Make IT clear - 11/22

Case study z USA

Po raz pierwszy w historii nowojorski artysta Kris Kashtanova otrzymał potwierdzenie praw autorskich do swojego komiksu o nazwie „Zarya of the Dawn”, który został stworzony przy pomocy sztucznej inteligencji Midjourney. Kashtanova zarejestrował ten komiks jako pracę wizualną. Zarya of the Dawn jest utworem dostępnym na stronie AI Comic Books. Kashtanova przekonuje, że tworzył komiks „z asystą AI”. Dokładniej oznacza to, że wymyślił fabułę, stworzył layout paneli i dokonał wyborów artystycznych, dopasowując konkretne wytwory AI w spójną całość.

Sprawa jest na tyle ciekawa, że urząd ds. praw autorskich (USCO) uznał pracę tworzoną przez człowieka przy pomocy sztucznej inteligencji za własność twórcy.

Celem autora jak sam wspomina „było potwierdzenie faktu, że to artysta posiada prawa autorskie do swoich prac, nawet jeśli tworzy coś z wykorzystaniem AI.” Zależało mu na tym, aby stworzyć precedens w prawie.

Z całą pewnością Zarya of the Dawn może ustalić nowe standardy w branży. Po pierwsze rysownikiem stała się maszyna, a po drugie przyznano takiej pracy prawa autorskie. Na chwilę obecną wciąż bez definitywnej odpowiedzi pozostaje pytanie, czy AI może sama w sobie być twórcą jakiegoś utworu.

Pigułka wiedzy

Termin wejścia w życie: DSA formalnie wejdzie w życie 16 listopada 2022 r., jednak większość jego przepisów zacznie obowiązywać 17 lutego 2024 r.

Zasięg terytorialny: Unia Europejska

Obowiązywanie w Polsce: DSA został przyjęty w formie rozporządzenia, w związku z tym jest bezpośrednio stosowany we wszystkich państwach członkowskich.

Stosunek DSA do innych regulacji sektorowych: W związku z tym, że DSA jest aktem o charakterze horyzontalnym – nie zastępuje, ani nie zmienia regulacji sektorowych, lecz je uzupełnia. Przykładowo DSA uzupełni RODO.

Stosunek DSA do dyrektywy o handlu elektronicznym: DSA nie wpłynie znacznie na dyrektywę o handlu elektronicznym. Uchyli i ureguluje przepisy dyrektywy dotyczące usług mere conduit, usług hostingu i cachingu.

Stosunek DSA do ustawy o świadczeniu usług drogą elektroniczną: DSA nie uchyli całej ustawy, a jedynie kilka jej przepisów.

Zakres podmiotowy DSA: DSA ma zastosowanie do podmiotów świadczących usługi pośrednictwa oferujących infrastrukturę sieciową tj.:

• usług hostingowych;
• platform internetowych skupiających sprzedawców i konsumentów np. sklepy z aplikacjami, internetowe platformy zakupowe, platformy mediów społecznościowych;
• bardzo dużych platform internetowych stwarzających szczególne ryzyko rozpowszechniania nielegalnych treści i ryzyko szkód społecznych.

Pigułka wiedzy 

Termin wejścia w życie: Nie wiadomo kiedy Cyber Resilience Act wejdzie w życie, ponieważ pracę nad nim trwają. Od 6 do 17 października 2022 r. trwały publiczne konsultacje społeczne. Po przyjęciu rozporządzenia producenci państwa członkowskiego będą mieli dwa lata na dostosowanie się do nowych wymogów. Obowiązek zgłaszania podatności i incydentów będzie obowiązywał już po 12 miesiącach od wejścia w życie.

Zasięg terytorialny: Unia Europejska

Obowiązywanie w Polsce: Cyber Resilience Act  ma być przyjęty w formie rozporządzenia, w związku z tym jest bezpośrednio stosowany we wszystkich państwach członkowskich.

Zakres podmiotowy:

• producent - każda osoba, która opracowuje lub produkuje dobra z elementami cyfrowymi lub zleca zaprojektowanie produktów z elementami cyfrowymi;
• importer - każda osoba mająca siedzibę w Unii która wprowadza do obrotu produkt z elementami cyfrowymi, który jest opatrzony nazwą lub znakiem towarowym osoby fizycznej lub prawnej mającej siedzibę poza Unią;
• dystrybutor - każda osoba w łańcuchu dostaw, inną niż producent lub importer, która udostępnia produkt z elementami cyfrowymi dostępny na rynku unijnym.

Zakres przedmiotowy: Cyber Resilience Act ma szeroki zakres zastosowania. Dotyczy wszystkich produktów z elementami cyfrowymi, których użycie obejmuje bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych. Produkt z elementami cyfrowymi w tym kontekście oznacza dowolny produkt programowy lub sprzętowy z rozwiązaniami do zdalnego przetwarzania danych.

Case Study

Właściciel Instagrama, Meta, został ukarany grzywną w wysokości 405 mln euro przez Irish Data Protection Commissioner za umożliwienie nastolatkom zakładania kont, które publicznie pokazywały ich numery telefonów i adresy e-mail.

Postępowanie rozpoczęło się po tym, jak naukowiec zajmujący się danymi odkrył, że użytkownicy, w tym osoby poniżej 18 roku życia, przechodzili na konta biznesowe i mieli wyświetlane informacje kontaktowe na swoich profilach.

Instagram pozwalał użytkownikom w wieku od 13 do 17 lat na prowadzenie kont biznesowych na platformie, które pokazywały numery telefonów i adresy e-mail użytkowników.

Irish Data Protection Commissioner stwierdził również, że platforma obsługiwała system rejestracji użytkowników, w którym konta użytkowników w wieku od 13 do 17 lat były domyślnie ustawione jako "publiczne".

Kara jest drugą największą z zakresu prawa ochrony danych osobowych. Pierwsze miejsce w dalszym ciągu zajmuje Amazon z karą w wysokości 746 mln euro nałożoną w lipcu 2021 roku.

W wydanym oświadczeniu Meta zapowiedziało, że od kary będzie się odwoływać. Rzecznik Meta stwierdził m.in., że "to dochodzenie skupiło się na starych ustawieniach, które zaktualizowaliśmy ponad rok temu, a od tego czasu wydaliśmy wiele nowych funkcji, aby pomóc zachować bezpieczeństwo nastolatków i ich informacje prywatne".

To już kolejna kara nałożona na jedną ze spółek Marka Zuckerberga. Wcześniej, w 2022 r. gigant technologiczny  został ukarany grzywną w wysokości 17 mln euro za brak ochrony danych użytkowników przed naruszeniami. Następnie we wrześniu 2021 r. ukarano WhatsApp karą w wysokości 266 mln dolarów za niewystarczającą przejrzystość wobec użytkowników w zakresie udostępniania ich danych firmie macierzystej.

Pigułka wiedzy

Termin wejścia w życie: Implementacje Dyrektywy powinny zostać przyjęte przez państwa członkowskie Unii Europejskiej do 28 listopada 2021 r., a obowiązywanie nowych przepisów w poszczególnych państwach członkowskich powinno nastąpić od 28 maja 2022 r. Do tej pory tylko 14 krajów UE wywiązało się z tego obowiązku.

Jak będzie stosowana w Polsce: W związku z tym, że Omnibus jest dyrektywą, musi być implementowana do krajowego porządku prawnego. Póki co dyrektywa ta nie została implementowana.

Zakres podmiotowy:  Krąg adresatów dyrektywy Omnibus jest bardzo szeroki. Przykładowo obejmuje:

• sklepy stacjonarne;
• własny sklep internetowy;
• internetowe platformy handlowe (dyrektywa wprowadza jej definicję);
• wyszukiwarki towarów i porównywarki cenowe;
• dostawców usług marketingowych;
• pośredników informujących o promocjach;
• dostawców rankingów oraz innych narzędzi umożliwiających weryfikację opinii.

Najbardziej znaczące obowiązki to:

• informowanie o wcześniejszej cenie w przypadku obniżenia ceny;
• sprawdzanie, czy recenzje rzeczywiście pochodzą od konsumentów, którzy faktycznie zakupili/użyli recenzowane produkty/usługi.;
• stosowanie RODO i prawa ochrony konsumentów do umów o dostarczanie treści cyfrowych lub usług  cyfrowych bez uiszczania przez konsumenta      określonej kwoty pieniężnej, ale w zamian za jego dane osobowe;
• informowanie, czy prezentowana cena jest spersonalizowana na podstawie zautomatyzowanego podejmowania decyzji i profilowania, czy nie.

Regulacyjne tsunami? Bez obaw!

Zapoznaj się z Naszą mapą regulacyjną, a po więcej informacji zapraszamy pod link:

Cyfrowa Mapa Europy | EY Polska