Poczta Polska – administrator czy procesor. Zgłoszenie naruszenia.

Poczta Polska, poza wyjątkowymi sytuacjami określonymi w ustawie z dnia 23 listopada 2012 r. Prawo pocztowe (t.j. Dz. U. z 2018 poz. 2188, dalej: p.p.), nie ma uprawnienia do zapoznawania się z treścią przekazywanych przesyłek. Nie zmienia to jednak faktu, że przetwarza dane osobowe, które się w nich znajdują.

Przetwarzanie określone w prawie

Termin „przetwarzanie”, którym posługuje się rodo jest bardzo szeroki i obejmuje wszelkie postacie wykorzystywania danych osobowych, zarówno zapoznawanie się z danymi, jak i ich przechowywanie bez zapoznania się, przenoszenie itd. Poczta przetwarza więc zarówno dane znajdujące się na przesyłce, jak i dane będące przedmiotem przesyłki i od stosowanych przez Pocztę środków (organizacyjnych, technicznych itd.) zależy bezpieczeństwo zarówno jednych jak i drugich – ponadto, co w tym wypadku najważniejsze, jedne i drugie przetwarza w celach wynikających z Prawa pocztowego, czyli spełniona jest przesłanka z art. 4 pkt 7 zd. 2 rodo:

jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

Poczta Polska jest operatorem wyznaczonym:

12) operator pocztowy – przedsiębiorcę uprawnionego do wykonywania działalności pocztowej, na podstawie wpisu do rejestru operatorów pocztowych;

13) operator wyznaczony – operatora pocztowego obowiązanego do świadczenia usług powszechnych;

Oprócz operatora wyznaczonego działają też inni operatorzy pocztowi (różne firmy kurierskie), wpisani do rejestru UKE czyli wykonujący działalność regulowaną. Dodatkowego wyjaśnienia co do definicji operatora można szukać na stronie UKE tutaj:

Operatorzy pocztowi pozostali (alternatywni) działają na rynku usług pocztowych w obszarze usług wchodzących w zakres usług powszechnych, usług kurierskich oraz innych usług pocztowych, a swoje usługi mogą świadczyć na terenie kraju, za granicą, lub na terenie kraju i za granicą, bądź tylko lokalnie (na terenie województwa, powiatu, jednej miejscowości lub nawet jej części).

Z powyższych względów należy ocenić że Poczta Polska (a także inni operatorzy pocztowi) jest administratorem obydwu rodzajów danych, przy czym nadawca również nie traci statusu administratora co do tych danych. Dodatkowo jeśli dane dotrą do adresata również on będzie administratorem danych (chyba że przetwarza je dla celów i na polecenie nadawcy), nawet jeśli na skutek błędu (nadawcy lub Poczty) dane dotrą do niewłaściwego adresata.

Obowiązek zgłoszenia naruszenia

Ustalenie, że Poczta Polska jest administratorem co do danych osobowych znajdujących się w przesyłce, nie rozwiązuje jednak problemu, na którym z administratorów spoczywa obowiązek notyfikacyjny. Nie wynika bowiem wprost z rodo, czy zgłoszenia ma dokonać administrator u którego doszło do naruszenia, czy administrator, który ma wiedzę niezbędną aby zgłoszenia dokonać i ocenić czy w ogóle występuje ryzyko uzasadniające zgłoszenie. W przypadku nadawcy i Poczty, dochodzi do specyficznej sytuacji, kiedy to do spełnienia wymogów zgłoszenia z art. 33 rodo, potrzebna jest wiedza i zaangażowanie obydwu podmiotów. Pozostaje więc rozstrzygnąć czy obydwa podmioty mają obowiązek zgłoszenia we własnym zakresie, czy też obowiązek obciąża jednego z nich, a drugi ma obowiązek współdziałać.

Ten zgłasza u którego doszło do naruszenia

Wydaje się, że obowiązek zgłoszenia powinien obciążać tego z administratorów, u którego doszło do naruszenia, czyli tego którego infrastruktura zawiodła, ze względu na to, że celem zgłoszenia jest również (a może przede wszystkim) umożliwienie organowi nadzorczemu podjęcia działań mających na celu zapobieganie podobnym naruszeniom na przyszłość przez wydawanie ostrzeżeń, zaleceń, upomnień i nakazów w stosunku do administratora lub podmiotu przetwarzającego. Można przyjąć, że nadawca spełnia swój obowiązek zgłoszenia, przez udzielenie informacji Poczcie nt. zakresu i charakteru danych, które znajdowały się z przesyłce – to pozwoli administratorowi u którego doszło do naruszenia ocenić, czy istnieje ryzyko uzasadniające zgłoszenie. Jeśliby z jakichś powodów nadawca nie współdziałał z operatorem i odmówił informacji jakie dane były w zgubionej przesyłce, operator powinien zgłosić do organu nadzorczego że zgubił przesyłkę z informacją o drugim administratorze (nadawcy) który ma wiedzę na temat zgubionej zawartości. Wtedy organ korzystając ze swoich uprawnień zażąda informacji od nadawcy, co pozwoli mu ocenić ryzyko i konieczność zawiadomienia osób, których dane dotyczą i w dalszej kolejności skierować żądanie dokonania zawiadomienia (art. 34 ust. 4 rodo, motyw 86) do administratora u którego naruszenie wystąpiło (operatora).

Aktualizacja

Wydane zostały dwa wyroki WSA dotyczące przedmiotowego zagadnienia, chociaż nie operatora wyznaczonego tylko innych operatorów pocztowych (firm kurierskich). W wyroku z 2022 WSA jednoznacznie, wg mnie błędnie, stwierdził że administratorem, którego obciąża obowiązek zgłoszenia naruszenia odo jest nadawca. W wyroku z 2021 WSA wypowiedział się odmiennie.

Wyrok WSA z 1.07.2022 r. sygn. akt II SA/Wa 4143/21 – dot Banku Millenium

Najciekawsze fragmenty uzasadnienia:

Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia.

Zdaniem skarżącego, w momencie przejęcia dokumentów, zawierających dane M. i W. G., administratorem danych zawartych w tych dokumentach stała się […]. Skoro zatem do ewentualnego naruszenia doszło w trakcie przesyłki (a ustalenia dokonane przez organ temu nie przeczą), to w tym zakresie to […] powinna wykonać obowiązki, o których mowa w art. 33 ust. 1 i 34 ust. 1 RODO. Argumentując wskazał na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 15 listopada 2021 r. sygn. II SA/Wa 2465/21.

Bank zwrócił ponadto uwagę, że proces przesyłania dokumentów za pomocą firmy kurierskiej jest szczególnie skomplikowany z punktu widzenia ochrony danych osobowych. Z jednej strony, jak wskazuje organ, co do zasady wyłącznie nadawca ma wiedzę na temat zawartości przesyłki i przetwarzanych w niej danych. Z drugiej zaś, przekazuje on przesyłkę do doręczenia profesjonalnemu podwykonawcy, na którym spoczywają obowiązki również związane z ochroną zawartości przesyłki oraz danych osobowych, wynikające wprost z przepisów prawa, co często stanowi wyznacznik statusu danego podmiotu jako administratora. Uporczywe pomijanie tej okoliczności przez organ, zarówno w niniejszym postępowaniu, jak i we wszelkich innych jego stanowiskach, przesuwa całkowitą odpowiedzialność za losy przesyłki na nadawcę. W świetle braku jakiejkolwiek kontroli nadawcy nad przesyłką w momencie wydania jej profesjonalnej firmie kurierskiej, zobowiązanej do dochowania określonego poziomu staranności – odpowiedniego dla profesjonalnego podwykonawcy – powyższe stanowisko, zdaniem Banku, nie jest słuszne.

W związku z tym, że są to dokumenty bankowe, nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę, i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych ww. naruszeniem, a także sposoby ich przetwarzania.

W przypadku nieprawidłowości w dostarczaniu przesyłki obowiązek ochrony interesów podmiotu danych z punktu widzenia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, ciąży na nadawcy przesyłki, który znając zawartość utraconej korespondencji, jest w stanie ocenić zagrożenia wynikające dla osoby, której dane dotyczą. Natomiast operator pocztowy oraz firma kurierska obowiązki administratora, w rozumieniu przepisów RODO, może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek.

Rację ma organ, że brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy odpowiedniej reakcji na naruszenie, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzeniu naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Wyrok WSA z 15.11.2021 r. sygn. II SA/Wa 2465/21 – dot Cyfrowego Polsatu

Najciekawsze fragmenty uzasadnienia:

Tymczasem Spółka nie powinna oczekiwać tylko na raportowanie przez podmiot przetwarzający naruszeń, ale wdrożyć odpowiednie rozwiązania umożliwiające weryfikację tych zobowiązań np. poprzez bieżące monitorowanie etapu doręczania przesyłek. […], powołując się na opóźnienia w raportowaniu przez przewoźnika informacji o naruszeniach, potwierdza tym samym brak mechanizmów weryfikacji po stronie Spółki.

Niezależnie od powyższego Sąd zauważa, że brak odniesienia się przez Organ do statusu prawnego podmiotu świadczącego usługi kurierskie jest tym bardziej niezrozumiałe w kontekście publicznie dostępnych i publikowanych przez PUODO wyjaśnieniach dotyczących ochrony danych osobowych, w których Organ wskazuje, że podmiot świadczący usługi kurierskie jest administratorem danych (por. fragment publikowanego na stronie internetowej BIP PUODO [w] https://uodo.qov.pl/pl/225/l467) oraz wyjaśnia, że „Inaczej jest natomiast w przypadku przetwarzania danych osobowych przez operatorów pocztowych. Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym. Zgodnie z przepisami Prawa pocztowego operatorzy pocztowi zobowiązani są do ochrony tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach pocztowych. Maję obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej (art. 41 ust. 6 tej ustawy).”

Już z powyższego wynika zatem, że Organ ma świadomość, iż skoro kwalifikacja prawna wskazanych wyżej podmiotów jest relewantna z punktu widzenia art. 4 pkt 7 RODO, zgodnie z którym administratorem danych jest podmiot, który samodzielnie lub z innymi ustala cele i sposoby przetwarzania danych osobowych, to obowiązkiem Prezesa UODO było z urzędu wyjaśnić, zgodnie z zasadą wyrażoną w art. 8 k.p.a. tj. prowadzenia postępowania w sposób budzący zaufanie do jego uczestników, kierując się zasadami proporcjonalności, bezstronności i równego traktowania, dlaczego odstąpił w przypadku spółki […] od utrwalonej praktyki, o której mowa w przywołanym „własnym” wyjaśnieniu interpretacyjnym, tj. że – co do zasady – podmiot świadczący usługi kurierskie jest administratorem danych osobowych.

W ocenie Sądu, Prezes UODO zamiast dokonać wszechstronnej analizy obowiązków każdego z tych podmiotów, poprzestał na potocznym rozumieniu pojęcia „współpraca”, używając go dla opisania relacji prawnych wiążących […] z […] i tym samym dokonał swobodnego uznania, że wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych przez szybką identyfikację naruszeń ochrony danych osobowych spoczywa na Skarżącej, pominąwszy przepisy regulujące działalność polegającą na doręczaniu przesyłek kurierskich.

Jedynie ubocznie Sąd zauważa (gdyż ustalanie stanu faktycznego w decyzjach administracyjnych poddanych kontroli sądowoadministracyjnej nie jest rolą Sądu – o czym także w dalszej części uzasadnienia), że z analizy akt sprawy wynika, że z umowy powierzenia przetwarzania danych osobowych, zawartej przez […] i […] oraz z aneksu nr 3 wynika, że Skarżąca powierzyła […] przetwarzanie danych osobowych określonego w tym dokumencie kręgu osób (w tym klientów […]), jednakże w związku z realizacją przez ten podmiot innych czynności, niż proces doręczenia przesyłek. Czynności te zostały enumeratywnie wskazane w umowie powierzenia przetwarzania danych, w § 2 ust. 2 (wymieniono tam m.in. potwierdzanie tożsamości Odbiorcy/Klienta […] na podstawie ważnego oryginału dokumentu tożsamości w przypadku opcji doręczenia do rąk własnych; weryfikację zgodności danych Klienta […] zawartych w dokumencie tożsamości z danymi wskazanymi na Liście przewozowym i w tzw. dokumentach zwrotnych; rozliczanie należności pobranych od Odbiorców/Klientow […] i ich przekazywanie […] i inne).

W związku z takimi regulacjami, uzasadniony wydaje się być pogląd skargi, że tylko więc w odniesieniu do tych czynności […] jest procesorem danych klientów […], natomiast jest samodzielnym administratorem w ramach czynności przemieszczania /przewozu i doręczenia przesyłek do odbiorców.

Zaznaczenia wymaga, że Sąd powyższy pogląd wyraża w formie warunkowej, gdyż Organ do tej kwestii w ogóle nie odniósł się i dlatego przyjęta „teza” de iure uchyla się spod merytorycznej kontroli legalności aktu w tym zakresie.

Tymczasem, jak już to wcześniej wskazywano, powyższe ma zasadnicze znaczenie z punktu widzenia zasadności zarzucanych Skarżącej przez Organ naruszeń art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO, gdyż jeśli Organ ustali, że to firma […] przy realizowaniu przedmiotowej umowy oraz w świetle wskazanych wyżej przepisów jest administratorem danych osobowych w ramach usług kurierskich, to w konsekwencji należałoby przyjąć, że Skarżąca nie miała obowiązku (ani uprawnień) w zakresie wdrażania środków technicznych i organizacyjnych dotyczących zapewnienia bezpieczeństwa przetwarzania danych osobowych, gdyż te należały do innego administratora (tj. […]).

W powyższym kontekście jako trafny uznać należy zarzut skargi, że Prezes UODO „wadliwie pominął, iż w zakresie, w jakim przetwarzanie danych i naruszenia ochrony danych badane w postępowaniu związane były z wykonywaniem usług pocztowych, […] działał jako samodzielny administrator w rozumieniu art. 4 pkt 7 RODO (…)” a w związku z tym, poprzez brak ustaleń faktycznych w tym zakresie, nie było podstaw do przypisania Skarżącej odpowiedzialności za naruszenie art. 24 ust. 1 RODO i art. 32 ust. 1 i 2 RODO.

Niezależnie od powyższego Sąd zauważa, że gdyby nawet w odniesieniu do którychkolwiek naruszeń objętych postępowaniem, w jakimś zakresie […] występował w roli podmiotu przetwarzającego dane w związku z ich powierzeniem przez […] – czego, jak już stwierdzono wcześniej, Organ nie i nie ustalił – przypisanie Skarżącej odpowiedzialności za naruszenie art. 24 ust. 1 RODO i art. 32 ust.l i 2 RODO w tym zakresie również uznać należy za błędne, gdyż Organ pominął zakres odpowiedzialności […] jako procesora (oczywiście pod warunkiem, gdyby w istocie występował w tej roli w określonym zakresie).

Podsumowanie

Obydwa powołane wyroki WSA są nieprawomocne. Moim zdaniem znacznie bliżej prawidłowej wykładni jest wyrok z 2021 r. Działalność pocztowa jest działalnością regulowaną, cele administratora (operatora pocztowego) są określone w prawie stanowionym, w tym wypadku w Prawie pocztowym (art. 4 pkt 7 zd. 2 rodo) – jedynie pokrywają się z celami nadawcy, nadawca też jest administratorem ale nie dla celu (procesu) usługi pocztowej. Jak wiadomo ten sam zakres danych może mieć różnych administratorów i procesorów, ponieważ dane te są wykorzystywane w różnych procesach (celach). Fakt, że nadawca ma wiedzę pozwalającą operatorowi pocztowemu dokonać oceny ryzyka naruszenia praw osoby, której dane znajdują się w przesyłce, nie zdejmuje z operatora statusu administratora. Problematyczne może być tylko to, który z administratorów, nadawca czy operator pocztowy, ma obowiązek ocenić ryzyko i zgłosić naruszenie. Wykładnia funkcjonalna przemawia za przypisaniem tego obowiązku administratorowi u którego doszło do naruszenia czyli operatorowi pocztowemu, ponieważ on powinien otrzymać od organu nadzorczego informację zwrotną w postaci pouczenia, jak ma zorganizować proces wykonania usługi pocztowej dla którego ma status administratora, żeby zminimalizować możliwość zaistnienia naruszenie odo w przyszłości (taka jest podstawowa funkcja zgłaszania naruszeń). Usługa pocztowa obejmuje dane nadawcy, adresata i dane znajdujące się w przesyłce, wobec tego wszystkie te dane objęte są celami określonymi w Prawie pocztowym, operator jest administratorem co do nich wszystkich.

Przepisy

Art. 2. [Usługa pocztowa]
1. Usługę pocztową stanowi, wykonywane w obrocie krajowym lub zagranicznym, zarobkowe:
1) realizowane łącznie lub rozdzielnie przyjmowanie, sortowanie, doręczanie przesyłek pocztowych oraz druków bezadresowych;
2) przemieszczanie przesyłek pocztowych oraz druków bezadresowych, jeżeli jest wykonywane łącznie z przynajmniej jedną spośród czynności, o których mowa w pkt 1;
3) przesyłanie przesyłek pocztowych przy wykorzystaniu środków komunikacji elektronicznej, jeżeli na etapie przyjmowania, przemieszczania lub doręczania przekazu informacyjnego przyjmują one fizyczną formę przesyłki listowej;
4) prowadzenie punktów wymiany umożliwiających przyjmowanie i wymianę korespondencji między podmiotami korzystającymi z obsługi tych punktów;
5) realizowanie przekazów pocztowych.
2. Nie stanowi usługi pocztowej:
1) przemieszczanie i doręczanie własnych przesyłek, jeżeli jest wykonywane bez udziału osób trzecich;
2) przewóz rzeczy innych niż korespondencja, wykonywany na podstawie odrębnych przepisów;
3) wzajemna nieodpłatna wymiana korespondencji dokonywana przez wymieniające się podmioty;
4) przyjmowanie, sortowanie, przemieszczanie i doręczanie przesyłek przez pocztę specjalną ministra właściwego do spraw wewnętrznych;
5) przyjmowanie, sortowanie, przemieszczanie i doręczanie przesyłek przez wojskową pocztę polową.

Art. 3. [Definicje] Użyte w ustawie określenia oznaczają:

19) przesyłka kurierska – przesyłkę listową będącą przesyłką rejestrowaną lub paczkę pocztową, przyjmowaną, sortowaną, przemieszczaną i doręczaną w sposób łącznie zapewniający:
a) rejestrację dnia i godziny nadania przesyłki pocztowej,
b) śledzenie przesyłki pocztowej od momentu nadania do momentu doręczenia,
c) doręczenie przesyłki pocztowej w gwarantowanym terminie określonym w regulaminie świadczenia usług pocztowych lub w umowach oświadczenie usług pocztowych,
d) doręczenie przesyłki pocztowej adresatowi lub osobie uprawnionej do odbioru w miejscu określonym przez nadawcę lub uzgodnionym z adresatem, w sposób zapewniający rejestrację dnia i godziny doręczenia przesyłki pocztowej;

20) przesyłka listowa – przesyłkę pocztową z korespondencją lub druk, z wyłączeniem przesyłek reklamowych;

21) przesyłka pocztowa – rzecz opatrzoną oznaczeniem adresata i adresem, przedłożoną do przyjęcia lub przyjętą przez operatora pocztowego w celu przemieszczenia i doręczenia adresatowi;

22) przesyłka polecona – przesyłkę listową będącą przesyłką rejestrowaną, przemieszczaną i doręczaną w sposób zabezpieczający ją przed utratą, ubytkiem zawartości lub uszkodzeniem;

23) przesyłka rejestrowana – przesyłkę pocztową przyjętą za pokwitowaniem przyjęcia i doręczaną za pokwitowaniem odbioru;

Art. 6. [Obowiązek wpisu do rejestru operatorów pocztowych]
1. Działalność pocztowa jest działalnością regulowaną w rozumieniu przepisów ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2023 r. poz. 221, 641 i 803) i wymaga wpisu do rejestru operatorów pocztowych, zwanego dalej „rejestrem”.
2. Nie wymaga wpisu do rejestru działalność pocztowa polegająca na przyjmowaniu, sortowaniu, przemieszczaniu i doręczaniu druków bezadresowych.
3. Nie wymaga wpisu do rejestru działalność wykonywana przez agenta pocztowego na podstawie umowy agencyjnej, zawartej z operatorem pocztowym.
4. Nie wymaga wpisu do rejestru działalność pocztowa wykonywana przez podwykonawcę w imieniu operatora pocztowego na podstawie umowy zawartej w formie pisemnej.
5. Czasowe świadczenie usług pocztowych innych niż usługi powszechne przez przedsiębiorców z państw członkowskich w rozumieniu art. 3 pkt 6 ustawy z dnia 6 marca 2018 r. o zasadach uczestnictwa przedsiębiorców zagranicznych i innych osób zagranicznych w obrocie gospodarczym na terytorium Rzeczypospolitej Polskiej (Dz. U. z 2022 r. poz. 470) wymaga uzyskania wpisu do rejestru. Przepisy ust. 2-4 stosuje się.

Art. 7. [Wymagania wobec przedsiębiorcy wykonującego działalność pocztową]

Działalność pocztową w zakresie objętym obowiązkiem wpisu do rejestru może wykonywać przedsiębiorca, który:
1) zapewnia warunki do przestrzegania tajemnicy pocztowej, o której mowa w art. 41;
2) zapewnia warunki techniczne i organizacyjne świadczenia usług pocztowych niezbędne dla zachowania bezpieczeństwa obrotu pocztowego;
3) posiada regulamin świadczenia usług pocztowych oraz cennik usług pocztowych;
4) nie był prawomocnie skazany za umyślne przestępstwo przeciwko ochronie informacji, wiarygodności dokumentów, mieniu, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi lub umyślne przestępstwo skarbowe – dotyczy to osób fizycznych wykonujących we własnym imieniu działalność gospodarczą lub osób kierujących działalnością osób prawnych lub jednostek organizacyjnych niebędących osobami prawnymi, którym odrębna ustawa przyznaje zdolność prawną;
5) zapewnia, że wykonywanie działalności objętej wpisem do rejestru nie zagraża obronności, bezpieczeństwu państwa lub bezpieczeństwu i porządkowi publicznemu.

Art. 8. [Organ właściwy w sprawach wpisu do rejestru]

Organem właściwym w sprawach wpisu do rejestru jest Prezes Urzędu Komunikacji Elektronicznej, zwany dalej „Prezesem UKE”.

Art. 39. [Zwrot przesyłki pocztowej niewłaściwie doręczonej do oddawczej skrzynki pocztowej]
1. Przesyłka pocztowa niewłaściwie doręczona do oddawczej skrzynki pocztowej z powodu mylnego lub nieaktualnego adresu lub oznaczenia adresata albo nieprawidłowego doręczenia może być zwrócona operatorowi pocztowemu przez:
1) wrzucenie przesyłki do skrzynki na zwroty, jeżeli taka skrzynka została umieszczona przez właściciela lub współwłaściciela nieruchomości;
2) przekazanie przesyłki w placówce pocztowej operatora pocztowego, który zamieścił na przesyłce informację potwierdzającą przyjęcie przez niego opłaty za usługę pocztową, osobie upoważnionej przez tego operatora;
3) przekazanie przesyłki osobie upoważnionej do doręczania przesyłek przez operatora pocztowego, który zamieścił na przesyłce informację potwierdzającą przyjęcie przez niego opłaty za usługę pocztową;
4) wrzucenie przesyłki do nadawczej skrzynki pocztowej operatora wyznaczonego, po uprzednim naniesieniu napisu „ZWROT”.
2. Operator wyznaczony jest obowiązany do:
1) wydzielania zwrotów ze swoich nadawczych skrzynek pocztowych od nadanych przesyłek pocztowych oraz odbierania zwrotów ze skrzynek na zwroty, jeżeli właściciel lub współwłaściciel nieruchomości to umożliwia;
2) przekazywania zwrotów właściwym operatorom pocztowym, którzy zamieścili na przesyłkach informacje potwierdzające przyjęcie przez nich opłaty za usługę pocztową.
3. Operator pocztowy, który zamieścił na przesyłce pocztowej informację potwierdzającą przyjęcie przez niego opłaty za usługę pocztową, jest obowiązany do przyjęcia zwrotu tej przesyłki.
4. Operator pocztowy, który zamieścił na przesyłce pocztowej informację potwierdzającą przyjęcie przez niego opłaty za usługę pocztową, jest obowiązany do uiszczenia opłaty za czynności operatora wyznaczonego związane z wykonaniem zwrotu, jeżeli operator wyznaczony określił taką opłatę w cenniku usług pocztowych.
5. W przypadku gdy w skrzynce na zwroty lub nadawczej skrzynce pocztowej operatora wyznaczonego znajduje się:
1) przesyłka pocztowa, której nie można zwrócić właściwemu operatorowi pocztowemu z jednoczesnym pobraniem stosownej opłaty – operator wyznaczony traktuje tę przesyłkę jako niedoręczalną;
2) druk bezadresowy – operator wyznaczony jest uprawniony do jego zniszczenia.

Art. 41. [Tajemnica pocztowa]
1. Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach pocztowych, informacje dotyczące realizowania przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług.
2. Do zachowania tajemnicy pocztowej są obowiązani:
1) operator pocztowy;
2) osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej.
3. Naruszeniem obowiązku zachowania tajemnicy pocztowej jest w szczególności:
1) ujawnianie lub przetwarzanie informacji albo danych objętych tajemnicą pocztową;
2) otwieranie zamkniętych przesyłek pocztowych lub zapoznawanie się z ich treścią;
3) umożliwianie osobom nieuprawnionym podejmowania działań mających na celu wykonywanie czynności, o których mowa w pkt 1 i 2.
4. Nie stanowi naruszenia obowiązku zachowania tajemnicy pocztowej:
1) podejmowanie działań, o których mowa w ust. 3 pkt 1 i 2, w przypadkach przewidzianych przepisami prawa lub w umowie o świadczenie usługi pocztowej;
2) posługiwanie się przez operatora pocztowego referencjami obejmującymi dane dotyczące podmiotów korzystających z jego usług pocztowych oraz rodzajów tych usług, w przypadku gdy dane te są publikowane za zgodą podmiotów, których one dotyczą.
5. Obowiązek zachowania tajemnicy pocztowej jest nieograniczony w czasie.
6. Operator pocztowy jest obowiązany do zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej.

Art. 42. [Zbieranie, przetwarzanie i udostępnianie informacji objętych tajemnicą pocztową]

Informacje lub dane objęte tajemnicą pocztową mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te dotyczą świadczonej usługi pocztowej albo są niezbędne do jej wykonania lub jeżeli przepisy odrębne stanowią inaczej.

Art. 43. [Sprawozdanie z działalności pocztowej]
1. Operator pocztowy jest obowiązany do corocznego przedkładania Prezesowi UKE, w terminie do dnia 31 marca, sprawozdania z działalności pocztowej w poprzednim roku.
2. W sprawozdaniu zamieszcza się informacje dotyczące:
1) sprzedaży usług pocztowych w ujęciu ilościowym i wartościowym w podziale na:
a) usługi powszechne,
b) usługi wchodzące w zakres usług powszechnych,
c) przesyłki kurierskie,
d) inne usługi pocztowe;
2) średniorocznego zatrudnienia;
3) liczby placówek pocztowych, w tym jednostek organizacyjnych agentów pocztowych;
4) liczby nadawczych skrzynek pocztowych oraz automatów do pocztowej obsługi klientów;
5) liczby i rodzajów złożonych reklamacji, w podziale na usługi, o których mowa w pkt 1, sposobu ich rozpatrzenia oraz liczby i wysokości wypłaconych odszkodowań;
6) dostępu do elementów infrastruktury pocztowej;
7) rzeczywistego obszaru wykonywanej działalności pocztowej;
8) okresu wykonywania działalności pocztowej;
9) formy prawnej przedsiębiorcy i danych teleadresowych;
10) przynależności do grupy kapitałowej.
3. Do sprawozdania z działalności pocztowej należy dołączyć:
1) aktualny wykaz adresów placówek pocztowych w podziale na:
a) jednostki organizacyjne operatora pocztowego i inne wyodrębnione i oznaczone przez niego miejsca, w których można zawrzeć umowę o świadczenie usługi pocztowej lub odebrać przesyłkę pocztową lub kwotę pieniężną określoną w przekazie pocztowym,
b) jednostki organizacyjne agentów pocztowych;
2) cennik usług pocztowych stosowany w okresie objętym sprawozdaniem.
4. Prezes UKE może nałożyć na operatora pocztowego obowiązek przedłożenia, w terminie nie krótszym niż 14 dni, innych informacji niezbędnych do wykonania przepisów tej ustawy.
5. Obowiązkowi przedłożenia sprawozdania z działalności pocztowej, w terminie określonym w ust. 1, podlega podmiot wykreślony z rejestru, za okres wykonywanej działalności pocztowej w roku, w którym nastąpiło wykreślenie z rejestru.
5a. Operator pocztowy, który w poprzednim roku nie wykonywał działalności pocztowej, składa w terminie do dnia 31 marca oświadczenie o niewykonywaniu tej działalności wraz z informacjami, o których mowa w ust. 2 pkt 2-4, 9 i 10.
6. Na podstawie informacji uzyskanych od operatorów pocztowych oraz podmiotów, o których mowa w ust. 5, Prezes UKE corocznie, w terminie do dnia 31 maja, przedkłada ministrowi właściwemu do spraw łączności raport o stanie rynku pocztowego za rok ubiegły łącznie z wynikami kontroli działalności pocztowej oraz publikuje go w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa UKE, zwanej dalej „stroną podmiotową BIP”, z zachowaniem wymogów dotyczących ochrony tajemnicy przedsiębiorstwa.
7. Minister właściwy do spraw łączności określi, w drodze rozporządzenia, wzór formularza służącego do przedkładania Prezesowi UKE sprawozdania z działalności pocztowej wraz z objaśnieniami, co do sposobu jego wypełnienia, kierując się koniecznością zapewnienia Prezesowi UKE informacji, o których mowa w ust. 2, oraz mając na uwadze zapewnienie czytelności i kompletności wzoru formularza i objaśnień.

Art. 45. [Usługi powszechne]
1. Do usług powszechnych zalicza się świadczone w obrocie krajowym i zagranicznym w ramach obowiązku, o którym mowa w art. 46, usługi pocztowe obejmujące:
1) przyjmowanie, sortowanie, przemieszczanie i doręczanie:
a) przesyłek listowych, w tym poleconych i z zadeklarowaną wartością, o wadze do 2000 g i liczonych z tolerancją 2 mm wymiarach:
– maksymalnych – 900 mm, stanowiących sumę długości, szerokości i wysokości, przy czym największy wymiar nie może przekroczyć 600 mm, a w przypadku przesyłki listowej w formie rulonu – 1040 mm, stanowiących sumę długości i podwójnej średnicy, przy czym największy wymiar nie może przekroczyć 900 mm,
– minimalnych – 170 mm w przypadku przesyłki listowej w formie rulonu, stanowiących sumę długości i podwójnej średnicy, przy czym największy wymiar nie może być mniejszy niż 100 mm,
– minimalnych strony adresowej – 90 x 140 mm,
b) przesyłek dla ociemniałych,
c) paczek pocztowych, w tym z zadeklarowaną wartością, o masie do 10 000 g i sumie wymiarów (długość, szerokość, wysokość) nieprzekraczającej 3000 mm, przy czym najdłuższy wymiar nie przekracza 1500 mm;
2) sortowanie, przemieszczanie i doręczanie nadesłanych z zagranicy paczek pocztowych o masie do 20 000 g i wymiarach, o których mowa w pkt 1 lit. c.
2. Usług pocztowych, o których mowa w ust. 1, świadczonych dla nadawców masowych nie zalicza się do usług powszechnych.

Art. 46. [Obowiązek świadczenia usług powszechnych]
1. Do świadczenia usług powszechnych na terytorium całego kraju jest obowiązany operator wyznaczony.
2. Obowiązek, o którym mowa w ust. 1, obejmuje świadczenie usług powszechnych:
1) w sposób jednolity w porównywalnych warunkach;
2) przy zapewnieniu na terytorium całego kraju rozmieszczenia:
a) placówek pocztowych operatora wyznaczonego zgodnie z przepisami wydanymi na podstawie art. 47 pkt 3 oraz
b) nadawczych skrzynek pocztowych odpowiedniego do zapotrzebowania na danym terenie;
3) z zachowaniem wskaźników czasu przebiegu przesyłek pocztowych;
4) po przystępnych cenach;
5) z częstotliwością zapewniającą co najmniej jedno opróżnianie nadawczej skrzynki pocztowej i doręczanie przesyłek pocztowych, co najmniej w każdy dzień roboczy i nie mniej niż przez 5 dni w tygodniu z wyłączeniem dni ustawowo wolnych od pracy;
6) w sposób umożliwiający uzyskanie przez nadawcę dokumentu potwierdzającego odbiór przesyłki rejestrowanej.

Art. 126. [Kary pieniężne za naruszenie przepisów ustawy; wysokość kar]
1. Karze pieniężnej podlega podmiot, który:
1) wykonuje działalność pocztową bez wymaganego wpisu do rejestru;
2) nie udziela informacji lub nie dostarcza dokumentów, o których mowa w art. 10 ust. 1, art. 43 ust. 1, 5 i 5a, art. 50 lub art. 86 ust. 1;
3) stosuje znaki opłaty pocztowej niezgłoszone do wykazu znaków opłaty pocztowej lub znaki niezgodne z wymaganiami ustawy;
4) będąc operatorem pocztowym narusza obowiązek zachowania tajemnicy pocztowej; (…)