newtech.law - prawne aspekty nowych technologii

Od 1 marca 2020 r. zaczną obowiązywać przepisy o prostej spółce akcyjnej (PSA). Umożliwią one prowadzenie rejestru akcjonariuszy takich spółek z wykorzystaniem technologii blockchainowej. Dla jednych jest to niewiele znaczący techniczny przepis, dla innych to prawdziwie rewolucyjny wyłom w systemie prawa, umożliwiający tokenizowanie akcji polskich spółek. Jak jest naprawdę?

Latem 2018 r. mieliśmy okazję uczestniczyć w analizie projektu regulacji dotyczących PSA wykonywanej przez Koalicję na rzecz Polskich Innowacji. Przepis o możliwości prowadzenia rejestru akcjonariuszy PSA z wykorzystaniem rozproszonej i zdecentralizowanej bazy danych trafił do projektu w sposób nieoczekiwany i od razu spotkał się ze sporym zainteresowaniem. To była zupełna nowość w polskim systemie prawa. Zaskoczenie było tym większe, że w tym samym czasie obserwowaliśmy pierwsze działania regulatorów zmierzające do ograniczenia niekontrolowanego rozwoju technologii blockchain.

Przepis pozwalający prowadzić rejestr akcjonariuszy PSA na blockchainie nie jest aż tak rewolucyjny, jak się wydaje. Do pełnej tokenizacji oraz decentralizacji PSA jeszcze nam daleko. Przesądzają o tym pozostałe przepisy dotyczące PSA, które wykazują znacznie więcej przywiązania do tradycyjnych instytucji prawnych. Mimo to komentowany przepis otwiera sporo nowych możliwości i tworzy przestrzeń do ciekawego i zgodnego z prawem eksperymentowania z technologią blockchain. Warto wykorzystać tę szansę i stworzyć rozwiązania, które w przyszłości zachęcą regulatora oraz ustawodawcę do odważniejszego otwarcia systemu prawa na technologię zdecentralizowanych rejestrów.

Jakiś czas temu Burger King poinformował, że udostępnia aplikację mobilną, dzięki której użytkownik może palić reklamy konkurencyjnych fast foodów. Użytkownik smartfona, kierując kamerę urządzenia na bilbord, ulotkę czy kupon zawierający „odpowiednie” konkurencyjne logo, aktywuje generowany w rzeczywistości rozszerzonej (dalej także „AR” lub „augmented reality”) obraz płomieni, które na ekranie telefonu trawią logo konkurenta. W zamian za spalenie logo konkurenta aplikacja generuje kod, który upoważnia użytkownika do odbioru darmowej kanapki w sieci Burger King. Pojawienie się wspomnianej aplikacji było wsparte z kampanią promocyjną. W sieci można obejrzeć filmik promocyjny przedstawiający działanie aplikacji.

Pytanie postawione w tytule może dziwić. Wszak dopiero cztery lata temu opublikowano unijną dyrektywę stanowiącą kolejny etap rozwoju regulacji UE w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu (tzw. czwarta dyrektywa AML, AMLD4). Jej poprzedniczka, trzecia dyrektywa AML (AMLD3), została przyjęta 10 lat wcześniej. Z kolei zaledwie niewiele ponad rok temu przyjęto znaczące zmiany prawne, nazywane piątą dyrektywą AML (AMLD5). Co więcej, państwa członkowskie wciąż mają czas na jej wdrożenie do krajowych porządków prawnych, gdyż wyznaczony w niej termin upływa dopiero za kilka miesięcy, w styczniu 2020 r.

Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) po raz kolejny wypowiedział się na temat granic prawa do bycia zapomnianym. Tym razem odpowiadał na pytania prejudycjalne w sprawie Google przeciwko CNIL (Commission Nationale de l’Informatique et des Libertés, francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych). Chodziło o karę w wysokości 100 000 euro, którą CNIL nałożyła na Google po tym, jak ten odmówił usunięcia, w ramach wykonywania przez podmiot danych prawa do bycia zapomnianym, linków ze wszystkich wersji językowych swojej wyszukiwarki.

Pod koniec września Rahim Blak upublicznił odpowiedź udzieloną mu przez Urząd Komisji Nadzoru Finansowego na pytania dotyczące możliwości stosowania regulacji finansowych do planowanej i realizowanej przez niego działalności w zakresie m.in. pozyskania kapitału w drodze dystrybucji tokenów personalnych na rynku. Choć odpowiedź została udzielona w konkretnej sprawie zgłoszonej do Innovation Hub, wobec braku publicznego ogólnego stanowiska UKNF w sprawie statusu prawnego tokenów ma ona również znaczenie dla całego rynku.

Szwedzki organ nadzorczy odpowiedzialny za przestrzeganie RODO nałożył ostatnio karę w wysokości ok. 20 000 euro za stosowanie technologii pozwalającej na monitorowanie obecności uczniów w szkole.

Co istotne, przetwarzanie danych osobowych w postaci wizerunku uczniów nie odbywało się stale, tylko było krótkotrwałym testem, który miał ocenić przydatność takiego rozwiązania w działalności szkół. Jednak w ocenie szwedzkiego organu takie działanie było sprzeczne z RODO. Należy podkreślić, że stosowane systemy przetwarzały wizerunek w taki sposób, że dochodziło do przetwarzania danych biometrycznych, a więc danych szczególnie chronionych na gruncie RODO. Właśnie z uwagi na szczególny charakter przetwarzanych danych oraz sposób ich przetwarzania przed rozpoczęciem przetwarzania administrator danych powinien był przeprowadzić ocenę skutków przetwarzania dla ochrony danych. Nieprzeprowadzenie tej oceny stanowiło z kolei naruszenie RODO tego rodzaju, że zasadne było nałożenie na administratora danych kary pieniężnej.