sobota, 6 czerwca, 2026
Współpraca z UODO

PRAWO NOWYCH TECHNOLOGII – NAJWAŻNIEJSZE ZMIANY LEGISLACYJNE W 2024 (POLSKA I UE)

Xawery Konarski Prezes Stowarzyszenia Prawa Nowych Technologii

W 2024 r. czeka nas wiele zmian prawnych w zakresie cyberbezpieczeństwa, nowych technologii i ochrony danych osobowych.

W obszarze cyberbezpieczeńtwa na wdrożenie do krajowego porządku prawnego czeka dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, czyli dyrektywa NIS 2. Jej transpozycja do prawa krajowego ma nastąpić do 17 października 2024 r.

Ochrona przed cyberzagrożeniami

Dyrektywa ta rozszerza zakres podmiotów, które będą podlegały regulacjom. Określone w tych regulacjach podmioty kluczowe i ważne będą miały obowiązek wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszania poważnych incydentów. W dyrektywie przewidziano też środki nadzoru nad podmiotami objętymi obowiązkami przewidzianymi w tej regulacji oraz kary, jakie będą nakładane za niestosowanie się do tych wymagań.

Również do 17 października 2024 r. powinna zostać implementowana dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (dyrektywa CER), tzw. dyrektywę o odporności podmiotów krytycznych. Dotyczy ona zarówno podmiotów publicznych, jak i prywatnych i wraz z dyrektywą NIS 2 tworzy komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących. Zgodnie z postanowieniami dyrektywy CER do 17 lipca 2026 r. każde państwo członkowskie ma zidentyfikować podmioty krytyczne dla sektorów i podsektorów określonych w załączniku do tej dyrektywy. A uznanie za podmiot krytyczny nastąpi w drodze decyzji administracyjnej Podmioty krytyczne będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty. Państwa członkowskie mają zaś wyznaczyć co najmniej jeden właściwy organ odpowiedzialny za prawidłowe stosowanie i egzekwowanie przepisów określonych w tej dyrektywie.

W 2024 r. planowane jest stworzenie projektu Rozporządzenia Parlamentu Europejskiego w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020 (Cyber Resilience Act), tzw. Rozporządzenie o cyberodporności.

Jest to pierwszy, horyzontalny akt prawny w Unii Europejskiej, który wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla produktów posiadających elementy cyfrowe. Ma mieć zastosowanie do wszystkich produktów, które są bezpośrednio lub pośrednio połączone z innym urządzeniem lub siecią  (np. Internet rzeczy, IoT).

Celem tych rozwiązań jest zapewnienie podstawowego poziomu bezpieczeństwa produktów z elementami cyfrowymi, tak aby skutecznie chronić firmy i konsumentów przed cyberzagrożeniami. Oznacza to, że producenci lub dystrybutorzy takich urządzeń będą musieli w odpowiedni sposób projektować swoje produkty czy wdrożyć procedury reagowania na wypadek wykrycia podatności przez cały cykl życia takich wyrobów.

SI i nowe technologie

W pierwszym kwartale 2024 r. możemy spodziewać się uchwalenia rozporządzenia Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji). Rozwiązania te maja być stosowane u dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w UE, niezależnie od tego, czy dostawcy ci mają siedzibę w Unii czy w państwie trzecim. Rozporządzenie będzie miało też wpływ na użytkowników systemów sztucznej inteligencji, którzy znajdują się w Unii.

Podstawowym celem przepisów Aktu o sztucznej inteligencji jest ograniczenie ryzyk związanych ze stosowaniem systemów sztucznej inteligencji. Przyjęte zostało podejście do SI oparte na ocenie ryzyka. Założono bowiem, że systemy niosące za sobą wyższy poziom ryzyka powinny podlegać szerszym i bardziej restrykcyjnym wymogom, niż systemy których wykorzystywanie wiąże się jedynie z ograniczonym lub niskim ryzykiem.

W projekcie Aktu wprowadzono listę zakazanych systemów SI (np. systemy tworzące lub rozszerzające bazy danych rozpoznawania twarzy poprzez nieukierunkowane pobieranie obrazów twarzy z Internetu lub nagrań z kamer przemysłowych), czy też nałożono dodatkowe obowiązki na dostawców i systemów generatywnej inteligencji. Ich działalność ma być przejrzysta dla użytkowników, a wiec mają np. informować, że treści zostały wygenerowane przez SI, a także informacje jak działa dany system sztucznej inteligencji.

Na rozwiązania związane z SI ma mieć też wpływ projektowana dyrektywa UE w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (tzw. dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję). Trudno jednak ocenić  czy proponowane rozwiązania zostaną uchwalone w tym roku.

Dyrektywa ta ma zastosowanie do pozaumownych roszczeń cywilnoprawnych z tytułu szkód wyrządzonych przez system sztucznej inteligencji, w przypadku gdy są one wnoszone w ramach systemów odpowiedzialności na zasadzie winy. W związku z tym wprowadzona ona szczególne regulacje dotyczące ujawniania dowodów dotyczących systemów sztucznej inteligencji (SI) wysokiego ryzyka, aby umożliwić powodowi uzasadnienie pozaumownego cywilnoprawnego roszczenia odszkodowawczego opartego na zasadzie winy.

Regulacje dotyczące internetu

Dostawcy usług cyfrowych od 17 lutego 2024 r. będą musieli spełnić wymogi Aktu o usługach cyfrowych. Wobec największych podmiotów tj. bardzo dużych platform internetowych i wyszukiwarek internetowych, akt ten ma już zastosowanie od 25 sierpnia 2023 r., a teraz spełnienie owych wymagań czeka mniejszych graczy.

Zgodnie z tymi regulacjami dostawcy usług pośrednich, a więc dostawcy usług hostingu (np. centra danych), serwisy społecznościowe, internetowe platformy handlowe, internetowe sklepy z aplikacjami, platformy wymiany treści przez użytkowników oraz serwisy online umożliwiające np. zakup usług turystycznych będą podlegać pod nowe zasady moderowania treści w Internecie, w tym w zakresie zwalczania treści nielegalnych i szkodliwych. A użytkownicy, kwestionujący podejmowane w stosunku do nich decyzje przez pośredników internetowych.

W pierwszym półroczu 2024 r. planowane jest uchwalenie projektu Rozporządzenia UE w sprawie przejrzystości i targetowania reklamy politycznej. Projektowane rozwiązania zakładają wprowadzone szeregu obowiązków dotyczących transparentności reklamy politycznej oraz zgłaszania przypadków reklamy niezgodnej z prawem. Projekt ten przewiduje ustanowienie zakazu targetowania reklamy politycznej w oparciu o dane „ujawniające poglądy polityczne”, o ile adresat reklamy nie wyrazi na to zgody.

W pierwszym kwartale 2024 roku ma zostać uchwalona ustawa – Prawo komunikacji elektronicznej, która wdraża do polskiego systemu prawnego przepisy dyrektywy nr 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej. Nowa ustawa uchyli obecnie obwiązujące Prawo telekomunikacyjne i rozszerzy zarazem zakres podmiotowy obecnych regulacji. Obejmie ona nie tylko tradycyjnych przedsiębiorców telekomunikacyjnych, ale również podmioty świadczące usługi poczty elektronicznej, komunikatorów internetowych czy czaty internetowe.

Zarządzanie danymi

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/868 w sprawie europejskiego zarządzania danymi (Akt w sprawie zarządzania danymi) obowiązuje na terytorium całej Unii Europejskiej od 24 września 2023 r. Regulacje te miały być uzupełnione tzw. ustawą wprowadzającą, między innymi określającą kompetencje organu odpowiedzialnego za wykonanie przepisów rozporządzenia. Polska uchybiła temu wymogowi, w szczególności w poprzedniej kadencji Sejmu nie został uchwalony projekty ustawy w sprawie zarządzania danymi.

Akt w sprawie zarzadzania danymi poszerza możliwości ponownego wykorzystywania informacji sektora publicznego przez podmioty prywatne. Określa też zasady świadczenia usług pośrednictwa danych pomiędzy podmiotami prywatnymi. Ponadto tworzy ramy prawne promujące nowy model biznesowy wymiany danych, jakim są regulowane usługi pośrednictwa danych pomiędzy podmiotami prywatnymi.

Kolejny akt prawny dotyczący danych, a mianowicie Rozporządzenie UE w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (tzw. Akt w sprawie danych) wejdzie w życie 11 stycznia 2024 r.,

a jego przepisy zaczną obowiązywać po upływie 20 miesięcy. Zakres tej regulacji obejmie m.in. producentów  produktów i usług, które wytwarzają dane, posiadaczy danych, odbiorców danych w UE, czy podmioty publiczne, które zwracają się o udostępnienie danych.

Akt w sprawie danych ustanawia zharmonizowane przepisy dotyczące udostępniania danych generowanych w wyniku korzystania z produktu lub powiązanej usługi, użytkownikom tego produktu lub tej usługi. Rozporządzenie zwiększa też dostęp do danych, m.in. poprzez przyznanie użytkownikom prawa do żądania wydania danych wygenerowanych przez produkty lub powiązane z nimi usługi z których korzystają. Akt w sprawie danych zawiera również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu m.in. ułatwienia zmiany dostawców usług przetwarzania danych w chmurze.

Pobierz PDF

Zobacz również

Polskie Centrum Akredytacji – Krajowy system akredytacji