DANE OSOBOWE I PRYWATNOŚĆ
Projekt rozporządzenia o prywatności i łączności elektronicznej
W dniu 21.2.2021 r. Rada Unii Europejskiej przyjęła nową wersję projektu rozporządzenia o prywatności i łączności elektronicznej (rozporządzenie o e-Prywatności).
Finalny tekst projektu rozporządzenia jest teraz wypracowywany z Parlamentem Europejskim w ramach tzw. trilogu. Ochroną przewidzianą w rozporządzeniu objęte będą zarówno osoby fizyczne, jak osoby prawne. Z uwagi na poszerzenie pojęcia „usługi łączności elektronicznej” w Europejskim kodeksie łączności elektronicznej, rozporządzenie o e-Prywatności obejmie również usługi łączności interpersonalnej, takie jak poczta elektroniczna, komunikatory i czaty internetowe. Do najważniejszych obszarów regulowanych projektem rozporządzenia zaliczyć należy:
a) objęcie ochroną metadanych „generowanych” w związku z transmisją komunikatów w sieciach łączności elektronicznej,
b) ochronę prywatności w związku ze stosowaniem rozwiązań Machine-to-Machine (M2M), w tym Internetu rzeczy (IoT),
c) ochronę prywatności w związku z korzystaniem z publicznych HotSpotów,
d) nowe zasady korzystania z cookies i innych technologii śledzących użytkowników,
e) nowe warunki prowadzenia marketingu bezpośredniego w sieciach łączności elektronicznej.
W niektórych sprawach konieczne będzie wydanie przepisów krajowych, uzupełniających rozporządzenie o e-Prywatności. Dotyczy to m.in. wskazania organu odpowiedzialnego za nadzór nad jego przepisami oraz wyboru procedury zgodnie z którą rozstrzygane będą sprawy z zakresu jego obowiązywania.
Uchwalenie rozporządzenia o e-Prywatności planowane jest na 2021 r., w projekcie przewidziano 24-miesięczny okres dostosowawczy.
Paneuropejski kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze obliczeniowej
W dniu 20.5.2021 r. belgijski urząd ochrony danych zatwierdził pierwszy paneuropejski kodeks postępowania (RODO) – European Union Cloud Code of Conduct (EU Cloud CoC). Jego zatwierdzenie poprzedziła pozytywna opinia Europejskiej Rady Ochrony Danych. Podmiotem monitorującym przestrzeganie postanowień kodeksu została organizacja SCOPE Europe.
Kodeks jest skierowany do dostawców usług w chmurze, niezależnie od rodzaju świadczonych przez nich usług (np. IaaS, PaaS, czy SaaS). Dotyczy on wszystkich rodzajów chmury (prywatna, hybrydowa, publiczna). Kodeks obowiązuje jedynie w relacjach „business-to-business” (B2B) i to w sytuacjach w których dostawca chmury pełni rolę podmiotu przetwarzającego (procesor). Nie stosuje się natomiast do umów, w których dostawca jest administratorem, jak również wówczas, gdy świadczy on usługi dla użytkowników, będących konsumentami (B2C). Postanowienia kodeksu odpowiednio stosują się do „innych podmiotów przetwarzających” (podprocesor).
EU Cloud CoC stanowi instrument wykazania zgodności z przepisami RODO (art. 40). W konsekwencji, sygnatariuszy kodeksu uznać należy za podmioty dające gwarancje, o których mowa w art. 28 ust.1 i 4 RODO („gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, zgodnych z RODO”).
EU Cloud CoC konkretyzuje wymagania art. 28 RODO oraz innych przepisów RODO, istotnych dla przetwarzania danych w chmurze. Dotyczy to m.in. w szczególności podstaw przetwarzania danych osobowych (art. 5), środków bezpieczeństwa danych (art. 32), zgłaszania naruszeń ochrony danych (art. 33 i n.), czy podstaw transferu danych do państwa trzeciego (art. 44 i n). Wymagania kodeksu zostały ujęte w aneksie w postaci listy kontrolnej. Odnoszą się one m.in. do norm: ISO/IEC 27001:2013, ISO/IEC 27018:2019 oraz ISO/IEC 27701:2019.
Przystąpienie do kodeksu jest dobrowolne, w pierwszych dniach jego obowiązywania do przestrzegania jego zasad zobowiązali się już najwięksi dostawcy chmury. Podkreśla to rolę kodeksu jako kluczowego dokumentu dla przetwarzania danych osobowych w chmurze.
https://cispe.cloud/code-of-conduct/
[oprac. X. Konarski]
CYBERBEZPIECZEŃSTWO
Prawo komunikacji elektronicznej – realizacja wymogów unijnych oraz rozszerzenie obrony przed naruszeniami cyberbezpieczeństwa
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11.12.2018 r. wprowadzająca Europejski kodeks łączności elektronicznej ustanowiła zharmonizowane ramy prawne dla regulacji dotyczących sieci łączności elektronicznej, usług łączności elektronicznej, urządzeń i usług towarzyszących, jak również dotyczy niektórych aspektów urządzeń końcowych.
Jeden z celów dyrektywy 2018/1972 obejmuje konieczność zapewnienia bezpieczeństwa sieci i usług. Aktualnie, w Polsce, na etapie legislacyjnym znajduje się projekt ustawy – Prawo komunikacji elektronicznej oraz projekt ustawy zawierającej przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej. Wymienione ustawy nie tylko mają za zadanie implementację dyrektywy, ale ich wejście w życie doprowadzi do uchylenia ustawy z 16.7.2004 r. – Prawo telekomunikacyjne. Ulegnie przy tym rozszerzeniu krąg podmiotów zaliczanych do systemu cyberbezpieczeństwa o przedsiębiorców komunikacji elektronicznej, przez których należy rozumieć również przedsiębiorców telekomunikacyjnych (obecnie obszary objęte ustawą o krajowym systemie cyberbezpieczeństwa dotyczą tylko: energii, transportu, zaopatrzenia w wodę, infrastruktury cyfrowej, bankowości, ochrony zdrowia). Prawo komunikacji elektronicznej obejmuje regulacje dotyczące m.in. zasad wykonywania komunikacji elektronicznej, czyli działalności telekomunikacyjnej oraz świadczenie publicznie dostępnych usług komunikacji interpersonalnej niewykorzystującej numerów; jak również prawa i obowiązki przedsiębiorców komunikacji elektronicznej; zasady zapewniania dostępu i korzystania z lokalnej sieci radiowej; zadania i obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie komunikacji elektronicznej; prawa użytkowników końcowych; zasady przetwarzania danych osobowych w ramach świadczenia publicznie dostępnych usług komunikacji elektronicznej; zasady ochrony tajemnicy komunikacji elektronicznej. Zgodnie z projektowaną definicją przez dostawcę usług komunikacji elektronicznej nowa ustawa rozumie dostawcę publicznie dostępnych usług telekomunikacyjnych lub podmiot świadczący publicznie dostępne usługi komunikacji interpersonalnej niewykorzystujące numerów.
Dyrektywa NIS 2
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji lub dyrektywa NIS 2) w zamiarze prawodawcy unijnego ma dotyczyć średnich i dużych podmiotów z większej liczby sektorów w porównaniu do NIS 1, np. wśród obszarów kluczowych pojawia się administracja publiczna i przestrzeń kosmiczna, stosownie do ich krytyczności dla gospodarki i społeczeństwa.
Wśród tzw. podmiotów ważnych z punktu widzenia cyberbezpieczeństwa wymienia się np. usługi pocztowe i kurierskie, produkcję samochodów, żywności. Podmioty z obydwu kategorii (kluczowe i ważne) będą musiały spełniać obowiązki związane z analizą ryzyka i polityką bezpieczeństwa systemów informatycznych, obsługiwać incydenty (zapobieganie, wykrywanie i reagowanie na incydenty); zapewnić ciągłości działania i zarządzania kryzysowego, a także bezpieczeństwo łańcucha dostaw oraz bezpieczeństwo w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych (w tym obsługa i ujawniania podatności), stosować procedury (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa oraz wykorzystywać kryptografię i szyfrowanie. NIS 2 uwypukla zatem wymogi w zakresie bezpieczeństwa nakładane na przedsiębiorców, dotyczy bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, usprawnia obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzoru dla organów krajowych, surowsze wymogi w zakresie egzekwowania przepisów i zmierza do harmonizacji systemów sankcji w UE, np. wysokość kar może sięgać 10 mln euro albo 2% globalnego obrotu rocznego. Celem dyrektywy jest również wymiana informacji i współpraca w zakresie zarządzania incydentami dotyczącymi cyberbezpieczeństwa na poziomie krajowym i unijnym.
[oprac. A. Piechocki]
HANDEL ELEKTRONICZNY
Projekt rozporządzenia „akt o usługach cyfrowych”
Na poziomie unijnym trwają prace nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych) i zmieniającego dyrektywę 2000/31/WE.
Przyszłe rozporządzenie przewiduje kompleksową regulację wyłączeń odpowiedzialności usługodawców internetowych. Zastąpi ona dotychczasowe art. 12–15 dyrektywy 2000/31/WE. Warunki wyłączeń odpowiedzialności pozostaną zasadniczo niezmienione, natomiast pojawi się kilka nowych, istotnych rozwiązań, jak m.in.: klauzula dobrego Samarytanina – pozwoli ona usługodawcom na samodzielne wykrywanie i usuwanie bezprawnych treści bez ryzyka utraty wyłączenia odpowiedzialności, wprowadzenie procedury notice and action służącej zgłaszaniu bezprawnych treści i dodatkowe regulacje dla platform internetowych dotyczące chociażby wewnętrznego systemu rozpatrywania skarg.
Aktualnie projekt jest przedmiotem prac w Parlamencie Europejskim.
Projekt rozporządzenia „akt o rynkach cyfrowych”
Trwają prace legislacyjne nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych).
Istotą projektowanego aktu prawnego jest ochrona rynku wewnętrznego przed nieuczciwymi praktykami ze strony tzw. strażników dostępu. Projekt określa tak dostawców podstawowych usług platformowych, którzy wywierają znaczący wpływ na rynek wewnętrzny i spełniają dodatkowe kryteria określone w projekcie rozporządzenia.
Zgodnie z przygotowywanym aktem prawnym na strażników dostępu nałożone zostaną dodatkowe obowiązki mające na celu zapewnienie płynnego funkcjonowania rynku wewnętrznego. Jednym z nich będzie konieczność powstrzymania się od łączenia danych osobowych pozyskiwanych za pośrednictwem podstawowych usług platformowych z tymi pozyskiwanymi za pomocą dowolnych innych usług oferowanych przez strażnika dostępu.
Aktualnie projekt jest przedmiotem prac w Parlamencie Europejskim.
[oprac. W. Chomiczewski]
INNOWACJE
Projekt rozporządzenia dotyczący sztucznej inteligencji
Dnia 21.4.2021 r. Komisja Europejska ogłosiła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii (2021/0106(COD)) (dalej jako: Akt w sprawie sztucznej inteligencji).
Wniosek poprzedzony był analizami i aktami prawnymi instytucji Unii Europejskiej, wśród których należy wymienić Komunikat Komisji Europejskiej „Skoordynowany plan w sprawie sztucznej inteligencji” z 7.12.2018 r., dokumenty Grupy Ekspertów Wysokiego Szczebla ds. Sztucznej Inteligencji, powołanej przez Komisję Europejską w 2018 r., Białą Księgę w sprawie sztucznej inteligencji ogłoszoną przez Komisję Europejską 19.2.2020 r., czy trzy rezolucje Parlamentu Europejskiego z 20.10.2020 r., a dotyczące takich aspektów sztucznej inteligencji, jak etyka, prawa własności intelektualnej oraz odpowiedzialności cywilnej.
Akt w sprawie sztucznej inteligencji stanowi istotny projekt legislacyjny na drodze do zbudowania wspólnej – europejskiej regulacji sztucznej inteligencji. Akt ten afirmuje takie aspekty technologii sztucznej inteligencji jak wymagania etyczne, budowanie zaufania do technologii sztucznej inteligencji oraz odpowiedzialność za jej działanie.
Wprowadza on szeroką definicję pojęcia systemu sztucznej inteligencji. Zgodnie z tą definicją system sztucznej inteligencji oznacza „oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I (do Aktu w sprawie sztucznej inteligencji – M.J.S.), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję” (art. 3 pkt 1). Jak zaznacza się we wniosku, definicja systemów sztucznej inteligencji ma być maksymalnie neutralna pod względem technologicznym oraz uwzględniać fakt szybkiego rozwoju sztucznej inteligencji.
Akt w sprawie sztucznej inteligencji różnicuje systemy sztucznej inteligencji pod względem regulacyjnym, przeprowadzone z perspektywy ryzyka jakie stwarzają te technologie. I tak, wskazuje się na ryzyko minimalne, niskie, wysokie lub niedopuszczalne. W tym ostatnim przypadku Akt w sprawie sztucznej inteligencji wprowadza wykaz systemów sztucznej inteligencji, których wykorzystanie uznaje się za niedopuszczalne, jako naruszające wartości lub prawa podstawowe obowiązujące w Unii Europejskiej.
Link: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:52021PC0206&from=EN
[oprac. dr A. Auleytner, dr M.J. Stępień]
INTERNET I MEDIA
Wytyczne w sprawie implementacji art. 17 dyrektywy w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym
Dnia 4.6.2021 r. Komisja Europejska wydała wytyczne w sprawie implementacji art. 17 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/790 z 17.4.2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym oraz zmiany dyrektyw 96/9/WE i 2001/29/WE (dalej: Wytyczne).
Celem wytycznych jest wsparcie prawidłowej i spójnej transpozycji art. 17 w państwach członkowskich, ze szczególnym uwzględnieniem potrzeby zachowania równowagi między prawami podstawowymi a stosowaniem wyjątków i ograniczeń, zgodnie z wymogami art. 17 ust. 10. Wskazówki mogą być również pomocne dla uczestników rynku przy przestrzeganiu krajowych przepisów wdrażających art. 17. W Wytycznych poświęcono uwagę m.in. kwestii zezwoleń jakie dostawca usług udostępniania treści online musi uzyskać od podmiotów uprawnionych. Wskazuje się w nich, że Państwa Członkowskie mogą przewidzieć różne modele uzyskiwania zezwoleń (odpłatnie bądź nieodpłatnie), pod warunkiem, że sprzyja to rozwojowi rynku licencji. Również implementacja dyrektywy 2019/790 nie może pozbawić podmiotów uprawnionych możliwości odmowy udzielenia zezwolenia. W Wytycznych odnajdziemy również opisane zagadnienie odpowiedzialności dostawców usług za udostępnienie treści online w przypadku braku zezwolenia. W takim wypadku Państwa Członkowskie powinny zapewnić uwzględnienie zasady proporcjonalności przy ocenie czy dostawca usług online w zakresie udostępniania treści dołożył wszelkich starań zgodnie z wysokimi standardami branżowymi dotyczącymi staranności zawodowej.
Link do Wytycznych: https://ec.europa.eu/newsroom/dae/redirection/document/76681
Ochrona transmisji wydarzeń sportowych online – rezolucja Parlamentu europejskiego
Dnia 19.5.2021 r. Parlament Europejski wydał rezolucję zawierająca zalecenia dla Komisji w sprawie wyzwań stojących przed organizatorami wydarzeń sportowych w środowisku cyfrowym (2020/2073(INL)), w której poruszono m.in. zagadnienie dotyczące transmitowania wydarzeń sportowych online.
Zwrócono w niej uwagę na fakt, że rozwój środowiska cyfrowego i nowych technologii ułatwił wszystkim kibicom dostęp do transmisji wydarzeń sportowych nadawanych na różnego rodzaju urządzeniach. Jednocześnie ułatwiło to nielegalne transmisje wydarzeń sportowych online i piractwo internetowe w Unii Europejskiej i poza jej granicami. W związku z tym, że na podstawie prawa unijnego wydarzenia sportowe nie podlegają ochronie z tytułu prawa autorskiego, Parlament Europejski proponuje wprowadzić procedury usunięcia ukierunkowanej na nielegalne treści transmisji wydarzenia sportowego na żywo. Miałoby się to odbyć pod warunkiem braku wątpliwości co do tego, kto jest właścicielem odnośnych praw oraz co do faktu, że na transmisję nie wyrażono zgody. Parlament Europejski postuluje również dokonanie zmiany w treści dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z 29.4.2004 r. w sprawie egzekwowania praw własności intelektualnej poprzez wprowadzenie możliwości wystawienia przez odpowiedni organ sądowy lub administracyjny nakazu natychmiastowego uniemożliwienia dostępu do nielegalnych treści związanych z transmisją wydarzeń sportowych na żywo w Internecie lub usunięcia takich treści. Taki nakaz miałby zablokować działającą z naruszeniem praw stronę tylko na czas trwania naruszenia. Odpowiedni wniosek w przedmiocie nakazu będzie mógł wnieść podmiot uprawniony – albo podmiot praw, albo tzw. certyfikowany zaufany podmiot sygnalizujący.
Link: https://www.europarl.europa.eu/doceo/document/TA-9-2021-0236_PL.pdf
Projekt nowelizacji ustawy o radiofonii i telewizji
Dnia 8.9.2020 r. został opublikowany projekt ustawy o zmianie ustawy o radiofonii i telewizji oraz ustawy o kinematografii (dalej: nowelizacja).
Nowelizacja stanowi implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1808 z dnia 14.11.2018 r. zmieniającej dyrektywę 2010/13/UE w sprawie koordynacji niektórych przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich dotyczących świadczenia audiowizualnych usług medialnych (dyrektywa o audiowizualnych usługach medialnych) ze względu na zmianę sytuacji na rynku (dalej: dyrektywa). Państwa Członkowskie miały czas na implementację dyrektywy do 20.9.2020 r. – dotychczas Polska nie wywiązała się z tego obowiązku. Nie dotrzymano również planowanego terminu przyjęcia nowelizacji przez Radę Ministrów, bowiem ten był wyznaczony na I kwartał 2021 r. Obecnie nowelizacja jest na etapie Komisji Prawniczej, która ocenia projekty ustaw oraz projekty rozporządzeń pod względem prawnym, legislacyjnym i redakcyjnym. Nowelizacja ma znaleźć zastosowanie do dostawców usług medialnych oraz platform udostępniania wideo ustanowionych na terytorium Rzeczpospolitej Polskiej (art. 1a ust. 1 nowelizacji). Określa ona zasady i warunki dotyczące prowadzenia działalności gospodarczej w zakresie dostarczania usług medialnych, dostarczania platform udostępniania wideo, podział kompetencji pomiędzy organami państwa w zakresie nadzoru i regulacji tej dziedziny, a także prawa i obowiązki dostawców usług medialnych oraz platform udostępniania wideo. W szczególności warto zwrócić uwagę, że zgodnie z treścią nowelizacji na dostawcach platform udostępniania wideo będzie ciążył obowiązek zapewnienia użytkownikom „łatwego, bezpośredniego i stałego dostępu do informacji umożliwiających identyfikację usługi i dostawcy platformy udostępniania wideo” (art. 47n nowelizacji). Dodatkowo, dostawca platformy udostępniania wideo dokonuje zgłoszenia o wpis do wykazu prowadzonego w systemie teleinformatycznym przez Przewodniczącego Krajowej Rady nie później niż 14 dni przed rozpoczęciem jej dostarczania (art. 47o ust. 1 nowelizacji). Co ważne, zgodnie z nowelizacją zabronione ma być umieszczanie na platformach udostępniania audycji, wideo stworzonych przez użytkowników lub innych przekazów m.in. zawierających treści zagrażające zdrowiu fizycznemu, psychicznemu lub moralnemu rozwojowi małoletnich czy zawierających nawoływanie do przemocy lub nienawiści wobec grupy osób ze względu na płeć, rasę, kolor skóry etc. (art. 47p nowelizacji) bez zastosowania odpowiednich zabezpieczeń technicznych (w tym systemów kontroli rodzicielskiej).
Link do nowelizacji: https://legislacja.rcl.gov.pl/docs//2/12337952/12716719/12716720/dokument463302.pdf
Projekt Prawa komunikacji elektronicznej na etapie prac Komitetu do spraw europejskich
Dnia 13.5.2021 r. opublikowano projekt ustawy – Prawo komunikacji elektronicznej oraz projekt ustawy wprowadzającej ustawę – Prawo komunikacji elektronicznej (dalej: projekt). Projekt stanowi implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11.12.2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (Dz.Urz. L Nr 321/36 z 17.12.2018, s. 1) (dalej: dyrektywa).
Państwa członkowskie były zobowiązane implementować dyrektywę do 21.12.2020 r. – Polska nie wywiązała się z tego obowiązku. Planowany termin przyjęcia Projektu przez Radę Ministrów był przewidziany na I kwartał 2021 r., jednak również nie dotrzymano tego terminu. Projekt ma zastąpić dotychczas obowiązującą ustawę z 16.7.2004 r. – Prawo telekomunikacyjne (dalej: Prawo telekomunikacyjne). Projekt będzie regulował między innymi kwestie wykonywania działalności polegającej na świadczeniu usług komunikacji elektronicznej, regulowania rynków komunikacji elektronicznej, warunki gospodarowania częstotliwościami, zasobami orbitalnymi oraz zasobami numeracji, a także prawa i obowiązki użytkowników, zasady przetwarzania danych telekomunikacyjnych i ochrony tajemnicy komunikacji elektronicznej (wcześniej ten zakres był opisany w Prawie telekomunikacyjnym). Projekt zawiera również postanowienia dotyczące usług komunikacji interpersonalnej. Jest to usługa umożliwiająca bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej. Ponadto w Projekcie odnajdziemy uregulowane kwestie związane z prawami użytkowników końcowych, m.in. dotyczące zawierania i rozwiązywania umów, reklamacji usługi, zakresu dokumentów składających się na umowę o świadczenie usług komunikacji elektronicznej, dostępu do niezależnego narzędzia porównawczego ofert usług komunikacji elektronicznej, regulacja usług tzw. direct billing (usługa dodatkowego obciążenia rachunku).
Link do projektu: https://legislacja.rcl.gov.pl/docs//2/12336501/12703267/12703268/dokument503416.pdf
https://legislacja.rcl.gov.pl/docs//2/12336502/12703325/12703326/dokument503425.pdf
Projekt rozporządzenia dotyczącego rozszerzenia opłaty reprograficznej od urządzeń elektronicznych
Dnia 5.5.2021 r. został opublikowany projekt ustawy o uprawnieniach artysty zawodowego (dalej: projekt ustawy).
Niezależnie od rozwiązań prawnych adresowanych do artystów, dla których działalność artystyczna jest głównym źródłem dochodu, projekt ustawy zawiera delegację ustawową wraz z projektem Rozporządzenia (dalej: projekt rozporządzenia) dot. rozszerzenia opłaty reprograficznej od urządzeń elektronicznych. Projekt rozporządzenia zawiera zaktualizowaną listę urządzeń objętych opłatą reprograficzną. Do zaproponowanego katalogu urządzeń należą m.in. komputery przenośne (laptopy, netbooki, notebooki), tablety i inne podobne urządzenia. Mimo ostatniego sformułowania: „i inne podobne urządzenia” zgodnie z informacją zamieszczoną na stronie Ministerstwa Kultury, Dziedzictwa Narodowego i Sportu opłata reprograficzna ma nie obejmować smartfonów. Zmienia się również wysokość samej opłaty – będzie wynosić od 1% do 4% – w zależności od urządzenia (obecnie wysokość opłaty nie przekracza 3%). Planowany termin przyjęcia projektu ustawy przez Radę Ministrów jest przewidziany na II kwartał 2021 r. Po jej przyjęciu możliwe będzie wydanie rozporządzenia.
Link do projektu ustawy: https://legislacja.rcl.gov.pl/docs//2/12346411/12785988/12785989/dokument501798.pdf
Link do projektu rozporządzenia: https://legislacja.rcl.gov.pl/docs//2/12346411/12785988/12785989/dokument501820.pdf
[oprac.: M. Kubiak, A. Chodyna]
PRAWO IT
Wyrok w sprawie Google przeciwko Oracle – skopiowanie kodu API może mieścić się w tzw. fair use
Wieloletni spór między Google LLC przeciwko Oracle America, Inc. został rozstrzygnięty na korzyść Google wyrokiem z 5.4.2021 r. (sygnatura nr 18-956).
Amerykański Sąd Najwyższy uznał, że skopiowanie około 11.500 linii kodu oprogramowania JAVA SE należącego do Oracle mieści się w ramach tzw. fair use, co oznacza, że wykorzystanie takiego kodu nie naruszyło praw Oracle. Skopiowany kod był części interfejsu oprogramowania (API, Application Programming Interface), czyli kodu, który – w uproszczeniu – ułatwia interakcję z innymi programami komputerowymi. Sąd wziął pod uwagę cztery czynniki istotne dla oceny dopuszczalności fair use: (a) cel i charakter wykorzystania, które w tym przypadku miało na celu umożliwienie programistom tworzenia programów w innym środowisku, tj. oprogramowaniu dla telefonów komórkowych, (b) charakter chronionego utworu, który – jako API - był istotnie związany z niechronioną ideą funkcjonowania oprogramowania, (c) rozmiar wykorzystanej części utworu w stosunku do jego całości – w omawianej sprawie skopiowano 11 500 z 2 860 000 linii kodu oraz (d) skutek wykorzystania na wartość chronionego utworu, który dla Oracle mógł być nawet pozytywny, ponieważ kod byłby wykorzystywany w środowisku, na rynku telefonów komórkowych, na których Oracle nie jest obecny. Należy podkreślić, że doktryna fair use różni się jednak od koncepcji dozwolonego użytku, którą przyjmuje polska ustawa o prawie autorskim i prawach pokrewnych. Choć sąd nie odpowiedział wprost na pytanie, czy skopiowany kod API jest utworem, należy uznać, że takie było założenie sądu, gdyż doktryna fair use dotyczy wykorzystania chronionych utworów.
Opinia Rzecznika Generalnego Macieja Szpunara w sprawie Top System SA przeciwko État belge – dekompilacja jest możliwa nie tylko w celu zapewnienia interoperacyjności programów komputerowych
Rzecznik Generalny Maciej Szpunar wydał swoją opinię na temat możliwości dekompilacji programu komputerowego bez zgody uprawnionego.
Według opinii Rzecznika, wydanej 10.3.2021 r. w sprawie C-13/20, dekompilacja programu komputerowego bez zgody uprawnionego jest możliwa nie tylko na gruncie art. 6 dyrektywy 91/250 w sprawie ochrony prawnej programów komputerowych (implementowanego przez art. 75 ust. 2 pkt 3 i ust. 3 ustawy o prawie autorskim i prawach pokrewnych), ale również na podstawie art. 5 ust. 1 dyrektywy, który znalazł odzwierciedlenie w art. 75 ust. 1 polskiej ustawy. Oba przepisy dyrektywy 91/250 nie są między sobą w relacji lex specialis – lex generalis, ale są niezależnymi podstawami umożliwiającymi dekompilację. Przepis art. 5 ust. 1 dyrektywy 91/250 (art. 75 ust. 1 ustawy z 4.2.1994 r. o prawie autorskim i prawach pokrewnych) umożliwia zwielokrotnianie i modyfikację programu komputerowego, jeżeli jest to niezbędne do korzystania z programu komputerowego zgodnie z jego przeznaczeniem, w tym do poprawiania błędów. Takie zwielokrotnienie oraz modyfikacja mogą służyć dekompilacji programu, przy czym muszą być spełnione dwa dodatkowe warunki. Po pierwsze, czynności tych dokonuje osoba, która legalnie weszła w posiadanie programu komputerowego. Po drugie, strony nie wyłączyły (np. w umowie licencyjnej) możliwości takiego zwielokrotniania i modyfikacji. Dekompilacja dokonywana na podstawie art. 5 ust. 1 dyrektywy 91/250 nie musi spełniać dodatkowo warunków określonych w art. 6 dyrektywy 91/250, tj. na przykład jej celem nie musi być osiągnięcie współdziałania z innymi programami. Reasumując, jeżeli umowa nie stanowi inaczej, posiadacz programu komputerowego może zwielokrotniać i modyfikować taki program w celu dekompilacji, jeżeli dekompilacja taka jest konieczna do korzystania z programu, np. w celu poprawienia błędu. Na marginesie, Rzecznik Generalny zauważył, że ulepszenie programu lub dostosowanie go do zmieniających się technologii nie będzie poprawianiem błędów.
[oprac. M. Sowiński]
