Cele RODO a realia jego wdrażania

Ostatnio sporo słychać o RODO. Właściwie można mówić wręcz o paranoi.  Nowe prawo o danych osobowych stosuje się od dnia 25 maja 2018 r. Nie umniejszam znaczenia nowych reguł. Jednak spotykane czasami głosy o rewolucji w ochronie danych osobowych uważam za przesadzone.

Stare i nowe prawo

Od razu trzeba wyjaśnić, że sytuacja wiąże się ze zmianami w zakresie przetwarzania danych osobowych. Zmianami. Nie są wprowadzane całkowicie nowe regulacje.

Na marginesie wyjaśnię, że RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Aktowi temu towarzyszy polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Ustawa ta weszła w życie, podobnie jak RODO, w dniu 25 maja 2018 r.  Co ciekawe, polska ustawa została ogłoszona w Dzienniku Ustaw w ostatniej chwili, czyli w dniu 24 maja 2018 r. Ukazuje to zatem, że stan prawny był niepewny do samego końca. Zresztą, obowiązujące przepisy też nie są całkiem jasne, zatem stan prawny wciąż oczywisty nie jest.

Wracając jednak do sedna. Wskazana polska ustawa zastąpiła ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która z kolei implementowała unijną dyrektywę. Krótko mówiąc, RODO, to kontynuacja ochrony danych osobowych, a nie przełomowe wydarzenie. Co wynika już z samej nazwy starej ustawy – dane osobowe podlegały ochronie od bardzo dawna, co więcej, na dość podobnych zasadach jak pod reżimem RODO.

Szaleństwo na punkcie RODO

Ostatnia popularność tematyki ochrony danych osobowych przełożyła się na znaczne spłaszczenie tej problematyki. Najgorsze podejście wiąże się z takim ujęciem, że wystarczy się dostosować na dzień 25 maja 2018. W sensie, że trzeba do tego czasu „załatwić” pewne formalności i dokonać określonych czynności, a potem jest już „luz”.  W efekcie takiego rozumowania, cele, które przyświecały nowemu prawu mogą zostać „rozmyte” i w ostatecznym rozrachunku niezrealizowane.

Tymczasem dokonanie nawet kompleksowego wdrożenia RODO wcale nie oznacza ostatecznego załatwienia sprawy. Ochrona danych osobowych to ciągłe zadanie. O dane trzeba dbać cały czas, a nie tylko w dniu 25 maja 2018.

Nierzadko wdrożenie RODO polega na swoistym przerzuceniu problematycznych kwestii na tych kogo dane dotyczą. Wiąże się to z kwestią faktycznego wymuszenia „zgody”. Moim zdaniem RODO powinno w niedalekiej przyszłości zostać zmienione tak, aby nie istniała możliwość „załatwienia” problematycznych zagadnień poprzez uzyskanie „zgody”. Zgoda powinna być ostatecznością, a jej wyrażenie obostrzone koniecznością spełnienia szeregu warunków. Tak aby nie można było jej wymusić. Komercyjne biznesy zaś nie powinny już obecnie być projektowane w oparciu o założenie, że uzyska się zgodę na przetwarzania danych osobowych.

Paranoja wokół RODO może również spowodować powstanie swoistego formalizmu dotyczącego danych osobowych. Formalizmu restrykcyjnego, nierozumnego i właściwie niezwiązanego z ochroną danych. Przesadna ochrona danych osobowych może doprowadzić do niezawiązana, a nawet wstrzymania realizacji, wielu projektów informatycznych. Oczywiście, jestem za wysokimi standardami ochrony danych osobowych. Jeśli projekt godzi w taką ochronę, to nie powinien być realizowany. Jednak powierzchowne wdrożenia jakie często obserwuje, w tym często jako zwykły odbiorca maili informacyjnych kierowych do klientów przez różne sklepy i portale, w gruncie rzeczy niezbyt służy o ochronie danych osobowych. Często jest to robione właśnie w duchu spełniania jakiś formalnych wymogów, a nie ze świadomością konieczności poszanowania autonomii informacyjnej jednostki.

Neutralność technologiczna

Przy okazji wprowadzenia na masową skalę Jednolitego Pliku Kontrolnego pojawiła się w pierwszej kolejności kwestia wykluczenia użytkowników innych systemów operacyjnych niż Windows. Wykluczyło to choćby użytkowników sprzętu Apple. Zaistniał zatem problem neutralności technologicznej. Wyraźnie należy zaznaczyć, że neutralność technologiczna nie jest nowością, lecz ugruntowanym zagadnieniem prawnym.

Wracając do Jednolitego Pliku Kontrolnego – w ostatnim momencie zdecydowano jednak zmienić podejście i nie tylko Windows nie był już konieczny, ale nawet nie trzeba było posiadać kwalifikowanego podpisu elektronicznego lub profilu zaufanego (zob. moje dwa poprzednie wpisy na temat Jednolitego Pliku Kontrolnego: „Jednolity Plik Kontrolny” i „Zmiany w JPK”). Wprowadzono nawet specjalne regulacje, aby to umożliwić. Minister Finansów wydał rozporządzenie z dnia 2 lutego 2018 r. zmieniające rozporządzenie w sprawie sposobu przesyłania za pomocą środków komunikacji elektronicznej ksiąg podatkowych oraz wymagań technicznych dla informatycznych nośników danych, na których te księgi mogą być zapisane i przekazywane (Dz. U. z 2018 r., poz. 304).

Niniejszy wpis nie będzie jednak dotyczył jednak już tylko Jednolitego Pliku Kontrolnego, ale neutralności technologicznej w ogólności. Odwołałem się do Jednolitego Pliku Kontrolnego, ponieważ dobrze obrazuje obecny stan rzeczy.  A nadto jest to „świeży” temat.

Neutralność technologiczna w prawie

Neutralność technologicznie jest prawnie zdefiniowana, zatem nie jest to tylko idea, lecz konkretnym kryterium oceny zgodności z prawem rozwiązań informatycznych.

Definicje zawiera ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r., poz. 570).

W myśl art. 3 pkt 19 tej ustawy neutralność technologiczna to zasada równego traktowania przez władze publiczne technologii teleinformatycznych i tworzenia warunków do ich uczciwej konkurencji, w tym zapobiegania możliwości eliminacji technologii konkurencyjnych przy rozbudowie i modyfikacji eksploatowanych systemów teleinformatycznych lub przy tworzeniu konkurencyjnych produktów i rozwiązań.

Zapomniana regulacja

Co ciekawa, neutralność technologiczna była częstym przedmiotem rozważań w czasach w zasadzie jednolitych standardów informatycznych. Jeszcze nie tak dawno przecież sprzęt applowski był w Polsce rzadkością. Niepodzielnie królował Windows. Ja pamiętam nawet czasy kiedy rozważania dotyczące neutralności technologicznej ogniskowały się wokół możliwości oparcia informatyzacji podmiotow publicznych na formacie PDF, w takim rozumieniu czy wymaganie tego formaty nie byłoby przekroczeniem granic neutralności technologicznej. Nie myślano wtedy nawet o Windowsie jako wyłącznie dopuszczalnym systemie operacyjnym.

Dziś jednak, mam przynajmniej takie wrażenie, że o neutralności technologicznej mówi się znacznie mniej, a nawet wcale. Jest to dość niezwykłe, ponieważ akurat w obecnych czasach przestrzeganie neutralności technologicznej jest niezwykle istotne. Ta istotność wynika z faktu, że coraz więcej rozwiązań technicznych jest narzucanych jako obowiązkowe. Brak neutralności technologicznej tworzy zaś przeszkodę w posługiwaniu się technologią. W efekcie nie jest możliwe zrealizowanie obowiązku określonego przez prawo.

Wynika z powyższego wniosek, że w okresie kiedy problematyka neutralności technologicznej była dość teoretyczna mówiono o niej wiele, ale w czasach kiedy w praktyce stała się problemem zapomniano o niej.

Orwell w Internecie

Z przyrównania świata przedstawionego przez George Orwell w powieści „1984” do współczesnej przestrzeni internetowej nie wynikają zbyt optymistyczne wnioski. Co gorsza, trzeba uwzględnić, że wizja świata, z którą utożsamia się potocznie „1984” dotyczyła niewielkiej części społeczeństwa Oceanii. Powiązanie zaś współczesnej cywilizacji z Internetem jest coraz większe (warto choćby przywołać społeczno-polityczną rolę Facebooka). Zasięg pewnych niepokojących zjawisk w cyberprzestrzeni może zatem być większy niż w orwellowskiej Oceanii.

Wielki Brat Patrzy

Zaryzykuję tezę, że przestrzeń wirtualna wydaje się być wręcz zbudowana w oparciu o te same założenie co Oceania. Pomijam nawet odwołanie się do oczywistego skojarzenia z hasłem „Wielki Brat Patrzy”. To że czynności internautów mogą być monitorowane (i są) jest powszechnienie wiadome. Zresztą co chwilę spotykać można się w Internecie z żądaniem wyrażenia zgody lub innej formy akceptacji takiego permanentnego śledzenia (co najcześciej wiąże się z zagadnieniem cookies). Znów nawiązać można do Facebooka, z którego nawet każdy użytkownik może pobrać historię swojej aktywności.

Nowomowa

Niezmiernie ciekawym wątkiem orwellowskiego świata jest tworzenie w ramach nowomowy różnych skrótów. Spełnia to w Oceanii różne cele, ale generalnie służył po prostu dezorientacji. Niestety w przypadku niektórych obecnych regulacji prawnych związanych z Internetem (bezpośrednio lub pośrednio) jest podobnie.

Za przykład może posłużyć sytuacja wokół unijnego rozporządzenia dotyczącego ochrony danych osobowych, o którym ostatnio jest „głośno”. Zazwyczaj się nim straszy, przy jednoczesnej konkretyzacji faktów sprowadzającej się jedynie do ogólnego stwierdzenia, że będą nowe obowiązki i wysokie kary. Robi się to w sytuacji kiedy nie jest jeszcze znana ostateczna wersja polskiego prawa w tym zakresie, a zatem przy braku całokształtu legislacji.

Jednak nie o to straszenie samo w sobie mi chodzi, ale o to, że króluje skrót „RODO”.

Obecnie zatem jest tak, że jak się słyszy RODO, to już każdy wie, że mają być „jakieś” obowiązki i „jakieś” kary. Choć jestem przekonany, że jednak wiedza o tym czym w ogóle jest przetwarzanie danych osobowych (i o co chodzi z ochroną danych osobowych) jest dość ograniczona. Zapewne sporo osób wciąż utożsamia ochronę danych osobowych z ochroną dóbr osobistych.

Co jednak najważniejsze, doszło do powiązania RODO jako pewnego oznaczenia, można powiedzieć tworu nowomowy, z obawami i strachem. A czasami z nadzieją na lepsze. Czyli typowy Orwell. Może kwestia nowomowy to banał w świetle innych kwestii internetowych, ale za to wymowny:)

Orwell i social media

Najciekawszym jednak zjawiskiem w zakresie analizy Orwella w Internecie są social media. Nie chodzi tylko o dwukrotnie wcześniej przywoływanego Facebooka, ale o wszelkie ich postacie. Pomijam znowu oczywistości, że to pochłaniacze czasu, czy inaczej ujmując, stali towarzysze codziennego życia, choć są to kwestie podstawowe.

Niepokojące jest przede wszystkim sterowanie przekazem, czyli selekcja informacji. Znów pomijam okoliczność, że najcześciej wiąże się to z „treściami sponsorowanymi”. Ogólnie coraz częściej jak myślę o social media, to nasuwają mi się skojarzenia z orwellowskimi teleekranami. W szczególności wskazuje na to ich wszędobylstwo.

Lem – Życie nie z tej ziemi

Niedawno przeczytałem biografię Stanisława Lema pt. „Lem. Życie nie z tej ziemi” (autorstwa W. Orlińskiego, 2017). Książka ma popularnonaukowy charakter, z naciskiem na kwestie popularne. Bardziej jest to książka o Lemie niż o jego twórczości. Jednak problematyka poszczególnych dzieł Lema również jest sygnalizowana. Nie będę jednak w tym wpisie recenzował tej biografii. Książkę na tyle szybko się czyta, że każdy sam może sobie wyrobić zdanie. Każdy sympatyk twórczości Lema zapewne z ciekawości i tak do niej sięgnie. Chciałbym jednak napisać kilka słów o Lemie w kontekście tematyki bloga.

Lem a Internet

Do twórczość Lema warto sięgnąć co najmniej z dwóch powodów. Po pierwsze, Lem sporo przewidział, w szczególności zjawiska określane przeze niego mianem Biblioteki Trionowej (dziś nazywamy to Internetem) lub fantomatyki (rzeczywistość wirtualna). Nazwy wymyślone przez Lema jednak nie upowszechniły się. Miał zatem on mniej szczęścia niż choćby czeski pisarz Karel Capek, którego uważa się za twórcę słowa „robot”.

Wracając jednak do rzeczy. Drugi powód mojego zainteresowania Lemem, to jego sceptycy stosunek do użytkowania przez człowieka różnych technologii, w tym Internetu (odsyłam do mojego wpisu „Wykluczenie i zniewolenie cyfrowe”). Słynne są też jego współczesne (pozaksiążkowe) krytyczne wypowiedzi o Internecie.

Moja pierwsza książka Lema

Pierwsza przeczytana przeze mnie książka Lema to „Golem XIV”. Nie wiem dlaczego akurat ją przeczytałem jako pierwszą. Być może była po prostu łatwo dostępna. Raczej nie był to wybór wykalkulowany. Gdybym dokładnie zapoznał się wcześniej z rankingiem (i opisem) książek Lema, to zapewne wybór padłby w pierwszej kolejności na „Summa technologiae”. Jednak zacząłem właśnie od „Golem XIV” i w gruncie rzeczy ta właśnie książka rzutowała na resztę przeczytanych przeze mnie książek Lema.

Podkreślam przy tym, że „Golem XIV” to dla mnie już bardzo dawne czasy. Prawdopodobnie okres licealny. Nie był to właściwie mój pierwszy kontakt z twórczością Lema, ponieważ pamiętam, że już w podstawówce były przerabiane jego teksty. Chyba wtedy poznałem „Bajki robotów” i „Opowieści o pilocie Pirxie”. Aczkolwiek coś mi się wydaje, że w podstawówce były to jedynie fragmenty przedrukowane do podręcznika, a nie osobne książki jako lektury (jestem prawie pewny, że tak było z Bajkami, a jak było z Pirxie to już nie pamiętam).

W każdym jednak razie, z dzisiejszego punktu widzenia, ciekawym zbiegiem okoliczności jest, że pomimo dawnego (raczej) przypadkowego wyboru „Golem XIV”, poruszane przeze mnie dzisiaj w pracy naukowej zagadnienia korespondują z tym o czym był „Golem XIV”. W wielkim uproszczeniu chodzi o sztuczną inteligencję. Odsyłam do mojej publikacji „Perspektywy wykorzystania sztucznej inteligencji w postępowaniu sądowym” oraz do wpisu „Elektroniczny sędzia”. Od razu jednak zaznaczam, że nie uważam, aby były związki pomiędzy tym co napisałem w tym ostatnim wpisie z tym o czym jest „Golem XIV”.

Wykluczenie i zniewolenie cyfrowe

Około 10-15 lat temu wiodącym problemem informatyzacji podmiotów publicznych był problem wykluczenia cyfrowego. Wiązał się on również z planami rozwijania elektronicznej gospodarki. W obecnych zaś czasach problem jest już jednak nie wykluczenie, lecz zniewolenie cyfrowe. Nie oznacza to, że nie ma obecnie osób wykluczonych cyfrowa, lecz dominuje kwestia zniewolenia cyfrowego.

Od wykluczenia do zniewolenia cyfrowego

Nastąpiło zatem przesuniecie się sedna problemu z jednej skrajności (wykluczenie cyfrowe pewnej części społeczeństwa) w drugą (zniewolenie cyfrowe innej części społeczeństwa). Kwintesencja problemu jest taka sama – niewłaściwe obycie z technologią. Niestety wydaje się, że różnego typu konsekwencje są znacznie bardziej groźniejsze w przypadku zniewolenia cyfrowego.

Współczesne zniewolenie cyfrowe

W kontekście zniewolenia cyfrowego nie mówię jedynie o korzystaniu z Internetu dla rozrywki, lecz o zawierzaniu technologii w sprawach życia codziennego i zawodowego. Zagadnienie to było już faktycznie przedmiotem kilku spraw sądowych. Zniewolenie cyfrowe to zatem również problem prawny. Jednak legislacja raczej go nie dostrzega. Przeciwnie, nowe regulacje zwiększają rolę technologii. W znacznym zakresie zniewolenie cyfrowe jest pochodną przetwarzania danych osobowych.

Technologia w orzecznictwie sądowym

Wspomnę tylko o jednym orzeczeniu sądowym, w którym dano wyraz uzależnieniu od technologii – uchwały Sądu Najwyższego z 4.06.2009 r. o sygnaturze III CZP 33/09 (dodam od razu, że ostatecznie sprawa skończyła się prawidłowo, a problemy pojawiły się na etapie, gdy sprawa była w sądzie powszechnym). Wybieram tylko jedno orzeczenia, ponieważ jest ona dla mnie ważne z dwóch powodów. Jest to pierwsze orzeczenie sądu polskiego, które poruszyło ten problem, a nadto jest to orzeczenie, do którego napisałem swoją pierwszą w zyciu glosę, a zatem jestem z nim emocjonalnie związany (namiary na glosą: Ł. Goździaszek, „Wykonawcza rola systemu informatycznego Krajowego Rejestru Sądowego – glosa do uchwały SN z 4.06.2009 r. (III CZP 33/09)”, Glosa 2010, nr 3, s. 58-65).

Sprawa ta, ogólnie rzecz ujmując, polegała na tym, że sąd nie rozstrzygnął sprawy tak jak literalnie przewidywało prawo, lecz tak jak możliwe było wykonanie orzeczenia w systemie teleinformatyczny obsługującym rejestr sądowy. Nie wnikając w dalsze szczegóły tej sprawy (odsyłam tutaj to tego orzeczenia i mojej glosy), to podkreślić chciałabym, że właśnie mamy w takim przypadku do czynienia ze zniewoleniem cyfrowym. Przecież to nie ludzie (i prawo) powinni się dostosować do systemów teleinformatycznych, ale systemy do ludzi (i prawa). Jeżeli system uniemożliwia wykonanie czegoś, co musi być dokonane, a nawet obowiązkowo musi być wykonane, to trzeba ten system komputerowy, zmodyfikować tak, aby to umożliwić. Nie można poprzestawać na tym co umożliwia aktualna wersja systemu teleinfortycznego.

Związanie technologiami

Na zakończenie dodam, że sam również w coraz większym stopniu polegam na technologii. Mam tego świadomość, jak też zdaję sobie sprawę z zawodności tej technologii, a tym samym uwzględniam ryzyko jej niedziałania. Przykładowo, mój plan dnia jest całkowicie uzależniony od elektronicznego kalendarza. Szeroko rozumianego kalendarza, który nie tylko zawiera dat, godzin i miejsc spotkania, ale też sugeruje mi czas niezbędny na dotarcie na miejsce.

Monitoring sąsiedzki

W poprzednim wpisie poruszyłem kwestię monitoringu sklepowego. Nie jest to jednak jeszcze temat dostatecznie dobrze rozpoznany przez doktrynę i judykaturę. Co innego monitoring sąsiedzki. Sądy już kilkakrotnie zajmowały się pozwami wniesionymi przez osoby, które miały poczucie naruszenia ich dóbr osobistych przez sąsiada, który zainstalował monitoring. Oczywiście chodzi o sytuację kiedy monitoring sąsiedzki został tak zamontowany, że obejmował część posesji sąsiada lub choćby dojazd do ich posesji.

W tym wpisie będę odwoływał się jedynie do dwóch wyroków sądowych:

  • wyroku Sądu Apelacyjnego w Warszawie z 17 sierpnia 2016 r. (sygnatura akt: VI ACa 839/15),
  • i wyroku Sądu Apelacyjnego w Krakowie z dnia 28 maja 2014 r. (sygnatura akt: I ACa 184/14).

Monitoring sąsiedzki jest jednak przedmiotem również wielu innych spraw sądowych. Przywołuje tylko te dwa wyroki jako najbardziej reprezentatywne. Nadto są to roztrzygnięcia już prawomocne.

Zakazanie nagrywania przez sąd

W obu przytoczonych wyrokach sądy uznały, że poprzez stały monitoring sąsiedzki, obejmujący część posesji innych osób, doszło do naruszenia prawa do prywatności, a tym samym naruszenia dóbr osobistych, o jakich mowa w art. 23 i 24 Kodeksu cywilnego. Dodatkowo w sprawie o sygnaturze VI ACa 839/15 sąd wskazał, że oprócz prawa do prywatności naruszono również prawo do wizerunku (jako kolejne dobro osobiste).

Zdaniem obu sądów, powoływanie się pozwanego na względy bezpieczeństwa nie uzasadnia stałego monitorowania życia sąsiadów. Słuszne podejście. Bezpieczeństwo jest oczywiście ważne, ale, co częściowo wynika z tych wyroków, dbanie o swoje bezpieczeństwo nie może obywać się kosztem naruszania dóbr osobistych sąsiadów. Zwłaszcza, że to nie w obawie przed działaniami sąsiadów instaluje się monitoring sąsiedzki. W sprawie VI ACa 839/15 pojawił się przy tym ciekawy wątek, że sąsiad – właściciel monitoringu, powoływał się na konieczność funkcjonowania monitoringu w celu zapewnienia bezpieczeństwa, ale nie przeszkadzało mu, w kontekście dbałości o swoje bezpieczeństwo, że nie miał pełnego ogrodzenie swojej posesji:)

Co warto podkreślić, sądy (odwołuję się tutaj bezpośrednio do sprawy VI ACa 839/15) zakazywały rejestrowania za pomocą kamer:

  • obrazu budynku i posesji sąsiada,
  • a także wizerunku sąsiadów i innych osób przebywających w wyżej wymienionym budynku i na posesji.

Sądy nie nakazywały zatem demontażu monitoringu. Jest to słuszne, bo nie byłoby ku temu podstawy prawnej. Zakaz dotyczy jedynie nagrywania posesji sąsiadów. Kto chce zatem instalować monitoring, powinien tak ukierunkować kamery, aby obejmowały wyłącznie własną posesję. Nie powinny również, jak się wydaje, obejmować części wspólnych, przykładowo drogi wewnętrznej, chyba że wszyscy sąsiedzi wyrażą na to zgodę.

Zadośćuczynienie za monitoring sąsiedzki?

Nie jest wykluczone otrzymanie zadośćuczynienia pieniężnego za monitoring sąsiedzki. Jednak znacznie trudniej uzyskać zadośćuczynienie niż sądowy zakaz nagrywania. Podstawą prawną będzie art. 448 Kodeksu cywilnego. W wyżej przywołanej sprawie o sygnaturze VI ACa 839/15 sąd zasądzić 5000 zł zwadouśćuczunienia za monitoring od sąsiada (choć powodowie żądali 10000 zł). Z kolei w sprawie I ACa 184/14 sąd odmówił zasądzenia zadośćuczynienia (tutaj powodowie żądali 20000 zł).

Monitoring sklepowy

Niedawno przewinęła się przez media informacja, że jeden z sieciowych sklepów zainstalował przy kasie kamerę służącą rozpoznawaniu płci i wieku klientów. Informacje w tym zakresie były zdawkowe, zatem trudno odnieść się konkretnie i precyzyjnie do tej sprawy. Warto jedynie wskazać, że przy stosowaniu takiego rozwiązania trzeba zachować wysoką ostrożność prawną. Monitoring, w tym monitoring sklepowy, jest kontrowersyjnym zagadnieniem prawnym. Przede wszystkim dwie kwestie będą wyznaczały ramy prawne dopuszczalności używania monitoringu:

  • ochrona danych osobowych
  • i ochrona dóbr osobistych.

Monitoring sklepowy a ochrona danych osobowych

Odnoście do ochrony danych osobowych trzeba w pierwszej kolejności wskazać, że wizerunek osoby może być daną osobową. W sprawie dot. kamer przy kasach chodziło jednak nie tylko o nagrywanie. Utrwalony wizerunek służył do przypisania danej osobie konkretnych właściwości. Wiemy, że chodziło o rozpoznawania płci i wieku. Na marginesie warto dodać, że płeć i wiek nie są wrażliwymi danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych. Wracając jednak do sedna. Nawet jeśli nagrania nie są przechowywane, to jednak choć przez krótką chwilę są one wykorzystywane do określenia płci i wieku. Uważam, że to wystarczy, aby w pełnym zakresie stosować ustawę o ochronie danych osobowych. Innymi słowy, usunięcie nagrań po ich wykorzystaniu nie anuluje ochrony jaka trwała w chwili zbierania, a potem na potrzeby określenie wieku i płci.

Mamy dość dobre prawo chroniące dane osobowe. Nie jest wprawdzie idealne, lecz rzeczywiście służy ochronie danych osobowych. Niestety bardzo często spotkam można się z uproszczoną interpretacją regulacji o ochronie danych danych, tj. taką jaka być może znalazłaby uzasadnienie w treści ustawy w jej brzmieniu w latach dziewięćdziesiątych. Można zatem powiedzieć, że to co byłoby zgodne z XX-wiecznym brzmieniem tej ustawy, nie jest już zgodne z jej wersją z XXI wieku.

Pomijam już okoliczność, że obecnie jesteśmy w okresie oczekiwania na rozpoczęcie stosowania unijnego rozporządzenia o ochronie danych osobowych (tj. rozporządzenie Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).

Monitoring sklepowy o ochrona dóbr osobistych

Jednak nawet dopełnienie wymogów związanych z ochroną danych osobowych nie zwalnia z odpowiedzialności za naruszenie dóbr osobistych. Wydaje się, że monitoring sklepowy można oceniać przez pryzmat analogicznych sytuacji związanych z monitoringiem sąsiedzkim. Jest już kilka orzeczeń sądowych na ten temat. Napisze o nich chyba w kolejnym wpisie. W każdym razie, odwołać należy się zatem do ochrony prywatności i wizerunku. Podstawą prawną będzie art. 23 i 24 Kodeksu cywilnego. W mojej ocenie, nie można wykluczyć że zaistnieją sytuacje, w której klienci sklepów mogliby powołać się na naruszenie ich dóbr osobistych poprzez nagrywanie ich w czasie zakupów. Zwłaszcza jeżeli jest to działanie stałe (a nie jednostkowe), a sklep wyraźnie nie poinformował o nagrywaniu.

Rozplątując sieć: prawo wobec rozwoju technologii

Prowadzony przeze mnie blog „Prawo Internetu” objął patronatem medialnym, organizowaną przez Europejskie Stowarzyszenie Studentów Prawa ELSA Warszawa, konferencję pt. „Rozplątując sieć: prawo wobec rozwoju technologii”.

Konferencja odbędzie się w dniu 6 marca 2017 roku o godzinie 17:00, w sali nr 200 Budynku Zarządu Samorządu Studentów Uniwersytetu Warszawskiego przy ul. Krakowskie Przedmieście 26/28 w Warszawie.

Pierwszy panel konferencji dotyczył będzie aplikacji mobilnych. Poruszone zostaną kwestie wymogów, jakie muszą spełniać programy wprowadzane na rynek, a także problematyka aplikacji prawniczych oraz takich takich jak Uber czy PokemonGo.

Drugi panel konferencji poświęcony będzie przestępstwom i naruszeniam przetwarzania danych osobowych w sieci, w tym zagadnienie nienawiści w sieci, kradzieży tożsamości i nielegalnego przetwarzania danych osobowych.

Zapraszam!

Czy warto stosować umowy Agile?

W mojej ocenie warto opierać na umowach Agile przy wdrożeniach, zarówno tych dużych, jak i małych. Chyba nawet przy takich mniejszych i średnich jest szersze pole do skorzystania z dobrodziejstw umów Agile, ponieważ jest większa swoboda przy ustalaniu treści kontraktu. Na większe wdrożenia najczęściej ma wpływy szereg czynników zewnętrznych, co znacznie ogranicza zakres swobody kontraktowej pomiędzy stronami.

Krótko mówiąc, w dużych wdrożeniach, zazwyczaj jedna ze stron umowy ma narzucone, przynajmniej częściowo, wymagania lub warunki. W efekcie przy takich wdrożeniach umowa Agile musi posiadać niektóre elementy tradycyjnych umów wdrożeniowych. Inaczej na to patrząc, można również powiedzieć, że przy małych wdrożeniach umowy Agile są niepotrzebne, ponieważ posłużenie się tradycyjną umową jest wystarczające, nawet jeśli projekt prowadzi się w myśl filozofii Agile, gdyż w mniejszych projektach jest więcej możliwości dokonywania częstych zmian w kontrakcie. Może tak być. Ale jeśli można również wtedy posłużyć się lepszym typem umowy, to dlaczego tego nie zrobić od razu?

W tym miejscu drobne wtrącenie odnośnie samego rozumienia Agile. Moje uwagi dotyczą tzw. umowy Agile. Patrzę zatem na Agile przede wszystkim w kontekście prawa. Ale to wciąż chodzi o Agile. Nie chcę w tym wpisie zachęcać do metodologii Agile (choć uważam, że jest najlepsza, w każdym razie ja w pewnym sensie tak mam zorganizowaną swoją pracę zawodową), lecz zwrócić uwagę na konieczność specjalnego potraktowania obsługi prawnej, jeśli już zdecydowano się na taką filozofię wdrożenia. Innymi słowy, może się rodzić wątpliwość czy jest sens angażowania w środków w tworzenia specjalnej umowy Agile, skoro może wystarczyć zwykła umowa wdrożeniowa, pomimo że wdrożenia realizowana jest w myśl metodologii Agile.

Według mnie przede wszystkim trzy argumenty przemawiają za umowami Agile:

  1. Pozwalają zrealizować wdrożenie w sposób w najwyższym stopniu satysfakcjonujący obie strony. Umowa zawsze jest kompromisem, ale przy tradycyjnych umowach stronie silniejszej łatwiej narzucić swoje rozwiązanie, co jest konsekwencją okoliczności, że ta zazwyczaj taka strona przedstawia draft umowy, w którym niezbyt jest co zmieniać. W umowach Agile przygotowanie draftu wyłącznie przez jedną ze stron jest z zasady utrudnione i w pewnym sensie niemożliwe, ponieważ jeśli strony nie są w stanie na wstępie współpracy wypracować w drodze kompromisu kontraktu, to niezbyt dobrze wróżyłoby to prowadzeniu projektu w myśl filozofii Agile.
  2. Zapisy w tradycyjnycm umowach to często pustosłowie, a jak rodzi się konflikt, to okazuje się, że jednak jedna ze stron w sposób wcześniej „niewyobrażalny” wykorzystuje zapisy na swoją korzyść. W umowach Agile wprawdzie również musi być sporo treści, ale trzeba się w nich kierować konkretami. Czasami spotykam się również z sytuacjami, że dla stron umowy jakieś postanowienie wydaje się jasne, tymczasem dla mnie jest to, jak wspomniałem, pustosłowie, gdyż po głębszym zastanowieniu mógłbym je interpretować na wiele sposobów.
  3. Skutkiem ewentualnego niezrealizowania umowy Agile niekoniecznie musi być wieloletni spor sądowy (połączony z położeniem całego projektu), lecz wymiana kontrahenta na lepszego, połączona z wzajemnych, ale realnym. rozliczeniem się dotychczasowych stron.

Osobiście podoba mi się również w filozofii Agile rola prawnika, która nie jest marginalizowana do minimalizacji ryzyk prawnych na wypadek sporów, ale koncentruje się na doradztwie, czasami bardzo aktywnym, co do ułożenia zasad współpracy pomiędzy stronami. Tym samym jest to prewencja.

Z mojego doświadczenia wynika, że najczęściej główni aktorzy projektu (podmiot biznesowy i podmiot developerski) nie rozumieją się wzajemnie i w pewnym sensie uważają, że ich udział jest kluczowy. Takie wzajemne niezrozumienie prowadzi zazwyczaj do powstania tzw. „obszarów niczyich”. Podmiot biznesowy uważa, że jako inicjator i sprzedawca zleca pracę podmiotowi developerskiemu (dosłownie „zleca”, co jest równoznaczne, że sam w tym zakresie niewiele robi i po prostu chciałby gotowy produkt), a z kolei podmiot developerski uważa, że wie lepiej co można, a czego nie i robi jak uważa, samemu „urealniając” potrzeby podmiotu biznesowego. W efekcie zatraca się sens projektu. Mówiąc dobitnie – sens projektu przestaje odgrywać wiodącą rolę, a zaczyna liczyć się jedynie minimalizowanie tych niedoróbek, do których można „doczepić się” z punktu widzenia zapisów umownych.

Czy dobrym pomysłem jest wypełniać umowę Agile obowiązkami w zakresie organizowania regularnych spotkań. Wydaje się, że nie. Pisanie o tych spotkaniach może często tworzyć złudzenie działania w ramach metodologii Agile, pomimo że wdrożenie faktycznie realizowane jest według tradycyjnych metod.

Na zakończenie w kilku słowach chciałem zwrócić uwagę na błędne posługiwanie się pojęciem odpowiedzialności, co dotyczy w szczególności tradycyjnych kontraktów, w mniejszym stopniu umów Agile. Nie-prawnicy posługują się nim jako synanimem słowa „kompetencja” lub „uprawnienie”. Zapisując w umowie, że ktoś jest odpowiedzialny za coś, znaczy dla nich tyle, że to jest jego działka (tym czymś ten ktoś się właśnie zajmuje). Idąc takim tokiem rozumowania, można dodać, że inne osoby nie powinny w ten obszar wkraczać, skoro ten ktoś jest za niego odpowiedzialny. Tak pojmowane pojęcie odpwiedzialności jest w świetle prawa „puste”, ponieważ nie wiąże się z nim sankcji. Dla prawnika powiedzenie, że ktoś jest odpowiedzialny np. za interfejs (ogólnie mówiąc) znaczy tyle, że jak w tym zakresie coś będzie nie tak, to osoba odowiedzialna ponosi konsekwencje niepowodzenia całego projektu, a nie tylko interfejsu.

Umowa Agile w projekcie informatycznym

Mój autorski pomysł na umowę Agile zakłada odrzucenie dotychczas stosowanych wzorców umownych przy projektach informatycznych. Tylko wtedy możliwe jest osiągnięcie realnych korzyści z filozofii Agile. Bez nowatorskiej umowy Agile stosowanie metodologii Agile może okazać się pozorne, a tym samym nie stwarzać dobrych warunków dla realizacji projektu informatycznego.

Od razu wyjaśnię, że przedstawione poniżej założenia umowy Agile mają modelowy charakter. Nie udało mi się nigdy zrealizować ich w pełni, ale staram się w tym kierunku podążać. Tak czy inaczej, moja propozycja odrzucenia tradycyjnych standardów umownych wynika przede wszystkim z dwóćh przyczyn:

  1. chce uczestniczyć, jako prawnik, jedynie w projektach, których skutkiem jest dobry produkt i jako takie są udane (to podejście chyba wiąże się z moim drugim zawodem – jako naukowiec mam satysfakcje z tworzenia czegoś nowego),
  2. zamiast uczestniczyć w sporze sądowym o niewykonanie lub nienależyte wykonanie wdrożenia, w tym w zakresie stworzenia innowacyjnego produktu, wolę obsługiwać kolejny projekt (kwestia ograniczeń czasowych – jak się robi jedno, to trzeba zrezygnować z innych rzeczy).

Fundamentalna różnica pomiędzy tradycyjną umową projektową (związaną z Waterfall) a zaprezentowanymi poniżej ramowymi warunkach umowy Agile, tkwi w całkowitej rezygnacji z wiązania skutków prawnych z ostatecznym produktem. Znaczenie mają jedynie czynności (zadania) prowadzące do ostatecznego produktu. W takim stanie rzeczy, można powiedzieć, że umowa Agile obsługuje projekt, a nie spór sądowy po niepowodzeniach projektowych. Jest to umowa na dobre czasy projektu, a nie tylko na zły okres. Taka umowa Agile ma służyć bieżącemu zarządzenia projektem, a tym samym odgrywać wiodącą rolę w jego realizacji. Nie można rzucić jej w kąt w czasie prowadzenia projektu i sięgnąć do niej dopiero jak już wiadomo, że z projektu nic dobrego nie będzie. Umowa Agile powinna być taka, że każdy uczestnik projektu powinien móc jej konkretne postanowienia przepisać wprost do swojego kalendarza. Dlatego umowa Agile nie powinna być przegadana, a w szczególności posługiwać się banalnymi unormowaniami. Z tych też względów postuluję:

  • rezygnację z tzw. słowniczka na wstępie umowy,
  • jak też likwidację jakichkolwiek załączników do umowy.

Występowanie tych elementów, choć w założeniu ma służyć klarowności, to faktycznie utrudnia posługiwanie się umową na potrzeby realizacji projektu, gdyż ulokowanie jednego zagadnienia w wielu miejscach w umowie skutkuje niezrozumiałością kontraktu. Umowa jest wtedy może jasna dla prawników, ale mniej dla wykonawców. Tymczasem zakładam, że umowa ma przede wszystkim służyć organizacji prac w projekcie.

Zawartość umowy Agile

1) Deklaracja ogólnego celu

Wprawdzie, jak wskazałem powyżej, z ostatecznym produktem nie powinny być wiązane z zasady skutki prawne, to jednak warto opisać we wstępie umowy (preambule) cel projektu, czyli wskazać do jakiego dąży się produktu. Raczej należy się posługiwać w tym zakresie potocznym językiem. Nie chodzi o opis od strony informatycznej, lecz ogólne wskazanie jak finalny produkt ma działać, czy inaczej ujmując, jakie potrzeby użytkowników ma zaspokajać.

2) Opis czynności (zadań)

Umowa Agile w proponowanym kształcie powinna składać się głównie z szczegółowego opisu czynności, które w założeniu stron umowy, potencjalnie mogą doprowadzić do stworzenia dobrego produktu. Posługuję się pojęciem opisu czynności, ale nie jest to precyzyjne określenie. Chodzi mi o swoisty zbiór zadań lub szczegółowych celów, a nie opis sposobów dojścia do tego celu (procedur służących wykonaniu zadania). Wreszcie tak ujmowany opis czynności nie musi być chronologiczny, ponieważ gdyby tak było, to mielibyśmy do czynienia z typową kaskadowością, a tym samym zbliżylibyśmy się do modelu Waterfall. Tak rozumiany opis czynności nie musi również pokrywać się z iteracjami (sprintami). Opis czynności może być od nich szerszy lub węższy. Nie jest jednak wykluczone, przynajmniej częściowe, pokrywanie się tych elementów. Zależy to od konkretnego produktu. Niezmiernie ważną kwestią jest racjonalność opisu i adekwatność konkretnych czynności dla projektu.

W mojej ocenie samo ogólne zapisanie w umowie potrzeby odbywania spotkań lub powołanie komitetów sterujących nie jest wystarczająco konkretne. Należy rozsądnie wpisywać takie rzeczy do umowy Agile, gdyż może to służyć stworzeniu iluzji posługiwania się metodologią Agile. Swoistego zamaskowania rzeczywistego działania w ramach Waterfall.

Trzeba ze spotkaniami wiązać z góry konkretne zadania. Nie chodzi o to, żeby umowa stanowiła opis ogólnej filozofii Agile, lecz ma porządkować prace w ramach danego projektu. Umowa Agile ma służyć obsłudze projektu, a zatem musi konkretyzować metodologię Agile. Kształt umowy sam powinien wymusić spotkania i współprace poszczególnych osób. Istnieje realne niebezpieczeństwo, że ogólne zadeklarowanie w umowie spotkań, doprowadzi, w trakcie projektu, do rozmycia ich znaczenia.

Najistotniejszą kwestią jest jednoznaczne powiązania z daną czynnością podmiotu (osoby) mającego ją zrealizować oraz odpowiedzialności za ewentualny brak realizacji w odpowiednim czasie. Kary w tym zakresie nie powinny być szczególnie dotkliwe, ale powinny być egzekwowane. Na pewno jednak kary muszą być instrumentem o charakterze ostatecznym, gdyż dążyć powinno się do polubownego rozwiązywania problemów, w szczególności poprzez współpracę. Ważne jest jednak, aby było jasne kiedy pojawia się widmo kary, aby stymulowało to do wczesnego podjęcie środków zaradczych. W zakresie odpowiedzialności zawsze problemem pozostanie ustalenie kto jest winny. Rozwiązania umowne w tym zakresie powinny wymuszać, aby osoba, która ma zrealizować zadanie robiła wszystko co możliwe, w celu zapobiegnięcia niepowodzeniom. Nie może zatem mieć łatwego wytłumaczenia w postaci „przerzucenia” winy na innego członka zespołu lub podmiotu.

Ktoś może powiedzieć, że w umowie Agile nie powinno być w ogóle kar, lecz dominować powinno nastawienia na współpracę i rozwiązywanie problem. Niby racja. Jednak, w jakimś miejscu kary powinny być określone. Zwracam uwagę, że w prezentowanym modelu umowy Agile, kary nie są wiązane z ostatecznym produktem. Następuje zatem ich przesunięcie na niższy poziom realizacji projektu.

3) Końcowe przepisy techniczne

Ze struktury tradycyjnej umowy wdrożeniowej warto zaadoptować na potrzeby umowy Agile tzw. przepisy końcowe. Zwłaszcza w kwestii czasu obowiązywania umowy i sposobu dokonywania jej zmian. Chodzi zatem o unormowania, które są typowe dla każdej umowy.

Zalety

Pierwszorzędna zaleta tak skonstruowanej umowy jest możliwie pełne urzeczywistnienie filozofii Agile, a tym samym wszelkie pozytywy tej filozofii można wprost przypisać umowie Agile.

Uważam, że stosowanie metodologii Agile, ale bez umowy Agile, w efekcie spowoduje, wcześniej lub później, konieczność powrotu do tradycyjnych metod pracy, w tym sposobu zarządzania projektem informatycznym. Nie bez przyczyny Waterfall określa się mianem „tradycyjnej” metodologii. Jeśli nie dba się o Agile, następuje ciąg do kierowania się przyzwyczajeniami.

Wydaje się, że proponowany model umowy zapewnia wysoki stopień elastyczności. Daje choćby możliwość łatwej zmiany podmiotu (osoby), który sobie nie radzi. Zastąpić może go ktoś lepszy. Tym samym nie jest zagrożone stworzenie finalnego produktu.

Wady

Przedstawiony kształt umowy ma również pewne wady. Jak też wskazano, samo dokonania opisu czynności jest niezmiernie czasochłonne i trudne. Wymaga od prawnika tworzącego umowę Agile nie tylko znajomości prawa, ale też posiadanie „wyobraźni” co do przebiegu projektów informatycznych. Co oczywiste, prawnik przy sporządzaniu umowy musi współpracować z innymi podmiotami zaangażowanymi w projekt. Poza tym rola prawnika nie ogranicza się wtedy do doradzania jak „gasić pożary” w projekcie, lecz konieczne jest stałe monitorowanie realizacji projektu.

Rola dokumentacji w metodologii Agile

Wprawdzie filozofia Agile zakłada odejście od generowania stosów dokumentów, to dotyczy to w szczególności dokumentacji projektowej, w tym włączanej do kontraktów. Nie oznacza to jednak, że nie ma potrzeby stworzenia kontraktu. Musi być. Ale niekoniecznie należy tworzyć go na kształt dokumentacji projektowej. Wydaje mi się, że obsługa prawna w metodologii Agile nie powinna bazować na dokumentacji projektowej w tak wielkim stopniu jak przy Waterfall. Kluczowe powinny być dokumenty przygotowane przez prawnika, a nie zespół projektowy. Koresponduje to ze wskazanym na wstępie postulatem w zakresie pozbawienia umowy jakichkolwiek załączników, lecz zamieszczanie wszystkiego w treści umowy. Precyzyjny język prawny, który z natury jest syntetyczny, świetnie nadaje do zorganizowania prac w ramach projektu.