Prawo Nowych Technologii Nr 2/2025

Aktualne problemy stosowania prawa nowych technologii w kontekście najnowszych regulacji!

W numerze 2/2025 polecamy:

Agnieszka Jurcewicz-Androsz, „Motoryzacja w erze danych: wyzwania i obowiązki sektora wobec Aktu w sprawie danych”

Obowiązkowe dzielenie się danymi generowanymi przez pojazdy oraz powiązane z nimi usługi budzi wiele pytań i wątpliwości wśród podmiotów działających w sektorze motoryzacyjnym. W niniejszym artykule przedstawiam kluczowe wyzwania, z którymi podmioty będące posiadaczami danych będą musiały się zmierzyć w najbliższej przyszłości oraz wskazuję główne obowiązki, o których powinny pamiętać. Biorąc pod uwagę, jak zróżnicowane są interesy rynkowe podmiotów z tego sektora oraz pojawiające się już na tym etapie rozbieżności interpretacyjne, jestem przekonana, że dyskusja wokół nowych przepisów będzie żywa – a tematów do rozmów i wyzwań związanych z wdrożeniem oraz interpretacją przepisów z pewnością nie zabraknie.

Karolina Kulikowska-Gruszecka, „Wyzwania prawne związane z implementacją prawa do przenoszenia danych oraz mechanizmów dostępu i udostępnienia danych na styku RODO i Data Act”

Prawo do przenoszenia danych z art. 20 ogólnego rozporządzenia o ochronie danych1 oraz mechanizmy dostępu i udostępniania danych przewidziane w Data Act2 to odrębne, lecz wzajemnie się uzupełniające regulacje, funkcjonujące na styku ochrony danych osobowych. Ich stosowanie wiąże się z wyzwaniami związanymi z wdrożeniem rozwiązań organizacyjnych, prawnych i technicznych, zwłaszcza przy obsłudze danych mieszanych, weryfikacji podstaw prawnych przetwarzania, zapewnieniu interoperacyjności oraz ochronie tajemnicy przedsiębiorstwa. Artykuł przedstawia główne problemy wynikające z równoległego stosowania obu reżimów oraz wskazuje okoliczności, które mogą ułatwiać ich praktyczne wdrażanie w sposób spójny i bezpieczny.

Anna Jelińska-Sabatowska, „Między ochroną tajemnicy przedsiębiorstwa a prawem dostępu do danych: kolizje w świetle Data Act”

Data Act stanowi jedną z najważniejszych inicjatyw regulacyjnych Unii Europejskiej w obszarze budowy społeczeństwa opartego na danych (data-driven society). Jednym z jego zasadniczych celów jest stworzenie ram dla efektywnego i zgodnego z prawem udostępniania danych pomiędzy różnymi sektorami, w sposób sprzyjający innowacyjności i konkurencyjności rynku. Rozporządzenie wzmacnia kontrolę użytkowników nad danymi generowanymi przez ich urządzenia oraz gwarantuje sprawiedliwy i przejrzysty dostęp do tych danych innym podmiotom. W praktyce oznacza to również szeroko zakrojoną interwencję w dotychczasowe modele obrotu informacją, w tym w transakcje dotyczące danych.

Szczególne znaczenie dla przedsiębiorców ma kwestia tajemnicy przedsiębiorstwa, która w kontekście Data Act pojawia się przy dwóch systemach udostępniania danych: po pierwsze, w ramach internetu rzeczy (IoT), gdzie użytkownicy uzyskują prawo do danych generowanych przez urządzenia, a po drugie – w modelu Business-to-Government (B2G), nakładającym obowiązek udostępniania określonych danych podmiotom z sektora publicznego. W obu przypadkach pojawia się napięcie między otwartością danych a ochroną know-how, stanowiące jedno z kluczowych wyzwań praktycznego stosowania rozporządzenia.

Piotr Nepelski, Adrian Ptak, „Nieuczciwe postanowienia umowne między przedsiębiorstwami w zakresie dostępu do danych i ich wykorzystywania – perspektywa Data Act”

Data Act wprowadza w art. 13 tzw. klauzule abuzywne, a więc niedozwolone postanowienia umowne, które chronią przedsiębiorców przed nieuczciwymi praktykami umownymi dotyczącymi danych.

Nowa regulacja wpisuje się w działania Unii Europejskiej zmierzające do ochrony słabszej strony umowy. Dotychczasowo uwaga ustawodawcy unijnego koncentrowała się na ochronie konsumentów, wyrazem czego była m.in. dyrektywa Rady 93/13/EWG z 5.4.1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich. Dyrektywa implementowana do polskiego Kodeksu cywilnego (art. 3851 i n. KC) przewiduje ochronę konsumentów przed niedozwolonymi postanowieniami umownymi, tj. postanowieniami nieuzgodnionymi indywidualnie, które kształtują prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Z czasem ochrona przed klauzulami abuzywnymi została też rozszerzona na osoby fizyczne zawierające umowę bezpośrednio związaną z ich działalnością gospodarczą, gdy z treści tej umowy wynika, że nie posiada ona dla nich charakteru zawodowego.

W przepisach Data Act zwrócono uwagę, że ryzyko wykorzystania silniejszej pozycji negocjacyjnej nie dotyczy tylko relacji z konsumentami albo przedsiębiorcami działającymi w formie jednoosobowej działalności gospodarczej. Brak równowagi kontraktowej jest coraz częściej widoczny w obrocie obustronnie profesjonalnym. Przedsiębiorcy, zwłaszcza w relacji z monopolistami, mogą być zmuszeni do akceptacji postanowień umownych oferowanych na zasadzie „przyjmij albo zrezygnuj”. Takie nierówności powodują (na co zwraca uwagę unijny ustawodawca w motywach Data Act), że dostęp do danych staje się komercyjnie mniej opłacalny, a czasem nawet ekonomicznie zaporowy. Od 12.9.2025 r. mapa regulacji chroniących przed klauzulami abuzywnymi staje się więc bardziej złożona, gdyż każdy przedsiębiorca będzie chroniony na podstawie art. 13 DA – przy czym zakres ochrony będzie ograniczony do postanowień dotyczących danych.

Celem artykułu jest analiza nowych przepisów dotyczących nieuczciwych postanowień umownych w zakresie dostępu do danych i ich wykorzystywania. W artykule opisane zostały przede wszystkim sytuacje, kiedy postanowienia umowne mogą zostać uznane za nieuczciwe. Analizie poddano również wątpliwości związane z interpretacją nowych przepisów oraz skutków regulacji.

Camilla Kæraa, Ioana Mazilescu, Tomáš Petrů „Who will control data in the future? Contracts and the Data Act”

Controlling data has become essential in the development of our economies. EU rules now extend beyond personal data, as the recent Data Act introduces new rights and obligations for access and sharing of data and empowers customers to move their data between cloud service providers. Contracts will need to be invented, renegotiated or changed to lead to fairer and more balanced rights about data.

Katarzyna Paziewska-Młodawska, „Kluczowe zmiany w zakresie wyjścia z usługi chmurowej na tle Aktu w sprawie danych oraz Standardowych Klauzul Umownych dotyczących usług przetwarzania danych w chmurze”

Akt w sprawie danych wymaga, aby dostawca i klient w umowie o świadczenie usług chmurowych (usług przetwarzania danych) zawarł szereg obligatoryjnych postanowień. Postanowienia te mają regulować możliwość wyjścia z umowy i zmianę dostawcy usług na wniosek klienta. W niniejszym artykule przedstawiono podsumowanie głównych wymagań umownych związanych z wnioskiem o zmianę dostawcy i następującymi po nim działaniami stron oraz wpływem takiego wniosku na obowiązywanie umowy.

Tadeusz Mięsowicz, „Dane syntetyczne a AI Act”

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji1 nie definiuje pojęcia danych syntetycznych, pomimo że posługuje się tym terminem w kilku miejscach regulacji. Artykuł proponuje definicję tego pojęcia w oparciu o osiągnięcia nauczania maszynowego i nauki o danych. Równocześnie konfrontuje termin „dane syntetyczne” z wprowadzonym przez AI Act pojęciem treści syntetycznych. Publikacja zawiera analizę wymogów jakościowych danych syntetycznych w systemach wysokiego ryzyka (art. 10 AI Act). Omawia również problem przejrzystości systemów wykorzystujących dane syntetyczne w świetle art. 13 AI Act.

Paweł Urzenitzok, „Jak należy postrzegać przestępstwo w metaverse?”

Artykuł analizuje problematykę przestępstwa popełnionego w metaverse. Metaverse, jako immersyjny wirtualny wszechświat 3D, jest coraz popularniejszy. W opracowaniu przeanalizowano w jaki sposób przestępstwa „popełnione” w metaverse różnią się od tradycyjnych przestępstw oraz zidentyfikowano ich ryzyka prawne. W artykule omówiono koncepcje „Magic Circle” i „Law of Horse” jako podejścia do regulacji prawnej metaverse. Przedstawiono trzy kategorie szkód wynikających z immersyjnych doświadczeń wirtualnych: indywidualne szkody z nadużywania technologii, szkody fizyczne celowo wyrządzone przez inne osoby oraz psychiczne skutki ataków na awatary. Uargumentowano, że obecne przepisy prawne są niewystarczające do regulacji przestępstw w metaverse. Artykuł zawiera postulaty de lege ferenda, w tym wprowadzenie specyficznych regulacji dla metaverse oraz ustanowienie międzynarodowych standardów współpracy.