Internet Rzeczy – raport prawny

Jakiś czas temu pisałem o moim referacie konferencyjnym „Perspektywy Internetu Rzeczy w świetle regulacji prawnych” (Warszawa, 14.10.2015). Przypominam o możliwości ściągnięcia tutaj bezpłatnego raportu prawnego dotyczącego przedmiotowej kwestii.

podziekowania

Perspektywy Internetu Rzeczy

W dniu 14.10.2015 r. w Warszawie w czasie konferencji będę miał okazję powiedzieć kilka słów nt. perspektyw Internetu Rzeczy w świetle regulacji prawnych. Aby nie przeciążać swojego referatu informacjami prawnymi, ale też aby pozostało z niego coś konkretnego, przygotowałem z tej okazji pisemne opracowanie „Perspektywy Internetu Rzeczy :: Raport Prawny”.

Zachęcam zatem do pobrania bezpłatnego opracowania w postaci pliku PDF (kliknij w obrazek, aby otworzyć lub pobrać).

InternetRzeczy

Beacony – mały test praktyczny apki polskiej firmy

Na wstępie zaznaczę, że każda krajowa firma wykorzystująca beacony w relacjach z potencjalnymi klientami zasługuje na pochwałę i uznanie. Zwłaszcza jeśli jest to sklepem w galerii handlowej, ponieważ tym samym bierze on na swoje barki ciężar popularyzacji beaconów. Takie firmy w gruncie rzeczy są pionierami w tej dziedzinę – mają szanse na wybicie się, ale też ponoszą duże ryzyko porażki.

Miałem okazję wypróbować apkę polskiego sklepu wykorzystującego beacony. W mojej ocenie zastosowane rozwiązanie jest zbyt mało atrakcyjne dla klienta. Poza tym jest zbyt kłopotliwe. Trzeba być zalogowanym, a w sklepie ręcznie wyszukiwać apki na telefonie i ją uruchamiać. Jedyną korzyścią dla klienta jest rabat (zresztą niewielki), ale to zbyt mało aby zachęcić. Można założyć, że w tym konkretnym przypadku dla klienta zdecydowanego na zakup w tym sklepie, to czy sklep używa beaconów będzie bez znaczenia. Z kolei niezdecydowanego nie przekona – może nawet nie będzie mu się chciało odpalić apki.

W mojej ocenie w tym przypadku niepotrzebnie zdecydowano się, jak mniemam, na profilowanie konsumentów. Żadnych z tego korzyści, ponieważ zapewne mało kto korzysta z tego rozwiązania i po prostu  nie ma kogo profilować. Rodzi to natomiast jedynie problemy prawne z ochroną danych osobowych i być może zniechęca do korzystania z apki.

Dane osobowe a dobra osobiste

Często spotykam się z utożsamianiem pojęć „dane osobowe” i „dobra osobiste”. Nie jest to całkiem błędne biorąc pod uwagę praktyczne aspekty, ponieważ najczęściej naruszenie jednego, stanowić będzie również naruszenie drugiego. Jednak z punktu widzenia prawa są to dwie odrębne kategorie. Nie przekreśla tego ich nakładanie się.

Dane osobowe chronione są mocą ustawy o ochronie danych osobowych.

Z kolei dobra osobiste chronione są przepisami Kodeksu cywilnego.

Ochrona danych osobowych krzyżuje się nie tylko z ochroną dóbr osobistych, ale często z ochroną dobrego imienia i czci (chronioną przez przepisy Kodeksu karnego) i ochroną wizerunku (chronionym przez prawo autorskie). Wspomniane regulacje ochronne z zasady nie wykluczają się. Można zatem jednocześnie korzystać z różnych podstaw ochrony, ewentualnie wybrać jedną z nich według własnego uznania.

Kiedy stajemy się przedsiębiorcami?

Internet stwarza wiele możliwości zarobkowania. Uczynienie z niego stałego źródła dochodu może spowodować zakwalifikowanie danej osoby jako prowadzącą działalność gospodarczą, a zatem będącą przedsiębiorcą. Nie ma znaczenie wola lub brak woli co do zostania przedsiębiorcą. Jeśli aktywność danej osoby wypełnia cechy działalności gospodarczej jest ona przedsiębiorcą.

Działalność gospodarczą trzeba zarejestrować. Ale rejestracja jedynie potwierdza fakt bycia przedsiębiorcą. Nawet bez rejestracji można zostać potraktowanym przez organy publiczne jako przedsiębiorca, a dodatkowo ukaranym za brak zarejestrowania działalności.

Działalność gospodarcza ma trzy cechy:

  1. zarobkowość
  2. ciągłość
  3. zorganizowany charakter

Zarobkować jest rozumiana szeroko. Obejmuje rownież otrzymywanie wynagrodzenia z reklam. Ciągłość należy rozumieć przede wszystkim jako przeciwieństwo zajęć dorywczych. Ciągłość zakłada rownież nieprzerywany charakter tej działalności, jednak wszelkie zaplanowane przerwy nie wykluczają ciagłości. Miarodajne jest jedynie celowe i ostateczne przerwanie działalności (jednak chodzi o zamiar ostateczności w chwili zaprzestawania prowadzenia działaności, co nie wyklucza zmiany zdania w tym zakresie w późniejszym terminie).

Przesłanka zorganizowania jest najciekawsza z punktu widzenia działalność internetowej. Organizacja biura lub innego zakładu pracy (nawet przeznaczonego tylko dla jednej osoby) niewątpliwie świadczy o zorganizowanym charakterze. W działalności internetowej jednak zazwyczaj nie ma biura i temu podobnych rozwiązań instytucjonych. Nie wyklucza to jednak zorganizowanego charakteru działalności, ponieważ można mówić rowniez o zorganizowani działaności jako posegregowaniu dokumentacji na dysku komputera.

Zdaje siebie sprawę, że powyższa analiza nie odpowieda na wszelkie wątpliwości. Cechy działalności gospodarczej są z zasady płynne i nie ma jasno określonych granic, kiedy zaczyna się wypełniać określoną przesłankę.

Podstawa przetwarzania danych osobowych w Internecie Rzeczy

W  przypadku Internetu Rzeczy aktualne są te same podstawy przetwarzania danych osobowych co w każdym innym przypadku. Dla Internetu Rzeczy nie ma  szczególnych regulacji w tym zakresie. W oparciu o art. 23 ust. 1 ustawy o ochronie danych osobowych można wskazać kilka sytuacji (tzw. podstaw przetwarzania), w których dopuszczalne jest przetwarzanie danych osobowych:

  1. Przetwarzanie za zgodą osoby, której dotycząca dane, przy czym:
    • zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania,
    • wyjątkiem jest usunięcie danych – wtedy nie trzeba zgody,
    • bez zgody można przetwarzać (do czasu, gdy uzyskanie zgody będzie możliwe) również kiedy przetwarzanie to jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe,
  2. Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (obecnie jednak nie sposób wskazać jakiegoś miarodajnego przepisu prawa),
  3. Przetwarzanie jest konieczne do realizacji umowy lub do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to zatem jedynie zawiązania stosunku prawnego),
  4. Przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (trudno to sobie wyobrazić w przypadku mobilnych apek),
  5. Przetwarzanie jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności:
  • marketing bezpośredni własnych produktów lub usług administratora danych;
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Specyficzna wymogi dotyczą danych wrażliwych, o czym pisałem w poprzednich wpisach.
Mając powyższe na uwadze najbardziej adekwatną podstawą do przetwarzania danych osobowych w przypadku Internetu Rzeczy jest zgoda osoby, które dane dotyczą. Nie można jednak wykluczyć rownież powołania sie na prawnie usprawiedliwione cele.

Z Endomondo na Facebooka

We wpisie „Aplikacje do biegania a dane osobowe” poruszyłem kilka kwestii dotyczących prawnych aspektów aplikacji mobilnych wspierających biegaczy.

Wskazałem tam, że jest różnica prawna czy zebrane informacje o biegu i biegaczu są tylko w telefonie, czy też trafiają na zewnętrzny serwer właściciela danej apki.

A co zatem z sytuacjami, kiedy biegacz wrzuca na Facebooka wyniki swojego biegu (ewentualnie również inne dane). Jeśli traktować te dane jako dane wrażliwe, to w takiej sytuacji dopuszczalne może być przetwarzanie tych informacji, nawet bez zgody, w oparciu o art. 27 ust. 2 pkt 8 ustawy o ochronie danych osobowych. Zgodnie z tym przypisem przetwarzanie wrażliwych danych osobowych jest dopuszczalne, jeżeli przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Takim podaniem do publicznej wiadomości jest właśnie zamieszczenia informacji na Facebooku. Trudno o dalej posunięte podanie do publicznej wiadomości.

Dwa kluczowe problemy Internetu Rzeczy

Gdyby chcieć krótko odpowiedzieć na pytanie:

Dlaczego Internet Rzeczy jest taki problematyczny z punktu widzenia prawa?

to wskazać należy dwa powody, które przewijają się w większości opracowań dotyczących Internetu Rzeczy:

po pierwsze,

W Internecie Rzeczy kontaktują się pomiędzy sobą nie ludzie, lecz maszyny.

a po drugie,

W Internecie Rzeczy dane osobowe pełnią rolę danych technicznych.

Dane zdrowotne w kontekście zakresu podmiotowego ustawy

Aby dane zdrowtne kwalifikować bądź pod art. 6 ustawy o ochronie danych osobowych (czyli regulacji mówiącej kiedy mamy do czynienia z danymi osobowymi), bądź art. 27 tej ustawy (czyli przepisy określające kiedy dane mają charakter „wrażliwy”), w pierwszej kolejności trzeba rozważyć czy podmiot przetwarzający te dane podlega pod zakres podmiotowy polskiej ustawy o ochronie danych osobowych. Dla uproszczenia wywodu, który chyba i tak prosty nie będzie, za podmiot przetwarzający uznam „właściciela” apki.

Na pewno jeśli podmiot taki ma siedzibę lub miejsce zamieszkania w Polsce to podlega pod polską ustawę o ochronie danych osobowych. Przetwarzanie danych osobowych musi również mieć związek z działalnością zarobkową, zawodowa lub służyć realizacji celów statutowych, ale zakładam, że te wymogi są zawsze spełnione, ponieważ raczej nikt nie będzie budował apki zdrowotnej kierują się innymi powodami.

Jednak nie tylko siedziba i miejsca zamieszkania określa zakres podmiotowy regulacji chroniących dane osobowe. Polskiej ustawy o ochronie danych osobowych przestrzegać muszą również podmioty mające siedzibę w państwie trzecim, czyli poza Polską, o ile przetwarzają one dane osobowe przy wykorzytsaniu środków technicznych znajdujących się na terytorium Polski. Jednak ustawy nie stosuje się jeżeli takie środki techniczne umiejscowione w Polsce służą wyłącznie do przekazywania danych. Nie jest jednak jasne co to znaczy „środki techniczne znajdujące się na terytorium Polski” oraz „przekazywanie danych”. Wątpliwości co do znaczenia tych pojęć powodują, że mając do czynienia z jakąś aplikacją, czy też szerzej systemem teleinformatycznym, nie wiadomo na 100% czy powinny przestrzegać polskich regulacji dotyczących ochrony danych osobowych.

Dla polskich przedsiębiorców kluczowe jest związanie polską ustawą w oparciu o siedzibę. Niezależnie zatem, gdzie przetwarzają dane, to z uwagi na siedzibę związani są polską ustawą o ochronie danych osobowych.