O czym trzeba pamiętać, używając firmowego komputera

O wiele bardziej złożona jest kwestia tego, co pozwala komputerowi służyć do realizacji zadań biznesowych, czyli oprogramowanie.

Fabryczne czy na miarę

Oprogramowanie, z którego korzystamy, może mieć charakter seryjny, ale mogło też zostać stworzone specjalnie dla naszej firmy. W tym pierwszym przypadku władamy kopią programu jako licencjobiorca, a stosunek prawny łączący nas z podmiotem uprawnionym do oprogramowania nosi miano licencji. Tak samo może być zresztą i w drugiej z opisanych sytuacji. Twórca programu mógł np. udzielić naszej firmie tzw. licencji wyłącznej. Charakteryzuje się ona tym, że poza nami (i ewentualnie twórcą, o czym decyduje treść umowy) nikomu z programu korzystać nie wolno. Może mieć jednak miejsce i inna sytuacja. Twórca może mianowicie przenieść na nas prawa majątkowe do stworzonego przez siebie programu.

Ale uwaga: przenieść wolno jedynie uprawnienia do tych pól eksploatacji, które są znane w chwili zawierania umowy. Nieważne są też te postanowienia kontraktu, na mocy których twórca rozporządza prawami do swych wszystkich utworów lub wszystkich utworów określonego rodzaju mających powstać w przyszłości (art. 41 ust. 3 ustawy o prawie autorskim i prawach pokrewnych – dalej: upapp).

Jakie pola

Pole eksploatacji to – upraszczając – sposób korzystania z utworu (np. programu komputerowego). Ustawa o prawie autorskim i prawach pokrewnych (DzU z 2006 r. nr 90, poz. 631 ze zm.) nie zawiera zamkniętego ich katalogu. Kiedyś wprost wyliczała m.in. takie pola, jak utrwalenie, zwielokrotnienie określoną techniką, wprowadzenie do obrotu czy wprowadzenie do pamięci komputera. Obecnie mowa jest w przepisach m.in. o wytwarzaniu egzemplarzy utworu określoną techniką czy wprowadzaniu do obrotu, użyczaniu lub najmie oryginału albo egzemplarzy (art. 50 upapp).

Różne licencje

Rozróżnienie poszczególnych umów dotyczących praw majątkowych do programów komputerowych ma znaczenie nie tylko dla określenia uprawnień przysługujących nam jako korzystającym. W zależności od tego, o jaki kontrakt chodzi, inna będzie wymagana dla jego ważności forma. Do udzielenia licencji niewyłącznej wystarczy forma ustna. Oświadczenia w tej sprawie mogą być złożone w bardzo różnej formie. Oby tylko dało się z zachowania stron odczytać wolę zawarcia umowy. Może do tego dojść nawet bez bezpośredniego zetknięcia się stron takiej umowy. Wystarczy więc np. kupić pudełko z kopią programu czy kliknąć opcję "Akceptuję" pod wyświetlonymi podczas instalacji warunkami korzystania z oprogramowania. Nieco bardziej sformalizowane jest udzielenie licencji wyłącznej oraz przeniesienie praw majątkowych do programu. Oba te kontrakty wymagają formy pisemnej i to pod rygorem nieważności.

Jeśli zamierzasz kupić program, bardzo ważne, byś zadbał o swoje przyszłe uprawnienia. Nabywca autorskich praw majątkowych może bowiem przenieść je na inne osoby, chyba że umowa stanowi inaczej (art. 41 ust. 1 upapp). Jeśli taka klauzula znajdzie się w umowie, będziesz miał problemy z ewentualną późniejszą sprzedażą kupionego oprogramowania. Podobnie kupując program od kogoś, kto nie jest jego twórcą, warto poprosić go o przedstawienie umowy, dzięki której zdobył do niego uprawnienia. Oczywiście podmiot ten mógł wejść w te prawa w inny sposób, choćby dziedzicząc je. Jeżeli jednak w grę wchodzi umowa, koniecznie trzeba poznać jej treść. Jeśli bowiem znajdzie się tam wspomniany przepis, a my jako kupujący nie zwrócimy na niego uwagi, sytuacja może się niepotrzebnie skomplikować. Oczywiście zawsze można się próbować powołać na dochowanie należytej staranności i wywodzić, że mimo jej zachowania nie mogliśmy się o tej nieszczęsnej klauzuli dowiedzieć. Po co jednak takie kłopoty. Czy wolno kopiować?

Pamiętajmy, że z prawnego punktu widzenia, kupując, ściągając z Internetu czy instalując program w naszym komputerze, zawieramy z podmiotem uprawnionym do tego programu umowę. Jest to tzw. licencja (umowa licencyjna).

Co wolno potem z takim programem zrobić? Na pewno używać zgodnie z jego przeznaczeniem. Ale czy program można np. kopiować (czy – używając języka ustawy – zwielokrotniać)?
Co do zasady jedynym podmiotem upoważnionym do kopiowania programu jest ten, komu przysługują prawa do niego. Najczęściej będzie to producent. Od reguły tej są jednak wyjątki. Użytkownikowi wolno skopiować program wówczas, gdy jest to niezbędne do korzystania z niego zgodnie z przeznaczeniem, w tym do poprawiania błędów. Warunek jest jeden: osoba, która to robi albo zleca, musiała legalnie wejść w posiadanie programu (art. 75 ust. 1 upapp).

Dość częstym zmartwieniem użytkowników jest to, czy mogą sporządzić kopię zapasową kupionego programu. Prawo pozwala na to, ale tylko w pewnych okolicznościach. Sporządzenie kopii zapasowej nie wymaga zezwolenia uprawnionego (najczęściej będzie nim producent oprogramowania), ale tylko wówczas, gdy jest to niezbędne do korzystania z programu komputerowego. Jednak nawet wówczas z przepisów wynika, że jeżeli umowa nie stanowi inaczej, kopia ta nie może być używana równocześnie z programem komputerowym.

Możemy chyba spokojnie założyć, że w przeciętnej firmie sporządzenie kopii zapasowej programu na ogół nie będzie niezbędne do korzystania z niego. Warto jednak pamiętać, że postanowienia dopuszczające wykonanie kopii trafiają się w licencjach. Warto więc uważnie przeczytać tekst napisany drobnym druczkiem na pudełku z programem czy w oknie otwierającym się przy instalacji programu. Przy programach, do których nabywamy prawa majątkowe, warto jeszcze przy zawarciu umowy wprowadzić do jej tekstu postanowienie pozwalające program kopiować.

Coś dla majsterkowicza

Twórcom utworów chronionych prawem autorskim przysługuje prawo do nienaruszalności utworu. Programy komputerowe są tu wyjątkiem, chociaż w zasadzie w nich też „grzebać” nie wolno. Inaczej jednak niż w przypadku innych utworów uprawniony do programu może z tego przywileju zrezygnować. Nabywca programu albo licencji do niego może zatem modyfikować treść programu, jeśli uprawniony mu na to pozwoli. Istnieje jednak kilka przypadków, w których zezwolenie takie nie jest potrzebne. Do wyjątków takich należy sytuacja, gdy jest to niezbędne do korzystania z programu. Przykładowo, gdy programiści popełnili jakieś błędy i program nie działa jak należy, albo gdy wymaga przystosowania do systemu stosowanego w konkretnej firmie. I tu jednak oprogramowanie musi być legalne. Zasady ingerencji w treść programów są więc podobne do tych obowiązujących przy sporządzaniu ich kopii zapasowych.

Oprogramowanie wielostanowiskowe

Zasady kopiowania mają znaczenie dla oceny, na ilu stanowiskach może pracować jeden egzemplarz programu. Z reguły jest tak, że jeden egzemplarz to jedno stanowisko. Nawet kopii sporządzonej przez nabywcę na warunkach określonych przed chwilą nie można używać jednocześnie z oryginałem. Ostatecznie jednak o tym, na ilu stanowiskach można wykorzystać nabyty program, decydują zatem postanowienia licencji czy umowy o nabyciu praw majątkowych do programu.

Open source

Jak była już o tym mowa, kupienie programu czy zdobycie do niego licencji wcale nie oznacza, że wolno nam dowolnie zmieniać jego treść. Zwłaszcza że wielu producentów udostępnia program, ale zazdrośnie strzeże jego kodu źródłowego. Nie wszyscy jednak. Od pewnego czasu coraz wyraźniejsza jest tendencja do zapewniania użytkownikom dostępu do kodu. Więcej, twórcy oprogramowania dopuszczają dokonywanie w nim zmian. Nazywa się je z angielska programami open source (otwartego źródła). Chcąc się przekonać, czy taki właśnie jest program, z którego korzystasz w swojej firmie, koniecznie przeczytaj umowę, jaką zawarłeś z tym, kto ci ten program dostarczył.

Tematyka oprogramowania open source jest jeszcze w literaturze prawniczej słabo rozpoznana. Nawet autorzy nielicznych opracowań nie mogą dojść do porozumienia, jaki jest charakter stosunku prawnego użytkownika oprogramowania z jego twórcą. Mowa jest m.in. o zrzeczeniu się praw majątkowych, szczególnego rodzaju spółce cywilnej czy licencji. Jakie kary

Nielegalne korzystanie z oprogramowania komputerowego jest przestępstwem, za popełnienie którego grożą poważne kary. To samo zresztą dotyczy innych naruszeń praw autorskich. Wszystko jednak pod warunkiem, że dochodzi do nich w celu osiągnięcia korzyści majątkowej (art. 115 ust. 3 upapp). To zresztą niejedyny sposób, w jaki można naruszyć prawa autorskie i popełnić przestępstwo. Karalne jest również nieuprawnione rozpowszechnianie programu komputerowego, jego kopiowanie w celu rozpowszechnienia itp.

Ważne, że ściganie wielu przestępstw opisanych w ustawie o prawie autorskim ma charakter wnioskowy. Oznacza to, że nie jest ono ścigane – tak jak przestępstwa "zwykłe" (tzw. publicznoskargowe) - z urzędu. Przy przestępstwach wnioskowych potrzebne jest jeszcze, jak sama nazwa wskazuje, złożenie przez uprawniony podmiot wniosku o ściganie. Zazwyczaj podmiotem tym jest pokrzywdzony, czyli – co do zasady - osoba fizyczna lub prawna, a czasem także instytucja państwowa, samorządowa lub społeczna nieposiadająca osobowości prawnej, której dobro zostało bezpośrednio naruszone lub zagrożone przez przestępstwo. Udział pokrzywdzonego sprowadza się do tego, że wyraża on wolę ścigania przestępstwa przez organy władzy publicznej. Potem piłeczkę przejmują organy ścigania i dalej postępowanie toczy się tak jak w przypadku zwykłych przestępstw publicznoskargowych.

Jak przeciętny, nieznający się specjalnie na technikach komputerowych przedsiębiorca ma ustrzec się przed nielegalnym oprogramowaniem. Oczywiście przede wszystkim kupować je u wiarygodnych dostawców. Tam natomiast, gdzie oprogramowanie już działa, a nie bardzo wiadomo, czy jest legalne, pomóc może audyt. Na rynku działają firmy, które specjalizują się w badaniu zawartości komputerów pod kątem nie tylko legalności, ale i optymalności zainstalowanego oprogramowania. Ich usługa może pomóc ustrzec firmę przed niepotrzebnymi kłopotami z wymiarem sprawiedliwości. Zwłaszcza u przedsiębiorców prowadzących działalność w formie spółki, spółdzielni, fundacji itp. podmiotów niebędących osobami fizycznymi odpowiedzialność karna może być wyjątkowo dotkliwa. Przestępstwa opisane w ustawie o prawie autorskim podlegają bowiem ustawie o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (DzU z 202 r. nr 197, poz. 1661 ze zm.). Oznacza to, że poza ukaraniem sprawcy przestępstwa możliwe jest także
dotknięcie sankcjami firmy, która na jego działalności skorzystała. Kary mogą być bardzo dotkliwe, z wysokimi karami pieniężnymi i zakazem prowadzenia działalności włącznie.

Telewizor w komputerze

Dziś sprzęt komputerowy umożliwiający odbiór programów radiowych i telewizyjnych nie jest już niczym nadzwyczajnym. Im bardziej przepustowe łącza udostępniają nam dostawcy usług internetowych, tym łatwiej korzystać z takich programów w komfortowy sposób. A pamiętajmy, że media to dodatkowe opłaty. Wydawać by się mogło, że komputery nie są tu wyjątkiem i podlegają abonamentowi radiowo-telewizyjnemu. Należy się on bowiem za używanie odbiorników radiofonicznych oraz telewizyjnych (art. 2 ust. 1 ustawy o opłatach abonamentowych). Tym zaś jest urządzenie techniczne dostosowane do odbioru programu (art. 2 ust. 7 uoa). Komputer niewątpliwie jest takim urządzeniem. Na szczęście jednak dla przedsiębiorców właściwe do oceny tego faktu gremia mają na razie odmienne zapatrywania na ten problem. W kwestii podlegania komputerów abonamentowi stanowisko Krajowej Rady Radiofonii i Telewizji i Poczty Polskiej jest negatywne. Ich zdaniem opłata należy się tylko od tych urządzeń, dla których odbieranie programów radiowych i
telewizyjnych jest zadaniem pierwszoplanowym. A przeciętny użytkownik komputera nie kupuje go przecież po to, żeby oglądać telewizję. To samo dotyczy zresztą innych nowoczesnych urządzeń elektronicznych umożliwiających odbiór programów RTV, choćby telefonów komórkowych. Pisaliśmy o tym m.in. w DF z 28 listopada 2006 r. ("Nie ma abonamentu za radio w telefonie lub komputerze").

Dane osobowe trzeba chronić

Komputery często służą do przetwarzania danych osób fizycznych. Takie operacje podlegają dodatkowym wymogom. Ogólnie reguluje je ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Natomiast szczegółowe warunki, w jakich przedsiębiorcom wolno przetwarzać dane osobowe, reguluje rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024).

Co wolno

Przypomnijmy, że co do zasady obowiązuje zakaz przetwarzania danych osobowych. Przepisy wyliczają bowiem dokładnie sytuacje, w których takie przetwarzanie jest dopuszczalne. Z tego można wnioskować, że w pozostałych przypadkach jest zabronione. Przykładowo, przetwarzanie jest możliwe m.in. wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę albo jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną (art. 23 uodo). Jeśli operacje na danych dokonywane są za pomocą komputera, w grę wchodzi wiele norm określających zasady takiego postępowania.

Najpierw polityka

Troska o bezpieczeństwo danych osobowych zaczyna się od przygotowania odpowiedniej dokumentacji. Każdy przedsiębiorca, który te dane przetwarza, musi opracować przynajmniej jeden dokument z tym związany. Jest nim tzw. polityka bezpieczeństwa. Mówiąc w uproszczeniu, jej celem jest opisanie warunków przetwarzania danych. Dodatkowo – tam, gdzie w grę wchodzi wykorzystanie systemów informatycznych – firma musi przygotować również instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Potem trzeba zadbać o realizację tego, co w dokumentach napisano. Przedsiębiorca musi na przykład tak zabezpieczyć budynki i pomieszczenia, w których przetwarza dane osobowe, by nie miały do nich dostępu osoby nieuprawnione do przetwarzania danych. Bez hasła się nie obejdzie

W każdej firmie, gdzie komputery służą do przetwarzania danych osobowych, powinien funkcjonować mechanizm kontroli dostępu do tych danych. Powinien przynajmniej umożliwiać odtworzenie, kto i kiedy miał z danymi kontakt. To nie wszystko. Jeśli z danymi styka się więcej niż jedna osoba, każda z nich musi mieć swój identyfikator i mechanizm uwierzytelniający (np. hasło), bez których obejrzenie danych powinno być niemożliwe. Hasło musi mieć przynajmniej sześć znaków i to do administratora danych należy troska o to, by zmieniać je przynajmniej raz na miesiąc.

Kup firewall i program szyfrujący

Właściwie nieuniknione jest zaopatrzenie się w tzw. firewall, czyli program komputerowy, który broni nieuprawnionym użytkownikom dostępu do komputera lub sieci komputerowej. Wszystko dlatego, że rozporządzenie wymaga zabezpieczenia danych przed "działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego". Administrator musi dbać również o wykonywanie kopii zapasowych przetwarzanych informacji.

Dodatkowe wymogi ostrożności obciążają tych, którzy przy przetwarzaniu danych osobowych poza siedzibą firmy korzystają z komputerów przenośnych. Prawo wymaga bowiem w takiej sytuacji "stosowania środków ochrony kryptograficznej wobec przetwarzania danych osobowych". Firma musi więc zaopatrzyć swoje laptopy w programy szyfrujące.

Co poziom, to trudniej

To tylko niektóre z zabezpieczeń. Oprócz podstawowego poziomu ochrony rozporządzenie zna jeszcze poziom podwyższony i wysoki. I wcale nie dotyczą one jedynie instalacji wojskowych. Wystarczy, że przedsiębiorca podłączy urządzenia, w których przetwarzane są dane osobowe, do Internetu. W takiej sytuacji firma musi zastosować jeszcze bardziej skomplikowane hasła, a także zatroszczyć się o ochronę pomieszczeń, w których przetwarzane są dane.

Paweł Wrześniewski
Rzeczpospolita

Komentarz
Bartłomiej Witucki rzecznik Business Software Alliance
Jednym z elementów systemu zarządzania licencjami na programy komputerowe jest audyt oprogramowania, czyli zbadanie jego legalności, funkcjonalności i wydajności. Audyt nie jest jakimś cudownym antidotum, lecz pierwszym i stałym elementem takiego systemu. Koszt audytu zależy przede wszystkim od liczby sprawdzanych komputerów. Im ich więcej, tym koszt zbadania zawartości jednej stacji roboczej niższy. Przykładowo, przy 20 komputerach audytor raczej nie zażąda więcej niż 150 – 200 zł netto od komputera. Warto dodać, że obecnie audyty są przeprowadzane za pomocą zautomatyzowanych narzędzi, które nie zakłócają pracy firmy.
BSA w żaden sposób nie ma dostępu do danych dotyczących audytów przeprowadzanych w Polsce. To do zarządu danej firmy należy zatem decyzja, jak postąpić w sytuacji, kiedy audyt wykaże posiadanie i korzystanie z nielicencjonowanego oprogramowania. I to na zarządzie będzie spoczywać odpowiedzialność w wypadku ujawnienia takiego oprogramowania przez organy ścigania.