Cyberbezpieczeństwo kontra Konstytucja

Nowe przepisy o krajowym systemie cyberbezpieczeństwa (KSC), mające chronić Polskę przed cyfrowymi zagrożeniami, mogą okazać się zagrożeniem dla porządku konstytucyjnego. Ucierpieć mogą przedsiębiorcy

Nadal trwają prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jest ona konieczna, ze względu na potrzebę wdrożenie dyrektywy NIS2 do polskiego prawa. Ustanawia ona wspólne standardy i procedury dla ochrony sieci i systemów informatycznych. Tymczasem coraz bardziej zaczyna się sprawdzać powiedzenie „im dalej w las, tym więcej drzew”. Kontrowersje wokół projektu narastają już nie tylko dlatego, że mamy do czynienia z szóstą jego wersją, ale też w związku z pojawieniem się poglądów na temat niezgodności jego przepisów z Konstytucją RP.

Obawy te potwierdził prof. Ryszard Piotrowski, konstytucjonalista z Uniwersytetu Warszawskiego. Z jego opinii przygotowanej na zlecenie KIKE (Krajowej Izby Komunikacji Ethernetowej, którą kieruje Karol Skupień) wynika, że projekt w wielu miejscach łamie fundamentalne zasady państwa prawa, wolności gospodarczej i prawa własności. Przedsiębiorcy mogą być zmuszani do ponoszenia wielomilionowych strat bez odszkodowania, co stawia pod znakiem zapytania racjonalność i przyzwoitość legislacyjną państwa. Proponowane rozwiązania mogą stać się prawną pułapką dla biznesu.

Wywłaszczenie bez odszkodowania

Największe kontrowersje budzi mechanizm uznawania dostawcy sprzętu lub oprogramowania za „dostawcę wysokiego ryzyka”. Zgodnie z projektem, minister do spraw informatyzacji będzie mógł w drodze decyzji nadać taki status firmie, która jego zdaniem stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Konsekwencje będą niezwykle dotkliwe i daleko idące. Przedsiębiorcy telekomunikacyjni i inne kluczowe podmioty będą musiały w ciągu kilku lat (od 4 do 7) na własny koszt usunąć ze swojej infrastruktury wszystkie produkty i usługi pochodzące od takiego dostawcy. Problem w tym, że projekt wprost stwierdza, iż nakaz usunięcia sprzętu lub oprogramowania nie jest podstawą do przyznania odszkodowania.

Prof. Ryszard Piotrowski w swojej opinii nie ma wątpliwości, że jest to sprzeczne z Konstytucją. Przyznaje, że prawo własności nie jest prawem absolutnym i Konstytucja dopuszcza jego ograniczenia dla ochrony ważnych dóbr. Jednak, jak podkreśla, każde ograniczenie musi być konieczne w demokratycznym państwie. Jak pisze, takie działanie jest równoznaczne z pozbawieniem własności przysługującej podmiotom zobowiązanym na mocy ustawy, a więc z wywłaszczeniem na cele publiczne. Tymczasem art. 21 ust.2 Konstytucji RP jest jednoznaczny „wywłaszczenie jest dopuszczalne, jedynie wówczas, gdy jest dokonywane na cele publiczne i za słusznym odszkodowaniem”.

Brak rekompensaty to nie wszystko. Prof. Ryszard Piotrowski zarzuca również naruszenie zasady proporcjonalności w zakresie zastosowanych środków zmierzających do osiągnięcia zamierzonego celu, przewidzianej art. 2 Konstytucji RP.

Zgodnie z orzecznictwem Trybunału Konstytucyjnego, na które powołuje się autor opinii, ocena proporcjonalności musi być dokonywana pod kątem trzech kryteriów: przydatności, konieczności i proporcjonalności sensu stricto. Przyznaje, że o ile regulacja jest w stanie doprowadzić do zamierzonego skutku, o tyle nie jest niezbędna. Istnieją bowiem inne, mniej inwazyjne środki, by osiągnąć cel, jak choćby certyfikacja cyberbezpieczeństwa, czy też dywersyfikacja dostawców sprzętu i oprogramowania.

W obecnym kształcie więc, efekty regulacji nie pozostają w proporcji do nakładanych ciężarów. Ingerencja narusza także istotę samego prawa własności, polegającej na konstytucyjnie gwarantowanej wolności nabywania mienia, jego zachowania oraz dysponowania nim.

Przerzucenie kosztów na biznes

Uzasadnienie projektu ustawy w pewnym sensie samo przyznaje się do słabości państwa. Ustawodawca pisze w nim, że „państwo nie dysponuje środkami prawnymi, które umożliwiałyby skuteczną reakcję na incydent krytyczny”. Sposobem na tę bezradność ma być „swego rodzaju upaństwowienie podmiotów prywatnych”.

Zamiast budować własne zdolności, państwo przerzuca odpowiedzialność i, co najważniejsze, koszty na sektor prywatny. W opinii konstytucjonalisty czytamy bezkompromisową diagnozę tej sytuacji: „Państwo, nie będąc w stanie chronić przed incydentem krytycznym, arbitralnie obciąża konsekwencjami tej sytuacji podmioty prywatne, obciążając je zarazem kosztami przedsięwzięcia”.

Takie działanie w fundamentalny sposób narusza więc zasadę zaufania obywatela do państwa i stanowionego przez nie prawa, która wynika z art. 2 Konstytucji.

Prof. Piotrowski przypomina, że prawo nie może stawać się swoistą pułapką dla obywatela, który powinien móc układać swoje sprawy w zaufaniu, że nie naraża się na prawne skutki niedające się przewidzieć w momencie podejmowania decyzji. Tymczasem przedsiębiorcy, którzy legalnie zainwestowali w konkretną technologię, teraz dowiadują się, że ich decyzje mogą doprowadzić firmę do ruiny. Jak zauważa autor opinii, powołując się na Trybunał Konstytucyjny, zasady państwa prawnego powinny być przestrzegane szczególnie restryktywnie, gdy chodzi o akty prawne ograniczające wolności i prawa obywatelskie oraz nakładające obowiązki wobec państwa – a z takim właśnie aktem mamy do czynienia.

Co więcej, tak drastyczna ingerencja podważa fikcję racjonalności ustawodawcy, która jest podstawą systemu prawnego. Prof. Piotrowski podkreśla, że w orzecznictwie TK wskazano, iż państwo prawne opiera się na założeniu racjonalności prawodawcy, a warunkiem koniecznym realizacji tego założenia jest przestrzeganie proporcjonalności w procesie stanowienia prawa.

Gdy regulacja jest nieproporcjonalna i krzywdząca, traci znamiona racjonalizmu, a co za tym idzie – staje się niezgodna z zasadą demokratycznego państwa prawnego. Odrzucenie tej fikcji, jak ostrzega konstytucjonalista, groziłoby rozprzężeniem wszystkich więzi prawnych i społecznych.

Wyrok bez uzasadnienia

Projektowane przepisy nie tylko uderzają w majątek firm, ale także ograniczają ich fundamentalne prawo do obrony. Okazuje się, że w postępowaniu o uznanie dostawcy za „wysokiego ryzyka” nie wszystkie zainteresowane firmy będą mogły wziąć udział. Prawo to zostanie ograniczone tylko do największych podmiotów, a te z przychodami powyżej 10 mln zł, ale poniżej progu określonego w ustawie (przychód w poprzednim roku obrotowym z tytułu prowadzonej działalności w wysokości co najmniej dwudziestotysięcznej krotności przeciętnego miesięcznego wynagrodzenia w gospodarce narodowej), „będą zobowiązane do wycofania z użytkowania sprzętu i oprogramowania wskazanych w decyzji bez możliwości udziału w przedmiotowym postępowaniu”.

To nie koniec proceduralnych pułapek. Projekt wyłącza stosowanie kluczowych przepisów Kodeksu postępowania administracyjnego, takich jak prawo do bycia stroną w postępowaniu (art. 28) czy podstawowe prawa strony w toku postępowania dowodowego (art. 79) . Zdaniem prof. Ryszarda Piotrowskiego jest to złamanie zapisanej w preambule Konstytucji zasady rzetelności i sprawności działalności instytucji publicznych. Jak przypomina, Trybunał Konstytucyjny wielokrotnie podkreślał, że stworzenie instytucji w kształcie uniemożliwiającym jej rzetelne i sprawne działanie narusza zasady państwa prawnego. Ograniczenie praw proceduralnych jest bowiem równoznaczne z ograniczeniem prawa przysługującego podmiotom prawnym w demokratycznym państwie prawnym.

Nawet jeśli firma odwoła się od niekorzystnej decyzji do sądu administracyjnego, może nigdy nie poznać pełnych motywów rozstrzygnięcia. Projekt zakłada, że skarżącemu doręcza się odpis wyroku „z tą częścią uzasadnienia, która nie zawiera informacji niejawnych”. Prof. Piotrowski stanowczo stwierdza, że jest to niezgodne z art. 45 ust. 2 Konstytucji. I puentuje, że uzasadnienie jest częścią wyroku, a Konstytucja pozwala na wyłączenie jawności rozprawy, a nie samego uzasadnienia.

Polecenie ponad ustawą

Ostatnim z poważnych zarzutów jest przyznanie ministrowi prawa do wydawania tzw. poleceń zabezpieczających. Mogą one dotyczyć nieokreślonej liczby podmiotów. Problem polega na tym, że takie polecenie nie jest źródłem prawa powszechnie obowiązującego, co czyni je prawnym bytem o wątpliwej podstawie.

Prof. Piotrowski wyjaśnia, że katalog źródeł prawa jest zamknięty i określony w art. 87 Konstytucji – nie ma w nim miejsca na polecenia ministra. Akty prawa wewnętrznego, takie jak zarządzenia, mogą obowiązywać jedynie jednostki podległe organowi, który je wydał. Jak zauważa autor opinii, podmioty, do których skierowane mają być polecenia, nie są jednostkami organizacyjnie podległymi ministrowi, a zatem nie wiążą je polecenia ministra. Tworzy to sytuację, w której organ władzy wykonawczej próbuje za pomocą aktu o niejasnym statusie prawnym nakładać obowiązki na niezależne podmioty.

Konkluzja opinii jest jednoznaczna. Choć cel ustawy – zapewnienie cyberbezpieczeństwa – jest słuszny, to środki do jego osiągnięcia wykraczają poza konstytucyjne ramy. Jeśli projekt wejdzie w życie w obecnym kształcie, może nie tylko nie ochronić Polski, ale dodatkowo podważyć zaufanie obywateli do państwa i stanowionego przez nie prawa.