Przeszukaj treści według wybranego tematu

Przeszukaj treści według wybranego tematu

Przeszukaj treści według wybranej branży

Branża
2016-12-20 11:11

Nowości prawne istotne dla branży online

Nowości prawne istotne dla branży online

W 2016 roku podjęto szereg decyzji kształtujących środowisko prawne, w którym funkcjonuje branża online. Najważniejsze z nich zostały przedstawione poniżej w celu ukazania najistotniejszych i coraz wyraźniej zarysowujących się w Unii Europejskiej trendów. Będą one kreowały prawną rzeczywistość branży online również w nadchodzącym roku. O najważnieszych nowościach prawnych istotnych dla branży online pisze Małgorzata Jankowska-Blank, szef departamentu prawnego w Gemiusie.

Artykuł pochodzi z raportu „Perspektywy rozwojowe reklamy online w Polsce: 2016/2017” wydanego przez IAB Polska, który ukazał się wraz ze świątecznym wydaniem „Harvard Business Review Polska”. Raport do pobrania na stronie IAB Polska.

Prywatność i jej ochrona

Era, w której biznes online traktuje ochronę prywatności użytkowników sieci jako pewną przewagę konkurencyjną (przykładem może być polityka Apple i głośna w 2016 roku sprawa Apple v. FBI) skończyła się w Europie definitywnie w 2016 roku wraz z wejściem w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych i uznania za dane osobowe wszystkich form internetowych identyfikatorów, w zasadzie bez rozróżnienia na to w jakim stopniu rzeczywiście identyfikują one osobę fizyczną. Rozporządzenie wejdzie w życie 25 maja 2018 roku i do tego czasu branża ma czas na spełnienie określonych wymogów, z których w praktyce dla biznesu online najbardziej kłopotliwymi i kosztogennymi są poniżej wskazane elementy.

Obowiązki informacyjne – internauta powinien wiedzieć jakie dane o nim i po co są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać przez administratora udostępnione. Komunikat powinien również informować o prawach przysługujących internaucie. Wszystko musi być przedstawione w zwięzłej, przejrzystej i łatwo dostępnej formie, gdyż powinien on rozumieć, na co wyraża zgodę. Nowością jest wymóg informowania o wykorzystywaniu danych internauty w procesie automatycznego podejmowania decyzji, w tym profilowania.

Ograniczenie profilowania – profilowanie będzie dopuszczalne, jeśli administrator danych wykaże, że ma podstawę prawną do takiego działania. Najbardziej popularną podstawą będzie zgoda internauty, która dla swej ważności powinna być wyraźna.

Prawo do bycia zapomnianym – nowe rozporządzenie reguluje kwestię prawa do bycia zapomnianym. Internauta, którego dane dotyczą, będzie mógł żądać od administratora danych ich usunięcia, w jednej z kilku enumeratywnie wymienionych sytuacji, jak choćby wówczas, gdy internauta cofnie swoją zgodę.

Już zaledwie powyższe trzy wymagania stanowią poważne wyzwanie dla wydawców i całego ekosystemu online, gdyż brak dziś propozycji rozwiązań, które spełniałyby wymogi Rozporządzenia, a których praktyczna implementacja nie generowałaby kosztów, nie czyniła kontaktu z witryną www uciążliwym lub nie wpływała na model biznesowy, w którym funkcjonują dziś uczestnicy rynku. Jednolity głos środowiska online pomógłby w minimalizowaniu ryzyka (ocenianego jako duże) związanego z wdrożeniem Rozporządzenia, choćby w świetle przewidzianych w nim wysokich kar i wciąż rosnącego na obszarze Unii Europejskiej znaczenia ochrony e-prywatności. Wspomnieć należy choćby o ostatnim wyroku Trybunału Sprawiedliwości w sprawie Patrick Breyer przeciw Bundesrepublik Deutschland (C-582/14) z 19 października 2016 roku, w którym TSUE wskazał, że dynamiczny adres IP (czyli taki, który zmienia się przy okazji każdego nowego połączenia z internetem) zarejestrowany przez dostawcę usług online przy okazji przeglądania przez internautę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w sytuacji, gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby. Co istotne, mogą to być informacje posiadane przez kontrahenta, np. przez dostawcę dostępu do internetu, a nie samego wydawcę. Wyrok potwierdza, że nie jest wymagane, by dostawca usług online posiadał wszystkie informacje umożliwiające identyfikację danego internauty.

Prawa autorskie

Inicjatywy unijne podejmowane w zakresie ochrony autorsko-prawnej twórców czy podmiotów uprawnionych z tytułu nabycia majątkowych praw autorskich wpisują się w prace Komisji Europejskiej nad Jednolitym Rynkiem Cyfrowym i zmierzają w stronę umocnienia pozycji uprawnionych. Ów coraz bardziej widoczny trend znalazł swoje odzwierciedlenie choćby w istotnym dla branży online wyroku TSUE w sprawie GS Media przeciwko Sanoma Media Netherlands (sygn. akt C-160/15) z 8 września 2016 roku. Trybunał odniósł się do problemu linkowania jako formy naruszenia majątkowych praw autorskich w internecie i choć uczynił to nie po raz pierwszy (szerzej przeanalizował zagadnienie w wyroku w sprawie Svensson i in. przeciwko Retriever Sverige (C-466/12) z 13 lutego 2014 roku) to tym razem uznał, że publikacja linku do utworu umieszczonego w internecie bez zezwolenia podmiotu praw autorskich spełnia definicję „publicznego udostępnienia”. W rezultacie umieszczenie linku może naruszać autorskie prawa majątkowe, jeżeli linkujący wiedział o braku takiego zezwolenia. Co istotne, Trybunał wskazał, że w przypadku, gdy publikacja linku następuje w celu zarobkowym, to należy domniemywać, że umieszczenie linku zostało dokonane ze świadomością tego, że treść, do której prowadzi link, jest chroniona. Również świadomość ewentualnego braku zezwolenia podmiotu praw autorskich na publikację w internecie powinna być w takiej sytuacji domniemana. W konsekwencji każdy wydawca uzyskujący choćby stosunkowo niewielkie wpływy z reklam („cel zarobkowy”) a umieszczający na swojej stronie www linki do „utworów zewnętrznych” powinien do linkowania podchodzić z dużo większą ostrożnością, gdyż w razie problemów będzie musiał wykazać, że o braku zezwolenia nie wiedział i wiedzieć – mimo starań – nie mógł.

Cyberbezpieczeństwo

Przyjęta w dniu 6 lipca 2016 roku Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej – tzw. Dyrektywa NIS (Network and Information Security) ma na celu ujednolicenie unijnych standardów w zakresie cyberbezpieczeństwa. Państwa członkowskie mają implementować postanowienia dyrektywy do prawa krajowego do 9 maja 2018 roku. Postanowienia te są istotne również dla branży online, gdyż jej reprezentanci to wskazani w dyrektywie tzw. dostawcy usług cyfrowych (choćby wprost wymienieni i zdefiniowani w dyrektywie operatorzy platform handlowych, wyszukiwarek czy usług w chmurze). Będą oni zobowiązani do zapewnienia bezpieczeństwa swojej infrastruktury, wdrożenia określonych środków organizacyjnych, monitoringu i audytów oraz zgłaszania poważnych incydentów właściwym organom krajowym. Każde państwo Unii Europejskiej będzie bowiem musiało wyznaczyć organ lub organy do ochrony bezpieczeństwa cybernetycznego i opracować właściwą strategię. Choć mikro i małe przedsiębiorstwa cyfrowe będą zwolnione z tych obowiązków, pozostali uczestnicy rynku będą musieli wdrożyć określone rozwiązania.

Podsumowanie

Ochrona prywatności, wzmacnianie pozycji uprawnionych z tytułu posiadania majątkowych praw autorskich oraz cyberbezpieczeństwo to kluczowe zagadnienia, których znaczenie będzie wzrastać. Działania legislatora i działalność orzecznicza TSUE są bowiem odpowiedzią na zmieniającą się rzeczywistość, w której rynek usług i dóbr w internecie nie jest już czymś dodatkowym, odrębnym wobec tradycyjnego rynku towarów i usług.

Do schowka> Drukuj

Rodzaj treści

artykuł

Branża

media

Autor:

Małgorzata Jankowska-Blank i Jacek Grabowski

departament prawny firmy Gemius