LegalizeObwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 27 listopada 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej
Treść obwieszczenia
Na podstawie art. 16 ust. 1 zdanie pierwsze ustawy z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych i niektórych innych aktów prawnych ogłasza się w załączniku do niniejszego obwieszczenia jednolity tekst ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej , z uwzględnieniem zmian wprowadzonych ustawą z dnia 12 lipca 2024 r. - Przepisy wprowadzające ustawę - Prawo komunikacji elektronicznej oraz zmian wynikających z przepisów ogłoszonych przed dniem 25 listopada 2024 r.
Podany w załączniku do niniejszego obwieszczenia tekst jednolity ustawy nie obejmuje:
1) art. 34-36 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej , które stanowią:
Art. 34. W ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne wprowadza się następujące zmiany: 1) w art. 65 w ust. 2a: a) pkt 3 otrzymuje brzmienie: „ 3) wydania decyzji, o której mowa w art. 79b ust. 1 pkt 2; ” , b) dodaje się pkt 4 w brzmieniu: „ 4) wydania decyzji, o której mowa w art. 23 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej . ” ; 2) w art. 79b: a) w ust. 1 uchyla się pkt 1, b) uchyla się ust. 3; 3) w art. 192 w ust. 1 w pkt 2 w lit. b w tiret czwartym średnik zastępuje się przecinkiem i dodaje się tiret piąte w brzmieniu: „ - z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703); ” . Art. 35. W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne w art. 4 po pkt 2 dodaje się pkt 2a w brzmieniu: „ 2a) obowiązku korzystania przy realizacji zadań publicznych z poczty elektronicznej wykorzystującej mechanizmy, o których mowa w art. 24 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej ; ” . Art. 36. W ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa w art. 26 w ust. 6 w pkt 3 kropkę zastępuje się średnikiem i dodaje się pkt 4 i 5 w brzmieniu: „ 4) monitorowanie występowania smishingu oraz tworzenie wzorca wiadomości wyczerpującej znamiona smishingu, o którym mowa w art. 4 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej ; 5) prowadzenie i udostępnianie na swojej stronie internetowej wykazu nazw oraz ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, o którym mowa w art. 10 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej.”. ” ;
2) art. 78 ust. 3 i art. 124 ustawy z dnia 12 lipca 2024 r. - Przepisy wprowadzające ustawę - Prawo komunikacji elektronicznej , które stanowią:
Art. 78. „3. Do postępowań wszczętych na podstawie art. 23 ust. 1 ustawy zmienianej w art. 67 i niezakończonych przed dniem wejścia w życie ustawy, o której mowa w art. 1, stosuje się przepisy dotychczasowe.
Art. 124. Ustawa wchodzi w życie po upływie 3 miesięcy od dnia ogłoszenia, z wyjątkiem: 1) art. 1, art. 39 pkt 11 lit. b w zakresie art. 16a ust. 4 pkt 2c i 2d, art. 46 pkt 5, art. 52 pkt 1, art. 63, art. 68 ust. 2, art. 80 ust. 3 i 5-8 oraz art. 120, które wchodzą w życie z dniem następującym po dniu ogłoszenia; 2) art. 44 pkt 9 w zakresie art. 20 ust. 1 pkt 2 lit. b, który wchodzi w życie z dniem 1 grudnia 2024 r.; 3) art. 39 pkt 24 i 27, które wchodzą w życie z dniem 1 stycznia 2025 r.; 4) art. 39 pkt 31, który wchodzi w życie po upływie 14 dni od dnia ogłoszenia; 5) art. 49 i art. 106, które wchodzą w życie z dniem 18 października 2024 r.
Załącznik - Tekst jednolity ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej
Art. 1.
Ustawa określa:
1) prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
2) kompetencje Prezesa Urzędu Komunikacji Elektronicznej, zwanego dalej „Prezesem UKE”, związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
3) zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej;
4) zasady świadczenia usług związanych z wysyłaniem krótkich wiadomości tekstowych (SMS) zawierających nadpisy na rzecz podmiotów publicznych;
5) zasady wnoszenia sprzeciwu przez podmiot posiadający tytuł prawny do domeny internetowej wobec wpisania tej domeny na listę ostrzeżeń;
6) obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej;
7) szczególne zasady przetwarzania informacji objętych tajemnicą komunikacji elektronicznej związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem.
Art. 2.
Określenia użyte w ustawie oznaczają:
1) CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, w rozumieniu art. 2 pkt 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ;
2) dostawca poczty elektronicznej - osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadzi, chociażby ubocznie, działalność zarobkową lub zawodową związaną ze świadczeniem poczty elektronicznej;
3) informacja adresowa - numer telefonu lub identyfikator użytkownika wysyłającego komunikat elektroniczny;
4) integrator usług SMS - dostawcę publicznie dostępnych usług telekomunikacyjnych świadczącego usługę wysyłania krótkich wiadomości tekstowych (SMS);
5) komunikat elektroniczny - komunikat elektroniczny w rozumieniu art. 2 pkt 19 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej ;
6) lista ostrzeżeń - jawną listę ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu;
7) nadpis - identyfikator krótkiej wiadomości tekstowej (SMS);
8) nadużycie w komunikacji elektronicznej - świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;
9) operator - operatora w rozumieniu art. 2 pkt 40 lit. b ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
10) poczta elektroniczna - usługę komunikacji interpersonalnej, która nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, i która umożliwia przekazywanie komunikatu elektronicznego z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje;
11) podmiot publiczny - podmiot, o którym mowa w art. 4 pkt 7-15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
12) połączenie głosowe - połączenie ustanowione za pomocą publicznie dostępnej usługi komunikacji interpersonalnej pozwalające na dwukierunkową komunikację głosową;
13) przedsiębiorca telekomunikacyjny - przedsiębiorcę telekomunikacyjnego w rozumieniu art. 2 pkt 40 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
14) sieć telekomunikacyjna - sieć telekomunikacyjną w rozumieniu art. 2 pkt 58 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
15) tajemnica komunikacji elektronicznej - tajemnicę, o której mowa w art. 386 ust. 1 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
16) uprawnione podmioty - podmioty, o których mowa w art. 43 ust. 1 pkt 1 lit. a ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
17) urządzenie telekomunikacyjne - urządzenie telekomunikacyjne w rozumieniu art. 2 pkt 74 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
18) usługa komunikacji interpersonalnej - usługę umożliwiającą bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej;
19) usługa telekomunikacyjna - usługę telekomunikacyjną w rozumieniu art. 2 pkt 80 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
20) użytkownik - użytkownika w rozumieniu art. 2 pkt 85 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej;
21) użytkownik końcowy - użytkownika końcowego w rozumieniu art. 2 pkt 86 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej.
Art. 3.
Zakazane są nadużycia w komunikacji elektronicznej, w szczególności:
1) generowanie sztucznego ruchu - wysyłanie lub odbieranie komunikatów elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
2) smishing - wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
3) CLI spoofing - nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
4) nieuprawniona zmiana informacji adresowej - niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu elektronicznego, informacji adresowej użytkownika wysyłającego komunikat elektroniczny.
Nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat elektroniczny.
Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.
Art. 4.
CSIRT NASK na podstawie krótkich wiadomości tekstowych (SMS) otrzymanych od odbiorców tych wiadomości oraz informacji otrzymanych od przedsiębiorców telekomunikacyjnych i innych podmiotów monitoruje występowanie smishingu.
CSIRT NASK na podstawie wyników monitorowania, o którym mowa w ust. 1, tworzy wzorzec wiadomości wyczerpującej znamiona smishingu, zwany dalej „wzorcem wiadomości”.
CSIRT NASK zapewnia funkcjonowanie systemu teleinformatycznego służącego do udostępniania i przekazywania informacji o wystąpieniu smishingu wraz ze wzorcem wiadomości oraz jest administratorem danych przetwarzanych w tym systemie.
CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, zapewnia dostęp do informacji o występowaniu smishingu wraz ze wzorcami wiadomości Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym.
CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, przekazuje przedsiębiorcy telekomunikacyjnemu informacje o wystąpieniu smishingu wraz ze wzorcem wiadomości.
Podmioty, o których mowa w ust. 4, w celu wymiany informacji o występowaniu smishingu wraz ze wzorcami wiadomości są obowiązane do korzystania z systemu, o którym mowa w ust. 3.
Wzorzec wiadomości CSIRT NASK udostępnia na swojej stronie internetowej, nie wcześniej niż w terminie 14 dni i nie później niż w terminie 21 dni od dnia jego przekazania przedsiębiorcy telekomunikacyjnemu w sposób, o którym mowa w ust. 5.
CSIRT NASK w przypadku uznania, że:
1) treść wzorca wiadomości nie wyczerpuje znamion smishingu, lub
2) niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości
- niezwłocznie informuje o tym podmioty, o których mowa w ust. 4, oraz zamieszcza na swojej stronie internetowej informacje o okresie, w jakim wzorzec wiadomości obowiązywał.
CSIRT NASK przetwarza dane pozyskane w związku z monitorowaniem występowania smishingu na zasadach określonych w art. 39 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Art. 5.
CSIRT NASK przyjmuje od odbiorców krótkich wiadomości tekstowych (SMS) zgłoszenia dotyczące wiadomości, co do których istnieje podejrzenie, że ich treść wyczerpuje znamiona smishingu, pod numerem skróconym 8080.
Przedsiębiorca telekomunikacyjny zapewnia swoim użytkownikom końcowym oraz CSIRT NASK możliwość bezpłatnego korzystania z numeru skróconego 8080, które polega na przekazywaniu do CSIRT NASK krótkich wiadomości tekstowych (SMS) zgłoszonych na numer skrócony 8080 oraz bezpłatną wysyłkę krótkich wiadomości tekstowych (SMS) z tego numeru przez CSIRT NASK.
Art. 6.
Przedsiębiorca telekomunikacyjny po otrzymaniu informacji, o której mowa w art. 4 ust. 5 albo 8, niezwłocznie:
1) blokuje krótkie wiadomości tekstowe (SMS), zawierające treść zgodną z treścią wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację krótkich wiadomości tekstowych (SMS), albo
2) zaprzestaje blokowania krótkich wiadomości tekstowych (SMS) w przypadku uznania, że treść wzorca wiadomości nie wyczerpuje znamion smishingu lub że niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości.
Art. 7.
Nadawca krótkiej wiadomości tekstowej (SMS) może wnieść do Prezesa UKE sprzeciw wobec zablokowania, o którym mowa w art. 6 pkt 1.
Sprzeciw, o którym mowa w ust. 1, zawiera:
1) pełną treść krótkiej wiadomości tekstowej (SMS);
2) uzasadnienie wyjaśniające, dlaczego treść krótkiej wiadomości tekstowej (SMS) nie wyczerpuje znamion smishingu;
3) wskazanie numeru wykorzystanego do nadania krótkiej wiadomości tekstowej (SMS);
4) dane identyfikujące nadawcę:
imię (imiona) i nazwisko, adres zamieszkania - w przypadku osób fizycznych,
nazwę (firmę) podmiotu, adres siedziby, numer z właściwego rejestru - w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
imię i nazwisko osoby uprawnionej do reprezentowania nadawcy wraz z upoważnieniem - jeżeli dotyczy.
Sprzeciw, o którym mowa w ust. 1, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się na adres do doręczeń elektronicznych Prezesa UKE.
Sprzeciw, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2 i 3, pozostawia się bez rozpoznania.
Art. 8.
Prezes UKE:
1) rozpatruje sprzeciw, o którym mowa w art. 7 ust. 1, w terminie 14 dni od dnia jego otrzymania oraz
2) niezwłocznie informuje nadawcę krótkiej wiadomości tekstowej (SMS) o sposobie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, za pomocą środków komunikacji elektronicznej, których użył nadawca krótkiej wiadomości tekstowej (SMS), wnosząc ten sprzeciw.
Prezes UKE, rozpatrując sprzeciw, o którym mowa w art. 7 ust. 1:
1) uwzględnia ten sprzeciw, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, nie wyczerpuje znamion smishingu, albo
2) nie uwzględnia tego sprzeciwu, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, wyczerpuje znamiona smishingu.
W przypadku uwzględnienia sprzeciwu, o którym mowa w art. 7 ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczną, nie później niż w terminie 3 dni od dnia uwzględnienia tego sprzeciwu, zmianę wzorca wiadomości w taki sposób, aby krótka wiadomość tekstowa (SMS) o treści, o której mowa w art. 7 ust. 2 pkt 1, nie była blokowana.
⋯
Niniejszy dokument nie zastępuje oficjalnej publikacji w Dzienniku Ustaw Rzeczypospolitej Polskiej. Nie ponosimy odpowiedzialności za ewentualne nieścisłości wynikające z transkrypcji oryginału do tego formatu.