Make IT clear - 12/23 - 01/24

Justyna Wilczyńska-Baraniak EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

10 minute read 18 lut 2024

Powiązane tematy

Doradztwo prawne

Przedstawiamy wydanie materiałów specjalnych Make IT clear 12/2023 - 01/2024

Omówione tematy:

Własność intelektualna - Pierwsze półrocze działania Jednolitego Sądu Patentowego
IT - Europejski Akt w sprawie danych wchodzi w życie!
Cybersecurity - Akt o solidarności cybernetycznej - krok w kierunku reakcji UE na cyberataki na dużą skalę
Ochrona danych osobowych - Przełomowy wyrok TSUE: automatyczne przypisywanie oceny zdolności kredytowej potencjalnym kredytobiorcom jest całkowicie zautomatyzowanym podejmowaniem decyzji
E-commerce - Decyzja Prezesa UOKiK w sprawie dotyczącej „Deceptive patterns”

Rozdział

Własność Intelektualna

Pierwsze półrocze działania Jednolitego Sądu Patentowego

Jednolity Sąd Patentowy – czym się zajmuje?

Jednolity Sąd Patentowy (United Patent Court – dalej również jako „UPC”) to instytucja powołana na mocy Porozumienia w sprawie jednolitego sądu patentowego (dalej również jako „Porozumienie”). Ma on na celu zmniejszenie niepewności prawnej związanej z ochroną patentową i zapewnienie jednolitej wykładni prawa unijnego poprzez jego stosowanie i współpracę z Trybunałem Sprawiedliwości Unii Europejskiej. UPC oferuje jednolite, specjalistyczne i skuteczne ramy dla sporów patentowych na poziomie europejskim. Rozpatruje zarówno powództwa o naruszenie, jak i o unieważnienie, a w jego skład wchodzą sędziowie z całej Europy. W skład jednolitego Sądu Patentowego wchodzą: oddziały lokalne, oddziały regionalne oraz oddział centralny, a Sąd Apelacyjny z siedzibą w Luksemburgu będzie rozpatrywał odwołania od orzeczeń Sądu Pierwszej Instancji.

Do tej pory jedynie 17 państw członkowskich z 24, które przystąpiły do Porozumienia, dokonało jego ratyfikacji. Polska nie podpisała Porozumienia więc nie będzie należeć do jednolitego systemu patentowego. Jednak orzeczenia UPC pośrednio wpływać będą także na orzecznictwo sądów nienależących do jednolitego systemu, w związku z tym również na orzeczenia wydane przez polskie sądy.

Podsumowanie działalności UPC w 2023 r.

Od momentu rozpoczęcia działalności tj. od 1 czerwca 2023 r., do UPC wpłynęło łącznie 160 spraw (z czego największa ilość do biur w Monachium i w Paryżu):

48 spraw z powództwa wzajemnego o unieważnienie
24 sprawy o unieważnienie
67 spraw o naruszenie przepisów
13 wniosków o zastosowanie środków tymczasowych
5 wniosków o zabezpieczenie środków dowodowych
1 wniosek o zarządzenie kontroli i 1 oświadczenie o braku naruszenia

Pierwszy nakaz tymczasowy oraz pierwsza kara pieniężna

W sprawie myStromer AG v. Revolt Zycling AG przedmiotem sporu była ochrona europejskiego patentu na określone części rowerów elektrycznych. Sprawa toczyła się pomiędzy dwiema szwajcarskimi spółkami działającymi w branży rowerów elektrycznych.

W dniu 22 czerwca 2023 r. niemiecki oddział UPC w Dusseldorfie wydał pierwszy w swojej historii nakaz tymczasowy ex parte (bez wysłuchania drugiej strony) obejmujący Niemcy, Holandię, Francję i Włochy. Nakaz tymczasowy jest środkiem prawnym, który nakłada na oskarżonego obowiązek zaniechania określonych działań potencjalnie naruszających prawa patentowe skarżącego, zazwyczaj do czasu rozstrzygnięcia sprawy.

Wydanie nakazu tymczasowego nastąpiło w ciągu zaledwie kilku godzin od momentu gdy pokrzywdzona spółka zawnioskowała o to do Sądu. W związku z niepełnym zastosowaniem się do postanowienia UPC przez stronę naruszającą patent, 18 października 2023 r. Sąd wydał kolejne postanowienie, którym na podmiot naruszający nałożono karę w wysokości 26,500 EUR.

Pierwsza sprawa przed Sądem Apelacyjnym

W dniu 18 grudnia 2023 r. odbyło się pierwsze posiedzenie Sądu Apelacyjnego w sprawie 10x Genomics v NanoString. Sprawa dotyczy odwołania złożonego przez amerykańską firmę biotechnologiczną od nakazu tymczasowego wydanego przeciwko niej. Przedmiotem sporu jest natomiast technologia umożliwiająca wykrywanie kwasu RNA w żywych komórkach. Posiedzenie było otwarte dla publiczności, trwało 7 godzin, zaś poprowadzone zostało przez Prezesa Sądu Apelacyjnego, Klausa Grabinskiego.

ey makeitclear lp banner lp fuksja clear

Rozdział

IT

Europejski Akt w sprawie danych wchodzi w życie!

W Dzienniku Urzędowym Unii Europejskiej opublikowano rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (dalej również jako: „Akt w sprawie danych” lub „Rozporządzenie”). Regulacje zawarte w rozporządzeniu zaczną obowiązywać po 20 miesiącach, a więc 12 września 2025 r.

Potencjał gospodarczy danych

Dane są podstawą wielu nowych produktów i usług cyfrowych. Korzystanie z przedmiotów podłączonych do internetu (dalej również jako: „Internet rzeczy”) generuje coraz więcej danych.

Globalna wartość Internetu rzeczy i usług pokrewnych, do 2030 r. ma wynosić 5-10 bilionów euro*.
W 2021 r. wytworzono globalnie około 79 zettabajtów danych, a ich ilość do 2025 r. ma się podwoić*.
Celem europejskiej strategii w zakresie danych (2020) jest uczynienie UE liderem w społeczeństwie opartym na danych.

Wprowadzenie i cele Aktu w sprawie danych

Akt w sprawie danych jest kluczowym etapem strategii Komisji w zakresie danych, która jest ważnym czynnikiem umożliwiającym osiągnięcie celów cyfrowej dekady na 2030 r.

Akt w sprawie danych stanowi uzupełnienie aktu w sprawie zarządzania danymi, który wszedł w życie we wrześniu 2023 r., i tworzy procesy i struktury ułatwiające wymianę danych przez przedsiębiorstwa, osoby fizyczne i sektor publiczny.

Celem Aktu w sprawie danych jest:

Wykorzystanie ekonomicznego potencjału wynikającego z generowania przez nowoczesne urządzenia coraz większej ilości danych;
Uregulowanie zasad wykorzystania danych wytwarzanych przez urządzenia połączone (takie jak urządzenia użytku domowego, samochody itp.) tak, aby były one przekazywane szerszej grupie podmiotów, co ma zapewnić bardziej sprawiedliwy dostęp do informacji i wspomóc rozwój technologii;
Usunięcie bariery w dostępie do danych dla podmiotów sektora prywatnego, jak i publicznego, w związku z czym zobowiązuje posiadaczy danych do ich udostępniania zarówno użytkownikom, odbiorcom danych, jak i w niektórych przypadkach organom publicznym.

Zakres podmiotowy

Akt w sprawie danych ma zastosowanie do poniżej wskazanych podmiotów tj.:

Producentów produktów połączonych wprowadzonych do obrotów w UE i dostawców usług powiązanych, niezależnie od miejsca ich siedziby;
Znajdujących się w Unii użytkowników produktów połączonych lub usług powiązanych, o których mowa powyżej;
Posiadaczy danych, którzy udostępniają dane odbiorcom danych w UE, niezależnie od miejsca siedziby tych posiadaczy;
Odbiorców danych w UE, którym dane są udostępnianie;
Podmiotów publicznych, które zwracają się o udostępnienie danych;
Dostawców usług przetwarzania danych świadczących takie usługi klientom w UE, niezależnie od miejsca ich siedziby.

Wybrane postanowienia

Akt w sprawie danych zwiększa dostęp do danych m.in. poprzez przyznanie użytkownikom prawa do żądania wydania danych wygenerowanych przez produkty lub powiązane z nimi usługi, z których korzystają.
W Rozporządzeniu wskazano katalog postanowień umownych dotyczących dostępu do danych i korzystania z nich - kwalifikowanych jako postanowienia nieuczciwe.
Ponadto w Rozporządzeniu określono wyjątkowe sytuacje, gdy istnieje obowiązek udostępniania danych podmiotom publicznym.
Akt w sprawie danych zawiera również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu m.in. ułatwienia zmiany dostawców usług przetwarzania danych w chmurze.
W Rozporządzeniu wprowadzono obowiązek wyznaczenia przez poszczególne państwa członkowskie właściwego organu odpowiedzialnego za przestrzeganie przepisów Aktu w sprawie danych.
W Akcie w sprawie danych określono system sankcji, w tym kar pieniężnych, za nieprzestrzeganie jego przepisów. Wysokość kar pieniężnych ma zostać ustanowiona przez poszczególne państwa członkowskie.
Akt w sprawie danych wskazuje, że do danych osobowych zastosowanie znajdują w pierwszej kolejności przepisy rozporządzenia RODO.

Akt o solidarności cybernetycznej - krok w kierunku reakcji UE na cyberataki na dużą skalę

Rozdział

Cybersecurity

Akt o solidarności cybernetycznej - krok w kierunku reakcji UE na cyberataki na dużą skalę

W dniu 20 grudnia 2023 r. przedstawiciele państw członkowskich UE wypracowali wspólne stanowisko (dalej również jako „Porozumienie”) dotyczące projektu rozporządzenia Parlamentu Europejskiego w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020 tzw. Aktu o solidarności cybernetycznej (dalej również jako „Akt o cybersolidarności”).

Cytowany w komunikacie prasowym Rady Unii Europejskiej minister ds. transformacji cyfrowej Hiszpanii José Luis Escrivá, zaangażowany w promocję prac nad Aktem o cybersolidarności, stwierdził, że „Porozumienie jest kolejnym krokiem w kierunku poprawy cyberodporności w Europie. Z pewnością zwiększy zdolności UE i państw członkowskich do skuteczniejszego i lepszego przygotowywania się na wielkoskalowe cyberzagrożenia i cyberataki, zapobiegania im, reagowania na nie i usuwania ich skutków.”

Uchwalenie Aktu o cybersolidarności planowane jest w pierwszej połowie 2024 r. Przewiduje się, że wyżej wymienione rozporządzenie zacznie obowiązywać w ciągu 24-36 miesięcy od daty wejścia w życie.

Pomaganie w wykrywaniu poważnych lub wielkoskalowych cyberzagrożeń i cyberincydentów oraz zwiększanie wiedzy na ich temat.
Zwiększanie gotowości oraz ochrony podmiotów krytycznych i usług kluczowych (np. szpitali, usług użyteczności publicznej).
Wzmacnianie solidarności na szczeblu UE tj. wspólnego zarządzania kryzysowego i zdolności reagowania w państwach członkowskich.
Przyczynianie się do zapewnienia obywatelom i przedsiębiorstwom bezpiecznego i chronionego środowiska cyfrowego.
Europejska tarcza cyberbezpieczeństwa to ogólnoeuropejska infrastruktura składająca się z krajowych i transgranicznych centrów monitorowania bezpieczeństwa (dalej również jako „SOC”) w całej UE.

SOC to podmioty odpowiedzialne za wymianę informacji, których zadaniem jest wykrywanie cyberzagrożeń i reagowanie na takie zagrożenia. Będą one wykorzystywać najnowocześniejszą technologię, taką jak sztuczna inteligencja i zaawansowana analityka danych, aby wykrywać cyberzagrożenia i cyberincydenty w UE oraz szybko o nich ostrzegać. Dzięki temu organy i właściwe podmioty będą w stanie skuteczniej i efektywniej reagować na poważne incydenty.
Mechanizm cyberbezpieczeństwa zapewni poprawę gotowości i reagowania na incydenty związane z cyberbezpieczeństwem. Mechanizm cyberbezpieczeństwa będzie wspierać:

działania w zakresie gotowości, w tym testowanie podmiotów działających w sektorach wysoce krytycznych (opieka zdrowotna, transport, energia itp.) pod kątem potencjalnej podatności na zagrożenia - prowadzone w oparciu o wspólne scenariusze ryzyka i wspólne metodyki;
nową unijną rezerwę cyberbezpieczeństwa składającą się z usług reagowania na incydenty od zaufanych dostawców z sektora prywatnego, z którymi wcześniej zawarto umowy, dzięki czemu są oni gotowi interweniować w przypadku wystąpienia poważnego lub wielkoskalowego cyberincydentu;
wzajemną pomoc finansową, w ramach której państwo członkowskie może zaoferować pomoc innemu państwu członkowskiemu dotkniętemu incydentem cybernetycznym.
Aby zwiększyć odporność UE, w Akcie o cybersolidarności przewidziano ustanowienie mechanizmu przeglądu incydentów w cyberbezpieczeństwie. Umożliwi on dokonywanie przeglądu i oceny konkretnych poważnych lub wielkoskalowych incydentów, wyciąganie wniosków, a w razie potrzeby, wydawanie zaleceń w celu poprawy pozycji UE w kwestiach cyberprzestrzeni.
Akt o solidarności cybernetycznej proponuje powstanie Akademii Umiejętności Cyberbezpieczeństwa, aby zaradzić niedoborowi talentów w dziedzinie cyberbezpieczeństwa w Europie. Celem Akademii jest koordynacja wysiłków, promowanie i rozwijanie umiejętności w zakresie cyberbezpieczeństwa za pośrednictwem łatwo dostępnej platformy internetowej.
Poprawki do pierwotnego Aktu o cybersolidarności zostały wprowadzone w trakcie jego opracowywania, koncentrując się na zminimalizowaniu wpływu nowo proponowanych inicjatyw na finansowanie innych priorytetów w ramach programu Cyfrowa Europa. Zmiany te obejmują korekty budżetowe, wzmocnienie partnerstw publiczno-prywatnych w celu wymiany informacji o zagrożeniach oraz rozwój mikroprzedsiębiorstw, MŚP, startupów wraz z inwestycjami w badania nad najnowocześniejszymi technologiami. Poprawki Rady zapewniają większą przejrzystość terminologii, wzmacniają rolę Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i poprawiają dostosowanie do istniejących przepisów, takich jak dyrektywa NIS 2.

Rozdział

Ochrona Danych Osobowych

Przełomowy wyrok TSUE: automatyczne przypisywanie oceny zdolności kredytowej potencjalnym kredytobiorcom jest całkowicie zautomatyzowanym podejmowaniem decyzji

Na koniec 2023 r., Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wydał pierwszy wyrok w zakresie zautomatyzowanego podejmowania decyzji podczas dokonywania oceny zdolności kredytowej klienta w świetle art. 22 RODO (sprawa C-634/21).

Prywatne biuro informacji kredytowej zlokalizowane w Niemczech w ramach swojej działalności oferowało swoim partnerom, którymi w większości były banki, informacje w postaci oceny zdolności kredytowej osób wnioskujących o udzielenie im kredytu. Ocena potencjalnych kredytobiorców opierała się na automatycznym przypisaniu danej osobie przewidywanego prawdopodobieństwa, że będzie ona w stanie spłacić swoje zobowiązania w przyszłości. Spółka ustalała ten wynik przez przygotowane w tym celu metody matematyczne i statystyczne.

Jedna z osób, której odmówiono udzielenia pożyczki ze względu na ocenę jej zdolności kredytowej wystawioną przez niemiecką spółkę, zażądała m.in. informacji na temat przetwarzania jej danych w tym celu. Ze względu na odmowę spółki na spełnienie tego żądania, zainteresowana osoba złożyła skargę do lokalnego organu ochrony danych dla niemieckiego landu Hesja. W skutek nieuwzględnienia skargi przez organ nadzorczy, sprawa trafiła przed sąd administracyjny w Wiesbaden, który następnie wystosował pytanie prejudycjalne do TSUE.

Sąd poprosił Trybunał o wyjaśnienie, czy wynik automatycznej oceny zdolności kredytowej, którą stosuje niemiecka spółka, stanowi, w świetle art. 22 RODO, wyłącznie zautomatyzowaną decyzję istotnie wpływającą na osobę, której dane dotyczą oraz czy taka decyzja jest dopuszczalna w świetle przepisów RODO.
Decyzja podjęta w sposób zautomatyzowany to decyzja, która została wystawiona w oparciu o zautomatyzowane środki np. specjalnie zaprogramowane w tym celu algorytmy i oprogramowanie.

Art. 22 RODO co do zasady daje podmiotom danych prawo niepodlegania całkowicie zautomatyzowanej decyzji, jeśli:

przetwarzanie danych osobowych jest zautomatyzowane tj. odbywa się poprzez wykorzystanie zautomatyzowanych środków w postaci np. systemów informatycznych, oraz
decyzja jest oparta wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, tj. bez udziału w jej podejmowaniu człowieka, który mógłby zmienić, zrewidować lub potwierdzić wynik przedstawiony przez system informatyczny czy algorytm, oraz
decyzja wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę, której dane są przetwarzane w celu wydania tej decyzji.

W związku z ogólnym ograniczeniem przetwarzania danych osobowych w celu zautomatyzowanego podejmowania decyzji, zautomatyzowana decyzja może być podjęta jedynie jeśli:

decyzja jest konieczna do zawarcia lub wykonania umowy,
została dopuszczona przez prawo unijne lub krajowe, lub
osoba udzieliła wyraźnej zgody na przetwarzanie jej danych w celu wydania tej decyzji.
Zdaniem Trybunału, automatyczny system oceny zdolności kredytowej, którym posługiwała się niemiecka spółka, mógł mieć negatywny efekt dla potencjalnych kredytobiorców w postaci nieudzielenia im kredytu przez podmioty, które pozyskiwały informacje o zdolności kredytowej od tej spółki.

TSUE oficjalnie potwierdził, że zautomatyzowana ocena zdolności kredytowej jest decyzją wyłącznie zautomatyzowaną w rozumieniu art. 22 RODO. Ma to istotne znaczenie dla sektora bankowego, ponieważ w praktyce RODO zabrania dokonywania całkowicie zautomatyzowanej oceny zdolności kredytowej osoby, jeśli nie zachodzi jeden z trzech wyjątków od zakazu podejmowania zautomatyzowanej decyzji wyrażonego w art. 22 RODO (przy czym sektor bankowy korzysta z dedykowanych wyjątków wyrażonych w Prawie Bankowym.).

Dodatkowo TSUE orzekł, że podmiot, który dokonuje zautomatyzowanej decyzji, musi zapewnić osobie podlegającej ocenie odpowiednie środki ochrony jej praw tj. prawo do uzyskania interwencji ludzkiej w jej wynik, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Kobieta korzystająca z telefonu komórkowego podczas spaceru

Rozdział

E-commerce

Decyzja Prezesa UOKiK w sprawie dotyczącej „Deceptive patterns”

Czym są dark patterns?

Deceptive patterns, zwane też zwodniczymi interfejsami, to sposób manipulacji poprzez zwodnicze projektowanie interfejsu użytkownika (UX). Metody te mają na celu wpływanie na decyzje użytkownika, ograniczając jego zdolność do dokonywania niezależnych wyborów. Praktyki te celowo zaciemniają dostępne dla użytkownika opcje, ograniczając jego swobodę działania.

Powszechne przykłady dark patterns obejmują dodawanie niepowiązanych przedmiotów do koszyka podczas zakupów online, fałszywe opinie, nieprawdziwe informacje o małej dostępność, czy stosowanie fałszywych liczników czasu w celu wywołania poczucia pośpiechu u użytkownika. Użytkownik często jest zapoznawany z pełną wartością do zapłaty dopiero na samym końcu procesu zakupowego, co jest znaną praktyką o nazwie „drip pricing”. Ponadto, deceptive patterns mogą obejmować różne techniki psychologiczne, takie jak sugerowanie ograniczonego czasu trwania promocji mimo że jest ona ciągle dostępna, a także ukrywanie istotnych informacji o produkcie lub usłudze.

Sieć sklepów z akcesoriami do wnętrz, posiadająca na terenie Polski 60 placówek stacjonarnych oraz sklep internetowy, w czerwcu 2020 r., spotkała się z zarzutem ze strony Prezesa UOKiK, że w okresie od 4 stycznia 2022 r. do 27 grudnia 2022 r. dodawała dodatkowe produkty do koszyka internetowego klientów, bez ich wyraźnej zgody. W wyniku tej praktyki, klienci, którzy dokonywali zakupów przez sklep internetowy, niespodziewanie znajdowali w swoim koszyku "promocyjne" produkty (w zależności od obowiązującej promocji, mogły to być parasolki lub filiżanki). Klienci chcący uniknąć zakupu „promocyjnych” produktów, musieli samodzielnie je usunąć z koszyka. Jeśli klienci nie zauważyli dodatkowego produktu podczas płatności, stawał się on ich własnością. Zwrot produktu wiązał się z dodatkowym kosztem i stratą czasu dla klienta.
W Decyzji Prezesa UOKiK z dnia 20 grudnia 2023 r. nr DOZIK - 16/2023, działanie sieci sklepów polegające na dodawaniu produktów do koszyka zakupowego, w trakcie procesu składania zamówienia realizowanego w sklepie internetowym, bez wyraźnej, uprzedniej zgody konsumenta zostało uznane za praktykę naruszającą zbiorowe interesy konsumentów.

Prezes UOKiK nałożył na spółkę karę w wysokości 1 578 061 zł, a także nakazał rekompensatę strat, które konsumenci ponieśli w wyniku automatycznego dodawania towarów. Warto zaznaczyć, że na wysokość kary wpływ miało zaprzestanie stosowania przez spółkę niedozwolonej praktyki.
Prezes UOKiK Tomasz Chróstny podkreślił w opublikowanym komunikacie prasowym, że dodanie promocyjnego produktu do koszyka powinno zależeć tylko od woli konsumenta. Prezes UOKiK potępił działanie spółki, uznając je za nieetyczne i utrudniające zakupy online. Jego zdaniem sieć sklepów z akcesoriami do wnętrz mogła wprowadzać klientów w błąd, co skutkowało niezaplanowanymi zakupami.

Skontaktuj się z nami!

Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

Warszawa, POL

Podsumowanie

Oto kolejne wydanie przygotowane w ramach programu Make IT Clear.

Co miesiąc będziemy przedstawiać Państwu trendy, którymi powinni podążać przedsiębiorcy, a także rozwiązania, które należy wdrożyć, aby być na bieżąco z prawem technologii, własnością intelektualną i ochroną danych. Wskażemy także ryzyka i wyzwania związane z Twoim biznesem.

Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.

Nasz punkt widzenia

Popularne tematy

Publikacje

Usługi

Sprawdź

Sektory

Polecane

Kariera w EY

Sprawdź

O nas

Informacje prasowe

Kontakt

Zespoły

Make IT clear - 12/23 - 01/24

Własność Intelektualna