Obecnie w „Rejestrze operatorów pocztowych” prowadzonym przez Urząd Komunikacji Elektronicznej widnieją aż 303 rekordy. Obok operatorów pocztowych takich jak Poczta Polska, InPost, Allegro czy GLS, do rejestru wpisani są również mali przedsiębiorcy świadczący usługi pocztowe czy kurierskie lokalnie. Czy jednak wszystkie te podmioty mają takie same obowiązki, zwłaszcza w sytuacjach nadzwyczajnych jak stan wyjątkowy czy powódź?
Obowiązujące przepisy ustawy z dnia 23 listopada 2012 r. Prawo pocztowe nakładają na operatorów pocztowych szereg obowiązków, nie tylko sprawozdawczych. Jednym z nich jest obowiązek posiadania aktualnego i uzgodnionego planu działania w sytuacjach kryzysowych, stanach nadzwyczajnych oraz w przypadku wystąpienia bezpośrednich zagrożeń dla zasobów wykorzystywanych do świadczenia lub utrzymania ciągłości usług pocztowych, zwanych „sytuacjami szczególnego zagrożenia”.
Najprościej rzecz ujmując, aby przygotować się rzeczowo i organizacyjnie na przewidywane zagrożenia, przedsięwzięcia te powinny umożliwiać zachowanie ciągłości lub przywracanie świadczenia usług pocztowych. W pierwszej kolejności na rzecz organów wykonujących zadania w zakresie ratownictwa oraz niesienia pomocy ludności, podmiotom i służbom wykonującym zadania na rzecz obronności, bezpieczeństwa państwa i porządku publicznego, a następnie na rzecz pozostałych podmiotów.
Bez znaczenia jest ich rodzaj: plany powinny obejmować procedury oraz środki zaradcze nie tylko na wypadek zagrożeń meteorologicznych (powodzi o charakterze lokalnym, zamieci śnieżnych powodujących ograniczenia przewozowe) czy awarii sieci energetycznych, lecz także w sytuacji wystąpienia – niestety jak pokazał miniony rok w dalszym ciągu potencjalnie możliwych – zagrożeń związanych z wprowadzeniem stanu wyjątkowego czy nawet wojennego.
Nie. Jeśli roczne przychody operatora pocztowego z tytułu wykonywania działalności pocztowej w poprzednim roku obrotowym były równe kwocie 400 tysięcy złotych lub od niej mniejsze lub jeśli operator pocztowy wykonuje działalność pocztową wyłącznie na obszarze nieprzekraczającym granic administracyjnych jednego województwa, nie jest zobowiązany do sporządzenia planu.
W przypadku operatorów pocztowych, którzy mimo wszystko są objęci obowiązkiem sporządzenia planu, należy pamiętać o tym, iż plany sporządzone przez operatora, uzgodnione na podstawie wcześniej obowiązujących przepisów, zachowują moc do upływu terminu ich aktualizacji okresowej (tj. pięć lat od daty wprowadzenia do stosowania). Operatorzy świadczący usługi pocztowe przed dniem wejścia w życie rozporządzenia, którzy nie posiadają aktualnych i uzgodnionych planów muszą wdrożyć je w terminie 12 miesięcy od dnia wejścia w życie rozporządzenia, natomiast ci dopiero rozpoczynający świadczenie usług pocztowych po dniu wejścia w życie rozporządzenia – w terminie 12 miesięcy od rozpoczęcia świadczenia usług pocztowych.
Tryb sporządzania i aktualizacji oraz zawartość planu określa opublikowane latem ubiegłego roku rozporządzenie Rady Ministrów w sprawie planów działania operatora pocztowego w sytuacji szczególnego zagrożenia (Dz. U. z 2021 r. poz. 1478).
Plan operatora pocztowego – oprócz podstawowych danych identyfikujących jego czy osoby działające w jego imieniu – zawiera szczegółowe informacje dotyczące m.in. struktury organizacyjnej właściwej w zakresie zarządzania kryzysowego, wdrożonych procedur współpracy z innymi operatorami pocztowymi czy stosowanych systemów monitorowania i zabezpieczenia infrastruktury pocztowej.
Sporządzenie planu wymaga nie tylko przeprowadzenia dwuetapowych uzgodnień (najpierw z organami administracji publicznej, a następnie z Prezesem Urzędu Komunikacji Elektronicznej), ale także dokonania analizy szczególnych zagrożeń oraz ich wpływu na bezpieczeństwo funkcjonowania infrastruktury i usług na podstawie materiałów przekazanych przez wojewodów oraz w oparciu o własne dotychczasowe doświadczenia.
Nowością w porównaniu z wcześniej obowiązującymi regulacjami jest konieczność dokonania analizy zagrożeń cyberbezpieczeństwa oraz podatności w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Mowa tutaj o zagrożeniach związanych z atakami socjotechnicznymi (w tym phishing polegający na wyłudzaniu poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję), ataki z użyciem szkodliwego oprogramowania czy spam (niechciane lub niepotrzebne wiadomości elektroniczne mogące zawierać odnośniki do szkodliwego oprogramowania). Powyższe zagadnienie w kontekście prowadzenia działalności operatora pocztowego i sporządzenia planu wymaga nie tylko oceny, ale również zastosowania skutecznych środków (specjalistyczne oprogramowanie, firewalle) i procedur (polityka zmiany haseł, wykonywanie kopii zapasowych).
Przygotowanie planu przez operatora pocztowego wymaga także wyznaczenia w strukturze organizacyjnej przedsiębiorstwa osoby, która będzie pełnić funkcję całodobowego punktu kontaktowego operatora pocztowego i koordynować współpracę z Prezesem UKE, Ministrem Aktywów Państwowych oraz innymi służbami odpowiedzialnymi za działanie w sytuacji zarządzania kryzysowego, lecz także, której zadaniem będzie aktualizowanie planu w oparciu o bieżące analizowanie i katalogowanie wszystkich potencjalnych zagrożeń możliwych do wystąpienia na obszarze wykonywanej działalności.
Nieprzyjęcie przez operatora pocztowego planu działania w sytuacjach szczególnego zagrożenia może wiązać się z nałożeniem na niego przez Prezesa Urzędu Komunikacji Elektronicznej kary pieniężnej.
Wysokość kary pieniężnej nie może przekroczyć 2% przychodów osiągniętych przez operatora pocztowego z działalności pocztowej w roku obrotowym poprzedzającym wymierzenie kary, a w przypadku, gdy okres wykonywania działalności pocztowej jest krótszy niż 12 miesięcy – za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 500 000 EUR.
Autorka:
Anna Zawadzka
Prawnik w Kancelarii Prawnej ANSWER Wojciechowski i Partnerzy.