-1
archive,category,category-dane-osobowe,category-154,theme-stockholm,cookies-not-set,stockholm-core-1.1,woocommerce-no-js,select-child-theme-ver-5.1.8.1573676579,select-theme-ver-5.1.8,ajax_fade,page_not_loaded,menu-animation-underline,popup-menu-fade,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Czym jest altruizm danych i pośrednictwo w dostępie do danych – czyli o tym, jak nowy Akt ws Europejskiego Zarządzania Danymi ma wspierać rozwój innowacji cyfrowych.

Unijny prawodawca wysoko ustanowił poprzeczkę w zakresie przyczyniania się do rozkwitu nowoczesnych technologii, jakiej powinien sprostać ogłoszony niedawno tzw. Akt ws Europejskiego Zarządzania Danymi. Czy się to uda, przekonamy się nie wcześniej, niż za kilkanaście miesięcy. Tymczasem, warto już teraz zapoznać się z wprowadzanymi przez owe Rozporządzenie (UE) nowościami wspólnego rynku cyfrowego.

W kwietniu br. pisaliśmy na blogu o projekcie Rozporządzenia (UE) zwanego Data Act, który ma stanowić jeden z elementów unijnej strategii danych, będącej z kolei częścią szerszej, europejskiej strategii cyfrowej. Data Act na razie wciąż pozostaje projektem regulacji, natomiast drugi z zestawu Rozporządzeń mających składać się na europejską strategię danych został na początku czerwca opublikowany w Dzienniku Urzędowym Unii Europejskiej. Mowa tu o tzw. Data Governance Act (dalej Rozporządzenie DGA) czyli Rozporządzeniu PE i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi).

 

Rozporządzenie DGA wejdzie w życie 23 czerwca 2022 r. tj. po 20 dniach od dnia publikacji, natomiast jego stosowanie rozpocznie się 24 września 2023 r. Będzie obwiązywać bezpośrednio każdego Europejczyka – tak jak RODO. 

 

Celem Rozporządzenia DGA ma być zwiększenie dostępu do danych na rynku, poprzez ustanowienie zharmonizowanych ram dzielenia się danym. Dzielenie się ma służyć tworzeniu innowacyjnych usług i produktów. Na co dzień dostrzegamy jak nowoczesne technologie w ostatnich latach zmieniły społeczeństwo i gospodarkę. Centrum tej transformacji cyfrowej stanowią dane, których innowacyjny potencjał jest nie do przecenienia. Konieczne jest, więc stworzenie gospodarki danych bardziej inkluzywnej, przez niwelowanie zjawiska przepaści cyfrowej, zwiększenie zaangażowania kobiet w gospodarkę cyfrową oraz rozwój wiedzy w obszarze technologii.[i]Dostrzeżono, że potrzebne jest poprawienie warunków dzielenia się danymi na wspólnym rynku poprzez stworzenie zharmonizowanych ram wymiany danych, a działanie w tym zakresie na poziomie unijnym jest konieczne w celu zwiększenia zaufania osób fizycznych i przedsiębiorstw.[ii]

 

Poniżej przedstawiamy główne zagadnienia uregulowane w Rozporządzeniu DGA .

 

  1. Ponowne wykorzystywanie niektórych kategorii danych będących w posiadaniu podmiotów sektora publicznego.

Warto zauważyć, że określone kategorie danych sektora publicznego mogą już teraz podlegać udostępnieniu na rzecz użytkowników, na podstawie przepisów Dyrektywy (UE) 2019/1024 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego i wdrażającej ją ustawy z 11. 08. 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego. Jednak w oparciu o ww. akty prawne nie podlegają udostępnieniu dane sektora publicznego objęte poufnością informacji handlowych i statystycznych, a także dane zawarte w treściach chronionych prawami własności intelektualnej osób trzecich. Do tych właśnie kategorii informacji, jak również do danych osobowych nie objętych Dyrektywą 2019/1024, a będących w posiadaniu podmiotów publicznych, zastosowanie będzie mieć Rozporządzenie DGA.

 

Ponowne wykorzystywanie danych w rozumieniu Rozporządzenia DGA oznacza:

wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych;[iii]

Podmioty sektora publicznego będą m.in. zobowiązane do udostępniania warunków, jakie będą musiały być spełnione, aby zezwolenie na ponowne wykorzystywanie danych mogło być udzielone, wraz z procedurą występowania z wnioskiem. Informacje te będą udostępniane za pośrednictwem tzw. pojedynczego punktu informacyjnego. Podmioty publiczne będą mogły  pobierać opłaty za udzielenie zezwolenia na ponowne wykorzystanie danych objętych tajemnicą handlową lub statystyczną bądź prawami własności intelektualnej osób trzecich.

 

Co istotne, w Rozporządzeniu DGA uregulowano też problematykę przekazywania poufnych danych nieosobowych do państwa trzeciego. Akt wprowadza zasady, na jakich będzie mogło być udzielone zezwolenia na ponowne wykorzystywanie danych sektora publicznego użytkownikowi, który zamierza przekazać dane do państwa trzeciego. Użytkownik udostępniający dane do państw trzecich będzie podlegał określonym obowiązkom, w tym w pewnych przypadkach będzie musiał zobowiązać się do zapewnienia ochrony danych poprzez zawarcie odpowiedniej umowy z podmiotem sektora publicznego. Zamiar przekazania danych do państwa trzeciego będzie ujawniany w momencie składania wniosku o ponowne wykorzystanie danych.

Komisja Europejska (KE) może przyjmować wzory klauzul umownych dotyczących obowiązków użytkownika zamierzającego przekazać dane do państwa trzeciego. Ponadto, jeśli będzie do uzasadnione liczbą wniosków dotyczących przekazania danych do konkretnych państw trzecich, KE może przyjmować środki systemowo ułatwiające przekazywanie danych do takiego państwa. Temu celowi mogą służyć akty wykonawcze KE, stwierdzające, że rozwiązania prawne tego państwa zapewniają należytą ochronę własności intelektualnej i tajemnic przedsiębiorstwa.

 

  1. Świadczenie usług pośrednictwa danych.

Rozporządzenie wprowadza nową kategorię usług na rynku cyfrowym, tj. usługi pośrednictwa w dostępie do danych. Będą to usługi quasi regulowane, ponieważ akt określa warunki ich świadczenia, w tym podleganie przedsiębiorców procedurze zgłoszenia i nadzorowi ze strony właściwych organów.

 

Usługi pośrednictwa w dostępie do danych mogą polegać na[iv]:

  1. pośrednictwie pomiędzy posiadaczami danych, a ich potencjalnymi użytkownikami, w tym udostępnianie środków technicznych, tworzenie platform lub baz danych umożliwiających wymianę lub wspólne wykorzystywanie danych;
  2. pośrednictwie pomiędzy podmiotami danych osobowych, zamierzającymi udostępnić swoje dane osobowe lub osobami fizycznymi zamierzającymi udostępnić dane nieosobowe a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług;
  3. usługi świadczone przez spółdzielnie danych

Usługami spółdzielni danych są usługi pośrednictwa oferowane przez strukturę organizacyjną utworzoną przez osoby, których dane dotyczą, przedsiębiorstwa jednoosobowe lub MŚP będące członkami tej struktury, mającą za główne cele wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych (…).[v]

 

Dostawca usług zamierzający świadczyć usługi pośrednictwa musi dokonać zgłoszenia do właściwego organu. Zgłoszenie będzie uprawniać do świadczenia usług pośrednictwa w każdym państwie członkowskim UE.

KE ma ustanowić projekt wspólnego logo służącego rozpoznawaniu uznanych w Unii dostawców usług pośrednictwa, które dostawcy będą musieli eksponować w każdej publikacji odnoszącej się do ich działalności w zakresie pośrednictwa. Komisja będzie też prowadzić publicznie dostępny rejestr wszystkich dostawców usług pośrednictwa świadczących usługi Unii.

 

Art. 12 Rozporządzenia DGA określa warunki świadczenia usług pośrednictwa, wśród których można wymienić przykładowo następujące reguły:

  • pośrednik sam nie będzie mógł wykorzystywać danych będących przedmiotem świadczonych przez niego usług pośrednictwa,
  • oferowane przez pośrednika warunki handlowe, np. cena usługi, nie mogą być uzależnione od tego, czy klient korzysta, czy też nie z innych usług oferowanych przez dostawcę,
  • usługi pośrednictwa danych mogą obejmować oferowanie dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych, takich jak tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja;
  • dostawca usług pośrednictwa danych musi wprowadzać procedury mające na celu zapobieganie oszustwom lub nadużyciom w związku z ubieganiem się o dostęp do danych za pośrednictwem jego usług;
  • dostawca usług będzie prowadził rejestr zdarzeń dotyczących działalności w zakresie pośrednictwa danych.

Państwa członkowskie wyznaczą organy właściwe w sprawach procedury zgłaszania  świadczenia usług pośrednictwa, które będą także monitorować i nadzorować spełnianie przez pośredników wymogów Rozporządzenia DGA. W ramach nadzoru dostawcy mogą podlegać środkom naprawczym, w tym administracyjnym karom pieniężnym bądź żądaniu zaprzestania świadczenia usługi pośrednictwa.

 

  1. Udostępnianie danych z pobudek altruistycznych.

Altruizm danych został zdefiniowany jako

dobrowolne dzielenie się danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych, bez żądania ani otrzymania za to wynagrodzenia wykraczającego poza zwrot kosztów poniesionych przez te osoby lub posiadaczy w związku z udostępnieniem ich danych do celów leżących w interesie ogólnym (…), takich jak opieka zdrowotna, zwalczanie zmiany klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenia i rozpowszechniania statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do celów badań naukowych leżących w interesie ogólnym[vi];

 

Uznane w UE organizacje altruizmu danych będą wpisywane do publicznego, krajowego rejestru organizacji altruizmu danych. Podobnie jak w przypadku dostawców usług pośrednictwa, tak i dla organizacji altruizmu danych Komisja ustali wspólne logo, którym każda organizacja altruizmu będzie musiała się posługiwać w publikacjach w Internecie i poza nim.

Uznane organizacje altruizmu danych także będą podlegały monitoringowi i nadzorowi w zakresie spełniania wymogów Rozporządzenia DGA. Właściwe organy będą mogły w razie potrzeby będą stosować środki zapewniające spełniania wymogów Rozporządzenia. W odróżnieniu od usługodawców w zakresie pośrednictwa w dostępie do danych, w przypadku organizacji altruizmu nie jest przewidziane stosowanie kar pieniężnych. W razie, gdy organizacja altruizmu, pomimo wezwania do zaprzestania naruszeń w dalszym ciągu nie spełnia wymogów Rozporządzenia DGA, straci prawo do posługiwania się oznaczeniem „uznana w Unii organizacja altruizmu danych” oraz zostanie usunięta z właściwego krajowego rejestru.

 

  1. Środki ochrony prawnej

Rozporządzenie przewiduje możliwość składania przez podmioty prawa indywidualnej lub zbiorowej skargi do organu właściwego do spraw usług pośrednictwa danych, przeciwko dostawcy takich usług lub do organu właściwego do spraw rejestracji organizacji altruizmu danych, przeciwko uznanej organizacji altruizmu danych.

Oprócz skargi, osoby fizyczne lub prawne muszą mieć prawo do skutecznego środka ochrony prawnej przed sądem państwa członkowskiego, przeciwko decyzjom wydawanym przez organy właściwe w sprawach organizacji altruizmu danych i przez organy do spraw dostawców usług pośrednictwa w zakresie dostępu do danych.

 

Ustanowienie zharmonizowanych ram dzielenia się danymi do celów tworzenia innowacyjnych usług i produktów wpisuje się w wizję Europy konkurującej z resztą świata. Jednym z trzech filarów “Europejskiej strategii cyfrowej” jest tworzenie “technologii, która działa na rzecz ludzi”. Realizacja tego założenia to min.: inwestowanie w umiejętności cyfrowe wszystkich Europejczyków, przyspieszenie wprowadzenia ultraszybkich sieci szerokopasmowych w domach, szkołach i szpitalach w całej UE. To także ochrona ludzi przed cyberzagrożeniami (hakerami, oprogramowaniem ransomware, kradzieżą tożsamości) i zapewnienie rozwoju sztucznej inteligencji w sposób gwarantujący poszanowanie praw człowieka i zdobycie zaufania ludzi. W wizji tej obecne jest też zwiększenie zdolności Europy w zakresie superkomputerów w celu opracowywania innowacyjnych rozwiązań w obszarze medycyny, transportu i środowiska. Śledzimy najnowsze regulacje prawne w tym zakresie. Mamy świadomość, że kreują one zupełnie nową rzeczywistość, dając z jednej strony niezwykłe możliwości, z drugiej – nakładając obowiązki na każdego Europejczyka. To właśnie nowe obowiązki musimy znać już teraz, aby przygotować rozwiązania prawne obecne w cyfrowej Europie. Do obowiązków tych należym.in.  zinwentaryzowanie posiadanych danych, zaklasyfikowanie ich i zapewnienie ich bezpieczeństwa. To działania nie tylko techniczne, ale także wymagające odpowiedniego przygotowania  prawnego. Wspieramy operatorów danych, pomagamy wdrożyć procedury i standardy. Już dziś warto rozpocząć przygotowania do nowych biznesów i wymogów europejskiego zarzadzania danymi. Zapraszamy do współpracy i kontaktu 🙂

 

Photo by Camylla Battani on Unsplash
[i] Motyw (2) preambuły Rozporządzenia PE i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi), dalej w przypisach jako Rozporządzenie
[ii]      Motyw (3) i (5) preambuły Rozporządzenia.
[iii]     Art. 2 pkt. 2) Rozporządzenia
[iv]    Art. 10 Rozporządzenia
[v]   Art. 2  pkt. 15)  Rozporządzenia
[vi]    Art. 2 pkt. 16)  Rozporządzenia

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami.

Co maszyny wiedzą o ludziach? Rzecz o sztucznej inteligencji. Część II: AI, a Big (and small…) Data.

Big Data, sztuczna inteligencja, algorytmy, profilowanie, biometria, uczenie maszynowe, interfesy, pseudonimizacja … Brzmi niepokojąco? A może ekscytująco? Co oznaczają te terminy? W naszym cyklu wpisów dotyczących sztucznej inteligencji (AI) postaramy się przybliżyć choć niektóre z nich w kontekście AI właśnie. W poprzednim wpisie na temat sztucznej inteligencji przyjrzeliśmy się jej koncepcji odzwierciedlonej w projektowanym przez Komisję Europejską Rozporządzeniu PE i Rady (UE) w sprawie sztucznej inteligencji[i]. Dzisiaj poruszymy jeden z aspektów, w jakim sztuczna inteligencja może wpływać na życie człowieka, a jednocześnie ocierać się o prawo. Zagadnieniem tym jest przetwarzanie danych osobowych przez AI.

Przypomnijmy, że proponowana w ww. projekcie Rozporządzenia definicja sztucznej inteligencji zakłada, że system AI to oprogramowanie opracowane z wykorzystaniem określonej techniki, w tym np. procesów uczenia maszynowego lub analizy baz wiedzy, zdolne do generowania w określonym celu wyników (takich jak treści, decyzje, przewidywania), wypływających na otoczenie, z którymi AI wchodzi w interakcje[ii]. Jak zwróciliśmy uwagę, AI została celowo zdefiniowana w projekcie szeroko, a to w celu uniknięcia dezaktualizacji w związku z postępem technologicznym.[iii]

 

Zatem istotą działania AI jest przetwarzanie informacji w celu wyciągnięcia na ich podstawie określonych wniosków, np. szacowania prawdopodobieństwa wystąpienia zdarzeń, wydawania diagnoz, identyfikowania ryzyk.

 

Przetwarzanie dużej ilości danych określane jest mianem Big Data. Sam ów termin pochodzi z lat 90-tych, ale nabrał istotnego znaczenia w ostatnich czasach, wobec postępu technologicznego i dostrzeżenia potencjału danych dla biznesu. Czym się charakteryzuje to zjawisko? W materiałach Parlamentu Europejskiego możemy np. znaleźć określenie Big Data jako pojęcia odnoszącego się do dużych i złożonych zbiorów danych, których przetwarzanie, ze względu na kompleksowość, wymaga nowoczesnych technologii, takich jak sztuczna inteligencja. Dane pochodzą przy tym z wielu źródeł, a dzięki technologii ich przetwarzanie jest bardzo szybkie.[iv]

 

Czym z kolei jest uczenie maszynowe i jaki ma związek z danymi? Uczenie maszynowe to podkategoria (gałąź) sztucznej inteligencji. Komputery są w niej nauczane, jak automatycznie doskonalić jakość podejmowanych decyzji lub wydajność, a to przez nieustannie modyfikowaną wiedzę. Maszyna otrzymuje wiele przykładów i poddawana jest nowym scenariuszom, ucząc się znajdować powiązania, tendencje i wzorce między informacjami w zbiorach danych[v]. Należy uznać, że z im większej ilości danych korzysta AI, tym wyniki wygenerowane przez nią stają się dokładniejsze. Przykładem zastosowania uczenia maszynowego mogą być technologie marketingowe polegające na formułowaniu spersonalizowanych propozycji reklamowych w oparciu o zbieranie i analizę jak największej ilości danych o konsumencie, w tym przez dostrzeganie trendów wynikających z jego poprzednich zachowań (np. w sieci).

 

Wśród informacji, z których korzysta sztuczna inteligencja, mogą oczywiście znajdować się też dane osobowe. Jako przykłady możemy tu wskazać:

systemy służące do diagnozowania chorób lub szacowania ryzyka ich wystąpienia, np. ryzyka zawału serca, w oparciu o dane o stanie zdrowia i dane demograficzne osoby; zastosowanie zaś w diagnostyce uczenia maszynowego może uwzględniać np. wykrywanie zdarzeń w oparciu o wiedzę nabytą przez program na podstawie analizy niezmierzonej liczby zdjęć rentgenowskich lub opisów badań patomorfologicznych,

systemy wykorzystujące biomterię (rozumianą jako metody mierzenia cech ludzi i zwierząt), rozpoznającą unikalne biologiczne dane osobowe (wynikające z zachowania lub anatomii) do celów identyfikacji lub ustalenia tożsamości osób; w konsekwencji, w oparciu o rozpoznawanie biometryczne możliwe jest tworzenie systemów informatycznych służących do świadczenia określonych usług, takich jak np. płatności biometryczne, wykorzystujące uwierzytelnienie za pomocą odcisku palca, brzmienia głosu, czy rozpoznania tęczówki oka; (już dzisiaj we Wrocławiu można kupić bilet komunikacji miejskiej, płacąc za przejazd spojrzeniem), czy też do wydawania decyzji względem osoby; ten ostatni przykład może dotyczyć np. zwalczania przestępczości,

systemy AI mogą również wykorzystywać dane poprzez ich profilowanie, czyli zautomatyzowane przetwarzanie danych osobowych polegające na analizie zachowania osoby.

 

Możliwe przetwarzanie przez sztuczną inteligencję danych osobowych skutkuje potrzebą zapewniania należytej ochrony prawa do prywatności osób poddawanych oddziaływaniu AI.

Dostrzegając ten problem, Urząd Ochrony Danych Osobowych kilkakrotnie organizował w ostatnim czasie konferencje i webinaria na temat wpływu sztucznej inteligencji na prywatność i dane osobowe. W 2021 roku odbyły się co najmniej dwa takie wydarzenia: „Sztuczna inteligencja – w kontekście ochrony danych osobowych” (kwiecień 2021 r.) i „Sztuczna inteligencja, a prawa podstawowe” (wrzesień 2021 r.), z których materiałami można zapoznać się stronie internetowej Urzędu.[vi] W materiałach pokonferencyjnych pierwszego z nich znaleźć można m.in. rozważania dotyczące wykorzystania sztucznej inteligencji w ocenie zdolności kredytowej[vii]

 

W chwili obecnej, podstawowym aktem prawnym mającym zastosowanie do przetwarzania danych osobowych przez systemy sztucznej inteligencji jest Rozporządzenie RODO. Czy zatem ów akt prawny jest dostosowany do rewolucji technologicznej? Wydaje się, że choć cześć jego rozwiązań była projektowana z myślą o ochronie prywatności w dobie digitalizacji i z uwzględnieniem wpływu nowych technologii na życie społeczne. W przyszłości zaś okaże się, na ile skutecznie obowiązujące przepisy poradzą sobie z rozwiązywaniem problemów ochrony prywatności w zetknięciu człowieka ze sztuczną inteligencją.

 

Wśród rozwiązań RODO, które mogą mieć szczególne znaczenie z punktu widzenia systemów sztucznej inteligencji, można wymienić profilowanie, uwzględnianie ochrony danych w fazie projektowania systemu, wymagania dla ustawień domyślnych (privacy by design, privacy by default) oraz ocenę wpływu planowanych operacji na prawa osób fizycznych, dokonywaną przed wdrożeniem przetwarzania (privacy impact assessment).

 

Profilowanie

Zgodnie z RODO, profilowaniem jest dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;[viii]

 

Na gruncie ww. aktu, osoba fizyczna ma co do zasady prawo do tego, aby nie podlegać decyzji opartej wyłącznie na profilowaniu i jednocześnie wywołującej wobec niej skutki prawne lub w inny sposób istotnie na nią wpływającej.[ix] Akapit (71) preambuły RODO, jako przykłady takich decyzji wskazuje automatyczne odrzucenie wniosku kredytowego (w oparciu, jak należy rozumieć, o ocenę ryzyka kredytowego dokonaną przez program komputerowy) lub elektroniczne metody rekrutacji, bez udziału czynnika ludzkiego[x] (w zakresie decyzji o zatrudnieniu lub jego braku w oparciu o analizę cech osoby, przeprowadzonej wyłącznie przez algorytmy).

Jednak podejmowanie decyzji wobec człowieka w oparciu o profilowanie będzie dozwolone w kilku przypadkach. Rzecz jasna, podmiot danych może wyrazić zgodę na to, by być poddanym profilowaniu. Oprócz tego, profilowanie jest dopuszczalne, jeśli jest to wyraźnie dozwolone na podstawie szczególnych przepisów prawa, o ile takie przepisy przewidują należyte środki ochrony praw i interesów osoby poddanej profilowaniu.[xi] Wspomniany akapit (71) preambuły RODO wskazuje w tym zakresie takie uzasadnione cele jak np. zapobieganie oszustwom, uchylaniu się od podatków, czy konieczność zapewnienia bezpieczeństwa usług administratora. Ponadto, RODO nakłada w takiej sytuacji wymóg informowania o profilowaniu osoby, której dane dotyczą, a także przewiduje jej prawo do uzyskania interwencji człowieka, prawo wyrażenia własnego stanowiska lub  zakwestionowania decyzji wynikającej z profilowania. Jednocześnie, profilowanie nie powinno dotyczyć dzieci. [xii]

 

Privacy by design, privacy by default

Art. 25 RODO wymaga, aby już w fazie projektowania rozwiązania uwzględnić techniczne i organizacyjne środki ochrony danych osobowych, takie jak np. pseudonimizacja, z uwzględnieniem zwłaszcza stanu wiedzy technicznej, kosztów wdrożenia i ryzyka naruszenia praw podmiotów danych.[xiii]

Ponadto, domyślne przetwarzanie danych, a więc domyślne ustawienia danego programu czy systemu powinny zapewniać, aby przetwarzane były wyłącznie dane w minimalnym, niezbędnym zakresie i ilości. Jednocześnie, dane przetwarzane w ramach ustawień domyślnych mogą być udostępnione nieograniczonej liczbie osób tylko za zgodą danej osoby.[xiv]

 

Privacy impact assessment

Art. 35 RODO przewiduje, że jeżeli dany rodzaj przetwarzania danych, w szczególności z użyciem nowoczesnych technologii, wskazuje na wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator danych (np. twórca lub producent systemu) ma obowiązek przeprowadzić przed wdrożeniem ocenę skutków planowanych operacji dla ochrony danych osobowych.[xv] Taka ocena wpływu rozwiązania na prywatność jest wymagana przykładowo w przypadku systematycznego i kompleksowego podejmowania decyzji wobec osób fizycznych w oparciu o profilowanie, systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie lub przetwarzania na dużą skalę tzw. wrażliwych danych osobowych (np. danych o stanie zdrowia). [xvi]

 

Jeśli chcesz poczytać o praktykach zbierania danych, zajrzyj do naszego wpisu na temat Internetu rzeczy. Być może zainteresowała Cię problematyka RODO i zastanawiasz się nad bezpieczeństwem Twoich danych, nie chcesz, aby trafiły w nieuprawnione ręce? Jeśli jesteś twórcą, producentem lub komercyjnym użytkownikiem nowoczesnych technologii o charakterze sztucznej inteligencji i nie wiesz, jakie aspekty prawne mogą być ważne w Twojej działalności, już dziś oczekuj kolejnej części naszych rozważań o AI, w której poruszymy kwestie odpowiedzialności cywilnej za działania sztucznej inteligencji.

 

[i]       Projekt (wniosek) Rozporządzenia PE i Rady (UE), ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii (dalej Akt): https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52021PC0206
[ii]      Art. 3 pkt. 1) Aktu;
[iii]     Za pkt. 5.2.1 uzasadnienia wniosku w sprawie Aktu;
[iv]    https://www.europarl.europa.eu/news/pl/headlines/society/20210211STO97614/big-data-definicja-korzysci-wyzwania-infografika (dostęp 29.01.2022);
[v]     Za Ośrodkiem Przetwarzania Informacji – Państwowym Instytutem Badawczym na: https://www.sztucznainteligencja.org.pl/slownik/ (dostęp 29. 01. 2022);
[vi]    https://uodo.gov.pl/pl/138/2160 (dostęp 29. 01. 2022), https://uodo.gov.pl/pl/138/2010 (dostęp 29.01.2022);
[vii]   „Sztuczna inteligencja w procesie oceny zdolności kredytowej”, aut. adw. Agnieszka Rapcewicz w: „Sztuczna    inteligencja w kontekście ochrony danych osobowych” materiały pokonferencyjne, Urząd Ochrony Danych Osobowych, autorzy: Agnieszka Rapcewicz, Dominik Lubasz, Maciej Gawroński, Maciej Grzesiuk, Michał Lewandowski;
[viii]  Art. 4 pkt. 4) Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO);
[ix]    Art. 22 ust. 1 RODO;
[x]     Akapit (71) preambuły RODO;
[xi]    Art. 22 ust. 2 RODO;
[xii]   Akapit (71) preambuły RODO;
[xiii]  Art. 25 ust. 1 RODO;
[xiv]  Art. 25 ust. 2 RODO;
[xv]   Art. 35 ust. 1 RODO;
[xvi]  Art. 35 ust. 3 RODO.

Photo by Matthew Henry on Unsplash

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.
Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 
Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

Korzystasz ze spotkań online? Sprawdź, czy odpowiednio dbasz o bezpieczeństwo podczas wideokonferencji oraz czy spełniasz wszystkie wymagania!

W dobie pandemii koronawirusa SARS-CoV-2 spotkania online zyskały dużą popularność. Dodatkowo, poza bezpieczeństwem związanym z ograniczeniem transmisji wirusa, okazało się, że dzięki wirtualnym spotkaniom możemy zaoszczędzić sporo czasu związanego z koniecznością przemieszczania się na miejsce „rzeczywistego” spotkania. Wykorzystując funkcjonalności aplikacji, nie tylko sprawnie takie spotkanie zorganizujemy, ale również efektywnie je przeprowadzimy np. udostępniając ekran czy pliki.

Pandemia zwiększyła ilość wirtualnych spotkań, ale wideokonferencje są od wielu lat powszechnie używanym narzędziem technicznym do kontaktów. Istotą tego rozwiązania jest przesyłanie w czasie rzeczywistym dźwięku i obrazu umożliwiających kontakt audiowizualny jego użytkowników. Korzystanie z wideokonferencji będącej typem usługi cloud computing, rodzi zagadnienia prawne dotyczące przetwarzania danych osobowych oraz przesyłania i archiwizowania informacji poufnych za pomocą podmiotów trzecich. Czy znasz potencjalne ryzyka i obowiązki?

Do najczęściej wykorzystywanych programów do usług wideokonferencyjnych należą:

  • Microsoft Teams, będącej częścią pakietu Microsoft 365;
  • Zoom;
  • Cisco Webex.

Wobec tego, dokonując analizy dotyczącej przetwarzania i bezpieczeństwa danych w ramach wideokonferencji, będziemy odnosić się do informacji dotyczących wskazanych powyżej poszczególnych programów. Wyróżnimy kilka aspektów, które będą wymagały analizy pod kątem zgodnego z prawem korzystania ze spotkań online.

 

dane przetwarzane w ramach wideokonferencji

Dane, które są przetwarzane w ramach wideokonferencji można podzielić na:

  1. dane podstawowe i kontaktowe użytkownika, czyli: imię, nazwisko, e-mail, telefon, login, hasło, organizacja, metoda płatności, ustawienia preferencji;
  1. treści i kontent, czyli dane przesyłane pomiędzy użytkownikami – rozmowy (dźwięk, obraz), czaty, pliki. Dane te należą do danych nieustrukturyzowanych więc mogą zawierać informacje poufne i dane wrażliwe;
  2. dane techniczne i telemetryczne, czyli: IP, lokalizacja i cechy sprzętu, natężenie ruchu, requesty, anomalie, itp.;
  3. „inne dane” – zależne od funkcjonalności danej platformy. Dla przykładu Microsoft Teams jest narzędziem zintegrowanym w ramach Microsoft 365, stąd analiza tego programu wymaga również weryfikacji pozostałych usług w ramach Microsoft 365 (np. integrację MS Teams z kalendarzem).

 

aspekty prawne

Będąc organizatorem takich spotkań zarówno w kontaktach biznesowych z kontrahentami (relacja B2B) jak i klientami indywidualnymi (relacja B2C) zwrócić uwagę na kilka zagadnień.

rola organizatora oraz rola dostawcy usługi w zakresie przetwarzania danych

Zasadniczo organizator spotkania będzie administratorem danych osobowych, a dostawca narzędzia do wideokonferencji będzie podmiotem przetwarzającym dane osobowe (art. 4 pkt 8 RODO, art. 28 RODO). Dojdzie do powierzenia danych przez administratora, jako klienta biznesowego usługi dostępu do platformy wideokonferencyjnej, dostawcy (art. 4 pkt 7 RODO), czyli odpowiednio firmom: Microsoft, Zoom Video Technologies lub Cisco Systems.

Natomiast w zakresie danych technicznych czy telemetrycznych i podstawowych danych użytkownika, dostawca usługi działa jako administrator tych danych i wykorzystuje je dla celów zarządzania użytkownikami, raportowania finansowego oraz cyberbezpieczeństwa.

W relacji: organizator spotkania (klient usługi) a dostawca tej usługi, nie dochodzi do współadministrowania danymi osobowymi pomiędzy tymi podmiotami. Natomiast należy zaznaczyć, że dnia 29 lipca 2019 r. Trybunał Sprawiedliwości wydał wyrok[1], w którym stwierdził, że doszło do współadministrowania danymi pomiędzy Facebookiem a operatorem strony internetowej, na której umieszczono znacznik śledzący Facebook Pixel. Pomimo tego kontrowersyjnego orzeczenia, zdaniem organów ochrony danych, Microsoft i klienci usług Microsoft 365 nie są współadministratorami danych.

 

obowiązki formalne

Korzystając z usługi wideokonferencyjnej masz następujące obowiązki z zakresu ochrony danych:

  • wiarygodność – sprawdź, czy dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych tak aby usługa spełniała wymogi RODO i chroniła prawa osób, których dane dotyczą (zgodnie z art. 28 ust. 1 RODO). Dotyczy to weryfikacji następujących elementów:
    • zgodności działania usługi z prawem ochrony danych osobowych;
    • bezpieczeństwa usługi.

Możesz je zweryfikować poprzez analizę umowy powierzenia przetwarzania danych i innych informacji podawanych przez samych dostawców, certyfikatów niezależnych firm, jak i doniesień rynkowych na temat praktyki działania danej usługi, w tym informacji o wyciekach danych, podatnościach, awariach oraz praktykach handlu danymi.

  • umowa powierzenia – sprawdź, czy dostawca usługi oferuje umowę powierzenia przetwarzania danych, spełniającą wymogi art. 28 RODO.

Poniżej znajdziesz linki dla umów powierzenia przetwarzania danych osobowych dla usługi:

Teams, Zoom i Webex oferują umowę powierzenia przetwarzania danych, które spełniają wymogi zawarte w art. 28 RODO.

 

obowiązek informacyjny

W odniesieniu do wideokonferencji powinieneś poinformować uczestnikach spotkania online o tym, w jaki sposób przetwarzane będą ich dane osobowe (art. 13 RODO). Dodatkowo powinieneś wskazać, że niektóre dane osobowe uczestników będą przekazywane poza EOG, wymagają tego zasady przejrzystości i rzetelności przetwarzania danych (art. 5 ust. 1 lit. a RODO).

W informacji o przetwarzaniu danych wskaż:

  • wskaż kto jest dostarczycielem usługi – Microsoft, Zoom Video Communication czy Cisco Systems;
  • szyfrowania komunikacji;

dodatkowo poinformuj o:

  • zawarciu przez Ciebie umowy powierzenia przetwarzania danych osobowych z dostawcą usługi;
  • tym, że dane telemetryczne i dane o uczestnikach są przekazywane poza EOG do USA;
  • tym, że dostawca usługi zapewnia zgodność transferu danych z RODO przez zawarcie w umowie z Tobą tzw. standardowych klauzul umownych zaakceptowanych przez Komisję Europejską.

 

eksport danych poza Europejski Obszar Gospodarczy

Wszyscy dostawcy omawianych platform wideokonferencyjnych informują, że w ramach korzystania z usługi może dochodzić do przetwarzania danych poza EOG. Wobec tego należy ustalić, jakie dane są przetwarzane poza EOG i na jakich zasadach zapewniona jest zgodność tego przetwarzania z RODO (art. 44-46 RODO).

 

Wobec  unieważnienia decyzji Komisji Europejskiej nr 2016/1250 (wydanej na podstawie art. 45 RODO) dotyczącej Tarczy Prywatności UE-US (tzw. privacy shield) przez Trybunał Sprawiedliwości w wyroku z dnia  16 lipca 2020 r.[2], o czym pisaliśmy tutaj, dostawcy wskazanych usług transferują do USA dane telemetryczne i dane podstawowe użytkowników, na podstawie SCC, czyli standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.

Jako klient takich usług masz obowiązek informowania wszystkich uczestników spotkania, o tym, że dane mogą być przekazywane poza EOG.

 

Microsoft (Teams) dane techniczne przetwarza w celu bezpieczeństwa i optymalizacji, natomiast dane o użytkownikach przetwarza w celu zarządzania tożsamością użytkowników i rozliczeń. Te dane są administrowane przez Microsoft i Microsoft eksportuje je poza EOG. Kontent (czyli dane zawierające treść komunikatów użytkowników w postaci wiadomości tekstowych oraz wideo i dźwięku) Microsoft przetwarza jedynie na terenie UE. W zakresie Cisco i Zoom, nie zostało to tak precyzyjnie wyjaśnione przez te podmioty, natomiast umowy powierzenia przetwarzania danych zapewniają klientom tych wymóg nałożony na dostawców do przetwarzania danych zgodnie z RODO, w tym do bezpieczeństwa komunikacji.

 

Powyższe zasady w zakresie transferu danych osobowych dotyczą również darmowych dostępów do platform wideokonferencyjnych. Co istotne, nowowydane decyzje wykonawcze Komisji Europejskiej regulują już kwestię dalszego powierzenie przetwarzania danych osobowych. Aktualnie w mocy istnieją dwie decyzje:

 

bezpieczeństwo

Regulacje dotyczące bezpieczeństwa przetwarzania danych zawarte są w art. 32 RODO. Zgodnie z powyższą regulacją, administrator (czyli Ty, jako organizator spotkania online) i podmiot przetwarzający (czyli dostawca usługi), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z:

  • przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych,
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Wywiązywanie się ze wskazanych obowiązków w zakresie bezpieczeństwa można wykazać między innymi poprzez:

  • stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub
  • zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.

 

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

Ustalając, czy usługi wideokonferencyjne oferują poziom bezpieczeństwa odpowiedni do ryzyka ich wykorzystania, można wziąć pod uwagę także wytyczne i normy uznanych organów, instytutów i organizacji, takich jak: NASK, ENISA, ISACA, ISO, wyznaczające aktualne standardy w zakresie bezpieczeństwa informacji oraz wskazujące na zagrożenia.

 

Jako podstawowe środki bezpieczeństwa w zakresie korzystania z wideokonferencji należy wskazać:

  • zabezpieczenia przesyłanych i przechowywanych danych, w tym szyfrowanie;
  • uwierzytelnianie użytkowników;
  • zarządzanie dostępami i uprawnieniami użytkowników oraz administratorów;
  • zarządzanie funkcjonalnościami usługi
  • ciągłość usługi.

 

W zakresie zachowania poufności informacji kluczowe znaczenie będzie odgrywać szyfrowanie. Stosowane są różne metody szyfrowania danych w trakcie ich przesyłu (encryption in transit) a także w trakcie ich przechowywania (encryption at rest).

  • Teams zapewnia szyfrowanie przesyłanych danych w tym audio i video in transit oraz at rest za pomocą protokołów TLS, MTLS oraz SRTP. Teams nie zapewnia szyfrowania end-to-end (e2e) pomiędzy uczestnikami spotkania. Oznacza to, że Microsoft ma techniczną możliwość zapoznania się z treścią komunikacji uczestników spotkania Teams. Brak szyfrowania e2e nie powinno być oceniane jako znaczne ryzyko ze względna to, że Microsoft zobowiązany jest do zachowania poufności.
  • Zoom zapewnia szyfrowanie komunikacji za pomocą 256-bitowego protokołu szyfrującego TLS (Transport Layer Security) oraz także 256-bitowego AES (Advanced Encryption Security). Zoom zapewnia także pełne szyfrowanie e2e pomiędzy nadawcą i adresatami komunikacji.
  • Webex zapewnia szyfrowanie komunikacji za pomocą 128-bitowego20 lub 256-bitowego protokołu TLS.

 

W zakresie uwierzytelniania użytkowników wszystkie trzy omawiane platformy korzystają z uwierzytelniania. Uwierzytelnienie chroni przed nieuprawnionym dostępem do konta użytkownika. Podstawowym narzędziem uwierzytelnienia są login oraz indywidualne hasło użytkownika – uwierzytelnianie jednoskładnikowe. Dodatkowe zabezpieczenie może stanowić uwierzytelnianie dwuskładnikowe w postaci:

  • 2FA = two factor authentication,
  • MFA = multi factor authentication,
  • SCA = strong customer authentication).

 

  • Teams zapewnia proces uwierzytelniania użytkowników poprzez sam login i hasłoSFA lub z użyciem dodatkowego składnika – np. PIN-u. telefonu, odcisku palca MFA). Decyzja o uruchomieniu opcji MFA zależna jest od Ciebie, jako klienta usługi, Microsoft nie narzuca stosowania silniejszych uwierzytelnień. Proces uwierzytelnienia następuje poprzez usługę dostawcy – Azure Active Directory.
  • Zoom zapewnia uwierzytelnianie użytkowników za pomocą loginu i hasła. Umożliwia także zaawansowane uwierzytelnianie za pomocą single sign-on czyli pojedynczego uwierzytelnienia zapewniającego dostęp do wielu usług zintegrowanego z usługą zewnętrznego dostawcy tożsamości np. z Azure Active Directory.
  • Webex zapewnia uwierzytelnianie użytkowników za pomocą SFA opartego na haśle użytkownika. Oferuje także możliwość wdrożenia single sign-on opartego na zewnętrznym dostawcy tożsamości.

 

Warto również wskazać, że dostawcy platform wideokonferencyjnych posiadają następujące certyfikaty:

  • Microsoft udostępnia szereg audytów i certyfikatów niezależnych audytorów, w tym: ISO 27001, 270018, SOC 1, SOC 223[3];
  • Zoom oświadcza, że posiada certyfikaty zgodności m.in. SOC 2 oraz FedRAMP24[4].
  • Webex deklaruje zgodność z SOC 2 oraz certyfikację 2700125[5].

 

Ryzyka w zakresie bezpieczeństwa danych podczas spotkania online:

  • celowa podmiana danych lub zakłócanie komunikacji (np. tzw. Zoombombing[6]) będą efektem naruszenia poufności – przechwycenia danych uwierzytelniających lub podatności umożliwiającej nieautoryzowane dołączenie do spotkania;
  • ryzyko cichego włamania – obecnie brak informacji o takim ryzyku, każdy uczestnik spotkania jest widoczny;
  • rozpoznawalność uczestników – weryfikacja tożsamości uczestnika podczas spotkania jest dokonywana za pomocą uwierzytelnienia oraz przy mniejszych spotkaniach, głosowo i wizualnie;
  • ryzyko wycieku danych – ryzyko wycieku danych wskutek przejęcia danych uwierzytelniających (credentials) również wydaje się niskie, a co więcej, wymagałoby zasadniczo tzw. ataku targetowanego, to znaczy ktoś celowo chciałby nas podsłuchiwać.

W tej sytuacji uczestnicy spotkania zobaczą, że dołącza się kolejny użytkownik z tą samą tożsamością, co jeden z nich.

 

regulamin spotkania

Zgodnie z art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344) (uśude) świadczenie usługi drogą elektroniczną, to wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne. Taką siecią telekomunikacyjną będzie Internet. Wobec tego wideokonferencje, w ramach których odbywasz spotkanie z klientem w celu wykonania zawartej pomiędzy wami umowy należ zakwalifikować jako usługę świadczoną drogą elektroniczną.

 

Wobec tego, zgodnie z art.  8 uśude usługodawca:

  • określa regulamin świadczenia usług drogą elektroniczną,
  • nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca.

 

Regulamin określa w szczególności:

  • rodzaje i zakres usług świadczonych drogą elektroniczną;
  • warunki świadczenia usług drogą elektroniczną, w tym:
    • wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca;
    • zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
    • warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
    • tryb postępowania reklamacyjnego.

 

Natomiast, zgodnie z art. 3 pkt 6 uśude, nie jesteś zobowiązany do posiadania regulaminu wideokonferencji, jeżeli spotkanie online prowadzone jest w ramach Twojej struktury

organizacyjnej (czyli uczestnikami spotkania są Twoim pracownicy i współpracownicy), kiedy usługa służy wyłącznie do kierowania pracą lub procesami gospodarczymi.

 

Podsumowując, należy stwierdzić że korzystanie z narzędzie Teams, Zoom i Webex jest zgodne z prawem i uznawane jako bezpieczne w zakresie przetwarzania danych i informacji poufnych. Jednakże nie zwalnia to z czujności nad zmianami w zakresie regulacji dotyczących przetwarzania danych osobowych oraz informacji przekazywanych bezpośrednio przez administrujące wymienionymi narzędziami korporacje w zakresie sposobu przetwarzania przez nich danych.

 

Niniejsza publikacja została również opracowana w oparciu o „Księgę bezpieczeństwa w komunikacji elektronicznej w pracy radcy prawnego” Krajową Radę Radców Prawnych dostępną pod linkiem https://kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/. Jeśli potrzebujesz pomocy w zakresie bezpieczeństwa danych osobowych, zapraszamy do skorzystania z gotowego pakietu RODO i do kontaktu

 

Photo by Chris Montgomery on Unsplash

[1] Sygn. C-40/17.

[2] sygn. C-311/18.

[3] https://servicetrust.microsoft.com/ViewPage/MSComplianceGuide.

[4] https://explore.zoom.us/docs/doc/Zoom-Security-White-Paper.pdf.

[5]https://www.cisco.com/c/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.html.

[6] tzw. zoombombingiem – paraliżowanie spotkania online przez publikowanie niestosownych treści przez jednego z uczestników.

 

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

Czy Prezes Urzędu Ochrony Danych Osobowych może przed polskim sądem krajowym domagać się ukarania Facebooka?

15 czerwca 2021 r. zapadł, kluczowy dla udzielenia odpowiedzi na postawione w tytule pytanie, wyrok Trybunału Sprawiedliwości[1] związany ze sporem, jaki powstał pomiędzy spółkami: Facebook Ireland Ltd, Facebook Inc. i Facebook Belgium BVBA a belgijskim organem ochrony danych. Organ wstąpił w prawa komisji do spraw ochrony prywatności (KOP), do wniesionego przez KOP powództwa o zaniechanie na terytorium Belgii przetwarzania danych internautów przez Facebook z wykorzystaniem technologii takich jak pliki cookie, wtyczki społecznościowe (social plug-ins) i piksele monitorujące. Wskazane technologie umożliwiają gromadzenie przez Facebooka informacji o zachowaniach w Internecie podmiotów niekorzystających z usług Facebooka. Informacje te umożliwiają Facebookowi uzyskanie określonych danych internauty przeglądającego zawierającą je stronę internetową, takich jak adres tej strony, adres IP osoby odwiedzającej tę stronę, a także datę i godzinę wejścia na tę stronę.

 

Trybunał Sprawiedliwości odniósł się do pytania prejudycjalnego złożonego przez sąd apelacyjny w Brukseli dotyczącego wykładni art. 55 ust. 1, art. 56–58 i art. 60–66 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2) (RODO) w związku z art. 7, 8 i 47 Karty praw podstawowych Unii Europejskiej.

 

uprawnienia wiodącego organu nadzorczego w zakresie monitorowania i egzekwowania RODO 

Trybunał w wyroku przypomniał, że zgodnie z art. 55 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego. Organ nadzorczy to niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO – w przypadku Polski jest to Prezes Urzędu Ochrony Danych Osobowych.

Do zadań powierzonych organowi należą w szczególności zadania przewidziane w art. 57 RODO, w tym:

  1. monitorowanie i egzekwowanie stosowania RODO;
  2. współpraca z innymi organami nadzorczymi, w tym dzielenie się informacjami oraz świadczenie wzajemnej pomocy, w celu zapewnienia spójnego stosowania i egzekwowania RODO.

Uprawnienia organu zostały określone w art. 58 RODO, do których należy prowadzenie postępowań, uprawnienia naprawcze, wydawanie zezwoleń i uprawnienia doradcze oraz określone w art. 58 ust. 5 RODO  uprawnienie do wniesienia do organów wymiaru sprawiedliwości (sądów) sprawy dotyczącej naruszenia RODO oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów RODO. Wykonywanie tych zadań i uprawnień wymaga jednak, aby organowi nadzorczemu przysługiwały kompetencje w zakresie danego przetwarzania danych przyznane przez państwo członkowskie w przepisach krajowych.

 

Natomiast z art. 56 ust. 1 RODO wynika, że organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 RODO – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.

Definicja transgranicznego przetwarzania została uregulowana w art. 4 pkt 23 RODO, przez które należy rozumieć:

  1. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim albo
  2. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

 

Wynika z tego, że w odniesieniu do „przetwarzania transgranicznego”, z zastrzeżeniem art. 56 ust. 2 RODO, poszczególne krajowe organy nadzorcze, których sprawa dotyczy, powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania porozumienia i jednej wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych, prowadzonej we wszystkich jego jednostkach organizacyjnych na obszarze Unii.

Dodatkowo art. 61 ust. 1 RODO zobowiązuje organy nadzorcze do przekazywania sobie informacji i świadczenia wzajemnej pomocy w celu spójnego wdrażania i stosowania RODO oraz wprowadzenia środków na rzecz skutecznej wzajemnej współpracy.

 

legitymacja procesowa

Trybunał orzekł, że art. 58 ust. 5 RODO został sformułowany w sposób ogólny. Ponadto podkreślił, że prawodawca Unii nie uzależnił wykonywania tego uprawnienia przez organ nadzorczy państwa członkowskiego od spełnienia warunku, aby powództwo wnoszone przez ten organ było skierowane przeciwko administratorowi danych posiadającemu „główną jednostkę organizacyjną” w rozumieniu art. 4 pkt 16 RODO lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. Niemniej organ nadzorczy państwa członkowskiego może wykonywać uprawnienie przyznane mu w art. 58 ust. 5 RODO tylko wtedy, gdy ustalone zostanie, że uprawnienie to jest objęte terytorialnym zakresem stosowania RODO.

Natomiast zgodnie z art. 3 ust. 1 RODO terytorialny zakres stosowania RODO jest determinowany – z zastrzeżeniem sytuacji określonych w art. 3 ust. 2 i 3 RODO – warunkiem, by administrator danych lub podmiot dokonujący ich transgranicznego przetwarzania posiadali jednostkę organizacyjną na terytorium Unii.

 

Wobec tego Trybunał orzekł, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż w przypadku transgranicznego przetwarzania danych wykonywanie przysługującego organowi nadzorczemu państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienia do wszczęcia postępowania sądowego, w rozumieniu tego przepisu, nie wiąże się z wymogiem, aby administrator danych lub podmiot dokonujący transgranicznego przetwarzania danych osobowych, przeciwko któremu zostało wytoczone powództwo, posiadał główną lub inną jednostkę organizacyjną na terytorium tego państwa członkowskiego. 

 

pozwany – podmiot wyłącznie odpowiedzialny za przetwarzanie danych, czy także inna jednostka organizacyjna z grupy podmiotów

Trybunał ustalił, że pytanie zostało podniesione w ramach powstałego między stronami sporu dotyczącego kwestii tego, czy sąd odsyłający jest właściwy do rozpatrzenia powództwa o zaniechanie w zakresie, w jakim zostało wniesione przeciwko Facebook Belgium, z uwagi na fakt, że:

  1. unijna siedziba grupy Facebook znajduje się w Irlandii, a Facebook Ireland jest podmiotem ponoszącym wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych na całym terytorium Unii oraz
  2. zgodnie z podziałem zadań wewnątrz tej grupy, jednostka organizacyjna znajdująca się w Belgii została utworzona przede wszystkim po to, aby umożliwić tej grupie, tytułem działalności głównej, utrzymywanie stosunków z instytucjami Unii i, tytułem działalności pobocznej, prowadzenie działalności reklamowej i marketingowej tej grupy adresowanej do podmiotów mających miejsce zamieszkania lub siedzibę w Belgii.

 

Trybunał ustalił także, że art. 58 ust. 5 RODO nie ogranicza wykonywania uprawnienia do wszczęcia postępowania sądowego wyłącznie przeciwko „głównej jednostce organizacyjnej”. Przeciwnie, zgodnie z tym samym przepisem jeżeli organ nadzorczy państwa członkowskiego posiada, zgodnie z art. 55 i 56 RODO, niezbędne w tym celu kompetencje, może on wykonywać uprawnienia przyznane mu w tym rozporządzeniu na terytorium swojego państwa, niezależnie od tego, w jakim państwie członkowskim mają siedzibę administrator lub podmiot przetwarzający.

Dodatkowo Trybuła dokonał analizy działalności jednostki belgijskiej Facebooka i stwierdził, że:

  1. sieć społecznościowa Facebook osiąga znaczną część swoich dochodów zwłaszcza dzięki reklamie, która jest w niej rozpowszechniana, a działalność jednostki organizacyjnej mającej siedzibę w Belgii ma na celu prowadzenie w tym państwie członkowskim, choćby miało to charakter działalności pobocznej, promocji i sprzedaży powierzchni reklamowych, z których dochody służą zapewnieniu rentowności usług oferowanych przez Facebooka;
  2. prowadzona jako główna przez Facebook Belgium działalność polegająca na utrzymywaniu relacji z instytucjami Unii i na stanowieniu punktu kontaktowego z tymi instytucjami ma na celu w szczególności kreowanie polityki przetwarzania danych osobowych przez Facebook Ireland.

 

Wobec takich okoliczności Trybunał uznał, że rodzaje działalności prowadzone przez jednostkę organizacyjną grupy Facebook znajdującą się w Belgii należy uznać za nierozerwalnie związane z rozpatrywanym w postępowaniu głównym przetwarzaniem danych osobowych, za które Facebook Ireland ponosi odpowiedzialność w odniesieniu do terytorium Unii. W konsekwencji takie przetwarzanie należy traktować jako dokonywane „w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora” w rozumieniu art. 3 ust. 1 RODO.

 

Uwzględniając całokształt powyższych rozważań Trybunał stwierdził, że art. 58 ust. 5 RODO należy interpretować w ten sposób, iż przysługujące organowi nadzorczemu danego państwa członkowskiego innemu niż wiodący organ nadzorczy uprawnienie do podnoszenia przed sądami tego państwa wszelkich zarzucanych naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego w rozumieniu tego przepisu, może być wykonywane zarówno w odniesieniu do głównej jednostki organizacyjnej administratora danych znajdującej się w państwie członkowskim owego organu, jak i w odniesieniu do innej jednostki organizacyjnej tego administratora, pod warunkiem że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez tę jednostkę, a organ ten jest właściwy do wykonywania tego uprawnienia, zgodnie z tym, co zostało wskazane w odpowiedzi na pierwsze z zadanych pytań prejudycjalnych.

 

postępowania wszczęte przed 25.05.2018 r.

W omawianym wyroku pojawił się również wątek dotyczący postępowań sądowych w zakresie  transgranicznego przetwarzania danych osobowych wszczętych przed dniem wejścia w życie RODO, czyli przed 25.05.2018 r.

RODO nie przewiduje żadnego przepisu przejściowego ani jakiegokolwiek innego przepisu regulującego status postępowań sądowych wszczętych przed momentem, od którego ma ono zastosowanie i które pozostawały jeszcze w toku w dniu, 25.05.2018 r. W szczególności żaden przepis tego rozporządzenia nie przewiduje, że skutkuje ono zakończeniem wszystkich toczących się w dniu 25 maja 2018 r. postępowań sądowych dotyczących zarzucanych naruszeń przewidzianych w dyrektywie 95/46 przepisów regulujących przetwarzanie danych osobowych, nawet jeśli zachowania mające znamiona takich zarzucanych naruszeń są kontynuowane po tej dacie.

Należy dokonać rozróżnienia pomiędzy powództwami wytaczanymi przez organ nadzorczy danego państwa członkowskiego w związku z naruszeniami przepisów dotyczących ochrony danych osobowych popełnianymi przez administratorów lub podmioty przetwarzające:

  1. przed dniem 25.05.2018 r.
  2. po dniu 25.05.2018 r.

W pierwszym przypadku postępowanie sądowe może być prowadzone dalej na podstawie przepisów dyrektywy 95/46, która nadal znajduje zastosowanie w odniesieniu do naruszeń, których dopuszczono się do dnia jej uchylenia, czyli do dnia 25 maja 2018 r.

W drugim przypadku powództwo może zostać wniesione na podstawie art. 58 ust. 5 RODO wyłącznie pod warunkiem, że powództwo to dotyczy sytuacji, w której w rozporządzeniu tym przyznano tytułem wyjątku organowi nadzorczemu państwa członkowskiego, który nie jest „wiodącym organem nadzorczym”, uprawnienie do wydania decyzji stwierdzającej, że rozpatrywane przetwarzanie danych narusza przepisy tego rozporządzenia, jeśli chodzi o ochronę praw osób fizycznych w zakresie przetwarzania danych osobowych, i że uprawnienie to jest wykonywane w poszanowaniu procedur przewidzianych w tym rozporządzeniu.

 

bezpośrednia skuteczność art. 58 ust. 5 RODO wobec braku jego transpozycji do prawa krajowego

Zgodnie z art. 58 ust. 5 RODO każde państwo członkowskie winno przewidzieć w swoich przepisach, że jego organ nadzorczy jest uprawniony do podniesienia przed organami wymiaru sprawiedliwości wszelkich naruszeń tego rozporządzenia oraz, w stosownych przypadkach, do wszczęcia postępowania sądowego lub do uczestniczenia w nim w inny sposób w celu wyegzekwowania stosowania przepisów tego rozporządzenia.

Trybunał zauważył, że zgodnie z art. 288 akapit drugi TFUE rozporządzenie (czyli np. RODO) wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, w związku z czym jego przepisy nie wymagają co do zasady przyjęcia przez państwa członkowskie jakiegokolwiek środka wykonawczego.

 

Z art. 58 ust. 5 RODO nie wynika, że państwa członkowskie powinny określić za pomocą wyraźnego przepisu okoliczności, w jakich krajowe organy nadzorcze mogą wszcząć postępowanie przed sądem w rozumieniu tego przepisu. Wystarczy, by organ nadzorczy miał, zgodnie z ustawodawstwem krajowym, możliwość podnoszenia przed organami wymiaru sprawiedliwości naruszeń przepisów tego rozporządzenia oraz, w stosownych przypadkach, pozwania przed sąd lub wszczęcia w inny sposób postępowania w celu wyegzekwowania stosowania przepisów tego rozporządzenia.

Oznacza to, że art. 58 ust. 5 RODO ma bezpośrednią skuteczność, efektem czego krajowy organ nadzorczy może powołać się na ten przepis w celu wszczęcia lub dalszego prowadzenia postępowania przeciwko jednostkom, nawet jeśli ten konkretny przepis jako taki nie został przetransponowany do ustawodawstwa danego państwa członkowskiego.

 

 

Podsumowując, próbując udzielić odpowiedzi na pytanie postawione w tytule niniejszego wpisu należ stwierdzić, że Prezes Urzędu Ochrony Danych Osobowych może domagać się ukarania Facebook Poland sp. z o.o. z siedzibą w Warszawie w zakresie naruszania przez Facebook przepisów RODO na terytorium Polski pod warunkiem, że powództwo dotyczy przetwarzania danych dokonywanego w związku z działalnością prowadzoną przez Facebook Poland sp. z o.o. Dla bardziej dociekliwych 🙂 całość orzeczenia dostępna jest pod linkiem.

 

Jeżeli jesteś przedsiębiorcą i chcesz w bezpieczny sposób przetwarzać dane osobowe skorzystaj z przygotowanych przez nas rozwiązań w postaci:

Interesuje Cię problematyka danych osobowych? Przeczytaj więcej naszych wpisów dostępnych pod linkiem.

 

[1] Sygn. sprawy C-645/19.

 

Photo by Tony Liao on Unsplash

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

 

Sprostowanie materiału prasowego. O tym, że nie jest prosto “prostować” informacje niezgodne z prawdą.

Każdy ma prawo do wolności wypowiedzi. Ta gwarancja wynika z art. 11 Karty Praw Podstawowych Unii Europejskiej. Podobne prawa zapewnia nam art. 54 Konstytucji RP, przyznając każdemu wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji. Jednakże co robić w sytuacji, kiedy ktoś korzystając z gwarantowanych mu wolności narusza prawa innej osoby? Co w przypadku, gdy czujesz się pokrzywdzony opublikowanymi na Twój temat informacjami, które nie są zgodne z prawdą i mocno wypaczają fakty?

Ustawodawca, mimo nałożenia na dziennikarzy obowiązku w postaci zachowania szczególnej staranności i rzetelności przy zbieraniu i wykorzystaniu materiałów prasowych, a zwłaszcza obowiązku weryfikowania ich zgodności z prawdą przewidział możliwość odniesienia się do publikacji niezgodnej z faktami i żądania sprostowania informacji nieprawdziwej.

Zgodnie z art. 31a ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (t.j. Dz. U. z 2018 r. poz. 1914) (pr. prasowe) redaktor naczelny dziennika lub czasopisma jest obowiązany opublikować bezpłatnie rzeczowe i odnoszące się do faktów sprostowanie nieścisłej lub nieprawdziwej wiadomości zawartej w materiale prasowym. Jednakże obowiązek ten nie zawsze łatwo jest wyegzekwować. 

 

przedmiot sprostowania

Przedmiotem sprostowania są wyłącznie wypowiedzi o faktach, które mogą być:

  1. faktami nieprawdziwymi – czyli takie, które nie odzwierciedlają relacjonowanego stanu faktycznego, będący tym samym przeciwieństwem faktu prawdziwego[1];
  2. faktami nieścisłymi – czyli takie, gdy poszczególnym fragmentom tekstu, analizowanym w oderwaniu od innych fragmentów, nie można postawić zarzutu nieprawdziwości, ale fragmenty te zestawione w całość w określonej konfiguracji przekazują czytelnikowi informację nieprawdziwą lub co najmniej nieścisłą[2].

Dotyczy to również pominięcia istotnej okoliczności mającej znaczenie dla oceny, czy przekazywana informacja jest prawdziwa i ścisła[3].

Dodatkowo należy wskazać, że przedmiotem sprostowania są fakty nieprawdziwe zdaniem wnoszącego o sprostowanie. Redaktor naczelny nie ma prawa odmówić sprostowania danej informacji na tej tylko podstawie, że wedle jego oceny fakty zawarte w informacji prasowej są prawdziwe[4].

Konieczność odniesienia się do faktów sprawia, że przedmiotem sprostowania nie mogą być  wypowiedzi ocenne, np. stanowiące krytykę, którą zainteresowany podmiot może odbierać jako nieuzasadnioną, a nawet krzywdzącą. Wypowiedzi ocenne nie zawsze bowiem dają się zakwalifikować jako prawdziwe albo fałszywe[5]. Za nieodnoszące się do faktów uznano również sprostowanie dotyczące hipotez lub opinii.

Ważne jest to, że sprostowaniu nie podlega cały opublikowany materiał prasowy, a jedynie jego fragmenty, które są nieprawdziwe lub nieścisłe.

 

wniosek o sprostowanie

Wniosek o sprostowanie może zostać złożony przez:

  1. osobę fizyczną;
  2. osobę prawną;
  3. jednostkę organizacyjną niebędącą osobą prawną,

którą materiał prasowy dotyczy, a także

  1. w imieniu osoby zmarłej z wnioskiem mogą wystąpić osoby najbliższe oraz
  2. następcy prawni osoby prawnej lub jednostki organizacyjnej.

Sprostowanie należy sporządzić na piśmie w terminie nie dłuższym niż 21 od dnia opublikowania materiału prasowego i:

  1. nadać je w placówce pocztowej operatora pocztowego lub
  2. złożyć w siedzibie redakcji.

Sprostowanie musi zawierać:

  1. własnoręczny podpis wnioskodawcy,
  2. imię i nazwisko lub nazwę wnioskodawcy oraz
  3. adres korespondencyjny wnioskodawcy.

 

tekst sprostowania

Sprostowanie powinno być sporządzone w języku polskim lub w języku, w którym opublikowany został materiał prasowy będący przedmiotem sprostowania.

Tekst sprostowania nie może przekraczać dwukrotnej objętości fragmentu materiału prasowego, którego dotyczy, ani zajmować więcej niż dwukrotność czasu antenowego, jaki zajmował dany fragment przekazu. Dozwoloną długość tekstu sprostowania oblicza się, mnożąc liczbę znaków składających się na prostowany fragment przez dwa, z uwzględnieniem spacji.

Podstawą do obliczenia dozwolonej objętości sprostowania jest fragment materiału prasowego, z którym nie zgadza się zainteresowany. Co istotne, rozproszenie jednej wiadomości w kilku fragmentach publikacji uprawnia do obliczenia podstawy dozwolonej objętości sprostowania jako sumy objętości tych fragmentów.

Przy obliczaniu objętości tekstu sprostowania nie uwzględnia się wyrazu “sprostowanie”, oznaczenia imienia i nazwiska (nazwy) zainteresowanego, wskazania tytułu artykułu, którego dotyczy sprostowanie, miejsca i daty publikacji oraz imienia i nazwiska jej autora.

W sytuacji, w której w materiale prasowym jest kilka wiadomości uznanych za nieprawdziwe lub nieścisłe, to każda z nich może podlegać sprostowaniu. Oznacza to, że może zdarzyć się, że tekst wszystkich sprostowań przekroczy objętość samego artykułu[6]. W takim przypadku nie jest koniecznie, aby przygotować odrębne oświadczenie dla każdej prostowanej wiadomości. Jednym oświadczeniem można domagać się sprostowania w materiale prasowym kilku nieprawdziwych lub nieścisłych informacji. Takie zbiorcze oświadczenie będzie stanowić nie jedno sprostowanie ale zbiór sprostowań. Ma to kluczowe znaczenie dla późniejszej oceny spełnienia wymogu dozwolonej dwukrotnej objętości tekstu sprostowania.

Istotne jest także, aby sprostowanie było rzeczowe. W orzecznictwie za nierzeczowe uznano:

  1. sprostowanie, które nie odnosi się wprost do treści materiału prasowego, w którym brak jest informacji stanowiących przedmiot żądanego sprostowania[7];
  2. sprostowanie mało czytelne, niezbyt jasne czy niekonkretne[8];
  3. sprostowanie zawierające bardzo ogólne twierdzenie oraz nieprecyzujące jaka informacja zawarta materiale jest nieprawdziwa[9].

 

publikacja sprostowania

Zgodnie z art. 32 pr. prasowego redaktor naczelny ma obowiązek opublikować sprostowanie:

  1. w elektronicznej formie dziennika lub czasopisma, w której zamieszczono materiał prasowy będący przedmiotem sprostowania – w terminie 3 dni roboczych od dnia otrzymania sprostowania;
  2. w dzienniku – w najbliższym przygotowywanym do druku numerze, a w przypadku braku możliwości technicznych w numerze następnym, nie później jednak niż w terminie 7 dni od dnia otrzymania sprostowania;
  3. w czasopiśmie – w najbliższym od dnia otrzymania sprostowania lub następnym po nim przygotowywanym do opublikowania numerze;
  4. w innym niż dziennik przekazie za pomocą dźwięku lub obrazu i dźwięku – w najbliższym analogicznym przekazie.

Gdy możliwy termin opublikowania sprostowania przekracza 6 miesięcy, na żądanie wnioskodawcy sprostowanie należy dodatkowo opublikować w ciągu miesiąca od dnia otrzymania sprostowania w odpowiednim ze względu na krąg odbiorców dzienniku. Koszty publikacji pokrywa wydawca prasy, w której ukazał się materiał prasowy będący przedmiotem sprostowania.

Strony, czyli wnioskodawca i redaktor naczelny mogą umówić się w formie pisemnej co do innych terminów publikacji niż wskazane po  na piśmie umówiły się inaczej.

Sprostowanie:

  1. w drukach periodycznych – powinno być opublikowane w tym samym dziale i taką samą czcionką, co materiał prasowy, którego dotyczy, pod widocznym tytułem “Sprostowanie”.
  2. w przekazach za pomocą: dźwięku lub obrazu i dźwięku – sprostowanie powinno być wyraźnie zapowiedziane oraz nastąpić w przekazie tego samego rodzaju i o tej samej porze.

W tekście nadesłanego sprostowania redaktor naczelny nie może bez zgody wnioskodawcy dokonywać skrótów ani innych zmian.

Co więcej, tekst sprostowania nie może być komentowany w tym samym numerze, przekazie lub w elektronicznej formie dziennika lub czasopisma, tego samego dnia. Nie wyklucza to jednak prostej zapowiedzi polemiki lub wyjaśnień.

 

odmowa publikacji sprostowania

Redaktor naczelny odmawia opublikowania sprostowania, jeżeli sprostowanie:

  1. jest nierzeczowe lub nie odnosi się do faktów;
  2. zostało nadane lub złożone po upływie terminu 21 dni od emisji publikacji, której sprostowanie dotyczy lub nie zostało podpisane;
  3. nie spełnia wskazanych wymagań w zakresie obowiązków elementów sprostowania oraz długości teksu sprostowania;
  4. zawiera treść karalną;
  5. podważa fakty stwierdzone prawomocnym orzeczeniem dotyczącym osoby dochodzącej publikacji sprostowania.

Redaktor naczelny może odmówić opublikowania sprostowania, jeżeli sprostowanie:

  1. odnosi się do wiadomości poprzednio sprostowanej;
  2. jest wystosowane przez osobę, której nie dotyczą fakty przytoczone w prostowanym materiale, za wyjątkiem gdy sprostowanie jest składane przez osoby najbliższe zmarłego oraz następców prawnych;
  3. zawiera sformułowania powszechnie uznawane za wulgarne lub obelżywe.

Jeżeli redaktor naczelny odmawia opublikowania sprostowania zobowiązany jest niezwłocznie, nie później jednak niż w terminie 7 dni od dnia otrzymania sprostowania, przekazać wnioskodawcy pisemne zawiadomienie o odmowie i jej przyczynach. Jeżeli odmowa nastąpiła w związku z tym, że sprostowanie:

  1. jest nierzeczowe lub nie odnosi się do faktów;
  2. zawiera treść karalną;
  3. podważa fakty stwierdzone prawomocnym orzeczeniem dotyczącym osoby dochodzącej publikacji sprostowania

redaktor naczelny zobowiązany jest do wskazania tych fragmentów sprostowania, które nie nadają się do publikacji.

 

poprawienie sprostowania

Po otrzymaniu odmowy opublikowania sprostowania, wnioskodawca może nadesłać poprawione sprostowanie w terminie 21 dni od dnia doręczenia wnioskodawcy zawiadomienia o odmowie i jej przyczynach. Jeżeli po nadesłaniu poprawionego sprostowania i zastosowania się do wskazań redaktora naczelnego w uzasadnieniu odmowy opublikowania sprostowania, redaktor naczelny nie może odmówić opublikowania sprostowania.

 

postępowanie przed sądem w sprawach o sprostowanie

Jeżeli redaktor naczelny odmówił opublikowania sprostowania albo sprostowanie nie ukazało się w określony w ustawie terminie zainteresowany może wytoczyć powództwo o opublikowanie sprostowania. Co istotne osobą pozwaną jest redaktor naczelny, a nie wydawca. Wniesienie pozwu przeciwko wydawcy skutkować będzie oddaleniem powództwa.

Termin na złożenie pozwu o sprostowanie wygasa po upływie roku od dnia opublikowania materiału prasowego.

Sprawy dotyczące powództwa o sprostowanie rozpoznaje sąd okręgowy właściwy ze względu na siedzibę redakcji.

Ustawodawca przewidział przyspieszone terminy rozpoznawania spraw o sprostowanie materiału prasowego. Zgodnie z art. 52 pr. prasowego, jeżeli pozew nie jest dotknięty brakami formalnymi sąd rozpoznaje sprawę najpóźniej w ciągu 30 dni od dnia wniesienia pozwu. Pozwany, czyli redaktor naczelny będzie miał 7-dniowy termin od dnia doręczenia mu pozwu na wniesienie odpowiedzi na pozew.

Po wydaniu przez sąd orzeczenia, wyrok wraz z uzasadnieniem sąd doręcza niezwłocznie, z urzędu, obu stronom.

Od wyroku sądu pierwszej instancji przysługuje apelacja, którą wnosi się w terminie 7 dni od dnia doręczenia stronie skarżącej wyroku z uzasadnieniem.

Sąd drugiej instancji (sąd apelacyjny) rozpoznaje apelację najpóźniej w terminie 30 dni od dnia wniesienia apelacji niedotkniętej brakami formalnymi.

Strona przeciwna może wnieść odpowiedź na apelację w terminie 7 dni od dnia doręczenia apelacji.

 

Jeśli w stosunku do Ciebie, najbliższej Ci osoby zmarłej bądź Twojej firmy opublikowano materiał prasowy, który zawiera nieprawdziwe fakty, czyli takie, które nie odzwierciedlają relacjonowanego stanu faktycznego bądź fakty nieścisłe – czyli takie, które w zestawieniu dają nieprawdziwy obraz całości, możesz skorzystać z wzoru sprostowania. Gdy masz wątpliwości co do tego czy pominięta istotna okoliczność wymaga sprostowania, skontaktuj się z nami. Postaramy się rozwiać wątpliwości a także pomóc w przygotowaniu poprawnego sprostowania

 

 

 

Photo by Charisse Kenion on Unsplash

 

[1] R. Malujda, A. Oryl, Sprostowanie i odpowiedź w prawie prasowym: istota, forma, roszczenia, „Radca Prawny” 2007/3, s. 83.
[2] Wyrok Sądu Apelacyjnego w Warszawie z 13.03.2017 r., VI ACa 2000/16, LEX nr 2302197.
[3] Wyrok Sądu Apelacyjnego w Katowicach z 25.05.2006 r., I ACa 156/06, LEX nr 196068.
[4] Wyrok Sądu Apelacyjnego w Warszawie z dnia 20.03.2013 r. I ACa 766/12, LEX nr 1294857.
[5] Wyrok Sądu Apelacyjnego w Warszawie z 7.08.2015 r., VI ACa 810/15, LEX nr 1950234.
[6] Wyrok Sądu Najwyższego z dnia 15.05.2008 r., I CSK 531/07, MoP 2008/12, s. 620.
[7] Wyrok Sądu Apelacyjnego w Warszawie z 8.03.2017 r., VI ACa 2001/16, LEX nr 2289432.
[8] Wyrok Sądu Apelacyjnego w Warszawie z 26.01.2016 r., I ACa 2129/15, LEX nr 2053897.
[9] Wyrok Sądu Apelacyjnego w Warszawie z 29.11.2016 r., I ACa 1540/16, LEX nr 2233027.

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

Mailing zgodny z RODO. Co robić, gdy korespondencja trafia w nieuprawnione ręce?

3 lata temu zaczęliśmy stosować tzw. RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Jego wprowadzenie wywołało mnóstwo zamieszania wśród firm, w których przetwarzanie danych osobowych stanowi element działalności, ale także wśród freelancerów czy osób prowadzących działalność gospodarczą. Choć minęło już nieco czasu, od kiedy RODO obowiązuje, hasło ta nadal wywołuje wiele emocji. Dzieje się tak dlatego, że Prezes Urzędu Ochrony Danych Osobowych działa prężnie, a każde naruszenie przepisów RODO rozstrzygane jest surowo.

Wysokość kary pieniężnej za niestosowanie się do przepisów Rozporządzenia może sięgnąć nawet 4% rocznego obrotu lub kwoty 20 mln EUR. Największą karą grzywny z tytułu naruszeń przepisów Rozporządzenia pozostaje nałożona w 2019 r. na koncern Google grzywna w wysokości 50 mln euro. Orzekł o niej francuski organ ochrony danych osobowych CNIL.

W Polsce najwyższą kara do tej pory była kwota 2,8 mln złotych, nałożona na sklep internetowy, którego baza klientów w wyniku wycieku dostała się w niepowołanej ręce.

Kary nakładane są nie tylko na gigantów biznesu, ukaranym może być każdy, kto przetwarza dane osobowe. Jednym z takich przypadków ukarania podmiotu nie będącego przedsiębiorcą jest kara w wysokości 100 000 zł nałożona na Głównego Geodetę Kraju (GGK). Co więcej, na GGK zostały w krótkim czasie nałożone dwie kary o takiej wysokości (która to kwota jest kwotą maksymalną, jaką Prezes Urzędu Ochrony Danych Osobowych – PUODO może nałożyć w przypadku jednostki sektora finansów publicznych). Obie kary związane są z funkcjonowaniem GEOPORTALU2, tj. aplikacji internetowej stworzonej i prowadzonej przez Główny Urząd Geodezji i Kartografii. Przed karą nałożoną przez organ nadzorczy nie uchroniła się także Krajowa Szkoła Sądownictwa i Prokuratury, z której podczas testów aplikacji wyciekły dane osobowe asesorów, prokuratorów, sędziów i innych osób powiązanych z organem.

Jak wskazuje raport Związku Firm Ochrony Danych Osobowych[1], w organizacjach działających w Polsce, aż 71 % naruszeń bezpieczeństwa danych zwykle dokonują pracownicy i współpracownicy. Większość, bo aż 89% to sytuacje nieumyślne, wśród których są m.in. zagrożenia spowodowane błędnym adresowaniem maili lub niestosowaniem kopii ukrytych w korespondencji. Przyczyną tego może być zwyczajny błąd ludzki, jaki może zdarzyć się każdemu, lub nieodpowiednie wdrożenie stosowania RODO w przedsiębiorstwie. Jak wynika z raportu najgorzej chronione dane to imię i nazwisko oraz adres e-mail .

 

Stało się. Wysłałeś maila zawierającego bazę danych osobowych pod zły adres, i co dalej?

Błędny adres odbiorcy korespondencji to jeden z przykładów naruszenia ochrony danych osobowych, zdefiniowanego w art. 4 pkt 12 RODO (nieuprawnione ujawnienie danych osobowych). Wystarczy jedna literówka w adresie mailowym, który również okaże się prawdziwy, by uznać to za nieuprawnione ujawnienie danych osobowych. Podobnie rozesłanie zbiorowej korespondencji bez użycia tzw. kopii ukrytej może stanowić naruszenie danych osobowych.

W każdym z tych przypadków kluczowym będzie zakres danych osobowych, jakie zostały ujawnione oraz kontekst sytuacji. Samo udostępnienie adresu e-mailowego bez łączenia go z innymi danymi osobowymi, tj. adresem zamieszkania, numerem PESEL, numerem dowodu osobistego czy szczegółowymi informacjami np. o zdrowiu czy zainteresowaniach, nie będzie powodowało po stronie osoby, której dane dotyczą, dużego ryzyka, że ktoś może wykorzystać adres e-mailowy i zrobić z niego użytek niezgodny z przepisami prawa. Taka sytuacja może obejmować np. dyskryminację, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utratę poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Jeżeli doszło do ujawnienia bazy adresów e-mail, po pierwsze, należy zweryfikować te adresy e-mail, które zostały ujawnione. Wydaje się, że nie każdy adres e-mail może być uznany za daną osobową i w związku z tym, nie każdy przypadek ujawnienia osobie postronnej adresu e-mail należy traktować, jako naruszenie zasad wynikających z przepisów o ochronie danych osobowych. Nie ulega, bowiem wątpliwości, że wysłanie przez przypadek (np., jako mail do wiadomości czyjejś osoby) do osoby nieuprawnionej informacji o adresie e-mail typu biuro@xxxx.pl będzie miało inny ciężar gatunkowy niż ujawnienie niepowołanej osobie adresu osoby fizycznej np. jan.kowalski@xxx.pl.

Jeżeli jednak w korespondencji, którą przesłałeś do nieuprawnionej osoby znajdowało się więcej danych osobowych niż sam adres e-mail, należy dokonać analizy i podjąć odpowiednie kroki. Zgodnie z art. 33 RODO jeżeli naruszenie danych osobowych powoduje co najmniej średnie ryzyko dla praw i wolności osób, których dane dotyczą, wymaga zgłoszenia do Prezesa UODO nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.

Zgłoszenie musi co najmniej:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Brak podjęcia interwencji w określonym w przepisach czasie stanowi podstawę nałożenia kary finansowej. Zgodnie z RODO maksymalna kwota takiej administracyjnej kary pieniężnej może sięgnąć nawet 4% rocznego obrotu lub kwoty 20 mln EUR.

 

Jakie kroki należy podjąć, jeżeli w ramach przedsiębiorstwa dojdzie do pomyłki w wysyłce maili?

  1. Poinformować osobę, której bez uprawnienia zostały ujawnione dane osobowe o tym naruszeniu, osoba ta powinna podjąć kroki by usunąć otrzymaną wiadomość.
  2. Jeżeli został powołany w organizacji Inspektor Ochrony Danych Osobowych, skontaktować się z nim w celu przeprowadzenia analizy, czy zakres i charakter ujawnionych danych może powodować co najmniej średnie ryzyko dla praw osób, których dane zostały ujawnione, a jeżeli tak:
  3. Poinformować o tym fakcie osoby, których dane zostały ujawnione,
  4. Dokonać zgłoszenia organowi nadzorczemu wraz z informacjami wynikającymi z art. 33 wskazanymi powyżej.

Aby ograniczyć w przyszłości ryzyko ponownego wycieku danych osobowych i tym samym naruszenia przepisów RODO, warto rozważyć przeszkolenie pracowników w zakresie bezpieczeństwa i ochrony danych osobowych. Każde przedsiębiorstwo powinno mieć wdrożone działania, których szczegóły powinny znaleźć się w polityce ochrony danych osobowych udostępnionej i przekazanej do zapoznania się wszystkim pracownikom i współpracownikom.

 

Przespałeś moment wprowadzenia RODO i nadal nie masz wdrożonych procedur RODO w swoim przedsiębiorstwie? Skorzystaj z pakietu RODO, który zawiera wszystkie niezbędne dokumenty dla prawidłowego bezpieczeństwa danych oraz procedur postępowania w razie wystąpienia naruszenia.

Photo by Dayne Topkin on Unsplash

[1] https://www.zfodo.org.pl/wp-content/uploads/2020/02/raport_zfodo_naruszenia-16.02.20.pdf

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Internet rzeczy (IoT – Internet of Things) – wygoda czy prawo do prywatności wirtualnej i cyberbezpieczeństwo

Pojedynczy ruch myszką, kliknięcie, zalogowanie na stronie internetowej, zakup, nasze kontakty, zainteresowania – wszystko w sieci jest na bieżąco rejestrowane, analizowane i oceniane. Podstawowym narzędziem śledzenia i profilowania na potrzeby komercyjne stały są smartfony: czy wiesz, że średnio 2000 razy dziennie dotykamy telefonu? [1] Każdą aktywnością na wyświetlaczu pozostawiamy metadane: adres IP, czas dostępu, długość trwania sesji, rodzaj używanego oprogramowania, lokalizację urządzenia.

Poza tym korzystamy z innych urządzeń codziennego użytku podłączonych do Internetu, zbierających o nas dane. Są to czytniki e-booków, smart TV, termostaty, czujniki gazu, inteligentne lodówki, okulary, szczoteczki do zębów, zabawki, czy autonomiczne odkurzacze. Dane są zbierane do tworzenia profili użytkowników i badania ich zachowań w sieci… i-Robot, producent Roomby zapowiedział udostępnienie planów naszych mieszkań do Google i Apple[2]

Photo by Kowon vn on Unsplash

Koncepcja Internet rzeczy (IoT – Internet of Thing) zakłada powstanie globalnej, bezprzewodowej zintegrowanej sieci inteligentnych przedmiotów,[3] czyli urządzeń i maszyn, najróżniejszych czujników i elementów mechanicznych, w której dokonuje się komunikacja z jednej strony pomiędzy przedmiotami, a z drugiej pomiędzy przedmiotami i ludźmi.

Internet rzeczy to sytuacja, w której każde fizyczne urządzenie czy przedmiot codziennego użytku będzie mogło być włączone w globalną sieć i będzie mogło dostarczać różnorakich usług poprzez analizę potrzeb użytkowników i ich zwyczajów. Koncepcja bazuje na trzech kryteriach: Anytime (w każdej chwili), Anyplace (w każdym miejscu), Anything (wszystko)[4]. I tak, pompa powietrzna CPAP monitorująca sen osób cierpiących na zespół bezdechu przekazuje dane zamiast do lekarza do ubezpieczyciela, który może odmówić wypłaty ubezpieczenia, jeśli pompa jest źle używana. Amazon Echo, to głośnik, który słucha i nagrywa rozmowy. Podobnie, dane zbierane przez Fredi monitor dziecięcy, który transmituje dźwięk z pomieszczenia w którym przebywa dziecko, są źródłem wiedzy dla hakerów, z czego kilkukrotnie skorzystali[5].

 

Internet rzeczy składa się z urządzeń i przekazów wirtualnych (komunikacja: sieć bezprzewodowa i przewodowa, podczerwień, pamięć: bazy danych, zdecentralizowane systemy rozproszone DHT,[6]  identyfikacja: obraz video, kody, odczyty biometryczne, informacje z tagów i kodów kreskowych, lokalizacja: sygnały GSM, GPS i procesy: serwis, sieci czujników, obsługa sieci)[7]. Urządzenia śledzące zbierają dane za pomocą różnych działań w sieci, m.in.:

  • śledzenie lokalizacji;
  • śledzenie działalności w sieci;
  • prywatność w sieciach społecznościowych;
  • prywatność smartfonu;
  • prywatność poczty e-mail;
  • prywatność konsumencka;
  • prywatność w miejscu pracy;
  • prywatność medyczna i genetyczna;
  • bezpieczeństwo cybernetyczne;
  • bańki informacyjne;
  • Internet rzeczy
  • profilowanie użytkowników.

 

O ile na pierwsze punkty z listy mamy realny wpływ, o tyle Internet rzeczy i profilowanie użytkowników z jednej strony ułatwią nam życie, z drugiej powodują, że stajemy się źródłem danych dla wielkich korporacji.

 

Przykładów dobrego zastosowania IoT dostarcza medycyna (np. zdalny monitoring pacjentów, reagowanie na sytuacje alarmowe, szybsze udzielanie pomocy, wspomaganie życia osób starszych i niepełnosprawnych), systemy inteligentnych budynków (w zakresie sterowania automatyką domową, zapewniania bezpieczeństwa, dostarczania rozrywki, monitorowania domowników), inteligentne sieci energetyczne i czy sieci liczników (w zakresie dynamicznego rynku taryf energii elektrycznej, sterowania odbiornikami energii, sterowania i bilansowaniem źródeł odnawialnych), inteligentne miasta (sterowanie ruchem, monitorowanie dróg i zasobów, monitorowanie stanu środowiska, wspomaganie procesów biznesowych, wspomaganie handlu, bezpieczeństwo)[8]. Te ostanie są przedmiotem zainteresowania Unii Europejskiej, która promuje m.in. „Inteligentne miasta” w ramach programu ramowego „Horyzont 2020”. Celem tego programu jest zastosowanie technologii cyfrowych i telekomunikacyjnych do poprawy bezpieczeństwa i poprawy skuteczności tradycyjnych sieci i usług.[9] Przykładami takiego wykorzystania IoT są Mysłowice i Bydgoszcz. W Mysłowicach pojemniki na odpady zostały podpięte do Internetu i dzięki zastosowaniu działającej w oparciu o sieć mobilną 4G Orange Polska technologii CAT-M1 przekazują sygnał, że zostały zapełnione. W Bydgoszczy zamontowano na skrzyżowaniach ulic ponad 40 szybkoobrotowych kamer CCTV, które wraz z ponad 50 kamerami typu ANPR rejestrują cechy pojazdów co usprawnia zarządzanie ruchem[10].

 

Dane zbierane przez IoT podzielić możemy na te, które nie mają charakteru danych osobowych i nie stanowią jako takie zagrożenia dla prawa do prywatności (np. informacje o pogodzie) i takie, które wiążą się z przetwarzaniem danych osobowych (dane zbierane z social mediów, lokalizacji itd.). Zagrożeniami dla bezpieczeństwa użytkowników są niekontrolowana inwigilacja ludzi, działalność hakerów czy wrogie przejęcie kontroli nad urządzeniami[11].

Inwigilacja zaczyna się zwykle niewinnie. Chcąc skorzystać z jakieś rzeczy czy aplikacji „płacimy” danymi najczęściej zezwalając na:

  • dostęp do swoich kontaktów,
  • dostęp do kalendarza,
  • dostęp do historii przeglądanych stron i zakładek,
  • dostęp do wrażliwych logów aplikacji systemowych,
  • dostęp do aplikacji aktywnych na danym urządzeniu
  • dostęp do historii wybieranych numerów,
  • dostęp do wszystkich profili użytkownika na danym urządzeniu,
  • dostęp do treści i metadanych wysyłanych SMS-ów,
  • dostęp do załączników e-maili,
  • możliwość zmiany ogólnych ustawień telefonu.

 

Dark patterns (w wolnym tłumaczeniu: „wredne praktyki”)[12] to elementy interfejsów w aplikacjach i serwisach internetowych zaprojektowane tak, by skłonić użytkownika do wybrania opcji najkorzystniejszej dla firmy zarabiającej na komercjalizacji danych. Kolory, rozmieszczenie przycisków i sposób wyświetlania komunikatów mają doprowadzić do tego, że użytkownik (niekoniecznie świadomie) „zgodzi się” na głęboką ingerencję w prywatność (np. ciągłe śledzenie lokalizacji czy dopuszczenie skryptów śledzących obsługiwanych przez podmioty trzecie). Najczęściej stosowane dark patterns[13]to:

  • niekorzystne dla użytkowników ustawienia domyślne;
  • wydłużona ścieżka zmiany ustawień dla tych, którzy chcą zadbać o swoją prywatność
  • wyskakujące okienka z ustawieniami prywatności, w których kluczowe informacje zostały pominięte lub przedstawione w mylący sposób;
  • grożenie utratą ważnych funkcjonalności lub usunięciem konta, jeśli użytkownik nie „zgodzi się” na przekazanie dodatkowych danych;
  • interpretowanie nierzadko przypadkowych akcji (np. nieznacznego ruchu myszką) na korzyść aplikacji/serwisu.

 

Szacuje się, że wartość rynkowa ogółu danych przetwarzanych w Internecie na terenie Unii Europejskiej osiągnie do 2020 r. wysokość 739 miliardów euro.[14] Badanie Eurobarometru pokazuje, że 60% Europejczyków, korzystających z Internetu, kupuje lub sprzedaje rzeczy on-line oraz korzysta z portali społecznościowych[15]. Pozostawiają przy tym swoje dane osobowe, w tym informacje biograficzne (prawie 90% badanych), informacje o swoim otoczeniu (prawie 50%) oraz informacje szczególnie chronione (prawie 10%). 70% badanych wyraziło obawy co do tego, w jaki sposób firmy korzystają z tych danych, oraz uważa, że ma jedynie częściową, jeśli w ogóle, kontrolę nad własnymi danymi. Natomiast 74% chciałoby, aby gromadzenie i przetwarzanie ich danych w Internecie wymagało ich wyraźnej zgody. Jednocześnie wg badania przeprowadzonego przez Kantar,[16] ponad połowa respondentów (zarówno w przypadku Polski, jak i Unii Europejskiej), obawia się, że ich dane osobowe w Internecie nie są chronione przez władze publiczne. Respondenci w wieku 25-39 lat (74%) oraz 40-54 lat (69%) częściej wyrażają taką obawę niż osoby w wieku 15-24 lat (52%).

 

Tymczasem urządzenia spokojnie zbierają nasze dane. Tworzony na podstawie zachowań w sieci profil człowieka nie zawiera danych bezpośrednio identyfikujących użytkownika, takich jak nazwisko czy adres. Te informacje z perspektywy reklamodawców mają niewielką wartość. Z punktu widzenia sprzedających dużo bardziej wartościowe się cechy decydujące o skłonności użytkownika do dokonania konkretnego zakupu. Na podstawie zebranych danych agencje mediowe ustalają, jakie cechy i zachowania charakteryzują osoby, które jeszcze reklamowanego produktu nie kupiły, ale mogą to zrobić w przyszłości. Budując profil potencjalnego klienta, agencje mediowe próbują ustalić nawyki, zainteresowania, słabości, ważne momenty z życia (takie jak ślub czy ciąża), cechy osobowościowe i demograficzne użytkowników, które posłużą do stworzenia kategorii powiązanych z cechami usługi czy produktu, który mają za zadanie sprzedać pewną potrzebę: „aktywny styl życia”, „dom, zdrowe jedzenie”, „przede wszystkim dzieci”, „miejski styl życia, singiel” czy „ponadprzeciętny dochód, dobra luksusowe”[17].

 

Powstaje tzw. look-alike – hipotetyczny profil klienta[18] składający się z twardych danych pochodzących od reklamodawców („taki człowiek już u mnie kupił”) i statystycznej wiedzy o ludziach („taki człowiek może chcieć to kupić”). W dużym uproszczeniu: gdy w sieci pojawi się użytkownik o konkretnych cechach zaczyna się licytacja o jego uwagę. Proces licytacji jest w pełni zautomatyzowany i z punktu widzenia profilowanego użytkownika pozostaje całkowicie niezauważalny – cała transakcja zajmuje 1/5 sekundy czyli 200 milisekund, a na mrugnięcie okiem przeciętnie potrzebujemy „aż” 300 milisekund. Następnie prezentowane są nam te komunikaty, które „powinnyśmy” otrzymać skoro sieć zakwalifikowała nas jako „człowieka, który może chcieć to kupić”.

 

Czy mamy jakikolwiek wpływ, aby ograniczyć przekazywanie danych o nas?  Niewielki, jeśli wybieramy wygodę korzystania z urządzeń podłączonych  do Internetu i sami “podłączamy” się do sieci. Metodami zarządzania prywatnością w Internecie są:

  • dostosowanie ustawień przeglądarki;
  • dostosowanie ustawień poszczególnych serwisów;
  • instalacja odpowiednich wtyczek zabezpieczających przed reklamami, ciasteczkami;
  • korzystanie z usług zaufanego dostawcy;
  • korzystanie z usług klienta pocztowego i szyfrowanie danych;
  • szyfrowanie danych w ustawieniach komputera.”

Warto też reagować na naruszenia. Czytać regulaminy i informacje pisane drobną czcionką.

Jeśli tematyka bezpieczeństwa zainteresowała Cię, koniecznie zajrzyj na stronę Fundacji Panoptykon: https://panoptykon.org/ –  znajdziesz tam ciekawe, rzetelne opracowania, bieżące komentarze, podcasty na aktualne tematy.  Jeśli potrzebujesz pomocy, skontaktuj się na nami.

 

[1] https://businessinsider.com.pl/technologie/nauka/uzaleznienie-od-telefonu-badacze-policzyli-ile-razy-go-dotykamy/x45yftb. 
[2] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[3] Opinia Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów: „Internet przedmiotów – plan działań dla Europy” COM(2009) 278 wersja ostateczna (2010/C 255/21); Sprawozdawca: Zenonas Rokus Rudzikas
[4] N. Gupta, J. Gupta, Internet of Things (IoT): A Vision of Any-Time Any-Place for Any-One, International Robotics & Automation Journal 2017, Vol. 2, Issue 6..
[5] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[6] Ang. Distributed Hash Table, tł. rozproszona tablica mieszająca. Jest to rozproszony system używany do przechowywania informacji o dużych ilościach danych
[7] A. Rot, B. Bleicke, Bezpieczeństwo Internetu Rzeczy. Wybrane zagrożenia i sposoby zabezpieczeń na przykładzie systemów produkcyjnych, Zeszyty Naukowe Politechniki Częstochowskiej Zarządzanie 2017, Nr 26, s. 189–190.
[8] A. Brachman, Ekspertyza Obserwatorium ICT, Internet rzeczy – wybrane zastosowania, SO RIS, Sieć Regionalnych Obserwatoriów Specjalistycznych, Katowice 2015, s. 9
[9] Europejska Agenda Cyfrowa, Digital Single Market, s. 7
[10] M. Gadomski, Internet rzeczy dociera do miast. Uwaga na zagrożenia, https://www.portalsamorzadowy.pl/spoleczenstwo-informacyjne/Internet-rzeczy-dociera-do-miast-uwaga-na-zagrozenia,114495.html (dostęp: 1.1.2020 r.).
[11] O tym, że jest to problem faktycznie dotykający nas świadczy szybki przegląd prasy w lutym 2021: https://www.bankier.pl/wiadomosc/Poczta-Polska-Brak-powiadomienia-o-dostawie-oszusci-wysylaja-falszywe-maile-8050765.html czy https://www.bankier.pl/wiadomosc/NBP-utworzyl-departament-cyberbezpieczenstwa-8039336.html
[12] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[13] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[14] Komisja Europejska, European Data Market Study, https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market-study-measuring-size-and-trends-eu-data-economy. 
[15]https://ec.europa.eu/commfrontoffice/publicopinion/index.cfm/Survey/getSurveyDetail/yearFrom/1974/yearTo/2020/surveyKy/2207
[16] http://www.tnsglobal.pl/archiwumraportow/files/2020/03/K.017_20_Czego-obawiamy-si%C4%99-w-sieci_EB.pdf
[17] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[18] https://experienceleague.adobe.com/docs/audience-manager/user-guide/features/algorithmic-models/look-alike-modeling/understanding-models.html?lang=en
Photo by Kowon vn on Unsplash

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

Swoboda wypowiedzi artystycznej. Czy oddamy za miskę ryżu?

„Doświadczenia państw posttotalitarnych uświadamiają znaczenie, jakie dla społeczeństw ma współcześnie swoboda wypowiedzi artystycznej: tak jak obecność powietrza traktujemy jako rzecz oczywistą dopóki nie zacznie nam go brakować, tak i znaczenie nieskrępowanego zasadniczo rozwoju sztuki dostrzegamy dopiero w momencie, kiedy władza państwowa dozna ambicji decydowania, jaka sztuka winna się rozwijać, a jaka stanowi entartete Kunst[1]

Artyści bardzo często poprzez swoją twórczość chcą dać wyraz temu z czym się nie zgadzają, co w ich ocenie jest niezgodne z prawem, z obyczajami czy ze zwykłym ludzkim podejściem. Nie powinno to z jednej strony dziwić, w końcu sytuacje otaczające nas na co dzień są najlepszą inspiracją. W prawie autorskim dopuszczalne jest także inspirowanie się czyimś utworem, pod warunkiem, że nowy utwór jest samodzielnym tworem i nie zawiera elementów twórczych pochodzących z cudzego utworu. W takim przypadku twórca nie musi uzyskiwać zgody od twórcy utworu inspirowanego. Granica pomiędzy inspiracją, a opracowaniem jest bardzo cienka i łatwo jest ją przekroczyć. Nie musimy mierzyć się z problemem granic inspiracji jeśli korzystamy z utworów znajdujących się w domenie publicznej.

 

Twórczość artystyczna rządzi się swoimi prawami. Oczywiście, z jednej strony każdy ma obowiązek przestrzegania prawa i nic też nie może być podstawą do legalizowania czynów karalnych, z drugiej – w twórczości istnieje wiele gatunków, które ze względu na swoją specyfikę „stąpają na granicy prawa”. Prawo autorskie dopuszcza takie prawa gatunku twórczości, jak parodia, karykatura, pastisz, których istotą jest czerpanie z dorobku innych. Jak więc odróżnić twórczość od zwykłego aktu wandalizmu? Gdzie są granice korzystania z cudzej twórczości? Jak „wyrażać siebie”, swoje emocje, silne doznania tak, aby respektować prawa innych? Jak sprawić, aby swoboda artystyczna nie była „kopciuszkiem wśród swobód, rzadko w świetle jupiterów i nigdy w światłach ramapy” [2]

 

W dzisiejszym wpisie kawałek pracy kancelarii „od kuchni”. Na styku teorii i praktyki. Zwykle nasza praca zaczyna się tak: przychodzi Klient do prawnika i pyta … tym razem my pytamy o kulisy pracy artystycznej, motywacje do tworzenia oraz pomysły. Pretekstem do tego wpisu jest nowy utwór zespołu The Managers o tytule „Za miskę ryżu”. Zanim przejdziemy do teorii, porozmawiamy o tym jak w praktyce wygląda swoboda artystyczna.

 

Lewandowski Gradek Lewandowska: Panie Piotrze, skąd pojawił się pomysł na piosenkę o takim tytule?

Piotr Malepszy: Nie podoba mi się pycha i bezczelność z jaką rządzący łamią wszelkie zasady. Bardzo jest mi przykro, że tzw. suweren jest w stanie nie zauważyć bezczelnej wypowiedzi premiera. Tytuł piosenki jest oczywiście świadomym nawiązaniem do poglądów Mateusza Morawieckiego nagranych podczas „prywatnej rozmowy” w restauracji Sowa i Przyjaciele.

LGL: Z jakich źródeł czerpiecie inspirację?

PM: Nie mam specjalnych źródeł. Widzę co się dzieje dookoła. Obserwuję ten taniec suwerena do muzyki granej przez PiS. „Za miskę ryżu” to utwór w zachowany w stylistyce punk rocka a ta muzyka zawsze była antysytemowa. Jest także wyrazem mojego zdziwienia, że daliśmy się tak tanio kupić. I tego jak wielu z nas tego nie widzi.

LGL: Czy utwór „Za miskę ryżu” miał być manifestem przeciwko temu co dzieje się wokół nas?

PM: Jest raczej komentarzem, wyrażeniem opinii. Jest powiedzeniem „widzimy co robicie”. To nie jest piosenka anty pisowa. No, może w jednym momencie tak jest 😉 To jest raczej piosenka anty suwerenowa. PiS sam się nie wybrał. Ludziom wystarczyło obiecać rybę i już nie chcą wędki. To jest bardzo smutne.

Manifest to za duże słowo. Ale tak – jestem przeciwny temu co się dzieje wokół nas. Jestem przeciwny przede wszystkim jednak temu, że wielu z nas akceptuje to co zgotował nam obecny rząd.

LGL: Czy uważa Pan, że artystom wolno więcej? Czy właśnie dzięki twórczości mogą lub wręcz powinni wyrażać oni sprzeciw wobec tego co dzieje się na świecie ale także wobec poglądów religijnych czy np. ideologicznych?

PM: Uważam, że  nikomu nie powinno być wolno więcej. Artystom wolno wyrażać swoje poglądy inaczej. Z wykorzystaniem swojej wyobraźni i swoich umiejętności. Sztuka powinna być i jest wykorzystywana do wyrażania swoich poglądów. I nikomu nie wolno tego zabronić.

Uważam, że w krajach demokratycznych prawo powinno być respektowane przez wszystkich. Oczywiście można dyskutować czy Polska nadal takim krajem jest. Mam nadzieję, że już niedługo sytuacja się zmieni i takie dyskusje nie będą już musiały być prowadzone. Każdy artysta, tak jak każdy człowiek, ma prawo do posiadania i wyrażania swoich poglądów.  Jedni mogą być „za”, inni „przeciw”. Na pewno nie można artystom, demonstrantom, ludziom zabraniać wyrażać swoich poglądów w sposób pokojowy. A prawdziwy przekaz artystyczny jest przecież zawsze przekazem pokojowym.

Uważam, że to organizacje religijne i ideologiczne powinny mieć zakaz ingerowania w przekaz artystyczny. Sprzeciw artystów wobec działań organizacji religijnych czy ideologicznych jest raczej reakcja na ingerencję w sferę, od której  te organizacje powinny się trzymać z daleka.

Duchowni i ideolodzy mówią ludziom jak mają żyć i co robić, aby zasłużyć na nagrodę w przyszłości. Artyści natomiast pokazują jak można wykorzystać to co mamy do dyspozycji tu i teraz. Proszę zwrócić uwagę, że artyści nie korzystają z mocy nadprzyrodzonych czy wiedzy tajemnej. Tworzą z dostępnych materiałów, prezentują swoją sztukę dostępnymi środkami. Tylko od ich sprawności i talentu zależy czy ich sztuka będzie akceptowana lub nie. Nie mogą nikogo spalić na stosie czy podać do sądu za to, że komuś się ich dzieło nie podoba. Niestety w druga stronę to działa nieco inaczej.

Artyści są jak wynalazcy.  Z tego co jest dostępne tworzą rzeczy, które zmieniają naszą rzeczywistość. Różnica polega tylko na tym, że wynalazcy odnoszą się raczej do sfery technologicznej a artyści do sfery duchowej. Duchowni i ideolodzy mają raczej niewiele wspólnego ze strefą technologiczną. Natomiast sfera duchowa jest tą gdzie może pojawić się konkurencja z  artystami. Wiadomo jak się traktuje konkurencję.

 

Czym właściwie jest swoboda artystyczna?

Definicji swobody artystycznej nie znajdziemy w przepisach prawa. „Swoboda” za słownikiem języka polskiego to 1. «możliwość postępowania lub zachowywania się bez konieczności ulegania przymusowi lub ograniczeniom» 2. «naturalna łatwość zachowywania się lub robienia czegoś. Natomiast „artystyczny”: 1. «związany ze sztuką lub z artystą» 2. «posiadający walory artystyczne». Propozycję definicji normatywnej znajdziemy w publikacji M. Górskiego „Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe” Warszawa 2019. Zdaniem autora wypowiedź artystyczną można zdefiniować jako ekspresję indywidualnej sfery wrażliwości twórcy, która oddziałuje na indywidualną sferę wrażliwości odbiorcy.

Wydaje się więc, że aby móc mówić o swobodzie artystycznej, zachowanie danej osoby musi mieć element twórczy. Wynika to z założenia, że wypowiedzią artystyczną jest ekspresja sfery wrażliwości (uczuć) twórcy. Próbując ustalić twórczy charakter wypowiedzi , należy sięgnąć do  definicji utworu wynikającej z prawa autorskiego.  Zgodnie z nią przedmiotem prawa autorskiego (utworem) jest „każdy przejaw działalności twórczej o indywidualnym charakterze”. Nie próbując oceniać wartości sztuki, prawo musi jednak stworzyć definicję „wypowiedzi artystycznej” (ang. artistic expression), skoro pojęciem tym nie tylko operuje, ale też z ustalenia, że dana wypowiedź jest artystyczną, wywodzi prawnie doniosłe konsekwencje.

Trzeba zgodzić się z tezą postawioną przez M Górskiego, że „Skoro wypowiedź artystyczna, ze swej definicji, ma wyrażać i poruszać uczucia, to trudno jej czynić zarzut z tego, że uczucia te niekiedy porusza w sposób bolesny dla odbiorców (…) Prawo powinno powstrzymywać się od surowego ingerowania w sferę wypowiedzi artystycznej, bo konsekwencje w postaci represji prawnej nie powinny zachodzić w odniesieniu do tego, co dzieje się w sferze pozarozumowej, a jeżeli takie konsekwencje miałyby zostać uznane za dopuszczalne, to powinny być wstrzemięźliwe z uwagi na samą naturę ekspresji artystycznej[3]

Doświadczenia wyniesione z minionych stuleci, kiedy to artyści odpowiadali za rzekomą obsceniczność czy też polityczną niepoprawność tworzonych i wystawianych dzieł, spowodowały, że współcześnie prawnicy niejako intuicyjnie przyjmują, iż swoboda wypowiedzi artystycznej cechuje się mniejszą dopuszczalnością ingerencji ją ograniczających. Nie wartościując sztuki, musimy więc ustalić, czym ona jest jako kategoria normatywna.[4]

Twórczość artystyczna jest to proces, który można rozumieć jako wypowiedź artystyczną, stanowiący szczególną formę przekazu. Umożliwienie twórcom wyrażania swojego światopoglądu, przekonań, opinii za pośrednictwem dzieł artystycznych jest bardzo istotnym elementem wolności, a przez to także społeczeństwa demokratycznego. To właśnie poprzez twórczość bardzo często wyrażane są sprzeciwy przeciwko naruszaniu praw i wolności człowieka, równouprawnieniu czy naruszaniu praw danej grupy etnicznej/ideologicznej. Nie oznacza to jednak, że twórczość artystyczna pozwala na nadinterpretację wolności, ani tym bardziej nie daje jej prawa bycia wolnością absolutną, ponad prawem i godnością drugiego człowieka.

 

A co na temat swobody artystycznej mówią przepisy?

Twórcy uważają, że granice swobody artystycznej nie wyznaczają przepisy prawa lecz czynniki artystyczne i estetyczne. Te znowu mogą być bardzo szerokie i ciężko jest określić ich ramy. Estetyka każdego człowieka zaczyna i kończy się zupełnie gdzie indziej, a upublicznione dzieła, choć zdaniem artysty mogą być niezwykłe, zdaniem zwykłego człowieka mogą godzić w jego uczucia, estetykę czy poglądy.

Z teoretycznego punktu widzenia, zasada wolności twórczości artystycznej zagwarantowana została przez akt prawny o najwyższej mocy – Konstytucję Rzeczypospolitej Polskiej. Zgodnie z art. 73 Każdemu zapewnia się wolność twórczości artystycznej, badań naukowych oraz ogłaszania ich wyników, wolność nauczania, a także wolność korzystania z dóbr kultury.  

Międzynarodowe regulacje w zakresie wolności wypowiedzi są gwarantowane przez:

  • Art. 19 Powszechnej Deklaracji Praw Człowieka (PDPC):

„Każdy człowiek ma prawo wolności opinii i wyrażania jej; prawo to obejmuje swobodę posiadania niezależnej opinii, poszukiwania, otrzymywania i rozpowszechniania informacji i poglądów wszelkimi środkami, bez względu na granice. Każdy człowiek ma prawo wolności opinii i wyrażania jej; prawo to obejmuje swobodę posiadania niezależnej opinii, poszukiwania, otrzymywania i rozpowszechniania informacji i poglądów wszelkimi środkami, bez względu na granice”.

  • Art. 19 Międzynarodowego Paktu Praw Obywatelskich i Politycznych:

„1. Każdy człowiek ma prawo do posiadania bez przeszkód własnych poglądów.

2. Każdy człowiek ma prawo do swobodnego wyrażania opinii; prawo to obejmuje swobodę poszukiwania, otrzymywania i rozpowszechniania wszelkich informacji i poglądów, bez względu na granice państwowe, ustnie, pismem lub drukiem, w postaci dzieła sztuki bądź w jakikolwiek inny sposób według własnego wyboru.

3. Realizacja praw przewidzianych w ustępie 2 niniejszego artykułu pociąga za sobą specjalne obowiązki i specjalną odpowiedzialność. Może ona w konsekwencji podlegać pewnym ograniczeniom, które powinny być jednak wyraźnie przewidziane przez ustawę i które są niezbędne w celu: poszanowania praw i dobrego imienia innych; ochrony bezpieczeństwa państwowego lub porządku publicznego albo zdrowia lub moralności publicznej”.

  • Art. 10 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (EKPC):

„1. Każdy ma prawo do wolności wyrażania opinii. Prawo to obejmuje wolność posiadania poglądów oraz otrzymywania i przekazywania informacji i idei bez ingerencji władz publicznych i bez względu na granice państwowe. Niniejszy przepis nie wyklucza prawa Państw do poddania procedurze zezwoleń przedsiębiorstw radiowych, telewizyjnych lub kinematograficznych

Korzystanie z tych wolności pociągających za sobą obowiązki i odpowiedzialność może podlegać takim wymogom formalnym, warunkom, ograniczeniom i sankcjom, jakie są przewidziane przez ustawę i niezbędne w społeczeństwie demokratycznym w interesie bezpieczeństwa państwowego, integralności terytorialnej lub bezpieczeństwa publicznego ze względu na konieczność zapobieżenia zakłóceniu porządku lub przestępstwu, z uwagi na ochronę zdrowia i moralności, ochronę dobrego imienia i praw innych osób oraz ze względu na zapobieżenie ujawnieniu informacji poufnych lub na zagwarantowanie powagi i bezstronności władzy sądowej”.

 

W art. 27 PDPC zadeklarowano, że każdy człowiek ma prawo do swobodnego uczestniczenia w życiu kulturalnym społeczeństwa, do korzystania ze sztuki, do uczestniczenia w postępie nauki i korzystania z jego dobrodziejstw. Każdy człowiek ma także prawo do ochrony moralnych i materialnych korzyści wynikających z jakiejkolwiek jego działalności naukowej, literackiej lub artystycznej.

Podobnie też stanowi Europejska Konwencja Praw Człowieka dając każdemu wolność posiadania poglądów oraz otrzymywania i przekazywania informacji i idei bez ingerencji władz publicznych i bez względu na granice państwa, a także wolność  twórczości artystycznej, badań naukowych oraz ogłaszania ich wyników, wolność nauczania, a także wolność korzystania z dóbr kultury. Sztuka pełni tutaj szczególną rolę w dekonstruowaniu kultury, zwyczaju, obyczaju. W tym rozumieniu sztuka zaczyna się nierzadko dopiero wtedy, gdy łamane są normy moralne, religijne, obyczajowe, a nawet prawne.[5]

W ramach rozważań karnoprawnych wskazuje się na zespół przesłanek pomocnych w ocenie twórczego i artystycznego charakteru danego działalności:

  • cel artystyczny – działanie nakierowane na ekspresję, przekazanie pewnych koncepcji, poglądu, podzielenie się emocjami;
  • charakter artystyczny dzieła – wykonanie odpowiadające standardom sztuki oraz próba zaspokojenia potrzeb społecznych w tym obszarze;
  • szczególne właściwości twórcy – profesjonalizm w danej dziedzinie sztuki[6]

 

Swoboda artystyczna to nie prawo do wandalizmu

Oczywiście należy zaznaczyć, że nawet prawo do twórczości nie daje nam prawa do łamania innych praw. Odróżnić jednak trzeba przejaw swobody artystycznej przejawiający się w tekście piosenki, namalowanym obrazie, od sposobu jego publikacji. Posługując się prostym przykładem, namalowanie graffiti na cudzej ścianie nie powoduje, że twórca nie powinien odpowiadać za zamach na cudze mienie nieruchome. Przyczyną jego odpowiedzialności nie będzie jednak to, że przekroczył granice wolności sztuki, ale to, że zniszczył cudze mienie. Artystyczny wymiar jego czynu może ewentualnie powodować mitygowanie odpowiedzialności karnej, a w skrajnym przypadku jej wyłączenie, ale nie eliminuje odpowiedzialności za przestępstwo użyte przez artystę do stworzenia dzieła sztuki.[7] Nie można karać twórcy za jego manifest artystyczny wyrażony w utworze, pod rozwagę należy jednak skierować to, jakich czynów się podejmujemy, by ten manifest wyrazić.

Przykładem może być wyrok Europejskiego Trybunału Praw Człowieka z 27.02.2018 r., 39496/11, w sprawie SINKOVA v. UKRAINA[8], w którym trybunał oceniał działania artystki – coś, co uznała za performance artystyczny mający na celu wyrażenie protestu przeciwko marnotrawieniu gazu ziemnego przez państwo przy jednoczesnym ignorowaniu niskiego standardu życia weteranów wojennych. Artystka usmażyła jajka na Pomniku Wiecznej Chwały. Jej działanie zostało sfilmowane, artystka przygotowała oświadczenie wyjaśniające jej stanowisko i umieściła nagranie wraz z oświadczeniem w Internecie. Została oskarżona i skazana z powodu usmażenia jajek na Wiecznym Ogniu, uznanego przez sądy krajowe za zbezczeszczenie Grobu Nieznanego Żołnierza, co stanowi przestępstwo na podstawie ukraińskiego kodeksu karnego. Postawiony jej zarzut nie dotyczył ani późniejszego rozpowszechnienia przedmiotowego nagrania, ani treści raczej sarkastycznego i prowokacyjnego komentarza towarzyszącego nagraniu.

 

Swoboda artystyczna i jej granice

W praktyce nierzadko zdarza się jednak, iż awangardowych artystów dotykają dotkliwe sankcje w postaci zamykania wystaw, zajęcia czy niszczenia prac, a nawet wszczęcia postępowania karnego, czy stosowania środków przymusu w celu powstrzymania od wygłaszania swojej twórczości.

Chyba do najczęściej kierowanych na drogę sądową spraw, dotyczą te o obrazę uczuć religijnych. Tematyka religijna należy do chętnie poruszanych przez artystów problemów. Większości jest na pewno znana sprawa Pussy Riot – rosyjskiej grupy feministycznej, która została skazana na karę pozbawienia wolności za performance artystyczny w soborze, krytykujący władze publiczne i cerkiewne oraz za umieszczenie w serwisie internetowym nagrania z takiego przedstawienia artystycznego. Europejski Trybunał Praw Człowieka wskazał, iż w tej sprawie skarżące chciały skierować uwagę swych współobywateli i Rosyjskiego Kościoła Prawosławnego na ich niezgodę na sytuację polityczną w Rosji oraz na stanowisko patriarchy Kiryła oraz części innych przedstawicieli duchowieństwa w odniesieniu do protestów ulicznych w wielu rosyjskich miastach, spowodowanych wyborami parlamentarnymi i zbliżającymi się wyborami prezydenckimi w Rosji. Trybunał podkreślił, iż zgodnie z międzynarodowymi standardami ochrony wolności wyrażania opinii, ograniczenia takiej wolności w formie sankcji karnych są jedynie dopuszczalne w przypadkach podżegania do nienawiści, czego nie stwierdził w sprawie Pussy Riot. Pomimo, że performance artystyczny miał miejsce w miejscu kulty religijnego, to nie przeszkodził w prowadzeniu obrządku religijnego. Trybunał nie był w stanie wskazać na jakikolwiek element analizy przeprowadzonej przez sądy krajowe, który pozwoliłby na uznanie zachowania skarżących za podżeganie do nienawiści. Tym samym ETPC uznał, iż pozbawienie wolności stanowiło naruszenie art. 10 EKPC.[9] 

Uczucia religijne są jedną z najczęściej chronionych przed naruszeniem wolności, jednak do najczęściej poruszanej tematyki z pewnością należy polityka, a w zasadzie jej oddziaływanie na prawa obywateli. Gdyby przyjrzeć się memom pojawiającym się w Internecie, z pewnością na podium znalazłyby się te z politykami w roli głównej. Twórczość artystyczna to często manifest przeciwko temu co dzieje się wokół. Najlepsze piosenki protestacyjne podejmują aktualne problemy, ale wykraczają też poza swoje epoki, aby przemówić do przyszłych pokoleń.

 

Zespołowi The Managers życzymy sukcesów artystycznych a naszą rozmowę kończymy słowami A Górskiego[10]Wolność wypowiedzi artystycznej jest kategorią interesu publicznego. Zabezpiecza, co do zasady nieskrępowaną, swobodę kreacji i samorealizacji jednostki, której realizacja służy jednak nie tylko autorowi wypowiedzi artystycznej, ale przede wszystkim całej ludzkości.”

 

[1] M. Górski, Rozdział 13 Wnioski końcowe [w:] Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe, Warszawa 2019.
[2] Za M. Górskim  [w:] Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe, Warszawa 2019.P Keatns „Freedom of artistic expression. Essays on Culture and Legal Censure” Oxford 2013, s 150
[3] M. Górski, Rozdział 13 Wnioski końcowe [w:] Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe, Warszawa 2019.
[4] M. Górski, Rozdział 5 Istota wypowiedzi artystycznej [w:] Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe, Warszawa 2019.
[5] F. Ciepły, O kontratypie sztuki, s. 27; H. Kiereś, Spór o sztukę, s. 19–32; C. Moryc, Odpowiedzialność artysty, s. 5. 
[6] M. Safjan, L. Bosek (red.), Konstytucja RP. Tom I. Komentarz do art. 1–86, Warszawa 2016
[7] M. Górski, Swoboda wypowiedzi artystycznej jako kategoria interesu publicznego [w:] Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe, Warszawa 2019.
[8] LEX nr 2446025,
[9] Wyrok ETPC z 17.07.2018 r., 38004/12, MARIYA ALEKHINA I INNI v. ROSJA, LEX nr 2522653.
[10] M. Górski, Rozdział 12 Wnioski końcowe [w:] Swoboda wypowiedzi artystycznej. Standardy krajowe i międzynarodowe, Warszawa 2019.

 

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

Czy transfer danych osobowych do Zjednoczonego Królestwa jest nadal możliwy?  – czyli garść informacji o RODO z okazji Dnia Ochrony Danych Osobowych

W dniu 28 stycznia obchodzimy Dzień Ochrony Danych Osobowych. W tym dniu, 40 lat temu, została sporządzona Konwencja 108 Rady Europy w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to najstarszy akt prawny o  zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych.

Co roku, święto to jest szczególnie obchodzone przez Urząd Ochrony Danych Osobowych (UODO). W tym roku Prezes UODO organizuje konferencję online „Realna ochrona danych w zdalnej rzeczywistości”. 

Spotkanie zostało podzielone na trzy sesje tematyczne:

  1. „Jak chronić dane osobowe w czasach pandemii”
  2. „RODO w praktyce, czyli wyzwania dla małych i średnich przedsiębiorstw”
  3. „Sektor publiczny w nowej rzeczywistości”

Pod linkiem dostępny jest szczegółowy Program konferencji DODO. Wydarzenie będzie transmitowane za pośrednictwem strony internetowej UODO: www.uodo.gov.pl.

Podczas konferencji omówione zostaną bieżące problemy i wyzwania związane z tematyką ochrony danych osobowych takich, jak zagrożenia praw i wolności obywatelskich związane z rozwojem gospodarki cyfrowej, pandemia COVID-19, powszechne stosowanie zdalnych narzędzi komunikacji w pracy czy nauczaniu.

 

Zmiany…

Istotne zmiany w zakresie danych osobowych weszły z dniem 1 stycznia 2021 r. w związku z tym, iż zakończył się okres przejściowy dla wystąpienia Zjednoczonego Królestwa z Unii Europejskiej. Oznacza to, że od początku 2021 r. Zjednoczone Królestwo do przetwarzania danych osobowych nie będzie stosować przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (zwanego popularnie “RODO“).

Pomimo, iż wejście w życie RODO było gorącym tematem w 2018 r. i chyba nie ma osoby, która o RODO nie słyszałaby – zdarza się, iż przedsiębiorcy trafiający po raz pierwszy do naszej kancelarii nie mają uregulowanych kwestii przetwarzania przez nich danych osobowych klientów, kontrahentów czy podwykonawców. Przypomnijmy zatem cele wprowadzenia RODO i jakie wynikają z niego najważniejsze regulacje.

 

Krótkie przypomnienie zasad wynikających z RODO

Celem RODO jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi Unii Europejskiej. Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Istotne jest zapewnienie osobom fizycznym kontroli nad własnymi danymi osobowymi.

 

  • Dane osobowe, zgodnie z art. 4 pkt 1 oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 

  • Natomiast przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Wobec tego samo posiadanie przez przedsiębiorcę danych osobowych osoby fizycznej w jego rejestrach lub bazach będzie już przetwarzaniem tych danych.

 

Jedną z głównych zmian wprowadzonych przez RODO jest m.in. sposób wyrażenia zgody na przetwarzanie danych.

  • Zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W związku z tak przedstawioną definicją zgody konieczne stało się wprowadzenie obowiązku pozyskiwania różnych zgód w zależności od celu przetwarzania danych oraz wykluczenia zastosowania domyślnego zaznaczenia wyrażenia zgody.

 

Na jakich zasadach będzie dochodziło do przekazywania danych do Zjednoczonego Królestwa i ich przetwarzania?

W Zjednoczonym Królestwie będą obowiązywać odrębne ramy prawne dotyczące ochrony danych. Wobec tego obecnie każde przekazywanie danych osobowych między podmiotami z UE, które obowiązuje RODO a podmiotami ze Zjednoczonego Królestwa będzie stanowić przekazanie danych osobowych do państwa trzeciego.

Wobec braku wydania decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do Zjednoczonego Królestwa przez Komisję Europejską, zgodnie z art. 45 RODO, przekazanie danych do Zjednoczonego Królestwa będzie wymagało odpowiednich zabezpieczeń, jak również egzekwowalnych praw oraz skutecznych środków ochrony prawnej osób, których dane dotyczą, zgodnie z art. 46 RODO.

 

Transfer danych poza Europejski Obszar Gospodarczy (EOG) uzależniony jest od spełnienia określonych warunków wskazanych w rozdziale V RODO.. Istnieją 3 podstawy, w oparciu o które administrator danych może przekazywać dane osobowe poza EOG:

  1. decyzja Komisji Europejskiej  (KE) (art. 45 RODO) stwierdzająca, że dane państwo zapewnia odpowiedni stopień ochrony, przekazanie danych w oparciu o taką decyzję nie wymaga specjalnego zezwolenia – która jak wspominano powyżej nie została wydana
  2. razie braku decyzji KE administrator może przekazać dane osobowe poza EOG wyłącznie, gdy dane państwo zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).

 

Zapewnienie odpowiednich zabezpieczeń możliwe jest za pomocą np. standardowych klauzul ochrony danych przyjętych przez KE na podstawie decyzji w sprawie klauzul standardowych (SCC).

  1. W przypadku braku decyzji KE (pkt 1) oraz odpowiednich zabezpieczeń (pkt 2), transfer zostać oparty jedynie o konkretne przesłanki, takie jak m.in.:
    • zgodę osoby, której dane mają być przetwarzane;
    • konieczność wykonania umowy zawartej pomiędzy podmiotem danych a administratorem;
    • zawarcie lub wykonanie umowy zawartej w interesie podmiotu danych;
    • niezbędność transferu danych ze względu na ważne interesy publiczne.

Szczegółowy katalog został określony w art. 49 RODO. Więcej o zasadach i regulacjach dotyczących przekazywania danych osobowych do państwa trzeciego możesz przeczytać w naszym wpisie o wyroku Schrems II.

 

________________

Jeżeli nie masz pewności czy przetwarzasz dane osobowe zgodnie z przepisami albo czy nie przekazujesz danych poza EOG bez odpowiedniej postawy do dokonywania transferu skorzystaj z e-porady dostępnej w sklepie albo skontaktuj się z nami za pomocą formularza kontaktowego.

Świętuj dzień danych osobowych codziennie przetwarzając je zgodnie z prawem, a jeśli jeszcze nie uregulowałeś/aś RODO w firmie, nie odwlekaj … możesz skorzystać z gotowego pakietu dokumentów wymaganych przez rozporządzenie RODO, gotowej umowy powierzenia przetwarzania danych osobowych lub wzoru polityki prywatności a także szablonu zgody na przetwarzanie danych osobowych z klauzulą informacyjną.

Photo by Nick Fewings on Unsplash

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Fotografie zawierające znaki towarowe – czy możliwe jest ich wykorzystywanie, czy naruszane są w ten sposób prawa wyłączne właścicieli znaków towarowych?

Jeśli jesteś fotografem albo prowadzisz blog lub sklep internetowy, na pewno zastanawiasz się czy możesz w swojej działalności wykorzystywać zdjęcia, na których widnieją również znaki towarowe innych przedsiębiorców.

Fotografując miejski zgiełk prawie niemożliwe jest uchwycenie kadru, na którym nie będzie znanych logotypów. Podczas tworzenia bloga dotyczącego tematyki beaty lub mody, sporym wysiłkiem byłoby opowiadać o nowych produktach lub trendach bez wizualizacji tego o czym piszesz, zwłaszcza, że warstwa graficzna podnosi atrakcyjność odbioru Twoich treści. A czy ciekawi Cię dlaczego sprzedając towary określonego producenta możesz opatrywać je jego znakami towarowymi? Czy tworząc stylizację do sklepu z odzieżą, możesz wykorzystywać zdjęcia, na których modelka poza Twoimi ubraniami trzyma w ręku np. torebkę ze znanym logo?

Oczywiście na to pytanie nie ma jednej prostej odpowiedzi, a każdy przypadek należy oceniać indywidualnie. Postaram się jednak przybliżyć jakie regulacje prawne mogą mieć w takich przypadkach zastosowanie.

 

Treść prawa ochronnego na znak towarowy. Zakres monopolu uprawnionego.

Pierwszym krokiem do analizy jest ustalenie zakresu prawa wyłącznego jakie przysługuje uprawnionemu ze znaku towarowego, czyli prawa ochronnego jakie uzyskuje się po pozytywnym zakończeniu procedury rejestracyjnej w urzędzie patentowym. Poprzez uzyskanie prawa ochronnego na znak towarowy właściciel tego prawa nabywa wyłączne prawo do używania znaku towarowego w sposób zarobkowy lub zawodowy na określonym terytorium.

Używanie znaku towarowego polega, np na:

  1. umieszczaniu tego znaku na towarach objętych prawem ochronnym lub ich opakowaniach (towary te należy wskazać w zgłoszeniu do urzędu patentowego),
  2. oferowaniu i wprowadzaniu tych towarów do obrotu, ich imporcie lub eksporcie oraz składowaniu w celu oferowania i wprowadzania do obrotu,
  3. oferowaniu lub świadczeniu usług pod tym znakiem,
  4. umieszczaniu znaku na dokumentach związanych z wprowadzaniem towarów do obrotu lub związanych ze świadczeniem usług;
  5. posługiwaniu się nim w celu reklamy.

To wyliczenie stanowi jedynie przykładowy sposób używania znaku towarowego przez uprawnionego. Używanie znaku towarowego może przejawiać się w innych formach np. poprzez umieszczanie go w adresie strony internetowej albo posługiwanie się nim w celu oznaczania swojego przedsiębiorstwa. Istotne jest to, że znak towarowy jest używany w sposób:

  • zarobkowy –    czyli działanie, którego zamierzonym rezultatem jest uzyskanie korzyści majątkowej, nie jest istotne czy ta korzyść majątkowa została osiągnięta czy właściciel znaku na nim “zarobił”;
  • zawodowy – jest związany z wykonywaniem zawodu niezależnie od tego czy jest nakierowany na uzyskiwanie korzyści majątkowej; korzystanie zawodowe zawsze bowiem wiąże się z pośrednim lub bezpośrednim zaspokajaniem potrzeb innych osób w związku z prowadzoną działalnością zawodową.

Zatem, monopolem właściciela prawa do znaku towarowego (inaczej: prawem tylko jemu przysługującym) nie jest objęte posługiwanie się znakiem towarowym, które nie jest związane z prowadzeniem działalności zarobkowej czy zawodowej np. dla celów prywatnych, kulturalnych lub naukowych. Przy czym w przypadku znaków renomowanych wygląda to nieco inaczej i o tym poniżej.

Prawo ochronne na znak towarowy ograniczone jest do towarów i usług wskazanych w wykazie w zgłoszeniu do urzędu patentowego, który udzielił prawa ochronnego. Znowu wyjątek od tej zasady stanowią renomowane znaki towarowe – w tym przypadku ochrona jest znacznie szersza.

 

Wykonanie fotografii, na której znajduje się znak towarowy

Jeśli prawem ochronnym na znak towarowy objęte jest wyłączne prawo do używania znaku towarowego w sposób zarobkowy lub zawodowy na określonym terytorium, to samo wykonanie fotografii znaku w żaden sposób nie narusza  prawa uprawnionego. Utrwalając znak towarowy na fotografii nie używamy tego znaku towarowego w sposób zarobkowy lub zawodowy (ale znowu trzeba pamiętać o nieco innej regulacji dotyczącej znaków renomowanych). 

 

Wykorzystanie fotografii ze znakiem towarowym

Konsekwentnie, wykorzystanie do użytku prywatnego fotografii, na których zostały uwiecznione znaki towarowe, nie stanowi używania znaku towarowego w sposób zarobkowy lub zawodowy. Zatem, nie stanowi naruszenia prawa ochronnego na znak towarowy, np.:

    1. posiadanie takiego zdjęcia z wakacji w rodzinnym albumie,
    2. udostępnienie takiego zdjęcia na swoim prywatnym profilu w mediach społecznościowych,
    3. hobbistyczne prowadzenie bloga internetowego np. urodowego, w którym opisywane są nowinki kosmetyczne wraz z wykorzystaniem zdjęć produktów opatrzonych znakami towarowymi,
    4. rozpowszechnianie swoich zdjęć, które na elementach ubioru zawierają znaki towarowe.

Przedstawiona powyżej lista nie wyczerpuje wszystkich możliwych działań, które dotyczą użytku prywatnego znaku towarowego, czyli nie są związane w żaden sposób z działaniem zawodowym lub zarobkowym.

 

Wyczerpanie prawa do znaku towarowego

Omawiając zagadnienie wykorzystywania zdjęć ze znakami towarami nie sposób pominąć kwestii dotyczącej wyczerpania prawa do znaku towarowego. Do wyczerpania prawa ochronnego na znak towarowy dochodzi w momencie wprowadzenia towaru do obrotu przez uprawnionego oznaczonego znakiem towarowym. Dzięki wyczerpaniu prawa można handlować towarem oznaczonym danym znakiem towarowym. Należy pamiętać, że dotyczy to towarów wprowadzonych na polski rynek jak i rynek Europejskiego Obszaru Gospodarczego (EOG) jeśli takie rynki wybrał podmiot uprawniony do znaku.

Wobec tego nie będzie stanowiło naruszenia:

    1. oferowanie w celu sprzedaży i opatrywanie tych ofert zdjęciem produktu zawierającym znak towarowy przez podmiot, który nabył uprzednio wprowadzony do obrotu towar – np. prowadząc swoją działalność w ramach portali sprzedażowych i aukcyjnych oferując klientom akcesoria i ozdoby oznaczone znakiem towarowym;
    2. import takich towarów oznaczonych znakiem towarowym, które zostały uprzednio wprowadzone na rynek przez uprawnionego lub za jego zgodą;
    3. posługiwania się znakiem towarowym w celu informowania o towarze i jego reklamy

 

Jako przykład wykorzystania znaków towarowych w sposób zarobkowy lub zawodowy z całą pewnością można wskazać:

  1. umieszczenie  na stronie internetowej swojego przedsiębiorstwa zdjęć znaków towarowych w celu zaprezentowania np. współpracy z partnerami biznesowymi – dla takiego działania niewątpliwe potrzebna jest zgoda uprawnionego, gdyż może to stanowić posługiwanie się znakiem w celu reklamy;
  2. posługiwanie się zdjęciami reklamowymi, na których poza naszym produktem widoczny jest inny produkt oznaczony znakiem towarowym – taki przykład często będzie mieć zastosowanie w branży modowej, gdzie obok reklamy własnego produktu widoczny jest obcy znak towarowy niejako “przyciągający” kupującego.

 

Uwaga na renomowane znaki towarowe 

Niestety sytuacje, w których dochodzi do wykorzystania cudzych znaków towarowych należy rozpatrywać indywidualnie w każdym przypadku. Łatwo może dojść do przekroczenie sfery dozwolonego użytku i naruszenia monopolu uprawnionego, w szczególności w przypadku renomowanych znaków towarowych. Może okazać się, że sposób posługiwania się przez znakiem towarowym stwarzał ryzyko konfuzji, czyli mylnego wyobrażenia odnośnie tego, że podmiot używający znaku towarowego jest w jakikolwiek sposób powiązany z producentem posługującym się znakiem.

Dopuszczalność wykorzystania znaków towarowych w celu reklamy wcześniej wprowadzonych do obrotów towarów, które zostały nimi oznaczone, może być ograniczona, jeżeli sposób reklamowania i informowania o towarze szkodzi reputacji objętego ochroną znaku. Reklama i sposób prezentacji produktu powinna zawsze podlegać ocenie. Zgodnie z orzecznictwem zagrożenie naruszenia renomy może być podstawą sprzeciwu uprawnionego ze znaku towarowego, ale należy pamiętać o konieczności zachowania odpowiedniego balansu pomiędzy prawami uprawnionego ze znaku a interesami sprzedawcy, który jest uprawniony do sprzedaży towarów używając metod reklamy, które są zwyczajowo przyjęte w danym sektorze.

Trybunał Sprawiedliwości UE (TSUE) wskazał, że „istotne szkodzenie renomie znaku mogłoby zaistnieć wówczas, gdyby sprzedawca nie podjął starań o to, aby znak towarowy nie pojawił się w jego prospekcie reklamowym w otoczeniu mogącym w sposób istotny spowodować uszczerbek w renomie, jaką uprawniony zamierzał zbudować dla swojego znaku towarowego.”[1] TSUE podniósł również, że na uprawnionym spoczywa obowiązek wykazania, że poprzez używanie znaku doszło do wyrządzenia szkody renomie tego znaku.

Wykorzystanie zdjęcia ze znakiem towarowym może nie tylko stanowić naruszenie prawa ochronnego na znak towarowy, ale także być czynem nieuczciwej konkurencji. W zależności od sytuacji może dojść do:

    1. wykorzystywania w nieuczciwy sposób renomy znaku towarowego albo
    2. innego działania sprzecznego z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta.

Katalog czynów nieuczciwej konkurencji jest otwarty i próba żerowania na renomie cudzej marki stanowi czyn nieuczciwej konkurencji.

 

Pamiętaj o prawie autorskim

Znak towarowy, który chcesz uwieczniony na fotografii może podlegać nie tylko ochronie wynikającej z przepisów prawa własności przemysłowej, ale także z przepisów ustawy o prawie autorskim i prawach pokrewnych. Znaki graficzne, multimedialne, stanowiące wzory mogą być utworami w rozumieniu prawa autorskiego. W takim przypadku zakres ochrony znaku jest kumulatywny, czyli chroniony jest na gruncie obu tych regulacji: prawa autorskiego i prawa własności przemysłowej.

Uprawnionemu do danego utworu będącego również znakiem towarowym przysługuje wyłączne prawo do korzystania z utworu i rozporządzania nim na wszystkich polach eksploatacji oraz do wynagrodzenia za korzystanie z utworu. Co za tym idzie, rozpowszechnianie np. na blogu zdjęć, na których uwidocznione są znaki towarowe może być naruszeniem prawa uprawnionego pomimo, że na gruncie omówionej regulacji wynikającej z przepisów prawa własności przemysłowej do naruszenia by nie doszło.

W ustawie o prawie autorskim i prawach pokrewnych (upapp) zostały zawarte wyjątki, umożliwiające korzystanie z cudzego utworu, które mogą mieć zastosowanie w przypadku fotografii ze znakami towarowymi stanowiącymi utwory, takie jak:

  1. prawo cytatu (art. 29 upapp) – wolno przytaczać w utworach stanowiących samoistną całość urywki rozpowszechnionych utworów oraz rozpowszechnione utwory plastyczne, utwory fotograficzne lub drobne utwory w całości, w zakresie uzasadnionym celami cytatu; oznacza to, że możliwe jest wykorzystanie takiego utworu (będącego także znakiem towarowym) ale jedynie w celach takimi jak wyjaśnianie, polemika, analiza krytyczna lub naukowa, nauczanie lub związanych z prawami gatunku twórczości – czyli w przypadku wielu fotografii nie będzie możliwe powołanie się na ten wyjątek 
  2. niezamierzone włączenie utworu do innego utworu (art. 292 upapp) – wolno w sposób niezamierzony włączyć utwór do innego utworu, o ile włączony utwór nie ma znaczenia dla utworu, do którego został włączony – czyli dopuszczalne są sytuacje, gdy znak towarowy będący utworem znajduje gdzieś w tle zdjęcia i stanowi nieistotny szczegół całej fotografii.

 

 

Zależy Ci na możliwość wykorzystywania zgodnie z prawem znaku towarowego innego przedsiębiorcy? Możesz skorzystać z naszego wzoru umowy licencji na znak towarowy. Jeśli nie masz pewności czy w sposób dozwolony wykorzystujesz fotografie z cudzymi oznaczeniami – skorzystaj z e-porady prawnej. Pomożemy Ci ustalić czy Twoje działania nie naruszają praw właścicieli znaków towarowych.

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na https://lgl-iplaw.pl/warto-wiedziec/

[1] Wyrok TSUE z dnia 4.11.2997 r. C-337/95, Christian Dior v. Evora BV, pkt 47.