Internet Rzeczy – najważniejsze regulacje prawne w Polsce
Internet Rzeczy (Internet of Things, IoT) to sieć różnego rodzaju fizycznych urządzeń, wyposażonych we wbudowaną technologię (np. RFID) umożliwiającą komunikację, wymianę danych oraz interakcję – zarówno wewnątrz sieci, jak i ze środowiskiem zewnętrznym. Istotą koncepcji Internetu Rzeczy jest możliwość połączenia i komunikacji z fizycznymi obiektami, wcześniej niezdolnymi do samodzielnego generowania, transmisji i odbioru danych. Dzięki temu obiekty te są w stanie samodzielnie rozpoznać zdarzenia i zmiany zachodzące w otoczeniu oraz w sposób autonomiczny podjąć odpowiednią akcję i/lub reakcję bez interwencji człowieka.
Powszechność zastosowania rozwiązań IoT czyni zasadnym poddanie analizie najważniejszych przepisów prawnych znajdujących zastosowanie do tego rodzaju innowacji.
IoT – obszary regulacyjne
Obecnie ani w Polsce, ani na świecie nie ma aktu prawnego całościowo (horyzontalnie) regulującego Internet Rzeczy, nie planuje się również uchwalenia przepisów tego rodzaju. Przyjmowane są natomiast regulacje wertykalne dotyczące wybranych tylko obszarów funkcjonowania IoT. Przykładem jest obowiązujący od 1 stycznia 2020 r. California IoT Act, w ramach którego dokonano nowelizacji stanowego kodeksu cywilnego. Istotą tej regulacji jest nałożenie na producentów urządzeń podłączonych do Internetu dodatkowych obowiązków w zakresie zapewnienia bezpieczeństwa tych urządzeń, a także informacji w nich przechowywanych.
Polskie przepisy regulujące korzystanie z Internetu Rzeczy podzielić można na cztery podstawowe grupy: przepisy prawne dotyczące cyberbezpieczeństwa, przepisy o ochronie danych osobowych i prywatności, przepisy prawa cywilnego oraz odpowiedzialności za szkodę wywołaną przez produkt niebezpieczny, przepisy dotyczące praw własności intelektualnej.
IoT a cyberbezpieczeństwo
Cyberbezpieczeństwo jest wskazywane jako główne źródło zagrożeń Internetu Rzeczy. Podstawowe znaczenie w tym zakresie odgrywają regulacje składające się na tzw. pakiet cyberbezpieczeństwa:
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (ustawa o KSC)[1];
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)[2].
Ustawa o KSC nie odnosi się wprost do Internetu Rzeczy,niewątpliwie jednak podmioty korzystające z rozwiązań IoT oraz podmioty świadczące usługi związane z IoT mogą być adresatami określonych w niej obowiązków. Dotyczy to zarówno operatorów usług kluczowych (np. przedsiębiorstwo energetyczne), jak i dostawców usług cyfrowych (np. dostawca usługi chmury obliczeniowej, w której przechowywane są dane zebrane przez urządzenia IoT).
Znaczenie aktu o cyberbezpieczeństwie dla Internetu Rzeczy wyraża się z kolei w stworzeniu ram prawnych, zgodnie z którymi wykonywana będzie certyfikacja cyberbezpieczeństwa produktów, usług i procesów. Warto w związku z tym zaznaczyć, że choć ma ona w zasadzie być dobrowolna, to w akcie o cyberbezpieczeństwie zastrzeżono możliwość wprowadzenia obligatoryjnej certyfikacji określonych produktów czy usług, zarówno w przepisach prawa unijnego, jak i prawa krajowego. W przyszłości nie jest więc wykluczone, że dla wprowadzenia do obrotu wybranych produktów czy usług IoT konieczne będzie uzyskanie odpowiedniego certyfikatu cyberbezpieczeństwa.
IoT a ochrona danych osobowych i prywatności
Internet Rzeczy nie został wprost wymieniony w RODO, niemniej w motywie nr 30 wśród identyfikatorów internetowych, które mogą doprowadzić do identyfikacji danej osoby fizycznej, wymieniono m.in. etykiety RFID. Nie ulega więc wątpliwości, że szczególnie w przypadku „konsumenckiego” Internetu Rzeczy, a więc sytuacji gdy urządzenia te są wykorzystywane przez osoby fizyczne (np. urządzenia „do mierzenia siebie”), dochodzi do przetwarzania danych osobowych.
Przy ocenie dopuszczalności przetwarzania danych osobowych w związku z Internetem Rzeczy szczególne znaczenie mają wytyczne Grupy Roboczej art. 29, zastąpionej obecnie Europejską Radą Ochrony Danych (EROD). Wymienić należy w szczególności następujące opinie:
- opinia Europejskiej Rady Ochrony Danych nr 1/2020 dotycząca przetwarzania danych osobowych w kontekście pojazdów połączonych i aplikacji związanych z mobilnością;
- opinia Grupy Roboczej art. 29 nr 8/2014 w sprawie najnowszych osiągnięć w zakresie Internetu przedmiotów przyjęta w dniu 16 września 2014 r. (WP 223).
Do najważniejszych problemów związanych z ochroną danych osobowych i IoT zaliczyć należy:
- brak kontroli podmiotu danych nad rozpowszechnianiem dotyczących go informacji (np. w przypadku komunikacji między przedmiotami, która może zostać wywołana automatycznie, jak i domyślnie, bez wiedzy danej osoby);
- niską „jakość” zgód na przetwarzanie danych osobowych, uzyskiwanych od użytkowników IoT;
- ograniczenia możliwości zachowania anonimowości przez użytkowników IoT;
- niższe bezpieczeństwo urządzeń IoT z uwagi na konieczność utrzymania równowagi między wydajnością a bezpieczeństwem urządzenia IoT.
Niezależnie od ochrony określonej w RODO na podstawie odrębnych przepisów chroniona jest również prywatność użytkowników urządzeń IoT. Zastosowanie znajduje w szczególności przepis art. 173 Ustawy z dnia 16 lipca 2004 r. – Prawo Telekomunikacyjne[3], określający zasady, na podstawie których dopuszczalne jest „przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym”. Podłączone do sieci urządzenia IoT niewątpliwie kwalifikować należy jako „telekomunikacyjne urządzenia końcowe” w rozumieniu tego przepisu.
IoT a przepisy prawa cywilnego i odpowiedzialność za szkody
Z cywilnoprawnego punktu widzenia korzystanie z IoT obejmuje korzystanie z:
- rzeczy (urządzenie podłączone do sieci);
- oprogramowania (aplikacje i systemy IoT);
- usługi (np. dostęp do sieci, dostarczanie danych).
Rozróżnienie to ma kluczowe znaczenie dla kształtowania treści umów oraz – uzupełniających je – przepisów kodeksu cywilnego.
Dla dostawców rozwiązań IoT szczególnie istotne znaczenie mają przepisy o odpowiedzialności za szkody wywołane w związku z ich stosowaniem. Powstaje zatem pytanie o stosowanie się regulacji o odpowiedzialności za szkodę wywołaną przez produkt niebezpieczny (art. 4491 Ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny, dalej: k.c.). Warto pamiętać, że „produktem niebezpiecznym” w rozumieniu tych przepisów jest w zasadzie tylko rzecz ruchoma (art. 4491 § 2 k.c.). Z tego reżimu odpowiedzialności wyłączeni są więc np. dostawcy aplikacji czy usług IoT. Należy również podkreślić, że odpowiedzialność za produkt niebezpieczny dotyczy tylko relacji z konsumentem, a także że ograniczenie odpowiedzialności dotyczy tylko szkody na mieniu (art. 4492 k.c.). Nie obejmuje więc np. szkody związanej z naruszeniem prywatności powstałej w wyniku naruszenia bezpieczeństwa informacji przechowywanych w urządzeniu IoT. Z punktu widzenia Internetu Rzeczy szczególne znaczenie może mieć także przepis, zgodnie z którym producent nie odpowiada wtedy, gdy „nie można było przewidzieć niebezpiecznych właściwości produktu, uwzględniając stan nauki i techniki w chwili wprowadzenia produktu do obrotu” (art. 4493 § 2 k.c.). Ta przesłanka zwalniająca z odpowiedzialności może znaleźć zastosowanie np. w razie różnego rodzaju szkód wywołanych nowymi postaciami cyberataków.
IoT a prawa własności intelektualnej
Z punktu widzenia przepisów prawa własności intelektualnej dla nabywców urządzeń IoT szczególne znaczenie prawne ma odpowiedź na pytanie o tytuł prawny do eksploatacji zainstalowanych w tych urządzeniach programów komputerowych oraz o możliwość rozporządzania taką rzeczą lub udostępnienia jej do korzystania przez osoby trzecie. W doktrynie przyjmuje się, że korzystanie przez nabywcę rzeczy (urządzenia IoT) z programu komputerowego zainstalowanego w zbywanej rzeczy następuje na podstawie ustawowej licencji w związku z wyczerpaniem prawa do rozpowszechniania kopii programu komputerowego. Nabywca rzeczy uzyskuje bowiem możliwość korzystania z programu, który jest już zainstalowany przez uprawniony podmiot (producenta rzeczy, który uzyskał licencję od podmiotu praw do programu komputerowego), a więc nabywa kopię programu na nośniku materialnym. W konsekwencji nabywca może również dokonać jej dalszego zbycia wraz z zainstalowanym w niej programem komputerowym[4].
[1] Dz.U. z 2018 r., poz. 1560 z późn. zm.
[2] Dz.U.UE.L.2019.151.15.
[3] Dz.U. z 2004 r. Nr 171, poz. 1800.
[4] J. Pisuliński, Licencja na oprogramowanie a rozporządzanie rzeczą, [w:] „Zeszyty Naukowe Uniwersytetu Jagiellońskiego. Prace z Prawa Własności Intelektualnej” 2018/2, s. 74–84.