Microsoft Privacy Guidelines dla deweloperów

MS opublikował Microsoft’s Privacy Guidelines for Developing Software Products and Services, w którym zwraca się szczególną uwagę na takie projektowanie apliakacji, aby chroniły w jak najszerszym stopniu prywatność użytkownika

Prawne aspekty umów licencyjnych

Niewielu deweloperów oprogramowania zwraca uwagę na postanowienia umów licencyjnych na komponenty, z których powstaje program. Tymczasem naruszenie umowy licencyjnej może spowodować duże ryzyko, będące zagrożeniem nawet dla działalności firmy. Toczący się spór pomiędzy spółką Gadu-Gadu S.A. oraz Sales Manager, polskiego dystrybutora firmy Eyeball Networks Inc. świetnie ilustruje jak ważne jest poprawne formułowanie umów licencyjnych jak i ich właściwe wykonywanie.

O sprawie pisze Vagla, Dziennik Internautów 1,2,) , istotne informacje znajdują się na stronach samych zainteresowanych : Gadu-Gadu oraz Sales Manager

Po zapoznaniu się z oświadczeniami wydanymi przez zarządy spółek nie podejmę się ocenić kto w tym sporze ma rację, wszystko zależy od ustalenia czy faktycznie doszło do naruszeń postanowień umowy licencyjnej, której treści oczywiście nie znamy, w jakiej formie kierowano zawiadomienia, etc. Słowem - kwestia dowodowa.

Znamienne w tej sprawie jest, w jaki sposób kontrola nad technologią może zostać wykorzystana dla samopomocy czyli de facto egzekucji roszczenia. Eyeball po prostu wyłączyła serwery, uniemożliwiając użytkownikom korzystanie z określonych funcjonalności GG. Pozamiatane jak stiwerdził Vagla, ja chciałbym rozwinąć temat.

Pierwsza rzecz to znaczenie sprawowania kontroli nad infrastrukturą informacyjną w społeczeństwie informacyjnym. Code is the law to zdanie i tytuł książki znanego profesora prawa ze Standford Larry Lessiga. Kto ma kontrolę nad kodem ten ma kontrolę nad prawem. Polecam książkę, która daje wiele do myślenia w tym przedmiocie, w szczególności w sytuacji, gdy model dystrybucji oprogramowania nieuchronnie zdaje się zmierzać w kierunku dostępu do aplikacji on-line. W skrócie - dostawca usługi robi 'pstryk' w razie jakiegokolwiek z nim sporu powodując nieodwracalne straty.

Chciałem zwrócić również uwagę na konsekwencje takiego zachowania, które mogą okazać się dalekosiężne. Chodzi mi o szkodę, w postaci utraconej klienteli (a co za tym idzie mniejszych przychodów z reklam) której odpływ może spowodować bezzasadne (nie przesądzam że tak było) pozbawienie GG istotnych funcji, jak np. rozmowy audio-video. Co więcej z uwagi na fakt wejścia GG na giełdę działanie może (lecz nie musi oczywiście) spowodować istotną zmianę w postrzeganiu spółki przez inwestorów, a dalej zaważyć na jej debiucie. Co prawda, według przepisów prawa cywilengo podmiot odpowiada wyłącznie za normalne następstwa swojego działania przy wyrządzeniu szkody, jednakże z całą pewnością odpowiedzialności za takie następstwa nie można wykluczyć.

Jaki morał płynie z tej opowieści ? Jeden - jak ważna jest prewencja, badanie charakteru uprawnień licencyjnych przed zakupem komponentów, wykorzystaniem programu za 'free' i innymi możliwymi przypadkami, gdy brak jest jednoznacznej odopowiedzi 'co mi wolno'. Niestety prawo nie zna litości, na producentach oprogramowania ciążą obwiązki profesjonalnego działania, do których zalicza się także obowiązek ustalenia jakimi prawami dysponuje się w konkrenym przypadku, co trzeba zrobić, aby udzielona licencja zachowała ważność, czego pod żadnym pozorem robić nie wolno. Po drugie , w erze cyfrowej komunikacji , załatawiania spraw 'na maila' nie można zapomnieć o pewnych formalnościach związanych z zawieraniem umów.

Porówanie licencji OS

Na pewnym blogu umieszczono bardzo dobrą ilustrację uprawnień przysługujących licencjobiorcom poszczególnych licencji Open Source. Jeden obrazek a tak wiele wyjaśnia, godne podziwu.

nowe decyzje ADR w sprawie domen .eu

Kilka nowych spraw o domeny .eu wraz z krótkim komentarzem.

1.) KEOS Software vs EURID (Domena: Keos.eu).

Complainant błędnie wypełnił aplikację rejestracyjną – podobnie jak błędnie wypełnił (tak to rozumiem) dokumenty związane ze znakiem towarowym. Panel stwierdza, że zadaniem ADR nie jest poprawianie pomyłek popełnianych przez Complainant oraz, że ADR nie jest drugą szansą na rejestrację domeny. Usprawiedliwia też EURID w zakresie nie przeprowadzonego dochodzenia odnośnie związku podmiotu usiłującego zarejestrować domenę, a podmiotu uprawnionego do znaku towarowego. Complaint is denied.

The application for the domain name « keos.de » filed on March 24, 2006 has been rejected by the Respondent on May 25, 2006 because of a discrepancy between the name of the applicant company as mentioned in the domain name application and the trademark registration relied upon. The Complainant explains that it erroneously identified the applicant company not only in the domain name application, but also in the trademark registration which it relies upon. As this error is the sole Complainant’s responsibility and since the Decision of Rejection does not conflict with any of the applicable rules and regulations, the Panel denies the Complaint and emphasizes that ADR proceedings are not intended to correct applicant’s mistakes or offer them a second chance to regularize domain name applications. The Panel also points out that even if the validation agent had conducted its own investigations pursuant to Art. 21.3 of the Sunrise Rules, he would not have been able to understand by himself the possible relationship between the three different company names respectively appearing in the domain name application, the trademark registration (the Prior Right) and the German Companies Register. The Complaint is denied.

2.) Open-xchange GmbH vs EURID (domena: openxchange.eu)

Ciekawa sprawa. Complainant posiada znaki towarowe związane z nazwą swojej firmy, między innymi open.xchange, open-xchange itp. Rejestr odmówił rejestracji domeny openxchange.eu na tej podstawie, że znak „-„ (zwykła kreska – klawisz obok klawisza z zerem) nie stanowi znaku specjalnego wg. rozporządzenia 874. Stwierdzono więc, ze na podstawie dostarczonych przez osobę rejestrującą domenę dokumentów można zarejestrować tylko nazwę „open-xchange.eu” i nie ma powodu, żeby ten znak ominąć (czyli nie można zarejestrowac openxchange.eu). Panel stwierdził, że EURID błędnie odczytał dokumenty dostarczone przez Complainanta, ponieważ ten domagał się rejestracji domeny na podstawie znaku open.xchange, który to zawiera znak kropki, a zgodnie z zasadami znak specjalny należy pominąć. Decyzję EURIDu anulowano.

The Applicant as the licensee of the holder of the trade mark “open.xchange” applied for the registration of domain name openxchange.eu. The Registry (EURid) rejected the application with the argument that the “hyphen” between the “open” and “xchange” words in the trademark is not a special character as stated in the Article 11 of the Public Policy Rules and it is not possible to eliminate the hyphen entirely to register the respective domain name. The Registry argued that hyphens are not excluded from domain names for technical reasons and should, pursuant to article 10 (2) of the Public Policy Rules, be part of the complete name for which the prior right exists. The Registry concluded, that the Applicant was entitled to apply for the registration of domain name “open-xchange.eu” on the basis of trade mark “open-xchange”. The decision of the Registry is based on the misleading reading of the documentary evidence provided by the Applicant. The Applicant applied for the registration of domain name “openxchange.eu” on the basis of the registered trade mark “open.xchange” and not “open-xchange”. The documentary evidence (the official certificate of the German Patent and Trade Mark Office) is very clear in this point. The respective trademark “open.xchange” contains special character (punctuation) which should be eliminated entirely from the corresponding domain name, or replaced with hyphens, or, if possible, rewritten, as required by Article 11 of the Public Policy Rules. In this case, the Applicant decided to eliminate the “.” (the dot) entirely which is one of the equal ways how this special character could be transposed into the domain name. Therefore, the decision of the Registry (EURid) not to register the respective domain name was annulled.

3.) Balver Zinn Josef vs Felder GmbH (domena: balver-zinn.eu).

Ciekawa sprawa. Firma Balver Zinn wytwarza puszki (chyba takie na żywność), posiadając znaki towarowe m.in. Balver zinn Jose Jost KG itp. Domenę zarejestrowała firma, która jest ich głównym konkurentem w wytwarzaniu puszek. Panel zdecydował o przeniesieniu domeny na Complainanta podkreślając, że: głównym i wyróżniającym elementem znaku Balver Zinn Jose Jost GmbH jest wyrażenie Balver Zinn, Respondent nie posiada legitymowanego interesu w posiadaniu takiej domeny (sam nie posiada też podobnego znaku), Respondent działa w złej wierze poprzez przekierowanie domeny balver-zinn.eu na swoją stronę internetową (gdzie oferuje podobne produkty), naraża więc potencjalnych klientów na działanie w stanie błedu co do pochodzenia zakupionego towaru itd.

The Complainant requested that the disputed domain name “balver-zinn.eu” be transferred to the Complainant. The domain name was registered by the Respondent on 17 June 2006. The Complainant showed that it had prior rights to the trade marks "Balver Zinn Jose Jost KG" and to the company name "Balver Zinn Josef Jost GmbH & Co KG". The Complainant also demonstrated that the Respondent, being a direct competitor of the Complainant in a very specialized market (tin, pewter ware and solders), used the contested domain to re-direct Internet users to its own web site. The Panel decided to transfer the domain name on the basis of Article 21(1) and Article 22(11) of EC Regulation No. 874/2004. The dominant and distinctive element of the earlier rights is the part "Balver Zinn". The Panel did not follow the point of view of the Respondent that "Balver Zinn" (meaning "tin from Balve") was a geographically descriptive term for the goods at issue. Balve is a small town in North Rhine-Westphalia (Germany). The vast majority of the relevant public (e.g. the consumers of tin, pewter ware and solders) will not know the town of Balve. Furthermore, even if a part of the relevant public knew the town of Balve, it would not associate it with the products at issue. There are no indications that Balve was known or used in relation to tin, solders or pewter ware. The term is therefore not descriptive but distinctive in relation to the products at issue. The respondent does not have any rights or legitimate interests in the domain name. In particular, a "fair use" of the domain in the meaning of Article 21(2)(c) of EC Regulation No. 874/2004 took not place. At least until 27 July 2006, the Respondent tried to re-direct potential customers of the Complainant to its own web site. This has not been contested by the Respondent. Although Article 21(1)(a) and Article 21(1)(b) of EC Regulation are alternative requirements, the Panel also confirms that the domain name has been registered and used in bad faith in the meaning of Article 21(1)(b) of the Regulation. By intentionally re-directing customers of the Complainant to its own web site, the professional activities of the Complainant were disrupted in the meaning of Article 21(3)(c) of EC Regulation No. 874/2004. Furthermore, if customers of the Complainant are re-directed to the web site of a direct competitor (the Respondent), they are likely to believe that the products offered there were the goods of the Complainant. One can assume that it had been the intention of the Respondent to make some commercial profit out of this likelihood of confusion created by re-directing the customers to its own web site. The requirements of Article 21(3)(d) of EC Regulation No. 874/2004 are also fulfilled.

4.) Nintendo of Europe vs EURID (domena: nintendo.eu)

Nintendo złożyło aplikację domenową dostarczając dowody na posiadane znaki towarowe, jednak nie podpisując dokumentów (!). EURID odmówił rejestracji na tej podstawie, że nie podpisane dokumenty nie stanowią dowodów wystarczających na stwierdzenie prior rigths. Panel podtrzymał decyzję EURIDu, stwierdził, że nie można obwiniać EURID za własne błedy (lub swoich przedstawicieli), oraz oczywiście, że to na osobie rejestrującej domenę spoczywa obowiązek udowodnienia swoich praw. Complaint is denied.

The ADR proceeding concerns a Complaint challenging the registry’s decision to refuse registration to NINTENDO.eu because the applicant was not the trademark owner and the Licence agreement filed within the prescribed deadline was not signed by either of the parties. The late filing of a proper License signed by the parties was done together with the Complainant before this ADR Center. All three grounds of the Complainant must be rejected. The first concerns the alleged obligation by the Validation Agent to investigate and therefore amend the Complainant’s mistake. The second relates to new evidence provided in the appeal that, in the Complainant’s view, the Panel must accept. The third concerns the alleged responsibility of the Registrar who made the mistake which could not be detrimental for the Applicant. All three arguments did not find any reasonable legal grounds in the Regulations or Sunrise rules. On the contrary, the Regulations and Sunrise rules clearly state that it is the onus of the Applicant to show that it is eligible for, and has prior right to, the trademark requested as a eu. domain name. Under no circumstances can the Validation Agent amend mistakes made by the Applicant, but it can only investigate, in its own discretion, in order to assess formal uncertainties in the evidence before it. The error made by the Applicant was particularly crucial: the lack of the Trademark owner and its Licensee’ signatures in the License agreement filed with the application. New evidence is not admissible because the Panel must only assess whether the Registry has properly applied the Regulations in the light of the evidence in front of it when the contested decision was decision. Finally, as regards Registrar responsibility, it must be stressed that the Applicant is responsible for its own errors before the Registry, as well as for any mistakes made by its appointed agents or consultants. ADR case law, partly cited in the decision, has constantly and clearly maintained the legal principles and decisions taken by the Panel in this case. The Eurid decision is upheld and the Complaint is thus rejected.

5.) LEVIS vs EURID (domena: levis.eu)

EURID odmówił rejestracji domeny levis.eu na podstawie błędnego wypełnienia aplikacji domenowej. Firma Levi Strauss pomyliła się („minor error”) podając informację o podmiocie, do którego należy marka LEVIS. Panel niejako usprawiedliwił EURID – na podstawie posiadanych informacji mieli prawo odmówić rejestracji domeny, ale zganił „validation agent” (PwC) za błędną ocenę przedstawionych dokumentów. Panel zdecydował o anulowaniu decyzji EURIDu oraz przeniesieniu domeny na Complainant’a.

Complainant challenges the registration of the domain name LEVIS on the ground that the Registry incorrectly refused its prior application for that domain name. The Registry had refused the Complainant’s application because it contained a minor error concerning the name of the legal entity that owns the mark LEVIS. By a majority, the Panel finds that the Registry acted appropriately in light of the information that it had, but that the validation agent erred in not finding that the Complainant had indeed provided sufficient evidence to substantiate its rights in the domain name LEVIS. Therefore the Panel (by a majority) annuls EURid’s decision to grant the domain name LEVIS to the second applicant in the queue and it orders EURid to register the name LEVIS in the name of the Complainant and to activate it immediately.

Przygotował M. Lewoszewski

hacking pl o bezpieczeństwie danych osobowych

Hacking.pl donosi o wynikach badań wskazujących, że w przedsiębiorstwach przetwarzających duże ilości danych osobowych nie dba się o ich bezpieczeństwo (informatyczne).

Oto wyniki:

• 88% firm przechowuje duże ilości informacji na urządzeniach przenośnych.
• Niemal trzy czwarte z pytanych powiedziało, że ważnym elementem zabezpieczeń jest szyfrowanie danych. Mimo to technikę taką wykorzystywało mniej niż 20% z firm, w których pracowali.
  

Warto wiedzieć , że przepisy prawa polskiego wymagają, aby na urządzeniach przenośnych, na których gromadzone są dane osobowe, stosowane były środki kryptograficzne dla ochrony tych danych. Ponadto istnieje również obowiązek szyfrowania danych służących do uwierzytelnienia się w systemie informatycznym, jeżeli dane przesyłane są przez sieć publiczną.

Niedawno podobne badania przeprowdziło E&Y, szerzej w Computerworld