DANE OSOBOWE I PRYWATNOŚĆ
Prezes UODO opublikował wyjaśnienia dotyczące możliwości łączenia funkcji inspektora ochrony danych osobowych przyjmujących zgłoszenia sygnalistów
W chwili obecnej w Polsce trwają intensywne prace nad dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23.10.2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (tzw. dyrektywa o sygnalistach).
Zgodnie z jej przepisami, w celu rozpatrywania zgłoszeń o nieprawidłowościach oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, m.in. w kwestii mających zastosowanie przepisów o ochronie danych.
Przepisy dyrektywy nie regulują natomiast kwestii łączenia zadań osób zajmujących się przyjmowaniem zgłoszeń sygnalistów oraz prowadzeniem postępowań wyjaśniających z innymi zadaniami. Jednym z istotniejszych praktycznie pytań jest w związku z tym ocena, czy zadania te mogą wykonywać osoby pełniące równocześnie funkcje Inspektora Ochrony Danych Osobowych (IOD).
Istotnych wyjaśnień w powyższym zakresie udzielił Prezes Urzędu Ochrony Danych Osobowych. Organ stwierdził w szczególności, że administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243). Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.
https://uodo.gov.pl/pl/223/2201
W dniu 27.9.2021 r. zaczęła obowiązywać decyzja Komisji Europejskiej nr 2021/914, zawierająca wykaz nowych standardowych klauzul umownych w przypadku transferu danych osobowych poza Europejski Obszar Gospodarczy
W dniu 27.9.2021 r. doszło do istotnej zmiany w zakresie stosowania standardowych klauzul umownych (SKU) jako podstawy prawnej transferu danych osobowych do państwa trzeciego, tj. poza Europejski Obszar Gospodarczy.
W tym dniu przestały obowiązywać decyzje Komisji Europejskiej dotyczące transferów danych osobowych do państwa trzeciego, w szczególności decyzje nr 2001/497/WE oraz 2010/87/WE. Zastąpiła je decyzja Komisji UE nr 2021/914, w której załączniku określono nowe SKU, zapewniając tym samym ich zgodność z RODO. Novum stanowi połączenie klauzul ogólnych z podejściem modułowym, pozwalającym na uwzględnienie różnych scenariuszy transferu danych osobowych. Oprócz klauzul ogólnych administratorzy i podmioty przetwarzające powinni wybrać moduł mający zastosowanie do ich sytuacji, aby dostosować obowiązki spoczywające na nich na mocy standardowych klauzul umownych do roli i obowiązków, jakie pełnią w związku z przedmiotowym przetwarzaniem danych.
Podobnie jak to było w poprzednim stanie prawnym, oparcie transferów na podstawie klauzul dołączonych do decyzji 2021/914/UE daje możliwość przekazania danych osobowych do państwa trzeciego bez konieczności spełnienia dodatkowych wymogów (art. 46 ust. 2 pkt c RODO). Jeżeli chodzi o kwestie intertemporalne, to istotne jest podkreślenie, że:
1) umowy transferowe zawierane po 27.9.2021 r. powinny uwzględniać treść klauzul dołączonych do decyzji 2021/914/UE;
2) umowy transferowe zawarte przed 27.9.2021 r. na podstawie decyzji 2001/497/WE lub decyzji 2010/87/WE są skutecznym instrumentem transferowym do 27.12.2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń. Oznacza to m.in. konieczność stosowania się do wytycznych Europejskiej Rady Ochrony Danych (np. Zalecenia nr 1/2020 dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych).
https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32021D0914&from=PL
TSUE uznał, że wyświetlanie w elektronicznej skrzynce odbiorczej wiadomości reklamowych w formie podobnej do rzeczywistej poczty elektronicznej, stanowi korzystanie z poczty elektronicznej dla celów marketingu bezpośredniego w rozumieniu dyrektywy 2002/58/WE
Stan faktyczny sprawy prezentował się następująco.
Städtische Werke Lauf a.d. Pegnitz GmbH (StWL) i eprimo GmbH są konkurującymi ze sobą dostawcami energii elektrycznej w Niemczech. Eprimo rozpowszechniała reklamy polegające na wyświetlaniu banerów w skrzynkach pocztowych użytkowników bezpłatnej usługi poczty elektronicznej T-Online. Wiadomości te pojawiały się, gdy tylko użytkownicy usług poczty elektronicznej otwierali swoją skrzynkę odbiorczą, przy czym zarówno użytkownicy, których one dotyczyły, jak i wyświetlane wiadomości były wybierane w sposób losowy (działanie reklamowe zwane „reklamą w skrzynce odbiorczej”). Nie można ich było wizualnie odróżnić na liście od innych e-maili na koncie użytkownika, z wyjątkiem tego, że data została zastąpiona słowem „Anzeige” (reklama), nie podano nadawcy, a tekst pojawił się na szarym tle. Sekcja „tematyczna” odpowiadająca tej pozycji w wykazie zawierała tekst mający na celu promowanie korzystnych cen za usługi związane z energią elektryczną i gazem. StWL uznała, że praktyka reklamowa polegająca na wykorzystywaniu poczty elektronicznej bez uprzedniej wyraźnej zgody odbiorcy jest sprzeczna z zasadami uczciwej konkurencji.
W ramach prowadzonego postępowania Bundesgerichtshof (Federalny Trybunał Sprawiedliwości) zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem prejudycjalnym, czy praktyka polegająca na wyświetlaniu komunikatów reklamowych w skrzynce odbiorczej użytkownika usługi konta poczty elektronicznej, a która to usługa jest świadczona nieodpłatnie na rzecz tego użytkownika i jest finansowane z reklam opłacanych przez reklamodawców, jest zgodna z wymogami określonymi przepisami dyrektyw UE nr 2002/58/WE oraz nr 2005/29/WE.
Trybunał Sprawiedliwości uznał, że wyżej opisane działania mogą stanowić ingerencję w życie prywatne użytkowników poprzez przesyłanie im niezamówionych komunikatów dla celów marketingu bezpośredniego. Stwierdził przy tym, że charakter przekazów reklamowych będących przedmiotem oceny w postępowaniu, a także fakt, że są one dystrybuowane w formie maila, przesądza o ich klasyfikacji jako „komunikatów do celów marketingu bezpośredniego”. Okoliczność, że odbiorca tych przekazów reklamowych jest wybierany losowo nie ma przy tym znaczenia, istotne jest, że mamy do czynienia z komunikacją w celu komercyjnym, która dociera, bezpośrednio i indywidualnie, do jednego lub więcej użytkowników usług poczty elektronicznej. W konsekwencji, na wysyłanie tego rodzaju komunikatów konieczne jest pozyskanie uprzedniej zgody odbiorcy.
https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-11/cp210210en.pdf
[oprac. X. Konarski]
CYBERBEZPIECZEŃSTWO
Trwają prace nad ustawą o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa
W dniu 17.11.2021 r. Sejm przyjął ustawę o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa. W dniu 18.11.2021 r. ustawa została przekazana do Senatu, który przyjął poprawki. Termin prac w Senacie upływa w dniu 2.12.2021 r.
Ustawa przewiduje utworzenie Funduszu Cyberbezpieczeństwa oraz określa zasady gromadzenia środków w ramach Funduszu. Ponadto reguluje zasady udzielania finansowania ze środków Funduszu, w tym – co istotne – przyznawania dodatków do wynagrodzeń za pracę i świadczenia teleinformatycznego osobom realizującym zadania z zakresu cyberbezpieczeństwa. Zgodnie z założeniami, środki mają zostać przeznaczone na wynagrodzenia dla pracowników CSIRT, KNF, poszczególnych ministerstw, jak również np. Agencji Wywiadu Wojskowego, Kancelarii Prezesa Rady Ministrów oraz w urzędach obsługujących ministrów, Kancelarii Prezydenta czy policji. Ustawa dopuszcza możliwość weryfikacji kompetencji osób, którym ma zostać przyznane dodatkowe świadczenie.
Środki na działalność Funduszu mają pochodzić m.in. z części środków Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego i Funduszu Szerokopasmowego. Warunkiem ubiegania się o wsparcie ze środków Funduszu jest złożenie wniosku do ministra właściwego do spraw informatyzacji. Przyznanie finansowania będzie poprzedzone wydaniem przez Kolegium do Spraw Cyberbezpieczeństwa opinii. Świadczenie teleinformatyczne będzie przyznawane co roku na okres realizacji zadań z zakresu cyberbezpieczeństwa.
Link do ustawy w wersji przyjętej przez Sejm: https://www.senat.gov.pl/gfx/senat/userfiles/public/k10/dokumenty/druki/550/568.pdf
Nowa koncepcja zmian ustawy o krajowym systemie cyberbezpieczeństwa
W dniu 12.10.2021 r. opublikowano kolejny projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Projektowana ustawa zawiera 89 stron.
Proponowane rozwiązania dotyczą m.in. utworzenia zespołu CSIRT INT przy Agencji Wywiadu działającego na rzecz polskich placówek dyplomatycznych, zespołów CSIRT sektorowych wspierających operatorów usług kluczowych w obsłudze incydentów, określenia zadań zespołów SOC działających na rzecz operatorów usług kluczowych; ponadto zasad działania centrów wymiany informacji i analiz o cyberbezpieczeństwie (ISAC) funkcjonujących w ramach krajowego systemu cyberbezpieczeństwa.
Projekt wprowadza także rozwiązania dotyczące operatora strategicznej sieci bezpieczeństwa oraz Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa, jak również powołania spółki Polskie 5G. Określone zostały również zasady działania krajowego systemu certyfikacji cyberbezpieczeństwa. Co istotne, w ustawie przewidziano postępowanie w sprawie uznania za dostawcę wysokiego ryzyka.
Link do dokumentów: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-ustawy-prawo-zamowien-publicznych.html
Działania Komisji Europejskiej w celu poprawy bezpieczeństwa cybernetycznego IOT
W dniu 29.10.2021 r. Komisja Europejska przyjęła tekst rozporządzenia uzupełniającego dyrektywę w sprawie urządzeń radiowych (dyrektywy RED).
Przyjęty dokument ma na celu wzmocnienie ochrony przed ryzykami w cyberprzestrzeni, w tym ochronę sieci lub jej funkcjonowania przed szkodliwością, ochronę danych osobowych i prywatności użytkownika i abonenta.
Zgodnie z treścią aktu, wymagania dotyczące sposobu projektowania urządzeń będą miały zastosowanie do wszelkich urządzeń radiowych, które same mogą komunikować się za pośrednictwem internetu, czy to bezpośrednio, czy za pośrednictwem jakichkolwiek innych urządzeń, jak również m.in. do urządzeń radiowych zaprojektowanych lub przeznaczonych wyłącznie do opieki nad dziećmi, lub urządzeń radiowych zaprojektowanych lub przeznaczonych, wyłącznie lub nie, do noszenia, przypinania lub przywieszania na dowolnej części ciała, odzieży które mogą przetwarzać dane osobowe w rozumieniu RODO.
Link do tekstu aktu: https://ec.europa.eu/growth/system/files/2021-10/C_2021_7672_F1_COMMISSION_DELEGATED_REGULATION_PL_V5_P1_1428769.PDF
[oprac. A. Piechocki, K. Gorzkowska]
HANDEL ELEKTRONICZNY
Projekt ustawy o zmianie ustawy o prawach konsumenta oraz ustawy – Kodeks cywilny
Trwają prace legislacyjne nad projektem rozporządzenia ustawy o zmianie ustawy o prawach konsumenta oraz ustawy – Kodeks cywilny, której celem jest implementowanie do prawa polskiego tzw. dyrektywy cyfrowej (dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z 20.5.2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych) oraz tzw. dyrektywy towarowej (dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/771 z 20.5.2019 r. w sprawie niektórych aspektów umów sprzedaży towarów, zmieniającej rozporządzenie (UE) 2017/2394 oraz dyrektywę 2009/22/WE oraz uchylającej dyrektywę 1999/44/WE.
Projekt przewiduje m.in. definicję legalną umowy o dostarczanie treści cyfrowej lub usługi cyfrowej. Pojęcie to obejmie również umowy, w których konsument zobowiązuje się dostarczyć swoje dane osobowe jako świadczenie wzajemne. Przewidziane są również istotne zmiany w przepisach o rękojmi i gwarancji w zakresie odnoszącym się do konsumentów.
Aktualnie projekt jest na etapie opiniowania
[oprac. W. Chomiczewski]
INNOWACJE
Rezolucja Parlamentu Europejskiego z 6.10.2021 r. w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych
Dnia 6.10.2021 r. została przyjęta przez Parlament Europejski (PE) rezolucja w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych (2020/2016(INI); dalej jako: Rezolucja). Rezolucja wpisuje się w szereg dotychczas przyjętych aktów Unii Europejskiej poświęconych problematyce sztucznej inteligencji (dalej jako: SI). Jej szczegółowa materia poświęcona jest zasadniczo zagadnieniom SI w prawie karnym oraz wykorzystania rozwiązań opartych na SI przez policję i organy wymiaru sprawiedliwości.
Parlament Europejski w Rezolucji, z powołaniem się na doświadczenia tak państw członkowskich, jak i państw spoza Unii Europejskiej, wyraził potrzebę uregulowania pewnych, istotnych sytuacji związanych z wykorzystaniem w sprawach karnych systemów SI. Uznano przy tym, że to na „Unii i jej państwach członkowskich spoczywa zasadnicza odpowiedzialność w zakresie dopilnowania, by decyzje związane z cyklem życia i stosowaniem rozwiązań opartych na sztucznej inteligencji w obszarze wymiaru sprawiedliwości i ścigania przestępstw były podejmowane w sposób przejrzysty, gwarantowały poszanowanie praw podstawowych, a w szczególności nie utrwalały dyskryminacji, stronniczości lub uprzedzeń tam, gdzie takie istnieją” (lit. G Rezolucji). Zauważono jednocześnie, że wykorzystanie SI może istotnie ułatwiać ściganie przestępstw (w tym w szczególności przestępstw finansowych, dotyczących terroryzmu, wykorzystywania seksualnego w Internecie, czy cyberprzestępstw), przeprowadzanie czynności dochodzeniowych lub w inny sposób usprawniać pracę organów ścigania i wymiaru sprawiedliwości. W konsekwencji – może przysłużyć się zwiększeniu bezpieczeństwa obywateli Unii Europejskiej. Jednocześnie może rodzić istotne ryzyka związane z wykorzystaniem SI w powyższych i innych obszarach należących do sfery spraw karnych. Zagrożenia te mogą być skutkiem przykładowo nieprzejrzystych procesów podejmowania decyzji przez SI, najróżniejszych postaci stronniczości algorytmicznej lub nieprawidłowego działania, technologii.
Rezolucja przewiduje m.in., że standardy ochrony danych w zakresie ścigania przestępstw, które już ustanowiono w Unii Europejskiej, powinny stanowić podstawę przyszłych przepisów w zakresie wykorzystania SI w zakresie ścigania przestępstwa lub w wymiarze sprawiedliwości. Ponadto przyjęte rozwiązania opierające się na SI przeznaczone dla organów ścigania i wymiaru sprawiedliwości muszą respektować m.in. takie zasady, jak poszanowanie godności człowieka, niedyskryminacyjne traktowanie, swobodne przemieszczanie się osób czy domniemanie niewinności. W żadnym wypadku rozwiązania oparte na SI nie powinny naruszać integralności cielesnej człowieka. Uregulowania prawne powinny sprzeciwiać się rozwiązaniom wykorzystującym SI do prób wskazywania osób, które mogłyby popełnić przestępstwo, na podstawie przewidywanych lub wcześniejszych zachowań tych osób lub grup osób. Rezolucja przewiduje też, że automatyczna analiza w przestrzeni publicznej elementów biometrycznych i behawioralnych, w tym charakterystycznego chodu człowieka, jego odcisków palców czy DNA, powinna być objęta stałym zakazem. PE wezwał też do przyjęcia moratorium na korzystanie z systemów rozpoznawania twarzy do działań organów ścigania, dopóki nie będzie można uznać, że standardy techniczne mające zastosowanie do ich tworzenia i stosowania są zgodne z prawami podstawowymi.
Z Rezolucji wynika, że rozwiązania oparte na SI, a wykorzystywane przez organy w sprawach karnych (mając na względzie wagę tych spraw i zapadających w nich decyzji w życiu człowieka) powinny być uznawane za obarczone wysokim ryzykiem. To z kolei wymaga, aby narzędzia wykorzystujące SI, przeznaczone dla organów w sprawach karnych, były bezpieczne, procesy ich działania przejrzyste, wyjaśnialne i niedyskryminujące, w minimalnym stopniu wykorzystujące dane osobowe, działające prawidłowo, czy wyposażone w odpowiednie zabezpieczenia. Dodatkowo uznano, iż pożądane jest, aby powyższa regulacja, dotycząca SI, obejmowała również jasny system odpowiedzialności prawnej za ewentualne, szkodliwe skutki działania SI w sprawach karnych, połączony z możliwością dochodzenia odszkodowania.
Komunikat Komisji Europejskiej „Cyfrowy kompas na 2030 r.: europejska droga w cyfrowej dekadzie”
Dnia 9.3.2021 r. Komisja Europejska przedstawiła komunikat do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Cyfrowy kompas na 2030 r.: europejska droga w cyfrowej dekadzie” (COM/2021/118; dalej jako: Cyfrowy Kompas).
W sekcji 1 Cyfrowego Kompasu („Wspólny wysiłek: transformacja cyfrowa na rzecz odporności Europy”) wskazano, że pandemia COVID-19 istotnie zmieniła postrzeganie transformacji cyfrowej, a technologie cyfrowe okazały się niezbędne w codziennym życiu. Ujawniła również pewną zależność społeczeństwa Unii Europejskiej od cudzych technologii i wpływ na nie dezinformacji. Powyższe oraz inne okoliczności opisane w Cyfrowym Kompasie, legły u podstaw przyjęcia tego aktu, dla którego zasadniczym celem jest określenie polityki cyfrowej dla Europy na najbliższą dekadę.
W sekcji 3 Cyfrowego Kompasu określano cztery kierunki w rozwoju Unii Europejskiej w zakresie cyfryzacji. Należą do nich kolejno: „3.1. Wykwalifikowane cyfrowo społeczeństwo i wysoko wykwalifikowani profesjonaliści w dziedzinie cyfrowej”; „3.2. Bezpieczna, wydajna i zrównoważona infrastruktura cyfrowa”; „3.3. Transformacja cyfrowa przedsiębiorstw”; „3.4. Cyfryzacja usług publicznych”.
Pierwszy kierunek odnosi się do problematyki świadomości cyfrowej społeczeństwa Unii Europejskiej. Wskazuje na potrzebę zapewnienia podnoszenia umiejętności cyfrowych obywateli Unii, w tym wydajnego systemu edukacji w tym zakresie. Ponadto, za uzasadnione uznano pozyskiwanie większej niż dotychczas liczby ekspertów z zakresu technologii cyfrowych.
Drugi kierunek, poświęcony jest infrastrukturze cyfrowej. Realizacja celów polityki cyfrowej zakłada, aby obywatele Unii Europejskiej mieli zapewniony dostęp do infrastruktury cyfrowej. Infrastruktura taka powinna być bezpieczna, wydajna oraz zrównoważona. Jednocześnie zwrócono uwagę na potrzebę inwestowania w ramach Unii Europejskiej w nowe technologie kwantowe, w których upatruje się dalszego kroku na drodze postępu technologii cyfrowych.
Trzeci kierunek skupia się na problematyce transformacji cyfrowej przedsiębiorstw. W Kompasie Cyfrowym zauważono, że technologie cyfrowe m.in. takie jak 5G, sztuczna inteligencja, robotyka, czy Internet rzeczy, będą stanowić podstawę nowych produktów lub modeli biznesowych. W konsekwencji należałoby zachęcać przedsiębiorstwa do przyjmowania nowych technologii cyfrowych, w tym takich, które z jednej strony, będą bardziej efektywne energetycznie i materiałowo, a z drugiej strony, o mniejszym śladzie środowiskowym.
Czwarty kierunek, poświęcony cyfryzacji usług publicznych, zakłada cel, aby do 2030 r. zapewnić dostęp do korzystania z takich usług w formie on-line. Wskazuje się w tym miejscu postanowień Cyfrowego Kompasu, na korzyści wynikające choćby z zapewnienia społeczeństwu zabezpieczonego głosowania elektronicznego, dalszego rozwoju telemedycyny oraz wpływu transformacji cyfrowej na zwiększenie wydajności systemów wymiaru sprawiedliwości.
Cyfrowy Kompas w sekcji 4, zatytułowanej „Obywatelstwo cyfrowe”, stanowi o prawach oraz zasadach cyfrowych. Wśród praw cyfrowych wymienia:
1) „wolności wypowiedzi, m.in. dostępu do różnorodnych, wiarygodnych i przejrzystych informacji”;
2) „wolności zakładania i prowadzenia działalności gospodarczej on-line”;
3) „ochrony danych osobowych i prywatności, a także prawa do bycia zapomnianym”;
4) „ochrony twórczości intelektualnej osób w przestrzeni on-line”.
Z kolei wśród zasad cyfrowych wyróżnia m.in. takie, jak: „powszechny dostęp do usług internetowych”; „bezpieczne i zaufane środowisko on-line”; „powszechna edukacja cyfrowa oraz powszechne umiejętności cyfrowe”, „dostępne i ukierunkowane na człowieka cyfrowe usługi publiczne i administracja”, czy „etyczne zasady algorytmów ukierunkowanych na człowieka”. Zdaniem Komisji Europejskiej zasady takie, pozwolą na ukierunkowanie działań podmiotów decyzyjnych oraz działających w środowisku cyfrowym. Ponadto, będą stanowić punkt odniesienia dla użytkowników technologii cyfrowych.
[oprac. dr A. Auleytner, dr M.J. Stępień]
INTERNET I MEDIA
Zwielokrotnianie w oparciu o usługi w chmurze obliczeniowej, świadczone przez osobę trzecią – czy stanowi formę dozwolonego użytku prywatnego oraz czy powinno podlegać opłacie reprograficznej? – pytanie prejudycjalne oraz opinia rzecznika generalnego z 23.9.2021 r. (C-433/20)
Czy pojęcie „na dowolnych nośnikach” zawarte w art. 5 ust. 2 lit. b) dyrektywy 2001/29 należy interpretować w ten sposób, że obejmuje ono również serwery, które znajdują się w posiadaniu osób trzecich udostępniających osobom fizycznym (klientom) do prywatnego użytku (i do celów ani bezpośrednio, ani pośrednio handlowych) na tych serwerach przestrzeń do przechowywania danych, którą klienci ci wykorzystują do zwielokrotniania poprzez zapisywanie („cloud computing”)?
W przypadku udzielenia odpowiedzi twierdzącej: czy przepis przywołany w pytaniu pierwszym należy interpretować w ten sposób, że ma on zastosowanie do uregulowania krajowego, zgodnie z którym autor ma prawo do odpowiedniego wynagrodzenia (wynagrodzenia z tytułu nośników danych), jeżeli z charakteru utworu (nadawanego przez radio lub publicznie udostępnionego albo utrwalonego na wyprodukowanym do celów handlowych nośniku danych) wynika, że będzie wskutek utrwalenia na »nośniku danych dowolnego rodzaju, który nadaje się do takiego zwielokrotniania i zostaje wprowadzony na rynek krajowy do celów handlowych«, zwielokrotniany na użytek osobisty lub prywatny oraz jeżeli wykorzystuje się przy tym metodę zapisu opisaną w pytaniu pierwszym?”.
Na tak postawione pytania przez Oberlandesgericht Wien (wyższy sąd krajowy w Wiedniu) ma odpowiedzieć Trybunał Sprawiedliwości Unii Europejskiej w sprawie C-433/20, Austro-Mechana Gesellschaft zur Wahrnehmung mechanisch-musikalischer Urheberrechte Gesellschaft mbH przeciwko Strato AG. W międzyczasie, Rzecznik Generalny Gerard Hogan ustosunkował się do powyższych zagadnień w opinii przedstawionej 23.9.2021 r. (dalej jako: Opinia). Rzecznik, odpowiadając na pytanie pierwsze, wskazał, że termin „zwielokrotniania na dowolnych nośnikach” obejmuje zwielokrotnianie w oparciu o usługi w chmurze obliczeniowej świadczone przez osobę trzecią. Ponadto, w takim przypadku nie jest wymagana odrębna opłata za opisany wyżej sposób zwielokrotniania, jeżeli opłaty uiszczane za urządzenia/nośniki w danym państwie członkowskim odzwierciedlają również szkodę wyrządzaną podmiotowi praw autorskich przez takie zwielokrotnianie, stanowi to bowiem „godziwą rekompensatę” należną podmiotowi praw autorskich, chyba że ten podmiot będzie w stanie jednoznacznie wykazać, że taka zapłata byłaby w okolicznościach danej sprawy nieadekwatna.
Link do Opinii: https://curia.europa.eu/juris/document/document.jsf?text=&docid=246488&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=24594027
Ustawa o ochronie wolności słowa w internetowych serwisach społecznościowych
W dniu 29.9.2021 r. na stronach Rządowego Centrum Legislacji opublikowano projekt ustawy „o ochronie wolności słowa w internetowych serwisach społecznościowych” (dalej jako: Projekt).
Projekt dotyczy jedynie serwisów społecznościowych, z których korzysta w kraju co najmniej milion zarejestrowanych użytkowników (art. 3 pkt 1 Projektu) – a zatem obejmie on Facebooka, Twittera, Instagram czy YouTube. Cele Projektu (m.in. stworzenie warunków dla wspierania wolności wypowiedzi, zapewnienia prawa do prawdziwej informacji, przestrzegania przez internetowe serwisy społecznościowe wolności do wyrażania poglądów, pozyskiwania i rozpowszechniania informacji, wyrażania przekonań religijnych, światopoglądowych i filozoficznych oraz wolności komunikowania się [art. 3 pkt 3 Projektu]) mają być realizowane za pośrednictwem systemu reklamacji składanych przez użytkowników. Przedmiotem reklamacji ma być:
1) ograniczenie dostępu do treści;
2) ograniczenie dostępu do profilu użytkownika;
3) rozpowszechnianie treści o charakterze bezprawnym.
Reklamacja ma zostać rozpatrzona w terminie 48 godzin od jej wniesienia. W przypadku, gdy użytkownik nie będzie zadowolony ze sposobu rozpatrzenia reklamacji, może wnieść skargę do Rady Wolności Słowa – nowego organu, który ma być wybierany przez Sejm – w terminie 7 dni od otrzymania informacji o sposobie rozpatrzenia reklamacji. Ponadto, Projekt przewiduje konieczność posiadania przez serwis społecznościowy jednego (maksymalnie trzech) przedstawiciela na terytorium Polski (art. 16 ust. 1 Projektu). Do jego zadań ma należeć w szczególności: reprezentowanie serwisu społecznościowego we wszystkich czynnościach sądowych i pozasądowych czy rozpatrywanie wspomnianych wyżej reklamacji (art. 16 ust. 2 Projektu). Co istotne, w rozdziale poświęconym postępowaniu przed Radą Wolności Słowa, odpowiednie zastosowanie znajdują przepisy ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (dalej jako: KPA), z wyłączeniem art. 8 § 2, art. 10, 28, 31, 36, 38, 77 § 1, art. 79, 89–98, 114–122h oraz 217–220 KPA.
Link do Projektu: https://legislacja.rcl.gov.pl/docs//2/12351757/12819479/12819480/dokument523331.docm
Wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/789 z 17.4.2019 r. do polskiego porządku prawnego
W wykazie prac legislacyjnych i programowych Rady Ministrów pojawiła się informacja na temat projektu ustawy o zmianie ustawy o prawie autorskim i prawach pokrewnych oraz niektórych innych ustaw (dalej jako: Projekt).
Celem nowelizacji jest wdrożenie do polskiego porządku prawnego dwóch dyrektyw Parlamentu Europejskiego i Rady (UE):
1) dyrektywy 2019/789 z 17.4.2019 r. ustanawiającej przepisy dotyczące wykonywania praw autorskich i praw pokrewnych mających zastosowanie do niektórych transmisji on-line prowadzonych przez organizacje radiowe i telewizyjne oraz do reemisji programów telewizyjnych i radiowych oraz zmieniająca dyrektywę Rady 93/83/EWG (dalej jako: dyrektywa SATCAB);
2) dyrektywy z 17.4.2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym oraz zmiany dyrektyw 96/9/WE i 2001/29/WE (dalej jako: dyrektywa DSM). Termin implementacji ww. dyrektyw upłynął 7.6.2021 r. Istotą implementacji dyrektywy SATCAB jest:
a) wskazanie prawa krajowego właściwego w zakresie wykonywania praw autorskich i praw pokrewnych na potrzeby świadczenia przez nadawców radiowych i telewizyjnych tzw. dodatkowych usług on-line;
b) wprowadzenie jednolitych reguł zawierania umów na reemisję, bez względu na zastosowaną technologię oraz
c) uregulowanie sytuacji reemisji, na potrzeby której sygnał jest dostarczany drogą „wprowadzenia bezpośredniego”.
Jeśli chodzi o dyrektywę DSM projektodawca wskazuje, że istotą implementacji tej dyrektywy jest m.in.:
1) wprowadzenie nowych postaci dozwolonego użytku w prawie autorskim (eksploracja tekstów i danych) oraz modyfikacja niektórych już istniejących (korzystanie z utworów i przedmiotów praw pokrewnych w cyfrowej i transgranicznej działalności dydaktycznej oraz ich zwielokrotnianie w celu zachowania dziedzictwa kulturowego);
2) wprowadzenie licencji zbiorowych z rozszerzonym skutkiem;
3) wprowadzenie nowego prawa pokrewnego dla wydawców prasy w zakresie korzystania on-line z ich publikacji prasowych, czy
4) wprowadzenie nowych zasad udostępniania utworów i przedmiotów praw pokrewnych przez dostawców usług udostępniania treści on-line (m.in. dostawcy usług społeczeństwa informacyjnego będą mogli przechowywać i rozpowszechniać utwory zamieszczane przez użytkowników ich usług wyłącznie na podstawie umowy z uprawnionym, przy czym taka umowa będzie obejmować [ex lege] również czynności przechowywania i rozpowszechniania dokonywane przez tych użytkowników, jeżeli nie dokonują oni tych czynności „w celu osiągnięcia zysku” [wg dyrektywy „na zasadach komercyjnych”] lub uzyskiwane przez nich wpływy „nie są znaczące”). Nowelizacja ustawy o prawie autorskim i prawach pokrewnych, zgodnie z zapewnieniami projektodawcy, ma ściśle odpowiadać brzmieniu przepisów ww. dyrektyw. Planowany termin przyjęcia Projektu przez Radę Ministrów to IV kwartał 2021 r. Do dzisiaj (tj. 25.11.2021 r.) Projekt nie został opublikowany.
Link do informacji o Projekcie znajdującej się w wykazie prac legislacyjnych i programowych Rady Ministrów:
https://archiwum.bip.kprm.gov.pl/kpr/form/r3122564,Projekt-ustawy-o-zmianie-ustawy-o-prawie-autorskim-i-prawach-pokrewnych-oraz-nie.html
Reklamy w social mediach influencerów – postępowanie przed UOKiK
Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) wszczął postępowanie, którego celem jest zbadanie rynku reklamy wśród influencerów – tego, na jakich zasadach przebiega ich współpraca ze znanymi markami oraz czy treści publikowane przez influencerów w wyniku zawartych umów są wyraźnie oznaczane jako reklamowe lub sponsorowane?
Jak wskazuje UOKiK z powołaniem się na art. 7 (tzw. kryptoreklama) ustawy z 23.8.2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym – influencer ma obowiązek wyraźnego oznaczenia treści czy działań, które zostały zasponsorowane przez współpracującego z nim reklamodawcę. Zgodnie z komunikatem opublikowanym 29.9.2021 r. przez UOKiK: „Z przeprowadzonego przez nas rozeznania wynika, że wiele treści o charakterze handlowym na profilach influencerów na Instagramie, Youtubie, Facebooku czy w innych social mediach nie jest w ogóle oznaczanych jako reklama. Inne są oznaczane niewystarczająco, np. jedynie poprzez hasztag #ad, który dla polskiego internauty może być niezrozumiały”. Postępowanie wyjaśniające toczy się w sprawie, a nie przeciwko konkretnym przedsiębiorcom. Badanie obejmie wiele podmiotów z branży, w najbliższym czasie mogą się one spodziewać wezwań z Urzędu. Zgodnie z przepisami za nieudzielenie informacji żądanych przez Prezesa UOKiK w toku takiego postępowania lub przekazanie informacji wprowadzających w błąd grozi kara do 50 mln euro.
Link do komunikatu z 29.9.2021 r.: https://www.uokik.gov.pl/aktualnosci.php?news_id=17856&news_page=1
Nowelizacja ustawy o radiofonii i telewizji oraz ustawy o kinematografii
Nowelizacja ustawy o radiofonii i telewizji oraz ustawy o kinematografii (dalej jako: nowelizacja) weszła w życie 1.11.2021 r., a wybrane przepisy będą stosowane od 1.1.2022 r.
Jedną z najważniejszych zmian przewidzianych w nowych przepisach jest uregulowanie kwestii funkcjonowania platform udostępniania wideo. W świetle przepisów Nowelizacji, dostawca platformy udostępniania wideo nie będzie ponosił odpowiedzialności za treści udostępniane na platformie przez jej użytkowników. Została doprecyzowana również kwestia dotycząca regulaminu platformy. Co ważne, w zakres definicji przekazu handlowego zostało włączone pojęcie „wideo stworzone przez użytkownika” – pozwoli to uniknąć dotychczasowych wątpliwości dotyczących tego czy użytkownicy udostępniający wideo na takich platformach objęci są ograniczeniami dotyczącymi przekazów o charakterze komercyjnym. Nowelizacja objęła również zagadnienia dotyczące emisji reklam i telesprzedaży. Nowe przepisy zastąpiły dotychczasowe limity przewidziane na każdą godzinę emisji określonymi przedziałami czasowymi (w godzinach od 6:00 do 18:00 łączny czas nadawania reklam nie może przekroczyć 144 minuty, natomiast w godzinach od 18:00 do 24:00 – 72 minuty). Co istotne, od 1 listopada nie jest już możliwe nadawanie przekazów handlowych dotyczących papierosów elektronicznych i pojemników zapasowych. W ten sposób został rozszerzony zakaz odnoszący się w ogólnym ujęciu do wyrobów tytoniowych. Zmiany wpłynęły również na informowanie o sponsorowaniu. Zgodnie z nowymi przepisami informacja ta jest prezentowana jedynie dwa razy: na początku sponsorowanej audycji oraz po wznowieniu audycji lub innego przekazu po jednej z przerw reklamowych lub telesprzedażowych albo na końcu audycji lub innego przekazu. Nowelizacja wprowadza również zmiany w przepisach odnoszących się do małoletnich i ich ochrony przed dostępem do treści szkodliwych. W celu ochrony małoletnich przed dostępem do szkodliwych treści, wprowadzono rozróżnienie oznaczeń na:
1) oznaczenia wskazujące, że treści mogą mieć negatywny wpływ na małoletnich (czyli dotychczasowe oznaczenia kategorii wiekowych) oraz
2) oznaczenia przedstawiające, jakie rodzaje zagrożeń znajdują się w danej audycji czy innym przekazie.
Ponadto, użytkownicy nie mogą zamieszczać treści nawołujących do przemocy i popełniania określonych w ustawie przestępstw, a także muszą odpowiednio oznaczać treści zagrażające prawidłowemu rozwojowi małoletnich. Nowelizacja nakłada również na dostawców usług VOD obowiązek dokonania wcześniejszego zgłoszenia Krajowej Radzie Radiofonii i Telewizji przed rozpoczęciem działalności – brak zgłoszenia umożliwi KRRiT nałożenie kary pieniężnej. Analogiczny obowiązek wpisu do rejestru spoczywa też na dostawcach platform udostępniania wideo. Warto również zasygnalizować, że konsekwencją nowelizacji ustawy o kinematografii jest poszerzenie katalogu podmiotów, które są zobowiązane do dokonywania wpłat na rzecz Polskiego Instytutu Sztuki Filmowej. Wśród nich znajdują się nadawcy programów telewizyjnych, którzy mają swoją siedzibę w innym państwie Unii Europejskiej, ale uzyskują przychody na terytorium Polski.
Link do nowelizacji: https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20210001676/O/D20211676.pdf
[oprac. M. Kubiak, A. Chodyna]
PRAWO IT
Wyrok TSUE w sprawie Top System S.A. przeciwko État belge
Trybunał Sprawiedliwości rozstrzygnął sprawę Top System S.A. przeciwko État belge (C-13/20).
Sprawę tę opisywaliśmy w numerze 1/2021 Kwartalnika „Prawo Nowych Technologii” (s. 9) przy okazji omawiania opinii Rzecznika Generalnego Macieja Szpunara. Wyrok, co do zasady, potwierdza tezy zaprezentowane w opinii rzecznika, co oznacza, że legalny użytkownik programu komputerowego może zwielokrotniać i modyfikować program komputerowy w celu dekompilacji, jeżeli dekompilacja jest konieczna do korzystania z programu, np. w celu poprawiania błędu. Trybunał nie podzielił jednak bardzo istotnej części opinii Rzecznika Generalnego, który stwierdził, że strony umowy mogą wyłączyć możliwość samodzielnego poprawiania błędów przez użytkownika. Wbrew temu stanowisku, w motywie 65 i 66 wyroku Trybunał uznał, że prawa użytkownika do poprawiania błędów nie można umownie wyłączyć.
Wyrok TSUE w sprawie The Software Incubator Ltd przeciwko Computer Associates UK Ltd.
Trybunał Sprawiedliwości wydał 16.9.2021 r. wyrok w sprawie The Software Incubator Ltd przeciwko Computer Associates UK Ltd (C-410/19) na gruncie dyrektywy Rady 86/653/EWG z 18.12.1986 r. w sprawie koordynacji ustawodawstw państw członkowskich odnoszących się do przedstawicieli handlowych działających na własny rachunek.
Przy tej okazji, Trybunał musiał rozstrzygnąć, czy oprogramowanie dostarczane drogą cyfrową (nie na nośniku materialnym) i używane na podstawie licencji zawartej na czas nieoznaczony jest towarem w rozumieniu wyżej wskazanej dyrektywy. Umowa licencyjna przewidywała możliwość wypowiedzenia umowy w przypadku jej naruszenia przez użytkownika oraz w przypadku jego niewypłacalności. Trybunał potwierdził, że takie udzielenie licencji można traktować jak sprzedaż towarów.
Zdaniem Trybunału, pojęcie „sprzedaż towarów” należy do pojęć autonomicznych prawa Unii i nie można go definiować poprzez odniesienie do pojęć znanych prawu państw członkowskich. W tym kontekście, Trybunał odwołał się i podkreślił trafność wcześniejszego wyroku w sprawie UsedSoft (C-128/11). Jest to więc kolejny wyrok TSUE, który nakazuje traktować niektóre umowy licencyjne jak sprzedaż, co może mieć wpływ na orzecznictwo w Polsce, zarówno w zakresie wyczerpania prawa do dystrybucji utworów, ale również na ocenę skuteczności postanowień umownych, które ograniczają prawo licencjodawcy do dowolnego wypowiadania umowy licencyjnej zawartej na czas nieoznaczony.
https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:62019CJ0410&from=EN
Interpretacja Dyrektora Krajowej Informacji Skarbowej w zakresie IP Box
Interpretacja Dyrektora Krajowej Informacji Skarbowej z 2.7.2021 r. została wydana w odpowiedzi na wniosek podatnika podatku dochodowego od osób fizycznych w zakresie preferencyjnego opodatkowania dochodów generowanych przez prawa własności intelektualnej (tzw. IP Box).
Pytanie, jakie zadano organowi dotyczyło tego, czy w przypadku dochodów uzyskiwanych z opłat za świadczenie usług Software-as-a-Service (SaaS), podatnik ma prawo do zastosowania preferencyjnej stawki opodatkowania (IP Box). W celu świadczenia usług SaaS, podatnik korzystał z tzw. kwalifikowanych praw własności intelektualnej (tu: majątkowych praw autorskich do programów komputerowych), jednak jego dochody nie pochodziły z uzyskiwanych opłat licencyjnych, ale z cyklicznych opłat za usługi, które opierały się na wykorzystywaniu programów komputerowych rozwijanych przez podatnika. Organ zgodził się z taką interpretacją rozwiewając wątpliwości (w analizowanym stanie faktycznym i w ramach indywidualnej interpretacji podatkowej), że również takie dochody korzystają z ulgi IP Box.
Zmiany w PIT dotyczące informatyków w Polskim Ładzie
Ustawą z 29.10.2021 r. wprowadzającą tzw. Polski Ład, zmniejszono z 14% do 12% stawkę podatkową z tytułu ryczałtowego rozliczania przychodów programistów oraz wprowadzono preferencyjne w stosunku do dochodów rozliczanych liniową 19% stawką PIT, zasady rozliczenia składki zdrowotnej.
Powyższe rozwiązania znajdują zastosowanie do przychodów związanych m.in. z:
1) wydawaniem pakietów gier komputerowych, z wyłączeniem publikowania gier on-line, pakietów oprogramowania systemowego, pakietów oprogramowania użytkowego;
2) doradztwem w zakresie sprzętu komputerowego;
3) doradztwem w zakresie oprogramowania;
4) instalowaniem oprogramowania oraz
5) z zarządzaniem siecią i systemami informatycznymi.
Dz.U. z 2021 r. poz. 2105
[oprac. M. Sowiński]
