Make IT Clear 12/2022

Make IT clear - 12/22

Powiązane tematy

                    Przedstawiamy wydanie materiałów specjalnych Make IT clear 12/2022


Omówione tematy:

  • Własność intelektualna - NFT a prawo własności intelektualnej
  • IT - EUCS czyli program certyfikacji bezpieczeństwa cybernetycznego dla usług w chmurze
  • Cybersecurity - Stanowisko Urzędu Komisji Nadzoru Finansowego w sprawie działań zakładów ubezpieczeń i reasekuracji w zakresie cyberbezpieczeństwa
  • Ochrona danych osobowych - 27 grudnia 2022 r. upływa termin wymiany SCC dla transferów danych
  • E-commerce - Akt o rynkach cyfrowych (Digital Markets Act)
  • Legal alert z zakresu Cloud i Cyber



makeitclear-final4-makeitclear_lp_banner_fiolet_clear
1

Rozdział

Własność Intelektualna

NFT a prawo własności intelektualnej

Czym jest NFT?

NFT to skrót od “non-fungible token”, co tłumaczymy na “niewymienialny token”. W tym przypadku słowo “niewymienialny” powinniśmy rozumieć jako “niemający odpowiednika w innych przedmiotach/walutach”. Ogólnie mówiąc NFT to rodzaj tokena kryptograficznego opartego o technologię blockchain. 

Popularność NFT

NFT zyskało ogromną popularność w trakcie ogólnoświatowego lockdown’u w 2020 roku. Początkowo technologia ta kojarzyła się wyłączenie ze sztuką, zwłaszcza z obrazami i wizualizacjami. Obecnie NFT zyskuje na popularności i znajduje zastosowanie w takich obszarach jak: rozrywka, gaming, moda, a nawet handel i nieruchomości.

W 2021 r. wycena rynku NFT szacowana była na 40 mld dolarów. 

Prawo autorskie do utworu a NFT

Obrót tokenami NFT nie został jeszcze w żaden sposób uregulowany prawnie. W związku z tym obecnie zachodzi konieczność dostosowania istniejących regulacji prawnych do specyfiki NFT.

NFT może stanowić utwór w rozumieniu art. 1 ust. 1 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych jeżeli spełni ustawowe przesłanki do uznania go za utwór w rozumieniu prawa autorskiego.

W pierwszej kolejności należy odróżnić sytuację, w której realnie istniejące np. dzieło sztuki posiada swój odpowiednik w formie NFT, od tworzenia grafiki czy innego dzieła od razu w formie NFT. W pierwszym przypadku sprzedaż NFT zazwyczaj nie prowadziłaby do przeniesienia praw autorskich do powiązanego z nim istniejącego już dzieła sztuki. Natomiast w drugim przypadku, należy umieć rozróżnić dwie sytuacje. Pierwsza z nich to własność NFT, a druga to posiadanie praw własności intelektualnej do tokena NFT.

Należy pamiętać, że właściciel NFT może być właścicielem np. konkretnego egzemplarza „cyfrowego” zdjęcia lub pliku muzycznego, a nie posiadać praw własności intelektualnej do tego zdjęcia czy pliku muzycznego.

Uzyskanie przez nabywcę tokena NFT praw własności intelektualnej do tego tokena, ma duże znaczenie w kontekście dalszego jego rozpowszechniania.

Aby prawa własności intelektualnej przeszły na nabywcę NFT, nabywca ten musi zawrzeć umowę przeniesienia autorskich praw majątkowych, nie wystarczy bowiem samo kupno danego tokena NFT. Skutkiem braku skutecznego przeniesienia praw autorskich na nabywcę tokena NFT jest sytuacja, w której to dalej pierwotny twórca te prawa posiada. A w konsekwencji właściciel NFT może nie być uprawniony np. reprodukowania, rozpowszechniania, publicznego wykonania przedmiotu NFT.

Czy nabycie NFT skutkuje udzieleniem licencji?

Nabycie NFT najczęściej nie będzie wiązało się z przeniesieniem autorskich praw majątkowych, a co najwyżej z uzyskaniem licencji.

Od strony prawnej sprzedaży NFT najbliżej jest do licencji niewyłącznej, która nie daje nabywcy wyłączności do utworu. 

Umowa licencji może być bardziej praktycznym rozwiązaniem, niż umowa przeniesienia praw aktorskich m.in. z tego powodu, że licencja niewyłączna nie musi być zawarta w formie pisemnej. W zależności od platformy, na której odbywa się sprzedaż tokenów NFT, zakres licencji może być różny. Zazwyczaj udzielana jest licencja o wąskim zakresie, która nie obejmuje prawa do komercyjnego korzystania z nabytych w ramach NFT utworów. 

Chcesz wiedzieć więcej o technologii blockchain i NFT?

Zapraszamy do Naszego artykułu: Blockchain, metawersum oraz NFT – czy społeczeństwo, przedsiębiorstwa i regulatorzy są gotowi na zbliżające się wyzwania? | EY Polska

make-it-clear-5-makeitclear_lp_banner_lp_fuksja_clear
2

Rozdział

IT

EUCS czyli program certyfikacji bezpieczeństwa cybernetycznego dla usług w chmurze

ENISA (The European Union Agency for Cybersecurity) przygotowuje obecnie projekt rozporządzenia w sprawie certyfikacji bezpieczeństwa cybernetycznego dla usług w chmurze (EUCS). 

Jaki jest cel proponowanego EUCS?

Program certyfikacji bezpieczeństwa cybernetycznego dla usług w chmurze (dalej: „Program”) ma na celu dalszą poprawę warunków rynku wewnętrznego Unii w zakresie usług w chmurze poprzez wzmocnienie i usprawnienie gwarancji cyberbezpieczeństwa usług. Projekt EUCS to kompleksowy zestaw przepisów, wymogów technicznych, standardów i procedur uzgodnionych na poziomie europejskim w celu zapewnienia adekwatnego bezpieczeństwa cybernetycznego konkretnego produktu, usługi lub procesu.

Projektowany akt prawny ma zharmonizować wymogi bezpieczeństwa usług w chmurze z przepisami innych aktów europejskich, norm międzynarodowych, najlepszymi praktykami przemysłowymi, a także z istniejącymi certyfikacjami w państwach członkowskich UE.

Obecny etap prac

Konsultacje społeczne zostały już zamknięte. Obecnie projekt znajduje się w fazie dialogu. Trudno jest ocenić, jak szybko będą postępować prace. 

Najważniejsze informacje o certyfikacji

  • W chwili obecnej certyfikacja jest dobrowolna tzn. dostawcy chmurowi mogą sami zdecydować, czy chcą, aby ich produkty były certyfikowane;
  • Certyfikacja będzie miała zastosowanie do wszystkich rodzajów usług w chmurze - od infrastruktury po aplikacje;
  • Certyfikacja zwiększy zaufanie do usług w chmurze poprzez określenie referencyjnych wymogów bezpieczeństwa;
  • Certyfikacja obejmuje trzy poziomy pewności: „podstawowy", „znaczny" i „wysoki";
  • System certyfikacji proponuje nowe podejście inspirowane istniejącymi systemami krajowymi i normami międzynarodowymi;
  • Certyfikat może być wydany maksymalnie na okres 3 lat;
  • System certyfikacji obejmuje wymogi dotyczące przejrzystości, takie jak lokalizacja przetwarzania i przechowywania danych.

Brak porozumienia co do „wymogu suwerenności”

Komisja Europejska zwróciła się do Agencji Unii Europejskiej ds. Bezpieczeństwa Cybernetycznego (ENISA) o dodanie do Programu wymogów dotyczących suwerenności, aby zapewnić odporność na zagraniczne jurysdykcje. Obawy przed dodaniem do projektu Programu "wymogu suwerenności" zgłosiła m.in. Dania, Estonia i Grecja. Wymagania dotyczące suwerenności poparła np. Francja i Włochy.

W związku z powyższym w dniu 19 września 2022 r. Niemcy wezwały Komisję Europejską do dyskusji politycznej na temat wymogów dotyczących suwerenności, które Komisja Europejska chce włączyć do Programu.

Dlaczego jest to ważne?

Poza zaletą otrzymania certyfikacji, jaką jest uzyskanie określonego poziomu bezpieczeństwa, z pewnością ułatwi ona podmiotom spoza Unii Europejskiej działalność na rynku europejskim i pomoże zbudować zaufanie rynku europejskiego dla takich dostawców.

Make IT clear 12/2022
3

Rozdział

Cybersecurity

Stanowisko Urzędu Komisji Nadzoru Finansowego w sprawie działań zakładów ubezpieczeń i reasekuracji w zakresie cyberbezpieczeństwa

Urząd KNF wskazał na nieprawidłową praktykę:

  • Zbyt prostego i oczywistego szyfrowania dokumentów zawierających tajemnicę ubezpieczeniową poprzez użycie jako hasła nr PESEL, daty urodzenia;
  • Nadmierne korzystanie z aktywnych linków w SMS/mail.

W Stanowisku Urzędu zwrócono uwagę na:

  • Konieczność wykorzystania bezpieczniejszych kanałów interakcji z klientem, jak aplikacja mobilna zakładu ubezpieczeń;
  • Konieczność zapewnienia korzystania z wieloskładnikowego uwierzytelnienia w dostępie do dokumentów zawierających tajemnicę ubezpieczeniową – pośrednio jej brak zagrozić może bezpieczeństwu środków finansowych klienta poprzez dostęp osób niepowołanych do informacji o numerze konta; 
  • Konieczność monitorowania zewnętrznych dostawców IT w oparciu o wytyczne IT dla sektora ubezpieczeń (odpowiednik Rekomendacji D w sektorze bankowym);
  • Poszerzenie akcji edukacyjnych dla klientów o inne kanały niż internet lub aplikacja, ponieważ tworzy to lukę wśród osób nie korzystających z tych form komunikacji.
  • Pismo wpisuje się w europejski trend nacisku, aby podmioty finansowe przypisywały szczególną wagę cyberbezpieczeństwu – w tym wypadku w kontakcie z klientem zakładu ubezpieczeń. W relacji zakład ubezpieczeń – klient, to na zakładzie spoczywa obowiązek przyjrzenia się tej relacji z różnych perspektyw:

    • Perspektywy właściwej inwentaryzacji danych – jakie dane, w jakich usługach i w jakich systemach są przetwarzane;
    • Właściwej kontroli nad rozwojem systemów IT, zarówno w ramach zakładu ubezpieczeń jak i z wykorzystaniem firm zewnętrznych;
    • Właściwej kontroli i prowadzenia wdrożeń IT, szczególnie aplikacji zakładu ubezpieczeń;
    • Ciągłego monitorowania aplikacji pod kątem zagrożeń cyberbezpieczeństwa.

    W Stanowisku Urzędu KNF poruszone są wątki kar za wyciek danych z RODO a także ryzyka reputacyjne dla zakładu ubezpieczeń. 

    Biorąc pod uwagę, że Stanowisko zostało przygotowane przez m.in. departament cyberbepieczeństwa Urzędu KNF, szczególną uwagę należy poświęcić prawidłowemu prowadzeniu projektów IT w zakładzie ubezpieczeń. W tej mierze w Stanowisku Urząd KNF odwołał się do Wytycznych IT w zakładach ubezpieczeń i zakładach reasekuracji z 2014 r., w których zostały wyszczególnione kluczowe obszary IT w zakładach ubezpieczeń. 

    Należy pamiętać, że rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 (DORA) w niektórych sferach jak np. konieczności przeprowadzenia testów penetracyjnych,  czy też wymogów umownych,  mocno wpłynie na praktykę prowadzenia projektów IT w zakładach ubezpieczeń. 

Mężczyzna widzi telefon komórkowy
4

Rozdział

Ochrona Danych Osobowych

27 grudnia 2022 r. upływa termin wymiany SCC dla transferów danych

Zgodnie z decyzją wykonawczą Komisji Europejskiej z dnia 4 czerwca 2021 roku nr 2021/914, dnia 27 grudnia 2022 roku upływa termin wdrożenia nowych standardowych klauzul umownych – standard contractual clauses (SCC) dotyczących przekazywania danych osobowych do państw trzecich, przyjętych na podstawie ww. Decyzji.

    • Klauzule przyjęte w 2001 i 2010 r. były opracowywane w czasach, kiedy obowiązującym unijnym aktem prawnym w zakresie ochrony danych osobowych była jeszcze Dyrektywa 95/46/WE – od 2018 r. obowiązuje zaś RODO, które wprowadza nowe obowiązki;
    • Stare klauzule były opracowywane przeszło dekadę temu w rzeczywistości innej niż ta, z którą obecnie się mierzymy. Konieczne było zapewnienie, aby zestawy klauzul umożliwiły zarówno prawidłowe odzwierciedlenie sytuacji faktycznych np. długich łańcuchów przetwarzania i dalszego powierzania danych, a także umożliwiały zawieranie klauzul pomiędzy więcej niż dwoma podmiotami i dynamicznego przystępowania do umów kolejnych podmiotów.
Kobieta korzystająca z telefonu komórkowego podczas spaceru
5

Rozdział

E-commerce

Akt o rynkach cyfrowych (Digital Markets Act)

Cel rozporządzenia

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych) zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 12 października 2022 r., a weszło w życie 1 listopada 2022 r.

Celem nowego rozporządzenia jest położenie kresu nieuczciwym praktykom przedsiębiorstw, które pełnią rolę „Strażników dostępu” w gospodarce platform internetowych. 

Kiedy przedsiębiorstwo będzie uznane za „Strażnika dostępu”?

  • Gdy wywiera znaczący wpływ na rynek wewnętrzny. Domniemuje się, że przedsiębiorstwo spełnia to wymaganie, jeżeli uzyskało roczny obrót w Unii wynoszący co najmniej 6,5 mld EUR w każdym z ostatnich trzech lat obrotowych lub jeżeli jego średnia kapitalizacja rynkowa lub równoważna rzeczywista wartość rynkowa wynosiła co najmniej 65 mld EUR w ostatnim roku obrotowym oraz świadczy tę samą podstawową usługę platformową w co najmniej trzech państwach członkowskich;
  • Jeżeli świadczy podstawową usługę platformową będącą ważnym punktem dostępu, za pośrednictwem którego użytkownicy biznesowi docierają do użytkowników końcowych. Domniemuje się, że przedsiębiorstwo spełnia to wymaganie, gdy świadczy podstawową usługę platformową, z której w ostatnim roku obrotowym korzystało co najmniej 45 mln aktywnych miesięcznie użytkowników końcowych mających siedzibę lub miejsce pobytu w Unii oraz co najmniej 10 000 aktywnych rocznie użytkowników biznesowych z siedzibą w Unii;
  • Jeżeli zajmuje ugruntowaną i trwałą pozycję w zakresie prowadzonej przez siebie działalności lub można przewidzieć, że zajmie taką pozycję w niedalekiej przyszłości. Domniemuje się, że przedsiębiorstwo spełni to wymaganie, gdy progi wskazane powyżej zostały osiągnięte w każdym z ostatnich trzech lat obrotowych.
  • Dyrektywa Omnibus wprowadza szereg nowych wymogów dla podmiotów prowadzących działalność w sieci. W pierwszych miesiącach stosowania aktu prawnego jego zapisy mogą być postrzegane jako niejasne dla całego rynku (internetowego), dlatego zalecamy dokładne rozważenie i zidentyfikowanie obowiązków, a następnie dostosowanie działalności do nowych wymogów.

Legal alert z zakresu Cloud i Cyber

Regulacyjne tsunami się rozpędza

 

W dniu  28 listopada 2022 r. Rada Unii Europejskiej poinformowała o przejęciu dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa cybernetycznego w Unii, uchylającej dyrektywę (UE) 2016/1148, po zatwierdzeniu jej przez Parlament Europejski w dniu 10 listopada 2022 r. (NIS 2)

  • Dyrektywa NIS 2 wprowadza nowe przepisy wspierające wysoki, wspólny poziom cyberbezpieczeństwa w całej UE. Wzmacnia wymagania w zakresie cyberbezpieczeństwa dla średnich i dużych podmiotów, które działają i świadczą usługi w kluczowych sektorach. Dyrektywa NIS 2 aktualizuje dyrektywę NIS z 2016 r. 
  • Dyrektywa NIS 2 ma wyeliminować niedociągnięcia dyrektywy NIS z 2016 r. Zmieniona dyrektywa ma na celu usunięcie rozbieżności w zakresie wymogów dotyczących bezpieczeństwa cybernetycznego oraz wdrażania środków bezpieczeństwa cybernetycznego w różnych państwach członkowskich.
  • Dyrektywa NIS 2 zostanie opublikowana w Dzienniku Urzędowym Unii Europejskiej w najbliższych dniach i wejdzie w życie dwudziestego dnia po opublikowaniu. Od momentu wejścia dyrektywy w życie państwa członkowskie będą miały 21 miesięcy na transpozycję jej przepisów do prawa krajowego.

W dniu 28 listopada 2022 r. Rada Unii Europejskiej poinformowała o przyjęciu rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014, po zatwierdzeniu jej przez Parlament Europejski w dniu 10 listopada 2022 r. (DORA)

  • Rozporządzenie DORA ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych przedsiębiorstw sektora finansowego oraz kluczowych dostawców usług ICT. DORA jest zaadresowana do niemal wszystkich podmiotów z sektora finansowego.
  • Jedną z najważniejszych zmian, jakie przyniesie DORA, jest bezpośrednie objęcie dostawców ICT (wyznaczonych jako kluczowych dostawców ICT) nadzorem finansowym (poprzez wyznaczenie wiodącego organu nadzorczego).
  • Rozporządzenie DORA zostanie opublikowane w Dzienniku Urzędowym Unii Europejskiej w najbliższych dniach i wejdzie w życie dwudziestego dnia po opublikowaniu. Rozporządzenie zacznie obowiązywać w całej Unii Europejskiej po upływie 24 miesięcy od jego wejścia w życie.

W dniu 10 listopada 2022 r. opublikowano wspólny Unijny komunikat „EU Policy on Cyber Defence”

  • Komisja Europejska i Wysoki Przedstawiciel przedstawili wspólny komunikat w sprawie polityki UE w dziedzinie cyberobrony oraz plan działania w zakresie mobilności wojskowej 2.0 w celu rozwiązania problemu pogarszającego się środowiska bezpieczeństwa w następstwie agresji Rosji na Ukrainę oraz zwiększenia zdolności UE do ochrony jej obywateli i infrastruktury. 
  • Dzięki nowej polityce obrony cybernetycznej UE wzmocni współpracę i inwestycje w zakresie obrony cybernetycznej, aby lepiej chronić, wykrywać, powstrzymywać i bronić się przed rosnącą liczbą ataków cybernetycznych. 
  • Polityka UE w zakresie obrony cybernetycznej ma na celu zwiększenie zdolności UE w zakresie obrony cybernetycznej oraz wzmocnienie koordynacji i współpracy między wojskowymi i cywilnymi środowiskami cybernetycznymi (cywilnymi, organów ścigania, dyplomatycznymi i obronnymi). Zwiększy ona skuteczność zarządzania kryzysami cybernetycznymi w UE, wzmacniając jednocześnie europejską bazę przemysłową technologii obronnych (EDTIB). 

W dniu 3 listopada 2022 r. publikowano nowy projekt rozporządzenia Parlamentu Europejskiego i rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych) (Data Act)

  • Rozporządzenie ustanawia przepisy regulujące kto i w jaki sposób może uzyskać dostęp do danych nieosobowych generowanych na terenie UE. Nowa regulacja ma przyczynić się do szerszego wykorzystania danych na rzecz wspólnego dobrobytu, pobudzić rynek produktów i usług opartych na danych, a także otworzyć pole dla innowacji. 
  • Data Act i Data Governance Act są częścią szerszej strategii na rzecz danych, której celem jest, aby Unia Europejska stała się liderem w zakresie nowoczesnych rozwiązań prawnych w społeczeństwie opartym na danych.
  • Prace nad Data Act wciąż intensywnie się toczą. Ostatnio czeska prezydencja w Radzie poddała pod obrady Grupy Roboczej ds. Telekomunikacji i Społeczeństwa Informacyjnego kolejny, drugi już kompromisowy projekt rozporządzenia.

 

Podsumowanie

Przedstawiamy kolejne wydanie przygotowane w ramach programu Make IT clear.

Co miesiąc będziemy przedstawiać Państwu trendy, którymi powinni podążać przedsiębiorcy, a także rozwiązania, które należy wdrożyć, aby być na bieżąco z prawem technologii, własnością intelektualną i ochroną danych. Wskażemy także ryzyka i wyzwania związane z Twoim biznesem.

Kontakt

Kontakt
Chcesz dowiedzieć się więcej? Skontaktuj się z nami.