Prawo Nowych Technologii Nr 3-4/2025

Aktualne problemy stosowania prawa nowych technologii w kontekście najnowszych regulacji!

W numerze 3-4/2025 polecamy:

Kamila Król, „Bezpieczne przetwarzanie danych osobowych w chmurze – kluczowe aspekty na podstawie norm ISO 27017 i ISO 27018 oraz wybranych przepisów RODO”

Celem pracy jest omówienie zasad oraz narzędzi niezbędnych do zapewnienia bezpieczeństwa danych osobowych w przestrzeni chmurowej oraz zgodności ich przetwarzania z obowiązującymi regulacjami prawnymi. W pracy ukazano znaczenie norm ISO 27017 i ISO 27018 oraz wybranych przepisów RODO, w tym dotyczących zasad przetwarzania danych osobowych w kontekście minimalizacji ryzyka naruszenia danych, zwiększenia zaufania użytkowników chmury, a także umożliwienia zgodnego z prawem przetwarzania danych w środowisku cyfrowym.

Aleksandra Kubiś, Tymoteusz Kwidziński, „Rozporządzenie MiCA i wyzwania braku polskiej implementacji”

Dnia 30.12.2025 r. upłynął rok od terminu, w którym rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 w sprawie rynku kryptoaktywów (MiCA) zaczęło obowiązywać w obrębie regulacji działalności m.in. tzw. dostawców usług w zakresie krytpoaktywów (CASP). Szczególnie istotnym przepisem MiCA jest w tym obszarze zakaz prowadzenia działalności jako CASP, chyba że podmiot zainteresowany uzyska zezwolenie od organu wyznaczonego przez państwo, w którym ma on swoją siedzibę statutową. Niewyznaczenie organu przez państwo faktycznie uniemożliwia podjęcie działalności jako CASP przedsiębiorcom mającym siedzibę statutową w tym państwie. Taka sytuacja zaistniała obecnie w Polsce – w konsekwencji skorzystania przez Prezydenta z prawa weta wobec projektu ustawy mającej wyznaczyć Prezesa Komisji Nadzoru Finansowego jako organ właściwy do wydawania zezwoleń na prowadzenie działalności jako CASP. Niniejszy artykuł podejmuje próbę analizy – pozostającej w cieniu sytuacji politycznej – prawnej sytuacji podmiotów, którym na wyznaczeniu organu zależy najbardziej – podmiotów działających i planujących podjąć działalność na rynku kryptoaktywów jako CASP z siedzibą w Polsce. Ponadto, zaproponowane jest spojrzenie – i rozwiązanie – systemowe, które, zdaniem autorów, stanowiłoby kompromis uwalniający sektor kryptoaktywów w Polsce od widma stagnacji, a jednocześnie pozostawiający – na ten moment – najbardziej sporne kwestie nierozstrzygniętymi.

Michał Garski, „Granice implementacji rozporządzenia MiCA a możliwość świadczenia usług w zakresie kryptoaktywów przez banki. Analiza normatywna, funkcjonalna i porównawcza”

Artykuł analizuje granice implementacji rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1114 (MiCA) w kontekście dopuszczalności i zakresu świadczenia usług w zakresie kryptoaktywów przez banki. Autor dowodzi, że MiCA – pomimo deklarowanego celu integracji rynku wewnętrznego – nie znosi kluczowych barier dla sektora bankowego, lecz ujawnia strukturalne napięcie pomiędzy logiką harmonizacji rynku finansowego a logiką regulacji ostrożnościowej. W artykule wyodrębniono granice normatywne, funkcjonalne i strategiczne aktywności banków w obszarze kryptoaktywów, wynikające z kumulatywnego oddziaływania MiCA, reżimów CRR/CRD, regulacji AML/CFT oraz DORA, a także z praktyki nadzorczej.

Rafał Włoczka, „Tokenizacja – nowość czy neutralny prawnie rozwój technologii? Uwagi na tle tokenizacji papierów wartościowych”

Problematyka cywilnoprawnej istoty papierów wartościowych jest przedmiotem zainteresowania art. 9216–92116 ustawy z 23.4.1964 r. – Kodeks cywilny. Przepisy te zostały przyjęte ponad 30 lat temu, w związku z czym w naturalny sposób nie odwołują się do pojęć dematerializacji lub tokenizacji. Uważam jednak, że z uwagi na posłużenie się przez ustawodawcę stosunkowo neutralnym pojęciem „dokumentu” w regulacji tzw. części ogólnej prawa papierów wartościowych – w sposób niezamierzony wykreowano neutralny technologicznie zestaw norm, który może być wykorzystywany również w dobie powszechnej cyfryzacji. Artykuł zostanie poświęcony wykazaniu tezy, że w zakresie prywatnoprawnym tokenizacja nie jest dla papierów wartościowych istotnie nowatorskim zjawiskiem, a proces ten jest de lege lata możliwy.

Ewa Kowalewska, „Pieniądz cyfrowy banku centralnego w systemie rynku finansowego w Polsce”

Od 2020 r. wyraźnie wzrosło zaangażowanie banków centralnych na świecie w badania nad możliwością emisji cyfrowego pieniądza banku centralnego (Central Bank Digital Currency – CBDC), w większości jako cyfrowego odpowiednika gotówki. Rozważania dotyczące CBDC mają charakter wieloaspektowy. Ich filarem powinny być obowiązujące regulacje prawne. Należy zastanowić się, czy stan prawny daje podstawy do wprowadzenia cyfrowego pieniądza banku centralnego. Jest to podstawowy aspekt rozważań, co wiąże się z koniecznością postawienia pytań o naturę i charakter pieniądza. CBDC to pieniądz, którego emitentem miałby być bank centralny, stąd analizy obejmą także rolę banku centralnego jako emitenta oraz jego odpowiedzialność za kształtowanie i realizowanie polityki pieniężnej. Emisja CBDC w obowiązującym w Polsce porządku prawnym oznaczałaby dematerializację pieniądza. Postęp technologiczny przyczynił się do głębokich zmian przede wszystkim w sferze prawa prywatnego. Jednak należy odnotować, że duże znaczenie ma także w obszarze prawa publicznego, zwłaszcza w kontekście funkcjonujących i pełniących szczególne role instytucji. Zmiany prawne na poziomie zwłaszcza unijnym, wzrost cyfryzacji, rozwój sztucznej inteligencji, rozwój rynku kryptoaktywów, wszystko to wpłynęło na zmianę postrzegania pojęcia „pieniądz”. Celem opracowania jest zwrócenie uwagi na problematykę wprowadzenia pieniądza cyfrowego banku centralnego w Polsce z perspektywy rynku finansowego. W tym celu szczególną uwagę zwrócono na pojęcie „pieniądza”, jego ramy prawne. W dalszej kolejności podjęto próbę klasyfikacji „form” pieniądza oraz wyznaczenia w tym zakresie miejsca dla CBDC. Ponadto celem przeprowadzonych na potrzeby artykułu badań jest wykazanie konsekwencji emisji pieniądza cyfrowego NBP w ujęciu systemowym z uwzględnieniem funkcjonujących instytucji, takich jak Komisja Nadzoru Finansowego i Bankowy Fundusz Gwarancyjny. Do realizacji założonych celów wykorzystano przede wszystkim metodę dogmatyczno-prawną jako metodę badawczą.

Marta Kupczak-Strzelecka, „Ochrona użytkowników Internetu przed nielegalnymi treściami, produktami i usługami”

Działając na podstawie Aktu o Usługach Cyfrowych (DSA), Komisja Europejska podjęła czynności w stosunku do jednej z platform e-commerce podejrzewając, że na platformie tej oferowane są nielegalne towary, w szczególności lalki erotyczne przypominające dzieci oraz broń. W związku ze sprzedażą nielegalnych produktów we Francji oraz kilkoma publicznymi doniesieniami Komisja podejrzewa, że system stosowany przez tę platformę może stanowić zagrożenie systemowe dla konsumentów w całej Unii Europejskiej. Komisja Europejska wszczęła też formalne postępowanie w celu zbadania, czy Snapchat narusza DSA, m.in. przez rozpowszechnianie informacji o sprzedaży nielegalnych towarów, takich jak narkotyki, e-papierosy i alkohol. Niniejszy artykuł bada, jakie instrumenty posiadają polskie organy regulacyjne, aby szybko i efektywnie chronić konsumentów przed nielegalnymi treściami, produktami i usługami w Internecie na gruncie wypracowanej w parlamencie implementacji DSA, jak i innych przepisów krajowych.

Michał R. Kolasiński, „Dwa reżimy transparentności reklam online w prawie UE: Digital Services Act a rozporządzenie w sprawie przejrzystości i targetowania reklamy politycznej”

Wraz z rozpoczęciem stosowania rozporządzenia w sprawie przejrzystości i targetowania reklamy politycznej w porządku prawnym Unii Europejskiej istnieją dwa reżimy transparentności reklamy online. Jeden wynika z horyzontalnego reżimu Aktu o usługach cyfrowych, a drugi z TTPA, który ogranicza się wyłącznie do sektora reklamy politycznej. W praktyce, w szczególności z perspektywy dostawcy usług hostingu, mogą powstawać wątpliwości oraz problemy dotyczące wykładni i stosowania obu regulacji. Celem publikacji jest identyfikacja obowiązków dostawcy usług hostingu w stanach faktycznych podlegających jednocześnie obu regulacjom. Przedmiotem artykułu jest również ocena, czy TTPA pełni wobec DSA rolę lex specialis, czy obowiązki nakładane przez każdą z regulacji mają charakter kumulatywny. Analiza opiera się na porównaniu norm prawnych i dokumentów soft law, a jej rezultatem jest model pozwalający projektować jednolitą realizację obowiązków transparentności w interfejsie przy zachowaniu zgodności z oboma reżimami.

Kacper Gut, „Obowiązek informowania organów ścigania o przestępstwach w świetle art. 18 ust. 1 Aktu o usługach cyfrowych – analiza w kontekście art. 304 § 1 KPK i regulacji państw członkowskich UE”

Po rozpoczęciu pełnego stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 w sprawie jednolitego rynku usług cyfrowych1 w porządku prawnym Unii Europejskiej pojawił się nowy katalog obowiązków po stronie dostawców usług pośrednich, w tym dostawców usług hostingu. Jednym z nich jest obowiązek niezwłocznego informowania właściwych organów o podejrzeniu popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osób, przewidziany w art. 18 ust. 1 DSA. Na szczególną uwagę zasługuje użycie przez prawodawcę unijnego sformułowania „może dojść do popełnienia przestępstwa”, które wykracza poza dotychczasowe ujęcie obowiązku zawiadomienia znane prawu polskiemu, w szczególności art. 304 § 1 KPK. Rodzi to pytania o zakres nowego obowiązku oraz granice odpowiedzialności dostawców hostingu, zobowiązanych do podejmowania decyzji w warunkach niepewności co do kwalifikacji prawnej ujawnianych treści. Analizie poddano genezę tej regulacji, jej relację do krajowych przepisów procesowych oraz wybrane rozwiązania przyjęte w państwach członkowskich, a także oceniono, czy art. 18 ust. 1 DSA wprowadza jakościowo nowy standard prawny, czy też modyfikuje dotychczasowe mechanizmy zawiadamiania o przestępstwach.

Aleksander Elmerych, „Czy na korzystanie z bazy danych zawsze trzeba mieć licencję? Kilka słów o ochronie baz danych i uprawnieniach legalnego użytkownika”

Artykuł wyjaśnia, kim jest legalny użytkownik bazy danych i jakie znaczenie ma ten status w praktyce – zwłaszcza gdy pojawia się pytanie, czy do korzystania z bazy danych zawsze potrzebna jest licencja. Autor pokazuje dwa niezależne reżimy ochrony baz danych: prawo sui generis, które chroni przede wszystkim istotną część zawartości bazy danych oraz ochronę prawnoautorską, obejmującą sam twórczy dobór lub układ (strukturę) danych. Tekst porządkuje też konsekwencje tego podziału z perspektywy użytkownika – jak odrębne reżimy ochrony wpływają na prawne aspekty korzystania z baz danych oraz kiedy (i komu) przepisy ustawowe zezwalają na korzystanie z określonych elementów bazy danych, nawet w przypadku braku odpowiednich postanowień licencyjnych.