Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Prawo nowych technologii – najważniejsze zmiany legislacyjne w 2024 (Polska i UE)
38 views
Skip to first unread message
ZiP
Jan 11, 2024, 6:28:01 PM1/11/24
to
Xawery Konarski
Senior Partner at Traple Konarski Podrecki & Partners (Cybersecurity Internet IT Privacy Technology Telco)
I. Cyberbezpieczeństwo.
1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
Status: Dyrektywa NIS2 została opublikowana w Dzienniku Urzędowym UE w dniu 27 grudnia 2022 r. (L 333/80) i weszła w życie w dniu 16 stycznia 2023 r., a jej transpozycja do prawa krajowego ma nastąpić do dnia 17 października 2024 r. W chwili obecnej nie ma jeszcze decyzji w Polsce, czy implementacja dyrektywy NIS2 nastąpi w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), czy też zostanie uchwalona nowa ustawa.
Kogo dotyczy: podmioty uznane za tzw. podmioty kluczowe i ważne w rozumieniu NIS 2, którymi mogą być zarówno podmioty publiczne, jak prywatne. Rozróżnienie to ma znaczenie z uwagi na różne systemy nadzoru, którym te podmioty będą podlegać. Dyrektywa NIS2 znacznie rozszerza zakres sektorów i wprowadza próg wielkości w celu określenia, które podmioty wchodzą w jej zakres stosowania. W praktyce, status taki będą mieli dotychczasowi operatorzy usług kluczowych i dostawcy usług cyfrowych w rozumieniu ustawy o KSC, a także nowe kategorie podmiotów, nieobjęte do tej pory przepisami ustawy o KSC (np. firmy produkcyjne, wymienione w załączniku nr 2 dyrektywy NIS2). Przepisami dyrektywy NIS 2 objęte mają być przy tym średnie i duże przedsiębiorstwa w rozumieniu zalecenia nr 2003/361/WE, nie będą jej natomiast podlegały mikro i małe przedsiębiorstwa w rozumieniu tego aktu prawnego.
Najważniejsze postanowienia dyrektywy NIS 2:
1) w dyrektywie NIS 2 dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne zastąpiono podziałem na podmioty kluczowe i ważne, istotnemu rozszerzeniu uległ również – w stosunku do dotychczasowego stanu prawnego - katalog sektorów objętych działaniem dyrektywy.
2) najważniejsze obowiązki podmiotów kluczowych i ważnych to wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych.
3) w celu zagwarantowania przestrzegania przez podmioty kluczowe i ważne obowiązków określonych w dyrektywie NIS 2, wprowadzono system środków nadzoru oraz egzekwowania przepisów, w tym możliwość nakładania przez regulatora wysokich kar pieniężnych.
2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (dyrektywa CER), tzw. dyrektywa o odporności podmiotów krytycznych.
Status: Dyrektywa CER, podobnie jak dyrektywa NIS2, weszła w życie 16 stycznia 2023 roku i ma być transponowana do prawa krajowego również do dnia 17 października 2024 r.
Kogo dotyczy: adresatami obowiązków określonych w dyrektywie CER mogą być zarówno podmioty publiczne, jak prywatne.
Najważniejsze postanowienia dyrektywy o odporności podmiotów krytycznych:
1) wraz z dyrektywą NIS 2 tworzy ona komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.
2) dyrektywą CER ustanowione zostały krajowe ramy dotyczące odporności podmiotów krytycznych. W ich skład wchodzi przede wszystkim strategia w zakresie odporności podmiotów krytycznych, ocena ryzyka przeprowadzana przez państwa członkowskie oraz mechanizm identyfikacji podmiotów krytycznych.
3) w załączniku do dyrektywy wymieniono sektory, w ramach których będą wyznaczane podmioty krytyczne. Do dnia 17 lipca 2026 r. każde państwo członkowskie ma zidentyfikować podmioty krytyczne dla sektorów i podsektorów określonych w załączniku. Uznanie za podmiot krytyczny następuje w drodze decyzji administracyjnej. Dyrektywa CER wprowadza również szczególną kategorię podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
4) podmioty krytyczne będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
5) każde państwo członkowskie ma obowiązek wyznaczyć co najmniej jeden właściwy organ odpowiedzialny za prawidłowe stosowanie i – w stosownych przypadkach – egzekwowanie przepisów określonych w niniejszej dyrektywie na poziomie krajowym.
6) organy właściwe na podstawie dyrektywy CER otrzymały możliwość skorzystania z dwóch rodzajów środków nadzoru: przeprowadzania kontroli oraz przeprowadzania lub zlecania audytów.
3. Projekt Rozporządzenia Parlamentu Europejskiego w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020 (Cyber Resilience Act), tzw. Rozporządzenie o cyberodporności.
Status: Projekt Rozporządzenia o cyberodporności został opublikowany przez Komisję Europejską w dnia 15 września 2022 r., COM(2022) 454 final 2022/0272 (COD). Planowane jest uchwalenie Rozporządzenie w pierwszej połowie 2024 r., przewiduję się, że zacznie ono obowiązywać w ciągu 24-36 miesięcy od daty wejścia w życie.
Kogo dotyczy: producenci i dystrybutorzy produktów z elementami cyfrowymi.
Najważniejsze postanowienia projektu Rozporządzenia o cyberodporności:
1) jest to pierwszy, horyzontalny akt prawny w Unii Europejskiej, który wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla produktów posiadających elementy cyfrowe. Ma mieć zastosowanie do wszystkich produktów, które są bezpośrednio lub pośrednio połączone z innym urządzeniem lub siecią (np. Internet rzeczy, IoT).
2) projekt Rozporządzenie ma na celu zapewnienie podstawowego poziomu bezpieczeństwa produktów z elementami cyfrowymi, tak aby skutecznie chronić firmy i konsumentów przed zagrożeniami cyberbezpieczeństwa.
3) w projekcie Rozporządzenia w szczególności ustanawia się: a) przepisy dotyczące wprowadzania do obrotu produktów z elementami cyfrowymi, b) wymogi dotyczące projektowania, opracowywania i produkcji produktów z elementami cyfrowymi oraz obowiązki podmiotów gospodarczych w odniesieniu do tych produktów w zakresie cyberbezpieczeństwa, c) wymogi dotyczące procedur postępowania w przypadku wykrycia podatności wprowadzonych przez producentów w celu zapewnienia cyberbezpieczeństwa produktów z elementami cyfrowymi w całym cyklu ich życia oraz obowiązki podmiotów gospodarczych w odniesieniu do tych procedur oraz d) przepisy dotyczące nadzoru rynku i egzekwowania wyżej wymienionych przepisów i wymogów,
4) po wejściu w życie Rozporządzenia produkty z elementami cyfrowymi mają być opatrzone oznakowaniem CE wskazującym, że spełniają odpowiednie normy,
5) w projekcie Rozporządzenia przewidziano system sankcji, w tym wysokich kar pieniężnych, za naruszenie jego wymogów.
II. Innowacje.
1. Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji)
Status: aktualnie procedowany projekt Aktu został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Jego uchwalenie jest planowane w pierwszym kwartale 2024 r. Akt w sprawie sztucznej inteligencji co do zasady ma zacząć obowiązywać 24 miesiące od jego wejścia w życie, część przepisów ma jednak obowiązywać w ciągu 6 miesięcy, a przepisy dotyczące tzw. generatywnej sztucznej inteligencji w ciągu 12 miesięcy od wejścia w życie Aktu.
Kogo dotyczy: Akt w sprawie sztucznej inteligencji ma stosować się do: a) dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w UE, niezależnie od tego, czy dostawcy ci mają siedzibę w Unii czy w państwie trzecim oraz b) użytkowników systemów sztucznej inteligencji, którzy znajdują się w Unii. Zgodnie z rozwiązaniem przyjętym w Rozporządzeniu, ma się ono również stosować dostawców i użytkowników systemów sztucznej inteligencji, którzy znajdują się w państwie trzecim tj. poza Unią Europejską, jeżeli tylko wyniki działania systemu są wykorzystywane w Unii.
Najważniejsze postanowienia projektu Aktu w sprawie sztucznej inteligencji:
1) w projekcie Rozporządzeniu wprowadzono zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji w Unii,
2) podstawowym celem przepisów Aktu jest ograniczenie ryzyk związanych ze stosowaniem systemów sztucznej inteligencji,
3) w Rozporządzeniu przyjęte zostało podejście do SI oparte na zasadzie ryzyka. Założono bowiem, że systemy niosące za sobą wyższy poziom ryzyka powinny podlegać szerszym i bardziej restrykcyjnym wymogom, niż systemy których to wykorzystywanie wiąże się jedynie z ograniczonym lub niskim ryzykiem.
4) w projekcie Aktu wprowadzono listę zakazanych systemów SI (np. systemy tworzące lub rozszerzające bazy danych rozpoznawania twarzy poprzez nieukierunkowane pobieranie obrazów twarzy z Internetu lub nagrań z kamer przemysłowych),
5) wprowadzono szczególne wymogi dotyczące systemów sztucznej inteligencji wysokiego ryzyka oraz obowiązki spoczywające na podmiotach będących operatorami takich systemów. Systemami takim są systemy wymienione w załączniku III do Aktu w sprawie sztucznej inteligencji.
6) nałożono dodatkowe obowiązki na dostawców i systemów generatywnej inteligencji, m.in.:
a) obowiązki z zakresu przejrzystości tzn. informacje dla użytkowników, że treści zostały wygenerowane przez SI, a także informacje jak działa dany system SI),
b) obowiązek „trenowania” modeli w sposób zapewniający odpowiednie zabezpieczenia przed generowaniem treści naruszających prawo UE oraz
c) obowiązek dokumentowania i publicznego udostępniania szczegółowego podsumowania wykorzystania „danych treningowych” chronionych prawem autorskim,
7) w projekcie Rozporządzenia określono listę zakazanych praktyk w zakresie sztucznej inteligencji,
8) wprowadzono obowiązek ustanowienia w każdy państwie członkowskim UE organu ds. sztucznej inteligencji,
9) za nieprzestrzeganie przepisów Aktu w sprawie sztucznej inteligencji przewidziane są wysokie kary pieniężne.
2. Projekt Dyrektywy UE w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję).
Status: Projekt dyrektywy UE w sprawie odpowiedzialności za SI został opublikowany w dniu 28 września 2022 r., obecnie prowadzone są prace legislacyjne nad nim. Z uwagi na rozbieżności stanowisk ujawnione w trakcie tych prac, uchwalenie w tej kadencji Parlamentu Europejskiego dyrektywy w sprawie odpowiedzialności za SI, należy uznać za wątpliwe.
Najważniejsze postanowienia dyrektywy w sprawie odpowiedzialności za SI:
1) Dyrektywa ma zastosowanie do pozaumownych roszczeń cywilnoprawnych z tytułu szkód wyrządzonych przez system sztucznej inteligencji, w przypadku gdy są one wnoszone w ramach systemów odpowiedzialności na zasadzie winy. W związku z tym wprowadzona ona szczególne regulacje dotyczące:
a. ujawniania dowodów dotyczących systemów sztucznej inteligencji (AI) wysokiego ryzyka, aby umożliwić powodowi uzasadnienie pozaumownego cywilnoprawnego roszczenia odszkodowawczego opartego na zasadzie winy;
b. ciężaru dowodu w przypadku pozaumownych cywilnoprawnych roszczeń odszkodowawczych opartych na zasadzie winy wnoszonych do sądów krajowych z tytułu szkód spowodowanych przez system sztucznej inteligencji.
III. Internet.
1. Akt o Usługach Cyfrowych (AUC).
Status: Akt o usługach cyfrowych w stosunku w stosunku do zdecydowanej większości dostawców usług pośrednich zacznie obowiązywać od dnia 17 lutego 2024 r., a wyjątkowo jedynie przepisy AUC zaczęły obowiązywać od 25 sierpnia 2023 r. w stosunku do tzw. dostawców bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych, a więc podmiotów, które których średnia liczba aktywnych użytkowników miesięcznie wynosi co najmniej 45 milionów i których status został potwierdzony decyzją Komisji Europejskiej (w chwili obecnej są to 22 platformy). Akt o usługach cyfrowych ma być uzupełniony ustawą wprowadzającą, w której mają zostać określone kompetencje i zasady funkcjonowania organu nadzoru nad przestrzeganiem przepisów Rozporządzenia.
Kogo dotyczy: podmioty określane w Akcie o Usługach Cyfrowych jako dostawcy usług pośrednich (pośrednicy internetowi). Przykładami podmiotów podlegających obowiązkom określonym w AUC są: dostawcy usług hostingu (np. centra danych), serwisy społecznościowe, internetowe platformy handlowe, internetowe sklepy z aplikacjami, platformy wymiany treści przez użytkowników oraz serwisy online umożliwiające np. zakup usług turystycznych lub wynajem lokali od osób prywatnych. Przepisy AUC stosują się również do dostawców usług pośrednich spoza UE, o ile poprzez niego będą oferowane towary lub usługi na terytorium UE
Najważniejsze postanowienia ustawy wprowadzającej Akt o Usługach Cyfrowych (AUC):
1) podstawowym celem AUC jest stworzenie bezpieczniejszego środowiska cyfrowego poprzez uregulowanie sposobu, w jaki dostawcy usług pośrednich (pośrednicy internetowi) wchodzą w interakcje z użytkownikami (np. w zakresie handlu elektronicznego, czy reklamy internetowej) oraz zakres obowiązków pośredników internetowych w zwalczaniu nielegalnych oraz szkodliwych treści rozpowszechnianych w Internecie
2) AUC będzie miał wpływ przede wszystkim na sposób prowadzenia i zakres odpowiedzialności związany z prowadzeniem działalności gospodarczej w Internecie (handel elektroniczny, reklama internetowa, serwisy umożliwiające użytkownikom zamieszczanie ich treści etc.) oraz zakres praw przysługujących użytkowników Internetu
3) w AUC utrzymano dotychczasowe wyłączeń/ograniczeń odpowiedzialności pośredników internetowych za przesyłane/przechowywane cudze bezprawne treści. Wyłączenia te do tej pory określone były w ustawie o świadczeniu usług drogą elektroniczną.
4) w AUC ustanowiono nowe zasady moderowania treści w Internecie, w tym w zakresie zwalczania treści nielegalnych i szkodliwych
5) w AUC przyznano nowe uprawnienia użytkownikom Internetu, kwestionującym podejmowane w stosunku do nich decyzje przez pośredników internetowych
6) w AUC zwiększono bezpieczeństwa handlu elektronicznego, w szczególności w transakcjach B2C,
7) w AUC zwiększono transparentność reklamy internetowej oraz ustanowiono ograniczenia jej prowadzenia (tzw. reklama targetowana),
8) zakres obowiązków w AUC jest dostosowany do rodzaju, wielkości i charakteru danej usługi pośredniej (zasada proporcjonalności)
9) w AUC wprowadzono obowiązek ustanowienia organów nadzorczych w każdym państwie członkowskim UE („koordynator ds. usług cyfrowych”)
10) w AUC wprowadzono system sankcji za nieprzestrzeganie przepisów Rozporządzenia, w tym kar pieniężnych, których maksymalna wartość kar nałożonych za uchybienie obowiązkom przewidzianym w AUC wynosi 6 % rocznego przychodu lub obrotu danego dostawcy usług pośrednich.
2. Projekt Rozporządzenia UE w sprawie przejrzystości i targetowania reklamy politycznej
Status: Projekt Rozporządzenia w sprawie reklamy politycznej został opublikowany 25 listopada 2021 r., w chwili obecnej trwają prace nad Rozporządzeniem, jego uchwalenie jest planowane w pierwszym półroczu 2024 r. Rozporządzenie ma zacząć obowiązywać w ciągu 18 miesięcy od wejścia w życie.
Kogo dotyczy: Rozporządzenie ma zastosowanie do dostawców usług reklamy politycznej. Stosuje się ono w szczególności do reklamy politycznej przygotowywanej, zamieszczanej, promowanej, publikowanej lub rozpowszechnianej w Unii Europejskiej lub kierowanej do osób fizycznych w jednym lub kilku państwach członkowskich, niezależnie od miejsca prowadzenia działalności przez dostawcę usług reklamowych i niezależnie od wykorzystanych środków.
Najważniejsze skutki projektu Rozporządzenia w sprawie reklamy politycznej:
1) wprowadzono szereg obowiązków dotyczących transparentności reklamy politycznej oraz zgłaszania przypadków reklamy niezgodnej z prawem,
2) ustanowiono zakaz targetowania reklamy politycznej w oparciu o dane „ujawniające poglądy polityczne”, o ile adresat reklamy nie wyrazi na to zgody
IV. Telekomunikacja.
1. Projekt ustawy-Prawo komunikacji elektronicznej (PKE).
Status: Polska była zobowiązana do implementacji do dnia 21 grudnia 2020 r. przepisów dyrektywy nr 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (EKŁE). Polska nie dotrzymała tego terminu, w szczególności w poprzedniej kadencji Sejmu nie uchwalono projektu Prawa komunikacji elektronicznej. Zgodnie z zapowiedziami przedstawicieli nowego rządu, nowy projekt PKE ma zostać opublikowany w I kwartale 2024 r. chwilą przyjęcia PKE dojdzie do uchylenia przepisów ustawy-Prawo telekomunikacyjne.
Kogo dotyczy: w EKŁE rozszerzono, w stosunku do dotychczasowego stanu prawnego, zakres podmiotowy tej regulacji i objęcie nią poza tradycyjnymi przedsiębiorcami telekomunikacyjnymi, również podmioty nie świadczące usług telekomunikacyjnych. Chodzi w szczególności o podmioty świadczące usługi komunikacji interpersonalnej niewykorzystującej numerów, określane jako usługi OTT (Over-the-top). Przykładami usług tego rodzaju są: poczta elektroniczna, komunikatory internetowe, czy czaty internetowe.
V. Własność intelektualna.
1. Projekt nowelizacji ustawy o prawa autorskim i prawach pokrewnych
Status: na poziomie Unii Europejskiej uchwalona została Dyrektywa nr 2019/790/UE z dnia 17 kwietnia 2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym. Dla branży internetowej najważniejsze znaczenie ma art.17 Dyrektywy. Termin implementacji dyrektywy 2019/790/UE upłynął 7 czerwca 2021 r., Polska nie dotrzymała tego terminu, w szczególności w poprzedniej kadencji Sejmu nie uchwalono projektu nowelizacji ustawy o prawie autorskim i prawach pokrewnych, która stanowi implementację dyrektywy 2019/709/UE (projekt pochodził z dnia 17 listopada 2022 r. W chwili obecnej, nie ma jeszcze deklaracji nowego rządu, kiedy zostanie przygotowany nowy projekt nowelizacji implementującej dyrektywę UE nr 2019/790/UE.
Kogo dotyczy (z punktu widzenia prawa nowych technologii): dostawcy usług udostępniania treści online.
Najważniejsze skutki regulacji nowelizacji prawa autorskiego (z punktu widzenia prawa nowych technologii):
1) przepisy dyrektywy 2019/709/UE między zakładają, że dostawca usług udostępniania treści online będzie mógł rozpowszechniać utwory zamieszczane przez użytkowników wyłącznie za zgodą osoby uprawnionej do owych utworów (tj. twórcy, producenta, nabywcy praw majątkowych, etc.)
2) odpowiedzialność usługodawcy za naruszenie praw autorskich wskutek rozpowszechnienia utworów bez zezwolenia ma się opierać na zasadzie ryzyka, a zwolnienie z odpowiedzialności będzie wymagać łącznego spełnienia szeregu przesłanek; w konsekwencji, proponowana zmiana ustawy prawnoautorskiej wprowadza obowiązek monitorowania treści przez dostawców internetowych platform video etc.
VI. Zarządzanie danymi.
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/868 w sprawie europejskiego zarządzania danymi (Akt w sprawie zarządzania danymi).
Status: Rozporządzenie zaczęło obowiązywać na terytorium całej Unii Europejskiej, w tym Polski, od dnia 24 września 2023 r. Miało być ono uzupełnione tzw. ustawą wprowadzającą, między innymi określającą kompetencje organu odpowiedzialnego za wykonanie jego przepisów. Polska uchybiła temu wymogowi, w szczególności w poprzedniej kadencji Sejmu nie został uchwalony projekty ustawy w sprawie zarządzania danymi.
Kogo dotyczy: podmioty sektora publicznego oraz podmioty prywatne.
Najważniejsze postanowienia Aktu w sprawie zarządzania danymi:
1) poszerzenie możliwości ponownego wykorzystywania informacji sektora publicznego przez podmioty prywatne,
2) określenie zasad świadczenia usług pośrednictwa danych pomiędzy podmiotami prywatnymi
Akt w sprawie zarządzania danymi tworzy ramy prawne promujące nowy model biznesowy wymiany danych, jakim są regulowane usługi pośrednictwa danych pomiędzy podmiotami prywatnymi. Wprowadzonym w Akcie w sprawie zarządzania danymi rozwiązaniem jest ustanowienie systemu zaufanych pośredników, którzy mają działać w sposób neutralny aby zapewnić tę neutralność, podmioty te nie mogą wymieniać danych we własnym interesie (np. sprzedając je innemu przedsiębiorstwu lub wykorzystując je do opracowania własnego produktu lub usługi). określenia reguł dobrowolnego udostępniania danych przez osoby fizyczne lub przedsiębiorstwa dla wspólnego dobra (interesu ogólnego) – tzw. altruistyczne podejście do danych.
3) uregulowano tzw. altruistyczne podejście do danych czyli kwalifikowanej formy prawnej dzielenia się danymi. Chodzi w szczególności o sytuacje, w których osoby fizyczne lub przedsiębiorstwa dobrowolnie dostarczają dane na cele dobra publicznego (np. projektu badawczego w dziedzinie medycyny), a wykorzystanie tych danych nie będzie miało charakteru komercyjnego. Podmioty zamierzające gromadzić dane do celów leżących w interesie ogólnym mogą ubiegać się o wpisanie ich do krajowego rejestru uznanych organizacji zajmujących się altruizmem danych. Ma to budować niezbędne zaufanie do altruizmu danych i zachęcić osoby fizyczne i przedsiębiorstwa do przekazywania danych takim organizacjom, aby mogły one być wykorzystywane dla ogólnego dobra społecznego.
2. Rozporządzenie UE w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Akt w sprawie danych).
Status: Akt w sprawie danych wejdzie w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać po upływie 20 miesięcy.
Kogo dotyczy:
a) producenci produktów i usług, które wytwarzają dane,
b) posiadacze danych,
c) odbiorcy danych w UE,
d) podmioty publiczne, które zwracają się o udostępnienie danych,
e) dostawcy usług przetwarzania danych w UE. Rozporządzenie stosuję się zarówno do danych nieosobowych, jak osobowych.
Najważniejsze postanowienia projektu Aktu w sprawie danych:
1) jeżeli chodzi o wzajemne relacje Aktu w sprawie zarządzania danymi i Aktu w sprawie danych, to wzajemnie się one uzupełniają w tym sensie, że Akt o zarządzaniu danymi koncentruje się na ramach prawnych, procesach i strukturach wspierających wymianę danych, a projekt Aktu o danych kładzie większy nacisk na wyjaśnienie, kto i na jakich warunkach ma prawo korzystać z danych,
2) Akt w sprawie danych ustanawia zharmonizowane przepisy dotyczące udostępniania danych generowanych w wyniku korzystania z produktu lub powiązanej usługi, użytkownikom tego produktu lub tej usługi,
3) Rozporządzenie zwiększa dostęp do danych, między innymi poprzez przyznanie użytkownikom prawa do żądania wydania danych wygenerowanych przez produkty lub powiązane z nimi usługi z których korzystają,
4) w Akcie w sprawie danych wskazano katalog postanowień umownych dotyczących dostępu do danych i korzystania z nich kwalifikowanych jako postanowienia nieuczciwe,
5) w Rozporządzeniu określono wyjątkowe sytuacje, gdy istnieje obowiązek udostępniania danych podmiotom publicznym,
6) Akt w sprawie danych zawiera również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu m.in. ułatwienia zmiany dostawców usług przetwarzania danych w chmurze.
7) w Rozporządzeniu wprowadzono obowiązek wyznaczenie właściwego organu odpowiedzialnego za przestrzeganie przepisów Aktu w sprawie danych,
8) w Rozporządzeniu określono również system sankcji, w tym kar pieniężnych, za nieprzestrzeganie przepisów Aktu w sprawie danych.
Senior Partner at Traple Konarski Podrecki & Partners (Cybersecurity Internet IT Privacy Technology Telco)
I. Cyberbezpieczeństwo.
1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
Status: Dyrektywa NIS2 została opublikowana w Dzienniku Urzędowym UE w dniu 27 grudnia 2022 r. (L 333/80) i weszła w życie w dniu 16 stycznia 2023 r., a jej transpozycja do prawa krajowego ma nastąpić do dnia 17 października 2024 r. W chwili obecnej nie ma jeszcze decyzji w Polsce, czy implementacja dyrektywy NIS2 nastąpi w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), czy też zostanie uchwalona nowa ustawa.
Kogo dotyczy: podmioty uznane za tzw. podmioty kluczowe i ważne w rozumieniu NIS 2, którymi mogą być zarówno podmioty publiczne, jak prywatne. Rozróżnienie to ma znaczenie z uwagi na różne systemy nadzoru, którym te podmioty będą podlegać. Dyrektywa NIS2 znacznie rozszerza zakres sektorów i wprowadza próg wielkości w celu określenia, które podmioty wchodzą w jej zakres stosowania. W praktyce, status taki będą mieli dotychczasowi operatorzy usług kluczowych i dostawcy usług cyfrowych w rozumieniu ustawy o KSC, a także nowe kategorie podmiotów, nieobjęte do tej pory przepisami ustawy o KSC (np. firmy produkcyjne, wymienione w załączniku nr 2 dyrektywy NIS2). Przepisami dyrektywy NIS 2 objęte mają być przy tym średnie i duże przedsiębiorstwa w rozumieniu zalecenia nr 2003/361/WE, nie będą jej natomiast podlegały mikro i małe przedsiębiorstwa w rozumieniu tego aktu prawnego.
Najważniejsze postanowienia dyrektywy NIS 2:
1) w dyrektywie NIS 2 dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne zastąpiono podziałem na podmioty kluczowe i ważne, istotnemu rozszerzeniu uległ również – w stosunku do dotychczasowego stanu prawnego - katalog sektorów objętych działaniem dyrektywy.
2) najważniejsze obowiązki podmiotów kluczowych i ważnych to wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych.
3) w celu zagwarantowania przestrzegania przez podmioty kluczowe i ważne obowiązków określonych w dyrektywie NIS 2, wprowadzono system środków nadzoru oraz egzekwowania przepisów, w tym możliwość nakładania przez regulatora wysokich kar pieniężnych.
2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (dyrektywa CER), tzw. dyrektywa o odporności podmiotów krytycznych.
Status: Dyrektywa CER, podobnie jak dyrektywa NIS2, weszła w życie 16 stycznia 2023 roku i ma być transponowana do prawa krajowego również do dnia 17 października 2024 r.
Kogo dotyczy: adresatami obowiązków określonych w dyrektywie CER mogą być zarówno podmioty publiczne, jak prywatne.
Najważniejsze postanowienia dyrektywy o odporności podmiotów krytycznych:
1) wraz z dyrektywą NIS 2 tworzy ona komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.
2) dyrektywą CER ustanowione zostały krajowe ramy dotyczące odporności podmiotów krytycznych. W ich skład wchodzi przede wszystkim strategia w zakresie odporności podmiotów krytycznych, ocena ryzyka przeprowadzana przez państwa członkowskie oraz mechanizm identyfikacji podmiotów krytycznych.
3) w załączniku do dyrektywy wymieniono sektory, w ramach których będą wyznaczane podmioty krytyczne. Do dnia 17 lipca 2026 r. każde państwo członkowskie ma zidentyfikować podmioty krytyczne dla sektorów i podsektorów określonych w załączniku. Uznanie za podmiot krytyczny następuje w drodze decyzji administracyjnej. Dyrektywa CER wprowadza również szczególną kategorię podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
4) podmioty krytyczne będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
5) każde państwo członkowskie ma obowiązek wyznaczyć co najmniej jeden właściwy organ odpowiedzialny za prawidłowe stosowanie i – w stosownych przypadkach – egzekwowanie przepisów określonych w niniejszej dyrektywie na poziomie krajowym.
6) organy właściwe na podstawie dyrektywy CER otrzymały możliwość skorzystania z dwóch rodzajów środków nadzoru: przeprowadzania kontroli oraz przeprowadzania lub zlecania audytów.
3. Projekt Rozporządzenia Parlamentu Europejskiego w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020 (Cyber Resilience Act), tzw. Rozporządzenie o cyberodporności.
Status: Projekt Rozporządzenia o cyberodporności został opublikowany przez Komisję Europejską w dnia 15 września 2022 r., COM(2022) 454 final 2022/0272 (COD). Planowane jest uchwalenie Rozporządzenie w pierwszej połowie 2024 r., przewiduję się, że zacznie ono obowiązywać w ciągu 24-36 miesięcy od daty wejścia w życie.
Kogo dotyczy: producenci i dystrybutorzy produktów z elementami cyfrowymi.
Najważniejsze postanowienia projektu Rozporządzenia o cyberodporności:
1) jest to pierwszy, horyzontalny akt prawny w Unii Europejskiej, który wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla produktów posiadających elementy cyfrowe. Ma mieć zastosowanie do wszystkich produktów, które są bezpośrednio lub pośrednio połączone z innym urządzeniem lub siecią (np. Internet rzeczy, IoT).
2) projekt Rozporządzenie ma na celu zapewnienie podstawowego poziomu bezpieczeństwa produktów z elementami cyfrowymi, tak aby skutecznie chronić firmy i konsumentów przed zagrożeniami cyberbezpieczeństwa.
3) w projekcie Rozporządzenia w szczególności ustanawia się: a) przepisy dotyczące wprowadzania do obrotu produktów z elementami cyfrowymi, b) wymogi dotyczące projektowania, opracowywania i produkcji produktów z elementami cyfrowymi oraz obowiązki podmiotów gospodarczych w odniesieniu do tych produktów w zakresie cyberbezpieczeństwa, c) wymogi dotyczące procedur postępowania w przypadku wykrycia podatności wprowadzonych przez producentów w celu zapewnienia cyberbezpieczeństwa produktów z elementami cyfrowymi w całym cyklu ich życia oraz obowiązki podmiotów gospodarczych w odniesieniu do tych procedur oraz d) przepisy dotyczące nadzoru rynku i egzekwowania wyżej wymienionych przepisów i wymogów,
4) po wejściu w życie Rozporządzenia produkty z elementami cyfrowymi mają być opatrzone oznakowaniem CE wskazującym, że spełniają odpowiednie normy,
5) w projekcie Rozporządzenia przewidziano system sankcji, w tym wysokich kar pieniężnych, za naruszenie jego wymogów.
II. Innowacje.
1. Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji)
Status: aktualnie procedowany projekt Aktu został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Jego uchwalenie jest planowane w pierwszym kwartale 2024 r. Akt w sprawie sztucznej inteligencji co do zasady ma zacząć obowiązywać 24 miesiące od jego wejścia w życie, część przepisów ma jednak obowiązywać w ciągu 6 miesięcy, a przepisy dotyczące tzw. generatywnej sztucznej inteligencji w ciągu 12 miesięcy od wejścia w życie Aktu.
Kogo dotyczy: Akt w sprawie sztucznej inteligencji ma stosować się do: a) dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w UE, niezależnie od tego, czy dostawcy ci mają siedzibę w Unii czy w państwie trzecim oraz b) użytkowników systemów sztucznej inteligencji, którzy znajdują się w Unii. Zgodnie z rozwiązaniem przyjętym w Rozporządzeniu, ma się ono również stosować dostawców i użytkowników systemów sztucznej inteligencji, którzy znajdują się w państwie trzecim tj. poza Unią Europejską, jeżeli tylko wyniki działania systemu są wykorzystywane w Unii.
Najważniejsze postanowienia projektu Aktu w sprawie sztucznej inteligencji:
1) w projekcie Rozporządzeniu wprowadzono zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji w Unii,
2) podstawowym celem przepisów Aktu jest ograniczenie ryzyk związanych ze stosowaniem systemów sztucznej inteligencji,
3) w Rozporządzeniu przyjęte zostało podejście do SI oparte na zasadzie ryzyka. Założono bowiem, że systemy niosące za sobą wyższy poziom ryzyka powinny podlegać szerszym i bardziej restrykcyjnym wymogom, niż systemy których to wykorzystywanie wiąże się jedynie z ograniczonym lub niskim ryzykiem.
4) w projekcie Aktu wprowadzono listę zakazanych systemów SI (np. systemy tworzące lub rozszerzające bazy danych rozpoznawania twarzy poprzez nieukierunkowane pobieranie obrazów twarzy z Internetu lub nagrań z kamer przemysłowych),
5) wprowadzono szczególne wymogi dotyczące systemów sztucznej inteligencji wysokiego ryzyka oraz obowiązki spoczywające na podmiotach będących operatorami takich systemów. Systemami takim są systemy wymienione w załączniku III do Aktu w sprawie sztucznej inteligencji.
6) nałożono dodatkowe obowiązki na dostawców i systemów generatywnej inteligencji, m.in.:
a) obowiązki z zakresu przejrzystości tzn. informacje dla użytkowników, że treści zostały wygenerowane przez SI, a także informacje jak działa dany system SI),
b) obowiązek „trenowania” modeli w sposób zapewniający odpowiednie zabezpieczenia przed generowaniem treści naruszających prawo UE oraz
c) obowiązek dokumentowania i publicznego udostępniania szczegółowego podsumowania wykorzystania „danych treningowych” chronionych prawem autorskim,
7) w projekcie Rozporządzenia określono listę zakazanych praktyk w zakresie sztucznej inteligencji,
8) wprowadzono obowiązek ustanowienia w każdy państwie członkowskim UE organu ds. sztucznej inteligencji,
9) za nieprzestrzeganie przepisów Aktu w sprawie sztucznej inteligencji przewidziane są wysokie kary pieniężne.
2. Projekt Dyrektywy UE w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję).
Status: Projekt dyrektywy UE w sprawie odpowiedzialności za SI został opublikowany w dniu 28 września 2022 r., obecnie prowadzone są prace legislacyjne nad nim. Z uwagi na rozbieżności stanowisk ujawnione w trakcie tych prac, uchwalenie w tej kadencji Parlamentu Europejskiego dyrektywy w sprawie odpowiedzialności za SI, należy uznać za wątpliwe.
Najważniejsze postanowienia dyrektywy w sprawie odpowiedzialności za SI:
1) Dyrektywa ma zastosowanie do pozaumownych roszczeń cywilnoprawnych z tytułu szkód wyrządzonych przez system sztucznej inteligencji, w przypadku gdy są one wnoszone w ramach systemów odpowiedzialności na zasadzie winy. W związku z tym wprowadzona ona szczególne regulacje dotyczące:
a. ujawniania dowodów dotyczących systemów sztucznej inteligencji (AI) wysokiego ryzyka, aby umożliwić powodowi uzasadnienie pozaumownego cywilnoprawnego roszczenia odszkodowawczego opartego na zasadzie winy;
b. ciężaru dowodu w przypadku pozaumownych cywilnoprawnych roszczeń odszkodowawczych opartych na zasadzie winy wnoszonych do sądów krajowych z tytułu szkód spowodowanych przez system sztucznej inteligencji.
III. Internet.
1. Akt o Usługach Cyfrowych (AUC).
Status: Akt o usługach cyfrowych w stosunku w stosunku do zdecydowanej większości dostawców usług pośrednich zacznie obowiązywać od dnia 17 lutego 2024 r., a wyjątkowo jedynie przepisy AUC zaczęły obowiązywać od 25 sierpnia 2023 r. w stosunku do tzw. dostawców bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych, a więc podmiotów, które których średnia liczba aktywnych użytkowników miesięcznie wynosi co najmniej 45 milionów i których status został potwierdzony decyzją Komisji Europejskiej (w chwili obecnej są to 22 platformy). Akt o usługach cyfrowych ma być uzupełniony ustawą wprowadzającą, w której mają zostać określone kompetencje i zasady funkcjonowania organu nadzoru nad przestrzeganiem przepisów Rozporządzenia.
Kogo dotyczy: podmioty określane w Akcie o Usługach Cyfrowych jako dostawcy usług pośrednich (pośrednicy internetowi). Przykładami podmiotów podlegających obowiązkom określonym w AUC są: dostawcy usług hostingu (np. centra danych), serwisy społecznościowe, internetowe platformy handlowe, internetowe sklepy z aplikacjami, platformy wymiany treści przez użytkowników oraz serwisy online umożliwiające np. zakup usług turystycznych lub wynajem lokali od osób prywatnych. Przepisy AUC stosują się również do dostawców usług pośrednich spoza UE, o ile poprzez niego będą oferowane towary lub usługi na terytorium UE
Najważniejsze postanowienia ustawy wprowadzającej Akt o Usługach Cyfrowych (AUC):
1) podstawowym celem AUC jest stworzenie bezpieczniejszego środowiska cyfrowego poprzez uregulowanie sposobu, w jaki dostawcy usług pośrednich (pośrednicy internetowi) wchodzą w interakcje z użytkownikami (np. w zakresie handlu elektronicznego, czy reklamy internetowej) oraz zakres obowiązków pośredników internetowych w zwalczaniu nielegalnych oraz szkodliwych treści rozpowszechnianych w Internecie
2) AUC będzie miał wpływ przede wszystkim na sposób prowadzenia i zakres odpowiedzialności związany z prowadzeniem działalności gospodarczej w Internecie (handel elektroniczny, reklama internetowa, serwisy umożliwiające użytkownikom zamieszczanie ich treści etc.) oraz zakres praw przysługujących użytkowników Internetu
3) w AUC utrzymano dotychczasowe wyłączeń/ograniczeń odpowiedzialności pośredników internetowych za przesyłane/przechowywane cudze bezprawne treści. Wyłączenia te do tej pory określone były w ustawie o świadczeniu usług drogą elektroniczną.
4) w AUC ustanowiono nowe zasady moderowania treści w Internecie, w tym w zakresie zwalczania treści nielegalnych i szkodliwych
5) w AUC przyznano nowe uprawnienia użytkownikom Internetu, kwestionującym podejmowane w stosunku do nich decyzje przez pośredników internetowych
6) w AUC zwiększono bezpieczeństwa handlu elektronicznego, w szczególności w transakcjach B2C,
7) w AUC zwiększono transparentność reklamy internetowej oraz ustanowiono ograniczenia jej prowadzenia (tzw. reklama targetowana),
8) zakres obowiązków w AUC jest dostosowany do rodzaju, wielkości i charakteru danej usługi pośredniej (zasada proporcjonalności)
9) w AUC wprowadzono obowiązek ustanowienia organów nadzorczych w każdym państwie członkowskim UE („koordynator ds. usług cyfrowych”)
10) w AUC wprowadzono system sankcji za nieprzestrzeganie przepisów Rozporządzenia, w tym kar pieniężnych, których maksymalna wartość kar nałożonych za uchybienie obowiązkom przewidzianym w AUC wynosi 6 % rocznego przychodu lub obrotu danego dostawcy usług pośrednich.
2. Projekt Rozporządzenia UE w sprawie przejrzystości i targetowania reklamy politycznej
Status: Projekt Rozporządzenia w sprawie reklamy politycznej został opublikowany 25 listopada 2021 r., w chwili obecnej trwają prace nad Rozporządzeniem, jego uchwalenie jest planowane w pierwszym półroczu 2024 r. Rozporządzenie ma zacząć obowiązywać w ciągu 18 miesięcy od wejścia w życie.
Kogo dotyczy: Rozporządzenie ma zastosowanie do dostawców usług reklamy politycznej. Stosuje się ono w szczególności do reklamy politycznej przygotowywanej, zamieszczanej, promowanej, publikowanej lub rozpowszechnianej w Unii Europejskiej lub kierowanej do osób fizycznych w jednym lub kilku państwach członkowskich, niezależnie od miejsca prowadzenia działalności przez dostawcę usług reklamowych i niezależnie od wykorzystanych środków.
Najważniejsze skutki projektu Rozporządzenia w sprawie reklamy politycznej:
1) wprowadzono szereg obowiązków dotyczących transparentności reklamy politycznej oraz zgłaszania przypadków reklamy niezgodnej z prawem,
2) ustanowiono zakaz targetowania reklamy politycznej w oparciu o dane „ujawniające poglądy polityczne”, o ile adresat reklamy nie wyrazi na to zgody
IV. Telekomunikacja.
1. Projekt ustawy-Prawo komunikacji elektronicznej (PKE).
Status: Polska była zobowiązana do implementacji do dnia 21 grudnia 2020 r. przepisów dyrektywy nr 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (EKŁE). Polska nie dotrzymała tego terminu, w szczególności w poprzedniej kadencji Sejmu nie uchwalono projektu Prawa komunikacji elektronicznej. Zgodnie z zapowiedziami przedstawicieli nowego rządu, nowy projekt PKE ma zostać opublikowany w I kwartale 2024 r. chwilą przyjęcia PKE dojdzie do uchylenia przepisów ustawy-Prawo telekomunikacyjne.
Kogo dotyczy: w EKŁE rozszerzono, w stosunku do dotychczasowego stanu prawnego, zakres podmiotowy tej regulacji i objęcie nią poza tradycyjnymi przedsiębiorcami telekomunikacyjnymi, również podmioty nie świadczące usług telekomunikacyjnych. Chodzi w szczególności o podmioty świadczące usługi komunikacji interpersonalnej niewykorzystującej numerów, określane jako usługi OTT (Over-the-top). Przykładami usług tego rodzaju są: poczta elektroniczna, komunikatory internetowe, czy czaty internetowe.
V. Własność intelektualna.
1. Projekt nowelizacji ustawy o prawa autorskim i prawach pokrewnych
Status: na poziomie Unii Europejskiej uchwalona została Dyrektywa nr 2019/790/UE z dnia 17 kwietnia 2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym. Dla branży internetowej najważniejsze znaczenie ma art.17 Dyrektywy. Termin implementacji dyrektywy 2019/790/UE upłynął 7 czerwca 2021 r., Polska nie dotrzymała tego terminu, w szczególności w poprzedniej kadencji Sejmu nie uchwalono projektu nowelizacji ustawy o prawie autorskim i prawach pokrewnych, która stanowi implementację dyrektywy 2019/709/UE (projekt pochodził z dnia 17 listopada 2022 r. W chwili obecnej, nie ma jeszcze deklaracji nowego rządu, kiedy zostanie przygotowany nowy projekt nowelizacji implementującej dyrektywę UE nr 2019/790/UE.
Kogo dotyczy (z punktu widzenia prawa nowych technologii): dostawcy usług udostępniania treści online.
Najważniejsze skutki regulacji nowelizacji prawa autorskiego (z punktu widzenia prawa nowych technologii):
1) przepisy dyrektywy 2019/709/UE między zakładają, że dostawca usług udostępniania treści online będzie mógł rozpowszechniać utwory zamieszczane przez użytkowników wyłącznie za zgodą osoby uprawnionej do owych utworów (tj. twórcy, producenta, nabywcy praw majątkowych, etc.)
2) odpowiedzialność usługodawcy za naruszenie praw autorskich wskutek rozpowszechnienia utworów bez zezwolenia ma się opierać na zasadzie ryzyka, a zwolnienie z odpowiedzialności będzie wymagać łącznego spełnienia szeregu przesłanek; w konsekwencji, proponowana zmiana ustawy prawnoautorskiej wprowadza obowiązek monitorowania treści przez dostawców internetowych platform video etc.
VI. Zarządzanie danymi.
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/868 w sprawie europejskiego zarządzania danymi (Akt w sprawie zarządzania danymi).
Status: Rozporządzenie zaczęło obowiązywać na terytorium całej Unii Europejskiej, w tym Polski, od dnia 24 września 2023 r. Miało być ono uzupełnione tzw. ustawą wprowadzającą, między innymi określającą kompetencje organu odpowiedzialnego za wykonanie jego przepisów. Polska uchybiła temu wymogowi, w szczególności w poprzedniej kadencji Sejmu nie został uchwalony projekty ustawy w sprawie zarządzania danymi.
Kogo dotyczy: podmioty sektora publicznego oraz podmioty prywatne.
Najważniejsze postanowienia Aktu w sprawie zarządzania danymi:
1) poszerzenie możliwości ponownego wykorzystywania informacji sektora publicznego przez podmioty prywatne,
2) określenie zasad świadczenia usług pośrednictwa danych pomiędzy podmiotami prywatnymi
Akt w sprawie zarządzania danymi tworzy ramy prawne promujące nowy model biznesowy wymiany danych, jakim są regulowane usługi pośrednictwa danych pomiędzy podmiotami prywatnymi. Wprowadzonym w Akcie w sprawie zarządzania danymi rozwiązaniem jest ustanowienie systemu zaufanych pośredników, którzy mają działać w sposób neutralny aby zapewnić tę neutralność, podmioty te nie mogą wymieniać danych we własnym interesie (np. sprzedając je innemu przedsiębiorstwu lub wykorzystując je do opracowania własnego produktu lub usługi). określenia reguł dobrowolnego udostępniania danych przez osoby fizyczne lub przedsiębiorstwa dla wspólnego dobra (interesu ogólnego) – tzw. altruistyczne podejście do danych.
3) uregulowano tzw. altruistyczne podejście do danych czyli kwalifikowanej formy prawnej dzielenia się danymi. Chodzi w szczególności o sytuacje, w których osoby fizyczne lub przedsiębiorstwa dobrowolnie dostarczają dane na cele dobra publicznego (np. projektu badawczego w dziedzinie medycyny), a wykorzystanie tych danych nie będzie miało charakteru komercyjnego. Podmioty zamierzające gromadzić dane do celów leżących w interesie ogólnym mogą ubiegać się o wpisanie ich do krajowego rejestru uznanych organizacji zajmujących się altruizmem danych. Ma to budować niezbędne zaufanie do altruizmu danych i zachęcić osoby fizyczne i przedsiębiorstwa do przekazywania danych takim organizacjom, aby mogły one być wykorzystywane dla ogólnego dobra społecznego.
2. Rozporządzenie UE w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Akt w sprawie danych).
Status: Akt w sprawie danych wejdzie w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać po upływie 20 miesięcy.
Kogo dotyczy:
a) producenci produktów i usług, które wytwarzają dane,
b) posiadacze danych,
c) odbiorcy danych w UE,
d) podmioty publiczne, które zwracają się o udostępnienie danych,
e) dostawcy usług przetwarzania danych w UE. Rozporządzenie stosuję się zarówno do danych nieosobowych, jak osobowych.
Najważniejsze postanowienia projektu Aktu w sprawie danych:
1) jeżeli chodzi o wzajemne relacje Aktu w sprawie zarządzania danymi i Aktu w sprawie danych, to wzajemnie się one uzupełniają w tym sensie, że Akt o zarządzaniu danymi koncentruje się na ramach prawnych, procesach i strukturach wspierających wymianę danych, a projekt Aktu o danych kładzie większy nacisk na wyjaśnienie, kto i na jakich warunkach ma prawo korzystać z danych,
2) Akt w sprawie danych ustanawia zharmonizowane przepisy dotyczące udostępniania danych generowanych w wyniku korzystania z produktu lub powiązanej usługi, użytkownikom tego produktu lub tej usługi,
3) Rozporządzenie zwiększa dostęp do danych, między innymi poprzez przyznanie użytkownikom prawa do żądania wydania danych wygenerowanych przez produkty lub powiązane z nimi usługi z których korzystają,
4) w Akcie w sprawie danych wskazano katalog postanowień umownych dotyczących dostępu do danych i korzystania z nich kwalifikowanych jako postanowienia nieuczciwe,
5) w Rozporządzeniu określono wyjątkowe sytuacje, gdy istnieje obowiązek udostępniania danych podmiotom publicznym,
6) Akt w sprawie danych zawiera również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu m.in. ułatwienia zmiany dostawców usług przetwarzania danych w chmurze.
7) w Rozporządzeniu wprowadzono obowiązek wyznaczenie właściwego organu odpowiedzialnego za przestrzeganie przepisów Aktu w sprawie danych,
8) w Rozporządzeniu określono również system sankcji, w tym kar pieniężnych, za nieprzestrzeganie przepisów Aktu w sprawie danych.
Arni
Jan 12, 2024, 4:48:33 AM1/12/24
to
W dniu 2024-01-12 o 00:28, ZiP pisze:
sobie zrobić z tym spamem?
--
Arni
> Xawery Konarski
> Senior Partner at Traple Konarski Podrecki & Partners (Cybersecurity Internet IT Privacy Technology Telco)
czy naprawdę trzeba Ci w prostych żołnierskich słowach napisać, co masz
> Senior Partner at Traple Konarski Podrecki & Partners (Cybersecurity Internet IT Privacy Technology Telco)
sobie zrobić z tym spamem?
--
Arni
Sebastian Wincentowicz
Jan 12, 2024, 6:36:01 AM1/12/24
to
On 1/12/24 01:28, ZiP wrote:
**** Nie ma co cytować
Hej prezesie, komplementariuszu Jacek Zontek, Hej CEO i wiceprezesko
Agnieszka Dziedzic Zontek, pójdziecie siedzieć tak jak Wąsik i Kamiński
tylko Prezydent was nie ułaskawi.
************
6 Jeśliby ktoś dał drugiemu pieniądze lub przedmioty wartościowe na
przechowanie i zostałoby to skradzione w domu tego człowieka, a złodziej
zostanie wykryty, winien wypłacić dwukrotne odszkodowanie. 7 Jeśliby nie
wykryto złodzieja, to wówczas stawi się właściciel domu przed Bogiem1 [i
przysięgnie], że nie wyciągnął ręki po dobro drugiego. (Księga Wyjścia 22:6)
**** Nie ma co cytować
Hej prezesie, komplementariuszu Jacek Zontek, Hej CEO i wiceprezesko
Agnieszka Dziedzic Zontek, pójdziecie siedzieć tak jak Wąsik i Kamiński
tylko Prezydent was nie ułaskawi.
************
6 Jeśliby ktoś dał drugiemu pieniądze lub przedmioty wartościowe na
przechowanie i zostałoby to skradzione w domu tego człowieka, a złodziej
zostanie wykryty, winien wypłacić dwukrotne odszkodowanie. 7 Jeśliby nie
wykryto złodzieja, to wówczas stawi się właściciel domu przed Bogiem1 [i
przysięgnie], że nie wyciągnął ręki po dobro drugiego. (Księga Wyjścia 22:6)
Sebastian Wincentowicz
Jan 12, 2024, 7:39:23 AM1/12/24
to
Snoza ale chyba w celu opłacenia podatku od kwoty 1.300.000 i tym samym
kupił sobie koszty za unijne dotacje, rozumiesz?
W 2022r miał jeszcze 177.000 straty wg. sprawozdania złożonego w KRS
przez Jacka Zontka prezesa i Agnieszkę Dziedzic-Zontek wiceprezes.
Zontek zyskał 1.300.000 kosztów, które mógł sprzedać, przekazać dalej
albo samemu spożytkować, zrobić darowiznę.
Marciniak zalegalizował 1.300.000 przychodu, od którego zapłacił 460.000
podatku czyli tyle ile dopłaciła Unia czyli zalegalizował 800.000.
Wszystko wręcz bezgotówkowo.
Jest w tym jeszcze AIMS z pierwszym zleceniem w swojej historii -
programistycznym na około 300.000 i kilka spółek Marciniaka i kto wie co
jeszcze.
Gdyby musiał kupić coś faktycznie za ten 1.300.000 to by się pozbył
kasy, o ile ją w ogóle miał i nici z biznesu. Śledczy muszą się cofnąć
do poprzednich dotacji i wszystkich firm i osób z którymi mieli do
czynienia. Może tamte inne firmy użyły takiego samego mechanizmu i
słomianych projektów?
Teraz trzeba tylko poczekać na wyniki śledztwa i akt oskarżenia.
*****************
"Jako drogę prostą dla ludzi i On zesłał rozróżnienie. Zaprawdę, tych,
którzy nie uwierzyli w znaki Boga – czeka kara straszna! Bóg jest
potężny, włada zemstą! (Koran 3:4)
Marcin Safiejuk
Jan 14, 2024, 4:25:10 PM1/14/24
to
Trzeba chyba poszukać innego głąba, który na jego dennym poziomie
rozumowania byłby mu w stanie wytłumaczyć, że Kali robić niedobrze.
0 new messages