Lip 9

Aplikacje mobilne – prawo, obowiązki twórców, deweloperów i użytkowników

Tags:
Aplikacje mobilne – prawo, obowiązki twórców, deweloperów i użytkowników

19 czerwca w Warszawie odbyło się seminarium związane z tematem technologii mobilnych – „Mobilne aplikacje – nowe funkcjonalności, bezpieczeństwo, efektywność”. Jednym spośród czterech prelegentów był współwłaściciel Kancelarii ENSIS – Konrad Cioczek. Tematem wykładu były aspekty prawne rozwoju technologii mobilnych, w tym przede wszystkim ryzyka prawne m-commerce. Poniżej prezentujemy streszczenie wykładu.

Polski system prawa nie operuje pojęciem m-commerce. Nie sposób jednak nie zauważyć pewnych charakterystycznych cech związanych z tą branżą  – i tak mianem „prawa m-commerce” nazwać można gałąź prawa regulującą głównie obszar handlu elektronicznego (potocznie zwany prawem e-commerce), w którym istotną rolę odgrywają urządzenia mobilne, a więc urządzenia elektroniczne pozwalające na przetwarzanie, odbieranie oraz wysyłanie danych bez konieczności utrzymywania przewodowego połączenia z siecią (w szczególności smartfony i tablety). E-commerce jest więc pojęciem dużo szerszym, albowiem odnosi się do całego handlu elektronicznego, natomiast m-commerce dotyczy jedynie urządzeń mobilnych. Definicja powyższa jest niezmiernie istotna z prawnego punktu widzenia, albowiem wskazuje miejsce prawa m-commerce w polskim systemie prawnym oraz pozwala określić akty regulujące tę gałąź prawa. Jak łatwo się domyślić, w zdecydowanej większości będą to akty prawne regulujące prawo e-commerce:

  1. Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz.U. z 2002 r. Nr 144, poz. 1204 ze zm),
  2. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 1997 r. Nr 133, poz. 883 ze zm.),
  3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024),
  4. Ustawodawstwo europejskie – Opinia 2/2013 w sprawie aplikacji mobilnych z 27 lutego 2013 r., opublikowaną przez Grupę Roboczą Art. 29 ds. Ochrony Danych,
  5. Ustawa z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz.U. z 2000 r., nr 22, poz. 271 ze zm.),
  6. Rejestr Klauzul Niedozwolonych,
  7. Ustawa z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu Cywilnego (Dz.U. z 2002 r. Nr 141, poz. 1176 ze zm.),
  8. Ustawa z dnia 23 kwietnia 1964 r. – Kodeks Cywilny (Dz. U. z 1964 r. Nr 16, poz. 93 ze zm.).

Wydaje się, iż obowiązki prawne podmiotów zarówno produkujących, dystrybuujących, jak i używających aplikacji mobilnych można zdefiniować jednym zdaniem: twórca/dystrybutor aplikacji obowiązany jest stworzyć całą dokumentację zgodną z obowiązującym prawem, natomiast użytkownik obowiązany jest zapoznać się z taką dokumentacją oraz jej przestrzegać. Kluczowe dla zrozumienia zakresu obowiązków obu stron jest jednak rozróżnienie dwóch rodzajów relacji – B2B (ang. Business-to-Business) oraz B2C (ang. Business-to-Consumer).

W przypadku relacji B2B można zaryzykować stwierdzenie, iż dozwolone jest wszystko to, co nie jest zabronione – jest to bowiem obrót pomiędzy przedsiębiorcami. Konsekwencją tego założenia jest charakterystyczna dla obrotu B2B sytuacja, w której to podmiot tworzący aplikację obowiązany jest do stworzenia dokumentacji prawnej zgodnej z ogólnymi normami prawa, natomiast użytkownik będący przedsiębiorcą powinien bardzo wnikliwie zapoznać się z taką dokumentacją. Wynika to z oczywistego faktu, iż pobierając, instalując oraz używając aplikację mobilną, jej użytkownik potwierdza zapoznanie się z warunkami umowy oraz je akceptuje. W przypadku więc wysuwania jakichkolwiek roszczeń w stosunku do twórcy aplikacji, przedsiębiorca (użytkownik) stoi niejako na równej pozycji z twórcą, ponieważ obie strony traktowane są przez prawo jako profesjonalni uczestnicy obrotu gospodarczego. Nie uregulowanie tego typu kwestii doprowadzi – w przypadku sporu – do sytuacji, w której będzie on rozpatrywany według przepisów ogólnych, co w konsekwencji może wydłużyć dochodzenie roszczeń oraz spowodować niezbyt satysfakcjonujący wynik końcowy.

Zupełnie inaczej sytuacja wygląda w przypadku obrotu B2C. Konsument traktowany jest przez polskie prawo jako osoba nieposiadająca odpowiedniej wiedzy prawnej, w związku z czym otoczony jest wyjątkową ochroną ze strony państwa. Pociąga to za sobą tego rodzaju konsekwencję, iż dokumentację prawną należy uregulować zgodnie z odpowiednimi  aktami prawnymi, ze szczególnym uwzględnieniem ustaw konsumenckich. Niestety – jak wskazuje doświadczenie – świadomość przedsiębiorców w tym temacie jest drastycznie niska. Przedsiębiorcy w przeważającej większości zupełnie nie zdają sobie sprawy z zagrożeń, jakie czekają na nich w obrocie B2C. Jako przykład wystarczy przytoczyć chociażby ciekawe doświadczenie przeprowadzone przez Mensis.pl, w ramach którego pytano e-przedsiębiorców, które ustawy regulują prawo związane z handlem internetowym. Prawie 60% ankietowanych jako ustawę taką wskazało Ustawę o sprzedaży wysyłkowej i obwoźnej. Problem polega jednak na tym, iż ustawa taka nie istnieje.

Analizując prawne ryzyka związane z m-commerce oraz przyszłość tego rodzaju handlu, należy wskazać trzy główne grupy zagrożeń:

  1. brak uregulowanej dokumentacji prawnej dotyczącej aplikacji mobilnych,
  2. nieodpowiednie uregulowanie polityki ochrony danych dotyczących firmy, a będących przedmiotem świadczonej usługi,
  3. posiadanie niezgodnej z prawem dokumentacji regulującej obrót z konsumentami (klauzule abuzywne),
  4. nieodpowiednio uregulowana polityka ochrony danych osobowych.

Konsekwencje braku uregulowanej dokumentacji określa przede wszystkim rozdział 5 Ustawy o świadczeniu usług drogą elektroniczną. Art. 23 oraz 24 stanowią o tym, iż nieprzestrzeganie przepisów ustawy wiąże się z karą grzywny, której orzekanie następuje w trybie przepisów o postępowaniu w sprawach o wykroczenia (art. 25).

Istotnym jest, aby w polityce ochrony danych dotyczących firmy w jasny oraz precyzyjny sposób określić tryb przekazywania oraz korzystania z danych ściśle tajnych, które dotyczą chociażby kondycji finansowej firmy. Z takimi przypadkami mamy do czynienia w coraz popularniejszej technologii cloud computing. Ze strony deweloperów technologii, odpowiedni nacisk powinien zostać nałożony na zapewnienie bezpieczeństwa magazynowanych danych. O ile od strony technicznej w tym celu służy np. odpowiednia certyfikacja, to z punktu widzenia prawnego wyróżnia się szereg zapisów o charakterze umownym. Nie może być bowiem tak, aby dostawca usługi wyłączył swoją odpowiedzialność dotyczącą ochrony danych. Wykluczonym jest również, aby dostawca mógł w jakikolwiek sposób ingerować w treść merytoryczną danych przekazywanych w ramach usługi. Dodatkowo, dostawca powinien w odpowiedni sposób zabezpieczyć dane poprzez zapewnienie bezpieczeństwa ich kopii oraz bieżącego ich uaktualniania.

Kolejne ryzyka wiążą się z coraz bardziej popularnym tematem klauzul abuzywnych. Rozwój handlu elektronicznego przyciąga coraz więcej firm z różnych branż, także z branży prawniczej. Powstało wiele stowarzyszeń „ochrony konsumentów”, jak i samych kancelarii prawnych, które za cel obrały sobie wyszukiwanie zapisów niezgodnych z prawem w obrocie konsumenckim. Działając w imieniu zazwyczaj podstawionych osób fizycznych (najczęściej członków rodziny bądź znajomych), podmioty te składają pozwy do Sądu Ochrony Konkurencji i Konsumentów, co w konsekwencji skutkuje nakładaniem kar finansowych na przedsiębiorców. Podkreślenia wymaga w tym miejscu fakt, iż dla Sądu tego nie ma żadnego znaczenia, czy wolą przedsiębiorcy było oszukiwanie konsumentów, czy przedsiębiorca jest mikro, małym, czy dużym przedsiębiorstwem, ani nawet to, czy cokolwiek sprzedano. Wystarczy print screen dokumentacji, aby przez następne 6 miesięcy móc  złożyć pozew do właściwego Sądu. Trudno tego rodzaju sprawę wygrać, albowiem procedura jest bardzo podobna do postepowania administracyjnego w przypadku otrzymania np. zdjęcia z fotoradaru. Kary finansowe nakładane przez UOKiK wynoszą do 10% ubiegłorocznego przychodu firmy. Nie należy zapominać o opłatach sądowych: koszty zastępstwa procesowego, na których to właśnie zarabiają wyżej wymienione podmioty, koszty wpisu oraz publikacji w Monitorze Sądowym i Gospodarczym. Pozwy składane są najczęściej oddzielnie w stosunku do każdej klauzuli, a jak wynika z danych Ministerstwa Sprawiedliwości ich liczba wzrasta corocznie o ponad 115%. Nie sposób tez przejść obojętnie wobec faktu, iż przedsiębiorca wpisany ro Rejestru Klauzul Niedozwolonych nie zostaje z niego wykreślony – jest to ewenement w polskim systemie prawnym.

W żadnym wypadku nie można również bagatelizować tematu ochrony danych osobowych w branży m-commerce. Jak ważny jest to temat niech uzmysłowi chociażby wypowiedź Pana Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych z 26 marca bieżącego roku, w której stwierdził on, iż „…aplikacje mobilne są jak koń trojański…”. Zacząć należy od tego, iż przede wszystkim fakt przetwarzania takich danych należy zgłosić. Jest to niezmiernie ważne w przypadku aplikacji mobilnych – jeżeli właściciel aplikacji nie zgłosi faktu przetwarzania danych i jednocześnie doszłoby do sytuacji, w której zgłoszone  byłoby podejrzenie o wyciek takich danych z jego bazy, przedsiębiorca zostanie pociągnięty do odpowiedzialności przed Generalnym Inspektorem Ochrony Danych Osobowych. Ustawodawca przewidział cztery rodzaje odpowiedzialności w związku z naruszeniem zasad dotyczących ochrony danych osobowych: 

  1. odpowiedzialność dyscyplinarna – może doprowadzić do zwolnienia pracownika z powodu naruszenia podstawowych obowiązków pracowniczych,
  2. odpowiedzialność karna – sześć podstawowych typów przestępstw związanych z naruszeniem zasad ochrony danych osobowych, w związku z którymi grożą kary grzywny (os. fiz.   – do 10 tys. zł, os. prawne oraz jednostki nie posiadające osobowości prawnej – 50 tys. zł; w przypadku wielokrotnego nakładania kar w ramach jednego postępowania egzekucyjnego kary te wynoszą odpowiednio – 50 tys. zł oraz 200 tys. zł.), ograniczenia lub nawet pozbawienia wolności do lat 3,
  3. odpowiedzialność administracyjna – Generalny Inspektor Ochrony Danych Osobowych w razie stwierdzenia naruszenia przepisów o ochronie danych w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem,
  4. odpowiedzialność cywilna – podmiot występujący w roli administratora danych w efekcie nieprzestrzegania przepisów może ponosić odpowiedzialność cywilnoprawną, przede wszystkim z tytułu naruszenia dóbr osobistych. Użytkownikowi przysługują w tym przypadku roszczenia o charakterze majątkowym (roszczenie o naprawienie szkody (art. 24 § 2 k.c.), roszczenie o zadośćuczynienie pieniężne za doznaną krzywdę (art. 445 § 1 k.c.), roszczenie o zapłatę określonej sumy na cel społeczny (art. 448 k.c.)) oraz niemajątkowym (żądanie zaniechania naruszeń (w sytuacji zagrożenia dobra osobistego), żądanie dopełnienia czynności potrzebnych do usunięcia skutków dokonanego naruszenia, w szczególności złożenia oświadczenia odpowiedniej treści i w odpowiedniej formie (art. 24 § 1 k.c.)).

Reasumując powyższe, dużą uwagę należy poświęcić całej „otoczce prawnej” związanej z funkcjonowaniem mobilnych aplikacji biznesowych. Z pewnością rynek m-commerce w Polsce dopiero „raczkuje”, jednakże należy spodziewać się bardzo dynamicznego rozwoju tej dziedziny handlu. Niewykluczone, iż pojawi się dużo nowych aktów normatywnych, które regulowały będą prawo m-commerce. Najbezpieczniejsza wydaje się być pozycja konsumenta korzystającego z aplikacji mobilnych, oczywiście ze względu możliwości ochrony prawnej, którą stwarzają obowiązujące przepisy prawne. Nie należy mylić tego bezpieczeństwa z innymi zagrożeniami, jakie wiążą się z użytkowaniem aplikacji mobilnych. Największą uwagę na aspekty prawne muszą natomiast zwrócić producenci aplikacji mobilnych oraz użytkownicy biznesowi, ponieważ to na nich spoczywa ciężar realizowania obowiązków prawnych nakładanych przez powszechnie obowiązujące prawo. Sytuację komplikuje fakt, iż na rynku jest niewiele kancelarii prawnych, które faktycznie specjalizującą się w prawie e-commerce, nie wspominając już o samym m-commerce. Nawet laik przeglądający rejestr uzmysłowi sobie, jak trudny jest to temat – w rejestrze widnieją ogromne, międzynarodowe firmy – banki, firmy ubezpieczeniowe, operatorzy telekomunikacyjni – a więc podmioty mające często własne, rozbudowane działy prawne. Wybierając kancelarię sugeruję rzeczywiście przyjrzeć się specjalizacji – tylko bowiem prawnicy mający codziennie do czynienia z prawem internetowym będą w stanie Państwu zapewnić 100%-wy poziom bezpieczeństwa.

Konrad Cioczek

Prawnik / Współwłaściciel

ENSIS Kancelaria Doradztwa Prawnego

Cioczek & Szajdziński Spółka Cywilna

No comments yet.

Leave a Comment

reset all fields