Uczestnicy spotkania:

mec. dr Jan Byrski, adwokat w kancelarii prawnej Traple
Konarski Podrecki i Wspólnicy, Andrzej Kaczmarek, dyrektor Departamentu Informatyki w
biurze Generalnego Inspektora Ochrony Danych Osobowych, Krzysztof Majek, dyrektor
handlowy, Alstor, Mateusz Majewski, SAM Engagement Manager, Microsoft i mec.
Bartłomiej Witucki
, adwokat, przedstawiciel BSA w Polsce.

 

Czy
można stworzyć „uniwersalne” prawo?

CRN Z problemem
niedostosowania prawa do szybkich zmian technologicznych mamy do czynienia
praktycznie na całym świecie. Na jakim etapie w tym kontekście znajduje
się Polska?

Jan Byrski
Generalnie nie jest z tym najgorzej, ale – jak zwykle – diabeł
tkwi w szczegółach. W niektórych obszarach prawo ma luki lub
nieścisłości i nawet doświadczonemu prawnikowi czasami trudno
rozstrzygnąć, kto ma rację. Przykładem może być zapis dość lakonicznego
artykułu 14 w ustawie o świadczeniu usług drogą elektroniczną.
Dotyczy odpowiedzialności firm hostingowych za przechowywanie niedozwolonych
prawem informacji będących własnością ich klientów. Taki usługodawca jest
zmuszony do zablokowania dostępu do tych danych „w razie otrzymania
urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym
charakterze danych”. Ale konia z rzędem temu, kto rozstrzygnął, czym jest
wiarygodna wiadomość i co lub kto ma ją uwiarygodnić. Przydałaby się usankcjonowana
prawnie, stosowana powszechnie w USA procedura notice and takedown,
precyzyjnie określająca, w jaki sposób postępuje usługodawca po otrzymaniu
informacji, w którym momencie wszczynana jest kontrola itd.

Bartłomiej Witucki W kontekście ustawy
o prawie autorskim i prawach pokrewnych obecnie toczy się dyskusja na
temat pewnych zmian dotyczących przepisów karnych. Zmieniona powinna być przede
wszystkim treść art. 118, który mówi o paserstwie dotyczącym nośników
danych. Jak wiadomo, dzisiaj już rzadko posługujemy się nośnikami, bo często
nawet przedmiotem nielegalnych aukcji w Internecie są same klucze
licencyjne, a nie nośniki.

 

Andrzej Kaczmarek  Chociaż nowe technologie mają
ogromny wpływ na proces przetwarzania danych i jego ocenę od strony
prawnej, to dyrektywa Parlamentu Europejskiego i Rady dotycząca danych
osobowych przetrwała w niezmienionym stanie od 1995 r., bo dotyczy
zagadnień bardzo ogólnych. Dlatego GIODO stosuje interpretację zarówno
przepisów dyrektywy, jak i ustawy o ochronie danych osobowych,
uwzględniając na bieżąco pojawiające się nowości technologiczne. A, jak
wiadomo, takich nowych obszarów jest wiele: chmura obliczeniowa, Big Data,
geolokalizacja w telefonach komórkowych, inteligentne liczniki. Powstaje
też wiele nowych usług, które musimy ocenić pod kątem zgodności z zasadami
ochrony danych i prywatności. Dlatego przygotowujemy również dokumenty,
w których prezentujemy najlepsze praktyki dotyczące zarządzania danymi
osobowymi, aby firmy mogły działać zgodnie z prawem. Z przedstawicielami
poszczególnych sektorów przygotowujemy też kodeksy dobrych praktyk, zawierające
wytyczne dla ich prawidłowej, zgodnej z przepisami o ochronie danych
osobowych działalności. Regularnie na stronie internetowej GIODO zamieszczamy
opinie dotyczące przetwarzania danych osobowych przy wykorzystywaniu nowych
technologii, opracowywane i przyjmowane przez tzw. Grupę Art. 29,
która zrzesza wszystkich europejskich rzeczników ochrony danych osobowych.

 

CRN Czy zdarza się, że wspomniane nowatorskie usługi
czasem są niezgodne z prawem?

Andrzej
Kaczmarek
Niestety
– w wielu przypadkach – tak. 
Firmy najczęściej źle zabezpieczają zebrane dane lub w ogóle
zbierają ich za dużo, na zapas, bez ściśle określonego celu
i z pominięciem zasady minimalizacji danych, która nakazuje, aby dane
osobowe pozyskiwane były tylko w takim zakresie, jaki jest niezbędny do
realizacji określonego celu.

Krzysztof
Majek
Życie zawsze będzie
wyprzedzać regulacje prawne, co do tego nie ma wątpliwości. Tempo postępu
technologicznego ostatnio znacznie wzrosło – ­obserwujemy to zwłaszcza
w obszarze informatyczno-telekomunikacyjnym. Czasami 2–3 lata opóźnienia
w zmianach prawa to jest już za dużo. Ale chodzi tu również o sposób
stosowania prawa. Polskie sądy nie mają na przykład jednolitego stanowiska
w zakresie odpowiedzialności za linkowanie do różnych zasobów
w Internecie. Uważam też, że nieuzasadniony rygoryzm prawny jest
antyrozwojowy. Wierzę, że w Polsce nie będzie takich sytuacji jak jeszcze
niedawno w Niemczech, gdzie dość powszechne stało się wysyłanie zwykłych
pocztowych wezwań do zapłaty odszkodowań za nieudowodnione naruszenie prawa
autorskiego.

Mateusz Majewski Zadaniem regulatorów jest tworzenie prawa jak najbardziej uniwersalnego.
Natomiast na poszczególnych rynkach powinny obowiązywać powszechnie przyjęte
normy czy dokumenty opisujące dobre praktyki, do których w przypadku
wątpliwości dany przedsiębiorca będzie mógł się odnieść. Przykładem może być
ogłoszony niedawno standard ISO 27018, dotyczący przetwarzania danych osobowych
w chmurze obliczeniowej, albo wspomniane już materiały przygotowywane
przez GIODO, np. dokument przedstawiający dziesięć najlepszych praktyk
związanych z przechowywaniem danych osobowych w chmurze. Jeżeli
ustawa nie gwarantuje nam jednoznacznej interpretacji, tego typu dokumenty mogą
być zbawienne.

 

Jan Byrski Dokładnie tak, prawnicy często
mówią o tzw. miękkim prawie. Są to instrumenty, które nie mają mocy
prawnej określonej w przepisach, ale stanowią bardzo ważny merytorycznie
punkt odniesienia. Mogą to być wytyczne lub rekomendacje takich organów, jak
GIODO, Urząd Komunikacji Elektronicznej czy Urząd Zamówień Publicznych, albo
wspomniane już normy ISO.

Taką argumentacją można się później posługiwać w sądzie,
jeżeli spór dotyczy interpretacji danego przepisu prawa. Wówczas można powołać
się na rekomendacje i dobre praktyki. Dla sędziego będą to bardzo istotne
wskazówki i mogą zostać podkreślone w uzasadnieniu wyroku.

 

Przeciekająca
chmura


CRN Wielu polskich
resellerów chce podpisywać umowy odsprzedaży usług internetowych świadczonych
przez podmioty z zagranicy, często z USA. Tymczasem obowiązuje tam słynna
ustawa Patriot Act, która daje odpowiednim służbom prawo inwigilacji
i wglądu w dane znajdujące na amerykańskich serwerach. Na ile jest to
coś groźnego z punktu widzenia polskiego prawa? Na co powinni zwracać
szczególną uwagę resellerzy, żeby nie narazić siebie ani swoich klientów na
kłopoty?

Jan Byrski W kontekście
przetwarzania danych osobowych mamy tu problem, ponieważ USA postrzega się jako
tzw. państwo trzecie, czyli nie należące do Europejskiego Obszaru
Gospodarczego. Istnieje jednak porozumienie Safe Harbour, zawarte pomiędzy
Komisją Europejską i rządem USA. Spółki certyfikowane w ramach tego
porozumienia mogą przechowywać i przetwarzać dane osobowe obywateli
z Europy. Ale niestety znaczna większość, szczególnie mniejszych firm, nie
jest sygnatariuszem tego porozumienia. Oczywiście nie dotyczy to tylko USA, ale
też pozostałych dużych państw trzecich – Indii, Chin, Rosji itd.

Andrzej Kaczmarek Warto zwrócić uwagę na to, że to administrator danych ponosi pełną
odpowiedzialność, i to karną, za przetwarzanie danych osobowych niezgodnie
z ustawą o ochronie danych osobowych. Dlatego musi dysponować
precyzyjnymi informacjami: gdzie fizycznie są zlokalizowane serwery, jak są
zabezpieczone, jak kontrolowany jest dostęp do przetwarzanych przy ich użyciu
danych oraz jakie są gwarancje prawne dla przetwarzanych w nich danych
– aby samodzielnie mógł ocenić poziom ryzyka, jak też określić
wiarygodność podmiotu, któremu powierzy te dane. Zresztą ochrona danych
osobowych to tylko jeden z aspektów działalności podmiotów. W grę
bowiem wchodzi też kwestia ochrony tajemnicy przedsiębiorstwa oraz zapewnienie
szczególnej dbałości o dostępność przechowywanych danych w wymaganym
miejscu i czasie.

 

CRN Finalnie więc efekt jest taki, że firmy VMware,
Microsoft czy Amazon uruchamiają swoje centra danych w Europie, żeby być
w zgodzie z prawem…

Mateusz
Majewski
Dokładnie tak, ale nie tylko. Centrum danych zlokalizowane
bliżej użytkownika zapewnia też mniejsze opóźnienia przy zdalnym dostępie do
danych. Ważna jest też możliwość kontaktu z inżynierami centrum
pracującymi w tej samej strefie czasowej. Natomiast jeżeli reseller widzi,
że jakaś firma z USA czy innego państwa spoza Unii Europejskiej ma ciekawy
pomysł na biznes i chciałby reprezentować ją w Europie, to może
zaproponować prowadzenie w jej imieniu małego lokalnego centrum danych.
Zresztą nie musi być fizycznie jego właścicielem – jest mnóstwo firm,
od których można wynająć powierzchnię lub całą infrastrukturę sprzętową.

Jan Byrski Zawsze doradzamy naszym klientom
negocjacje z takimi firmami i praktyka pokazuje, że można je
prowadzić nawet z największymi – wszystko zależy od opłacalności
danego biznesu. No i oczywiście zawsze warto regulamin takiej usługi
poddać konsultacji co do zgodności z lokalnym prawem.

Krzysztof
Majek
Zresztą ten problem, czyli bezpieczeństwo przechowywanych
informacji w ramach obcej infrastruktury, pojawia się tylko wtedy, gdy
w chmurze trzymamy najbardziej istotne dokumenty, dane poufne lub
szczególnie chronione tajemnice przedsiębiorstwa. Natomiast jest też wiele
pobocznych usług, jak chociażby oferowany od 20 lat hosting stron
internetowych, co do statusu prawnego którego nikt nie ma dziś wątpliwości.
Mówiąc językiem bardziej obrazowym, to jest trochę tak jak z wynajmowaniem
cudzej nieruchomości. Na gruncie prawa stanowionego strony mają dość
precyzyjnie określone uprawnienia i obowiązki, ale niektóre mogą znacznie
modyfikować i stosować nawet najostrzejsze zastrzeżenia. Oczywiście chmura
nie ma takiego poziomu opisu prawnego jak inne sfery życia, ale na pewno do jej
stosowania można przyjmować zasady z obszarów zbliżonych.

 

Big
Data to nie tylko samo zło


CRN Informatyka dała nam
możliwość szybkiej analizy danych, korelacji różnego typu informacji
i wyciągania z nich często nieoczywistych wniosków. Jednak, jak już
wspomnieliśmy, narzędzia te nie zawsze są używane w dobrym celu…

Krzysztof Majek Jeżeli wykorzystanie zdobytych w ten sposób informacji nie
przekracza społecznie akceptowanych norm, to nie będziemy mieli do czynienia
z nadużyciem. Te normy też się zmieniają, co jest dość naturalnym
zjawiskiem w kontekście rozwoju społeczeństwa i sposobów prowadzenia
biznesu. Oczywiście potoczny odbiór zjawiska Big Data dziś jest raczej
negatywny, ale myślę, że wkrótce wypracujemy w tym zakresie pewne
standardy.

 

Andrzej Kaczmarek Wspominaliśmy już o inteligentnych licznikach energii
elektrycznej, które mogą być tu ciekawym przykładem. Teoretycznie mają
umożliwiać zdalny odczyt wartości dokonanego pomiaru, jak też dostosowanie
odpowiednich taryf do indywidualnych potrzeb klienta. Celem jest rejestracja
zużycia prądu w odpowiedniej taryfie, aby później móc naliczyć właściwą
opłatę za energię. Tak określony cel można zrealizować poprzez rejestrowanie
zużycia energii w określonych przedziałach czasu bezpośrednio
w liczniku i sumowanie ich w nim, a następnie raz w
miesiącu przekazywanie operatorowi tej sumy poszczególnych przedziałów
taryfowych w celu wystawienia faktury.

Innym sposobem
realizacji tego samego zadania jest przekazywanie niemal w czasie
rzeczywistym tych odczytów do operatora rozliczającego, który aby móc wystawić
fakturę już we własnym zakresie będzie sumował zużycie energii
w poszczególnych przedziałach czasu ustalonych dla danej taryfy. Tyle że
przy zastosowaniu tego drugiego rozwiązania, poza osiągnięciem określonego
pierwotnie celu, możliwe jest wykorzystanie dużej ilości zebranych danych
również na inne sposoby. Budując odpowiedni model statystyczny oraz korelując
zebrane dane z różnych rodzajów liczników dla danego odbiorcy – także
gazowych czy wodomierzy – można np. z dość dużą precyzją określić,
ile osób jest w domu i czy aktualnie oglądają telewizję, czy
korzystają z komputera lub łazienki itp. To zaś może prowadzić do
naruszenia praw podstawowych człowieka, jakim jest m.in. prawo do prywatności.

Jan Byrski
Próby regulacji w niektórych obszarach już trwają, np. w kwestii
publicznego monitoringu wideo. Ale dzieje się to strasznie wolno – już od
dwóch lat mamy projekt ustawy dotyczącej tego tematu, a nadal nie jest ona
wprowadzona w życie.

Andrzej Kaczmarek Jest jeszcze jeden problem, o którym rzadko się wspomina. Jest to
kwestia korelacji danych osobowych pozyskanych przez administratorów
w legalny sposób z informacjami dostępnymi publicznie o danej
osobie, np. w serwisach społecznościowych czy w ogóle
w Internecie. Niewiele osób zdaje sobie sprawę, że takie działanie – prowadzące
do profilowania – jest niezgodne z prawem i za każdym razem
wymaga zgody osoby, której dane dotyczą. Firmy, które usprawiedliwiają się, że
prowadzą taką działalność wyłącznie w celu budowania modeli
statystycznych, muszą mieć świadomość, że badania takie można prowadzić
wyłącznie na danych zanonimizowanych, i – co ważne – w taki
sposób, aby niemożliwe było przywrócenie usuniętych wcześniej danych osobowych.

 

Mateusz Majewski Na razie Big Data jest dość
dużym workiem, do którego wrzucane są różne pojęcia. Zjawisko to nie zawsze
musi dotyczyć danych pozyskiwanych z zewnątrz. W wielu
przedsiębiorstwach przemysłowych doceniana jest możliwość przetwarzania dużej
ilości danych z linii produkcyjnej czy różnego typu urządzeń. Tak samo
sprzedawcy mogą w bardziej optymalny sposób zarządzać np. zakupami towaru
lub kreowaniem akcji promocyjnych. Przypadków, w których szybka korelacja
różnych danych może służyć złym celom, jest chyba dość niewiele… Natomiast
bardzo ważna jest świadomość społeczeństwa – komu i na jakich warunkach
udostępniamy dane, czy przeczytaliśmy regulamin usługi lub promocji itd.

 

Zarządzanie
licencjami nie musi być wyzwaniem


CRN O sprawach
związanych z legalnością oprogramowania mówi się bardzo dużo, wiele jest
też kampanii informacyjnych. Czy można powiedzieć, że dążymy do rozwiązania
problemu piractwa, przynajmniej w firmach?

Bartłomiej Witucki W Polsce skala korzystania z nielegalnego oprogramowania
w firmach nadal jest wysoka. Co prawda, z ostatniego prowadzonego
przez nas badania wynika, że znów odnotowaliśmy postęp i na przestrzeni
ostatnich 10 lat piractwo w Polsce spadło o 8 punktów
procentowych, jednak wynik na poziomie 51 proc. nadal trudno oceniać jako
satysfakcjonujący, zwłaszcza w porównaniu ze średnią europejską, która
wynosi 31 proc. Pozytywnie na ten rynek wpływa fakt, że powstaje coraz
więcej wytycznych odnośnie do zarządzania licencjami,
a w 2012 r. opublikowano też normę ISO/IEC 19770–1 dotyczącą
tego zagadnienia. Natomiast chyba wciąż jesteśmy daleko od całkowitego
wyeliminowania problemu. Gdy prowadzimy postępowanie przeciwko jakiejś firmie,
to bardzo rzadko mamy do czynienia z niejasnościami lub kwestiami
spornymi. Najczęściej jej właściciel doskonale wie, gdzie leży jego wina
w kontekście legalności.

 

CRN Administratorzy
odpowiedzialni za środowiska wirtualne w swoich firmach skarżą się, że
mają trudności z zapanowaniem nad kwestiami związanymi z licencjami.
Ma to wynikać z możliwości bardzo szybkiego klonowania wirtualnych maszyn
i znajdującego się w nich oprogramowania. Czy rzeczywiście jest to
realny problem?

Mateusz Majewski Nie jest prawdą, że nad tym nie da się zapanować. Taki stan mógł
występować 10 lat temu, gdy wirtualizacja dopiero stawała się popularna. Dziś
na rynku dostępne jest profesjonalne oprogramowanie klasy Software Asset
Management, które ułatwia zapanowanie nad kwestiami związanymi
z oprogramowaniem, także w środowisku wirtualnym. Mamy też partnerów,
którzy specjalizują się w tych obszarach – mogą pomóc we wdrożeniu
takiego oprogramowania lub przeprowadzić usługę SAM, czyli zarządzania oprogramowaniem
i licencjami. Natomiast rzeczywiście podczas tych audytów widać, że dość
często administratorzy nie panują nad posiadanym środowiskiem. Dotyczy to
głównie serwerowych wersji produktów. Nie do końca zwracają uwagę na zapisy
licencji, i po prostu korzystają z oprogramowania bez większego
namysłu.

 

CRN Może zatem pora
pomyśleć o zmianie sposobu prezentowania zapisów licencyjnych? Nie jest
przecież tajemnicą, że warunków licencji właściwie nikt nie czyta. Dlaczego
podczas procesu instalacji nie można przedstawić najważniejszych informacji
w bardzo czytelny sposób, np. w postaci infografiki?

Jan Byrski To ciekawy pomysł, stosowany już zresztą
w innych branżach. Te najważniejsze informacje określane są mianem
istotnych postanowień umownych – i myślę, że rzeczywiście taka forma
w pewnym stopniu mogłaby poprawić świadomość użytkowników.

Mateusz
Majewski
Ale wielu dostawców
usług już teraz w tej formie przedstawia warunki korzystania z nich.
Co oczywiście nie może zastąpić w całości formalnego regulaminu. Natomiast
widzimy, że użytkownicy oczekują prostszego przedstawiania zawiłych kwestii
i być może rzeczywiście wkrótce spotkamy się z uproszczeniem zapisów
licencyjnych.

 

Nieznajomość
prawa szkodzi!


CRN Skoro w tak wielu obszarach wciąż istnieje
możliwość dość swobodnej interpretacji oraz ryzyko nadinterpretacji prawa, to
czy każdy reseller w Polsce powinien mieć swojego prawnika, dostępnego na
telefon?

Jan
Byrski
Połową sukcesu będzie już
to, jeśli przedsiębiorcy będą uważnie czytali umowy, które podpisują, warunki
licencji, na którą się zgadzają itd. Tam są zapisane najważniejsze kwestie
i to taki dokument będzie podstawowym dowodem podczas ewentualnej
rozprawy. Ale oczywiście warto mieć kontakt do profesjonalisty, który pomoże
w poruszaniu się wśród przepisów.

 

CRN Ale czy to może być
dowolny prawnik, który wyda opinię na podstawie lektury umowy, kodeksu czy
ustawy?

Jan Byrski Nabyte w praktyce
doświadczenie jest tu bardzo ważne. Niekiedy przepisy są tak lakoniczne, że
jeżeli prawnik nigdy nie zajmował się daną dziedziną, to dla niego nawet
związany z nią język prawniczy może być specyficzny. I nie dotyczy to
tylko branży IT, ale także podatkowej, budowlanej i innych. Natomiast
niestety dziś w Polsce nie ma wiarygodnej listy prawników zajmujących się
kwestiami IT. Na przykład w Niemczech funkcjonuje zwyczaj przyznawania
adwokatom do dwóch specjalizacji. W Polsce nad wprowadzeniem takiej zasady
od lat zastanawia się Naczelna Rada Adwokacka oraz radcowie prawni. Dzisiaj
mamy co prawda Krajowy Rejestr Adwokatów, gdzie wymienione są specjalizacje,
ale rzeczywiste doświadczenie w tym obszarze jest w praktyce
nieweryfikowalne.

 

Mateusz Majewski Firmy resellerskie mogą też kontaktować się bezpośrednio
z dostawcami. Nie wyobrażam sobie, żeby odmówiono im pomocy, bo to jest
jeden z elementów edukacji potencjalnego partnera. Poza tym na wiele pytań
tacy dostawcy mają od dawna gotowe odpowiedzi.

Krzysztof Majek W imieniu dystrybutorów mogę potwierdzić, że w wielu
kwestiach związanych z aspektami prawnymi dotyczącymi danego produktu
można zwracać się do nas, czyli do firm reprezentujących producentów. Mając
w ofercie rozwiązania wielu dostawców z USA, Europy czy Japonii,
działamy w ich imieniu podczas sprzedaży, a także świadczenia usług
serwisowych czy wsparcia marketingowego. Musimy też przenosić zawarte
z nimi umowy na grunt prawa polskiego. Dlatego w tym obszarze kwestie
prawne najczęściej bierzemy na siebie.

Andrzej Kaczmarek GIODO, jako odpowiedzialny za ochronę danych osobowych, oferuje pomoc
w zakresie interpretacji przepisów, której dokonuje w toku bieżącej
pracy urzędu, jak również w formie szkoleń, konferencji naukowych
organizowanych z okazji obchodów Europejskiego Dnia Ochrony Danych
Osobowych, oraz biorąc udział w konferencjach innych podmiotów,
prezentując własne opinie i wskazówki. GIODO udziela również odpowiedzi na
pytania dotyczące stosowania przepisów o ochronie danych osobowych
i wiele z nich zamieszcza na stronie internetowej Urzędu. Natomiast
GIODO nie wydaje żadnych certyfikatów, które poświadczałyby, że dane
oprogramowanie czy system jako produkt spełnia wymagania w zakresie
zgodności z przepisami o ochronie danych osobowych. Przyjęliśmy taką politykę
z uwagi na fakt, że ocena aplikacji czy systemu informatycznego jako
takich – tylko na podstawie funkcjonalności, bez uwzględnienia środowiska,
w którym są wdrożone – to nie wszystko. Tutaj liczy się głównie
sposób jego wdrożenia, w tym sposób wykorzystywania danych, które są przy
jego użyciu przetwarzane.

Bartłomiej Witucki Powszechnie wiadomo, że nieznajomość prawa szkodzi,
a świadomość przynajmniej podstawowych zagadnień znacznie ułatwia
funkcjonowanie w biznesie. Dlatego BSA stawia na edukację w zakresie
ryzyka związanego z wykorzystywaniem nielegalnych aplikacji. Promuje najlepsze
praktyki – przykładem jest pierwszy w Europie certyfikat Verafirm
przyznany Totalizatorowi Sportowemu, który potwierdza zgodność praktyki
Software Asset Management z normą ISO/IEC 19770–1. Informujemy też
o zasadach odpowiedzialności prawnej w wypadku korzystania
z nielicencjonowanego oprogramowania, a także pomagamy firmom
resellerskim w rozpoczęciu świadczenia usług audytu legalności
i profesjonalnego zarządzania licencjami – przykładem takiego
wsparcia jest kurs BSA SAM Advantage.