Wirtualna Rzeczywistość (VR) w działalności przedsiębiorstwa – jak wykorzystać ją zgodnie z prawem?

Niniejszy tekst dobrze byłoby zacząć od rozróżnienia między rzeczywistością wirtualną (VR), a rozszerzoną (AR).

Wirtualna rzeczywistość to technologia pozwalająca przenieść się do trójwymiarowego świata, w którym możemy wchodzić w interakcje z otoczeniem za pomocą specjalnych gogli i kontrolerów. Z kolei rzeczywistość rozszerzona, jedynie nakłada cyfrowe informacje na świat rzeczywisty (np. przez ekran smartfona lub okulary AR)[1].

Przykładowo – korzystając z gogli VR znajdziemy się w wirtualnej sali szkoleniowej, podczas gdy AR jedynie wyświetli w naszym realnym otoczeniu dodatkowe elementy (np. model produktu czy adnotacje). VR cechuje się wysokim poziomem interaktywności i immersji, co oznacza, że użytkownik ma poczucie realnego „bycia” w wygenerowanym świecie i możliwość interakcji z jego elementami[2].

Zastosowania VR

Choć pierwotnie VR kojarzyła się przede wszystkim z rozrywką, to dzisiaj szturmem wdarł się w świat biznesu, zaś przedsiębiorcy wykorzystują go na bardzo różne sposoby. Gruzińscy marketingowcy piwa Old Irish popisali się akcją reklamową, w której przechodnie zakładali gogle VR i pomimo fizycznej obecności w Tbilisi, mogli „przenieść się” na chwilę do Irlandii. Po chwili wirtualnego spaceru wśród klifów trafiali do wnętrza irlandzkiego pubu. W tym czasie wokół nich rozkładana była scenografia. Po ściągnięciu gogli, pub, o którym myśleli, że jest wirtualny, okazywał się być prawdziwym[3].               

VR świetnie sprawdza się także w szkoleniu pracowników z postępowania w trudnych sytuacjach. Walmart za pomocą VR oferuje nowozatrudnionym symulację zakupowego szaleństwa w trakcie wyprzedaży czy stawia ich przed wyzwaniem sfrustrowanego wirtualnego klienta[4]. Natomiast Emirates, korzystając z systemu VR o nazwie MIRA, oferuje przyszłym stewardessom i stewardom szansę na przećwiczenie np. scenariusza z pożarem na pokładzie samolotu[5].

Technologię VR do swoich szkoleń zaimplementowali także rodzimi przedsiębiorcy. W jednej z łódzkich fabryk, jej pracownicy mogą za pomocą gogli VR ćwiczyć obsługę maszyn, nie narażając firmy na uszkodzenie sprzętu[6].

Innowacyjne zastosowania pokazują ogromny potencjał biznesowy VR. Jednocześnie jak to z innowacjami bywa – ich wprowadzanie może rodzić pytania o zgodność z obowiązującym prawem.

Umowy licencyjne na oprogramowanie VR w firmie

Implementując technologię VR w swoim biznesie, musisz być świadomy, że oprogramowanie – zarówno systemowe urządzeń VR, jak i poszczególnych aplikacji – jest objęte ochroną prawno-autorską. Oznacza to, że będziesz musiał zadbać o właściwe umowy licencyjne uprawniające do ich komercyjnego wykorzystywania.       

Z reguły standardowa licencja, udzielana choćby przy zakupie dostępu do aplikacji dostosowanej do technologii VR (np. gry), obejmuje jedynie jej niekomercyjne użycie. O ile możemy śmiało korzystać z takiej gry w naszym domu, to nie będziemy mogli pobierać opłat od grających w nią klientów naszego hipotetycznego salonu VR. Jeśli zdecydujesz się na taki właśnie biznes, to, nie chcąc ryzykować pozwem, powinieneś uzyskać dodatkową licencję na użytek komercyjny.

Wykorzystanie istniejących utworów w VR i powstanie nowych utworów w VR

Kiedy wprowadzisz VR do swojej firmy, może zdarzyć się tak, że będziesz zainteresowany wprowadzeniem do wirtualnej rzeczywistości istniejącego utworu – np. projektu wnętrza lub sprzedawanego przez Ciebie produktu.

Jeśli dany utwór stworzył Twój pracownik, to sytuacja raczej będzie prosta. Prawa majątkowe do utworu stworzonego przez pracownika w ramach obowiązków służbowych, co do zasady, nabywa pracodawca. Zatem jeśli to Twoi pracownicy stworzyli w trakcie pracy jakiś utwór, to przysługują Ci do niego autorskie prawa majątkowe. Tym samym nie ma przeszkód, żebyś otrzymany projekt np. budynku wykorzystał i „zrealizował” go w VR.      

Sprawa komplikuje się wtedy, kiedy utwór otrzymałeś w ramach współpracy B2B. W takim wypadku, niezależnie czy w ramach umowy dojdzie do przeniesienia na Ciebie praw autorskich, czy otrzymasz tylko licencję, to co z nim będziesz mógł zrobić, zależy od tego, jak w umowie uregulowałeś pola eksploatacji.

Pola eksploatacji to – w dużym uproszczeniu – sposoby korzystania z utworu. Choć ich określenie jest kluczowe – często zdarza się, że w praktyce przedsiębiorcy bagatelizują je i jedynie ślepo korzystają z formułki, mówiącej o przeniesieniu „wszelkich autorskich praw majątkowych na wszystkich znanych w chwili zawarcia umowy polach eksploatacji”. W przypadku nowoczesnych technologii może okazać się to bardzo zgubne.

Czy jeśli dzień po zawarciu umowy pojawi się nowe oprogramowanie VR, to czy możesz wykorzystać otrzymany utwór w tym programie? Ty zapewne będziesz twierdzić, że tak, bo przecież technologia VR, była znana tamtego dnia, a druga strona, zakwestionuje to twierdząc, że użycie w innym programie do VR to już nowe pole eksploatacji, a ponieważ program powstał dzień później, to nie doszło do przeniesienia na Ciebie praw autorskich w tym zakresie.

Innym problemem może być granica między korzystaniem z danego utworu na ogólnie ujętym polu eksploatacji, a tworzeniem utworu zależnego – na co powinieneś mieć osobną zgodę. Przykładowo druga strona może kwestionować czy dostosowanie fizycznie istniejącego utworu do wykorzystania go w VR, to jeszcze zwielokrotnienie utworu techniką cyfrową – czy już stworzenie utworu zależnego.    

By uniknąć ewentualnych sporów, należy zadbać o możliwie jak najbardziej precyzyjną umowę.

Oczywiście powyższe dylematy to nie jedyny problem prawno-autorski związany z technologią VR. Trudności może nam przysporzyć także odpowiedź na pytanie – kto i na jakich zasadach posiada prawa do dzieł powstających w rzeczywistości wirtualnej?

Jeśli treści takie tworzy jedna osoba, to sprawa jest dość prosta. Zgodnie z opisanym wyżej schematem – kluczowa jest forma współpracy z taką osobą i postanowienia łączącej Was umowy. Kwestia staje się bardziej złożona, gdy w tworzenie treści w VR zaangażowanych jest wiele osób lub gdy użytkownicy zewnętrzni dodają własne dzieła do przestrzeni VR należącej do firmy.

Czy wirtualny świat firmy, wypełniony również utworami tworzonymi przez użytkowników, staje się jednym wspólnym utworem współautorskim? Polskie prawo przewiduje utwory współautorskie (gdy kilku twórców świadomie współdziała) oraz utwory zbiorowe i połączone (gdy odrębne utwory są zestawiane przez redaktora). W kontekście metawersum prawnicy wskazują, że często brak będzie wyraźnego porozumienia twórców co do współautorstwa – różne elementy będą tworzone niezależnie od siebie przez każdego z użytkowników[7].

Wówczas taki wirtualny świat pełni rolę platformy, swoistej przestrzeni wystawowej, w której eksploatowane są rozmaite utwory, podobnie jak np. galeria prezentuje prace różnych artystów[8]. Każdy z tych modeli pozostaje odrębnym utworem należącym do partnera (chyba że umówią się inaczej), a firma jedynie udostępnia „przestrzeń” wirtualną.

Należy wtedy uregulować umownie, że firma ma prawo wyświetlać/udostępniać te utwory w VR, ale niekoniecznie staje się ich właścicielem. Prawa autorskie przysługują twórcom tych treści, a firma powinna w regulaminie uzyskać od nich licencję na ich wykorzystanie w ramach platformy.

Tak też dzieje się w praktyce. Firmy tworzące swoje środowiska VR często zastrzegają w regulaminach, że użytkownik publikujący treści (np. projektując własne obiekty czy awatary) udziela operatorowi platformy niewyłącznej i globalnej licencji na korzystanie z tych treści w określonym zakresie (np. na potrzeby wyświetlania innym użytkownikom, promocji platformy itp.).[9]

Warto również pamiętać, że koncepcje i pomysły jako takie (np. pomysł na wirtualne biuro czy sklep w VR) nie podlegają ochronie – dopiero konkretna realizacja pomysłu stanowi utwór. Dwie firmy mogą niezależnie stworzyć podobne rozwiązania VR (np. dwa różne wirtualne showroomy) i dopóki nie skopiowano konkretnych elementów objętych ochroną (grafiki, kodu) nie dojdzie do naruszenia prawa.

Ochrona danych osobowych w VR – jak stosować RODO w projektach VR

Wirtualna rzeczywistość wiąże się z przetwarzaniem ogromnych ilości danych o użytkownikach. Dlatego każda firma korzystająca z VR musi zadbać o zgodność z przepisami o ochronie danych osobowych, czyli przede wszystkim ze słynnym RODO (Rozporządzenie UE 2016/679).

Choć może wydawać się, że w VR użytkownik działa anonimowo pod postacią avatara i tym samym kwestie ochrony danych osobowych nie będą mieć zastosowania, to jest to jedynie złudzenie, a anonimowość użytkownika jest anonimowością pozorną.

Gogle i kontrolery VR wyposażone są w czujniki, które śledzą ruchy ciała, gesty, położenie w przestrzeni, a nowsze urządzenia mogą śledzić również kierunek spojrzenia (eye-tracking), mimikę twarzy czy tętno użytkownika[10]. W ten sposób dostawcy rozwiązań VR zbierają ogromne ilości informacji o prawdziwych osobach: o ich aktywnościach, zachowaniach, preferencjach, interakcjach z innymi uczestnikami i z wirtualnymi produktami czy treściami.

Te wszystkie dane – o ile odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby – stanowią dane osobowe w rozumieniu RODO. Nawet jeśli użytkownik posługuje się pseudonimem czy fantazyjnym awatarem, ale operator platformy VR potrafi powiązać jego aktywność z konkretnym kontem, adresem e-mail, urządzeniem lub cechami charakterystycznymi, to nie ma wątpliwości, że mamy do czynienia z przetwarzaniem danych osobowych. RODO ma więc zastosowanie do projektów VR i nakłada na administratorów danych konkretne obowiązki.

Niektóre z tych informacji mogą podpadać pod szczególne kategorie danych (zwanych też danymi wrażliwymi) w rozumieniu art. 9 RODO. Chodzi o np. dane biometryczne umożliwiające identyfikację (skan twarzy, odciski palców w kontrolerach itp.) czy dane dotyczące zdrowia (tętno czy reakcje fizjologiczne, jeśli są one rejestrowane). Co do zasady takich danych nie wolno Ci przetwarzać, chyba że zachodzi jeden z wyjątków przewidzianych w RODO (np. wyraźna zgoda osoby, konieczność dla ochrony życia, przetwarzanie w ramach służby zdrowia itp.).

W projektach VR raczej powinno się unikać zbierania nadmiarowych danych wrażliwych, chyba że są one kluczowe dla funkcjonowania usługi (np. aplikacja medyczna VR do rehabilitacji może przetwarzać dane o stanie zdrowia pacjenta za zgodą i pod nadzorem lekarza). Zasada minimalizacji danych (art. 5 ust.1 lit. c RODO) wymaga, by planując usług VR ograniczać przetwarzanie do danych niezbędnych.

Dla firmy kluczowe jest ustalenie, czy w danym projekcie VR działa jako administrator danych (wtedy musi spełnić wszystkie wynikające z tego obowiązki RODO), czy jako podmiot przetwarzający na zlecenie innego administratora (wtedy potrzebna jest umowa powierzenia przetwarzania). Jeśli zatem firma wynajmuje aplikację VR od dostawcy do przeprowadzania szkoleń i dostawca ten hostuje całą platformę oraz decyduje o środkach zabezpieczeń, to dostawca może być administratorem (bo świadczy usługę szkoleniową wielu klientom), a firma jest jedynie dysponentem danych swoich pracowników wprowadzonych do systemu.

Z kolei w przypadku bardziej dedykowanych rozwiązań – np. firma zleca wykonanie na zamówienie symulatora VR do własnego użytku – to firma będzie administratorem danych zbieranych przez ten symulator, a twórca oprogramowania jedynie procesorem (przetwarzającym) i powinna z nim podpisać umowę powierzenia, określającą m.in. cel i zakres przetwarzania, środki bezpieczeństwa itd.

Podstawa prawna przetwarzania danych w VR zależy od celu. Dla projektów wewnętrznych (np. szkolenia pracownicze VR) często podstawą będzie prawnie uzasadniony interes administratora (art. 6 ust.1 lit. f RODO) – np. interes w efektywnym szkoleniu załogi przy użyciu nowoczesnych narzędzi. Jeżeli VR jest skierowana do klientów lub gości (np. event marketingowy z wykorzystaniem VR), podstawą może być zgoda uczestnika na przetwarzanie jego danych (zwłaszcza jeśli np. tworzymy jego wizerunek w postaci avatara) lub niezbędność do wykonania umowy (jeśli VR jest częścią usługi, za którą płaci klient).

Kolejną kwestią jest bezpieczeństwo danych w VR. Jak już wspomniałem – technologia VR opiera się na przetwarzaniu i przesyle dużych zbiorów danych (grafiki 3D, strumienie ruchu, dźwięku). Należy zapewnić odpowiednie środki techniczne i organizacyjne chroniące te dane przed wyciekiem, nieuprawnionym dostępem czy modyfikacją (art. 32 RODO).

Jako Administrator powinieneś przeprowadzić analizę ryzyka i ocenę skutków dla ochrony danych (DPIA) dla projektu VR, zwłaszcza jeśli wiąże się on z wykorzystaniem nowych technologii i przetwarzaniem na dużą skalę. Taka ocena pozwoli zidentyfikować potencjalne zagrożenia (np. ryzyko „podglądania” sesji VR przez osoby niepowołane, przechwycenia strumienia danych z czujników, kradzieży konta) i wdrożyć środki zaradcze.

Jak zauważają prawnicy, spełnienie wymogu adekwatnych zabezpieczeń może być wyzwaniem, ale jest tym bardziej istotne ze względu na ogromny potencjał gromadzenia danych w VR[11]. W razie naruszenia ochrony danych (np. ataku hakerskiego na bazę użytkowników VR) firmę obowiązują procedury zgłoszeniowe z RODO – zgłoszenie  incydentu do UODO w ciągu 72 godzin, a jeśli naruszenie rodzi wysokie ryzyko dla osób – zawiadomienie także samych tych osób.

Wreszcie, warto wspomnieć o zagrożeniach unikalnych dla VR z punktu widzenia prywatności i bezpieczeństwa. Rzeczywistość wirtualna może stać się nowym polem dla znanych już cyberzagrożeń – takich jak phishing (np. podszywanie się pod kogoś w VR i wyłudzanie informacji), malware (złośliwe oprogramowanie w aplikacjach VR) czy kradzież tożsamości wirtualnej (przejęcie kontroli nad cudzym kontem).[12]

Zasady cyberbezpieczeństwa muszą iść w parze z ochroną danych – dział IT firmy wdrażającej VR powinien traktować platformę VR jak każdy inny system informatyczny podlegający zabezpieczeniu (firewalle, szyfrowanie, uwierzytelnianie użytkowników, regularne aktualizacje oprogramowania).

RODO w świecie VR obowiązuje tak samo jak przy „realnym” przetwarzaniu danych. Dbałość o prywatność użytkowników VR to nie tylko kwestia formalnej zgodności z prawem, ale też budowania zaufania do nowych technologii wśród pracowników, klientów i partnerów biznesowych.

Wewnętrzne regulacje i moderacja treści w VR

Wraz z rozwojem wirtualnych światów istotnym staje się uregulowanie zachowania i treści w VR, w sposób zgodny nie tylko z prawem, ale i standardami etycznymi. Chodzi tu zarówno o regulacje wewnętrzne w firmie (np. polityki korzystania z VR przez pracowników), jak i o spełnienie wymogów prawa powszechnie obowiązującego.

W wewnętrznym zastosowaniu VR (np. tylko dla pracowników) firma również powinna ustalić reguły korzystania. Dotyczy to zarówno bezpieczeństwa fizycznego i ergonomii (np. wytyczne BHP: przerwy w używaniu gogli, przestrzeń wolna od przeszkód, higiena urządzeń), jak i zachowania w wirtualnym środowisku.

Kodeks etyki firmy powinien obejmować zachowania pracowników także w VR. Chociażby Twój ustawowy obowiązek przeciwdziałania mobbingowi dotyczy także zachowań w VR. Molestowanie seksualne cudzego avatara, jeszcze kilka lat temu mogło wydawać się abstrakcją, a dziś coraz częściej staje się realnym problemem[13].

Dobrym pomysłem może być przeszkolenie kadry z netykiety VR – czyli kultury komunikacji w tym specyficznym środowisku. Pewnym wyzwaniem może być egzekwowanie dyscypliny: np. pracownik, który w wirtualnej przestrzeni firmy wyświetli obraźliwe symbole czy będzie notorycznie przeszkadzał innym, powinien podlegać konsekwencjom jak przy naruszeniach w świecie realnym (upomnienie, wykluczenie ze szkolenia, a w skrajnych przypadkach konsekwencje służbowe).

Jeśli zatem wprowadzasz VR w swojej organizacji, to nie zapomnij o ustanowieniu jasnych regulacjach wewnętrznych i odpowiednim przeszkoleniu pracowników.

W Polsce powstają pierwsze poradniki i wytyczne – np. Ministerstwo Edukacji wydało poradnik „Bezpiecznie w wirtualnej rzeczywistości” dla szkół[14] – co pokazuje rosnącą świadomość tematu. Trzymając rękę na pulsie i stosując zasadę „online = real life” (czyli traktując zachowania i zdarzenia w VR z równą powagą co w rzeczywistości), firma może z powodzeniem korzystać z potencjału VR, minimalizując ryzyka prawne.

Podsumowanie

Dbając o prywatność użytkowników, szanując prawa własności intelektualnej i zapewniając bezpieczne, przyjazne środowisko VR, możesz zyskać zaufanie klientów i pracowników. Przykłady – od fabryk wykorzystujących VR do bezpiecznego szkolenia pracowników, po agencje marketingowe kreujące immersyjne kampanie – pokazują, że rozwój VR w biznesie jest możliwy w zgodzie z prawem.

Warto na bieżąco śledzić zmiany legislacyjne oraz korzystać z wiedzy ekspertów (prawników nowych technologii, inspektorów ochrony danych, specjalistów ds. compliance), by pionierskie projekty VR od samego początku budować na solidnych, legalnych fundamentach. Dzięki temu wirtualna rzeczywistość stanie się dla Twojego przedsiębiorstwa bezpiecznym i pewnym narzędziem dalszego rozwoju, a nie źródłem niepotrzebnego ryzyka.

Rafał Pietrzkiewicz

aplikant radcowski, absolwent podyplomowych studiów „Bezpieczeństwo informacji i danych osobowych w administracji i biznesie” oraz Szkoły Prawa Francuskiego na Uniwersytecie Jagiellońskim. Eksternistycznie przygotowuje rozprawę doktorską poświęconą wolności słowa w mediach społecznościowych. Specjalizuje się w prawie własności intelektualnej, prawie nowych technologii, prawie cywilnym oraz ochronie dóbr osobistych. W pracy zawodowej zajmuje się obsługą prawną spraw bieżących wynikających z prowadzenia działalności gospodarczej podmiotów związanych z szeroko pojętą branżą nowych technologii.

Kancelaria Prawna Jacek Bajorek została założona przez radcę prawnego Jacka Bajorka w 1997 roku, od którego to czasu świadczy nieprzerwanie usługi prawne. Główny ośrodek działalności skoncentrowany jest w Krakowie, gdzie Kancelaria posiada swoje biuro, jednakże usługi świadczone są również w Warszawie oraz w innych miejscach na terenie kraju, jak i poza jego granicami. Kancelaria świadczy specjalistyczne doradztwo w sektorach: budowlanym, IT i nowych technologii, szkolnictwa wyższego i lotniczym.

---

[1] Fred, Tommy & Joy, Olaoba. (2025). Augmented and Virtual Reality: Defining Legal Boundaries and Responsibilities.

[2] https://www.e-mentor.edu.pl/artykul/index/numer/79/id/1410

[3] https://www.youtube.com/watch?v=9EopzxLaR8E&t=7s

[4] https://www.shrm.org/topics-tools/news/technology/walmart-revolutionizes-training-virtual-reality

[5] https://www.emirates.com/media-centre/emirates-cabin-crew-to-step-into-the-virtual-world-for-safety-training/

[6] https://infowire.pl/generic/release/702565/wirtualna-rzeczywistosc-wyszkoli-pracownika-zwiekszy-bezpieczenstwo-i-szybkosc-transferu-wiedzy

[7] M. Kubiak, F. Dąbrowa, Metawersum a prawo autorskie – wybrane zagadnienia prawne, Prawo Nowych Technologii 2022, nr 4, s. 22-27

[8] ibidem

[9] https://hello.vrchat.com/legal?utm_source=chatgpt.com

[10] Giaretta, A. Security and privacy in virtual reality: a literature survey. Virtual Reality 29, 10 (2025)

[11] E. Kurowska-Tober, P. Czulak, Metaverse a ochrona danych osobowych – problemy prawne, ryzyka i możliwe podejścia, Prawo Nowych Technologii 2022, nr 4, s. 32-38

[12] M. Kubiak, F. Dąbrowa, Metawersum a prawo autorskie – wybrane zagadnienia prawne, Prawo Nowych Technologii 2022, nr 4, s. 22-27

[13] Porta CM, Frerich EA, Hoffman S, Bauer S, Jain VM, Bradley C. Sexual Violence in Virtual Reality: A Scoping Review. J Forensic Nurs. 2024 Jan-Mar 01;20(1):66-77

[14] https://www.gov.pl/web/cyfryzacja/bezpiecznie-w-wirtualnej-rzeczywistosci--premiera-nowego-poradnika-dla-nauczycieli