Zgodnie z art. 16b ustawy o KSC, baza danych dotyczących rejestracji nazw domen zawiera m.in. dane dotyczące abonenta nazwy domeny, takie jak imię i nazwisko lub nazwa, adres poczty elektronicznej, numer telefonu. Oznacza to, że gromadzenie takich danych stanowi obowiązek prawny, a każdy abonent nazwy domeny musi być możliwy do zidentyfikowania. Brak podania takich danych oznacza brak możliwości uzyskania lub utrzymania statusu abonenta nazwy domeny internetowej. Zgodnie z art. 16b ustawy o KSC, baza danych dotyczących rejestracji nazw domen zawiera m.in. dane, które musi podać abonent nazwy domeny, czyli imię i nazwisko lub nazwę, adres poczty elektronicznej, numer telefonu. Rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen mogą gromadzić także inne istotne informacje związane z identyfikacją abonentów nazw domeny, takie jak, np. adresy, numery lub inne oznaczenia identyfikacyjne abonenta nazwy domeny zawarte w rejestrach publicznych (np. KRS, CEiDG). Zgodnie z art. 16b ustawy o KSC, dane dotyczące rejestracji nazw domen zbierają i przechowują podmioty świadczące usługi rejestracji nazw domen i rejestry nazw domen najwyższego poziomu (TLD). Podział zadań w tym zakresie kształtuje się według relacji formalnych obowiązujących dla danej domeny najwyższego poziomu (TLD). Może on polegać na tym, że podmioty świadczące usługi rejestracji nazw domen gromadzą dane podane przez abonenta nazw domen i następnie wprowadzają je do bazy rejestru nazw domen najwyższego poziomu (TLD). Podmioty świadczące usługi rejestracji nazw domen to rejestratorzy. Mogą to być także agenci działający w ich imieniu. Ustawa o KSC reguluje funkcjonowanie krajowego systemu cyberbezpieczeństwa oraz związane z tym obowiązki m.in. rejestrów nazw domen najwyższego poziomu (TLD) i podmiotów świadczących usługi rejestracji nazw domen. W pozostałym zakresie relacje prawne abonentów nazw domeny z rejestrami nazw domen najwyższego poziomu (TLD) i podmiotami świadczącymi usługi rejestracji nazw domen nie są regulowane przepisami ustawy o KSC, lecz zawieranymi pomiędzy tymi podmiotami umowami, regulaminami, itp. Dane dotyczące rejestracji nazwy domeny muszą być publikowane na stronie internetowej przez rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen. Może to nastąpić np. przez zamieszczenie danych w ogólnodostępnej bazie abonentów upublicznianej przez rejestr nazw domen najwyższego poziomu (TLD), czyli bazach takich jak Whois. Ustawa o KSC nie wprowadza takiego obowiązku, wobec czego zastosowanie w tym zakresie mają przepisy dotyczące ochrony danych osobowych, tym samym co do zasady dane osobowe nie powinny być publikowane. Nie jest natomiast wykluczone publikowanie takich danych jeżeli zapewniona została odpowiednia podstawa prawna wynikająca z RODO (np. jeżeli abonent nazwy domeny udzielił w tym zakresie stosownej zgody), a dany rejestr nazw domen najwyższego poziomu (TLD) technicznie dopuszcza możliwość publikowania takich danych. Dane osób fizycznych, korzystających z ochrony wynikającej z RODO, nie są objęte obowiązkiem publikowania. Dane innych abonentów nazw domen podlegają obowiązkowej publikacji, co dotyczy także adresu e-mail i numeru telefonu. Adresy e-mail są tworzone zawsze w domenach internetowych, więc każdy abonent nazwy domeny ma możliwość ich tworzenia. Zgodnie z zaleceniami zawartymi w motywach dyrektywy NIS2, taki abonent powinien mieć na uwadze to, aby jego adres e-mail nie zawierał danych osobowych, podając adres generyczny (np. kontakt@, biuro@, domeny@, itp.). W odmiennym przypadku taki abonent musiałby wskazać podmiotowi świadczącemu usługi rejestracji nazw domen i rejestrowi nazw domen najwyższego poziomu (TLD), że zapewnił w wymaganym zakresie istnienie odpowiedniej podstawy prawnej wynikającej z RODO, ponieważ przekazywałby tym podmiotom dane dotyczące osoby fizycznej (np. swojego pracownika, zleceniobiorcy, itp.). Nie. W każdym przypadku abonent nazwy domeny zobowiązany jest wskazać przypisany do siebie adres e-mail. Abonent nazwy domeny może korzystać z usług innych podmiotów, w tym swojego rejestratora, w celu utworzenia i technicznej lub administracyjnej obsługi adresu e-mail, jednakże adres taki podlega przypisaniu do samego abonenta. Spełnia on bowiem funkcję identyfikacyjną oraz powinien umożliwiać komunikację z abonentem nazwy domeny. Są to różne kategorie podmiotów. Rejestratorzy to główna kategoria podmiotów świadczących usługi rejestracji nazw domen (dalsze kategorie to agenci rejestratorów). Natomiast punkty kontaktowe zarządzające nazwą domeny to specyficzna kategoria usługodawców, którzy działają tylko w odniesieniu do tych domen najwyższego poziomu (TLD), w których zostało to dopuszczone. Informacji na ten temat należy poszukiwać w politykach i procedurach publikowanych przez rejestry nazw domen najwyższego poziomu (TLD), zgodnie z art. 16b ustawy o KSC. W przypadku braku informacji o takim dopuszczeniu, dane dotyczące takich podmiotów nie są umieszczane w bazie danych dotyczącej rejestracji nazw domen. Zgodnie z art. 16b ustawy o KSC, realizacja weryfikacji danych dotyczących rejestracji nazw domen stanowi obowiązek prawny, wobec czego abonent musi brać w niej udział. Procedury weryfikacyjne powinny być wyważone i proporcjonalne. Mogą one dotyczyć po prostu aktualności danych, ale czasami wiążą się z nadużyciami pojawiającymi się w Internecie, w tym tzw. „kradzieżą tożsamości” lub tzw. „uprowadzeniem domeny”. Z tego względu weryfikacja jest obowiązkowo prowadzona przy rejestracji nazwy domeny, ale może też być powtarzana, zależnie od okoliczności danego przypadku. Zgodnie z art. 16b ustawy o KSC, konieczne jest zweryfikowanie co najmniej jednego ze sposobów kontaktu z abonentem nazwy domeny. Zasady z tym związane powinny wynikać z polityk i procedur publikowanych przez rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen, zgodnie z art. 16b ustawy o KSC. Zależnie od okoliczności danego przypadku konieczna może okazać się weryfikacja więcej niż jednego ze sposobów kontaktu z abonentem nazwy domeny (zarówno w zakresie komunikacji z wykorzystaniem poczty elektronicznej jak i numeru telefonu) lub bardziej szczegółowa weryfikacja, w tym wymagająca przedstawienia dokumentów potwierdzających tożsamość osoby fizycznej. Ustawa o KSC nie określa wprost terminów w tym zakresie, natomiast wymaga, aby określone działania były podejmowane niezwłocznie. Odpowiednie terminy powinny być komunikowane przez rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen, w szczególności w treści polityk i procedur publikowanych zgodnie z art. 16b ustawy o KSC. Zgodnie z art. 16b ustawy o KSC, gromadzenie danych dotyczących rejestracji nazw domen stanowi obowiązek prawny. To samo dotyczy weryfikacji danych dotyczących rejestracji nazw domen. Odpowiednie standardy z tym związane oraz skutki ich niedotrzymania powinny być komunikowane przez rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen, w treści polityk i procedur publikowanych zgodnie z art. 16b ustawy o KSC. W przypadku, gdy abonent nazwy domeny nie zapewnia wymaganego udziału w tych działaniach, w szczególności nie dopełnia standardów wynikających z takich polityk i procedur (np. przekracza wynikające z nich terminy) może być to traktowane jako naruszenie uniemożliwiające rejestrom nazw domen najwyższego poziomu (TLD) i podmiotom świadczącym usługi rejestracji nazw domen realizację obowiązków wynikających z ustawy o KSC. Skutkiem takiej sytuacji może być brak możliwości uzyskania lub utrzymania statusu abonenta nazwy domeny internetowej, przy czym tak daleko idące środki nie powinny być stosowane bez uprzedniego wezwania abonenta nazwy domeny do dopełnienia wymagań. Tak. Rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen powinny dostosować swoje bazy danych dotyczące rejestracji nazw domen oraz opublikować polityki i procedury, o których mowa w art. 16b ustawy o KSC, w terminie 12 miesięcy liczonych od dnia 3 kwietnia 2026 r. Do tego czasu prowadzone będą działania dostosowawcze, co powinni uwzględniać także abonenci nazw domen w zakresie, który ich dotyczy, czyli przede wszystkim brać udział w procedurach weryfikacyjnych, uzupełniać brakujące dane (np. numer telefonu). Rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen są uprawnione do wymagania od abonentów zaangażowania w takie działania także w okresie dostosowawczym. Zgodnie z art. 2 pkt 11 d ustawy o KSC, podmiot świadczący usługi rejestracji nazw domen oznacza rejestratora lub agenta działającego w imieniu rejestratorów, w tym dostawcę lub odsprzedawcę usług w zakresie prywatnej rejestracji lub pośrednictwa w rejestracji. Ustawa o KSC ani Dyrektywa NIS 2 nie zawiera definicji legalnej pojęcia rejestratora ani agenta rejestratora. Oba pojęcia opisuje natomiast ENISA (The European Union Agency for Cybersecurity – Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) w dokumencie pt. DNS Identity – Verification and Authetication of Domain Name Owners (https://www.enisa.europa.eu/publications/dns-identity).
W powołanym dokumencie rejestratora (registrar) definiuje się jako jednostkę organizacyjną, która umożliwia osobom fizycznym i podmiotom (abonentom) rejestrowanie nazw domen. W trakcie procesu rejestracji rejestrator weryfikuje, czy żądana nazwa domeny spełnia polityki operatora rejestru, a następnie przekazuje tę nazwę oraz inne wymagane informacje do operatora rejestru. Rejestratorzy są również zobowiązani do gromadzenia informacji od abonentów i udostępniania tych informacji publicznie. Po dokonaniu rejestracji, abonenci mogą wprowadzać zmiany w konfiguracji swojej domeny za pośrednictwem narzędzi udostępnianych przez rejestratora. Rejestratorzy mogą sprzedawać nazwy domen w wielu domenach najwyższego poziomu (TLD) i posiadają umowne relacje z każdym z tych rejestrów.
Z kolei pojęcie „reseller nazw domen” jest opisywane jako „podmiot zewnętrzny oferujący usługi rejestracji nazw domen za pośrednictwem rejestratora (…). 3 kwietnia 2027 r. – jest to koniec terminu na wdrożenie obowiązków wynikających z ustawy o KSC (koniec okresu dostosowawczego) dla rejestrów domen najwyższego poziomu oraz rejestratorów. Prawo do żądania danych dotyczących rejestracji nazw domen, które mają znaczenie dla prowadzonego postępowania lub czynności wyjaśniających w sprawie o wykroczenie, z zachowaniem przepisów dotyczących ochrony danych osobowych, mają określone w art. 16c ustawy o KSC organy i instytucje. Są to m.in. sądy, prokuratura, Policja, Prezes Urzędu Komunikacji Elektronicznej oraz zespoły CSIRT odpowiedzialne za cyberbezpieczeństwo. Tak. Nawet gdy dane są przekazywane organom państwowym, trzeba stosować przepisy o ochronie danych osobowych. Oznacza to m.in. obowiązek odpowiedniego zabezpieczenia danych. Żądanie musi być złożone w formie elektronicznej. Dzięki temu możliwe jest szybkie przekazanie informacji i zachowanie odpowiedniej dokumentacji. Żądanie musi być podpisane w sposób potwierdzający jego autentyczność, np. podpisem kwalifikowanym lub podpisem zaufanym. Ma to zapewnić bezpieczeństwo i pewność, że pochodzi od uprawnionego podmiotu. Organ składający wniosek musi wyjaśnić, dlaczego potrzebuje danych domenowych. Pozwala to ocenić, czy żądanie jest zgodne z prawem. Rejestr lub podmiot świadczący usługi rejestracji nazw domen ma obowiązek odpowiedzieć najpóźniej w ciągu 72 godzin od otrzymania żądania. Termin ten ma zapewnić sprawne działanie organów i szybkie reagowanie na zagrożenia.