Własność Intelektualna, Nowe Technologie i Ochrona Informacji

W kwietniu bieżącego roku ogłoszono zmianę w podejściu do rozróżniania (podobieństwa i identyczności) znaków towarowych w różnych odmianach kolorystycznych. Nowe podejście w większości przypadków odwraca „do góry nogami” dotychczasowe postrzeganie odmian/rodzin znaków towarowych, częstokroć obejmujących wiele układów kolorystycznych.

Nadal żywo komentowane są wyroki NSA oraz potencjalne działania kontrolne GIODO dotyczące wypełniania wymogów prawa do prywatności i tzw. autonomii informacyjnej (prawa decydowania i kontrolowania, kto i jakie dane zbiera i co z nimi robi) w Kościołach. Obecnie w toku jest np.  ponad 80 skarg do GIODO apostatów, którzy zarzucają, że Kościół mimo uznania wystąpienia nadal przetwarza ich dane. GIODO jak dotąd odmawiał interwencji, powołując się na ustawę o ochronie danych osobowych, która nie dawała mu de facto prawa kontrolowania prawidłowości zbierania i przechowywania danych osobowych przez policję i służby specjalne oraz Kościoły i związki wyznaniowe.  Naczelny Sąd Administracyjny potwierdził  z jednej strony, że GIODO nie ma prawa kontrolować przetwarzania przez Kościoły danych wiernych, ale z drugiej strony ma obowiązek kontrolować dane osób nienależących do Kościoła, co wykracza poza autonomię Kościołów. Ani Konkordat – regulujący stosunki państwa z Kościołem katolickim, ani ustawa o gwarancjach sumienia i wyznania nie wyłączają spod kontroli państwa relacji Kościołów z takimi osobami. Przykładowo w odniesieniu do danych osobowych przetwarzanych przez Kościół katolicki całościowe ujęcie regulacyjne obejmuje nie tylko kanony prawa kanonicznego i postanowienia Konkordatu między Stolicą Apostolską a Rzeczpospolitą Polską ale również inne istniejące dokumenty  Kościoła katolickiego  w tym m.in.  zalecenia Papieskiej Rady Tekstów Prawnych z 2006 r.  Instrukcja Konferencji Episkopatu Polski z 2008 r. czy Instrukcja „Ochrona danych osobowych w działalności Kościoła katolickiego w Polsce” przygotowana przez sekretariat Konferencji Episkopatu Polski i Generalnego Inspektora Ochrony Danych Osobowych. Ważną rolę pełnią dokumenty obejmujące funkcjonujące rozwiązania m.in. pozwalające uwzględniać reguły dotyczące wiernych ustalane przez biskupów w poszczególnych diecezjach, określające wewnętrzne zasady postępowania z danymi w tym sensytywnymi  oraz warunki ich ochrony i przechowywania, wykonywania kopii bezpieczeństwa danych na wypadek utraty oryginału, zabezpieczeniach przed włamaniami z sieci czy wirusami itd. Na część z tych kwestii wskazują kanony prawa kanonicznego, które co prawda dotyczą diecezji i kurii ale mogą być odpowiednio stosowane w parafiach. Przykładowo zgodnie z 486 kanonem § 2 „W każdej kurii, w bezpiecznym miejscu, należy urządzić archiwum diecezjalne lub depozyt dokumentów, w którym winny być przechowywane dokumenty i pisma dotyczące spraw diecezjalnych – odpowiednio uporządkowane i pilnie strzeżone pod zamknięciem”.  Prawo kanoniczne wskazuje również na  konieczność sporządzenia „katalogu dokumentów znajdujących się w archiwum, z dołączeniem krótkiego opisu każdej z pozycji”. O dostępie mówi także m.in.  kanon 487 §1i2 nakazując „ zamknięcie archiwum na klucz, który posiadać może tylko biskup i kanclerz, bez obecności których nie wolno odwiedzać archiwum, a osoby bezpośrednio zainteresowane danym dokumentem mogą osobiście lub przez pełnomocnika otrzymać odpis lub kopię tego dokumentu”. Dla zoptymalizowania ochrony danych osobowych do wykorzystania są nadal liczne rozwiązania powstałe na bazie wymagań ustawowych oraz orzecznictwa.

Obecnie każdy kraj UE ma swoje przepisy w zakresie ochrony danych osobowych, ale wkrótce może się to zmienić. Obowiązująca dyrektywa Parlamentu Europejskiego i Rady (dyrektywa 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych)  w pewnym zakresie wymusza podobieństwo ochrony w krajach UE. Mimo to istnieją duże różnice w regulacjach prawnych poszczególnych państw. Jednak, dzięki planowanemu rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, nastąpiłoby ujednolicenie prawa w zakresie ochrony danych w ramach UE i swobodnego przepływu tych danych. Już teraz zwraca się uwagę, że standardy ochrony danych osobowych w UE są najwyższe na świecie, a rozporządzenie ma to jeszcze wzmocnić. Identyczne zasady we wszystkich krajach członkowskich pozwoliłyby na wyeliminowanie niepewności co do zasad ochrony danych osobowych w innych krajach UE. Uniknięto by również ryzyka i wątpliwości związanych z transferem danych osobowych do tych krajów. Praktyka działalności gospodarczej pokazuje, iż coraz więcej firm, także z branży ciepłowniczej, może przechowywać albo powierzać przetwarzanie danych osobowych podmiotom znajdującym się w innych krajach, w tym w krajach UE. Ujednolicenie standardów ochrony danych osobowych w ramach UE zacieśni współpracę pomiędzy firmami z tych krajów,  w tym w kluczowych obszarach nowych technologii, tworzenia innowacji oraz rozwiązań przewidujących optymalizację kosztów i bezpieczeństwo przechowywania danych. Zasadniczym celem planowanej regulacji jest zwiększenie ochrony danych, uproszczenie środowiska regulacyjnego, obniżenie kosztów i zmniejszenie obciążeń administracyjnych. Dodatkowo chodzi o poprawę skuteczności ochrony danych, która jest obecnie utrudniona przez zróżnicowane ustawodawstwo państw członkowskich UE. Istotne są zasady przepływu danych nie tylko pomiędzy poszczególnymi krajami UE, ale także pomiędzy tymi krajami a krajami trzecimi. Pilnego uregulowania wymagają takie zagadnienia jak prawo dostępu do danych, prawo usunięcia danych (tzw. „prawo do bycia zapomnianym”) czy wprowadzenie zrozumiałych i standardowych zasad wyrażania zgody oraz zgłaszania naruszenia ochrony danych. Współpraca i wzajemna pomoc organów ds. ochrony danych osobowych UE, doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców w tym w branży ciepłowniczej. Obecnie ma to miejsce na niewielką skalę i w praktyce wiele firm zapomina o potrzebie kompleksowego uregulowania tych zagadnień w zgodzie z obowiązującymi przepisami. Przedsiębiorstwa często korzystają ze standardowych rozwiązań, które nie są dostosowane ani do specyfiki branży ani konkretnych uwarunkowań danego zakładu. Przewidziane obecnie sankcje karne mogą natomiast dotknąć w szczególności osoby zajmujące kluczowe i najwyższe stanowiska w tych przedsiębiorstwach, które często nie mają żadnego kontaktu z przetwarzaniem danych w ich firmach, nie istnieją też zwykle samodzielne stanowiska odpowiedzialne za ochronę i przetwarzanie danych. Nowe wspólne przepisy UE oznaczają też eliminację luk i braków, które obecnie pozwalają czasem firmom uchylić się od odpowiedzialności. Nowe przepisy unijne uproszczą porządek prawny na terenie UE, w tym sensie, że zastąpią regulacje krajowe wspólnotowymi, ale w poszczególnych przedsiębiorstwach doprowadzą do konieczności tworzenia dokumentacji i rozwiązań znacznie bardziej szczegółowych i bezpieczniejszych niż obecnie. Jednolite standardy kontroli doprowadzą natomiast do tego, że zasady te będą bezwzględnie egzekwowane. Zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych będzie w praktyce wymagało prowadzenia nie tylko dokumentacji wprost wymaganej przez przepisy. Niezbędne może okazać się również tworzenie rozwiązań dostosowanych indywidualnie do struktury organizacyjnej i funkcjonalnej danego podmiotu gospodarczego. Projekt rozporządzenia jest pełny zwrotów nieostrych, niejasnych i w dużym stopniu ocennych. Będą one wyjaśniane dopiero przez praktykę orzeczniczą poszczególnych krajów UE. Zwłaszcza zatem w pierwszym okresie obowiązywania nowych przepisów, będzie istniało duże ryzyko prawne dla przedsiębiorców przetwarzających dane osobowe, co dotyczy faktycznie każdego przedsiębiorcy. W projekcie rozporządzenia jest także mowa o konieczności tworzenia procedur i mechanizmów ułatwiających podmiotowi danych wykonywanie przysługujących mu praw, między innymi umożliwienie składania wniosków drogą elektroniczną i żądania uzyskania odpowiedzi na wniosek w określonym terminie, jak również do uzasadnienia odmowy udzielenia odpowiedzi. Zakres zbieranych danych osobowych powinien uwzględniać minimalną ilość informacji niezbędną do realizacji celu ich przetwarzanie – tego wymogu często nie respektują często polskie przedsiębiorstwa. Przewiduje się, iż sama zgoda osoby nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych, a administratorem, co ma miejsce np. w odniesieniu do pracowników. Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów mają być zachęcane do sporządzenia kodeksów postępowania. Ma to ułatwiać skuteczne stosowanie rozporządzenia i uwzględniać szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Taki kodeks bez wątpienia mógłby ustanawiać ogólne standardy ochrony w sektorze ciepłowniczym. Musiałby być jednak zawsze uzupełniany o regulacje szczegółowe poszczególnych przedsiębiorstw. Chociaż nie wiadomo dzisiaj, jaki będzie ostateczny kształt rozporządzenia oraz kiedy wejdzie ono w życie, to wydaje się niemal pewne, że prędzej czy później takie rozwiązanie zostanie przyjęte na terenie całej UE. Wymusi to na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych. W obszarach nieobjętych rozporządzeniem UE nadal będą obowiązywać przepisy krajowe, a panująca w tym zakresie dwoistość porządku prawnego – krajowego i UE, może powodować liczne problemy prawne i różnice interpretacyjne. Dodatkowo, zwiększonemu przepływowi danych ma towarzyszyć większe bezpieczeństwo, a to zawsze oznacza konieczność uszczegółowienia istniejących już procedur i wprowadzenia dodatkowych. PODSUMOWANIE Celami planowanej regulacji są: Zwiększenie ochrony danych osobowych Uproszczenie regulacji Obniżenie kosztów ponoszonych przez przedsiębiorców Zmniejszenie obciążeń administracyjnych Nowa regulacja doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców. Rozwiązania dotyczące ochrony danych osobowych powinny być dostosowane do specyfiki przedsiębiorstwa. Obecnie, odpowiedzialność karna  w związku z nieprawidłową ochroną danych osobowych obciąża zwykle osoby zajmujące kluczowe, najwyższe stanowiska. Podmioty administrujące danymi osobowymi będą zachęcane do sporządzania kodeksów postępowania uwzględniających szczególny charakter danego sektora. Rozporządzenie wymusi na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych.

Wykorzystywanie nowoczesnych technologii przez pracodawców do kontroli pracowników w miejscu pracy staje się coraz bardziej powszechne. Zjawisko to rodzi jednak praktyczne trudności związane przede wszystkim z kwestiami ochrony danych osobowych pracownika i realizacją jego prawa do prywatności w trakcie wykonywania pracy, uwypuklając tym samym konieczność dokładnego określenia granic ingerencji pracodawcy w omawianym zakresie. Brak w polskim prawie pracy wyraźnego zapisu regulującego kwestie kontroli pracodawcy nad pracownikami oraz zakres ochrony pracowników przed ich kontrolowaniem w miejscu pracy powoduje, że pracodawcy coraz częściej naruszają prawo pracownika do ochrony prywatności oraz żądają od niego ujawnienia szerszego zakresu informacji dotyczących jego osoby, niż zezwalają na to przepisy prawa, powołując się na różne tego przyczyny, m.in. względy bezpieczeństwa. Zakres danych Tymczasem zauważyć należy, że zgodnie z treścią obowiązującego od dnia 1.01.2004 r. artykułu 221 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. 1998, Nr 21, poz.94 z późn. zm.)1 pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Po nawiązaniu stosunku pracy mocą § 2 omawianego przepisu pracodawca upoważniony jest do żądania od pracownika szerszego zakresu danych osobowych, niż wskazane powyżej. Poza w/w danymi osobowymi pracodawca ma bowiem prawo żądać od pracownika podania także: imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Stosownie zaś do treści § 4 art. 221 k.p. pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów (np. z ustawy o służbie cywilnej, ustawy o Policji). Przykładowo można wskazać art. 6 ust. 1 pkt 10 ustawy z dnia 24.05.2000 r. o Krajowym Rejestrze Karnym (Dz. U. Nr 50, poz. 580 z późn. zm.), na podstawie którego pracodawcy przysługuje prawo do uzyskania informacji o osobach, których dane osobowe zostały zgromadzone w Rejestrze w zakresie niezbędnym do zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej. Zauważyć należy, że art. 221 k.p. stanowi realizację wymogu określonego w art. 51 ust. 1 Konstytucji, zgodnie z którym nikt nie może być zobowiązany bez upoważnienia ustawowego do ujawnienia informacji dotyczących jego osoby. Ponadto, zgodnie z § 1rozporządzenia MPiPS z 28.05.1996 r. w sprawie zakresu prowadzenia przez pracodawcę dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracownika (Dz. U Nr 62, poz. 286 z późn. zm.) pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów: wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie, świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia, obejmujących okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie, dokumentów potwierdzających kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy, świadectwa ukończenia gimnazjum – w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego, orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku, innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów. Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy. Pracodawca nie może zatem żądać od pracownika innych informacji niż wymienione w art. 221 lub w przepisach szczególnych. Tym samym pracownik nie ma obowiązku podawania innych danych osobowych. Dodać należy, że w zakresie nieuregulowanym w treści art. 221 § 1-4 k.p. do danych osobowych, o których mowa w tych przepisach, stosuje się – zgodnie z § 5 – przepisy o ochronie danych osobowych. Stosownie do art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002, Nr 101, poz. 926 z późn. zm.) pracodawca, jako administrator danych (tj. podmiot decydujący o celach i środkach przetwarzania danych), przetwarzając dane osobowe, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Wspomniany przepis wymaga też, aby gromadzone dane były adekwatne w stosunku do celu, w jakim są przetwarzane. W swoich działaniach pracodawca jest więc związany zasadą adekwatności, z której wprost wynika zakaz gromadzenia danych osobowych w zakresie szerszym niż ten, jaki jest niezbędny do osiągnięcia celu przetwarzania danych. W praktyce jednak coraz częściej zdarza się, że pracodawcy żądają od pracowników / osób ubiegających się o zatrudnienie podania informacji wykraczających poza zakres określony w art. 221 k.p, przeprowadzając np. testy psychologiczne czy też używając wariografów. Zauważyć należy, że żądanie od osoby ubiegającej się o zatrudnienie bądź od pracownika innych danych niż wskazane w art. 221 k.p. może zostać zakwalifikowane jako naruszenie godności i dóbr osobistych pracownika, chronionych m.in. na podstawie art. 111 k.p. czy art. 23 i 24 kodeksu cywilnego. Kwestia ochrony przez pracownika jego prawa do prywatności Specyfika stosunku pracodawca-pracownik powoduje, że z jednej strony pracodawca obowiązany jest szanować dobra osobiste pracownika, w tym zwłaszcza jego prawo do prywatności, a z drugiej strony uprawniony jest też do egzekwowania swoich interesów i potrzeb, które uzasadniać mogą konieczność kontrolowania sposobu wykonywania pracy przez pracownika. Dochodzi zatem do swoistego konfliktu interesów: pracodawca chciałby posiadać jak najszersze uprawnienia kontrolne, celem weryfikacji sposobu wykorzystywania czasu pracy przez pracowników i tym samym wyeliminowania lub ograniczenia prywatnej działalności pracownika w miejscu pracy, pracownik zaś – chciałby możliwie najpełniej korzystać w miejscu pracy ze swego prawa do prywatności czy ochrony korespondencji. Elektroniczne systemy rejestracji czasu pracy, identyfikatory rejestrujące każde wejście i wyjście pracownika do/z biura, monitoring poczty elektronicznej, czy też całej aktywności internetowej pracowników, programy służące do podglądania ekranów monitorów (tzw. oko szefa), rejestracja rozmów telefonicznych, nadzór przy pomocy kamer przemysłowych czy też wykorzystywanie danych biometrycznych pracowników (linii papilarnych, obrazu

Zgodnie z obowiązującym prawem dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nie budzi wątpliwości, że do danych osobowych należą imię, nazwisko, data urodzenia czy numer PESEL. Reguluje to ustawa o ochronie danych osobowych. Rzecz jednak dotyczyć może również adresów IP. Z tego założenia wychodzi Komisja Europejska, która w swoich zamiarach ma ujednolicenie prawa w tym zakresie.