Kiedy zdjęcie jest utworem fotograficznym?

Już samo postawienie pytania jak w tytule ukazuje, że nie każde zdjęcie jest utworem fortograficznym. Tym samym nie każde zdjęcie jest chronione przez prawo autorskie. Może być tak, że komuś kto zrobił zdjęcie nie będą przesługiwały żadne prawa autorskie. J

akie zatem cechy musi mieć zdjęcie, aby było utorem, a tym smaym było chronione przez prawo autorskie? Na wstępie napiszę, że nie chodzi tutaj o dopełnienie jakichkolwiek formalności. Zdjęcie nie staje się utoworem fotograficznym przez to, że zostało gdzieś zarejestrowane, albo udekorowane znaczkiem wskazującym na ochronę autorską. Zdjęcie jest utoworem, jest ma cechy utworu, czyli:

  • jest przejawem działalności twórczej,
  • a nadto ta działalność twórcza ma indywidualny charakter.

Są to dość ogólne kryteria, stąd nierzadko nie będzie w pełni jasne kiedy zdjęcie jest, a kiedy nie jest utworem. Można jednak posłużyć się takim przykładem. Jeśli ktoś zrobi zwykłe zdjęcie długopisowi, ale też każdy inny kto robiłby zdjęcie temu długopisowi, zrobiłby dokładnie takie samo zdjęcie, to nie byłoby wtedy ani cech twórczych, ani indywidulanyh. Nie wyklucza to jednak, że ktoś tak zrobi to zdjęcie (np. doda oświetlenie lub tło), że będzie ono już miało cechy twórcze.

Funkcjonowanie e-sądu a standardy konstytucyjne

Wczoraj wspomniałem, że 19.9.2015 miałem referat „Elektroniczne postępowanie upominawcze po nowelizacji” na Ogólnopolskim Zjeździe Katedr i Zakładów Postępowania Cywilnego. A dziś otrzymałem książkę z moim rozdziałem również traktujący o e-sądzie, ale w całkiem innym kontekście (konkretnie: rozdział „Elektroniczne postępowanie upominawcze w świetle konstytucyjnych zasad wymiaru sprawiedliwości” w książce pod redakcją Ł. Błaszczaka „Konstytucjonalizacja postępowania cywilnego”).

Moim zdaniem mechanizm elektronicznego postępowania upominawczego nie budzi wątpliwości konstytucyjnych. Jednak w praktyce niektóre przepisy są nieodpowiednio interpretowane, co może już nie odpowiadać standardom konstytucyjnym. Dotyczy to w szczególności kompetencji referendarzy do podejmowania decyzji o niewydaniu nakazu zapłaty w tym postępowaniu. Choć referendarze mają kompetencje do niewydawania nakazów, to jednak w praktyce nierzadko zbyt szeroko interpretują podstawy do podjęcia takiej decyzji, co właśnie budzi wątpliwości nie tylko na gruncie Kodeksu postępowania cywilnego, ale też Konstytucji RP.

Zdjęcia krajobrazu na Instagramie

Jeśli robimy zdjęcia na tle naturalnego krajobrazu lub po prostu na zdjęciu ma być tylko krajobraz, to nie ma to znaczenia dla prawa autorskiego. Problem zaczyna się jeśli otaczają nas różnego rodzaju utwory, zwłaszcza budynki (utwory architektoniczne), tzw. mała architektura (też utwory architekniczne), a tym bardziej publicznie wystawione rzeźby i instalacje artystyczne. Oczywiście coś co wygląda z pozoru jako naturalne, również może być utworem, np. ogród. Aby być uprawnionym do zamieszczania na Instgramie zdjęć na takim, musi istnieć konktretny przepis prawa autorskiego, który to umożliwia. Takim przepisami są regulacje dotyczące tzw. prawa wolności panoramy lub krócej: prawa panoramy.

Nie jest tak, że jeśli coś jest publicznie dostępne, to można dowolnie rozpowszechniać fotogrofie zrobione temu miejscu. Rozpowszechniać można tylko zgodnie z prawem panoramy.

Zgodnie z obecnym brzmieniem art. 33 ustawy o prawie autorskim i prawach pokrewnych jeśli mamy do czynienia z utworami wystawionymi na stałe na ogólnie dostępnych drogach, ulicach, placach lub w ogrodach (czyli np. rzeżba wystawiona na chodniku), to wolno je nieodpłatnie rozpowszechniać, jednak nie do tego samego użytku (wracając do przykładu: można zatem zamieścić na Insta zdjęcie takiej rzeźby, ale pod warunkiem, że jasno widać, iż to zdjęcie rzeźby stojącej na chodniku).

Z kolei w przypadku utworów wystawionych w publicznie dostępnych zbiorach, takich jak muzea, galerie, sale wystawowe (przykład: tym razem rzeźba jest w środku budynku, a nie na ulicy), to wolno je nieodpłatnie rozpowszechniać pod dwoma warunkami:

  • rozpowszechnienie następuje w katalogach i w wydawnictwach publikowanych dla promocji tych utworów, a także w sprawozdaniach o aktualnych wydarzeniach w prasie i telewizji,
  • rozpowszechnienie jest uzasadnione wyłącznie celem informacyjnym.

Planowane są zmiany legislacyjne w przedmiotowym zakresie. W ich myśl wolno będzie korzystać z utworów w celu reklamy publicznie dostępnej wystawy lub publicznej sprzedaży utworów, w zakresie uzasadnionym promocją tej wystawy lub sprzedaży, ale z wyłączeniem innego handlowego wykorzystania. Korzystanie, o którym mowa powyżej, dotyczyć ma w szczególności publicznie dostępnych wystaw w muzeach, galeriach, salach wystawowych i obejmować korzystanie z utworów w ogłoszeniach, katalogach i innych materiałach rozpowszechnianych dla promocji wystawy lub sprzedaży oraz wystawienie lub inne udostępnianie egzemplarzy utworów dla tych celów.

Na koniec jedna ważna rzecz: to że ktoś zrobił zdjęcie korzystając z prawa  panoramy, to wcale nie znaczy, iż inni mogą z tego zdjęcia korzystać. Zrobione zdjęcie jest z zasady utworem i ten kto je zrobił ma do niego prawa autorskie. Wyjaśniając to na przykładzie. Jeśli ktoś zrobił widoku ulicy Marszałkowskiej w Warszawie i korzystając z prawa wolności panoramy zamieścił to zdjęcie na Instagramie, to wcale nie znaczy, że ktoś inny może to zdjęcie skopiować i zamieścić na swoim Facebooku jako własne. Jeśli ktoś potrzebuje zdjęcia ul. Marszałkowskiej, ponieważ chce nim przyozdobić swoją stronę w Internecie, to powinnien albo kupić takie zdjęcie (lub otrzymać w darowiźnie), albo pojechać i sam je zrobić. Innego wyjścia nie ma.

Elektroniczne postępowanie upominawcze po nowelizacji

Od ostatniego piątku do niedzieli (18-20.9.2015) odbywał się na Uniwersytecie Wrocławskim Ogólnopolski Zjazd Katedr i Zakładów Postępowania Cywilnego. W ramach panelu dotyczącego informatyzacji przedstawiłem referat „Elektroniczne postępowanie upominawcze po nowelizacji”. Dotyczył przede wszystkim nowelizacji Kodeksu postępowania cywilnego z 10.7.2015 w zakresie dotyczącym tytułowego postępowania.

Krótko mówiąc: tworzone ostatnimi czasy prawo jest niezbyt udane (delikatnie mówiąc). Choć może zawsze tak było:)

Przywołana nowelizacji, przynajmniej w odniesieniu do elektronicznego postępowania upominawczego, jest tego bardzo reprezentacyjnym przykładem. Zresztą poprzednia nowelizacja – z maja 2015 – w tym zakresie również taka jest. Na plus niewątpliwie przemawia to, że jest mimo wszystko lepsza niż ostatnie zmiany dotyczące tzw. s24, czyli zakładania spółki jawnej i komandytowej za pomocą Internetu.

Dane zdrowotne w kontekście zakresu podmiotowego ustawy

Aby dane zdrowtne kwalifikować bądź pod art. 6 ustawy o ochronie danych osobowych (czyli regulacji mówiącej kiedy mamy do czynienia z danymi osobowymi), bądź art. 27 tej ustawy (czyli przepisy określające kiedy dane mają charakter „wrażliwy”), w pierwszej kolejności trzeba rozważyć czy podmiot przetwarzający te dane podlega pod zakres podmiotowy polskiej ustawy o ochronie danych osobowych. Dla uproszczenia wywodu, który chyba i tak prosty nie będzie, za podmiot przetwarzający uznam „właściciela” apki.

Na pewno jeśli podmiot taki ma siedzibę lub miejsce zamieszkania w Polsce to podlega pod polską ustawę o ochronie danych osobowych. Przetwarzanie danych osobowych musi również mieć związek z działalnością zarobkową, zawodowa lub służyć realizacji celów statutowych, ale zakładam, że te wymogi są zawsze spełnione, ponieważ raczej nikt nie będzie budował apki zdrowotnej kierują się innymi powodami.

Jednak nie tylko siedziba i miejsca zamieszkania określa zakres podmiotowy regulacji chroniących dane osobowe. Polskiej ustawy o ochronie danych osobowych przestrzegać muszą również podmioty mające siedzibę w państwie trzecim, czyli poza Polską, o ile przetwarzają one dane osobowe przy wykorzytsaniu środków technicznych znajdujących się na terytorium Polski. Jednak ustawy nie stosuje się jeżeli takie środki techniczne umiejscowione w Polsce służą wyłącznie do przekazywania danych. Nie jest jednak jasne co to znaczy „środki techniczne znajdujące się na terytorium Polski” oraz „przekazywanie danych”. Wątpliwości co do znaczenia tych pojęć powodują, że mając do czynienia z jakąś aplikacją, czy też szerzej systemem teleinformatycznym, nie wiadomo na 100% czy powinny przestrzegać polskich regulacji dotyczących ochrony danych osobowych.

Dla polskich przedsiębiorców kluczowe jest związanie polską ustawą w oparciu o siedzibę. Niezależnie zatem, gdzie przetwarzają dane, to z uwagi na siedzibę związani są polską ustawą o ochronie danych osobowych.

Dane o zdrowiu jako dane osobowe

Tak jak wskazałem w poprzednim wpisie dziś kilka słów na temat uznania danych zdrowotnych za dane osobowe. Nie będzie zatem o ich kwalifikowaniu jako „wrażliwe” dane osobowe (o tym w poprzednim poście), ale czy w ogóle są to dane osobowe. Aby były to dane osobowe muszą to być, zgodnie z art. 6 ustawy o ochronie danych osobowych, informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Jeśli apka wymaga logowania, czyli założenia w jej ramach konta (profilu) użytkownika, to z zasady można wtedy mówić o danych osobowych. Odmiennie w przypadku kiedy dane są całkowicie anonimowe. Jednak nie jest zbytnio jasne co w cyberprzestrzeni jest anonimowe. Prosty przykład: nie wiem czy dane gromadzone w applowksiej apce Zdrowie są czy nie są anonimowe. Niby nie ma tam żadnego mojego konta, ale z drugiej strony cały telefon jest podpięty pod moją tożsamość. Konieczne byłoby zatem głębsze zbadanie tej apliakcji, jak i każdej innej.

W każdym razie wniosek jest krótki: aby informacje zdrowotne były danymi osobowymi muszą dotyczyć zindetyfikowanej lub możliwej do zidentyfikowania osoby (bezpośrednio lub nawet pośrednio).

Dane zdrowotne jako WRAŻLIWE dane osobowe

Poruszałem już na tym blogu kwestię aplikacji zdrowotnych. Prawdopodbnie będę też do tego zagadnienia wielokrotnie wracał. Zachęcam do zapoznania się z nimi poprzez kliknięcie w przypisany do tego wpisu tag/kategorię „Zdrowie”, ponieważ nie powtarzam róznych problemów, ale czasami, aby zrozumieć jeden z nich, trzeba uwzględnić szerszy kontekst. Ten szerszy kontekst tworzy zaś włąsnie zbiór wpisów na tym blogu:)

Dlaczego zająłem się tym tematem? Uważam, że tego typu apki „mają przyszłość”, dlatego przepisy prawne powinny wspierać ich rozwój. Niestety tak nie jest. Obecnie obowiązujące prawo troche innaczej postrzegało cele przetwarzania danych zdrowotnych. Można śmiało założyć, że twórcy ustawy o ochronie danych osobowych nie mieli wyobrażenia, że dane zdrowtne mogą być przetwarzana w celach „samoleczenia”, a zatem służyć głównie osobie, której te dane dotyczą. Samoleczenie nie wyklucza przy tym, że właściciel apki w jakiś sposób będzie czerpał z niej zysk.

W jednym z poprzednich wpisów zasygnalizowałem problem zakwalifikowania danych zdrowotnych jako „wrażliwych” danych osobowych, które to podlegają szczególnej ochronie (krótko mówiąć: poza kilkama wyjątkami przetwarzanie takich danych jest zabronione na równi z informacjami o poglądach politycznych, wyznaniu i zyciu seksualnym). To jeden z trzech kluczowych problemów na gruncie ochrony danych osobowych – drugi dotyczy bardziej generalnego rozstrzygnięcia czy dane zdrowotne są w ogóle danymi osobowymi, a trzeci czy „właściciel” apliakcji podlega pod zakres przedmiotowy polskiej ustawy o ochronie danych osobowych.  Innymi słowy, są trzy zagadnienia:

  1. czy dane zdrowotne są „wrażliwymi” danymy osobowymi?
  2. czy dane zdrowotne są w ogóle „danymi osobowymi”?
  3. czy apka gromadząca dane zdrowtne podlega pod zakres podmiotowy polskiej ustawy o ochornie danych osobowych?

Jest jeszcze jeden ogólny problem, ale mający wymiar techniczny. Aby problem ochrony danych osobowych zaistniał z zasada dane te powinny być przesyłane na zewnętrzny serwer. Jeśli dane osobowe „nie opuszczają” smartfona to zazwyczaj nie zajdzie problem ochrony danych osobowych – nie jest to jednak całkowicie wykluczone, gdyż wszystko zależy od konstrukcji apki i modelu biznesowego.

W tym wpisie zajmię się pierwszą kwestią, drugą w jutrzejszym, a trzecią kiedyś tam. Zaczynam zatem od problemu szczegółowego, a tematy ogólniejsze (wstępne) przedstawię w dalszej kolejności. Choć jest to wbrew logice, to jednak gdyby uznać, że dane zdrowotne nie są danymi wrażliwymi w rozumieniu ustawy o ocronie danych osobowych, to tematy ogólniejsze stają się już mało porywające:)

Odpowiedz na pytanie czy dane zdrowotne są wrażliwymi danymi osobowymi, czyli takimi o jakich mówi art. 27 ustawy o ochronie danych osobowych, zależy zawsze od konkretnej aplikacji zdrowotnej. Różnie przecież można skonfugurować apki, przez co mogą wykorzystywać odmienne informacje. Przyjmę tutaj za bazową applowską apkę „Zdrowie” (dostępną chyba tylko w IOS > 8 i raczej tylko na urządzeniach nowszej generacji – być może dostępna jest tylko w iPhone 6 i 6 plus, a niedługo w „s”). W przypadku innych apek można poczynić analogię do poniższych twerdzeń.

Przedmiotowa apka umożliwia gromadzenie m.in. takich informacji:

  • ciśnienie tętnicze,
  • częstotliwość skurczów,
  • temperatura,
  • tętno,
  • masa mięśniowa,
  • tkanka tłuszczowa,
  • waga,
  • cukier we krwi,
  • nasycenie tlenem,
  • indeks perfuzji obwodowej.

W mojej ocenie wszystkie z tych tych informacji to dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych, a zatem są to dane wrażliwe. Zresztą nawet w apce „Zdrowie” są nazwane jako „Dane zdrowotne”. Wydaje mi się, że obecnie nimałej części tych danych nie można jeszcze wprowadzić do tej apki z powodu braku stosownych urządzeń wejściowych. Ja znam póki co tylko Apple Watcha jako urządzenie, które pozwalałoby na dostarczenie części tych danych.

Powyższe nie wystarczy do uznania, że cała apka podlega pod regulację ustawy o ochronie danych osobowych, w tym pod art. 27 tej ustawy traktującej o danych wrażliwych. Konieczne jest również, aby były to dane osobowe, czyli dane identyfikujące konkretną osobę – o tym, jak już zapowiedziałem powyżej, w jutrzejszym wpisie.

 

Zgoda na przetwarzanie danych w celu zakupu towarów w sklepie internetowym

Robiąc zakupy w Internecie prawie zawsze można się natknąć na opcje do odhaczenia o brzmieniu: „wyrażam zgodę na przetwarzanie moich danych osobowych w celu wykonania umowy”. Ogólnie rzecz ujmując, to uważam, że dobrze, iż takie opcje są do odznaczenia (niezależnie od wymogów prawnych), ponieważ uwidacznia to konsumentowi fakt podawania swoich danych osobowych oraz zwraca uwagą na ich przetwarzanie przez sklep. Jednak zgoda na przetwarzaniu danych osobowych w celu wykonania umowy często jest niepotrzebna.

Wprawdzie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi, że „przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę”, ale art. 23 ust. 1 pkt 3 tej ustawy mówi, że przetwarzanie możliwe jest również bez zgody, o ile „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”. Sklep internetowy z mocy prawa jest zatem uprawniony do przetwarzani danych osobowych w celu realizacji umowy. Nie musi mieć zgody. Faktycznie jednak często taka zgoda dotyczy bardziej prowadzenia profilu osobistego na portalu, aniżeli realizacji konkretnej umowy. Wtedy jest wymaga, ponieważ trudno wiązać funkcjonowanie profilu osobistego z realizacją konkretnej (a zatem pojedynczej) umowy.

Przy okazji tylko wskaże, że ewentualne wiązanie zgody na przetwarzanie danych osobowych w celu realizację umowy z innymi celami (np. marketingowymi) jest niedopuszczalne. Naruszałoby to interesy konsumentów.

Aplikacje zdrowotne a dane osobowe

W poprzednim wpisie zasygnalizowałem problematykę przetwarzania wrażliwych danych osobowych na potrzeby aplikacji zdrowotnych. Sprawa jest „na czasie”, ponieważ producenci ostatnio oszaleli na punkcie technologii ubieralnych (wearables). A te technologie najczęściej związane są właśnie ze zdrowiem.

Uprzedzając dalszą część wpisu mam obecnie wątpliwość czy funkcjonowania mobilnych aplikacji zdrowotnych ma podstawy prawne. Innymi słowy, czy aby czasem działanie takich aplikacji jest niedopuszczalne w świetle wymogów związanych z przetwarzaniem danych osobowych. Ale po kolei.

Po pierwsze, trzeba się zastanowić czy aplikacje zdrowotne korzystają z wrażliwych danych osobowych w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych? Nie odwołuję się tutaj do konkretnej apki, ponieważ żadnej jeszcze nie znam zbyt dobrze, ale poczynię uwagi ogólne i każdy sam może je odnieść do poszczególnych aplikacji. W każdym razie, zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych do wrażliwych danych osobowych zaliczają się m.in. dane o stanie zdrowia i nałogach. Czy zatem są „dane o stanie zdrowia”? Na pewno są nimi informacje o chorobach – jeśli apka dedykowana jest konkretnej chorobie (np. depresji), to się zatem kwalifikuje pod dane wrażliwe. Jednak również aplikacje monitorujące ilość różnych składników w organizmie, to apki gromadzące dane o stanie zdrowia. Oczywiście konieczne jest. aby były to „dane osobowe”, czyli dane identyfikujące konkretną osobę, lecz w sytuacji wymogu logowania do takich aplikacji nie trudno o uznanie, że są to dane osobowe.

Po drugie, trzeba wiedzieć że przetwarzanie wrażliwych danych osobowych jest z zasady zabronione (art. 27 ust. 1 ustawy o ochronie danych osobowych). Przetwarzanie wrażliwych danych osobowych jest jednak dopuszczalne, w oparciu o art. 27 ust. 2 pkt 1,2,3,7 i 8 ustawy o ochronie danych, jeśli:

  1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie (zwracam uwagę, że chodzi tutaj o zgodę „na piśmie”, a do tej pory nie spotkałem się z praktyką, aby uruchomienie apki następowało po wysłaniu zgody na piśmie),
  2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody (nie ma przepisów szczególnych innych ustaw, które można zastosować przy gromadzeniu informacji przez apki),
  3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody (ta przesłanka już całkiem nie pasuje do apek, ponieważ wymaga „ochrony żywotnych interesów” oraz braku fizycznej lub prawnej zdolności do wyrażenia zgody), 
  4. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (ta przesłana nawet pasowałoby do apek, jednak tylko gdyby apki służyły fachowym usługom medycznym, a nie samo-profilaktyce),
  5. przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą (raczej takich danych nikt nie podaje do publicznej wiadomości, zatem też ta przesłana odpada).

Podsumowując zatem powyższe – dostrzegam sporo problemów z funkcjonowaniem zdrowotnych aplikacji mobilnych:)

Wrażliwe dane osobowe

Tegoroczne zmiany w ustawie o ochronie danych osobowych  wzmocniły rolę Administratora Bezpieczeństwa Informacji (ABI). Powołanie ABI jest o tyle korzystne, że wtedy nie trzeba rejestrować u GIODO zbiorów danych osobowych, lecz to ABI prowadzi „własny” rejestr takich zbiorów danych osobowych. Nie jest to jednak całkowita prawda. Nie zawsze powołanie ABI zwalnia z obowiązku zgłoszenia zbiorów danych osobowych do GIODO. Wyjątek ten dotyczy tzw. danych wrażliwych (danych sensytywnych), a konkretnie tych wskazanych w art. 27 ust. 1 ustawy o ochronie danych osobowych.

Danymi wrażliwymi są zatem dane o:

  • pochodzeniu rasowym lub etnicznym,
  • poglądach politycznych,
  • przekonaniach religijnych lub filozoficznych,
  • przynależności wyznaniowej, partyjnej lub związkowej,
  • stanie zdrowia,
  • kodzie genetycznym,
  • nałogach,
  • życiu seksualnym
  • skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

Zbiór jakichkolwiek z powyższych danych osobowych trzeba zgłosić do GIODO, nawet jeśli został powołany Administrator Bezpieczeństwa Informacji (ABI).

Powyższy zbiór danych ma istotne znaczenie dla rodzącego się rynku aplikacji, głównie o charakterze zdrowotnych. Konieczność zgłoszenia takich danych do GIODO stanowi tylko jeden z wielu problemów dla świata technologii. Zresztą problem chyba najmniejszy. Więcej napiszę w kolejnym (jutrzejszym) wpisie poświęconym w całości właśnie aplikacjom zdrowotnym w kontekście przetwarzania danych osobowych.