Największe wyzwania prawne Internetu Rzeczy (IoT)

Internet Rzeczy (ang. Internet of Things, IoT) to technologia towarzysząca człowiekowi w niemalże wszystkich sferach jego życia. Urządzenia domowe, systemy typu Smart Home, smartwatche, aparatura medyczna, pojazdy czy sygnalizacja świetlna – wszystkie te przedmioty, nazywane w obrocie prawnym produktami skomunikowanymi, stanowią książkowy przykład szerokiego zastosowania Internetu Rzeczy. Dzięki zawartym w nim czujnikom, możliwe jest gromadzenie kluczowych danych dotyczących ich wykorzystywania, a także otoczenia, w jakim się znajdują. Zebrane informacje są następnie przesyłane drogą łączności elektronicznej lub łącza fizycznego do różnorodnych odbiorców zwanych posiadaczami danych. Postępująca transformacja cyfrowa wiąże się z potrzebą wprowadzania odpowiednich regulacji prawnych. Z jakimi wyzwaniami musi zmierzyć się Internet Rzeczy, aby spełnić przewidziane prawem standardy?

Data Act

Od 12 września 2025 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych). Rozporządzenie, znane jako Data Act, wprowadziło istotne regulacje w zakresie zarządzania danymi generowanymi przez urządzenia połączone z Internetem, ujednolicając ramy prawne w UE w tym zakresie.

W rozdziale II ww. rozporządzenia, ustawodawca unijny zawarł szereg obowiązków dla różnorodnych podmiotów, posługujących się i korzystających z urządzeń wyposażonych w technologię IoT. Pierwszy z wymienionych w tym rozdziale obowiązków to wymóg odpowiedniego zaprojektowania oraz tworzenia urządzeń skomunikowanych i usług z nimi powiązanych, określony w art. 3 ust. 1 Data Act. Zgodnie z brzmieniem tego przepisu, ich projekt i sposób produkcji mają zapewnić bezpieczny, w powszechnie używanym formacie, bezpłatny, a także dogodny dostęp użytkownika do zebranych informacji. Postuluje się zapewnienie bezpośredniego wglądu, o ile jest to wykonalne z punktu widzenia możliwości technicznych danego posiadacza danych. Należy podkreślić, iż wymogi mające swoje źródło w przytoczonym ustępie, będą stosowane wobec produktów skomunikowanych i usług z nimi powiązanych wprowadzonych na rynek po 12 września 2026 roku.

Jednocześnie Data Act przewiduje obowiązek informacyjny potencjalnych posiadaczy danych względem użytkowników produktów skomunikowanych. I tak przed zawarciem umowy (np. sprzedaży, najmu czy leasingu urządzenia skomunikowanego), użytkownik urządzenia musi zostać poinformowany o rodzaju i orientacyjnej ilości gromadzonych danych, ich sposobie oraz miejscu ich przechowywania (ciągłym, rzeczywistym, na urządzeniu lub na serwerze), a także o możliwości zapoznania się z tymi informacjami, ich pobrania czy też usunięcia. Obowiązek ten obejmuje również warunki wykorzystywania danych.

Ułatwienia w zakresie dostępu do danych narażają jednak przedsiębiorców na niebezpieczeństwo ujawnienia tajemnicy przedsiębiorstwa. W art. 4 ust. 6 Data Act ustanowiono standardy ochrony tajemnicy przedsiębiorstwa, podlegającej ujawnieniu wyłącznie wtedy, gdy zarówno posiadacz danych jak i użytkownik, uprzednio podejmą wszelkie środki konieczne do zapewnienia poufności. W przewidzianych rozporządzeniem okolicznościach, posiadacz danych jest również uprawniony do wstrzymania lub zawieszenia dzielenia się informacjami, zakwalifikowanymi jako tajemnice przedsiębiorstwa. W takim przypadku, użytkownikowi urządzenia IoT przysługuje prawo do wniesienia skargi do właściwego organu, który bez zbędnej zwłoki podejmie decyzję w tym zakresie lub uzgodnienia z posiadaczem danych wniesienia sprawy do odpowiedniego organu rozstrzygania sporów.

Im szybszy rozwój, tym więcej wymagań

Nowe technologie coraz szerzej wspierają człowieka w niezliczonych obszarach. Jednakże w zgiełku intensywnego postępu cyfrowego, nie powinno się zapominać o zapewnieniu odpowiedniej ochrony dla dóbr prawnych, w szczególności dla prywatności. Data Act to przełomowa regulacja w zakresie dostępu do informacji generowanych przez urządzenia IoT. Jest to jednak dopiero początek wyzwań prawnych, z jakimi muszą zmierzyć się producenci produktów IoT, posiadacze zebranych przez nich danych, a także użytkownicy. W niedalekiej przyszłości konieczne będzie dostosowanie tej technologii do standardów kolejnego rozporządzenia unijnego tj. Cyber Resilience Act (Akt o cyberodporności), którego przepisy będą stosowane od 11 grudnia 2027 roku.