Przeglądana kategoria

prawo IT

prawo autorskie prawo IT

Cloud computing a transfer oprogramowania w modelu SaaS – jak kształtować umowę?

29 stycznia 2018
cloud computing

Cloud computing od kilku lat zyskuje na popularności tak wśród konsumentów, jak i przedsiębiorców. Zgodnie z badaniami Eurostat[1], w 2016 roku 21% przedsiębiorstw, działających na terenie UE, choć raz skorzystało z usług przetwarzania danych w chmurze. Najczęściej były one związane z obsługą poczty elektronicznej (65%), przechowywaniem dokumentów oraz innych plików (62%), hostingowaniem baz danych przedsiębiorstwa (44%), czy też z korzystaniem z dedykowanych aplikacji finansowych i księgowych (32%). Jednocześnie, w analogicznym okresie, jedynie 8% polskich przedsiębiorstw zdecydowało się na eksploatowanie funkcjonalności chmury obliczeniowej w swojej działalności.

Czym jest cloud computing?

Cloud computingiem (chmurą obliczeniową) określamy model dostarczania, udostępniania i/lub wykorzystania technologii informacyjnych przez wiele podmiotów jednocześnie, za pośrednictwem jednej, współdzielonej infrastruktury. Dostęp do tych technologii, w szczególności w zakresie aplikacji bądź usług, oprogramowania lub przechowywanych danych, jest możliwy w zasadzie z dowolnego urządzenia, podłączonego do sieci internetowej.

Korzystanie z chmury obliczeniowej z pewnością stanowi dla przedsiębiorstw źródło wielu korzyści ekonomicznych. Po pierwsze, przedsiębiorstwa korzystające z chmury nie muszą inwestować w tworzenie własnej infrastruktury informatycznej. Po drugie, model biznesowy przewidziany dla usług chmurowych zakłada ich pełną skalowalność. Oznacza to, że wraz ze wzmożonym zainteresowaniem na konkretne usługi chmurowe, odpowiednie zasoby informatyczne są stopniowo poszerzane w celu utrzymania akceptowalnej dla użytkowników wydajności. Skalowalność jest również istotna z punktu widzenia systemu opłat, który co do zasady funkcjonuje w modelu pay as you go (płacisz za to, co zużyjesz). Stąd też, wielkość opłat za usługi chmurowe będzie zależna od wielkości zasobów, które przedsiębiorca wykorzysta w danym okresie rozliczeniowym.

Zagrożenia dla przedsiębiorców

Z drugiej strony, korzystanie z usług chmurowych niesie dla każdego przedsiębiorcy różnego rodzaju zagrożenia. Co do zasady winny być one eliminowane stosownymi postanowieniami umownymi. Trzeba jednak pamiętać, iż korzystanie z usług chmurowych przez nieskończoną ilość podmiotów często eliminuje możliwość prowadzenia indywidualnych negocjacji co do kształtu warunków umowy, bądź też sprzyja narzucaniu przez usługodawcę konkretnych wzorców. Co więcej, użytkownik końcowy (w tym przedsiębiorca) zyskuje w zasadzie dostęp do konkretnego, już istniejącego rozwiązania informatycznego. Usługodawca nie będzie w takim przypadku zainteresowany dostosowywaniem danej usługi pod potrzeby konkretnego podmiotu.

Cloud computing w obrocie gospodarczym

Z uwagi na powyższe coraz częstszym sposobem udostępniania rozwiązań technologicznych w obrocie gospodarczym – zwłaszcza w zakresie oprogramowania – odbywa się z użyciem chmury, zazwyczaj w ramach modelu SaaS (Software as a Service). W takim przypadku usługobiorca zyskuje zdalny dostęp online do aplikacji, z której może korzystać w dowolnym momencie, bez konieczności jej instalacji na swoim urządzeniu.

Nie dochodzi tym samym do zwielokrotnienia utworu, o którym mowa w art. 74 ust. 4 pkt. 1 ustawy o prawie autorskim i prawach pokrewnych, zgodnie z którym:

Autorskie prawa majątkowe do programu komputerowego, z zastrzeżeniem przepisów art. 75 ust. 2 i 3, obejmują prawo do trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego.

W praktyce powyższe wywołuje pewne wątpliwości, co do konieczności udzielania usługobiorcom licencji do korzystania z oprogramowania. Wydaje się jednak, że stosowne postanowienia licencyjne winny się w takich umowach znaleźć, chociażby z uwagi na niepewność prawną w tym zakresie.

O jakie postanowienia warto zadbać w umowie?

Udostępnianie oprogramowania w ramach modelu SaaS powinno odbywać się na podstawie zawieranych pomiędzy stronami umów o świadczenie usług. Poza ogólnymi postanowieniami umownymi – określającymi strony bądź przedmiot umowy – ważne są w tym zakresie:

  • postanowienia dotyczące prawa właściwego bądź jurysdykcji;
  • udzielenie licencji (zwłaszcza określenie czasu trwania oraz terytorium obowiązywania licencji; dostosowanie pól eksploatacji do udostępnianego oprogramowania w modelu SaaS; kwestia udzielania sublicencji; odpowiedzialność za wady prawne i usterki);
  • określenie modelu i zasad obliczania wynagrodzenia dla usługodawcy;
  • obowiązki usługodawcy w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa, tak w zakresie przetwarzania danych osobowych (konieczność dostosowania się do RODO), jak i w zakresie ochrony cyberbezpieczeństwa (konieczność dostosowania się do przepisów dyrektywy NIS oraz ustaw o krajowym systemie cyberbezpieczeństwa);
  • postanowienia dotyczące przenoszalności danych, kształtujących uprawnienie usługobiorcy do migracji danych w celu dalszego ich wykorzystywania, dokonywane w określonym trybie oraz z zachowaniem odpowiednich obowiązków/procedur/terminów;
  • zasady rozwiązywania/wypowiadania umów oraz ważne w tym kontekście ww. postanowienia dot. przenoszalności danych – odpowiednio skonstruowane klauzule pozwolą ograniczyć zjawisko vendor lock-in’u (tj. uzależnienia się od usługodawcy);
  • tzw. klauzule SLA, tj. postanowienia zobowiązujące usługodawcę do zachowania odpowiedniego poziomu usług;
  • określenie procedury zgłaszania błędów oprogramowania (usterek) oraz modyfikacja jego funkcjonalności na żądanie/wniosek usługobiorcy;
  • kary umowne związane z naruszeniem postanowień umownych w zakresie SLA, przenoszalności danych, niezapewnienia odpowiedniego poziomu bezpieczeństwa.

[i] Eurostat, Cloud computing – statistics on the use by enterprises, 2016; http://ec.europa.eu/eurostat/statistics-explained/index.php/Cloud_computing_-_statistics_on_the_use_by_enterprises#Factors_preventing_enterprises_from_using_cloud_computing_.282014_survey.29

0 Komentarzy
nowe technologie prawo IT

Uber jako usługa transportowa – przełomowy wyrok TSUE

20 grudnia 2017
uber

W dniu 20.12.2017 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym stwierdził, że świadczona przez przedsiębiorstwo Uber usługa, umożliwiająca nawiązanie przez pasażerów kontaktów z właścicielami pojazdów, niebędącym zawodowymi kierowcami w celu wykonania przejazdu miejskiego, stanowi usługę w dziedzinie transportu. Oznacza to, że Państwa członkowskie mogą samodzielnie regulować warunki świadczenia usług przez Ubera, przy zapewnieniu poszanowania zasad ogólnych traktatu o funkcjonowaniu Unii Europejskiej. Oznacza to, że Uber będzie musiał dostosować się do warunków świadczenia usług transportowych panujących w każdym z państw członkowskich.

Stan faktyczny

Organizacja zawodowa zrzeszająca kierowców taksówek w Barcelonie – Elite Taxi wniosła pozew o stwierdzenie, że działalność prowadzona przez Uber System Spain, która to spółka jest powiązana z Uber Technologies (dalej łącznie jako: „Uber”), obejmuje czyny nieuczciwej konkurencji i oszukańcze praktyki. Swoje żądanie przedstawiciele Elite Taxi oparli na twierdzeniu, że ani Uber System Spain ani kierowcy pojazdów Ubera, którzy nie wykonują zawodowo działalności przewozowej, nie posiadają licencji ani pozwoleń wymaganych rozporządzeniem w sprawie usług taksówkowych świadczonych w aglomeracji Barcelony.

Sąd, do którego wniesiono powództwo uznał, że aby zbadać zasadność wniesionego powództwa należy wpierw ustalić, czy Uber powinien uzyskać pozwolenie administracyjne do prowadzenia świadczonych usług. W tym celu niezbędne było rozstrzygnięcie, czy świadczone przez tę spółkę usługi należy uznać za „usługi przewozowe”, „usługi społeczeństwa informacyjnego” bądź też połączenie obu rodzajów tych usług. Jeśli doszłoby do uznania, że Uber świadczy usługi, które podlegają dyrektywie w sprawie usług wewnętrznych (a nie transportowych) to prowadzonej działalności i stosowanych praktyk nie można byłoby uznać za nieuczciwe, czego żądali powodowie.

Uber w toku postępowania twierdził, że nie jest organizatorem usług transportu ani nie jest firmą taksówkarską, dostarczając jedynie aplikację, z której korzystają osoby zainteresowane, tj. kierowcy i pasażerowie.

TSUE: Uber to usługa przewozowa

W ogłoszonym wyroku TSUE orzekł, że „usługę pośrednictwa stosowaną przez Uber, która polega na odpłatnym umożliwianiu nawiązania kontaktów przez aplikację na inteligentny telefon, między właścicielami pojazdów niebędącymi zawodowymi kierowcami a osobami chcącymi przebyć trasę miejską, należy uznać za usługę nierozerwalnie związaną z usługą przewozową, a tym samym za usługę wchodzącą w zakres „usług w dziedzinie transportu”, w rozumieniu prawa Unii. Tego rodzaju usługę należy zatem wyłączyć z zakresu zastosowania zasady swobodnego świadczenia usług w ogólności, a także z zakresu stosowania dyrektywy dotyczącej usług na rynku wewnętrznym i dyrektywy o handlu elektrycznym”.

TSUE uznał więc, że usługa świadczona przez Uber nie ogranicza się wyłącznie do pośrednictwa pomiędzy kierowcą a pasażerem. Wynika to z tego, że Uber – jako pośrednik – tworzy jednocześnie ofertę miejskich usług przewozowych, którą udostępnia za pomocą narzędzi informacyjnych i które organizuje tak, aby osoby chcące skorzystać z przejazdu mogły tego dokonać. TSUE podkreślił również, że Uber ma przy tym decydujący wpływ na warunki świadczenia usług przez kierowców.

TSUE stwierdził więc, że głównym elementem usług świadczonych przez Uber jest usługa przewozowa, w związku z czym należy ją traktować nie jako „usługę społeczeństwa informacyjnego”, ale jako „usługę w dziedzinie transportu”. Dyrektywa o handlu elektronicznym nie ma zatem zastosowania do usług świadczonych przez Uber, co wyłącza także możliwość stosowania dyrektywy dotyczącej usług na rynku wewnętrznym. Z tego też powodu usługa Uber nie powinna podlegać postanowieniom o swobodnym przepływie usług w ogólności, lecz wspólnej polityce w dziedzinie transportu. Oznacza to, że usługi transportowe, świadczone także przez Uber, powinny być regulowane przez każde Państwo Członkowskie z poszanowaniem ogólnych zasad Unii Europejskiej.

Konsekwencje

Wyrok TSUE należy uznać za przełomowy dla przedstawicieli organizacji zrzeszających taksówkarzy w poszczególnych Państwach Członkowskich. Co prawda zgodnie z informacją prasową Uber wskazuje, że wydane orzeczenie nie będzie miało wpływu na działalność przedsiębiorstwa, jednak wiele państw – w odpowiedzi na liczne protesty taksówkarzy – decyduje się na wprowadzenie regulacji, zakazujących świadczenia usług przewozowych bez licencji. W Polsce także trwają pracę nad nowelizacją ustawy o transporcie drogowym, aby nałożyć na kierowców UberPop obowiązek posiadania odpowiednich zezwoleń.

Co ciekawe, TSUE rozstrzygając opisywaną sprawę, w całości podzielił argumenty zawarte w wydanej w dniu 11.05.2017 r. opinii rzecznika generalnego – Macieja Szpunara (vide: http://curia.europa.eu/juris/document/document.jsf?text=&docid=190593&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=377245).

Źródło: https://curia.europa.eu/jcms/upload/docs/application/pdf/2017-12/cp170136pl.pdf

0 Komentarzy
cyberbezpieczeństwo prawo IT

Dostawcy usług cyfrowych muszą dbać o cyberbezpieczeństwo

21 listopada 2017
cyberbezpieczeństwo

Główne założenia ustawy

Ostatnimi czasy na łamach portalu BiznesAlert przedstawiliśmy krótką analizę nowego projektu ustawy o krajowym systemie cyberbezpieczeństwa, implementującej europejską dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”), w kontekście przedsiębiorstw kluczowych dla gospodarek państwowych.

Jednakże, opisywany przez nas projekt nie ogranicza się wyłącznie do uregulowania statusu oraz nałożenia obowiązków i praw na operatorów kluczowych. Ustawa dotyka również następujących kwestii:

  • organizacji krajowego systemu cyberbezpieczeństwa,
  • zadań i obowiązków podmiotów wchodzących w skład ww. systemu (w tym operatorów kluczowych, dostawców usług cyfrowych, podmiotów publicznych),
  • sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy przez ww. jednostki,
  • zakresu oraz trybu stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Kim są dostawcy usług cyfrowych?

Niniejszym artykułem pragniemy przybliżyć obowiązki nałożone na kolejną kategorię podmiotów odpowiedzialnych za cyberbezpieczeństwo. Jak bowiem wynika z projektu ustawy, do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych – oprócz usługodawców prowadzących działalność w sektorach priorytetowych dla gospodarki i społeczeństwa – będą również zobowiązani tzw. dostawcy usług cyfrowych.

Na gruncie projektowanej ustawy pod pojęciem dostawców usług cyfrowych określamy:

  • podmioty świadczące usługi cyfrowe, w tym internetowe platformy handlowe (Allegro, eBay, AliExpress), usługi przetwarzania w chmurze (Microsoft Azure, Dropbox), wyszukiwarki internetowe (Google, Yahoo, DuckDuckGo),
  • zatrudniające nie mniej niż 50 pracowników,
  • osiągające roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych przekraczający równowartość w złotych 10 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat przekroczyły równowartości w złotych 10 milionów euro.

W jaki sposób usługodawcy mają zapewnić cyberbezpieczeństwo?

Usługodawcy cyfrowi zostali zobowiązani do wdrożenia odpowiedniego systemu zarządzania incydentami. System ten – przy pomocy proporcjonalnych do ryzyka środków technicznych i zabezpieczających – ma zapewnić cyberbezpieczeństwo świadczonych przez nich usług. Pomimo prozaicznej treści takiego przepisu, prawne zobligowanie dostawców cyfrowych do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych zdaje się być w dzisiejszych czasach być potrzebne i konieczne. Wskazują na to chociażby szeroko opisywane przez prasę zagraniczną incydenty; np. wyciek danych osobowych około 77 mln konsumentów, korzystających z usług Sony Playstation Network.

Powyższe wydarzenia dowodzą jedynie jak bardzo elastycznie przedsiębiorstwa winny podchodzić do wdrożenia odpowiednich zabezpieczeń. Ustawodawca europejski i polski, zauważając ten problem, zobligował usługodawców cyfrowych do ciągłego uwzględniania najnowszego w tym przedmiocie stanu wiedzy. Rozwój techniczny w obszarze cyberbezpieczeństwa ma zapewnić powstanie środków zabezpieczających oraz minimalizujących wpływ incydentów na funkcjonowanie sieci i systemów informatycznych przedsiębiorców.

Dostawcy cyfrowi zostaną również zobligowani do identyfikacji incydentów, ich klasyfikacji oraz zgłaszania istotnych naruszeń do CIRST NASK. Tego rodzaju informacje usługodawcy powinni również zgłaszać operatorom usługi kluczowej, którzy świadczą swoje usługi za pośrednictwem podmiotów dostarczających platformy i aplikacje cyfrowe.

Prawo właściwe

Świadczenie usług cyfrowych na terytorium UE oraz EFTA będzie podlegać prawu polskiemu, w przypadku gdy główna siedziba dostawcy (utożsamiana z siedzibą zarządu przedsiębiorstwa) znajduje się w RP. Prawu polskiemu będzie również podlegać ten usługodawca, który świadczy usługi w kliku państwach i wyznacza przedstawiciela, działającego na terytorium RP. Natomiast, gdy serwer informatyczny będzie się znajdował w innym miejscu niż fizyczna siedziba dostawcy, organy RP będą dodatkowo zobligowane do współpracy i udzielania pomocy analogicznym instytucjom w państwie położenia przedmiotowego serwera.

 

O obowiązkach przedsiębiorstw kluczowych na gruncie projektu ustawy o krajowym systemie cyberbezpieczeństwa pisała Aleksandra Modzelewska na portalu Biznes Alert w artykule pt.: „Cyberbezpieczeństwo przedsiębiorstw kluczowych„.

O dyrektywie NIS pisała na portalu Biznes Alert Ewelina Ocipińska w artykule pt.: „Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?„. Artykuł został również opublikowany na blogu IP Procesowo.

0 Komentarzy
ochrona danych osobowych prawo autorskie prawo IT

Nowe rozporządzenie w sprawie przenoszenia usług online

2 sierpnia 2017
przenoszenie usług online

Przenoszenie usług online – przyczyny zmian

W ostatnim czasie znaczny postęp technologiczny na rynku urządzeń przenośnych spowodował, iż szczególną popularność zdobyła dystrybucja cyfrowa polegająca na odpłatnym udostępnianiu online treści, najczęściej chronionej prawem autorskim, zebranej w jednym pakiecie. Wśród platform, które zdecydowały się na tak funkcjonujący model biznesowy, są tacy potentaci rynku jak Valve, Amazon.com, Netflix czy też Spotify.

Dynamiczny rozwój oraz duże zainteresowanie na tego typu usługi uwypukliły wszelkiego rodzaju mankamenty prawa unijnego. Okazało się chociażby, iż świadczenie powyższych usług online konsumentom czasowo obecnym w państwie członkowskim innym niż państwo członkowskie ich miejsca zamieszkania jest znacznie utrudnione, a często wręcz niemożliwe. Główną przyczyną takiego stanu rzeczy są istotne różnice istniejące pomiędzy poszczególnymi krajowymi porządkami prawnymi w zakresie praw autorskich, zwłaszcza dotyczące ograniczeń terytorialnych (licencje na korzystanie z utworów są co do zasady ograniczane terytorialnie).

Panaceum na powyższe problemy ma być niedawno przyjęte Rozporządzenie Parlamentu Europejskiego i Rady w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści. Motywem przyjętego aktu prawnego jest utworzenie jednolitego rynku cyfrowego w ramach całej UE.

Zakres zastosowania

Niniejsze Rozporządzenie znajduje zastosowanie do umów świadczenia usług online w zakresie treści:

  • w ramach których dostawcy po uzyskaniu licencji na rozpowszechnianie przedmiotów prawa autorskiego (utworów lub transmisji) na danym terytorium umożliwiają za pomocą różnych technik transmisji i pobierania danych korzystanie z utworów prawa autorskiego,
  • z których użytkownik może korzystać bez względu na miejsce swojego pobytu, w szczególności usług dostępnych na przenośnych urządzeniach typu laptop, smartfon, tablet,
  • w ramach których dystrybutor ma możliwość weryfikacji miejsca dokonania płatności za świadczone usługi.

Nadto ustawodawca unijny precyzuje, iż zakresem stosowania niniejszego Rozporządzenia nie są objęte te usługi online, które nie są usługami kulturalnymi i gospodarczymi oraz jedynie pomocniczo wykorzystują przedmioty prawa autorskiego. Chodzi tu o taką działalność, w zakresie której prawa autorskie stanowią jedynie tło dla funkcjonowania całości (np. szata graficzna).

Najważniejsze zmiany

Rozporządzenie, mając na celu zniesienie geoblokad na rynku dystrybucji treści cyfrowych, wprowadza swoistego rodzaju fikcję prawną, zgodnie z którą korzystanie z usług online w miejscu czasowego pobytu odbywa się w miejscu zamieszkania użytkownika takiej platformy. Oznacza to, iż obywatele RP, przebywając w innym państwie UE, chociażby na wakacjach, wyjazdach służbowych czy wymianach studenckich, będą mogli korzystać z platform dystrybucji cyfrowej na tych samych zasadach i warunkach, jakie obowiązują w Polsce. Co więcej, w świetle Rozporządzenia, konsumenci korzystający z powyższych treści będą traktowani tak jakby nadal przebywali w kraju.

Powyższa fikcja prawna odnosi się także do funkcjonalności oraz treści świadczonych usług, które nie powinny odbiegać od stanu jaki obowiązuje w państwie miejsca zamieszkania. Wyjątkiem jest tu regulacja dotycząca jakości, która co do zasady winna być taka sama jak w państwie miejsca zamieszkania, ale nie musi przewyższać swoim poziomem jakości dostępnej lokalnie.

Poprzez utworzenie fikcji prawnej dalszego obowiązywania regulacji krajowych wobec konsumentów przebywających czasowo w państwie trzecim ustawodawca europejski stworzył system, w którym dostawcy i dystrybutorzy treści nie ponoszą odpowiedzialności za potencjalne naruszenia umów licencyjnych ograniczonych terytorialne. Przyjmuje się bowiem, iż usługi są nadal świadczone na podstawie i w ramach prawa państwa miejsca zamieszkania. Z tego też wynika, iż omawiane Rozporządzenie nie ingeruje bezpośrednio w porządek prawny poszczególnych państw europejskich i nie modyfikuje istniejących modeli licencjonowania treści (w tym nie niweczy zasady ograniczenia terytorialnego).

Poza obowiązkiem zapewnienia konsumentom możliwości transgranicznego przenoszenia treści online, dostawcy zobowiązani są do weryfikowania lokalizacji użytkownika w momencie zawierania i każdorazowego przedłużania umowy. W praktyce tego rodzaju usługi są zazwyczaj przez konsumentów opłacane przy pomocy systemu automatycznych transakcji pieniężnych niewymagających obecności osób fizycznych zlecanych na podstawie odnawialnych miesięcznie subskrypcji. W związku z tym wydaje się, że najczęściej stosowanymi środkami weryfikacji lokalizacji konsumentów korzystających z usług dostawców treści online, oprócz sprawdzenia adresów IP, mogą być uzyskiwane informacje dotyczące szczegółów płatności, takich jak rachunek bankowy lub karta kredytowa. Przedsiębiorcy muszą jednak pamiętać, iż stosowanie środków weryfikacyjnych musi być uzasadnione, proporcjonalne, skuteczne oraz zgodne z regulacjami dotyczącymi ochrony danych osobowych.

Kontrowersje i uwagi

Problem istnienia geoblokad od wielu lat stanowił przedmiot dyskusji społecznych oraz debat parlamentarnych. Dotychczasowy stan prawny stanowił niekorzystne z punktu widzenia relacji konsument – przedsiębiorca ograniczenie dla pełnej realizacji zawieranych stosunków cywilnoprawnych. Obie grupy były zainteresowane zniesieniem zasady terytorialności obowiązywania praw autorskich w zakresie treści udostępnianej online – konsumenci z uwagi na chęć korzystania z wcześniej wykupionego pakietu w niezmienionym zakresie podczas swojego pobytu za granicą, zaś przedsiębiorcy z uwagi na obawę przed stratami wynikającymi z ewentualnych rezygnacji zgłaszanych przez użytkowników udających się do państwa trzeciego.

Grupą społeczną negatywnie nastawioną na tego rodzaju zmiany byli przede wszystkim posiadacze praw autorskich. Jest to o tyle zrozumiałe, iż autorzy czerpią zyski z każdorazowo zawieranej umowy licencyjnej obowiązującej na poszczególnych terytoriach państw członkowskich. Dystrybutorzy, chcąc umożliwić korzystanie konsumentom z pakietu w tej samej formie, która istnieje w państwie miejsca zamieszkania, byliby zobowiązani do zawierania kilkunastu umów lub jednej umowy o wyższych kosztach całkowitych.

Powyższe Rozporządzenie starało się wyjść naprzeciw wszystkim zainteresowanym grupom, choć nie obyło się bez legislacyjnych nieścisłości. W praktyce dużo kontrowersji budzi rozumienie pojęcia „czasowej obecności w innym państwie”. Mimo, iż ustawodawca postarał się o definicję legalną powyższego terminu, to uczynił to w wysoce nieprecyzyjny sposób. Nie wiadomo bowiem jak należy rozumieć przesłankę obecności przez ograniczony okres w państwie trzecim. Czy przykładowo wyjazdy w ramach wymian studenckich typu Erasmus będą traktowane jako spełniające powyższy warunek? Na tak postanowione pytanie dopóty trudno będzie udzielić odpowiedzi dopóki przesłanka ograniczenia czasowego nie będzie zakreślona konkretnymi ramami czasowymi.

Jak już słusznie zauważono, opisywane Rozporządzenie ma dość jednostronny charakter[1]. Należy się zgodzić, iż fakt pominięcia sytuacji, w której użytkownik wykupuje pakiet usług online w miejscu czasowej obecności w innym państwie niż państwo miejsca zamieszkania, stanowi swoistego rodzaju lukę prawną, która będzie wykładana zgodnie z dotychczasowym i nieprzystającym do dzisiejszych realiów porządkiem prawnym.

Ciekawą do rozważenia kwestią są także środki weryfikacyjne i ich potencjalny wpływ na konsumentów. Zgodnie z dyspozycją art. 5 Rozporządzenia do dystrybutorów treści cyfrowych UE należy wybór dwóch środków weryfikacji lokalizacji użytkownika spośród wymienionych enumeratywnie w powyższym przepisie. Wydaje się, że niektóre z proponowanych rozwiązań mogą w rzeczywistości być zbyt uciążliwe dla klientów. Taka sytuacja może dotyczyć chociażby wymogu przesłania dysponentom kopii swojego dowodu tożsamości potwierdzającego miejsce zamieszkania, kopii zawieranych umów z przedsiębiorcami udostępniającymi Internet, kopii opłacanych podatków czy też kopii dokonanej rejestracji na liście wyborczej. Pomimo tego, iż Rozporządzenie wymaga, by zastosowane środki były uzasadnione, proporcjonalne i skuteczne, należy stwierdzić, że niektórzy użytkownicy zaniepokojeni możliwością dokonania potencjalnych naruszeń ich danych osobowych, mogą rezygnować z usług transgranicznego przenoszenia treści online. Zdaje się, iż zasadnym byłby postulat przyznania przedsiębiorcom większej swobody w kształtowaniu środków weryfikacji, bowiem to w interesie dystrybutorów leży stworzenie takich mechanizmów, które w jak najmniejszym stopniu będą ingerowały w komfort konsumentów.

Na sam koniec należy zaznaczyć, iż Rozporządzenie nie normuje kwestii związanych z dostarczaniem usługi online świadczonych pierwotnie poza granicami UE. Wydaje się jednak, iż powyższe relacje na tle przenoszenia treści poza granicami państw unijnych będą wynikiem ewentualnych negocjacji w sprawie współpracy, co należy uznać za pozytywne rozwiązanie (zwłaszcza z punktu widzenia ochrony danych osobowych).

[1] M. Kubiak, M. Zawadka, Zmiany w dostępie do usług online wewnątrz UE?, LSW IP BLOG: http://lswipblog.pl/pl/2016/01/zmiany-w-dostepie-do-uslug-online-wewnatrz-ue/

0 Komentarzy
cyberbezpieczeństwo prawo IT

Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?

17 października 2016

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne. Skalę problemu ilustruje „2016 Security Report” przygotowany przez Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.

Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.

Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
  • stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.

Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.

Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji RP obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństwa oraz, przede wszystkim, czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.

Artykuł został wcześniej opublikowany na: http://biznesalert.pl/ocipinska-implementacja-dyrektywy-nis-poprawi-cyberbezpieczenstwo-ue/.

0 Komentarzy