Rozplątując sieć: prawo wobec rozwoju technologii

Prowadzony przeze mnie blog „Prawo Internetu” objął patronatem medialnym, organizowaną przez Europejskie Stowarzyszenie Studentów Prawa ELSA Warszawa, konferencję pt. „Rozplątując sieć: prawo wobec rozwoju technologii”.

Konferencja odbędzie się w dniu 6 marca 2017 roku o godzinie 17:00, w sali nr 200 Budynku Zarządu Samorządu Studentów Uniwersytetu Warszawskiego przy ul. Krakowskie Przedmieście 26/28 w Warszawie.

Pierwszy panel konferencji dotyczył będzie aplikacji mobilnych. Poruszone zostaną kwestie wymogów, jakie muszą spełniać programy wprowadzane na rynek, a także problematyka aplikacji prawniczych oraz takich takich jak Uber czy PokemonGo.

Drugi panel konferencji poświęcony będzie przestępstwom i naruszeniam przetwarzania danych osobowych w sieci, w tym zagadnienie nienawiści w sieci, kradzieży tożsamości i nielegalnego przetwarzania danych osobowych.

Zapraszam!

eGO

Kilka słów tytułem wyjaśnienia. Ministerstwo Cyfryzacji postanowiło zastąpić wyrażenie „profil zaufany” słowem eGO. Nie wiadomo jednak co ma oznaczać taka zmiana? Czy nowa nazwa zostanie wprowadzona do aktów prawnych? Czy też może eGO ma być jedynie nazwą projektową i potoczną? Pojęciem prawnym pozostać miałby zaś profil zaufany? Nie jest dla mnie też jasne czy eGO ma zastąpić całą nazwę „profil zaufany ePUAP”, czy też jedynie „profil zaufany”? A zastąpione ma zostać sformułowanie „podpis potwierdzony profilem zaufanym ePUAP”.

Urzędowa strona internetowa poświęcona profilowi zaufanemu nie eksponuje nazwy „profil zaufany ePUAP”, lecz „profil zaufany”. Strona ta funkcjonuje od niedawna, ale ukazuje wyraźnie zamierzenie rozdzielania ePUAPu i profilu zaufanego. Wyjaśnię przy tym, że art. 3 pkt 14 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne zawiera definicję legalną „profilu zaufanego ePUAP”. Zatem to ostatnie pojęcie jest najwłaściwsze. Przywołany przepis stanowi, że „profil zaufany ePUAP” to zestaw informacji identyfikujących i opisujących podmiot lub osobę będącą użytkownikiem konta na ePUAP, który został w wiarygodny sposób potwierdzony przez właściwy organ.

Profil zaufany ePUAP w najnowszych aktach prawnych

W ostatnim czasie regulacje związane z profilem zaufanym zostały podane lekkiemu liftingowi w związku z uchwaleniem polskiej ustawy dostosowującej prawo polskiego do unijnego rozporządzenia eIDAS (zob. m.in. mój wpis: ”Polska ustawa o usługach zaufania”). Nie były to zmiany głęboko merytoryczne. Raczej redakcyjne. Niemniej akurat w przypadku profilu zaufanego można doszukać się w nowelizacji roztrzygnięcia istotnej kwestii dotyczącej profilu zaufanego ePUAP. Mianowicie, że podpis potwierdzony profilem zaufanym ePUAP to podpis elektroniczny, a konkretnie „zwykły” podpis, czyli ani nie zaawansowany, ani nie kwalifikowany.  Wynika to z nowego brzmienia art. 3 pkt 15 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

eGO w prawie

Nazwa „profil zaufany” nie była doskonała. Wprawdzie już się z nią oswoiłem, to jednak w chwili jej powstania kilka lat temu również wydawała mi się niezbyt dobra jako mało zrozumiała. Dziś jednak uważam, że jest nawet dość adekwatna. Zwłaszcza po wyraźnym rozdzieleniu ePUAPu od profilu zaufanego ePUAP. Jednak w przepisach prawnych ta nazwa „trzeszczy”. Regulacje posługują się długą i niezrozumiałą konstrukcją słowną „podpisu potwierdzonego profilem zaufanym ePUAP”. Zastąpienie tego przydługiego wyrażenia czymś bardziej jasnym byłoby pożądane. Ciekawe tylko czy byłaby to zmiana na podpis potwierdzony eGO, czy też byłoby powiedziane o komunikacji za pośrednictwem eGO bez wskazywania na podpis?

mDokument

Już na wstępie zaakcentuję, że moim zdaniem obecne działania z zakresu informatyzacji podmiotów publicznych powinny koncentrować się na ulepszaniu ePUAPu i profilu zaufanego ePUAP (eGO). W takim stanie rzeczy, elektroniczny dokument tożsamości (eID), określany ostatnio jako mDokument, powinnien być jedynie funkcjonalnością ePUAPu lub profilu zaufanego ePUAP. Nie chodzi jednak o trzymanie się obecnej nazwy lub konstrukcji ePUAPu. Celem powinno być uczynienie konkretnego rozwiązania wiodącym (centralnym) i jako takim standardowym dla informatyzacji. W efekcie wszystkie inne instrumenty informatyczne powinny być temu rozwiązaniu podporządkowane. Ewentualnie jedynie uzupełniać je o dodatkowe właściwości.

Nie jestem fanem ePUAPu, ale uważam że koncepcja, która przyświecała jego powstaniu, była i jest dobra. Poza tym to rozwiazanie już działa. Szkoda byłoby je całkowicie zlikwidować i tworzyć od początku inne. Nie wyklucza to jednak radykalnych modyfikacji dotychczasowych rozwiązań. Poza tym trzeba pamiętać o potrzebie przyszykowania systemu identyfikacji, który mógłbym zostać systemem notyfikowanym w rozumieniu unijnego rozporządzenie eIDAS (zob. m.in. mój wpis z maja 2016 r.: „Systemy identyfikacji elektronicznej w eIDAS”).

Obecne dokumenty a mDokument

Zastąpienie konieczności noszenia przy sobie papierkowych lub plastikowych dokumentów tożsamości przez posiadanie w telefonie komórkowym ich cyfrowych odpowiedników (mDokument) jest ciekawym pomysłem. Jest to przy tym rozwiazanie znane z obrotu gospodarczego. Już od dość dawna rożnego typu karty lojalnościowe, a ostatnimi czasy również karty kredytowe, można nosić w telefonie zamiast w tradycyjnym portfelu. Osobiście chciałbym tak przechowywać również dokumenty tożsamości. Dla mnie rownież noszenie sterty dokumentów jest kłopotliwe. Zwłaszcza samochodowego dowodu rejestracyjnego, który jest wyjątkowo mało poręczny:)

Niezależnie od przedstawionych ogólnych pozytywów dotyczącego mDokumentu, dostrzegam kilka mankamentów. Przede wszystkim nie jest dla mnie jasne na jakie problemy prawne odpowiedź stanowi stworzenie mDokumntu. Raczej nie jest on planowany jako system identyfikacji elektronicznej. Wydaje się, że ma służyć wyłącznie załatwianiu spraw w realu. Obawiam się jednak, że tak jak obecnie niechętnie wykorzystuje się do załatwiania spraw urzędowych elektroniczne kanały komunikacji, tak podobnie będzie w przypadku mDokumentu.

Co najważniejsze. W obecnych czasach nie jest oczywisty obowiązek posiadania dokumentu tożsamości. Można sobie wyobrazić przecież następujące rozwiązanie:

  • w razie potrzeby wykazania swojej tożsamości przed podmiotem publicznym podaje się temu organowi swoje nazwisko lub numer PESEL,
  • następnie podmiot ten sam weryfikuje tożsamość w swojej bazie, np. powiązanej z bazą PESEL.

Dokument tożsamości, w tym mDokument, nie jest do tego potrzebny.

Nadto wyłania się kwestia kompleksowości mDokumentu. Najlepszym przykładem jest już przywołany samochodowy dowód rejestracyjny. Jeśli wciąż istnieć będzie konieczność noszenia papierowego samochodowego dowodu rejestracyjnego, to dla mnie żadnym ułatwieniem nie będzie zdigitalizowanie jedynie dowodu osobistego lub prawa jazdy.

Aktualna informatyzacja a mDokument

Jednak zaproponowane rozwiazanie związane z mDokumentem wydaje się oderwane od dotychczasowych przedsięwzięć informatycznych. Nie mówię, że to całkiem źle, ale jeśli już stawiać na mDokumenty to może warto jednocześnie zrezygnować na ich rzecz z profilu zaufanego ePUAP (eGO). Najlepiej zaś, jak napisałem na wstępie, aby wykorzystać dotychczasową infrastrukturę profilu zaufanego ePUAP (eGO) i uczynić z mDokumentu jedną z jego funkcjonalności. Wystarczy jeden system identyfikacji (system zarządzania tożsamością) w podmiotach publicznych. Dwa to raczej już za dużo. Na pewno zaś lepiej, aby działał dobrze jeden system, a nie dwa średnio:)

Kolejki w sklepach

Z okazji wzmożonych zakupów w okresie przedświątecznym warto napisać kilka słów o jednej z ostatnich nowości od Google – monitorowaniu natężenia ruchu w sklepach. Analiza kolejki w sklepach i innych obiektach najpewniej opiera się na podobnej, o ile nie takiej samej, metodzie jak w przypadku zbierania informacji o korkach na ulicach. Odsyłam w tym zakresie zatem do mojego wpisu sprzed kilku miesięcy „Skąd informacje o natężeniu ruchu na drogach w naszych telefonach?”.

Bieżąca analiza kolejki w sklepach

Przedmiotowe rozwiązanie nie jest całkowicie nowe. Już od dość dawna możliwe było, po wpisaniu nazwy sklepu w googlowej wyszukiwarce internetowej, otrzymanie w wynikach przekrojowych danych o natężeniu ruchu w sklepach, restauracjach i innych obiektach użyteczności publicznej. Nowością jest natomiast nałożenie na dane statystyczne (czyli opartych o analizę przeszłości), informacji o bieżącym natężeniu. W efekcie przed wizytą w sklepie można sprawdzić jakie jest aktualne natężenie ruchu. W uproszczeniu można zatem uznać, że dane te obrazują stan kolejki w sklepach. Prawdopodobnie realność i dokładność jest tym większa, im większy jest sklep. Wtedy dostępnych jest więcej danych (czyli głównie więcej klientów-nadajników), a zatem mniejsze ryzyko przypadkowości informacji. Wspomniałem o kwestii klientów-nadajników. Nie wygląda to może zbyt ładnie, ale taki jest przecież mniej więcej sens crowdsourcingu.

Dane geolokalizacyjne

Pod względem prawnym rozwiązaniu temu brakuje przejrzystości. Nie można w prosty sposób dowiedzieć się jakie informacje (jednak można do tych danych dotrze) i jak konkretnie są zbierane (z tym już gorzej). Jednak trzeba dostrzec, że rozwiązanie to jest darmowe i niezwykle użyteczne. Ewentualna „płatność” swoim danymi za dane o natężeniu ruchu w obiektach może okazać się zatem „opłacalna”:)

Ciekawym faktem jest, że informacje o natężeniu ruchu nie są prezentowane w ramach specjalnej aplikacji mobilnej. Widnieją one bezpośrednio w wynikach wyszukiwania. W przypadku mojego telefonu pojawia się jednak żądanie udostępnienia danych geolokalizacyjnych. Wychodzi zatem w sumie na to samo jak w przypadku aplikacji mobilnej. Przy czym w przypadku wyszukiwarki trzeba udostępniać dane geolokalizacyjne przy każdym poszukiwaniu z osobna.

Elektroniczna nowelizacja KPC

W dniu 8.9.2016 r. weszły w życie, po rocznym oczekiwaniu, przepisy wprowadzające w postępowaniu cywilnym elektroniczne pozwy (art. 125 k.p.c.) i doręczenia (art. 131[1] kp.c.). Rozwiązania te zbiorczo określało się dotąd mianem elektroniczne biura podawczego.  Nowelizacja umożliwia – w każdy postępowaniu cywilnym – wybranie elektroniczne sposobu komunikacji z sądem. Na marginesie warto dodać, że przepisy nowelizujące w czasie oczekiwania na wejście w życie były zmieniane, co więcej, niedługo po wejściu w życie znów zostały zmienione (wskutek uchwalenia polskiej ustawy ustawy o usługach i identyfikacji elektronicznej, o której pisałem w poprzednim wpisie).

Czy zatem można można wnosić e-pozwy do sądu?

Wbrew brzmieniu nowych przepisów (i wbrew faktowi ich wejścia w życie) odpowiedź na pytanie postawione w tytule jest negatywna. Obecnie wciąż nie można wnosić pism procesowych drogą elektroniczną. Niektóre sądy wprost informują na swoich stronach internetowych, że nie jest to dopuszczalne, pomimo wejścia z życie nowych regulacji.

Niemożność wnoszenia pism drogą elektroniczną ma nawet swoje uzasadnienie normatywne, ponieważ art. 20 ustawy nowelizującej (czyli ustawy z 10.7.2015 r. o zmianie ustawy – Kodeks cywilny, ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw) stanowi, że w okresie 3 lat od wejścia w życie tej ustawy (tj. licząc od 8.9.2016 r.), dokonanie wyboru wnoszenia pism procesowych za pośrednictwem systemu teleinformatycznego jest dopuszczalne, jeżeli ze względów technicznych, leżących po stronie sądu, jest to możliwe. Jest to zatem dość nietypowy zabieg legislacyjny. Mocą przepisy zamieszczonego w nowelizacji faktycznie „zawieszono” wejście w życie przepisów z uwagi na względy techniczne (chodzi tutaj o informatyczną infrastrukturę sądową).

Nowelizacja nowelizacji?

Wskutek trzyletniego technicznego odroczenia obowiązku akceptacji komunikacji elektronicznej rodzi się obawa, że do tego czasu przedmiotowe regulacje będą zmieniane nie raz, ale jeszcze kilka razy. Jest to całkiem realne biorąc pod uwagę dotychczasowe losy ustawy nowelizującej. W czasie niespełna rocznego oczekiwania na wejście w życie była zmieniana 5 razy. Jak już na wstępie wspomniano, zaraz po wejściu w życiu przepisy zostały znów zmienione.

W takim stanie rzeczy szanse, że w ciągu trzech lat nie nastąpią zmiany legislacyjne w przedmiotowej materii są raczej niewielkie. Pytanie jest raczej o skalę tych zmian? Jeśli będą one miały wyłącznie charakter redakcyjny nie zagrozi to technicznemu bezwzględnemu rozpoczęcia obowiązywania z dniem 8.9.2019 r.

Polska ustawa o usługach zaufania

Po dwóch miesiącach od rozpoczęcia stosowania unijnego rozporządzenie eIDAS polski ustawodawca uchwalił krajowe przepisy uzupełniające i przystosowujące prawo polskie do unijnego. Ustawa o usługach zaufania ostatecznie weszła w życie 7.10.2016. Pełna tytuł nowego aktu prawnego to „ustawa o usługach zaufania oraz identyfikacji elektronicznej”.  W niniejszym wpisie będę posługiwał się jednak skróconą nazwą („ustawa o usługach zaufania”). Na marginesie jedynie wskażę, że kwestia skonstruowania tytułu polskiej ustawy jest bardzo ciekawa. Nie powtórzono wprost nazwy unijnego rozporządzenia eIDAS, lecz odwołując się do dwóch kluczowych elementów tego rozporządzenia (identyfikacja elektroniczna i usługi zaufania), odwrócono ich kolejność. W rozporządzeniu eIDAS wpierw mowa o identyfikacji elektronicznej, z kolei polski ustawodawca rozpoczął od usług zaufania.

Znaczenie nowego prawa

Polska ustawa o usługach zaufania zawiera 49 głównych artykułów. Pozostałe regulacje to przepisy przejściowe i zmieniające inne akty prawne. Nowe prawo nie jest zatem ani szczególnie krótkie, ale też nie jest wyjątkowo długie. Jego objętość została znacznie zmniejszona względem pierwotnych projektów legislacyjnych.

Ustawa o usługach zaufania jest istotna przede wszystkim dla dostawców usług zaufania. Użytkownik usług zaufania i systemów identyfikacji elektronicznej nie znajdzie w niej ważnych dla siebie kwestii (poza przepisami karnymi, o czym w kolejnym akapicie), ponieważ te są ustanowione na szczeblu prawa unijnego. Oczywiście, dla użytkownika ustawa o usługach zaufania ma pośrednie znaczne. Bez należytej regulacji funkcjonowania dostawców usług zaufania i odpowiednich uregulowań dla notyfikowanych systemów identyfikacji elektronicznej, nie mógłby on korzystać z tych rozwiązań.

Dla użytkowników usług zaufania ważnym elementem nowej ustawy są jednak regulacje karne. W art. 40 i kolejnych przepisach tej ustawy wskazano, w szczególności, że karalne jest składanie kwalifikowanego lub zaawansowanego podpisu elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby. Podobnie w przypadku składania, nie będąc do tego uprawnionym, kwalifikowanej lub zaawansowanej pieczęci elektronicznej. Za czyny takie grozi grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat 3. Takim samym karom podlega także ten, kto dopuszcza się tych czynów, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Zmiany w innych ustawach

Patrząc od strony porządku legislacyjnego najważniejszą zmianą jest formalne uchylenie w całości dotychczasowej ustawy o podpisie elektronicznym. W ślad za tym wprowadzono do polskich ustaw pojęcie „kwalifikowanego podpisu elektronicznego” w miejsce „bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem”. Do zaawansowanego podpisu elektronicznego odwoływano się we wprowadzanych zmianach niezmiernie rzadko. Profesjonalna komunikacja elektroniczna w Polsce opiera się wciąż przede wszystkim na kwalifikowanym podpisie elektronicznym. Ustawa o usługach zaufania nie wprowadza jednak zmian rewolucyjnych w porównaniu z dotychczasowym prawem.

Ustawa o usługach zaufania – obowiązywanie

Jak wskazano na wstępie, ustawa o usługach zaufania weszła w życie 7.10.2016. Trzeba jednak dodać, że kilka przepisów wejdzie w życie dopiero 29.9.2018 r. Są to regulacje związane z notyfikowanymi środkami (systemami) identyfikacji elektronicznej. Polska ustawa o usługach zaufania koresponduje w tym zakresie z unijnym rozporządzeniem eIDAS, gdzie również odsunięto w czasie stosowanie części regulacji dotyczących identyfikacji elektronicznej.

Loty dronami po nowemu

Wakacje przyniosły sporo zmian prawnych dotyczących dronów. Zmieniło się nie tylko prawo polskie, ale też unijne. Loty dronami mają stać się bezpieczniejsze.  Nowe prawo jedne wymagania co do lotów dronami łagodzi, a inne zaostrza. Skupie się tylko na dwóch sprawach (kwestia masy i charakter lotów komercyjnych), choć zmian jest znacznie więcej. Nie są też wykluczone kolejne zmiany w nieodległym czasie.

Loty dronami o masie do 150 kg

Dotąd kluczową z punktu widzenia prawa masą drona było nieprzekroczenie 25 kg.  Teraz doszły dwie kolejne „przełomowe” masy: 0,6 kg i 150 kg. Główna zmiana polega na przesunięciu dotychczasowej granicy z 25 kg do 150 kg. Nie jest to jednak proste zastąpienie jednej wartości drugiej, ponieważ nieprzekroczenie masy 25 kg wciąż ma istotne znaczenie z punkt widzenia prawa.

Jeśli ktoś chciałby używać drona do 150 kg, to po zmianach ma ku temu więcej możliwości. Mając jednak na uwadze preferencje jakim prawo wciąż obdarza drony o masie nieprzekraczającej 25 kg, to faktycznie wciąż ta masa pozostaje fundamentalna. Największymi przywileje prawo przydaje dronom o masie nieprzekraczającej 0,6 kg. Loty dronami mieszczące się w tej granicy będą wiązałby się z najmniejszymi wymaganiami prawnymi.

Wspomniane łagodzenie wymogów ze względu na mniejszą masę dotyczy zarówno lotów amatorskich i komercyjnych. W obu też przypadkach uprzywilejowanie polega na możliwości wykonywania lotu w niektórych strefach. Ciekawie wygląda sprawa z masą 0,6 kg, ponieważ jest na tyle niewielka, że trzeba będzie odtąd dokładnie sprawdzać masę swoich dronów.

Komercyjne loty dronami

Nowe prawo wyraźnie rozgranicza i różnicuje loty dronami w celach rekreacyjno-sportowych i pozostałe. Te pozostałe cele to przede wszystkim loty komercyjne.  W przypadku tych ostatnich lotów konieczne jest, tak jak dotychczas, posiadanie świadectwa kwalifikacji.

Wyrazem jednoznacznego rozdzielenia lotów rekreacyjno-sportowych i pozostałych jest ujęcie ich w odrębnych regulaminach stanowiących załącznik do rozporządzenia MIB (wydanego w oparciu o delegację z art. 33 ust. 2 i 4 Prawa lotniczego). Pomimo jednak, że te regulaminy są oddzielne, to i tak w treści przywołanego rozporządzenia są „wymieszane” przepisy dotyczące obydwu rodzajów lotów. Przy czym w treści rozporządzenia znajdują się przepisy wyłączające stosowanie regulacji Prawa lotniczego. Nie są to zatem normy zawierające konkretne reguły, lecz jedynie określające jakich przepisów nie stosuje się. Z kolei regulaminy stanowiące załączniki to normy wskazujące wprost jakich warunków należy przestrzegać.

Dla lotów komercyjnych wprowadzona specjalne zasady eksploatacji bezzałogowych statków powietrznych. Choć z pozoru mogą wydawać się dość trywialne, to jednocześnie trudno zrozumieć, dlaczego takich wymogów nie było wcześniej. Są one racjonalne i oczywiste z punktu widzenia bezpieczeństwa, a także mogą znacznie ułatwić (w sensie praktycznym) określenie odpowiedzialności prawnej.

Do zasad tych zalicza się:

  • wyposażenie drona w tabliczkę znamionową z nazwą właściciela,
  • posiadanie świateł ostrzegawczych w przypadku lotów nocnych,
  • opracowanie instrukcji operacyjnej według zaleceń (dotyczy podmiotów świadczących usługi lotnicze),
  • instalacja systemu Failsafe,
  • noszenie przez operatora kamizelki ostrzegawczej.

Zwrócić należy uwagę, że wymogi w zakresie tabliczki znamionowej i Failsafe odgrywają nie tylko ważną rolę dla bezpieczeństwa. Służą też bezpośrednio operatorowi i właścicielowi drona, chroniąc przed utratą drona na skutek utraty łączności. Dlatego nawet niekomercyjne loty dronami powinny respektować te wymogi.

Podstawy prawne

Powyższe zmiany, a także wiele innych wynika z dwóch aktów, tj.:

  • rozporządzenie Ministra Infrastruktury i Budownictwa z dnia 8.8.2016 r. zmieniające rozporządzenie w sprawie wyłączenia zastosowania niektórych przepisów ustawy – Prawo lotnicze do niektórych rodzajów statków powietrznych oraz określenia warunków i wymagań dotyczących używania tych statków (Dz.U. z 23.8.2016, poz. 1317),
  • rozporządzenie wykonawcze Komisji UE nr 2016/1185 z dnia 20.7.2016 r. zmieniające rozporządzenie wykonawcze nr 923/2012 w zakresie aktualizacji i uzupełnienia wspólnych zasad w odniesieniu do przepisów lotniczych i operacyjnych dotyczących służb i procedur żeglugi powietrznej (część C SERA) i uchylające rozporządzenie nr 730/2006  (Dz.Urz. UE L 196 z 21.7.2016, s. 3-43).

Pierwszy z tych aktów wszedł w życie w dniu 18.8.2016, drugi zaś wejdzie w życie pojutrze, czyli z dniem 7.9.2016. W obu przypadkach są to nowelizacje, a nie nowe akty prawne. Weszły one w życie bardzo szybko po ich ogłoszeniu w dziennikach urzędowych.

Dane przedsiębiorcy

Dane personalne osoby fizycznej prowadzącej działalność gospodarczą są publicznie dostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Można je zobaczyć bezpłatnie poprzez Internet. Nierzadko informacje o przedsiębiorcy pokrywają się z „prywatnymi” danymi osobowymi. Charakter prawny takich dany budził kontrowersje w świetle ochrony danych osobowych. Przepisy prawne zmieniały się w tym zakresie kilka razy. Były to zmiany radykalne. Przez pewien czas wskazywano, że dane przedsiębiorcy z CEIDG podlegają ustawie o ochronie danych osobowych, a kiedy indziej całkowicie odmiennie.

Dane przedsiębiorcy od 2016 roku

Kilka tygodni temu (dokładnie 19 maja 2016) weszły w życie zmiany dotyczące publicznie dostępnych danych przedsiębiorców z CEIDG. Z zasady do takich danych nie stosuje się ustawy o ochronie danych osobowych (wyjątki przedstawiam w kolejnym akapicie). Mówi o tym wprost nowy art. 39b ustawy o swobodzie działalności gospodarczej. Choć zatem dane przedsiębiorcy z CEIDG są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych, to jednak mocą przywołanego przepisu ustawy o swobodzie działalności gospodarczej nie stosuje się norm tej pierwszej ustawy.

(Nie)stosowanie ustawy o ochronie danych osobowych

Choć jak wspomniano z zasady do jawnych danych z CEIDG nie stosuje się ustawy o ochronie danych osobowych, to przewidziano dwa wyjątki:

  • po pierwsze, stosuje się regulację o uprawnieniach kontrolnych Generalnego Inspektora Ochrony Danych Osobowych, czyli art. 14–19a i art. 21–22a ustawy o ochronie danych osobowych,
  • po drugie, trzeba przestrzegać regulacji o zabezpieczeniu danych osobowych w postaci danych przedsiębiorcy, czyli stosowany jest cały rozdział 5 ustawy o ochronie danych osobowych.

Innych wyjątków niż powyższe nie ma. Oznacza to zatem, że nie stosuje się w przypadku danych przedsiębiorcy z CEIDG tak istotnych regulacji ustawy o ochronie danych osobowych, jak mówiących o:

  • zasadach przetwarzania danych osobowych, w tym o podstawach przetwarzania,
  • prawach osoby, której dane dotyczą,
  • rejestracji zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji,
  • przekazywaniu danych osobowych do państwa trzeciego.

Ograniczenia

Na zakończenie podkreślić należy, że nowy art. 39b ustawy o swobodzie działalności gospodarczej, wyłączający stosowanie ustawy o ochronie danych osobowych, dotyczy nie jakichkolwiek danych o przedsiębiorcy, ale jedynie tych, które są jawne i udostępniane przez CEIDG. Tylko wtedy z zasady, poza powyższymi wyjątkami, nie stosuje się ustawy o ochronie danych. Ponadto należy mieć na uwadze, że czymś innym jest wyłączenie stosowania ustawy o ochronie danych osobowych, a czymś innym udostępnianie oraz wykorzystywanie informacji z CEIDG (te ostatnie kwestie podlegają odrębnemu uregulowaniu).

Prywatność w Pokemon GO

Polityka prywatności Pokemon GO wydaje się standardowa. Nawet nawiązano w niej wprost do ochrony danych osobowych w Unii Europejskiej. Nie oznacza to jednak braku wątpliwości. Wynikają one z ogólności poszczególnych zapisów polityki prywatności, jak i niejasności „starych” wymogów prawa w odniesieniu do wirtualnej, a tym bardziej rozszerzonej rzeczywistości (dalej: AR – Augmented Reality). Trzeba mieć jednak na względzie, że bez relatywnie szerokiego wykorzystania danych osobowych, w tym związanych z geolokalizacją, gra po prostu nie działałaby w tak innowacyjny sposób.

User Name w Pokemon GO

Ciekawie wyglądają zapisy polityki prywatności dotyczące nieudostępniania danych innym graczom, poza nazwą użytkownika (dalej: User Name) i wiadomości przesyłanych do innych graczy (zob. pkt 2.a.ii polityki prywatności). Niby te dane nie identyfikują, ale wprost zastrzeżono, że nie dotyczy to przypadków, kiedy ktoś sam użył prawdziwego nazwiska lub innych danych identyfikacyjnych. Niby jest to dość logiczne, ale zagadnienie to powinno być bardziej wyeksponowane.

Na etapie uruchamiania gry nie jest oczywiste czy w cyberprzestrzeni będzie interakcja z innymi graczami, w tym całkowicie obcymi osobami. Nie można zatem określić na wstępie jak daleko trzeba kamuflować swoją tożsamość, aby nie być widocznym dla postronnych osób. Ma to dość istotne znaczenie w tym przypadku, ponieważ można sobie wyobrazić połączenie identyfikacji i rzeczywistej geolokalizacji. Jest to zatem coś więcej niż tożsamość na portalu społecznościowym, aczkolwiek tam również stosuje się czasami geolokalizację.

Nie znam jeszcze w pełni funkcjonalności Pokemon GO (jestem dopiero na 3 poziomie). Nie wiem w jakim stopniu jest to gra społecznościowa. Na razie dla mnie (z tego co widzę) Pokemon GO to gra jednego użytkownika i sporo osób może tak uważać. Gdyby było jasno określone, że w grze będą interakcje z innymi graczami to może inaczej podchodziliby oni do kwestii User Name.

E-mail przy aktywacji gry

Nie wiem również jak wygląda sprawa „widoczności” e-maila gracza w Pokemon GO. W polityce prywatności gry nie wyjaśniono tego, ale wydaje mi się, że przy uruchamianiu była podana informacji o udostępnianiu e-maila innym użytkownikom. Dodać warto, że aktywacja Pokemon GO wymaga integracji z kontem Googla. W polityce prywatności wspominają też o koncie na Facebooku jako alternatywnie, ale u mnie to nie działało.

Problem w tym, że przyjęło się, że konta na Gmailu tworzone są według schematu imię.nazwisko@gmail.com, a zatem jak został podany taki e-mail, to wymyślanie fantazyjnego User Name byłoby bez znaczenia. Na marginesie – jest już tyle zarejestrowanych graczy, że wymyślenie akceptowanego (niezajętego) User Name nie jest łatwe:)

Konieczność integracji z kontem Googla może sama w sobie budzić wątpliwości. Nie wiadomo dlaczego jest taka potrzeba. Można uznać, że ma to być ułatwienie, aby nie trzeba było mnożyć kont. W polityce prywatności wskazano, że chodzi o weryfikację. Nie można wykluczyć, że wiąże się to również z weryfikacją wieku użytkownika, ponieważ kwestia potrzeby zgody rodziców dla dzieci-graczy podkreślana w polityce prywatności.

Wniosek z powyższego jest taki, że jeśli ktoś chce być anonimowym graczem dla postronnych osób, to lepiej nie podawać ani w User Name, ani w nazwie e-maila, imienia i nazwiska.

PII i Log data w Pokemon GO

Po przeczytaniu polityki prywatności Pokemon GO mam wrażenie, że przyjęto tam dość wąskie rozumienie PII (Personally Identifiable Information, zob. pkt 2a.i. w polityce prywatności). Tymczasem w świetle prawa jest ono bardzo szerokie. Zgodnie z prawem obejmuje też to co w tej polityce prywatności określono mianem Log data (zob. pkt 2c polityki prywatności). Do PII zaliczyć też trzeba zatem również Log data, pomimo że nie wynika to wprost z polityki prywatności.

Warto tutaj wskazać jakie konkretne informacje obejmują Log data (zakres gromadzonych danych). Jak wskazana w polityce prywatności Pokemon GO są to m.in.:

  • adres IP użytkownika,
  • oznaczenie dostawcy sieci,
  • oznaczenie przeglądarki internetowej,
  • system operacyjny,
  • strony internetowej odwiedzane przed uzyskaniem dostępu,
  • czas spędzony na stronach lub usługach powiązanych z administratorem Pokemon GO,
  • wyszukiwane hasła,
  • kliknięte linki.

Jest to zatem dość typowy opis „statystyk” internetowych. Nie jest to jednak wyczerpujący katalog gromadzonych informacji. Mogą być również inne. W polityce prywatności wspomniano choćby o zbieraniu danych identyfikujących urządzenia mobilne.

Korzyści i zagrożenia

Ocena polityki prywatności powinna uwzględniać korzyści z gry. Jeśli Pokemon GO dostarcza komuś rewelacyjnych wrażeń, to czasami warto „zapłacić” podzieleniem się swoją prywatnością. Wiążą się z tym jednak konkretne negatywne konsekwencje i trzeba mieć ich świadomość.

Niemniej, na potrzeby popularnych mediów społecznościowych użytkownicy dokonali już tak daleko idącego ograniczenia prywatności, że Pokemon GO nie wyróżnia się szczególnymi zagrożeniami. W przypadku Pokemon GO jest nawet o tyle bezpieczniej, że nie zamieszcza się tam swoich zewnętrznych treści, jak przykładowo prywatnych zdjęć lub filmów. Problemem gry jest jednak przede wszystkim daleko posunięta geolokalizacja. Co ważne, hipotetycznie możliwe jest, aby geolokalizację połączyć z rejestracją video, ponieważ gra ma dostęp do kamerki (choć chyba można to wyłączyć).

Pokemon GO nie jest raczej super nowatorską grą. Jednak trzeba mieć na względzie, że wcześniej nie było na tyle mocnych smartfonów, aby udźwignąć tego typy gry. Ponadto, to tani Internet mobilny i publiczne Wi-Fi stwarza warunki do rozwoju takich gier. Z tych powodów wydaje się, że dopiero teraz można spodziewać się szerokiego spopularyzowania gier wykorzystujących AR.

Dropshipping a prawo

Po wzroście popularności zakupów w polskich i europejskich sklepach internetowych przyszedł czas na sklepy, znajdujące się na innych kontynentach. Popularnym rozwiązaniem związanym z takim zjawiskiem jest  dropshipping. Szczególnie atrakcyjne są w tym zakresie dwa rynki: amerykański oraz azjatycki. W pierwszym przypadku pierwszorzędne znaczenie ma kwestia znajomości języka i zaufania do tamtejszego regionu. Co do drugiego zaś rynku stymulatorem do spoglądania w tym kierunku jest niska cena. Dropshipping w praktyce wiąże się głównie z tymi rynkami, a zwłaszcza z drugim ze wspomnianych.

Czym jest dropshipping w światle prawa?

Dropshipping trudno jednoznacznie zakwalifikować, ponieważ może przybierać różne postacie. Zawsze będzie to jakaś forma pośrednictwa w dokonywaniu zakupów. Problem tkwi w jednak w okoliczności, że najczęściej jest to zakumuflowane pośrednictwo. 

Kupujący nie ma świadomości, że towary kupuje nie u pośrednika, ale u kogoś innego. Nie chodzi jednak o celowe ukrywanie tego faktu. Raczej o sytuacje, w której konsument kierując się przyzwyczajeniami robi zakupy bez wnikliwej analizy informacji.

Ochrona konsumencka

Konsumenci są szczegolnie chronieni, stąd przysługuje im szereg specjalnych uprawnień. Wybranym kwestią z tego zakresu będzie poświęcony niniejszy wpis. Na marginesie jedynie warto wskazać, że problematyka dropshipping to również wątpliwości w zakresie obciążeń publiczych.

Szczegolnie istotnym prawem konsumenta jest możliwość zwrotu towaru w ciagu 14 dni. Uprawnienie to wynika wprost z dyrektywy Unii Europejskiej i zostało implantowane (a wręcz przepisane) do prawa krajowego państw członkowskich. W związku z tym jest to nie tylko rozwiązania znane polskiemu prawo, ale całemu prawodawstwu państw członkowskich Unii Europejskiej. Gdy konsument w Unii Europejskiej dokonuje zakupów zazwyczaj jest przekonany, że będzie miało zastosowanie europejskie prawo konsumenckie.

Niecodzienność przedmiotowej sytuacji prawnej wynika przede wszystkim z faktu że konsument dokonując transakcji rzadko korzysta z pomocy pośrednika. Zazwyczaj zakupy przebiegają w ramach stosunków pomiędzy konsumentem i sprzedawcą (przedsiębiorcą). Tymczasem w dropshippingu pojawia się pomiędzy nimi pośrednik. W efekcie taki model jest nierzadko niezrozumiały dla konsumentów. Może zaistnieć nawet problem, czy takiego pośrednika, z punktu widzenia prawa, nie należy po prostu traktować jako sprzedawcę? Nie można tego wykluczyć.

Taka forma świadczenia usług niesie ze sobą zatem istotne ryzyko prawne. Sprzedawca nierzadko nie będzie potrafił (ze względu braku możliwości technicznych) spełnić wszystkich obowiązków wynikających z prawa konsumenckiego. Ryzyko w tym zakresie może przełożyć się na ryzyko biznesowe. Przy czym, generalnie ujmując, to gdyby pominąć kwestie prawne dropshipping ryzyko biznesowe jest relatywnie niewielkie. Przede wszystkim nie ma potrzeby ponoszenia nakładów na towar, który mógłby się nie sprzedać. Nadto można oferować ogromną liczbę towarów.