazwy domen internetowych wpisanych na listę ostrzeżeń, przez ich usunięcie z systemów teleinformatycznych przedsiębiorców telekomunikacyjnych służących do zamiany nazw domen internetowych na adresy IP.
9. W przypadku skorzystania z uprawnienia, o którym mowa w ust. 8, przedsiębiorca telekomunikacyjny przekieruje połączenia odwołujące się do nazw domen internetowych wpisanych na listę ostrzeżeń do strony internetowej prowadzonej przez CSIRT NASK zawierającej informację skierowaną do użytkowników internetu zawierającą w szczególności informacje o lokalizacji listy ostrzeżeń, wpisaniu szukanej nazwy domeny internetowej na listę ostrzeżeń oraz o możliwej próbie wyłudzenia danych lub niekorzystnego rozporządzania mieniem.
Art. 21. [Sprzeciw wobec wpisania domeny internetowej na listę ostrzeżeń]
2. Sprzeciw, o którym mowa w ust. 1, zawiera:
1) wskazanie domeny internetowej, której ten sprzeciw dotyczy;
2) uzasadnienie wyjaśniające, dlaczego wpisanie domeny internetowej na listę ostrzeżeń jest niezasadne;
3) dane identyfikujące podmiot posiadający tytuł prawny do domeny internetowej:
a) imię (imiona) i nazwisko, adres zamieszkania - w przypadku osób fizycznych,
b) nazwę (firmę) podmiotu, adres siedziby, numer z właściwego rejestru - w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
c) imię i nazwisko osoby uprawnionej do reprezentowania podmiotu posiadającego tytuł prawny do domeny internetowej wraz z upoważnieniem - jeżeli dotyczy.
3. Sprzeciw, o którym mowa w ust. 1, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się na adres do doręczeń elektronicznych Prezesa UKE.
4. Sprzeciw, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2 i 3, pozostawia się bez rozpoznania.
Art. 22. [Uprawnienia Prezesa UKE]
1) rozpatruje sprzeciw, o którym mowa w art. 21 ust. 1, w terminie 14 dni od dnia jego otrzymania oraz
2) niezwłocznie informuje podmiot wnoszący sprzeciw, o którym mowa w art. 21 ust. 1, o sposobie rozpatrzenia tego sprzeciwu za pomocą środków komunikacji elektronicznej, których użył podmiot wnoszący ten sprzeciw.
2. Prezes UKE, rozpatrując sprzeciw, o którym mowa w art. 21 ust. 1:
1) uwzględnia ten sprzeciw, jeżeli domena internetowa nie służy do wyłudzeń danych i niekorzystnego rozporządzania mieniem użytkowników internetu;
2) nie uwzględnia tego sprzeciwu, jeżeli domena internetowa służy do wyłudzeń danych i niekorzystnego rozporządzania mieniem użytkowników internetu.
3. W przypadku uwzględnienia sprzeciwu, o którym mowa w art. 21 ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczne, nie później niż w terminie 3 dni od dnia uwzględnienia tego sprzeciwu, usunięcie domeny internetowej z listy ostrzeżeń.
4. Nieuwzględnienie sprzeciwu, o którym mowa w art. 21 ust. 1, jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
5. Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 1-3.
6. Do postępowania w sprawie rozpatrzenia sprzeciwu, o którym mowa w art. 21 ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego nie stosuje się.
Art. 23. [Nakaz zablokowania dostępu do numeru lub usługi]
2. Decyzja, o której mowa w ust. 1, może być ogłoszona ustnie przedsiębiorcy telekomunikacyjnemu. Decyzję ogłoszoną ustnie doręcza się stronie na piśmie w terminie 14 dni od dnia jej ogłoszenia.
3. Decyzję, o której mowa w ust. 1, dotyczącą usługi o podwyższonej opłacie w rozumieniu art. 64 ust. 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, lub numeru wykorzystywanego do świadczenia usługi o podwyższonej opłacie doręcza się także podmiotowi realizującemu dodatkowe świadczenie.
4. Decyzji, o której mowa w ust. 1, nadaje się rygor natychmiastowej wykonalności.
5. Do postępowania w sprawie wydania decyzji, o której mowa w ust. 1, nie stosuje się przepisów ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego, z wyjątkiem przepisów art. 107-113 oraz działu II rozdziałów 12 i 13, które stosuje się odpowiednio.
Art. 24. [Obowiązki dostawcy poczty elektronicznej]
1) dla co najmniej 500 000 użytkowników poczty lub
2) dla podmiotu publicznego
- przy świadczeniu poczty elektronicznej ma obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).
2. Podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej mechanizmy, o których mowa w ust. 1.
3. Prezes UKE może przeprowadzić kontrolę:
1) wykonywania obowiązku, o którym mowa w ust. 1, przez dostawcę poczty elektronicznej oraz
2) wykonywania obowiązku, o którym mowa w ust. 2, przez podmiot publiczny.
4. Do kontroli, o której mowa w ust. 3, stosuje się przepisy działu X rozdziału 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne.
5. CSIRT NASK udostępnia na swojej stronie internetowej informację na temat standardów sieciowych RFC (Request for Comments) z odniesieniem do dokumentów umieszczonych na stronach internetowych organizacji Internet Engineering Task Force, które składają się na aktualną wersję opisów mechanizmów, o których mowa w ust. 1.
6. Dostawca poczty elektronicznej dla podmiotu publicznego oferuje pocztę elektroniczną umożliwiającą stosowanie metod uwierzytelniania wieloskładnikowego.
Art. 25. [Obowiązek rejestracji informacji o usługach telekomunikacyjnych]
1) obowiązków, o których mowa w art. 6, art. 13 i art. 16,
2) uprawnień, o których mowa w art. 9
- w zakresie umożliwiającym rozpatrzenie reklamacji, o której mowa w art. 106 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne.
2. Przedsiębiorca telekomunikacyjny przechowuje informacje, o których mowa w ust. 1, przez okres 12 miesięcy liczony od dnia, w którym usługa miała być wykonana, a w przypadku wniesienia reklamacji - przez okres niezbędny do rozstrzygnięcia sporu.
Art. 26. [Przetwarzanie i udostępnianie danych]
2. Przedsiębiorcy telekomunikacyjni mogą przetwarzać i wzajemnie udostępniać komunikat w celu identyfikacji, zapobiegania i zwalczania smishingu oraz wiadomości multimedialnych (MMS), o których mowa w art. 9 ust. 2.
3. Przedsiębiorca telekomunikacyjny może przetwarzać:
1) treść krótkich wiadomości tekstowych (SMS),
2) treść wiadomości multimedialnych (MMS) oraz
3) informacje o usługach telekomunikacyjnych, które nie zostały przez tego przedsiębiorcę wykonane w związku z realizacją obowiązków, o których mowa w art. 6, art. 13 i art. 16, lub uprawnień, o których mowa w art. 9
- w celu realizacji obowiązków, o których mowa w art. 3 ust. 3, art. 6, art. 13 i art. 16, oraz uprawnień, o których mowa w art. 9, a także w celach związanych z dochodzeniem roszczeń.
4. Przetwarzanie, o którym mowa w ust. 3, jest dopuszczalne tylko do końca okresu, w którym jest możliwe dochodzenie roszczeń.
5. Do przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych przepisu art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.4)) nie stosuje się w zakresie, w jakim jest to niezbędne dla identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej.
6. Przedsiębiorca telekomunikacyjny może wykonać obowiązki, o których mowa w art. 14 ust. 1 i 2 rozporządzenia wymienionego w ust. 5, przez udostępnienie informacji, o których mowa w tych przepisach, na swojej stronie internetowej lub przez umieszczenie stosownych informacji w miejscach widocznych w siedzibie lub miejscu działania administratora danych osobowych, w zakresie, w jakim dotyczy to danych osobowych pozyskanych w ramach identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej.
Art. 27. [Kara pieniężna]
1) generowania sztucznego ruchu,
2) smishingu,
3) CLI spoofingu,
4) nieuprawnionej zmiany informacji adresowej
- podlega karze pieniężnej.
2. Jeżeli czyn będący nadużyciem w komunikacji elektronicznej, o którym mowa w ust. 1, wyczerpuje jednocześnie znamiona przestępstwa, w stosunku do przedsiębiorcy telekomunikacyjnego będącego osobą fizyczną stosuje się wyłącznie przepisy o odpowiedzialności karnej.
3. Na przedsiębiorcę telekomunikacyjnego, który nie wypełnia obowiązków, o których mowa w:
1) art. 6,
2) art. 13,
3) art. 14 ust. 2,
4) art. 16,
5) art. 17 ust. 15 lub 16
- może zostać nałożona kara pieniężna, jeżeli przemawia za tym zakres lub charakter naruszenia.
4. Na dostawcę poczty elektronicznej, który nie wypełnia obowiązków, o których mowa w art. 24 ust. 1, może zostać nałożona kara pieniężna, jeżeli przemawia za tym zakres lub charakter naruszenia.
5. Kary pieniężne, o których mowa w ust. 1, 3 i 4, mogą zostać nałożone także w przypadku, gdy podmiot, o którym mowa w ust. 1, 3 lub 4, zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli Prezes UKE uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.
6. Niezależnie od kary pieniężnej, o której mowa w ust. 3, Prezes UKE może, w drodze decyzji, nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym, w szczególności osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego przedsiębiorcy telekomunikacyjnego lub związku takich przedsiębiorców, karę pieniężną w wysokości do 300% jego miesięcznego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop wypoczynkowy.
7. Prezes UKE może, w drodze decyzji, nałożyć karę pieniężną na kierownika podmiotu publicznego, jeżeli nie został wykonany obowiązek, o którym mowa w art. 24 ust. 2. Kara pieniężna nakładana jest w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego przez Prezesa Głównego Urzędu Statystycznego, w ostatnim komunikacie, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2023 r. poz. 1251, 1429 i 1672).
8. Jeżeli przemawia za tym zakres lub charakter naruszenia, Prezes UKE może, w drodze decyzji, nałożyć karę pieniężną na kierownika podmiotu publicznego, który korzysta z usług wysyłania krótkich wiadomości tekstowych (SMS) integratora usług SMS niewpisanego w wykazie, o którym mowa w art. 14 ust. 1. Kara pieniężna nakładana jest w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego przez Prezesa Głównego Urzędu Statystycznego, w ostatnim komunikacie, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych.
9. Od decyzji Prezesa UKE w sprawie nałożenia kary pieniężnej przysługuje odwołanie do Sądu Okręgowego w Warszawie - Sądu Ochrony Konkurencji i Konsumentów.
10. Kary pieniężne podlegają egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji w zakresie egzekucji obowiązków o charakterze pieniężnym.
Art. 28. [Nakładanie kary pieniężnej]
2. W przypadku gdy podmiot, o którym mowa w art. 27 ust. 1, 3 lub 4, w roku kalendarzowym poprzedzającym rok nałożenia kary pieniężnej nie osiągnął przychodu albo osiągnął przychód w wysokości nieprzekraczającej 500 000 zł, Prezes UKE, nakładając karę pieniężną, uwzględnia średni przychód osiągnięty przez ten podmiot w 3 kolejnych latach kalendarzowych poprzedzających rok nałożenia kary pieniężnej.
3. W przypadku gdy podmiot, o którym mowa w art. 27 ust. 1, 3 lub 4, nie osiągnął przychodu w okresie, o którym mowa w ust. 2, albo gdy przychód tego podmiotu w tym okresie nie przekracza 500 000 zł, Prezes UKE może nałożyć na ten podmiot karę pieniężną w wysokości nieprzekraczającej 15 000 zł.
4. W przypadku gdy przed wydaniem decyzji o nałożeniu kary pieniężnej podmiot, o którym mowa w art. 27 ust. 1, 3 lub 4, nie dysponuje danymi finansowymi niezbędnymi do ustalenia przychodu za rok kalendarzowy poprzedzający rok nałożenia kary pieniężnej, Prezes UKE, nakładając karę pieniężną, uwzględnia:
1) przychód osiągnięty przez ten podmiot w roku kalendarzowym poprzedzającym ten rok;
2) w przypadku, o którym mowa w ust. 2 - średni przychód osiągnięty przez ten podmiot w 3 kolejnych latach kalendarzowych poprzedzających ten rok.
5. W przypadku, o którym mowa w ust. 4 pkt 2, przepis ust. 3 stosuje się odpowiednio.
6. W przypadku gdy podmiot, o którym mowa w art. 27 ust. 1, 3 lub 4, powstał w wyniku połączenia lub przekształcenia innych podmiotów, obliczając wysokość jego przychodu, o którym mowa w ust. 1, Prezes UKE uwzględnia przychód osiągnięty przez te podmioty w roku kalendarzowym poprzedzającym rok nałożenia kary.
7. Ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia zakres lub charakter naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.
8. Podmiot, o którym mowa w art. 27 ust. 1, 3 lub 4, jest obowiązany do dostarczenia Prezesowi UKE, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej. W przypadku niedostarczenia danych albo gdy dostarczone dane uniemożliwiają ustalenie podstawy wymiaru kary, Prezes UKE może ustalić podstawę wymiaru kary pieniężnej w sposób szacunkowy, nie mniejszą jednak niż kwota 500 000 zł.
9. Jeżeli okres działania podmiotu, o którym mowa w art. 27 ust. 1, 3 lub 4, jest krótszy niż rok kalendarzowy, za podstawę wymiaru kary przyjmuje się kwotę 500 000 zł.
Art. 29. [Odpowiedzialność za wysyłanie lub odbieranie komunikatów lub połączeń głosowych w celu osiągnięcia korzyści]
- podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 30. [Odpowiedzialność za wysyłanie SMS w celu osiągnięcia korzyści lub wyrządzenia szkody]
- podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
3. Jeżeli czyn, o którym mowa w ust. 1, popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.
Art. 31. [Odpowiedzialność za podszywanie się pod inny podmiot]
- podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
3. Jeżeli czyn, o którym mowa w ust. 1, popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.
Art. 32. [Odpowiedzialność za niezgodną z prawem modyfikację informacji adresowej]
- podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 33. [Roczne sprawozdanie z wykonywania swoich obowiązków i uprawnień składane przez Prezesa UKE]
2. Prezes UKE składa sprawozdanie, o którym mowa w ust. 1, w terminie do dnia 31 marca danego roku kalendarzowego, za rok poprzedni.
Art. 34. [Prawo telekomunikacyjne]
1) w art. 65 w ust. 2a:
a) pkt 3 otrzymuje brzmienie:
„3) wydania decyzji, o której mowa w art. 79b ust. 1 pkt 2;”,
b) dodaje się pkt 4 w brzmieniu:
„4) wydania decyzji, o której mowa w art. 23 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703).”;
2) w art. 79b:
a) w ust. 1 uchyla się pkt 1,
b) uchyla się ust. 3;
3) w art. 192 w ust. 1 w pkt 2 w lit. b w tiret czwartym średnik zastępuje się przecinkiem i dodaje się tiret piąte w brzmieniu:
„- z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703);”.
Art. 35. [Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne]
„2a) obowiązku korzystania przy realizacji zadań publicznych z poczty elektronicznej wykorzystującej mechanizmy, o których mowa w art. 24 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703);”.
Art. 36. [Ustawa o krajowym systemie cyberbezpieczeństwa]
„4) monitorowanie występowania smishingu oraz tworzenie wzorca wiadomości wyczerpującej znamiona smishingu, o którym mowa w art. 4 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703);
5) prowadzenie i udostępnianie na swojej stronie internetowej wykazu nazw oraz ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, o którym mowa w art. 10 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej.”.
Art. 37. [Termin na uruchomienie systemu]
2. Minister właściwy do spraw informatyzacji niezwłocznie po otrzymaniu informacji, o której mowa w ust. 1, udostępnia, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, informację o uruchomieniu systemu, o którym mowa w art. 4 ust. 3.
3. Komendant Centralnego Biura Zwalczania Cyberprzestępczości, Prezes UKE i przedsiębiorcy telekomunikacyjni są obowiązani do podłączenia się do systemu, o którym mowa w art. 4 ust. 3, w terminie 3 miesięcy od dnia udostępnienia przez ministra właściwego do spraw informatyzacji informacji o uruchomieniu tego systemu.
Art. 38. [Obowiązek wdrożenia proporcjonalnych środków organizacyjnych i technicznych]
1) pkt 1 i 2 - w terminie 6 miesięcy od dnia wejścia w życie ustawy;
2) pkt 3 i 4 - w terminie 12 miesięcy od dnia wejścia w życie ustawy.
Art. 39. [Oświadczenie woli o uznaniu Porozumienia]
2. W przypadku złożenia w terminie, o którym mowa w ust. 1, oświadczeń woli przez wszystkie strony Porozumienia z 23 marca 2020 r. staje się ono porozumieniem, o którym mowa w art. 20 ust. 1, z dniem złożenia oświadczenia woli przez ostatnią ze stron. W takim przypadku postanowienia Porozumienia z 23 marca 2020 r. ograniczające stosowanie tego porozumienia do stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej stają się bezskuteczne.
3. Z dniem złożenia oświadczenia woli przez ostatnią ze stron Porozumienia z 23 marca 2020 r. lista ostrzeżeń dotycząca domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzania mieniem użytkowników internetu, prowadzona przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy na podstawie Porozumienia z 23 marca 2020 r. staje się listą, o której mowa w art. 20 ust. 1.
Art. 40. [Termin na spełnienie obowiązku, o którym mowa w art. 24 ust. 1]
2. Jeżeli dostawca poczty elektronicznej nie spełni wymagań w terminie, o którym mowa w ust. 1, umowa, o której mowa w ust. 1, może zostać jednostronnie rozwiązana przez podmiot publiczny, a dostawcy poczty elektronicznej nie przysługują roszczenia z tego tytułu.
Art. 41. [Termin na przedstawienie oferty poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego]
Art. 42. [Termin na złożenie wniosku o wpis w wykazie]
2. Jeżeli integrator usług SMS nie spełni wymagań w terminie, o którym mowa w ust. 1, umowa o świadczenie usługi wysyłania krótkich wiadomości tekstowych (SMS) może zostać jednostronnie rozwiązana przez podmiot publiczny, a integratorowi usług SMS nie przysługują roszczenia z tego tytułu.
Art. 43. [Termin na pierwsze udostępnienie danych]
Art. 44. [Termin na utworzenie wykazu, o którym mowa w art. 10 ust. 1]
2. Dla podmiotów publicznych wskazanych w art. 9 pkt 1, 2 i 8 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270, 1273, 1407, 1429, 1641 i 1693) CSIRT NASK:
1) tworzy nazwę lub skrót zastrzeżone dla podmiotu publicznego jako nadpis wiadomości pochodzącej od tego podmiotu publicznego;
2) może stworzyć warianty nazwy lub skrótu, mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego.
Art. 45. [Termin na rozpoczęcie wykonywania obowiązków określonych w art. 13]
2. Integratorzy usług SMS wpisani w wykazie, o którym mowa w art. 14 ust. 1, rozpoczną wykonywanie obowiązków określonych w art. 14 ust. 2 po upływie 6 miesięcy od dnia wejścia w życie ustawy.
Art. 46. [Termin na złożenie wniosków, o których mowa w art. 10 ust. 3 oraz art. 11 ust. 1]
Art. 47. [Wejście w życie]
1) art. 2 pkt 1, 6 i 13, art. 20-22 oraz art. 39, które wchodzą w życie z dniem następującym po dniu ogłoszenia;
2) art. 23, który wchodzi w życie z dniem 1 listopada 2023 r.;
3) art. 17, art. 18 oraz art. 27 ust. 3 pkt 1 i 5, które wchodzą w życie po upływie 6 miesięcy od dnia wejścia w życie ustawy;
4) art. 27 ust. 3 pkt 4, który wchodzi w życie po upływie 12 miesięcy od dnia wejścia w życie ustawy.
Prezydent Rzeczypospolitej Polskiej: A. Duda
1) Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającą Europejski kodeks łączności elektronicznej (Dz. Urz. UE L 321 z 17.12.2018, str. 36, Dz. Urz. UE L 334 z 27.12.2019, str. 164 oraz Dz. Urz. UE L 419 z 11.12.2020, str. 36).
2) Niniejszą ustawą zmienia się ustawy: ustawę z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, ustawę z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
3) Niniejsza ustawa została notyfikowana Komisji Europejskiej w dniu 23 lutego 2023 r. pod numerem 2023/083/PL, zgodnie z § 4 rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. poz. 2039 oraz z 2004 r. poz. 597), które wdraża postanowienia dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz. Urz. UE L 241 z 17.09.2015, str. 1).
4) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35.
- Data ogłoszenia: 2023-08-25
- Data wejścia w życie: 2023-09-25
- Data obowiązywania: 2024-11-10
- Dokument traci ważność: 2024-12-05
REKLAMA
Dziennik Ustaw
REKLAMA
REKLAMA