DORA - praktyczne problemy we wdrożeniu (#54 - Prawo Nowych Technologii)

Gościem Mec. Wojciecha Lamika oraz Mec. Macieja Białasa jest Mec. Mateusz Borkiewicz - Adwokat, partner zarządzający w kancelarii Leśniewski Borkiewicz Kostka & Partners. Wspiera szereg podmiotów w obszarze bezpieczeństwa informacji, w szczególności z zakresu cyberbezpieczeństwa oraz privacy. Obsługuje branżę IT/ICT, specjalizuje się także w prawie konsumentów. Ten sezon zamykamy kolejnym odcinkiem o sztucznej inteligencji, przede wszystkim pod kątem wdrażania AI Act w przedsiębiorstwie. Jest mocno praktycznie 😊 Podczas tej rozmowy poruszyliśmy m.in. następujące kwestie: 1. Kiedy dochodzi do sytuacji kiedy przedsiębiorca musi zainteresować się AI Act i obowiązkami, jakie z niego wynikają? 2. Jakie są główne kategorie ryzyka w AI Act i jakie obowiązki nakładają na przedsiębiorców? 3. Czy jest szansa, że AI Act spowolni rozwój technologii? 4. Jakie są najlepsze praktyki przedsiębiorców, aby zapewnić zgodność z AI Act? 5. Jak wygląda sytuacja dla systemów AI, które zostały już dopuszczone do użytku przed 2 sierpnia 2026 r.? 6. Przed nastaniem wyżej wskazanego terminu, co firmy powinny zrobić już teraz w kontekście stosowania sztucznej inteligencji? 7. Czym różni się umowa na wdrożenie AI od klasycznej umowy IT? 8. Czy np. gwarancja OpenAI w użyciu jego Chatu za pomocą API („nie uczymy sztucznej inteligencji na podstawie dostarczonych danych w ten sposób”) jest wystarczająca w kontekście zabezpieczenia prawnego w stosunku do newralgicznych danych, które są używane? 9. Jakie konsekwencje prawne mogą spotkać przedsiębiorców, jeśli nie spełni wymagań AI Act?

Gościem Mec. Doroty Jarzębowskiej oraz Mec. Wojciecha Lamika jest Mec. Damian Flisak - doktor nauk prawnych (Uniwersytet Ludwika i Maksymiliana w Monachium); radca prawny z kilkunastoletnim doświadczeniem w prowadzeniu sporów prawnych, członek grupy ekspertów Komisji Europejskiej, tłumacz przysięgły języka niemieckiego. Specjalista w zakresie prawa najnowszych technologii, ze szczególnym uwzględnieniem sztucznej inteligencji, oraz własności intelektualnej. Jest to kolejny odcinek poświęcony sztucznej inteligencji. Tym razem rozmawiamy o zakazanych praktykach w zakresie AI. Podczas tej rozmowy poruszyliśmy m.in. następujące kwestie: 1. W jaki sposób unijna regulacja AI Act definiuje działania, które są zakazane w kontekście AI? Jakie rodzaje zastosowań zostały uznane za nielegalne? 2. Czy są znane przypadki firm lub organizacji, które dopuściły się działań zakazanych w obszarze AI? Jakie były konsekwencje prawne tych działań? 3. Czy tworzenie i rozpowszechnianie deepfake’ów jest zakazane? Jakie przepisy regulują wykorzystywanie AI do tworzenia fałszywych treści? 4. Jakie są regulacje dotyczące AI, które wpływają na decyzje konsumentów w sposób manipulacyjny, np. poprzez personalizowane reklamy lub rekomendacje? Jakie granice nakłada tutaj prawo? 5. Jakie sankcje prawne grożą organizacjom lub osobom fizycznym za stosowanie technologii AI w sposób zabroniony? Jakie kary przewidziane są za naruszenia, np. w AI Act?

Gościem Mec. Marty Kruk oraz Mec. Wojciecha Lamika jest Mec. Witold Chomiczewski - radca prawny i wspólnik zarządzający w Lubasz i Wspólnicy – Kancelarii Radców Prawnych sp.k. Lider specjalizacji e-Commerce. Pełnomocnik Izby Gospodarki Elektronicznej ds. legislacji. Specjalizuje się w prawie IT, danych osobowych i nowych technologii. Reprezentuje branżę e-commerce w procesach legislacyjnych w Sejmie, Senacie i ministerstwach. Tematem odcinka Prawo komunikacji elektronicznej, które jest niezwykle ważne dla branż e-commerce, marketingu oraz contact center. Przestała obowiązywać dotychczas regulująca ten sektor ustawa - Prawo telekomunikacyjne. Odcinek ten jest szczególnie istotny dla prawników, którzy obsługują sektor e-commerce. Podczas tej rozmowy poruszyliśmy m.in. następujące kwestie: 1. Dlaczego wprowadzono Prawo Komunikacji Elektronicznej? 2. Jakie usługi komunikacji elektronicznej podlegają nowym przepisom PKE? 3. Jakie kategorie firm będą uznawane za przedsiębiorców komunikacji elektronicznej? 4. Jakie wymogi prawne stawia PKE dla działań marketingowych oraz procesów zdalnej obsługi klienta tzw. contact center? 5. Jakie wymogi prawne stawia PKE dla reklamy internetowej opartej na cookies i podobnych narzędziach? Czy dotychczas uzyskane zgody marketingowe są nadal ważne? 6. O co chodzi z kanałowością zgody? Czy Whatsapp a Messenger to jest dla przykładu ten sam kanał komunikacji? 7. Jakie są najczęstsze błędy przedsiębiorców, którzy zbierają zgody cookies?

Gościem Mec. Bartłomieja Ofierskiego oraz Mec. Wojciecha Lamika jest Mec. Mikołaj Otmianowski - radca prawny, specjalista zarządzania ryzykiem. Inspirator i współtwórca rozwiązań legaltech. RIG DORA jest jego kolejnym narzędziem po RIG GDPR. Współtworząc oprogramowanie RED INTO GREEN był odpowiedzialny za przełożenie rozporządzenia DORA na zastosowanie prawa w praktyce i połączenie go z innymi przepisami UE oraz polskimi. Tematem odcinka jest po raz kolejny Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, które przez branżę sektora finansowego nazywane jest DORA. Ten odcinek ma na celu próbę udzielenia odpowiedzi na wiele pytań, jakie pojawiły się w związku z jego wdrażaniem w podmiotach finansowych. A tych kontrowersji jest naprawdę sporo! Warto przed jego odsłuchaniem zapoznać się z odcinkiem nr 20 podcastu, gdzie Mec. Michał Kulesza w świetny sposób omawia podstawowe kwestie związane z DORA. Podczas tej rozmowy poruszyliśmy m.in. następujące kwestie: 1. Jaka jest relacja DORA s dyrektywą unijną NIS2 oraz nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa? 2. Co podpada pod zakres „usług ICT” (technologie informacyjno-komunikacyjne)? Stanowią one jedno z ważniejszych pojęć, a to jaki zakres ustalimy będzie miało niebagatelny wpływ na zakres prac związanych z wdrażaniem DORA? 3. Jak wygląda zakres rozciągania obowiązków z DORY w łańcuchu outsourcingowym? 4. Czy producent podlega pod DORA czy dostawca oprogramowania/sprzętu? 5. Jak globalni gracze na rynku ICT typu Microsoft lub Google dostosowywali swoje usługi (w tym zapisy umowne) pod DORA?

Gościem Mec. Eweliny Drelichowskiej oraz Mec. Wojciecha Lamika jest Dorota Głowacka - prawniczka w Fundacji Panoptykon. Zajmuje się zagadnieniami związanymi z ochroną praw człowieka w kontekście nowoczesnych technologii, w szczególności swobody wypowiedzi i prawa do prywatności. W latach 2009-2018 pracowała w Helsińskiej Fundacji Praw Człowieka jako m.in. koordynatorka programu „Obserwatorium Wolności Mediów w Polsce” działającego na rzecz podnoszenia standardów wolności słowa. Pracuje także w projektach edukacyjnych i badawczych Rady Europy, Komisji Europejskiej i Agencji Praw Podstawowych UE. Ukończyła studia doktoranckie w na wydziale prawa Uniwersytetu Łódzkiego, w październiku broni doktorat o prawie do bycia zapomnianym w internetowych archiwach prasy. Tematem odcinka jest poświęcona ochronie konsumentów w Internecie, przede wszystkim moderacji w Internecie nielegalnych treści. Istotny jest tutaj projekt polskiej ustawy wdrażającej i uszczegóławiającej niektóre rozwiązania rozporządzenia DSA. Ponadto uwaga została skierowana również na IAB Europe, która jakiś czas temu była toczona przed Trybunałem Sprawiedliwości Unii Europejskiej. Sprawa dotyczyła ochrony danych osobowych, a jednym ze skarżących była polska Fundacja Panoptykon. Podczas rozmowy poruszono następujące kwestie: 1) Jak wyglądają propozycje polskiego ustawodawcy w kontekście przeciwdziałania nielegalnym treściom w Internecie? 2) Czy są jakieś obawy w kontekście proponowanych zmian w polskim prawie? 3) Omówienie wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 7 marca 2024 r. ws. IAB Europe, C-604/22. 4) Jakie jest znaczenie omawianego wyroku TSUE na biznes (przede wszystkim na branże reklamową)?

Gościem Mec. Joanny Skrzypiec oraz Mec. Wojciecha Lamika jest Grzegorz Sibiga - doktor habilitowany nauk prawnych, profesor w Instytucie Nauk Prawnych Polskiej Akademii Nauk, kierownik Zakładu Prawa Administracyjnego i kierownik studiów podyplomowych dla inspektorów ochrony danych w INP PAN, wykładowca akademicki oraz wykonujący zawód adwokata, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy. Przewodniczący Rady Naukowej SABI – Stowarzyszenia Inspektorów Ochrony Danych. Członek Rady Służby Publicznej przy Prezesie Rady Ministrów. Tematem naszego odcinka jest problematyka zarządzania danymi. Od 24 września 2023 r. stosowane jest unijne rozporządzenie, zwane aktem w sprawie zarządzania danymi (DGA). Podczas rozmowy poruszyliśmy następujące kwestie: 1. Czym jest DGA? Dlaczego ten akt powstał? 2. Ponowne wykorzystywanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego. 3. Czym jest ten altruizm danych i jakie ma znaczenie na gruncie DGA? 4. Pośrednictwo danych. 5. Co reguluje projekt polskiej ustawy o zarządzaniu danymi? Czy są wobec niego jakieś zastrzeżenia? 6. Jakie konsekwencje mogą grozić podmiotom, które nie będą przestrzegać DGA? 7. Czy DGA będzie miał wpływ na AI Act? Czy osoby, które zajmują się AI, powinny mieć na uwadze również DGA? 8. Jakie będą ryzyka związane z przestrzeganiem DGA? Jakie wyzwania kryją się dla przedsiębiorców w tym zakresie?

Gościem Mec. Macieja Bieszczada oraz Mec. Wojciecha Lamika jest Katarzyna Araczewska - zastępczyni dyrektora w Departamencie Ochrony Zbiorowych Interesów Konsumentów w UOKiK. Tematem odcinka są opinie konsumenckie – obecnie nieodłączny element sklepów internetowych. Istotne jest tutaj podejście Urzędu Ochrony Konkurencji i Konsumentów. Podczas rozmowy poruszyliśmy m.in. następujące kwestie: 1. Czym jest opinia konsumencka oraz jakie potrafi przybrać postaci? 2. Dlaczego UOKiK przywiązuje tak duże znaczenie dla kwestii opinii konsumenckich? 3. Co mówią przepisy w kontekście opinii konsumenckich (wliczając w to zmiany spowodowane Dyrektywą Omnibus)? 4. Czy przedsiębiorca jest zobowiązany do weryfikowania opinii konsumenckich? Jak ustalić prawdziwość tych opinii? Jak o tym informować? 5. Jakie z perspektywy UOKiK są najczęściej popełniane błędy przez przedsiębiorców co do opinii konsumenckich? 6. Podział na opinie o produkcie i opinie o sprzedawcy. 7. Czy jest dopuszczalne moderowanie opinii konsumenckich? Czy istnieją tutaj jakieś zagrożenia? 8. Czy unijne rozporządzenie – Akt o usługach cyfrowych (DSA) na wpływ na opinie konsumenckie? Jeżeli tak, to jaki?

Gośćmi Mec. Wojciecha Lamika są: 1) Gabriela Bar - doktor nauk prawnych, radczyni prawna, założycielka kancelarii Gabriela Bar Law & AI, członkini Komitetu Prawnego IEEE (ItripleE), członkini Stowarzyszenia Prawa Nowych Technologii, Women in AI, członkini polskiego towarzystwa informatycznego, specjalistka w zakresie sztucznej inteligencji, umów elektronicznych, e-commerce, ochrony prywatności i aspektów prawnych wdrożeń systemów IT, a także członkini Komisji ds. Nowych Technologii i Transformacji Cyfrowej przy OIRP Wrocław, oraz 2) Dominik Lubasz - doktor nauk prawnych, radca prawny oraz partner zarządzający w kancelarii Lubasz i Wspólnicy – Kancelaria Radców Prawnych. Wyróżniony m.in. w latach 2020-2024 w rankingu „The Legal 500” jako „Leading Individual”. Jest ekspertem Europejskiej Rady Ochrony Danych. Specjalizuje się w prawie nowych technologii, e-commerce, własności intelektualnej, ochronie danych osobowych oraz w prawie gospodarczym, w tym europejskim prawie gospodarczym. Ten odcinek podcastu jest poświęcony aktowi o sztucznej inteligencji (AI Act) – rozporządzeniu unijnemu, które zostało w dniu 12 lipca 2024 opublikowane w dzienniku urzędowym Komisji Europejskiej. Ten kluczowy dokument określa ramy regulacyjne dla rozwoju, wdrażania i użytkowania sztucznej inteligencji na terenie Unii Europejskiej. Podczas rozmowy poruszyliśmy m.in. następujące kwestie: 1. Jakie były cele uchwalenia AI Act? 2. Czym jest sztuczna inteligencja na gruncie AI Act? 3. Jakie są podstawowe zasady i kategorie ryzyka przewidziane w AI Act? Jakie kryteria decydują o przypisaniu systemu AI do jednej z tych kategorii? 4. Jakie konsekwencje dla biznesu może mieć wprowadzenie AI Act? Czy istnieją sektory, które będą szczególnie dotknięte przez AI Act? 5. Czy istnieją konkretne wymagania dotyczące transparentności algorytmów i decyzji podejmowanych przez AI? 6. W jaki sposób AI Act wpływa na ochronę danych osobowych i prywatności w kontekście wykorzystania sztucznej inteligencji? I za tym idzie - czy AI Act odpowiednio balansuje innowacyjność z bezpieczeństwem? 7. Jakie sankcje są przewidziane za nieprzestrzeganie AI Act?

Gościem Mec. Dominiki Fikus-Graf oraz Mec. Wojciecha Lamika jest Tomasz Piekot - doktor habilitowany, językoznawca, trener prostego języka, nauczyciel akademicki w Instytucie Filologii Polskiej Uniwersytetu Wrocławskiego. Kierownik Pracowni Prostej Polszczyzny na Uniwersytecie Wrocławskim, gdzie wraz z zespołem opracowuje polską wersję standardu "plain language". Od kilku lat zajmuje się upraszczaniem komunikacji banków, firm ubezpieczeniowych i urzędów. Posiada doświadczenie w upraszczaniu tekstów prawnych. Ten odcinek poświęciliśmy tematowi Legal Design. Choć poruszaliśmy już tę kwestię w drugim sezonie podcastu, warto do niej wrócić. Legal Design zyskuje na popularności wśród prawników i staje się także przedmiotem zainteresowania samorządów prawniczych, w tym OIRP Wrocław. Wielu prawników ma obawy związane z używaniem Legal Design. Staraliśmy się odpowiedzieć na niektóre z nich, w tym na jedno z kluczowych pytań: „czy uproszczenie zawsze oznacza lepsze rozwiązanie?” W trakcie rozmowy poruszyliśmy m.in. następujące kwestie: 1) Czy są, poza upraszczaniem, inne trendy rozwojowe we współczesnej polszczyźnie? 2) Czym jest Legal Design? Jaka jest relacja między prostą polszczyzną a Legal Desing? 3) Jakie przykładowe elementy musi zawierać dokument sporządzony przez prawnika, aby był zgodny z Lega Design? Czy mamy w ogóle jakieś kryteria w tym zakresie? Czy jest jakaś granica, kiedy możemy stwierdzić, że konkretny dokument jest „zgodny z Legal Design”? 4) Czy Legal Design możemy zastosować we wszystkich rodzajach pism prawniczych? Także w pismach adresowanych do sądów/organów? 5) Czy może dojść do sytuacji, kiedy przygotowany tekst prawniczy będzie zbyt prosty? Czy można gdzieś postawić granicę? Czy znaczenie ma to, jakiej materii dotyczy sporządzany dokument? Innymi słowy, czy zawsze „prościej” znaczy „lepiej”? 6) Jakie są największe obawy prawników co do stosowania Legal Design w praktyce? Czy różnią się one w zależności od tego, z jakiego zawodu jest prawnik (np. radca prawny, sędzia, prokurator)? 7) Jakich narzędzi (programów/aplikacji) może używać prawnik, jeżeli chce sporządzić pismo zgodne z Legal Design?

Gościem Mec. Łukasza Otfinowskiego oraz Mec. Wojciecha Lamika są: 1) Paweł Kempa-Dymiński – radca prawny, senior manager w Kancelarii prawnej Leśniewski, Borkiewicz, Kostka & Partners, specjalista z zakresu prawa pracy, doradza od 2012 r. Doradza zarówno w sprawach dotyczących bieżącej działalności, jak i przy realizacji projektów strategicznych (m.in. dotyczących podejmowania działalności w Polsce, nabywania/zbywania spółek, przedsiębiorstw lub istotnych aktywów, w tym niematerialnych, reorganizacji zatrudnienia), oraz 2) Salwador Milczanowski – 16 lat doświadczenia, specjalizuje się w zagadnieniach prawa karnego gospodarczego (tzw. business crime) oraz compliance, w szczególności w: budowaniu i zarządzaniu systemami zgłoszeń od sygnalistów, prowadzeniu wewnętrznych postępowań wyjaśniających, wdrażaniu polityk antykorupcyjnych oraz wymogów związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu (AML/CFT). Przez wiele lat związany z największymi kancelariami i firmami doradczymi na Dolnym Śląsku i w Polsce. Tematem odcinka jest ochrona sygnalistów. Po kilkuletniej zwłoce udało się w Polsce uchwalić ustawę o ochronie sygnalistów, która implementowała do naszego porządku prawnego dyrektywę unijną w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Wielu przedsiębiorców już wdraża tę regulację. Tym niemniej, jeszcze przed pojawieniem się pierwszego projektu o ochronie sygnalistów pojawiło się wiele mitów. Na część z nich postaraliśmy się odpowiedzieć podczas rozmowy. Podczas rozmowy poruszyliśmy m.in. następujące kwestie: 1) Kto może zostać sygnalistą na gruncie nowe ustawy? Czy istnieją jakieś wyłączenia, o których warto wspomnieć? 2) Jakie są kluczowe obowiązki pracodawców wynikające z ustawy? Na co muszą zwrócić szczególną uwagę w kontekście procedur wewnętrznych? Jakie kroki powinni podjąć, aby skutecznie wdrożyć procedury ochrony sygnalistów? 3) W jaki sposób sygnalista może zgłosić nieprawidłowości (tj. rodzaje zgłoszeń)? Który z tych sposobów może być najbardziej efektywny i jakie powinny być kryteria ich wyboru? 4) W jaki sposób są chronieni sygnaliści na podstawie tej ustawy? Jakie ustawa przewiduje rozwiązania w związku z działaniami odwetowymi? 5) Definicja sygnalisty w ustawie jest bardzo szeroka. Czy może to prowadzić w przyszłości do nadużywania wykorzystywania statusu sygnalisty? Czy nie dojdzie do pojawienia się wielu zgłoszeń fałszywych nieprawidłowości (np. z powodu osobistych animozji między pracownikami)? Co może zrobić pracodawca na tym polu? 6) Jakie ryzyka prawne wiążą się z nieprzestrzeganiem ustawy? Jakie sankcje grożą pracodawcom, którzy nie wdrożą odpowiednich procedur? 7) Jakie mogą pojawić się największe wyzwania związane z wdrożeniem rozwiązań o ochronie sygnalistów w organizacji? Czy macie jakieś wskazówki w tym zakresie?