avatar

Rafał Malujda

Radca prawny, specjalista w zakresie prawa własności intelektualnej i nowych technologii.
Szczególne miejsce w jego praktyce zajmuje licencjonowanie oprogramowania, szczególnie w modelu open source/free software. Uczestniczy w procesach transferu technologii z jednostek naukowych do gospodarki (ekspert m.in. w projekcie Jaspers - Legal support in implementation activities for ERDF R&D projects in Poland). Poza tym posiada bogate doświadczenie przy realizacji projektów gospodarczych, zarówno krajowych jak i międzynarodowych. Prezes fundacji Aegis oraz doradca i członek stowarzyszenia Szczecińskiej Grupy Użytkowników Linuksa i Uniksa (SzLUUG), członek Zarządu Stwowarzyszenia Klaster ICT Pomorze Zachodnie, współpracował w zakresie prawnym m.in. z Polską Grupą Użytkowników Linuksa, Fundacją Wolnego i Otwartego Oprogramowania przy realizacji projektów Prawidłowe Przetargi Publiczne w branży IT (PPPIT) oraz Platforma Współpracy SPINACZ. Zwolennik zdrowego rozsądku, użytkownik otwartych rozwiązań w życiu codziennym.

dodany: 15.03.2013 | tagi: , ,

Dyrektywa „Cookies” w prawie telekomunikacyjnym – informacja na temat nowych obowiązków właścicieli serwisów internetowych

16
Dyrektywa „Cookies” w prawie telekomunikacyjnym – informacja na temat nowych obowiązków właścicieli serwisów internetowych

W dniu 22 marca 2013 roku wchodzi w życie modyfikacja do ustawy – Prawo telekomunikacyjne, która wprowadza do naszego porządku prawnego przepisy tzw. Dyrektywy „cookies”. Cookies, czyli „ciasteczka”, to niewielkie informacje tekstowe, wysyłane przez serwer WWW i zapisywane po stronie użytkownika (zazwyczaj na twardym dysku) – domyślne parametry ciasteczek pozwalają na odczytanie informacji w nich zawartych jedynie serwerowi, który je utworzył. Ciasteczka są stosowane najczęściej w przypadku liczników, sond, sklepów internetowych, stron wymagających logowania, reklam i do monitorowania aktywności odwiedzających [źródło: pl.wikipedia.org/wiki/Ciasteczko].

(więcej…)

dodany: 25.02.2013 | tagi: ,

Co zmieni się w prawie o świadczeniu usług drogą elektroniczną? (część 1.)

7
Prawo

Ministerstwo Administracji i Cyfryzacji powróciło do pomysłu nowelizacji ustawy o świadczeniu usług drogą elektroniczną – na stronach BIP MAiC można znaleźć Projekt ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz o zmianie niektórych innych ustaw (dalej: „Projekt”).

W cyklu kilku najbliższych artykułów zajmę się przedstawieniem zapisów dotyczących najistotniejszych z projektowanych zmian oraz ich komentarzem. Do tego wątku będziemy z pewnością wracać jeszcze nie raz na łamach WebSecurity.pl – prace przy zmianach do tej ustawy wywołują zawsze duże emocje, czego świadkami jesteśmy również po opublikowaniu wspomnianego Projektu. Warto jednak poświęcić kilka chwil na samodzielną refleksję i analizę tego zagadnienia, tak by móc aktywnie uczestniczyć w tej skomplikowanej dyskusji dotyczącej nas wszystkich.

 

Definicja e-usługi

Projekt zmodyfikował definicję „usługi świadczonej drogą elektroniczną” poprzez uwzględnienie jej odpłatnego charakteru. Zgodnie z propozycją, ta kluczowa dla branży definicja e-usługi ma mieć następującą postać:

  • wykonane usługi są świadczone bez jednoczesnej obecności stron (na odległość);
  • usługi świadczone są za wynagrodzeniem;
  • dane przekazywane są na indywidualne żądanie usługobiorcy;
  • usługi przesyłane i otrzymywane są za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową i przechowywaniem danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej (w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne).

 

Zasada państwa pochodzenia

Doprecyzowaniu ulec ma również zakres wyłączeń od zasady państwa pochodzenia (przepisu fundamentalnego dla sektora e-usług obowiązującego w ramach Unii Europejskiej), zgodnie z którą usługi społeczeństwa informacyjnego poddane są prawu państwa członkowskiego UE, w którym znajduje się siedziba usługodawcy, chyba że strony postanowią inaczej albo mamy do czynienia z jednym z wyłączeń. To doprecyzowanie ma polegać na tym, że zasada państwa pochodzenia nie będzie (zgodnie z założeniami projektu) miała zastosowania do zobowiązań z udziałem konsumentów oraz wzorców umów skierowanych wobec konsumentów – w zakresie, w jakim ochronę praw konsumentów zapewniają przepisy odrębne . Chodzi tutaj o to, że w Unii Europejskiej funkcjonują szczególne mechanizmy ochrony konkurenta w określonych przypadkach i „wymuszają” one stosowanie przepisów kraju konsumenta, co oznacza, iż nie zawsze pokryje się to z siedzibą usługodawcy. Zgodnie z uzasadnieniem Projektu, zmiana przepisu ma na celu doprecyzowanie, że zasada państwa pochodzenia nie odnosi się ponadto m.in. do zobowiązań pozaumownych wynikających z naruszenia obowiązków informacyjnych przewidzianych w obrocie konsumenckim, dla których prawo właściwe wyznacza art. 12 rozporządzenia „Rzym II”, oraz do abstrakcyjnej kontroli wzorców umów, która zgodnie z orzecznictwem Trybunału Sprawiedliwości UE kwalifikowana jest jako zobowiązanie pozaumowne (por. wyrok ETS w sprawie C-167/00) i stosownie do art. 6 ust. 1 rozporządzenia „Rzym II” podlega prawu państwa, w którym występuje naruszenie zbiorowych interesów konsumenckich.

 

Informacje podstawowe o usługodawcy

Jeżeli chodzi o zakres informacji podstawowych, które zobligowany jest podawać usługodawca poprzez system teleinformatyczny, którym posługuje się usługobiorca, to ulec ma on rozszerzeniu o konieczność podawania danych szczegółowych umożliwiających szybki kontakt oraz bezpośrednie i skuteczne porozumiewanie się. Jest to pokłosie wyroku Trybunału Sprawiedliwości Wspólnot Europejskich z 16 października 2008 r. w sprawie C-298/07 Deutsche Internet Versicherung, zgodnie z którym usługodawca jest obowiązany podać usługobiorcom, zanim zostanie zawarta z nimi jakakolwiek umowa, oprócz adresu poczty elektronicznej, inne dane umożliwiające nawiązanie szybkiego kontaktu oraz bezpośrednie i skuteczne porozumiewanie się. Osoba wykonująca zawód regulowany będzie musiała podawać dodatkowo:

1) w przypadku ustanowienia pełnomocnika, jego imię, nazwisko, miejsce zamieszkania i adres albo jego nazwę lub firmę oraz siedzibę i adres;

2) samorząd zawodowy, do którego należy;

3) tytuł zawodowy, którego używa oraz państwo, w którym został on przyznany;

4) numer w rejestrze publicznym, do którego jest wpisany wraz ze wskazaniem nazwy rejestru i organu prowadzącego rejestr.

Warto dodać, iż przez zawód regulowany w Projekcie rozumie się zespół czynności zawodowych, których wykonywanie jest uzależnione od spełnienia wymagań kwalifikacyjnych i warunków określonych w ustawie z dnia 18 marca 2008 r. o zasadach uznawania kwalifikacji zawodowych nabytych w państwach członkowskich Unii Europejskiej, w zakresie dotyczącym zawodów regulowanych lub działalności, o których mowa w załączniku nr IV dyrektywy 2005/36/WE Parlamentu Europejskiego i Rady z dnia 7 września 2005 r. w sprawie uznawania kwalifikacji zawodowych (są to czynności bardzo różnych profesji – od doradców podatkowych, poprzez fizjoterapeutów, na operatorach systemów nurkowych kończąc).

Ponadto (w stosunku do dotychczasowych wymogów), Usługodawca ma być obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o istnieniu właściwych dla danego zawodu zasad etyki zawodowej oraz o sposobie dostępu do tych zasad, a także wpisie do Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub numerze w Krajowym Rejestrze Sądowym. Dla przeciętnego użytkownika oznacza to, że wszystkie dane rejestrowe będą musiały być łatwo dostępne i podane – przykładowo – w serwisie internetowym. Nawet w dzisiejszych czasach spotkać można bowiem choćby sklepy internetowe, które zawierają jedynie oznaczenie nazwy fantazyjnej i nie wiadomo dokładnie jaki podmiot prowadzi taki sklep.

Kolejna „nowość” dotyczy usługodawców tworzących strony internetowe lub zlecających tworzenie takich stron – będą oni mieli w miarę możliwości uwzględniać zalecenia dotyczące użytkowników o specjalnych potrzebach, w szczególności osób niepełnosprawnych z powodu dysfunkcji narządu wzroku lub słuchu. Chodzi tutaj o potrzebę dostosowania stron internetowych do potrzeb osób niepełnosprawnych i kierowanie się wytycznymi wypracowanymi przez konsorcjum W3C (Word Wide Web Consortium) w ramach inicjatywy dostępności do sieci WAI (Web Accessibility Initiative), zgodnie z wytycznymi WCAG 2.0.

 

Regulaminy e-usług

Regulamin świadczenia usług drogą elektroniczną będzie musiał określać także zakres odpowiedzialności z tytułu niewykonania lub nienależytego wykonania umowy. Rozwiązanie to należy przywitać z zadowoleniem, jednakże od strony techniczno-prawnej pozostaje otwarte to, jaki stopień szczegółowości będzie musiał towarzyszyć takiemu dookreśleniu.

 

Informacja handlowa

Projekt dokonuje także swoistego przeorientowania w obszarze informacji handlowych – wprowadza nową kategorię podmiotów rozpowszechniających informację handlową – takich podmiotów (np. firm reklamujących swoje produkty lub usługi jest bardzo dużo i wykorzystują one bardzo różne – mniej lub bardziej osadzone w przepisach – praktyki, by ich korespondencja nie była uznawana za „spam”. Podmiot taki będzie odpowiedzialny za to, żeby taka informacja była na tyle wyraźne wyodrębniona i oznaczona, aby nie budziło wątpliwości, że jest to informacja handlowa. W tym kontekście należy wspomnieć, iż Projekt modyfikuje także samo ujęcie informacji handlowych na gruncie ustawy. Informacja handlowa będzie musiała także zawierać informację o sposobie nieodpłatnego odwołania zgody na otrzymywanie zamówionej informacji handlowej – w przypadku informacji handlowej skierowanej za pomocą środków komunikacji elektronicznej do oznaczonego odbiorcy. Te modyfikacje mają na celu zminimalizowanie wątpliwości interpretacyjnych pojawiających się na tle dotychczasowej regulacji (np. dyskusja wokół tego, jakie znaczenie nadać zwrotowi „wizerunek przedsiębiorcy”).

Wykonujący zawód regulowany (czyli taki, którego wykonywanie uzależnione jest od spełnienia wymogów określonych przepisami prawnymi np. zdanie egzaminu, ukończenie wymaganej praktyki zawodowej etc.) może przekazywać informacje handlowe środkami komunikacji elektronicznej, zgodnie z zasadami wynikającymi z przepisów prawa oraz etyki zawodowej, w sposób odpowiadający charakterowi danego zawodu, biorąc pod uwagę, w szczególności, niezależność, godność i uczciwość zawodową, a także ochronę tajemnicy zawodowej (np. zgodnie z Kodeksem Etyki Fizjoterapeuty RP, Fizjoterapeuta nie wykorzystuje swojego nazwiska do reklamowania towarów i usług jeżeli uwłacza to godności i kompetencjom fizjoterapeuty).

 

To tyle tytułem wprowadzenia i przedstawienia projektowanych zmian w przepisach ogólnych ustawy oraz w zakresie obowiązków usługodawcy świadczącego usługi drogą elektroniczną. W kolejnym artykule zajmę się przedstawieniem najbardziej dyskusyjnych zmian dotyczących wyłączenia odpowiedzialności ISP wraz z komentarzem uwzględniającym głosy z dyskusji z różnych stron, w trakcie których nie można jednak zapominać o uwarunkowaniach prawa Unii Europejskiej. Przedstawię także nowoprojektowane regulacje w obszarze procedur zgłaszania i uniemożliwiania dostępu do bezprawnych danych lub do informacji pozwalających na zlokalizowanie bezprawnych danych.

dodany: 18.02.2013 | tagi: , ,

Python pod ochroną (!?)

0
Python pod ochroną (!?)

W ostatnich dniach społeczność programistów i adminów zelektryzowała wiadomość, iż firma Veber z Wielkiej Brytanii chce uzyskać ochronę na znak towarowy słowno-graficzny, który zawiera nazwę „python” (http://r.websecurity.pl/0A). Co istotne to fakt, że znak python miałby zostać zarejestrowany do oznaczania następujących towarów lub usług:

1) Oprogramowanie komputerowe; Serwery do hostingu www; Sprzęt do sieci VPN; Serwery internetowe;

2) Projektowanie i rozwój komputerowego sprzętu i oprogramowania; Prowadzenie portali internetowych; Hosting stron komputerowych [witryn internetowych]; Hosting stron internetowych dla osób trzecich; Prowadzenie portali internetowych dla osób trzecich, na serwerach komputerowych dla globalnej sieci komputerowej; Hosting stron www w Internecie; Hosting treści cyfrowych, mianowicie dzienników i blogów online; Dostawcy aplikacji [ASP], zwłaszcza hosting aplikacji oprogramowania komputerowego na rzecz osób trzecich; Prowadzenie witryn internetowych dla osób trzecich; Prowadzenie witryn internetowych; Administrowanie stronami komputerowymi (sieciowymi) innych; Wynajem serwerów sieciowych.

(więcej…)

dodany: 06.02.2013 | tagi: , , , , ,

Porozumienie pomiędzy rządem francuskim a Google

0
Porozumienie pomiędzy rządem francuskim a Google

Tym wpisem mam przyjemność rozpocząć publikacje bloga prawnego na łamach portalu WebSecurity. Będę starał się opisywać tutaj ciekawe, aktualne  zdarzenia od strony prawnej – takie, które mają związek z prawnymi aspektami Internetu, prawa własności intelektualnej, ochrony danych osobowych, nowych mediów i wątków powiązanych. Zapraszam więc do lektury, a na początek informacja na temat porozumienia, które w ostatnich dniach podpisała firma Google z rządem francuskim.

Sprawa ma dość niecodzienny charakter i pokazuje, jak można dojść do porozumienia, które funkcjonuje na zasadzie „wilk jest syty, a owca cała”. Chodzi o umowę, którą 01 lutego 2013r. rząd François Hollande’a podpisał  z Google. Na jej podstawie gigant internetowy utworzy fundusz o wartości 60 milionów Euro, który będzie miał pomóc „starym” mediom dostosować się do technologii cyfrowych. Podpisanie tego porozumienia kończy spór, który toczył się wokół tego, czy Google powinien płacić za wyświetlanie newsów (a precyzyjnie rzecz ujmując – tzw. „snippetów”, czyli niewielkich porcji artykułów, które mają na celu oddać jego istotę) w serwisie Google News.

(więcej…)

dodany: 15.01.2013 | tagi: , , , ,

Wiążące reguły korporacyjne przetwarzania danych osobowych

0

Z dniem 01 stycznia 2013 r. wprowadzono wiążące reguły korporacyjne (BCR) dla przetwarzających, którymi są wewnętrzne kodeksy postępowania dotyczące ochrony i bezpieczeństwa danych mające na celu zapewnienie, że przekazywanie danych osobowych poza obszar Unii Europejskiej przez przetwarzającego, który działa w imieniu swoich klientów i wedle ich instrukcji, będzie odbywało się zgodnie z przepisami UE o ochronie danych (link).

BCR mają charakter wewnętrznych zasad przyjmowanych przez międzynarodowe korporacje, które definiują globalną politykę przetwarzania danych osobowych wewnątrz danej korporacji do lokalizacji położonych w państwach, w których nie obowiązuje należyty stopień ochrony danych osobowych.

BCR mają na celu przede wszystkim ułatwić dużym korporacjom spełnienie wymogów z art. 25 i 26 Dyrektywy, na podstawie których:

  1. Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony;
  2. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie;
  3. Państwa Członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, może nastąpić pod warunkiem, że: a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych; lub b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą; lub d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą; lub f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
  4. Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie do wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych.

Przy stosowaniu tych zasad warto wspomnieć o wyroku z dnia 16 kwietnia 2003 r., w którym Naczelny Sąd Administracyjny stwierdził, że:

“Przy udzielaniu zgody na przekazanie danych osobowych za granicę organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu”.

Jak czytamy w Komunikacie europejskich organów ochrony danych, zrzeszonych w ramach Grupy Roboczej Artykułu 29 ds. Ochrony Danych (niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE),

“Stosowanie BCR dla przetwarzających nie jest obowiązkowe, a każde przedsiębiorstwo działające jako przetwarzający, np. w kontekście działań outsourcingowych lub przetwarzania danych w chmurze obliczeniowej (cloud computing), może podjąć decyzję o złożeniu wniosku o zatwierdzenie BCR do organu ochrony danych. Przyniesie to jednak korzyści zarówno przetwarzającym, jak i administratorom. Gdy wiążące reguły korporacyjne dla przetwarzających zostaną zatwierdzone, mogą być wykorzystane przez administratora i przetwarzającego, dzięki czemu zapewniona zostanie zgodność z unijnymi zasadami ochrony danych, bez konieczności negocjowania zabezpieczeń i warunków za każdym razem, gdy zawierana jest umowa”.

BCR dla przetwarzających są – można powiedzieć – częścią systemu BCR, na który składa się jeszcze BCR dla administratorów danych, natomiast BCR dla przetwarzających obejmuje różne podmioty przetwarzające dane (np. centra danych). Zgodnie z Dyrektywą, pomiędzy przetwarzającym a administratorem powinna zostać podpisana stosowna umowa (ang. service agreement), której postanowienia również powinny znaleźć swoje odzwierciedlenie w BCR dla przetwarzających.

Od strony merytorycznej, w BCR dla przetwarzających należy zwrócić uwagę przede wszystkim na następujące kwestie:

  1. Zapewnienie przestrzegania we wszystkich podmiotach grupy oraz przez wszystkich pracowników, w tym zapewnienie, że przestrzegane będą zasady ochrony przewidziane w umowie z administratorem. Zgodnie bowiem z art. 17 Dyrektywy “Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań”.
  2. BCR muszą dawać prawo do dochodzenia uprawnień w nich przewidzianych przez osoby, których dane są przetwarzane (ang. “data subjects”), gdy nie mogą one wnieść roszczeń przeciwko administratorowi.
  3. BCR muszą przewidywać odpowiedni poziom zobowiązań do rekompensaty finansowej za działania podmiotów przetwarzających dane.
  4. BCR musi zapewnić, iż wiedza odnośnie zasad BCR jest znana w danej firmie i przeprowadzane są ustawiczne szkolenia w tym zakresie.
  5. W całej grupie podmiotu przetwarzającego dane powinien funkcjonować punkt kontaktowy dla podmiotów, których dane są przetwarzane.
  6. BCR powinny przewidywać, iż sposób ochrony danych osobowych będzie okresowo audytowany.
  7. BCR powinny zawierać zobowiązanie do współpracy z organami ochrony danych osobowych oraz z administratorem danych. Nie można bowiem na żadnym etapie zapomnieć, iż dane są przetwarzane w określonym celu i to nie podmiot przetwarzający dane osobowe jest tutaj główną postacią tego procesu. Na pewno pełni on bardzo istotną rolę w łańcuchu przetwarzania danych osobowych, jednakże nie wolno zapomnieć, iż głównym zobowiązanym jest administrator danych i to w wypełnianiu obowiązków administratora danych powinien pomagać przetwarzający.
  8. Określenie zakresu danych objętych BCR.
  9. Procedura zmian BCR.
  10. Opis zasad zachowania poufności i bezpieczeństwa, włączając w to zasady transferu danych poza Unię Europejską.
  11. Lista podmiotów objętych BCR oraz oświadczenie o powiązaniach BCR z prawem lokalnym.

Na zakończenie należy podkreślić, iż BCR powinny być powiązane z SLA, która w zakresie danej usługi wiąże klienta końcowego. Umowa SLA, która wiąże klienta, będzie zawierała wiele uregulowań dotyczących już bezpośrednio danej usługi, jednakże BCR jako dokument ramowy i globalny powinien być do niej załącznikiem – jest to bynajmniej rekomendowana praktyka.