Polska ustawa o usługach zaufania

Po dwóch miesiącach od rozpoczęcia stosowania unijnego rozporządzenie eIDAS polski ustawodawca uchwalił krajowe przepisy uzupełniające i przystosowujące prawo polskie do unijnego. Ustawa o usługach zaufania ostatecznie weszła w życie 7.10.2016. Pełna tytuł nowego aktu prawnego to „ustawa o usługach zaufania oraz identyfikacji elektronicznej”.  W niniejszym wpisie będę posługiwał się jednak skróconą nazwą („ustawa o usługach zaufania”). Na marginesie jedynie wskażę, że kwestia skonstruowania tytułu polskiej ustawy jest bardzo ciekawa. Nie powtórzono wprost nazwy unijnego rozporządzenia eIDAS, lecz odwołując się do dwóch kluczowych elementów tego rozporządzenia (identyfikacja elektroniczna i usługi zaufania), odwrócono ich kolejność. W rozporządzeniu eIDAS wpierw mowa o identyfikacji elektronicznej, z kolei polski ustawodawca rozpoczął od usług zaufania.

Znaczenie nowego prawa

Polska ustawa o usługach zaufania zawiera 49 głównych artykułów. Pozostałe regulacje to przepisy przejściowe i zmieniające inne akty prawne. Nowe prawo nie jest zatem ani szczególnie krótkie, ale też nie jest wyjątkowo długie. Jego objętość została znacznie zmniejszona względem pierwotnych projektów legislacyjnych.

Ustawa o usługach zaufania jest istotna przede wszystkim dla dostawców usług zaufania. Użytkownik usług zaufania i systemów identyfikacji elektronicznej nie znajdzie w niej ważnych dla siebie kwestii (poza przepisami karnymi, o czym w kolejnym akapicie), ponieważ te są ustanowione na szczeblu prawa unijnego. Oczywiście, dla użytkownika ustawa o usługach zaufania ma pośrednie znaczne. Bez należytej regulacji funkcjonowania dostawców usług zaufania i odpowiednich uregulowań dla notyfikowanych systemów identyfikacji elektronicznej, nie mógłby on korzystać z tych rozwiązań.

Dla użytkowników usług zaufania ważnym elementem nowej ustawy są jednak regulacje karne. W art. 40 i kolejnych przepisach tej ustawy wskazano, w szczególności, że karalne jest składanie kwalifikowanego lub zaawansowanego podpisu elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby. Podobnie w przypadku składania, nie będąc do tego uprawnionym, kwalifikowanej lub zaawansowanej pieczęci elektronicznej. Za czyny takie grozi grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat 3. Takim samym karom podlega także ten, kto dopuszcza się tych czynów, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Zmiany w innych ustawach

Patrząc od strony porządku legislacyjnego najważniejszą zmianą jest formalne uchylenie w całości dotychczasowej ustawy o podpisie elektronicznym. W ślad za tym wprowadzono do polskich ustaw pojęcie „kwalifikowanego podpisu elektronicznego” w miejsce „bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem”. Do zaawansowanego podpisu elektronicznego odwoływano się we wprowadzanych zmianach niezmiernie rzadko. Profesjonalna komunikacja elektroniczna w Polsce opiera się wciąż przede wszystkim na kwalifikowanym podpisie elektronicznym. Ustawa o usługach zaufania nie wprowadza jednak zmian rewolucyjnych w porównaniu z dotychczasowym prawem.

Ustawa o usługach zaufania – obowiązywanie

Jak wskazano na wstępie, ustawa o usługach zaufania weszła w życie 7.10.2016. Trzeba jednak dodać, że kilka przepisów wejdzie w życie dopiero 29.9.2018 r. Są to regulacje związane z notyfikowanymi środkami (systemami) identyfikacji elektronicznej. Polska ustawa o usługach zaufania koresponduje w tym zakresie z unijnym rozporządzeniem eIDAS, gdzie również odsunięto w czasie stosowanie części regulacji dotyczących identyfikacji elektronicznej.

Loty dronami po nowemu

Wakacje przyniosły sporo zmian prawnych dotyczących dronów. Zmieniło się nie tylko prawo polskie, ale też unijne. Loty dronami mają stać się bezpieczniejsze.  Nowe prawo jedne wymagania co do lotów dronami łagodzi, a inne zaostrza. Skupie się tylko na dwóch sprawach (kwestia masy i charakter lotów komercyjnych), choć zmian jest znacznie więcej. Nie są też wykluczone kolejne zmiany w nieodległym czasie.

Loty dronami o masie do 150 kg

Dotąd kluczową z punktu widzenia prawa masą drona było nieprzekroczenie 25 kg.  Teraz doszły dwie kolejne „przełomowe” masy: 0,6 kg i 150 kg. Główna zmiana polega na przesunięciu dotychczasowej granicy z 25 kg do 150 kg. Nie jest to jednak proste zastąpienie jednej wartości drugiej, ponieważ nieprzekroczenie masy 25 kg wciąż ma istotne znaczenie z punkt widzenia prawa.

Jeśli ktoś chciałby używać drona do 150 kg, to po zmianach ma ku temu więcej możliwości. Mając jednak na uwadze preferencje jakim prawo wciąż obdarza drony o masie nieprzekraczającej 25 kg, to faktycznie wciąż ta masa pozostaje fundamentalna. Największymi przywileje prawo przydaje dronom o masie nieprzekraczającej 0,6 kg. Loty dronami mieszczące się w tej granicy będą wiązałby się z najmniejszymi wymaganiami prawnymi.

Wspomniane łagodzenie wymogów ze względu na mniejszą masę dotyczy zarówno lotów amatorskich i komercyjnych. W obu też przypadkach uprzywilejowanie polega na możliwości wykonywania lotu w niektórych strefach. Ciekawie wygląda sprawa z masą 0,6 kg, ponieważ jest na tyle niewielka, że trzeba będzie odtąd dokładnie sprawdzać masę swoich dronów.

Komercyjne loty dronami

Nowe prawo wyraźnie rozgranicza i różnicuje loty dronami w celach rekreacyjno-sportowych i pozostałe. Te pozostałe cele to przede wszystkim loty komercyjne.  W przypadku tych ostatnich lotów konieczne jest, tak jak dotychczas, posiadanie świadectwa kwalifikacji.

Wyrazem jednoznacznego rozdzielenia lotów rekreacyjno-sportowych i pozostałych jest ujęcie ich w odrębnych regulaminach stanowiących załącznik do rozporządzenia MIB (wydanego w oparciu o delegację z art. 33 ust. 2 i 4 Prawa lotniczego). Pomimo jednak, że te regulaminy są oddzielne, to i tak w treści przywołanego rozporządzenia są „wymieszane” przepisy dotyczące obydwu rodzajów lotów. Przy czym w treści rozporządzenia znajdują się przepisy wyłączające stosowanie regulacji Prawa lotniczego. Nie są to zatem normy zawierające konkretne reguły, lecz jedynie określające jakich przepisów nie stosuje się. Z kolei regulaminy stanowiące załączniki to normy wskazujące wprost jakich warunków należy przestrzegać.

Dla lotów komercyjnych wprowadzona specjalne zasady eksploatacji bezzałogowych statków powietrznych. Choć z pozoru mogą wydawać się dość trywialne, to jednocześnie trudno zrozumieć, dlaczego takich wymogów nie było wcześniej. Są one racjonalne i oczywiste z punktu widzenia bezpieczeństwa, a także mogą znacznie ułatwić (w sensie praktycznym) określenie odpowiedzialności prawnej.

Do zasad tych zalicza się:

  • wyposażenie drona w tabliczkę znamionową z nazwą właściciela,
  • posiadanie świateł ostrzegawczych w przypadku lotów nocnych,
  • opracowanie instrukcji operacyjnej według zaleceń (dotyczy podmiotów świadczących usługi lotnicze),
  • instalacja systemu Failsafe,
  • noszenie przez operatora kamizelki ostrzegawczej.

Zwrócić należy uwagę, że wymogi w zakresie tabliczki znamionowej i Failsafe odgrywają nie tylko ważną rolę dla bezpieczeństwa. Służą też bezpośrednio operatorowi i właścicielowi drona, chroniąc przed utratą drona na skutek utraty łączności. Dlatego nawet niekomercyjne loty dronami powinny respektować te wymogi.

Podstawy prawne

Powyższe zmiany, a także wiele innych wynika z dwóch aktów, tj.:

  • rozporządzenie Ministra Infrastruktury i Budownictwa z dnia 8.8.2016 r. zmieniające rozporządzenie w sprawie wyłączenia zastosowania niektórych przepisów ustawy – Prawo lotnicze do niektórych rodzajów statków powietrznych oraz określenia warunków i wymagań dotyczących używania tych statków (Dz.U. z 23.8.2016, poz. 1317),
  • rozporządzenie wykonawcze Komisji UE nr 2016/1185 z dnia 20.7.2016 r. zmieniające rozporządzenie wykonawcze nr 923/2012 w zakresie aktualizacji i uzupełnienia wspólnych zasad w odniesieniu do przepisów lotniczych i operacyjnych dotyczących służb i procedur żeglugi powietrznej (część C SERA) i uchylające rozporządzenie nr 730/2006  (Dz.Urz. UE L 196 z 21.7.2016, s. 3-43).

Pierwszy z tych aktów wszedł w życie w dniu 18.8.2016, drugi zaś wejdzie w życie pojutrze, czyli z dniem 7.9.2016. W obu przypadkach są to nowelizacje, a nie nowe akty prawne. Weszły one w życie bardzo szybko po ich ogłoszeniu w dziennikach urzędowych.

Dane przedsiębiorcy

Dane personalne osoby fizycznej prowadzącej działalność gospodarczą są publicznie dostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Można je zobaczyć bezpłatnie poprzez Internet. Nierzadko informacje o przedsiębiorcy pokrywają się z „prywatnymi” danymi osobowymi. Charakter prawny takich dany budził kontrowersje w świetle ochrony danych osobowych. Przepisy prawne zmieniały się w tym zakresie kilka razy. Były to zmiany radykalne. Przez pewien czas wskazywano, że dane przedsiębiorcy z CEIDG podlegają ustawie o ochronie danych osobowych, a kiedy indziej całkowicie odmiennie.

Dane przedsiębiorcy od 2016 roku

Kilka tygodni temu (dokładnie 19 maja 2016) weszły w życie zmiany dotyczące publicznie dostępnych danych przedsiębiorców z CEIDG. Z zasady do takich danych nie stosuje się ustawy o ochronie danych osobowych (wyjątki przedstawiam w kolejnym akapicie). Mówi o tym wprost nowy art. 39b ustawy o swobodzie działalności gospodarczej. Choć zatem dane przedsiębiorcy z CEIDG są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych, to jednak mocą przywołanego przepisu ustawy o swobodzie działalności gospodarczej nie stosuje się norm tej pierwszej ustawy.

(Nie)stosowanie ustawy o ochronie danych osobowych

Choć jak wspomniano z zasady do jawnych danych z CEIDG nie stosuje się ustawy o ochronie danych osobowych, to przewidziano dwa wyjątki:

  • po pierwsze, stosuje się regulację o uprawnieniach kontrolnych Generalnego Inspektora Ochrony Danych Osobowych, czyli art. 14–19a i art. 21–22a ustawy o ochronie danych osobowych,
  • po drugie, trzeba przestrzegać regulacji o zabezpieczeniu danych osobowych w postaci danych przedsiębiorcy, czyli stosowany jest cały rozdział 5 ustawy o ochronie danych osobowych.

Innych wyjątków niż powyższe nie ma. Oznacza to zatem, że nie stosuje się w przypadku danych przedsiębiorcy z CEIDG tak istotnych regulacji ustawy o ochronie danych osobowych, jak mówiących o:

  • zasadach przetwarzania danych osobowych, w tym o podstawach przetwarzania,
  • prawach osoby, której dane dotyczą,
  • rejestracji zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji,
  • przekazywaniu danych osobowych do państwa trzeciego.

Ograniczenia

Na zakończenie podkreślić należy, że nowy art. 39b ustawy o swobodzie działalności gospodarczej, wyłączający stosowanie ustawy o ochronie danych osobowych, dotyczy nie jakichkolwiek danych o przedsiębiorcy, ale jedynie tych, które są jawne i udostępniane przez CEIDG. Tylko wtedy z zasady, poza powyższymi wyjątkami, nie stosuje się ustawy o ochronie danych. Ponadto należy mieć na uwadze, że czymś innym jest wyłączenie stosowania ustawy o ochronie danych osobowych, a czymś innym udostępnianie oraz wykorzystywanie informacji z CEIDG (te ostatnie kwestie podlegają odrębnemu uregulowaniu).

Prywatność w Pokemon GO

Polityka prywatności Pokemon GO wydaje się standardowa. Nawet nawiązano w niej wprost do ochrony danych osobowych w Unii Europejskiej. Nie oznacza to jednak braku wątpliwości. Wynikają one z ogólności poszczególnych zapisów polityki prywatności, jak i niejasności „starych” wymogów prawa w odniesieniu do wirtualnej, a tym bardziej rozszerzonej rzeczywistości (dalej: AR – Augmented Reality). Trzeba mieć jednak na względzie, że bez relatywnie szerokiego wykorzystania danych osobowych, w tym związanych z geolokalizacją, gra po prostu nie działałaby w tak innowacyjny sposób.

User Name w Pokemon GO

Ciekawie wyglądają zapisy polityki prywatności dotyczące nieudostępniania danych innym graczom, poza nazwą użytkownika (dalej: User Name) i wiadomości przesyłanych do innych graczy (zob. pkt 2.a.ii polityki prywatności). Niby te dane nie identyfikują, ale wprost zastrzeżono, że nie dotyczy to przypadków, kiedy ktoś sam użył prawdziwego nazwiska lub innych danych identyfikacyjnych. Niby jest to dość logiczne, ale zagadnienie to powinno być bardziej wyeksponowane.

Na etapie uruchamiania gry nie jest oczywiste czy w cyberprzestrzeni będzie interakcja z innymi graczami, w tym całkowicie obcymi osobami. Nie można zatem określić na wstępie jak daleko trzeba kamuflować swoją tożsamość, aby nie być widocznym dla postronnych osób. Ma to dość istotne znaczenie w tym przypadku, ponieważ można sobie wyobrazić połączenie identyfikacji i rzeczywistej geolokalizacji. Jest to zatem coś więcej niż tożsamość na portalu społecznościowym, aczkolwiek tam również stosuje się czasami geolokalizację.

Nie znam jeszcze w pełni funkcjonalności Pokemon GO (jestem dopiero na 3 poziomie). Nie wiem w jakim stopniu jest to gra społecznościowa. Na razie dla mnie (z tego co widzę) Pokemon GO to gra jednego użytkownika i sporo osób może tak uważać. Gdyby było jasno określone, że w grze będą interakcje z innymi graczami to może inaczej podchodziliby oni do kwestii User Name.

E-mail przy aktywacji gry

Nie wiem również jak wygląda sprawa „widoczności” e-maila gracza w Pokemon GO. W polityce prywatności gry nie wyjaśniono tego, ale wydaje mi się, że przy uruchamianiu była podana informacji o udostępnianiu e-maila innym użytkownikom. Dodać warto, że aktywacja Pokemon GO wymaga integracji z kontem Googla. W polityce prywatności wspominają też o koncie na Facebooku jako alternatywnie, ale u mnie to nie działało.

Problem w tym, że przyjęło się, że konta na Gmailu tworzone są według schematu imię.nazwisko@gmail.com, a zatem jak został podany taki e-mail, to wymyślanie fantazyjnego User Name byłoby bez znaczenia. Na marginesie – jest już tyle zarejestrowanych graczy, że wymyślenie akceptowanego (niezajętego) User Name nie jest łatwe:)

Konieczność integracji z kontem Googla może sama w sobie budzić wątpliwości. Nie wiadomo dlaczego jest taka potrzeba. Można uznać, że ma to być ułatwienie, aby nie trzeba było mnożyć kont. W polityce prywatności wskazano, że chodzi o weryfikację. Nie można wykluczyć, że wiąże się to również z weryfikacją wieku użytkownika, ponieważ kwestia potrzeby zgody rodziców dla dzieci-graczy podkreślana w polityce prywatności.

Wniosek z powyższego jest taki, że jeśli ktoś chce być anonimowym graczem dla postronnych osób, to lepiej nie podawać ani w User Name, ani w nazwie e-maila, imienia i nazwiska.

PII i Log data w Pokemon GO

Po przeczytaniu polityki prywatności Pokemon GO mam wrażenie, że przyjęto tam dość wąskie rozumienie PII (Personally Identifiable Information, zob. pkt 2a.i. w polityce prywatności). Tymczasem w świetle prawa jest ono bardzo szerokie. Zgodnie z prawem obejmuje też to co w tej polityce prywatności określono mianem Log data (zob. pkt 2c polityki prywatności). Do PII zaliczyć też trzeba zatem również Log data, pomimo że nie wynika to wprost z polityki prywatności.

Warto tutaj wskazać jakie konkretne informacje obejmują Log data (zakres gromadzonych danych). Jak wskazana w polityce prywatności Pokemon GO są to m.in.:

  • adres IP użytkownika,
  • oznaczenie dostawcy sieci,
  • oznaczenie przeglądarki internetowej,
  • system operacyjny,
  • strony internetowej odwiedzane przed uzyskaniem dostępu,
  • czas spędzony na stronach lub usługach powiązanych z administratorem Pokemon GO,
  • wyszukiwane hasła,
  • kliknięte linki.

Jest to zatem dość typowy opis „statystyk” internetowych. Nie jest to jednak wyczerpujący katalog gromadzonych informacji. Mogą być również inne. W polityce prywatności wspomniano choćby o zbieraniu danych identyfikujących urządzenia mobilne.

Korzyści i zagrożenia

Ocena polityki prywatności powinna uwzględniać korzyści z gry. Jeśli Pokemon GO dostarcza komuś rewelacyjnych wrażeń, to czasami warto „zapłacić” podzieleniem się swoją prywatnością. Wiążą się z tym jednak konkretne negatywne konsekwencje i trzeba mieć ich świadomość.

Niemniej, na potrzeby popularnych mediów społecznościowych użytkownicy dokonali już tak daleko idącego ograniczenia prywatności, że Pokemon GO nie wyróżnia się szczególnymi zagrożeniami. W przypadku Pokemon GO jest nawet o tyle bezpieczniej, że nie zamieszcza się tam swoich zewnętrznych treści, jak przykładowo prywatnych zdjęć lub filmów. Problemem gry jest jednak przede wszystkim daleko posunięta geolokalizacja. Co ważne, hipotetycznie możliwe jest, aby geolokalizację połączyć z rejestracją video, ponieważ gra ma dostęp do kamerki (choć chyba można to wyłączyć).

Pokemon GO nie jest raczej super nowatorską grą. Jednak trzeba mieć na względzie, że wcześniej nie było na tyle mocnych smartfonów, aby udźwignąć tego typy gry. Ponadto, to tani Internet mobilny i publiczne Wi-Fi stwarza warunki do rozwoju takich gier. Z tych powodów wydaje się, że dopiero teraz można spodziewać się szerokiego spopularyzowania gier wykorzystujących AR.

Dropshipping a prawo

Po wzroście popularności zakupów w polskich i europejskich sklepach internetowych przyszedł czas na sklepy, znajdujące się na innych kontynentach. Popularnym rozwiązaniem związanym z takim zjawiskiem jest  dropshipping. Szczególnie atrakcyjne są w tym zakresie dwa rynki: amerykański oraz azjatycki. W pierwszym przypadku pierwszorzędne znaczenie ma kwestia znajomości języka i zaufania do tamtejszego regionu. Co do drugiego zaś rynku stymulatorem do spoglądania w tym kierunku jest niska cena. Dropshipping w praktyce wiąże się głównie z tymi rynkami, a zwłaszcza z drugim ze wspomnianych.

Czym jest dropshipping w światle prawa?

Dropshipping trudno jednoznacznie zakwalifikować, ponieważ może przybierać różne postacie. Zawsze będzie to jakaś forma pośrednictwa w dokonywaniu zakupów. Problem tkwi w jednak w okoliczności, że najczęściej jest to zakumuflowane pośrednictwo. 

Kupujący nie ma świadomości, że towary kupuje nie u pośrednika, ale u kogoś innego. Nie chodzi jednak o celowe ukrywanie tego faktu. Raczej o sytuacje, w której konsument kierując się przyzwyczajeniami robi zakupy bez wnikliwej analizy informacji.

Ochrona konsumencka

Konsumenci są szczegolnie chronieni, stąd przysługuje im szereg specjalnych uprawnień. Wybranym kwestią z tego zakresu będzie poświęcony niniejszy wpis. Na marginesie jedynie warto wskazać, że problematyka dropshipping to również wątpliwości w zakresie obciążeń publiczych.

Szczegolnie istotnym prawem konsumenta jest możliwość zwrotu towaru w ciagu 14 dni. Uprawnienie to wynika wprost z dyrektywy Unii Europejskiej i zostało implantowane (a wręcz przepisane) do prawa krajowego państw członkowskich. W związku z tym jest to nie tylko rozwiązania znane polskiemu prawo, ale całemu prawodawstwu państw członkowskich Unii Europejskiej. Gdy konsument w Unii Europejskiej dokonuje zakupów zazwyczaj jest przekonany, że będzie miało zastosowanie europejskie prawo konsumenckie.

Niecodzienność przedmiotowej sytuacji prawnej wynika przede wszystkim z faktu że konsument dokonując transakcji rzadko korzysta z pomocy pośrednika. Zazwyczaj zakupy przebiegają w ramach stosunków pomiędzy konsumentem i sprzedawcą (przedsiębiorcą). Tymczasem w dropshippingu pojawia się pomiędzy nimi pośrednik. W efekcie taki model jest nierzadko niezrozumiały dla konsumentów. Może zaistnieć nawet problem, czy takiego pośrednika, z punktu widzenia prawa, nie należy po prostu traktować jako sprzedawcę? Nie można tego wykluczyć.

Taka forma świadczenia usług niesie ze sobą zatem istotne ryzyko prawne. Sprzedawca nierzadko nie będzie potrafił (ze względu braku możliwości technicznych) spełnić wszystkich obowiązków wynikających z prawa konsumenckiego. Ryzyko w tym zakresie może przełożyć się na ryzyko biznesowe. Przy czym, generalnie ujmując, to gdyby pominąć kwestie prawne dropshipping ryzyko biznesowe jest relatywnie niewielkie. Przede wszystkim nie ma potrzeby ponoszenia nakładów na towar, który mógłby się nie sprzedać. Nadto można oferować ogromną liczbę towarów.

Brexit a prawo gospodarcze dla e-sklepów

Często wydaje się, że dla handlu elektronicznego granice państwowe nie mają znaczenia. Nie jest to prawda. Brexit istotnie pogorszy sytuację prawną biznesów internetowych zlokalizowanych w Wielkiej Brytanii, ale kierujących dotąd swoją ofertę na cały rynek europejski.

Unijne prawo stwarza dobre warunki dla e-commerce

W ostatnich latach z inspiracji Unii Europejskiej dokonano wielu zmian prawnych mających na celu rozwój transgranicznego handlu elektronicznego. Widać tego efekty (choć oczywiście nowe prawo to nie jedyny czynnik). Coraz bardziej zaciera się dla konsumenta różnica pomiędzy zakupami w polskim i europejskim sklepie internetowym.

Dzięki prawu Unii Europejskiej konsument ma podobne, a najczęściej wręcz identyczne, przywileje w każdym unijnym e-sklepie. Choć przepisy konsumenckie są rozbudowane i kłopotliwe dla sprzedawców, to w ogólnym rozrachunku sprzyjają rozwojowi e-commerce. Regulacje te tworzą zakupy online relatywnie bezpiecznymi. W efekcie rozwiewają obawy klientów i budują renomę internetowych zakupów. Wyjście Wielkie Brytanii z Unii Europejskiej oznacza rezygnacja z europejskiego prawa konsumenckiego.

W takim stanie rzeczy, dla konsumentów z Unii Europejskiej, zakupy online w Wielkiej Brytanii nie będą pod względem prawnym zbyt atrakcyjne. W przypadku pozaunijnych e-sklepów, w razie zgrzytów, uznanie roszczenia konsumenta faktycznie zależy jedynie od dobrej woli sprzedawcy. Sądowe dochodzenie roszczeń jest wtedy nieopłacalne, gdyż koszty obsługi prawnej są znacznie większe niż korzyści z wygrania sprawy o drobne roszczenie.

Warto dodać, że Polacy często dokonywali dotąd zakupów w brytyjskich sklepach internetowych. Wynikało to z wielu powodów, m.in. było konsekwencją wyboru Wielkiej Brytanii przez wiele globalnych marek jako przyczółka na całą Europę. Nierzadko również Polacy, zachęceni korzystnymi warunkami prowadzenie biznesu w Wielkiej Brytanii, decydowali się na „ulokowanie” tam swoich e-sklepów. Dlatego właśnie stworzyłem niniejszy wpis. Brexit może istotnie uderzyć w prowadzone przez Polaków e-biznesy.

Niepewność prawa po Brexit

Wprawdzie może być tak, że po Brexicie Wielka Brytania utrzyma dotychczasowe regulacje konsumenckie, w tym poprzez EOG. Nie rozwiąże to jednak kluczowego problemu jakim jest niepewność prawa. Transgraniczne zakupy w sklepie zagranicznym mają sens jeśli są proste. Tylko wtedy jest szansa na masową sprzedaż.

Sprzedawca i klient nie będą przecież dokonywali dogłębnej analizy prawnej przy każdych drobnych zakupach, w tym sprawdzali czy Wielka Brytania wciąż ma takie samo prawo jak Unia Europejska. Musi istnieć w tym zakresie znaczny stopień gwarantowanej standaryzacji prawa. Tylko przy zakupach w sklepach internetowych w Unii Europejskiej jest pewność co do stanu prawnego.

W świetle e-commerce Brexit oznacza zatem odłączenie się Wielkiej Brytanii od  ujednoliconego europejskiego rynku handlu elektronicznego. Prawdopodobnie nawet jeszcze korzystniejsze niż obecnie warunki prowadzenia biznesu w Wielkiej Brytanie po Brexit nie wystarczą do zrekompensowania e-sklepom negatywnych konsekwencji oderwania od zestandaryzowanego europejskiego rynku e-commerce.

Brexit pogorszy warunki handlu elektronicznego

Niezależnie od problematyki ochrony konsumentów oczywistą przeszkodą mogą okazać się cła. Nie chodzi nawet o ich wysokość, ale o sam fakt, że będzie granica celna. Nadto różnice kursowe i konieczność przewalutowywania mogą okazać się nie mniejszą barierą finansową. Skomplikuje się również znacznie problematyka podatków. Obowiązki celne bezpośrednio wpłyną zresztą nie tylko na finanse, ale spowodują problemy z transportem, co może okazać się decydującym czynnikiem. To sprawny i relatywnie tani transport czyni przecież opłacalnymi zakupy w zagranicznych (unijnych) sklepach internetowych.

Oczywiście większość negatywnych zjawisk spowodowanych przez Brexit będzie można przezwyciężyć. Pojawia się jednak w tym zakresie inny problem. Mianowicie może okazać się, że zakupy w brytyjskich e-sklepach po Brexicie będą wymagały podjęcia podobnych czynności jak w przypadku zakupów w sklepach zlokalizowanych na innych kontynentach. Przykładowo w amerykańskich sklepach interentowych. W takiej zaś sytuacji większość konsumentów może woleć zakupy w tych drugich, ponieważ najcześciej ceny są tam niższe, a ryzyko prawne takie samo. O ile w ogóle zdecydują się ich dokonać poza Unią Europejską.

Obowiązywanie eIDAS

Niedługo nadejdzie 1 lipca 2016 r., a wraz z nim obowiązywanie eIDAS. Data ta nie jest jedynym terminem rozpoczęcia stosowania rozporządzenie eIDAS. Część przepisów już obowiązuje, a niektóre zaczną dopiero 29 września 2018 r. Ten ostatni termin związany jest z systemami identyfikacji elektronicznej. Dotyczy wprowadzenia zasady obligującej do wzajemnego uznawania przez państwa notyfikowanych systemów identyfikacji elektronicznej. Dzień 1 lipca 2016 r. jest datą zasadniczą dla usług zaufania.

W gruncie rzeczy nowe prawo unijne stanowi jedynie ramy prawne dla narzędzi informatycznych. Aby były one użyteczne konieczne jest ustanowienie w prawie krajowym konkretnych zachęt. W szczególności powinno dojść co zrównania skutków prawnych usług zaufania z dotychczas stosowanymi rozwiązaniami. W odmiennym razie usługi zaufania będą zwiększały bezpieczeństwo biznesowe i informatyczne, ale nie poprawią sytuacji prawnej danego podmiotu. Wszystko wskazuje, że polski ustawodawca przypisze konkretne skutki prawne jedynie kwalifikowanemu podpisowi elektronicznemu. Nie będzie to jednak nowość, lecz kontynuacja obecnego stanu rzeczy.

Obowiązywanie eIDAS a dawne rozwiązania

Rozpoczęcie stosowania rozporządzenia eIDAS nie oznacza likwidacji narzędzi dotychczas używanych na rynku. Przeciwnie, nowe prawo podtrzymuje ich działanie i stwarza podstawy do metamorfozy zgodnej z nowymi regulacjami. Ustanowiono zasadę ciągłości. Kwalifikowane certyfikaty wydane na mocy starego prawa będą uznawane za kwalifikowane certyfikaty podpisów elektronicznych w rozumieniu eIDAS. Jednak nie bezterminowo, a jedynie do czasu ich wygaśnięcia. Po tym okresie ich odnowienie powinno dokonać się już na nowych zasadach.

Zapewniono również ciągłość funkcjonowania dotychczasowych podmiotów świadczący usługi certyfikacyjne. Do czasu przekazania raportu z oceny zgodności i zakończenia oceny przez organ nadzoru będą uważane za kwalifikowanych dostawców usług zaufania w rozumieniu eIDAS. Niezłożenie wspomnianego raportu spowoduje, że z dniem 2 lipca 2017 r. podmioty te stracą jednak taki status.

Prawdopodobnie zasada ciągłości znajdzie swój wyraz również w polskiej ustawie. Planuje się wprowadzenie przepisu stanowiącego, że tam gdzie wymaga się kwalifikowanego podpisu elektronicznego dopuszcza się użycie dotychczasowego bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Oczywiście takie uregulowanie bezpośrednio wiąże się z utrzymaniem ważności starych certyfikatów.

eIDAS a prawo polskie

Polski ustawodawca prawdopodobnie nie zdąży do czasu rozpoczęcia stosowania rozporządzenie eIDAS uchwalić ustawy dostosowującej prawo krajowe. Pracę nad polską ustawą o usługach zaufania i identyfikacji elektronicznej są jednak dość intensywne. Nie można zatem wykluczyć, że jednak będzie na czas. Uniknięto by wtedy chaosu prawnego. Przede wszystkim ułatwiłoby to działanie polskim dostawcom usług zaufania. Do czasu uchwalenie ustawy ich sytuacja biznesowa nie będzie w pełni jasna.

W nowej ustawie nie podoba mi się przede wszystkim jej tytuł. Powinien korespondować z rozporządzeniem eIDAS, a nie być jego odwrotnością. Kształt tytułu polskiej ustawy może okazać się niestety symboliczny. Wyjdzie na to, że unijny prawodawca wysuwa na pierwszy plan systemy identyfikacji elektronicznej. Są one pierwsze w tytule rozporządzenie eIDAS. Natomiast polski ustawodawca woli usługi zaufania, gdyż to one będą pierwsze w nazwie ustawy.

Wyliczyłem, że polska ustawa zmieni ponad 70 innych ustaw. Sporo. Niestety większość tych zmian ma charakter jedynie nazewniczy. Wprowadza się pojęcie kwalifikowanego podpisu elektronicznego w miejsce bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.

Niepokoi, że polski ustawodawca uregulował jedynie trzy kwalifikowane usługi zaufania, a resztą pominął. Mianowicie polska ustawa będzie mówiła wprost o kwalifikowanym podpisie elektronicznym, kwalifikowanej pieczęci elektronicznej i kwalifikowanych elektronicznych znacznikach czasu. Jednak nawet w tak wąskim obszarze nie skorzystano w pełni z możliwości przez te usługi oferowane. Zwłaszcza nie uczyniono z pieczęci elektronicznej bardziej użytecznego rozwiązania poprzez przypisanie jest konkretnych skutków prawnych. Również dość ograniczone zastosowanie miałby mieć zaawansowany podpis elektroniczny. Przede wszystkim skupiono się na kwalifikowanym podpisie elektronicznym, co niebezpiecznie upodobnia nowe prawo do starego pod względem użyteczności.

Beacony

Beacony to niewielkie i tanie nadajniki, dzięki którym smartfon wie, w jakiej lokalizacji aktualnie się znajduje. Beacon poprzez bluetooth emituje sygnał, który aktywuje na smartfonie (w zainstalowanej tam aplikacji mobilnej) określone działania. Na marginesie jedynie wyjaśnię, że niekoniecznie beacony muszą być powiązane z smartfonem. Możliwe jest ich połączenie ze zwykłym komputerem. Jednak najlepiej, z uwagi na mobilność, sprawdzają się w tej roli właśnie smartfony.

Technologia beaconów jest bardzo prosta. Nierzadko brakuje jednak pomysłu na ich ciekawe wykorzystanie w praktyce. Niewątpliwie im bardziej skomplikowana funkcjonalność, tym problematyka prawna trudniejsza.

Warto dodać, że polscy dostawcy rozwiązań beaconowych radzą sobie relatywnie dobrze na rynków. Mogliby jednak jeszcze lepiej, gdyby nabywcy technologii potrafili ją dobrze wykorzystać. A z tym już gorzej. Niemniej perspektywy wydają się obiecujące.

Beacony w praktyce

Z kilku testowanych przeze mnie rozwiązań wykorzystujących beacony, pozytywnie oceniam te oferowane przez instytucje użyteczności publicznej. Są one po prostu funkcjonalne (przydatne). Nadto są łatwe w obsłudze.

Zdecydowanie gorzej prezentuje się obecne wykorzystanie beaconów przez podmioty komercyjne. Zachęcałbym te podmioty do zrewidowania swoich koncepcji. Zwłaszcza porzucenia kierunku skupiającego się na profilowaniu konsumentów (ta kwestia bezpośrednio wiąże się z problematyką prawną). Nie tędy droga. Nic z tego nie będzie w dłuższej perspektywie, ani dla klientów, ani też dla sklepu. Lepiej tak to skonstruować, aby poprzestać na zachęcaniu do dokonania zakupu towaru lub usługi.

Polecałbym beacony w szczególności galeriom handlowym i restauracjom. Stosowanie beaconów przez pojedyncze sklepy to jednak zbyt mało i istnieje ryzyko braku efektywności. W beaconach tkwi ogromny potencjał do poprawy obsługi klienta, w tym zachęcenia go do kolejnych zakupów. Dopiero jak już zostanie to dobrze zaimplementowane i sprawdzi się w praktyce, to można rozważyć profilowanie konsumentów.

Prawo a beacony

Kluczowy problem prawny z beaconami dotyczy szeroko rozumianego przesyłania informacji. Jeśli taka informacja nie jest zamawiana przez odbiorcę to jest SPAMem. Rozsyłanie zaś SPAMu jest zakazane. Samo zainstalowanie aplikacji mobilnej na smartfonie może nie być wystarczające do uznania, że została wyrażona zgoda na przesyłanie reklam. Zwłaszcza wobec faktu, że zgodna ta nie może być domniemana, a w takiej sytuacji właśnie dochodzi do domniemania. Projektując zatem komercyjne rozwiązania z beaconami należy oprzeć się na modelu, w którym zgoda na otrzymywanie reklam wyrażana jest wprost.

W przypadku profilowania konsumentów przy pomocy beaconów trzeba zaś uwzględnić prawne aspekty przetwarzania danych osobowych. Nie jest rekomendowane profilowanie. Jak wyżej wskazano, najcześciej psuje to użyteczność całego rozwiązania.

Ciekawym wątkiem prawnym związanym z beaconami jest wykorzystywania ich jako zabezpieczeń. Becony doczepione do przedmiotu mogą chronić ten przedmiot przed kradzieżą, gdyż ruch takiego przedmiotu może aktywować alarm. W takim stanie rzeczy rodzi się wątpliwość, czy odpowiedzialność karna za kradzież powinna być surowsza?

Szczegółowe kwestie prawne związane z beaconami opisałem w artykule pt. „Mikronawigacja przy wykorzystaniu beaconów” w prawniczym czasopiśmie naukowym „Monitor Prawniczy” (nr 10 z 2016 r.).

Filozofia Agile a elastyczna umowa

Kontynuując rozważania dotyczące prawnych aspektów realizacji projektu w ramach filozofii Agile warto rozważyć czy może umowa wdrożeniowa nie powinna być tak samo elastyczna jak „zwinna” jest przedmiotowa metodologia? Jak zatem powinna wyglądać umowa Agile? Oczywiście elastyczność nie oznacza bałaganu – wręcz przeciwnie. Jasne jest, że metodologia Agile zakłada zorganizowany sposób realizacji projektu. Niemniej w większym stopniu chodzi o samoorganizację, aniżeli o tworzenie formalnej hierarchii. Choć ona również może mieć, i najczęściej ma, miejsce.

Jak zatem wyglądać miałaby elastyczna umowa Agile?

Przede wszystkim przy elastycznej umowie z góry zakładane byłyby częste zmiany jej poszczególnych zapisów. Kluczową rolą prawa, w tym kontraktów, jest zapewnienie stabilności i przewidywalności. Tych wartości nie da się uwzględnić jeśli już na wstępie jest oczywiste, że umowa będzie modyfikowana. Na marginesie można zauważyć, że jest to pierwszoplanowa wskazówka co do treści umowy Agile. Właśnie jedynie to co absolutnie pewne powinno trafić do treści kontraktu.

Dlaczego elastyczne umowa jest niezbyt dobrym rozwiązaniem?

Problem mógłby zaistnieć już co do określenia technicznego sposobu zmiany elastycznej umowy, tak aby zapewniona została jej przejrzystość. Jeżeli zmiana umowy miałaby polegać na zawieraniu aneksów, to bardzo szybko narodziłby się problem braku klarowności. Być może również umowa stałaby się również niespójna. Już z tego względu, czyli z punktu widzenia całkowicie wizualnego i niemerytorycznego, częste zmiany umowy wydają się niedopuszczalne i sprzeczne z filozofią Agile jako komplikujące prowadzenie projektu z uwagi na rozrost dokumentacji.

Konieczność zmian w umowie można nawet uznać za najlepsze kryterium określające, że umowa nie została sporządzona we właściwy sposób, czyli z odpowiednią dawka wyobraźni, która jest niezbędna w przypadku metodologii Agile. Inaczej na to patrząc, można byłoby powiedzieć, że częste zmiany oznaczają, że faktycznie mamy do czynienia z tradycyjną umową, a nie umową dostosowaną do charakteru metodologii Agile.

Jeszcze większym problemem, choć jak wskazano, już ten poprzedni jest niebagatelny, byłoby określenie sposobu dojścia do porozumienia pomiędzy stronami umowy w zakresie zmian. To właśnie przy aneksowaniu umów nierzadko objawia się dobitnie nierównowaga stron kontraktu, kiedy strona silniejsza jest w stanie (niby w drodze negocjacji) wymusić na słabszej stronie korzystne dla siebie rozwiązania. Najczęściej wiąże się to z okolicznością, że słabsza strona nie może dotrzymać pierwotnych warunków umowy, przy czym nierzadko z przyczyn od niej niezależnych i niezawinionych. Jednak faktycznie  stają się one wstępem do rozpoczęcia rozmów o zmianach, mogących prowadzić do rezultatów wcześniej przez słabszą stronę nieprzewidywanych.

Zmiany musiałyby mieć charakter obopólnej zgody. Trudno byłoby dopuścić wariant, jako sprzeczny ze swobodą kontraktową, że jedna ze stron zostałaby wyposażona, mocą przepisów pierwotnej umowy, w kompetencję do jednostronnej zmiany treści tej umowy.

Samo pojęcie zmiany umowy może być rozumiane jednak nie tylko jako faktyczne wstawianie w miejsce starych zapisów umownych nowych. Można ją ująć jako stwarzanie możliwości interpretacji poszczególnych przepisów stosownie do potrzeb. W gruncie rzeczy nie zmienia to w przedmiotowej kwestii zbyt wiele. Problemem byłoby przede wszystkim określenie kto byłby uprawniony do dokonywania, wiążącej obie strony, interpretacji umowy. Musiałoby do tego dochodzić, jak się wydaje, w drodze obopólnej zgody albo co do nowej interpretacji, albo poprzez zgodę na wyznaczenia bezstronnego podmiotu, który dokona interpretacji mającej na uwadze dobro projektu. Faktycznie takie rozwiązanie może doprowadzi do jeszcze większego chaosu aniżeli zwykłe zmiany umowy. Poza problemami właściwymi dla zastępowania starych przepisów nowymi, doszłyby kolejne. Nie byłoby bowiem jasne, które z przepisów konkretnie zmienia nowa interpretacja.

Stabilność umowy Agile jako gwarancja powodzenia projektu

Stosowanie metodologii Agile może nierzadko prowadzić do konfliktów lub nieporozumień, w szczególności w projektach o wysokim stopniu innowacyjności i kreatywności. W takiej sytuacji to właśnie umowa powinna być ostoją i punktem odniesienia dla rozwiązywania ewentualnych konfliktów. Rozwiązania prawne, w tym zapisy umowne, z natury są bezstronne. Powoduje to, że rozwiązania wyznaczane bezpośrednio przez prawo są możliwe do zaakceptowania przez wszystkie strony.

E-rozprawa w postępowaniu sądowym

Wczoraj prowadziłem zorganizowaną na Uniwersytecie Wrocławskim konferencję naukową poświęconą „e-rozprawie”, czyli najważniejszemu obecnie, według mnie, zagadnieniu w zakresie informatyzacji sądownictwa. Przedmiotem konferencji pn. „Rozprawa na odległość – wykorzystanie wideokonferencji  w postępowaniu sądowym” były dwie kwestie:

  • zorganizowaniu posiedzenia sądowego na odległość
  • i przeprowadzeniu dowodu na odległość.

W czasie konferencji problematykę e-rozprawy rozpatrywana na gruncie postępowania cywilnego, karnego i arbitrażowego.  Choć e-rozprawa z pozoru faktycznie polega na tym samym w każdym z tych postępowań, to w postępowaniu cywilny i postępowaniu karnym występują całkowicie różne regulacje (pod względem literalnym odmienne, ale traktujące mniej więcej o tym samym).

Konferencja była transmitowana na żywo w Internecie, ale nie to ją wyróżnia, lecz to, że transmisja odbywała się na Facebooku. Każdy mógł ją zobaczyć na facebookowym wydarzeniu dedykowanym konferencji. Konferencja w równym stopniu była adresowana do uczestniczących w niej jako słuchacze w uniwersyteckiej uniwersytecki sali, jak też do oglądających ją na Facebooku.

W mojej ocenie aktualnie nie ma potrzeby stawiania pytania czy wprowadzać e-rozprawy. W znacznym zakresie jest to już przecież zrobione. Rodzi się jednak problem jak e-rozprawa powinna wyglądać, aby przyczynić się do zwiększenia efektywności sądownictwa. Można postawić tezę że ustawodawca powinien znacznie złagodzić i uelastycznić niedawno ustanowione regulacje prawne dotyczące e-rozprawy. Wreszcie powinna być upowszechniona rozprawy opierająca się na wykorzystaniu zwykłych urządzeń, a nie jedynie na profesjonalnym sprzęcie sądowym.

Konferencja można zobaczyć pod linkiemhttps://www.facebook.com/events/479137318950385/