Legislacyjne tsunami. Co nas czeka w prawie nowych technologii w 2023?

Koniec 2022 r. oraz początek 2023 r. stoją pod znakiem wielu istotnych zmian w prawie, na które każdy, w szczególności przedsiębiorcy, powinien być przygotowany. W artykule sygnalizujemy kilka – najważniejszych z perspektywy innowacji oraz nowych technologii – rozwiązań legislacyjnych, które nadchodzą wielkimi krokami.

DSA i DMA – czy cybergiganci mają się czego obawiać?

W październiku 2022 r. w Dzienniku Urzędowym Unii Europejskiej został opublikowany tekst dwóch rozporządzeń Parlamentu Europejskiego i Rady UE:

1. rozporządzenie 2022/2065 w sprawie jednolitego rynku usług cyfrowych (DSA);

2. rozporządzenie 2022/1925 w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (DMA).

Każdy z tych aktów dotyczy funkcjonalności i odpowiedzialności tzw. cybergigantów, czyli takich podmiotów, jak Facebook, Twitter czy Amazon, ale też innych, np. hostingodawców, jednak z różnych perspektyw.

Pierwszy akt – DSA – skupia się na ochronie użytkowników Internetu przez nałożenie na dostawców usług pośrednich szeregu obowiązków. W szczególności dotyczą one wprowadzenia jaśniejszych zasad moderacji treści o charakterze nielegalnym lub szkodliwym, mechanizmu zgłaszania takich treści oraz zwiększenia przejrzystości działania algorytmów odpowiedzialnych za dobór treści wyświetlanych użytkownikom. Tacy dostawcy nie będą również mogli projektować interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje albo w inny sposób zakłóca czy ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji.

Celem rozporządzenia DMA jest „rozbicie” monopolu największych firm cyfrowych – tzw. strażników dostępu. Do strażników dostępu zalicza się m.in. podmioty świadczące usługi pośrednictwa internetowego, wyszukiwarki internetowe, usługi platformy udostępniania wideo, systemy operacyjne czy usługi przetwarzania w chmurze. W tym miejscu warto zwrócić uwagę na zobowiązanie strażników dostępu do projektowania oferowanych przez nich usług łączności z uwzględnieniem ich interoperacyjności. Skutkiem tego rozwiązania będzie możliwość współpracowania ze sobą różnych aplikacji. Ponadto cybergiganci nie będą mogli wymieniać danych osobowych z różnych swoich serwisów bez zgody użytkownika. Większość obowiązków wymienionych w DMA będzie miała zastosowanie od 2 maja 2023 r., a w przypadku DSA – od 17 lutego 2024 r.

Rozporządzenie DORA

10 listopada 2022 r. Parlament Europejski przyjął rezolucję ustawodawczą dotyczącą rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Opisywany akt prawny ma stanowić gwarancję sprawnego zarządzania ryzykiem cyfrowym. DORA ma objąć swoim zakresem szereg podmiotów z sektora finansowego, m.in. instytucje kredytowe, firmy inwestycyjne, dostawców usług w zakresie kryptoaktywów (którzy działają na podstawie zezwolenia uzyskanego zgodnie z prawem), centralnych depozytów papierów wartościowych, zakładów ubezpieczeń i zakładów reasekuracji, agencji ratingowych czy zewnętrznych dostawców usług ICT.

Każdy z podmiotów objętych DORA będzie m.in. zobowiązany do testowania operacyjnej odporności cyfrowej (tj. zdolności podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie pełnego zakresu możliwości w obszarze ICT, niezbędnych do zagwarantowania bezpieczeństwa sieci i systemów informatycznych).

Prawo komunikacji elektronicznej

Kolejnym obecnie procedowanym aktem prawnym jest nowelizacja prawa telekomunikacyjnego. Mowa tutaj o ustawie Prawo komunikacji elektronicznej wraz z projektem ustawy ją wprowadzającej. Zgodnie z komunikatem z 15 listopada 2022 r. opublikowanym na stronie Kancelarii Prezesa Rady Ministrów prace nad tym projektem zostały skierowane do Sejmu. Projekt stanowi novum w wielu kwestiach, w szczególności w zakresie uregulowania zasad wykonywania działalności, która polega na dostarczeniu publicznych sieci telekomunikacyjnych lub świadczeniu usług komunikacji elektronicznej czy ustalenia kwestii związanych z gospodarowaniem częstotliwościami, zasobami numeracji oraz zapewnieniem dostępu do sieci telekomunikacyjnych.

Warto wspomnieć, że projekt stanowi implementację do polskiego porządku prawnego regulacji znanej pod nazwą „Europejskiego kodeksu łączności elektronicznej” (EKŁE). Zgodnie z postanowieniami EKŁE, miał być on wdrożony przez państwa członkowskie Unii Europejskiej najpóźniej do 21 grudnia 2020 r. Przeciwko krajom, którym to się nie udało (w tym przeciwko Polsce) Komisja Europejska skierowała sprawę do Trybunału Sprawiedliwości Unii Europejskiej. Z tego powodu należy przypuszczać, że prace legislacyjne nad tekstem projektu będą znacznie przyspieszone.

Dyrektywa Omnibus

Dyrektywa Omnibus (a właściwie dyrektywa Parlamentu Europejskiego i Rady UE 019/2161 z 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE) ma stanowić odpowiedź na rosnącą liczbę problemów związanych z rozwojem technologii. Przede wszystkim ma przeciwdziałać brakowi przejrzystości usług i ofert proponowanych konsumentom korzystającym z internetowych platform handlowych czy brakowi precyzyjnych wytycznych dotyczących postępowania organów ochrony konsumenta w odniesieniu do produktów o tzw. podwójnej jakości.

Dyrektywa Omnibus obejmuje swoim zakresem m.in.:

1. nowe zasady informowania o obniżkach cen,

2. zasady dotyczące opinii i rekomendacji konsumenckich na temat usług i produktów oferowanych przez przedsiębiorców,

3. walkę z produktami tzw. podwójnej jakości.

Dlaczego dyrektywa Omnibus jest tak ważna niemal dla każdego przedsiębiorcy? Odpowiedź zawiera się w szerokiej definicji „produktu”, przez który rozumie się każdy towar lub usługę, w tym nieruchomości, usługi cyfrowe i treści cyfrowe, a także prawa i obowiązki. Oznacza to, że swoim zakresem obejmuje ona praktycznie każdego przedsiębiorcę oferującego produkty w rozumieniu opisywanej dyrektywy, zatem obowiązki nałożone opisywanym aktem prawnym będą dotyczyły zarówno dużych graczy na rynku, jak i np. małych sklepów, niezależnie od asortymentu. Obecnie tekst dyrektywy Omnibus jest transponowany do polskiego porządku prawnego. Prace te jeszcze się nie zakończyły.

Rozporządzenie PE i Rady UE w sprawie zarządzania danymi

Ostatnie lata stoją pod znakiem zmian gospodarczych i społecznych oddziałujących na nasze codzienne życie, a ich zapalnikiem są nowe technologie oraz dane. Naprzeciw tym zmianom wychodzi Unia Europejska, czego przykładem jest rozporządzenie Parlamentu Europejskiego i Rady UE 2022/868 w sprawie zarządzania danymi (DGA). Celem DGA jest dalsze rozwijanie wewnętrznego rynku cyfrowego wolnego od granic oraz opartego o dane społeczeństwa i dane gospodarki, ukierunkowanych na człowieka, godnych zaufania i bezpiecznych przez ustanowienie:

1. warunków ponownego wykorzystywania w Unii niektórych kategorii danych będących w posiadaniu podmiotów sektora publicznego,

2. ram dotyczących zgłaszania i nadzoru w odniesieniu do świadczenia usług pośrednictwa danych,

3. ram dotyczących dobrowolnej rejestracji podmiotów, które gromadzą i przetwarzają dane udostępniane z pobudek altruistycznych,

4. ram dotyczących ustanowienia Europejskiej Rady ds. Innowacji w zakresie Danych.

Istotą opisywanego aktu prawnego jest ponowne wykorzystanie danych polegające na wykorzystywaniu przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego – do celów komercyjnych lub niekomercyjnych, innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych.

Ponowne wykorzystanie danych ma odbywać się na wniosek przez podmioty sektora publicznego zobowiązane do udzielania – lub odmowy udzielania – dostępu do celów ponownego wykorzystania. Jednocześnie te same podmioty będą zobowiązane m.in. do tego, by anonimizować dane osobowe albo zmodyfikowane, zagregowane lub przekształcone za pomocą innej metody zapobiegającej ujawnieniu w przypadku poufnych informacji handlowych. Przepisy DGA będą stosowane od 24 września 2023 r.

Akt o sztucznej inteligencji

W trakcie procedury prawodawczej jest akt dotyczący sztucznej inteligencji (akt SI). Stanowi on odpowiedź na apele ze strony Parlamentu Europejskiego i Rady UE, które niejednokrotnie podkreślały, jak istotną kwestią jest uregulowanie zagadnień związanych ze sztuczną inteligencją w celu prawidłowego funkcjonowania rynku wewnętrznego.

System sztucznej inteligencji jest definiowany na gruncie aktu SI jako oprogramowanie opracowane przy użyciu jednej spośród technik i podejść wymienionych w załączniku I, które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Wspomniany załącznik precyzuje, że do technik i podejść stanowiących podstawę dla tego, by zakwalifikować dany system jako system sztucznej inteligencji należą:

1. mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego,

2. metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne programowanie (logiczne), bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe,

3. podejścia statystyczne, estymacja bayesowska, metody wyszukiwania i optymalizacji.

Akt SI – w opisywanej wersji – ma mieć zastosowanie do:

1. dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w Unii, niezależnie od tego, czy dostawcy mają siedzibę w Unii, czy w państwie trzecim,

2. użytkowników systemów sztucznej inteligencji z siedzibą w Unii,

3. dostawców i użytkowników systemów sztucznej inteligencji, którzy są zlokalizowani w państwie trzecim, jeżeli wyniki działania systemu są wykorzystywane w Unii.

Akt SI wyróżnia systemy sztucznej inteligencji stwarzające różne poziomy ryzyka – od niedopuszczalnego do niskiego lub minimalnego. W zależności od zakwalifikowania danego systemu, jego dostawca będzie musiał spełnić szereg obowiązków i wymogów.

Nowelizacja prawa autorskiego

Prowadzone prace legislacyjne obejmują również nowelizację prawa autorskiego, polegającą na implementacji do polskiego porządku prawnego dwóch dyrektyw Parlamentu Europejskiego i Rady UE:

1. dyrektywy 2019/798 w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym (DSM),

2. dyrektywy 2019/789 ustanawiającej przepisy dotyczące wykonywania praw autorskich i praw pokrewnych, mające zastosowanie do niektórych transmisji on-line prowadzonych przez organizacje radiowe i telewizyjne oraz do reemisji programów telewizyjnych i radiowych (#SATCAB).

Istotą implementacji dyrektywy DSM jest m.in.:

1. wprowadzenie nowych postaci dozwolonego użytku w prawie autorskim (eksploracja tekstów i danych) oraz modyfikacja niektórych już istniejących (korzystanie z utworów i przedmiotów praw pokrewnych w cyfrowej i transgranicznej działalności dydaktycznej oraz ich zwielokrotnianie w celu zachowania dziedzictwa kulturowego),

2. wprowadzenie licencji zbiorowych z rozszerzonym skutkiem,

3. wprowadzenie nowych zasad udostępniania utworów i przedmiotów praw pokrewnych przez dostawców usług udostępniania treści on-line.

W odniesieniu do dyrektywy SATCAB zmiany dotyczą:

1. wskazania prawa krajowego właściwego w zakresie wykonywania praw autorskich i praw pokrewnych na potrzeby świadczenia przez nadawców radiowych i telewizyjnych tzw. dodatkowych usług on-line,

2. wprowadzenia jednolitych reguł zawierania umów na reemisję, bez względu na zastosowaną technologię,

3. uregulowania kwestii reemisji, na potrzeby której sygnał jest dostarczany drogą „wprowadzenia bezpośredniego”.

Podsumowanie

Wymienione w artykule akty prawne stanowią jedynie wycinek legislacyjnej lawiny, która nas czeka w najbliższych latach, ponieważ na różnych etapach są projekty kolejnych aktów prawnych, obecnie procedowanych przez właściwe organy. Warto w tym miejscu wskazać m.in. na następujące projekty: ustawa o zmianie niektórych ustaw w związku z rozwojem e-administracji, ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, ustawa o aplikacji mObywatel oraz ustawa o zmianie ustawy o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych. Patrząc w przyszłość, nie można mieć wątpliwości, że każdy powinien przygotować się na olbrzymią falę kolejnych regulacji, a prowadzenie selektywnego monitoringu legislacyjnego staje się niezbędnym elementem każdego racjonalnie prowadzonego biznesu. 

Adrian Chodyna

Associate w SKP Ślusarek Kubiak Pieczyk. Specjalizuje się w prawie własności intelektualnej, ze szczególnym uwzględnieniem prawa autorskiego, prawa reklamy i mediów. Doradza także w zakresie ochrony wizerunku oraz ochrony renomy i dobrego imienia. Zaangażowany w prowadzenie spraw sądowych dotyczących naruszenia dóbr osobistych osób fizycznych i prawnych, jak również w postępowania z zakresu ochrony praw własności intelektualnej oraz zwalczania nieuczciwej konkurencji. W portfolio ma także obsługę podmiotów z branży kreatywnej. Prowadzi również bieżącą obsługę prawną producentów filmowych i telewizyjnych. Kontakt: a.chodyna@skplaw.pl. Strony internetowe: www.skplaw.pl, www.skpipblog.pl

źródło: Automatyka 12/2023