Cyfrową transformację podzielić można na trzy podstawowe etapy. Pierwszy stanowi cyfryzacja zasobów organizacji (np. digitalizacja zasobów HR), drugi – cyfryzacja procesów (np. elektroniczny obieg dokumentów), a trzeci – wdrażanie tzw. przełomowych innowacji (disruptive technologies). Twórcą tego ostatniego pojęcia jest profesor Harvard Business School – Clayton M. Christensen. W uważanej za jedną ze 100 najważniejszych książek o biznesie (The innovator’s dillemma) prof. Christensen opisał przypadki, gdy brak odpowiedniej reakcji na pojawiające się przełomowe innowacje może doprowadzić do upadku nawet najlepiej funkcjonującego przedsiębiorstwa. Podzielił przy tym wszystkie innowacje na dwie podstawowe grupy:

  • kontynuacyjne, czyli takie, które zakładają poprawę technologii już istniejących (np. rynek pamięci masowych i ich coraz większa miniaturyzacja);
  • przełomowe, czyli technologie lub modele biznesowe, które znacząco zmieniają funkcjonowanie istniejącego rynku lub branży.

Z uwagi na ich znaczenie i powszechność stosowania za najważniejsze przełomowe innowacje uznać należy:

  • chmurę obliczeniową;
  • Internet rzeczy (IoT);
  • sztuczną inteligencję (AI);
  • blockchain;
  • kryptowaluty;
  • drony i roboty przemysłowe;
  • auta autonomiczne;
  • wirtualną rzeczywistość;
  • druk 3D;
  • gospodarkę współdzielenia (sharing economy), np. innowacyjne platformy pozwalające na wymianę dóbr i usług, takie jak współdzielenie pojazdów (np. BlaBlaCar) czy współdzielenie zakwaterowania (np. Airbnb).

Przełomowe innowacje – aktualny stan prawny

Obecnie ani na świecie, ani w Unii Europejskiej (w tym w Polsce) nie uchwalono ani nie planuje się przyjęcia jednego aktu prawnego całościowo (horyzontalnie) regulującego problematykę prawną dotyczącą stosowania danej innowacji. Przyjmowane są natomiast akty prawne regulujące jedynie wycinkowo zagadnienia związane z daną innowacją. Przykładem jest projekt rozporządzenia UE ustanawiający zharmonizowane przepisy dotyczące sztucznej inteligencji, a odnoszący się do odpowiedzialności cywilnoprawnej tzw. operatorów systemów SI (akt w sprawie sztucznej inteligencji).

W przypadku wdrażania innowacji podkreślenia wymaga szczególne znaczenie wytycznych wydawanych przez regulatorów (kooregulacja). W Unii Europejskiej i Polsce najwięcej aktów prawnych tego rodzaju wydawanych jest w sektorach finansów oraz e-administracji. Najbardziej znanym przykładem takiej regulacji jest Komunikat Urzędu Komisji Nadzoru Finansowego z 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

Obszary prawne wdrażania przełomowych innowacji

Z powodu braku jednego aktu prawnego dotyczącego innowacji ich wdrażanie wymaga posłużenia się przepisami szeregu aktów prawnych. W praktyce prawie każdy projekt tego rodzaju powinien zostać poddany ocenie z punktu widzenia zgodności z czterema grupami przepisów:

  • przepisami dotyczącymi cyberbezpieczeństwa;
  • przepisami o ochronie danych osobowych oraz prywatności;
  • przepisami prawa cywilnego;
  • przepisami prawa własności intelektualnej.

Oprócz tego w przypadku konkretnej innowacji zastosowanie znajdują również inne przepisy. Przykładowo w projektach Internetu rzeczy mogą to być przepisy dotyczące bezpieczeństwa produktów.

Wdrażanie innowacji – przepisy o cyberbezpieczeństwie

Wśród przepisów dotyczących cyberbezpieczeństwa największe znaczenie ma Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2020 r., poz. 1369; dalej: „KSC”). Podstawowy obszar regulacji tej ustawy obejmuje organizację krajowego systemu cyberbezpieczeństwa, w tym określenie zadań i obowiązków podmiotów wchodzących w skład tego systemu (operatorzy usług kluczowych, dostawcy usług cyfrowych). Należy przy tym podkreślić, że adresatami obowiązków określonych w KSC są nie tylko podmioty publiczne, lecz także podmioty prywatne. Przykładem jest dostawca usługi chmury obliczeniowej, która jest wprost wymieniona w aneksie nr 2 do ustawy jako postać usługi cyfrowej.

W powyższym kontekście warto pamiętać, że przepisy KSC mogą się stosować również do innowacji niewymienionych wprost w KSC. Przykładem może być blockchain wykorzystywany do zawierania bezpośrednio transakcji w energetyce.

W praktyce projektów wdrażania innowacji do najważniejszych zagadnień z zakresu cyberbezpieczeństwa zaliczyć należy odpowiedzi na następujące pytania:

  • Czy podmiot wdrażający daną innowację jest operatorem usługi kluczowej w rozumieniu KSC (np. wdrożenie IoT w przedsiębiorstwach energetycznych)?
  • Czy dostawca innowacji jest dostawcą usługi cyfrowej w rozumieniu KSC (np. dostawca usługi chmury obliczeniowej)?
  • Czy w przypadku podlegania przepisom KSC spełnione są wymogi określone w tych przepisach dla operatorów usług kluczowych lub dostawców usług cyfrowych (np. szacowania ryzyka wystąpienia incydentu cyberbezpieczeństwa oraz zarządzanie tym ryzykiem, dobór odpowiednich środków technicznych i organizacyjnych bezpieczeństwa usług, opracowanie odpowiedniej dokumentacji, wykonywanie okresowych audytów bezpieczeństwa systemu informacyjnego)?

Wdrażanie innowacji – RODO i prywatność

Problematyka ochrony danych osobowych i prywatności występuje w większości projektów wdrażania innowacji. Zastosowanie znajdują w tym zakresie przepisy RODO[1] oraz ustawy Prawo telekomunikacyjne[2] (art. 173 PT). O znaczeniu tych przepisów świadczą najlepiej wytyczne wydawane przez Grupę Roboczą Art. 29 (obecnie: Europejską Radę Ochrony Danych). Przykładem jest opinia nr 8/2014 w sprawie najnowszych osiągnięć w zakresie Internetu rzeczy oraz wytyczne nr 1/2020 dotyczące przetwarzania danych osobowych w kontekście pojazdów podłączonych do Internetu i aplikacji związanych z mobilnością.

W opinii nr 8/2014 dokonano interesującego podziału urządzeń IoT, z którymi związane jest przetwarzanie danych osobowych, na:

  • urządzenia do noszenia na ciele, które mogą mieć wbudowane kamery, mikrofony i czujniki i które mogą rejestrować i przekazywać dane producentowi urządzenia;
  • urządzenia do „mierzenia siebie” – osoby, które pragną rejestrować informacje o własnych zwyczajach i swoim stylu życia, regularnie noszą przedmioty służące do mierzenia siebie (np. liczniki aktywności, które mierzą i zgłaszają wskaźniki ilościowe związane z aktywnością fizyczną danej osoby, takie jak spalone kalorie lub przebytą odległość, niektóre przedmioty mierzą dodatkowo wagę, puls i inne wskaźniki zdrowotne);
  • automatyka domowa („domotyka”) – urządzenia połączone za pośrednictwem Internetu w domach; należą do nich np. podłączone do Internetu żarówki, termostaty, czujniki dymu, pralki lub piekarniki, które można kontrolować zdalnie przez Internet; przedmioty z wbudowanymi czujnikami ruchu mogą przykładowo wykrywać i rejestrować obecność użytkownika w domu, schemat jego poruszania się i być może wywoływać konkretne, zidentyfikowane wcześniej działania (np. włączanie światła lub zmienianie temperatury pokoju); w ten sposób dokonywana jest analiza schematów użytkowania, która w takim kontekście prawdopodobnie ujawni szczegółowe informacje dotyczące stylu życia mieszkańców danego gospodarstwa domowego, ich zwyczajów bądź wyborów lub po prostu wykaże ich obecność w domu.

W praktyce projektów wdrażania innowacji najważniejsze pytania z zakresu RODO i prywatności, na które należy sobie odpowiedzieć, to:

  • Czy przepisy RODO w ogóle znajdują zastosowanie (np. w zakresie informacji, które są anonimizowane/pseudonimizowane na potrzeby projektów sztucznej inteligencji)?
  • Jaki jest status poszczególnych podmiotów biorących udział we wdrożeniu innowacji, w szczególności czy są one administratorami, podmiotami przetwarzającymi, czy tzw. podprocessorami (np. w projektach chmury obliczeniowej, w ramach których występuje łańcuch podmiotów przetwarzających dane)?
  • Jaka jest podstawa prawna przetwarzania danych osobowych (m.in. w projektach IoT, w których ponownie wykorzystywane są dane osobowe zbierane przez urządzenia IoT – np. dane o aktywności fizycznej przetwarzane na potrzeby oceny ryzyka przy ubezpieczeniach na życie)?
  • Czy i jak można zrealizować prawa podmiotów danych określone w RODO (znaczenie np. dla projektów blockchain, w których dochodzi do swoistej kolizji pomiędzy istotą technologii blockchain, polegającą na niezaprzeczalności danych, a prawem do bycia zapomnianym określonym w art. 17 RODO)?
  • Czy można transferować dane osobowe poza Unię Europejską (np. w przypadku globalnej chmury obliczeniowej)?
  • Czy stosują się przepisy o ochronie prywatności (znaczenie np. dla projektów Internetu rzeczy w postaci aut połączonych – connected cars)?

Wdrażanie innowacji – prawo cywilne

Obecnie w Polsce brak jest przepisów prawa cywilnego przeznaczonych do przełomowych innowacji. O potrzebie ich uchwalania świadczy wspomniany już i opublikowany 21 kwietnia 2021 r. projekt rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji).

W praktyce projektów wdrażania innowacji najważniejsze pytania z zakresu prawa cywilnego, na które należy sobie odpowiedzieć, to:

  • Kto i na jakich zasadach ponosi odpowiedzialność za szkody majątkowe i osobowe określone w Kodeksie cywilnym[3]? Przykładem trudności praktycznych z tym związanych jest ustalenie źródła powstania szkody w związku z IoT. Szkoda może bowiem powstać w wyniku: (a) wady samego urządzenia, (b) wady usług „dostępowych” (np. transmisja danych), (c) wady danych przetwarzanych przez aplikację IoT oraz (d) wady algorytmu odpowiadającego za podjęcie decyzji na podstawie przetwarzanych danych. Dostawcami tych usług mogą być różne podmioty, co może stanowić trudność przy ustalaniu podmiotu odpowiedzialnego za szkodę.
  • Czy są jakieś szczególne przepisy dotyczące odpowiedzialności za korzystanie z innowacji? Przykładem są przepisy o odpowiedzialności za produkt niebezpieczny, które przewidują zaostrzoną odpowiedzialność, niezależną od winy producenta.
  • Czy i w jaki sposób można ubezpieczyć odpowiedzialność za szkody powstałe w związku z korzystaniem z innowacji (np. w projekcie aktu w sprawie sztucznej inteligencji planowane jest wprowadzenie obowiązkowych ubezpieczeń OC dla tzw. systemów wysokiego ryzyka)?

Wdrażanie innowacji – własność intelektualna

W zakresie prawa własności intelektualnej i innowacji najistotniejszą rolę odgrywają przepisy prawa autorskiego, prawa sui generis do bazy danych oraz prawa własności przemysłowej.

W praktyce projektów wdrażania innowacji najważniejsze pytania z zakresu własności intelektualnej, na które należy sobie odpowiedzieć, to:

  • Czy przy wdrożeniu danej innowacji powstają prawa własności intelektualnej (np. prawo sui generis do bazy danych w postaci logów systemowych „wygenerowanych” przy korzystaniu z chmury obliczeniowej)?
  • Jaki jest tytuł prawny osoby korzystającej z innowacji do eksploatacji programu komputerowego (np. prawo do programu zainstalowanego w urządzeniu IoT)? W tym ostatnim przypadku powstaje zwłaszcza pytanie o prawo nabywcy rzeczy do takiego programu komputerowego, a także o możliwość rozporządzania taką rzeczą lub udostępnienia jej do korzystania przez nabywcę na rzecz osób trzecich. Przyjmuje się w związku z tym, że korzystanie przez nabywcę rzeczy (urządzenia IoT) z programu komputerowego zainstalowanego w zbywanej rzeczy następuje na podstawie ustawowej licencji w związku z wyczerpaniem prawa do rozpowszechniania kopii programu komputerowego. Nabywca rzeczy (urządzenia IoT) może dokonać jej dalszego zbycia wraz z zainstalowanym w niej programem komputerowym.
  • Czy rozwiązania techniczne umożliwiające korzystanie z innowacji mają zdatność do uzyskania ochrony patentowej jako wynalazek?

Podsumowanie

W podsumowaniu problematyki prawnej wdrażania przełomowych innowacji poczynić można cztery podstawowe wnioski.

Po pierwsze, w obrocie prawnym pojawia się coraz więcej przepisów dotyczących innowacji. Pozwala to uniknąć takich kontrowersji, jak choćby związane z zakresem stosowania przepisów o odpowiedzialności za produkt niebezpieczny, zgodnie z którymi przez produkt tego rodzaju rozumie się tylko rzecz ruchomą, podczas gdy w przypadku przełomowych innowacji prawie zawsze występuje również komponent niematerialny.

Po drugie, w pewnych sektorach (np. finansowym) podstawowe znaczenie ma nie tylko prawo pozytywne, lecz także wytyczne regulatorów.

Po trzecie, stosowanie innowacji wymaga znajomości nie tylko przepisów prawnych, lecz także różnego rodzaju norm technicznych (np. w zakresie interoperacyjności).

Po czwarte, praktyka obrotu wskazuje, że w zakresie ograniczenia ryzyk prawnych coraz istotniejsze znaczenie mają różnego rodzaju ubezpieczenia, w szczególności ubezpieczenia majątkowe, w tym odpowiedzialności cywilnoprawnej (OC).

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2021 r., poz. 576; dalej: „PT”).

[3] Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz. U. z 2020 r., poz. 1740).