Warszawa: +48 22 438 45 45|Kraków: +48 12 422 36 73
  • polski

Tag: Nowe Technologie i Ochrona Informacji

Ład dokumentacyjny – przechowywanie i niszczenie dokumentacji

Posted on by Admin CHWP

Każde przedsiębiorstwo ma na co dzień do czynienia z dużą ilością dokumentacji. Jest ona nieodłączną częścią prowadzenia jakiejkolwiek działalności. Korespondencja, dokumenty, sprawozdania, raporty, faktury, umowy, protokoły, regulaminy, rejestry, akta, uchwały zarządu, nośniki elektroniczne i wiele innych – to wszystko musi być przechowywane w sposób kompletny i uporządkowany według jasno określonych kryteriów, aby zapewnić stałą kontrolę nad przepływem dokumentów wewnątrz przedsiębiorstwa. Dodatkowo, wspomniana dokumentacja powinna być przechowywana w taki sposób, by każdy uprawniony, w razie potrzeby mógł,  bez większego problemu się z nią zapoznać . Konieczne jest więc stworzenie w przedsiębiorstwie tzw. ładu dokumentacyjnego.

Ład dokumentacyjny jest w dużej części regulowany odpowiednimi przepisami, jednakże w części zależy także od aktualnych potrzeb zarządzania przedsiębiorstwem. Do przepisów regulujących tę tematykę zaliczyć należy m. in. ordynację podatkową, ustawę o rachunkowości, prawo budowlane, ustawę o narodowym zasobie archiwalnym i archiwach oraz wiele innych przepisów odnoszących się do koncesji, zezwoleń, ubezpieczeń społecznych czy kwestii pracowniczych. Niemal każda nowa ustawa czy rozporządzenie wprowadza kolejne wymogi związane z tworzeniem, zabezpieczeniem i przechowywaniem dokumentów.  Każde przedsiębiorstwo może dodatkowo kształtować ład dokumentacyjny w sposób, jaki najlepiej pasuje do jego potrzeb. Może to czynić za pomocą wewnętrznych regulacji takich jak  np. instrukcje czy regulaminy.

Ponadto różne rodzaje dokumentacji podlegają zróżnicowanym okresom przechowywania. Dla przykładu, ustawa o narodowym zasobie archiwalnym i archiwach przewiduje wieczyste przechowywanie materiałów stanowiących narodowy zasób archiwalny. W odniesieniu do dokumentacji niearchiwalnej okresy przechowywania określone są w ustawach szczegółowych i zależą od rodzaju i przeznaczenia danego dokumentu.

Ze względu na rozległość problematyki wskażę jedynie klika przykładów ukazujących różnorodność podejścia w zakresie  przechowywania dokumentacji.

W odniesieniu do dokumentów korporacyjnych – spółka oraz jej nabywca (następca prawny) są obowiązani przechowywać księgi i dokumenty Spółki w sposób nieprzerwany w całym okresie istnienia Spółki oraz po jej rozwiązaniu.

Dokumenty korporacyjne obejmują w szczególności:

  • umowę spółki i jej zmiany;
  • protokoły ze zgromadzeń wspólników i uchwał wspólników;
  • protokoły z posiedzeń zarządu i uchwał zarządu;
  • protokoły z posiedzeń rady nadzorczej i uchwał rady nadzorczej;
  • księgi protokołów i zgromadzeń;
  • akta struktury organizacyjnej;
  • inne dokumenty związane ze sprawami korporacyjnymi.

Odnośnie dokumentów  związanych z ubezpieczeniem społecznym płatnik składek ubezpieczeniowych jest zobowiązany przechowywać kopie wszelkich deklaracji rozliczeniowych i imiennych raportów miesięcznych oraz dokumentów korygujących te dokumenty przez okres 5 lat od dnia ich przekazania do wskazanej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych. Płatnik składek jest zobowiązany przechowywać listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, przez okres 50 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika.

Spośród dokumentów księgowych należy przechowywać stale zatwierdzone roczne sprawozdania finansowe. W odniesieniu natomiast do poszczególnych zbiorów wprowadzono zróżnicowane okresy przechowywania w większości przypadków co najmniej 5 letnie np. dla ksiąg rachunkowych czy dowodów księgowych dotyczących rozpoczętych wieloletnich inwestycji, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym – obowiązuje okres 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Najkrótsze okresy przechowywania spośród  dokumentów księgowych przewidziano dla rękojmi i reklamacji – 1 rok po terminie upływu rękojmi lub rozliczeniu reklamacji. Okresy przechowywania określone powyżej biegną od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą. Wymogi powyższe dotyczą zarówno dokumentacji prowadzonej w formie papierowej jak i elektronicznej.

Jeśli chodzi o dokumenty podatkowe spółka jako płatnik, jest obowiązana przechowywać dokumenty podatkowe do czasu upływu okresu przedawnienia zobowiązań podatkowych. Odnosi się to zarówno  do ksiąg podatkowych i dokumentów związanych z ich prowadzeniem jak i kopii wystawionych rachunków, faktur VAT, faktur korygujących i oryginałów otrzymanych rachunków, faktur VAT, faktur korygujących jak również ich duplikatów. Także ewidencja prowadzona dla celów rozliczania podatku VAT oraz wszystkie inne dokumenty związane z tym rozliczaniem powinny być przechowywane do czasu upływu terminu przedawnienia zobowiązania podatkowego. Termin przedawnienia dla ogólnych zobowiązań podatkowych wynosi 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Ponieważ jednak przepisy Ordynacji podatkowej przewidują możliwość zawieszenia biegu terminów przedawnienia lub przerwania tego biegu (nawet wielokrotnie), najbezpieczniej jest przechowywać w/w dokumenty przez okres 10 lat, licząc od końca roku podatkowego, którego dotyczą. Po 10-letnim okresie przechowywania, przed zniszczeniem dokumentacji, należy wcześniej zbadać, czy rzeczywiście nastąpiło przedawnienie zobowiązania podatkowego z roku podatkowego, którego dotyczą dane dokumenty oraz księgi. Dokumenty oraz księgi prowadzone według przepisów ustawy o rachunkowości oraz jednocześnie według przepisów podatkowych powinny być przechowywane przez dłuższy okres, tak aby nie naruszać przepisów Ordynacji podatkowej (tj. przez okres 10 lat). Dokumentacja celna powinna być przechowywana prze okres 5 lat, licząc od końca roku zakończenia odpowiedniej procedury celnej.

Jeszcze raz podkreślenia wymaga przykładowy charakter przywołanych okresów przechowywania. Przedsiębiorca może mieć pewność prawidłowości działań dopiero po uwzględnieniu wszystkich rodzajów dokumentacji.

Często w praktyce pojawia się jednak problem stosowania odpowiednich przepisów, gdy z jednej strony przepisy prawa nakazują usunięcie danych, a z drugiej konieczne jest ich przechowywanie. Przykładem może być zakończenie świadczenia usługi w internecie przez portal. Usługobiorca/użytkownik może zwrócić się wówczas do usługodawcy z żądaniem usunięcia swoich danych osobowych. W takim przypadku dane te zgodnie z obowiązującymi przepisami o ochronie danych osobowych powinny zostać przez usługodawcę usunięte lub zanonimizowane. Jednym z pytań, które może się wówczas pojawić jest: czy obowiązek usunięcia danych obejmuje także sporządzone backup-y oraz archiwalne kopie zapasowe (np. spakowane zrzuty baz danych, służące do archiwizacji, jak też kopie baz danych wykonane na wypadek wystąpienia awarii) lub loga systemowe, w których mogą być zapisywane takie dane osobowe (np. historia zmian wykonana przez administratorów lub użytkowników).

Zgodnie z ustawą o ochronie danych osobowych (u.o.d.o.) przez usunięcie danych  rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Przepisy dotyczące ochrony danych osobowych nie różnicują danych osobowych z uwagi na to czy ich przetwarzanie, w tym przechowywanie następuje za pomocą narzędzi informatycznych, umożliwiających bezpośrednie i natychmiastowe przetwarzanie i dostęp do danych, czy w ramach sporządzanych backup-ów, kopii zapasowych czy log systemowych. U.o.d.o. ma zastosowanie do przetwarzania danych osobowych zarówno w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, jak też w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Przetwarzanie danych obejmuje zgodnie z brzmieniem u.o.d.o. jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, przez które należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zatem wykonywanie i tworzenie backup-ów, kopii zapasowych czy log systemowych stanowić będzie przetwarzanie danych osobowych w systemie informatycznym. Użytkownicy zawierając faktycznie umowy, obejmujące świadczenie usług za pośrednictwem portalu  akceptują również postanowienia regulaminu portalu. W konsekwencji przetwarzane są zarówno dane osobowe niezbędne do realizacji i wykonania umów,  jak i inne dane, odnośnie których Użytkownicy wyrażają zgodę na ich przetwarzanie. Dane osobowe związane z zawartymi umowami mogą być i są w dużej mierze niezbędne usługodawcy także po zakończeniu procesu świadczenia usług na podstawie zawieranych umów. Mogą być w szczególności  konieczne w zakresie dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, jak też dokumentacji przychodów i kosztów ich uzyskania.

Zachowanie określonych, podstawowych, danych osobowych może być również usługodawcy potrzebne dla usunięcia danych, zgodnie z żądaniem użytkownika, a nadto dla wykazania, że usługi były świadczone zgodnie z prawem i przetwarzanie danych osobowych, w ramach realizacji usług, również spełniało ustawowe wymogi. Przechowywanie tych danych mogłoby mieć w takim przypadku również miejsce w ramach sporządzonych backup-ów, kopii zapasowych czy log systemowych.  Przedsiębiorca będący administratorem danych – przetwarzający dane, ma obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a przede wszystkim jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Użytkownikom z kolei zgodnie z u.o.d.o. przysługuje w szczególności prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Przedsiębiorca musi więc całościowo brać pod uwagę rozwiązania prawne a nie realizować określone odseparowane obowiązki, bez uwzględniania pozostałych. W przytoczonym przypadku jest uprawniony do przechowywania, również w ramach sporządzonych backup-ów, kopii zapasowych czy log systemowych, także po zakończeniu świadczenia usług i otrzymania żądania usunięcia danych od użytkownika, tych danych, które są mu nadal niezbędne, w szczególności w zakresie dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej,  jak też dokumentacji przychodów i kosztów ich uzyskania, dla usunięcia samych danych, zgodnie z żądaniem użytkownika, a nadto dla wykazania, że usługi były świadczone zgodnie z prawem i przetwarzanie danych osobowych, w ramach realizacji usług, również spełniało ustawowe wymogi. Dane, o których mowa, mogą obejmować w szczególności imiona, nazwiska i adresy, a także inne dane objęte treścią wystawionych faktur, informacje o wysokości należnych opłat, za świadczenie usług oraz terminach, kiedy zostały lub miały zostać uiszczone oraz sposobie w jaki to nastąpiło, okresie, na który została zawarta umowa, sposobie, w jaki doszło do jej wygaśnięcia i zakresie świadczonych usług oraz tego w jaki sposób były udostępniane, jaki był ich zakres oraz na jakiej podstawie były one udostępniane i przetwarzane, w szczególności kto i w jaki sposób wyraził zgodę na przetwarzanie danych osobowych. Inne dane powinny zostać w przypadku żądania użytkownika niezwłocznie usunięte.

Zróżnicowanie regulacji prawnych w zakresie postepowania z dokumentami i zawartymi w nich danymi oraz potrzebę zapewnienia zgodności wewnętrznych procedur z tymi regulacjami powoduje konieczność przyjęcia przez przedsiębiorcę własnych dodatkowych przepisów regulujących tę problematykę.  Przygotowane rozwiązania  powinny uwzględniać wyniki oceny zgodności stosowanych rozwiązań, w tym informatycznych z obowiązującymi przepisami, analizę i ocenę ryzyka prawnego, w tym związanego z przyjętymi i stosowanymi rozwiązaniami informatycznymi oraz wynikającymi z tego zagrożeniami. Jeśli chodzi o adresatów – w pierwszym rzędzie powinny zawierać instrukcję dla pracowników określającą obowiązek i sposób rejestracji przychodzących i wychodzących dokumentów, sposób segregowania i oznaczania dokumentacji. Opracowane zasady powinny w jednym systemie umożliwiać współfunkcjonowanie rozwiązań prawnych, organizacyjnych i systemowych, wpływając na zminimalizowanie ryzyka prawnego, w tym uniknięcia w przyszłości niekorzystnych następstw nieznajomości obowiązujących procedur związanych z ewentualnym zaginięciem dokumentów oraz sankcjami za ich zniszczenie przed terminem.

Posted in Bez kategorii

Mała rewolucja w świecie znaków towarowych

Posted on by Admin CHWP

W kwietniu bieżącego roku ogłoszono zmianę w podejściu do rozróżniania (podobieństwa i identyczności) znaków towarowych w różnych odmianach kolorystycznych. Nowe podejście w większości przypadków odwraca „do góry nogami” dotychczasowe postrzeganie odmian/rodzin znaków towarowych, częstokroć obejmujących wiele układów kolorystycznych.

Do tej pory w praktyce przyjęło się rejestrować znak towarowy obejmujący kolory czarny, biały oraz odcienie szarości, nawet w przypadku gdy przedsiębiorca posługiwał się znakami towarowymi w innych wariantach kolorystycznych. Taka praktyka wykształciła się głównie z powodu chęci obniżenia kosztów ochrony. Zgodnie z nową polityką czarno-białe znaki towarowe nie będą już uważane za identyczne ze znakami towarowymi w innym wariancie kolorystycznym. Oznacza to, że w celu uzyskania pełniejszej ochrony dla swoich znaków towarowych, które z różnych względów obejmować mogą różne wersje kolorystyczne (np. dla różnych linii produktów) przedsiębiorcy będą musieli zdecydować się na rejestrację wszystkich wersji rzeczywiście używanych znaków towarowych. Co więcej, przedsiębiorcy posiadający już zarejestrowane znaki towarowe powinni ponownie zastanowić się czy własność intelektualna w ich przedsiębiorstwie jest odpowiednio chroniona.

Co więcej, problematyczna staje się kwestia dotychczasowych znaków towarowych. Nie jest jasne, które z przytoczonych podejść będzie miało w tym przypadku zastosowanie, co może mieć daleko idące konsekwencje. W skrajnym przepadku będzie mogło dochodzić do sytuacji, w których czarno-białe znaki towarowe będą mogły być anulowane ze względu na brak używania, gdy przedsiębiorca faktycznie korzystał jedynie z kolorowych wariantów takiego znaku towarowego.

Nie wszystkie kraje musiały implementować te zmiany, a te które to uczyniły mogły podjąć decyzję co do sposobu takiej implementacji. Polska uczyniła to 15 lipca 2014 r. w zakresie ich zastosowania do zgłoszeń do rejestracji znaków towarowych po 15 lipca 2014 r. oraz postępowań dotyczących znaków towarowych rozpoczętych po tej dacie. Zostało zatem przyjęte rozwiązanie zapewniające zarówno dostosowanie się do nowych rozwiązań, jak i nie zaburzanie procedur rozpoczętych wcześniej.

Mecenas Tomasz Bil prelegentem podczas warsztatów Computerworld

Posted on by Admin CHWP

24 i 25 kwietnia w Warszawie odbywały się warsztaty Computerworld dot. zarządzania bezpieczeństwem informacji w firmie, dedykowane kierownikom i specjalistom z działów IT. Jednym z prelegentów był Tomasz Bil, radca prawny z krakowskiego biura Kancelarii Prawnej Chałas i Wspólnicy. W swojej prelekcji mecenas poruszał kwestie ochrony prawa do prywatności i innych tajemnic chronionych prawnie.

Dane osobowe przetwarzane przez Kościoły

Posted on by Admin CHWP

Nadal żywo komentowane są wyroki NSA oraz potencjalne działania kontrolne GIODO dotyczące wypełniania wymogów prawa do prywatności i tzw. autonomii informacyjnej (prawa decydowania i kontrolowania, kto i jakie dane zbiera i co z nimi robi) w Kościołach. Obecnie w toku jest np.  ponad 80 skarg do GIODO apostatów, którzy zarzucają, że Kościół mimo uznania wystąpienia nadal przetwarza ich dane. GIODO jak dotąd odmawiał interwencji, powołując się na ustawę o ochronie danych osobowych, która nie dawała mu de facto prawa kontrolowania prawidłowości zbierania i przechowywania danych osobowych przez policję i służby specjalne oraz Kościoły i związki wyznaniowe.  Naczelny Sąd Administracyjny potwierdził  z jednej strony, że GIODO nie ma prawa kontrolować przetwarzania przez Kościoły danych wiernych, ale z drugiej strony ma obowiązek kontrolować dane osób nienależących do Kościoła, co wykracza poza autonomię Kościołów. Ani Konkordat – regulujący stosunki państwa z Kościołem katolickim, ani ustawa o gwarancjach sumienia i wyznania nie wyłączają spod kontroli państwa relacji Kościołów z takimi osobami.

Przykładowo w odniesieniu do danych osobowych przetwarzanych przez Kościół katolicki całościowe ujęcie regulacyjne obejmuje nie tylko kanony prawa kanonicznego i postanowienia Konkordatu między Stolicą Apostolską a Rzeczpospolitą Polską ale również inne istniejące dokumenty  Kościoła katolickiego  w tym m.in.  zalecenia Papieskiej Rady Tekstów Prawnych z 2006 r.  Instrukcja Konferencji Episkopatu Polski z 2008 r. czy Instrukcja „Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce” przygotowana przez sekretariat Konferencji Episkopatu Polski i Generalnego Inspektora Ochrony Danych Osobowych. Ważną rolę pełnią dokumenty obejmujące funkcjonujące rozwiązania m.in. pozwalające uwzględniać reguły dotyczące wiernych ustalane przez biskupów w poszczególnych diecezjach, określające wewnętrzne zasady postępowania z danymi w tym sensytywnymi  oraz warunki ich ochrony i przechowywania, wykonywania kopii bezpieczeństwa danych na wypadek utraty oryginału, zabezpieczeniach przed włamaniami z sieci czy wirusami itd.

Na część z tych kwestii wskazują kanony prawa kanonicznego, które co prawda dotyczą diecezji i kurii ale mogą być odpowiednio stosowane w parafiach. Przykładowo zgodnie z 486 kanonem § 2 „W każdej kurii, w bezpiecznym miejscu, należy urządzić archiwum diecezjalne lub depozyt dokumentów, w którym winny być przechowywane dokumenty i pisma dotyczące spraw diecezjalnych – odpowiednio uporządkowane i pilnie strzeżone pod zamknięciem”.  Prawo kanoniczne wskazuje również na  konieczność sporządzenia „katalogu dokumentów znajdujących się w archiwum, z dołączeniem krótkiego opisu każdej z pozycji”. O dostępie mówi także m.in.  kanon 487 §1i2 nakazując „ zamknięcie archiwum na klucz, który posiadać może tylko biskup i kanclerz, bez obecności których nie wolno odwiedzać archiwum, a osoby bezpośrednio zainteresowane danym dokumentem mogą osobiście lub przez pełnomocnika otrzymać odpis lub kopię tego dokumentu”.

Dla zoptymalizowania ochrony danych osobowych do wykorzystania są nadal liczne rozwiązania powstałe na bazie wymagań ustawowych oraz orzecznictwa.

Nowe regulacje unijne wymuszające większą dbałość przedsiębiorców o dane osobowe

Posted on by Admin CHWP

Obecnie każdy kraj UE ma swoje przepisy w zakresie ochrony danych osobowych, ale wkrótce może się to zmienić. Obowiązująca dyrektywa Parlamentu Europejskiego i Rady (dyrektywa 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych)  w pewnym zakresie wymusza podobieństwo ochrony w krajach UE. Mimo to istnieją duże różnice w regulacjach prawnych poszczególnych państw.

Jednak, dzięki planowanemu rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, nastąpiłoby ujednolicenie prawa w zakresie ochrony danych w ramach UE i swobodnego przepływu tych danych.

Już teraz zwraca się uwagę, że standardy ochrony danych osobowych w UE są najwyższe na świecie, a rozporządzenie ma to jeszcze wzmocnić. Identyczne zasady we wszystkich krajach członkowskich pozwoliłyby na wyeliminowanie niepewności co do zasad ochrony danych osobowych w innych krajach UE. Uniknięto by również ryzyka i wątpliwości związanych z transferem danych osobowych do tych krajów.

Praktyka działalności gospodarczej pokazuje, iż coraz więcej firm, także z branży ciepłowniczej, może przechowywać albo powierzać przetwarzanie danych osobowych podmiotom znajdującym się w innych krajach, w tym w krajach UE. Ujednolicenie standardów ochrony danych osobowych w ramach UE zacieśni współpracę pomiędzy firmami z tych krajów,  w tym w kluczowych obszarach nowych technologii, tworzenia innowacji oraz rozwiązań przewidujących optymalizację kosztów i bezpieczeństwo przechowywania danych.

Zasadniczym celem planowanej regulacji jest zwiększenie ochrony danych, uproszczenie środowiska regulacyjnego, obniżenie kosztów i zmniejszenie obciążeń administracyjnych. Dodatkowo chodzi o poprawę skuteczności ochrony danych, która jest obecnie utrudniona przez zróżnicowane ustawodawstwo państw członkowskich UE.

Istotne są zasady przepływu danych nie tylko pomiędzy poszczególnymi krajami UE, ale także pomiędzy tymi krajami a krajami trzecimi. Pilnego uregulowania wymagają takie zagadnienia jak prawo dostępu do danych, prawo usunięcia danych (tzw. „prawo do bycia zapomnianym”) czy wprowadzenie zrozumiałych i standardowych zasad wyrażania zgody oraz zgłaszania naruszenia ochrony danych. Współpraca i wzajemna pomoc organów ds. ochrony danych osobowych UE, doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców w tym w branży ciepłowniczej. Obecnie ma to miejsce na niewielką skalę i w praktyce wiele firm zapomina o potrzebie kompleksowego uregulowania tych zagadnień w zgodzie z obowiązującymi przepisami.

Przedsiębiorstwa często korzystają ze standardowych rozwiązań, które nie są dostosowane ani do specyfiki branży ani konkretnych uwarunkowań danego zakładu. Przewidziane obecnie sankcje karne mogą natomiast dotknąć w szczególności osoby zajmujące kluczowe i najwyższe stanowiska w tych przedsiębiorstwach, które często nie mają żadnego kontaktu z przetwarzaniem danych w ich firmach, nie istnieją też zwykle samodzielne stanowiska odpowiedzialne za ochronę i przetwarzanie danych. Nowe wspólne przepisy UE oznaczają też eliminację luk i braków, które obecnie pozwalają czasem firmom uchylić się od odpowiedzialności.

Nowe przepisy unijne uproszczą porządek prawny na terenie UE, w tym sensie, że zastąpią regulacje krajowe wspólnotowymi, ale w poszczególnych przedsiębiorstwach doprowadzą do konieczności tworzenia dokumentacji i rozwiązań znacznie bardziej szczegółowych i bezpieczniejszych niż obecnie. Jednolite standardy kontroli doprowadzą natomiast do tego, że zasady te będą bezwzględnie egzekwowane.

Zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych będzie w praktyce wymagało prowadzenia nie tylko dokumentacji wprost wymaganej przez przepisy. Niezbędne może okazać się również tworzenie rozwiązań dostosowanych indywidualnie do struktury organizacyjnej i funkcjonalnej danego podmiotu gospodarczego.

Projekt rozporządzenia jest pełny zwrotów nieostrych, niejasnych i w dużym stopniu ocennych. Będą one wyjaśniane dopiero przez praktykę orzeczniczą poszczególnych krajów UE. Zwłaszcza zatem w pierwszym okresie obowiązywania nowych przepisów, będzie istniało duże ryzyko prawne dla przedsiębiorców przetwarzających dane osobowe, co dotyczy faktycznie każdego przedsiębiorcy.

W projekcie rozporządzenia jest także mowa o konieczności tworzenia procedur i mechanizmów ułatwiających podmiotowi danych wykonywanie przysługujących mu praw, między innymi umożliwienie składania wniosków drogą elektroniczną i żądania uzyskania odpowiedzi na wniosek w określonym terminie, jak również do uzasadnienia odmowy udzielenia odpowiedzi. Zakres zbieranych danych osobowych powinien uwzględniać minimalną ilość informacji niezbędną do realizacji celu ich przetwarzanie – tego wymogu często nie respektują często polskie przedsiębiorstwa. Przewiduje się, iż sama zgoda osoby nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych, a administratorem, co ma miejsce np. w odniesieniu do pracowników. Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów mają być zachęcane do sporządzenia kodeksów postępowania. Ma to ułatwiać skuteczne stosowanie rozporządzenia i uwzględniać szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Taki kodeks bez wątpienia mógłby ustanawiać ogólne standardy ochrony w sektorze ciepłowniczym. Musiałby być jednak zawsze uzupełniany o regulacje szczegółowe poszczególnych przedsiębiorstw.

Chociaż nie wiadomo dzisiaj, jaki będzie ostateczny kształt rozporządzenia oraz kiedy wejdzie ono w życie, to wydaje się niemal pewne, że prędzej czy później takie rozwiązanie zostanie przyjęte na terenie całej UE. Wymusi to na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych. W obszarach nieobjętych rozporządzeniem UE nadal będą obowiązywać przepisy krajowe, a panująca w tym zakresie dwoistość porządku prawnego – krajowego i UE, może powodować liczne problemy prawne i różnice interpretacyjne. Dodatkowo, zwiększonemu przepływowi danych ma towarzyszyć większe bezpieczeństwo, a to zawsze oznacza konieczność uszczegółowienia istniejących już procedur i wprowadzenia dodatkowych.

PODSUMOWANIE

  1. Celami planowanej regulacji są:
    • Zwiększenie ochrony danych osobowych
    • Uproszczenie regulacji
    • Obniżenie kosztów ponoszonych przez przedsiębiorców
    • Zmniejszenie obciążeń administracyjnych
  2. Nowa regulacja doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców.
  3. Rozwiązania dotyczące ochrony danych osobowych powinny być dostosowane do specyfiki przedsiębiorstwa.
  4. Obecnie, odpowiedzialność karna  w związku z nieprawidłową ochroną danych osobowych obciąża zwykle osoby zajmujące kluczowe, najwyższe stanowiska.
  5. Podmioty administrujące danymi osobowymi będą zachęcane do sporządzania kodeksów postępowania uwzględniających szczególny charakter danego sektora.
  6. Rozporządzenie wymusi na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych.

Wykorzystywania nowoczesnych technologii do kontroli pracowników w miejscu pracy w kontekście ich prawa do prywatności i ochrony danych osobowych.

Posted on by Admin CHWP

Wykorzystywanie nowoczesnych technologii przez pracodawców do kontroli pracowników w miejscu pracy staje się coraz bardziej powszechne. Zjawisko to rodzi jednak praktyczne trudności związane przede wszystkim z kwestiami ochrony danych osobowych pracownika i realizacją jego prawa do prywatności w trakcie wykonywania pracy, uwypuklając tym samym konieczność dokładnego określenia granic ingerencji pracodawcy w omawianym zakresie.

Brak w polskim prawie pracy wyraźnego zapisu regulującego kwestie kontroli pracodawcy nad pracownikami oraz zakres ochrony pracowników przed ich kontrolowaniem w miejscu pracy powoduje, że pracodawcy coraz częściej naruszają prawo pracownika do ochrony prywatności oraz żądają od niego ujawnienia szerszego zakresu informacji dotyczących jego osoby, niż zezwalają na to przepisy prawa, powołując się na różne tego przyczyny, m.in. względy bezpieczeństwa.

Zakres danych

Tymczasem zauważyć należy, że zgodnie z treścią obowiązującego od dnia 1.01.2004 r. artykułu 221 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. 1998, Nr 21, poz.94 z późn. zm.)1 pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

  • imię (imiona) i nazwisko,
  • imiona rodziców,
  • datę urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie, przebieg dotychczasowego zatrudnienia.

Po nawiązaniu stosunku pracy mocą § 2 omawianego przepisu pracodawca upoważniony jest do żądania od pracownika szerszego zakresu danych osobowych, niż wskazane powyżej. Poza w/w danymi osobowymi pracodawca ma bowiem prawo żądać od pracownika podania także:

  • imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
  • numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

Stosownie zaś do treści § 4 art. 221 k.p. pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów (np. z ustawy o służbie cywilnej, ustawy o Policji). Przykładowo można wskazać art. 6 ust. 1 pkt 10 ustawy z dnia 24.05.2000 r. o Krajowym Rejestrze Karnym (Dz. U. Nr 50, poz. 580 z późn. zm.), na podstawie którego pracodawcy przysługuje prawo do uzyskania informacji o osobach, których dane osobowe zostały zgromadzone w Rejestrze w zakresie niezbędnym do zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Zauważyć należy, że art. 221 k.p. stanowi realizację wymogu określonego w art. 51 ust. 1 Konstytucji, zgodnie z którym nikt nie może być zobowiązany bez upoważnienia ustawowego do ujawnienia informacji dotyczących jego osoby.

Ponadto, zgodnie z § 1rozporządzenia MPiPS z 28.05.1996 r. w sprawie zakresu prowadzenia przez pracodawcę dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracownika (Dz. U Nr 62, poz. 286 z późn. zm.) pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów:

  • wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie,
  • świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia, obejmujących okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie,
  • dokumentów potwierdzających kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy,
  • świadectwa ukończenia gimnazjum – w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego,
  • orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku,
  • innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów.

Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy.

Pracodawca nie może zatem żądać od pracownika innych informacji niż wymienione w art. 221 lub w przepisach szczególnych. Tym samym pracownik nie ma obowiązku podawania innych danych osobowych. Dodać należy, że w zakresie nieuregulowanym w treści art. 221 § 1-4 k.p. do danych osobowych, o których mowa w tych przepisach, stosuje się – zgodnie z § 5 – przepisy o ochronie danych osobowych.

Stosownie do art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002, Nr 101, poz. 926 z późn. zm.) pracodawca, jako administrator danych (tj. podmiot decydujący o celach i środkach przetwarzania danych), przetwarzając dane osobowe, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Wspomniany przepis wymaga też, aby gromadzone dane były adekwatne w stosunku do celu, w jakim są przetwarzane. W swoich działaniach pracodawca jest więc związany zasadą adekwatności, z której wprost wynika zakaz gromadzenia danych osobowych w zakresie szerszym niż ten, jaki jest niezbędny do osiągnięcia celu przetwarzania danych.

W praktyce jednak coraz częściej zdarza się, że pracodawcy żądają od pracowników / osób ubiegających się o zatrudnienie podania informacji wykraczających poza zakres określony w art. 221 k.p, przeprowadzając np. testy psychologiczne czy też używając wariografów. Zauważyć należy, że żądanie od osoby ubiegającej się o zatrudnienie bądź od pracownika innych danych niż wskazane w art. 221 k.p. może zostać zakwalifikowane jako naruszenie godności i dóbr osobistych pracownika, chronionych m.in. na podstawie art. 111 k.p. czy art. 23 i 24 kodeksu cywilnego.

Kwestia ochrony przez pracownika jego prawa do prywatności

Specyfika stosunku pracodawca-pracownik powoduje, że z jednej strony pracodawca obowiązany jest szanować dobra osobiste pracownika, w tym zwłaszcza jego prawo do prywatności, a z drugiej strony uprawniony jest też do egzekwowania swoich interesów i potrzeb, które uzasadniać mogą konieczność kontrolowania sposobu wykonywania pracy przez pracownika. Dochodzi zatem do swoistego konfliktu interesów: pracodawca chciałby posiadać jak najszersze uprawnienia kontrolne, celem weryfikacji sposobu wykorzystywania czasu pracy przez pracowników i tym samym wyeliminowania lub ograniczenia prywatnej działalności pracownika w miejscu pracy, pracownik zaś – chciałby możliwie najpełniej korzystać w miejscu pracy ze swego prawa do prywatności czy ochrony korespondencji.

Elektroniczne systemy rejestracji czasu pracy, identyfikatory rejestrujące każde wejście i wyjście pracownika do/z biura, monitoring poczty elektronicznej, czy też całej aktywności internetowej pracowników, programy służące do podglądania ekranów monitorów (tzw. oko szefa), rejestracja rozmów telefonicznych, nadzór przy pomocy kamer przemysłowych czy też wykorzystywanie danych biometrycznych pracowników (linii papilarnych, obrazu tęczówki oka czy kodu DNA) w celu kontroli czasu pracy, to tylko niektóre rozwiązania techniczne stosowane coraz częściej przez pracodawców, usprawiedliwiane przez nich przede wszystkim koniecznością organizowania pracy w sposób zapewniający pełne wykorzystanie czasu pracy, jak również osiąganie przez pracowników wysokiej wydajności i należytej jakości pracy (obowiązek ten nakłada na pracodawców art. 94 pkt 2 kodeksu pracy).

Zauważyć jednak należy, że zbierane za pomocą najnowszych zdobyczy techniki informacje zawierające dane osobowe nie zawsze są adekwatne do celu, jaki pracodawca zamierza osiągnąć. Stosowanie wobec osób ubiegających się o zatrudnienie bądź wobec pracowników nowoczesnych technik jest co do zasady zabronione. Pracodawcy często jednak wskazują, że pracownik zgodził się na zastosowanie określonej formy kontroli, i tym samym zebrane dane wykraczające poza zakres ustanowiony w art. 221 k.p. są przetwarzane na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, tj. na podstawie zgody osoby, której dane dotyczą. Zgodnie bowiem z wspomnianym przepisem przetwarzanie danych jest dopuszczalne wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.

Przetwarzanie danych jest też możliwe, gdy:

  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Pokreślić należy, że każda z tych przesłanek ma charakter niezależny, autonomiczny. Usprawiedliwione wydaje się więc stanowisko, że w pewnych sytuacjach przesłanką legalizującą możliwość np. monitorowania pracowników będzie „usprawiedliwiony cel pracodawcy”. Pracodawca będzie musiał wtedy jednak wykazać, że uzyskiwanie i gromadzenie informacji o pracownikach, wykraczających poza zakres wskazany w art. 221 k.p. jest niezbędne w celu wyeliminowania kradzieży, ograniczenia prywatnych rozmów telefonicznych prowadzonych przez pracowników z aparatów służbowych itp., a zastosowana metoda pozyskiwania informacji jest adekwatna w stosunku do celu.

Zgoda pracownika na przetwarzanie jego danych osobowych innych niż wskazane w treści art. 221 k.p. nie zawsze stanowić może przesłankę uprawniającą pracodawcę do przetwarzania tychże danych. Jak zauważa Generalny Inspektor Danych Osobowych, „złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na rejestrację czasu pracy za pomocą czytnika palców, nie stanowi przesłania legalizującego przetwarzanie danych osobowych pracowników.”2 Tym samym, w opinii GIODO, jakiekolwiek przetwarzanie danych osobowych pracowników w zakresie przetworzonego do postaci zapisu cyfrowego obrazu linii papilarnych odbywa się bez podstawy prawnej3GIODO stoi na stanowisku, że gromadzenie przez pracodawcę odcisków linii papilarnych, obrazu tęczówki czy kodu DNA pracowników w celu kontroli czasu pracy jest zabronione. Są to bowiem informacje nieadekwatne do celu, jaki pracodawca zamierza osiągnąć przy ich wykorzystaniu. Według GIODO czas pracy można bowiem kontrolować za pomocą innych środków, mniej ingerujących w czyjąś prywatność4. GIODO przyznaje jednak, że niektórzy pracodawcy, jak np. banki, kancelarie tajne (tj. instytucje, które muszą szczególnie dbać o bezpieczeństwo posiadanych informacji) mogą wprowadzić w miejscu pracy czytniki linii papilarnych, struktury dłoni, tęczówki oka itp. i wystąpić do pracowników o przekazanie im swoich danych biometrycznych5.

Zgodnie z orzecznictwem Naczelnego Sądu Administracyjnego także stosowanie poligrafu (tzw. wykrywacza kłamstw), mimo zgody pracownika, godzi w jego dobra osobiste. W wyroku z dnia 13.02.2003 r. (sygn. II SA 1620/01, Monitor Prawniczy 2003/8/339) NSA stwierdził, że „skutki badań poligraficznych, mimo że dobrowolnych, naruszają prawa i wolności badanych. Wyrażenie zgody na badania przy pomocy wykrywacza kłamstw, prowadzone przez pracodawcę, stawia pod znakiem zapytania swobodę tej decyzji.”

Kontrolowanie pracowników za pomocą monitoringu (kontrola poczty elektronicznej programy służące do podglądania ekranów monitorów (tzw. oko szefa), rejestracja rozmów telefonicznych, nadzór przy pomocy kamer przemysłowych) należy obecnie do najczęściej wykorzystywanych metod nadzoru pracy pracowników. W literaturze6 wyróżnia się:

  • monitoring systematyczny, polegający na monitorowaniu przez pracodawcę wszystkich pracowników lub poszczególne ich grupy, zespoły, także poprzez użycie środków prowadzących do kontrolowania wszystkich wysyłanych wiadomości e-mail;
  • monitoring sporadyczny, incydentalny, stosowany w sytuacji, gdy wykorzystanie monitoringu jest uzasadnione szczególnymi okolicznościami, np. zainstalowanie kamery w związku z podejrzeniem dokonywania kradzieży przez pracowników itp.

Regulacja dopuszczalnych form monitoringu w krajach członkowskich UE zawarta jest głównie w układach zbiorowych pracy (tak np. w Belgii, Danii, Austrii). W żadnym z tych krajów nie jest jednak dopuszczalny monitoring systematyczny, wyjątkowo też dopuszczalnej jest monitorowanie ukryte. Taki sposób kontroli pracowników jest bowiem możliwy do zastosowania wyłącznie w sytuacji, gdy służy realizacji celu niemożliwego do osiągnięcia przy zastosowaniu innych metod. O objęciu monitoringiem pracownicy muszą być uprzednio poinformowani.

W Polsce wciąż brak jest bezpośrednich regulacji tego zagadnienia, stąd konieczne staje się odniesienie do oficjalnego stanowiska GIODO w tym zakresie oraz weryfikacja istniejącego orzecznictwa.

Według GIODO „pracodawca powinien poinformować pracownika o tym, że zamierza nadzorować jego służbową pocztę, a następnie podzielić korespondencję na prywatną, do której nie ma prawa wglądu, i służbową, którą może kontrolować. Musi jednak tak wyważyć stopień nadzoru, aby nie naruszać dóbr osobistych pracownika”7.

Monitorowanie rozmów pracowniczych prowadzonych z telefonu służbowego dopuszcza też Sąd Najwyższy. W wyroku z dnia 15 maja 1997 r. (sygn. I PKN 93/97; LEX 31727) SN stwierdził bowiem, że „korzystanie przez pracownika z telefonu służbowego w celu udziału w grach towarzyskich, narażające pracodawcę na znaczną szkodę może być zakwalifikowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych (art. 52 § 1 pkt 1 k.p.).”

Kwestia monitoringu w stosunkach pracy jest ściśle powiązana nie tylko z problematyka ochrony prawa pracownika do prywatności, ale także wiąże się bezpośrednio z zagadnieniami ochrony danych osobowych. Większość krajów UE wprowadziła do krajowych porządków prawnych postanowienia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tychże danych.

Zauważyć należy, iż w raporcie powołanej na mocy art. 29 wspomnianej dyrektywy grupy roboczej w kwestii dotyczącej monitoringu w miejscu pracy podkreślano, że należy ściśle określić dopuszczalny zakres prywatnego użytkowania przez pracownika sprzętu należącego do pracodawcy oraz cel i sposób monitorowania pracowników, zakres wykorzystywania zebranych w ten sposób danych osobowych pracownika oraz obowiązek uprzedniego poinformowania go o możliwości wykorzystania monitoringu w miejscu pracy.

Podsumowanie

Brak w polskim prawie kompleksowej regulacji dotyczącej metod kontroli aktywności pracowników w miejscu pracy powoduje, że coraz częściej dochodzi do naruszenia przez pracodawcę prawa pracownika do prywatności oraz prawa do ochrony danych osobowych. Wyjątkowo skąpe orzecznictwo sądów polskich w tym zakresie sprawia, że w praktyce wiele kwestii związanych z wykorzystywaniem różnych technicznych metod do kontrolowania działań pracownika w czasie pracy jest niejasnych.

Szeroko pojęte monitorowanie pracownika powinno być dopuszczone, ale na dokładnie sprecyzowanych zasadach, opracowanych w celu zminimalizowania wszelkich zagrożeń, jakie tego typu metody kontroli mogłyby stwarzać dla praw pracowników, w tym zwłaszcza prawa do prywatności. Zasady te mogłyby zostać uregulowane np. w odrębnym dziale kodeksu pracy odnoszącym się do kwestii niestandardowych form kontroli pracownika. Wśród najistotniejszych warunków legalizacji monitoringu pracowników powinno znaleźć się przede wszystkim uregulowanie czasu oraz zakresu przetrzymywania danych osobowych uzyskanych w wyniku takiej kontroli oraz konieczność uprzedniego poinformowania pracowników o celach, funkcjach i działaniu programów nadzorujących ich pracę.


1. Artykuł został dodany do kodeksu pracy na mocy § 1 pkt  ustawy z dnia 14 listopada 2003 r. o zmianie ustawy – Kodeks pracy oraz o zmianie niektórych innych ustaw(Dz. U. Nr 213, poz. 2081). Obowiązuje od 1 stycznia 2004 r.

2. Decyzja GIODO z dn. 22.02.2008 r. nr DIS/DEC-134/4605/08 dot. DIS-K-421/146/07

3. Na podst. decyzji GIODO z dn. 24.04.2008 nr DIS/DEC-254/10616/08 dot. DIS-K-421/146/07

4. Na podst. Htp://bip.giodo.gov.pl/348/id_art/2056/j/pl/

5. Łukasz Guza, „Pozyskiwanie danych biometrycznych pracowników jest niezgodne z prawem”, Gazeta Prawna, 20.10.2008

6. Dominika DÖRE-Nowak, Monitoring w miejscu pracy a prawo do prywatności, PiZS, 9/004, str. 8

7. Łukasz Guza, Pozyskiwanie danych biometrycznych pracowników…., op.cit.

Czy adresy IP to dane osobowe?

Posted on by Admin CHWP

Zgodnie z obowiązującym prawem dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nie budzi wątpliwości, że do danych osobowych należą imię, nazwisko, data urodzenia czy numer PESEL. Reguluje to ustawa o ochronie danych osobowych. Rzecz jednak dotyczyć może również adresów IP. Z tego założenia wychodzi Komisja Europejska, która w swoich zamiarach ma ujednolicenie prawa w tym zakresie.

Adres IP (ang. Internet Protocol) jest to wyrażone numerycznie oznaczenie nadawane interfejsowi sieciowemu, grupie interfejsów lub nawet całej sieci komputerowej w celu identyfikacji w ramach komunikacji sieciowej. Na pierwszy rzut oka zatem nie wydaje się być związany z określoną osobą fizyczną. Wbrew popularnemu przekonaniu adres IP nie musi nawet identyfikować w sieci konkretnego komputera. Może być wspólny dla wielu urządzeń, a nawet zmieniać się przy każdym łączeniu z Internetem.

Zainteresowanie prawników numerami IP bierze się głównie stąd, że często stanowią one główny ślad pozostawiony w Internecie przez anonimowych użytkowników, np. prezentujących wypowiedzi naruszające dobra osobiste innych osób. W takich sytuacjach podjęcie działań prawnych w celu ochrony dóbr osobistych wymaga identyfikacji autora obraźliwych wypowiedzi i tu pojawia się pytanie o możliwość kwalifikacji numerów IP jako danych osobowych, co ma znaczenie po pierwsze dla przypisania pewnej aktywności w Internecie konkretnej osobie, a po drugie dla uzyskania informacji pozwalających na jednoznaczne zidentyfikowanie tej osoby.

Zgodnie ze zdroworozsądkowym poglądem podzielanym w orzecznictwie sądów adres IP może być zaliczony do danych osobowych, ale pod warunkiem że jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi – tyko w tym zakresie jest bowiem informacją umożliwiającą identyfikację konkretnej osoby fizycznej (tak przykładowo wyrok NSA z 19 maja 2011 r., I OSK 1079/10). Taka kwalifikacja oznacza, że adresy IP i związane z nimi informacje pozwalające na identyfikację użytkowników Internetu mogą być przetwarzane przez odpowiednie podmioty (np. dostawców usług internetowych) tylko z zachowaniem wymogów określonych w przepisach o ochronie danych osobowych, w tym nie mogą być dowolnie udostępniane osobom trzecim. Dane te mogą być pozyskane przez organy ścigania na potrzeby postępowania karnego. Natomiast osoby fizyczne lub prawne zamierzające bronić swych praw w postępowaniu cywilnym często spotykają się z odmową udostępnienia danych. Orzecznictwo sądów administracyjnych w tym zakresie nie jest jednolite i czasami sądy uznają, że sam zamiar wytoczenia powództwa w postępowaniu cywilnym nie jest usprawiedliwionym celem udostępnienia danych osobowych, w tym adresów IP. Niejednolita praktyka pokazuje, że potrzebne są jednoznaczne rozwiązania prawne zapewniające należytą równowagę pomiędzy koniecznością ochrony danych osobowych a prawem do sądu osób pokrzywdzonych działaniami w Internecie.

Zwolnienie z opłaty reprograficznej – bezpodstawnie płacimy ZAIKS-owi za każdą czystą płytę.

Posted on by Admin CHWP

Od każdej płyty CD, Blue-Ray, pendrive’a, nagrywarki w komputerze, skanera, papieru do drukarki, odtwarzacza MP3, bez względu na ich przeznaczenie ZAiKS pobiera opłatę w wysokości 1-3 proc. wartości produktu tytułem rekompensaty za możliwe naruszenie praw autorskich. Tymczasem zgodnie z ustawą prawo autorskie i Wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) pobieranie opłat następujące bez względu na przeznaczenie ww. urządzeń jest bezprawne. Łatwo policzyć jakie zyski omijają producentów i importerów.

Przepisy prawa autorskiego stanowią, iż importerzy oraz producenci urządzeń kopiujących i czystych nośników służących do utrwalania utworów wprowadzający swoje produkty na krajowy rynek obowiązani są do uiszczania opłat w wysokości nieprzekraczającej 3 proc. kwoty należnej z tytułu ich sprzedaży. Dotyczy to wyłącznie nośników i urządzeń służących do utrwalania utworów w zakresie prywatnym.

Należne opłaty pobierają organizacje zbiorowego zarządzania prawami autorskimi (OZZ), w tym np. ZAiKS. Przedsiębiorcy zobowiązani są przekazywać z własnej inicjatywy informacje dotyczące wszystkich ww. urządzeń i nośników, a także we własnym zakresie obliczyć podstawę należnej opłaty. OZZ monitorują polski rynek urządzeń i nośników służących również do utrwalania utworów, m.in. na podstawie rejestru GIOŚ. Z rejestrów wynika choćby, jakie urządzenia przedsiębiorca wprowadza na rynek. Jeśli wprowadza laptopy z pamięcią wewnętrzną, telewizor z dyskiem twardym, skaner, papier formatu A4, dysk przenośny, radio z odtwarzaczem płyt czy odtwarzacz MP3 dla OZZ oznacza, że od każdego takiego urządzenia należy się opłata. Jeżeli OZZ mają wątpliwości, czy dany podmiot spełnia swój obowiązek, przesyłają popularne wezwanie „318”. Wezwanie to jest pismem informacyjnym, nie stricte wezwaniem do zapłaty. Przytoczone są w nim natomiast podstawy prawne, terminy i sankcje grożące za niedopełnienie obowiązków sugerujące, że adresat uchybił przepisom.

Sąd Najwyższy orzekł, że na importerach i producentach urządzeń umożliwiających kopiowanie utworu ciąży obowiązek udzielenia OZZ informacji oraz udostępniania dokumentów. W jednym z postępowań przeciwko przedsiębiorcy o sygn. akt I ACa 99/09 Sąd Apelacyjny we Wrocławiu zgłosił pytanie prawne co do zgodności z Konstytucją art. 105 ust 2 u.p.a. (przewidujący, iż OZZ może domagać się udzielenia informacji oraz udostępnienia dokumentów niezbędnych do określenia wysokości dochodzonych przez nią opłat). Trybunał Konstytucyjny uznał, iż przepis jest zgodny z Konstytucją. W innym postępowaniu Sąd Okręgowy we Wrocławiu wyrokiem z dnia 6 listopada 2008 r., sygn. akt I C 425/08, zobowiązał przedsiębiorcę do udzielenia szczegółowych informacji o ilości sprowadzonych i sprzedanych urządzeń reprograficznych w okresie od 1 czerwca 1998 r. do 15 maja 2008 r. z podaniem nazwy, typu, numeru fabrycznego, ceny detalicznej, wydajności, daty sprowadzenia do Polski i sprzedaży poszczególnych urządzeń oraz do udostępnienia OZZ dokumentów celnych i faktur dotyczących tych urządzeń. (Przepisy o rachunkowości przewidują obowiązek przechowywania dokumentów finansowo-księgowych przez pięcioletni okres). Zgodnie z wyrokiem Sądu Apelacyjnego we Wrocławiu z dnia 21 lutego 2012 r. sygn. akt I ACa 11/12 obowiązek wnoszenia opłaty reprograficznej czy udzielanie informacji nie dotyczy podmiotów nie będących importerami w rozumieniu przepisów o prawie autorskim. Nie dotyczą zatem towarów pochodzących z krajów członkowskich w ramach transferu wewnątrzwspólnotowego.

Orzeczenia te nie poruszają kwestii wynikającego z ustawy zwolnienia od opłaty, gdy wyłączona jest możliwość kopiowania w celu prywatnym. Rozwiązania przyjęte w ustawie pozostają w zgodzie z tendencją współczesnych ustaw autorskich krajów rozwiniętych i są wyrazem zrozumienia dla faktu, że masowy użytek prywatny przy obecnym stanie techniki stanowi poważne zagrożenie dla majątkowych interesów autorów. I słusznie. Producenci i importerzy stwarzają często warunki do przegrywania utworów w zakresie prywatnym , a to wystarczy. W ostatecznym rozrachunku za możliwość przegrywania do użytku osobistego zapłaci każdy z nas.

Gdy importowane urządzenia kopiujące i czyste nośniki sprzedawane są z wykluczeniem możliwości sporządzania kopii prywatnych, zwolnienie z ponoszenia opłat wydaje się uzasadnione. Opłata reprograficzna kompensować ma twórcom i wydawcom straty wynikające z kopiowania utworów chronionych prawem autorskim.

Przepisy bazują na Dyrektywie 2001/29/We. TSUE w wyroku prejudycjalnym z dnia 21.10.2010 r., C-467/08, orzekł, że w celu ustalenia obowiązku ponoszenia opłaty reprograficznej przepisy należy interpretować w ten sposób, że konieczny jest związek między opłatą reprograficzną od urządzeń i nośników a domniemanym przeznaczeniem tego sprzętu do celów zwielokrotniania na użytek prywatny. W związku z tym pobieranie opłaty od sprzętu i nośników nieudostępnionych użytkownikom prywatnym i w sposób oczywisty zastrzeżonych do innego użytku niż sporządzanie kopii do użytku prywatnego jest niezgodne z dyr. 2001/29 WE. Wyrok TSUE wiąże w ten sam sposób sądy krajowe, które zetkną się z identycznym problemem. Jakkolwiek w orzecznictwie sądów polskich nie został dotychczas poruszony problem zwolnienia z opłat w związku brakiem możliwości zastosowania sprzętu do sporządzania prywatnych kopii. Wątpliwym jest, by którykolwiek sąd powszechny sprzeciwił się wyrokowi TSUE.

OZZ nie dopuszczają możliwości zwolnienia z opłaty w sytuacjach wykluczających możliwość kopiowania przez osoby prywatne. Powołują się przy tym na brak rozstrzygnięcia sądów polskich w tej kwestii. Tymczasem jeśli możliwość tworzenia kopii w zakresie prywatnym jest wyłączona, pobieranie opłaty reprograficznej jest niedozwolone. Prowadzi to do jednoznacznego wniosku, że OZZ często bezpodstawnie pobierają opłatę reprograficzną.

Autor: Krzysztof Borżoł, adwokat

Bezpieczeństwo i ochrona danych osobowych w telekomunikacji.

Posted on by Admin CHWP

Dla analizy kwestii bezpieczeństwa i ochrony danych osobowych w telekomunikacji podstawowe znaczenie mają dyrektywy: 2002/58/WE – dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, 2002/21/WE – odnosząca się do wspólnych ram regulacyjnych sieci i usług łączności elektronicznej tzw. dyrektywa ramowa, dyrektywa 2002/58/WE -o prywatności i łączności elektronicznej oraz „najświeższe” dyrektywy zmieniające: 2009/136/WE – dotycząca praw obywateli do prywatności i łączności elektronicznej oraz 2009/140/WE 140 z 2009 r. w sprawie lepszych uregulowań prawnych o sieci i usługach łączności elektronicznej. Zmiany te znalazły swoje odzwierciedlenie w nowelizacji Prawa telekomunikacyjnego. Wśród ważniejszych zmian wprowadzono m.in. udogodnienia dla korzystających z mobilnego Internetu polegających na obowiązku informowania przez dostawcę usług o przekroczeniu limitu transmisji danych oraz skrócenie o połowę okresu przechowywania danych o naszych połączeniach (zmiana retencji danych z 24 do 12 miesięcy). W zakresie zwiększenia ochrony prywatności i ochrony danych osobowych szczególne znaczenie mają zmiany w przepisach o cookies oraz wprowadzona konstrukcja zgłaszania przypadków naruszenia danych osobowych. W tym ostatnim przypadku na operatorów i dostawców Internetu zostały nałożone określone obowiązki związane z bezpiecznym przechowywaniem danych osobowych oraz działaniami na okoliczność „naruszenia danych osobowych”. Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę (np. kradzież, zagubienie), zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. Zdefiniowano również naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Rozumiane jest jako naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. W przypadkach takich naruszeń dostawca musi zgłosić ten fakt do właściwego organu krajowego. Jest nim krajowy urząd ochrony danych osobowych lub regulator rynku telekomunikacyjnego. W projekcie zmian Prawa telekomunikacyjnego właściwym organem do przesyłania przez dostawcę publicznie dostępnych usług telekomunikacyjnych informacji o naruszeniach jest Generalny Inspektor Ochrony Danych Osobowych. GIODO został również upoważniony do wystąpień oraz wskazywania okoliczności, formy i sposobu dokonywania powiadomień o naruszeniach. Do sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych kontroli stosuje się przepisy ustawy o ochronie danych osobowych. Natomiast o naruszeniu bezpieczeństwa, integralności sieci lub usług, które miały istotny wpływ na ich funkcjonowanie, przedsiębiorcy telekomunikacyjni są zobowiązani informować Prezesa UKE.

„Techniczne środki wykonawcze” będące zbiorem praktycznych zasad proponowanych przez Komisję Europejską są uzupełnieniem obowiązujących przepisów odnoszących się do okoliczności, wzorów i procedur związanych z obowiązkiem powiadomień, o których była mowa powyżej. Są one przewidziane dla zapewnienia spójnego stosowania zasad dotyczących naruszenia danych osobowych we wszystkich państwach członkowskich a regulowane przez dyrektywę o prywatności i łączności elektronicznej. Kolejne zmiany wynikające z pakietu łączności elektronicznej odnoszą się do plików cookies instalowanych w komputerze użytkownika w czasie korzystania przez niego ze strony internetowej. Ich zastosowanie jest wszechstronne, w tym m.in. potwierdzenie, że użytkownik widział określone treści na danej stronie internetowej, przechowywanie wybranych przez użytkownika ustawień strony czy śledzenie jego ruchów w sieci. Stan prawny poprzedzający zmiany obejmował możliwość przechowywania danych informatycznych, w tym plików tekstowych w urządzeniu końcowym użytkownika z uwzględnieniem obowiązku poinformowania o celu przechowywania danych i o prawie sprzeciwu (opt-out). W projektowanych zmianach Prawa telekomunikacyjnego podmioty świadczące usługi telekomunikacyjne lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne (cookies) w urządzeniach użytkownika końcowego lub abonenta jeśli zostaną oni uprzednio w sposób w sposób łatwy i zrozumiały jednoznacznie oraz bezpośrednio poinformowani o celu przechowywania i dostępu do tych danych oraz o sposobach korzystania z ich zawartości. Użytkownik końcowy lub abonent będzie również poinformowany o możliwości określenia przez siebie warunków przetwarzania danych za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu końcowym lub konfiguracji usługi. Dopiero po uzyskaniu takich informacji może zostać wyrażona zgoda na cookies.

Posted in Bez kategorii