Browsing Tag

rozporządzenie UE

ochrona danych osobowych

Certyfikacja i jej korzyści na gruncie rozporządzenia RODO

2 listopada 2017
Certyfikacja

Certyfikacja a okres przejściowy RODO

Wielkimi krokami zbliża się koniec okresu przejściowego na dostosowanie się do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO, rozporządzenie), które będzie mieć zastosowanie od 25 maja 2018 r. Obok licznych zmian RODO wprowadza m.in. mechanizm certyfikacji.

Czym jest certyfikacja na gruncie RODO?

Certyfikacja stanowi zupełną nowość na gruncie prawa ochrony danych osobowych. Ani dyrektywa 95/46/WE, ani obecnie obowiązująca ustawa o ochronie danych osobowych nie przewidywała instytucji certyfikacji. RODO to zmienia. Zgodnie z art. 42 ust. 1 rozporządzenia państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń,  mających świadczyć o zgodności przetwarzania danych z RODO. W swym założeniu certyfikat ma być dokumentem poświadczającym przestrzeganie przez administratora dobrych praktyk przetwarzania danych osobowych.

Certyfikacja a odpowiednie zabezpieczenie danych

Certyfikacja przypomina w pewnym zakresie System Zarządzania Bezpieczeństwa Informacji (Information Security Management System) zgodnym z wymaganiami normy ISO/IEC 27001[1]. System bezpieczeństwa podobnie jak mechanizm certyfikacji polega na wdrożeniu odpowiednich systemów zabezpieczeń, w szczególności ustanowienia polityki bezpieczeństwa oraz dostosowaniu systemów informatycznych do potencjalnych zagrożeń związanych m.in.: z ryzykiem utraty danych, naruszeniem poufności danych, a także brakiem integralności danych tj. dokładności i kompletności przetwarzanych danych.

Innymi słowy mechanizm certyfikacji polega na stworzeniu domniemania zgodności przetwarzania danych osobowych zgodnie z przepisami rozporządzenia. Niemniej jednak będzie to domniemanie wzruszalne, ponieważ certyfikat nie zwalnia od odpowiedzialności za naruszenie zasad przetwarzania danych określonych w RODO.  Warto podkreślić, że certyfikacja jest całkowicie fakultatywna. To bowiem od decyzji administratora danych czy podmiotu przetwarzającego będzie zależało czy wystąpi on o certyfikat.

Do kogo po certyfikat?

W ramach wstępnych założeń, tylko Prezes UODO będzie mógł udzielić certyfikacji mimo, że RODO dopuszcza udzielenie certyfikatu również przez inne podmioty certyfikujące tj. podmioty prywatne, posiadające stosowną akredytację krajowego organu nadzorczego. Takie rozwiązanie ma swoje plusy i minusy. Niewątpliwą korzyścią „urzędowej” certyfikacji „będzie zapewnienie jednolitości certyfikacji i wyeliminowanie niepewności związanej z oddaniem certyfikacji z prywatne ręce” (P. Litwiński, Certyfikacja w nowych przepisach o ochronie danych osobowych, Firma i Prawo). Z drugiej strony, postępowania administracyjne, toczące się przed Prezesem GIODO, notorycznie się przedłużają. Stoi to z kolei w sprzeczności z interesem administratora, który zainteresowany jest uzyskaniem certyfikatu w możliwie najkrótszym czasie.

Administrator danych lub podmiot przetwarzający, chcący uzyskać certyfikat, będzie musiał wykazać spełnienie kryteriów do jego uzyskania. Kryteria te w przyszłości określi i udostępni Prezes UODO (GIODO) w Biuletynie Informacji Publicznej Urzędu. Na obecną chwilę Prezes GIODO nie określił wspomnianych kryteriów i raczej w najbliższym czasie nie należy się spodziewać ich publikacji.

Przyznanie bądź odmowa przyznania certyfikatu będzie następować w drodze decyzji Prezesa UODO. Certyfikat będzie udzielany na czas określony – maksymalnie do 3 lat (art. 42 ust. 7 RODO). Będzie przy tym istniała możliwość przedłużenia ważności certyfikatu na kolejne okresy.  W trakcie ważności certyfikatu możliwe są kontrole w zakresie spełniania wymogów certyfikacji.

Potencjalne korzyści płynące z certyfikacji

Można zadać pytanie, po co zdobywać certyfikat, skoro nie wyłącza on odpowiedzialności za ewentualne naruszenie przepisów RODO? Argumentów za wprowadzeniem takiego rozwiązania jest co najmniej kilka.

Po pierwsze uzyskanie certyfikatu może mieć istotny walor  wizerunkowy. Obecnie brak jest odpowiednich instrumentów, które pozwoliłby podmiotom danych zweryfikować, czy określony administrator danych rzetelnie wywiązuje się ze swoich obowiązków związanych z ochroną danych osobowych.  Dzięki certyfikacji administrator będzie mógł się wyróżnić na tle konkurencji. W przyszłości może się to przełożyć na wzmocnienie jego pozycji rynkowej. Co więcej, certyfikacja będzie pomocna również samym administratorom, ponieważ ułatwi wybór odpowiedniego podmiotu przetwarzającego dane osobowe na zlecenie (podwykonawcy) w ramach outsourcingu czynności związanych z przetwarzaniem danych. Naturalnym powinien być wybór podwykonawcy mającego certyfikat niż tego, który go nie ma.

Po drugie certyfikat będzie niezwykle użytecznym instrumentem do wykazania realizacji wielu obowiązków przewidzianych wprost w RODO np.: obowiązku zapewnienia bezpieczeństwa danych oraz wdrożenia odpowiednich rozwiązań technicznych i prawnych mające na celu realizację zasady privacy by design / privacy by default.

Po trzecie posiadanie certyfikatu będzie miało wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów rozporządzenia. Zgodnie z art. 83 ust. 2 lit. j RODO krajowy organ nadzorczy, decydując się na nałożenie kary pieniężnej, musi przy ustalaniu jej wysokości wziąć pod uwagę czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji. W ten sposób podmiot posiadający certyfikat może liczyć na łagodniejszy wymiar kary.

Po czwarte certyfikacja jest rozwiązaniem relatywnie tanim. W świetle art. 16 ust. 1 projektu UODO za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa GUS. Biorąc pod uwagę, że przeciętne miesięczne wynagrodzenie za pracę w II kwartale 2017 r. wynosiło 4220,69 zł[2] to całkowity koszt certyfikacji wyniesie ok. 13 000 zł.

Publikacje:

[1] T. Osiej, Charakter prawny nowych mechanizmów certyfikacji w zakresie ochrony danych osobowych, Informacja w administracji publicznej, nr. 2, str. 31.

[2]http://stat.gov.pl/sygnalne/komunikaty-i-obwieszczenia/lista-komunikatow-i-obwieszczen/komunikat-w-sprawie-przecietnego-wynagrodzenia-w-ii-kwartale-2017-roku,271,17.html.

 

W celu zapoznania się z tematyką i najważniejszymi zmianami wprowadzanymi rozporządzeniem RODO zachęcamy lekturę artykułu, umieszczonego na blogu IP Procesowo, pt: „Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony” autorstwa Huberta Kutkiewicza oraz Eweliny Ocipińskiej.

 

WSPÓŁAUTORAMI WPISU SĄ:

  MEC. ANETA PANKOWSKA                                       HUBERT KUTKIEWICZ

 

Powyższy wpis został również opublikowany na portalu Biznes Alert.

własność przemysłowa znaki towarowe

Nowy rodzaj znaków unijnych. Czym są towarowe znaki certyfikujące?

21 sierpnia 2017
znaki certyfikujące

Znaki certyfikujące a ich istota

Z dniem 1 października 2017 roku w obowiązującym na terytorium Unii Europejskiej systemie znaków towarowych pojawi się nowy ich rodzaj, tj. unijne znaki certyfikujące. Zmiana ta jest wynikiem wejścia w życie w dniu 23 marca 2016 roku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/2424 zmieniającego rozporządzenie w sprawie wspólnotowego znaku towarowego (rozporządzenie zmieniające).

Zgodnie z dyspozycją art. 74a Rozporządzenia zmieniającego, unijnym znakiem certyfikującym nazywamy znaki towarowe, które spełniają kumulatywnie poniższe warunki:

  • są zarejestrowane jako unijne znaki towarowe,
  • pozwalające odróżnić certyfikowane przez właściciela towary lub usługi od ich niecertyfikowanych odpowiedników, ze względu na
  • materiał, sposób produkcji, jakość, dokładność lub inne właściwości.

Unijne znaki certyfikujące mogą być rejestrowane na rzecz każdej osoby prawnej (np. Polskie Centrum Akredytacji) lub fizycznej, która następnie upoważnia zainteresowane podmioty do używania przedmiotowego znaku towarowego. Korzystanie przez upoważnionego przedsiębiorcę z oznaczenia certyfikującego oznacza, że towary lub usługi przez niego świadczone spełniają określone w Regulaminie używania, a wyznaczone przez właściciela,  standardy.

W związku z tym, że Regulamin używania odgrywa istotną rolę w procedurze akredytacji, ustawodawca europejski postanowił podkreślić jego szczególną wagę dla zasad używania unijnych znaków certyfikujących w obrocie gospodarczym, poprzez liczne artykuły regulujące między innymi treść Regulaminu. Co więcej, przepisy Rozporządzenia zmieniającego zakreślają również obowiązek właściciela znaku do przedłożenia Regulaminu w procedurze rejestracji znaku towarowego (w terminie dwóch miesięcy od daty zgłoszenia).

Znaki certyfikujące a Regulamin

Zgodnie z Rozporządzeniem zmieniającym, w treści Regulaminu właściciel znaku certyfikującego winien wskazać:

  • osoby uprawnione do używania znaku,
  • właściwości, które mają być certyfikowane znakiem,
  • sposób badania określonych właściwości przez organ certyfikujący,
  • sposób nadzoru (kontroli) nad podmiotami używającymi znaku,
  • warunki używania znaku,
  • sankcje za naruszenie warunków używania.

W polskim systemie prawnym istnieją analogiczne regulacje prawne, normujące problem znaków akredytacyjnych. Zgodnie bowiem z art. 137 PWP: „organizacji posiadającej osobowość prawną, która sama nie używa znaku towarowego, może być udzielone prawo ochronne na znak przeznaczony do używania przez przedsiębiorców stosujących się do zasad ustalonych w regulaminie znaku przyjętym przez uprawnioną organizację i podlegających w tym zakresie jej kontroli (wspólny znak towarowy gwarancyjny)”.

Znaki certyfikujące a regulacja polska

Polska regulacja wykazuje wiele podobieństw do jej unijnego odpowiednika. Obie instytucje (tj. wspólny znak gwarancyjny oraz unijny znak certyfikujący) umożliwiają odpowiednim podmiotom gospodarczym rejestrację tych oznaczeń, których funkcją ma być zapewnienie odbiorcy/konsumenta o charakterystycznych właściwościach, cechujących dane towary lub usługi (bez względu na ich źródło pochodzenia). Oba rodzaje znaków akredytacyjnych mogą być zarejestrowane przez odpowiednie organizacje posiadające osobowość prawną, które jednocześnie nie mogą ich używać we własnej działalności gospodarczej. Jednakże unijny znak certyfikujący – w odróżnieniu od znaku gwarancyjnego – umożliwia osobom fizycznym dokonanie odpowiedniego zgłoszenia.

Na koniec należy wskazać, iż Rozporządzenie zmieniające w sposób bardziej szczegółowy, aniżeli polska ustawa, określa proceduralne aspekty dotyczące rejestracji, używania, naruszenia oraz wygaśnięcia unijnego znaku certyfikującego.

Pomimo że w polskim systemie prawnym istnieje analogiczny do unijnych znaków certyfikujących rodzaj oznaczeń, to wdrożenie omawianego Rozporządzenia zmieniającego należy ocenić pozytywnie. Wprowadzenie na poziomie europejskim ujednoliconych przepisów w zakresie znaków akredytacyjnych, zniweluje wszelką niepewność przedsiębiorców co do prawa obowiązującego w poszczególnych Państwach Członkowskich w tym przedmiocie.

ochrona danych osobowych prawa autorskie prawo IT

Nowe rozporządzenie w sprawie przenoszenia usług online

2 sierpnia 2017
przenoszenie usług online

Przenoszenie usług online – przyczyny zmian

W ostatnim czasie znaczny postęp technologiczny na rynku urządzeń przenośnych spowodował, iż szczególną popularność zdobyła dystrybucja cyfrowa polegająca na odpłatnym udostępnianiu online treści, najczęściej chronionej prawem autorskim, zebranej w jednym pakiecie. Wśród platform, które zdecydowały się na tak funkcjonujący model biznesowy, są tacy potentaci rynku jak Valve, Amazon.com, Netflix czy też Spotify.

Dynamiczny rozwój oraz duże zainteresowanie na tego typu usługi uwypukliły wszelkiego rodzaju mankamenty prawa unijnego. Okazało się chociażby, iż świadczenie powyższych usług online konsumentom czasowo obecnym w państwie członkowskim innym niż państwo członkowskie ich miejsca zamieszkania jest znacznie utrudnione, a często wręcz niemożliwe. Główną przyczyną takiego stanu rzeczy są istotne różnice istniejące pomiędzy poszczególnymi krajowymi porządkami prawnymi w zakresie praw autorskich, zwłaszcza dotyczące ograniczeń terytorialnych (licencje na korzystanie z utworów są co do zasady ograniczane terytorialnie).

Panaceum na powyższe problemy ma być niedawno przyjęte Rozporządzenie Parlamentu Europejskiego i Rady w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści. Motywem przyjętego aktu prawnego jest utworzenie jednolitego rynku cyfrowego w ramach całej UE.

Zakres zastosowania

Niniejsze Rozporządzenie znajduje zastosowanie do umów świadczenia usług online w zakresie treści:

  • w ramach których dostawcy po uzyskaniu licencji na rozpowszechnianie przedmiotów prawa autorskiego (utworów lub transmisji) na danym terytorium umożliwiają za pomocą różnych technik transmisji i pobierania danych korzystanie z utworów prawa autorskiego,
  • z których użytkownik może korzystać bez względu na miejsce swojego pobytu, w szczególności usług dostępnych na przenośnych urządzeniach typu laptop, smartfon, tablet,
  • w ramach których dystrybutor ma możliwość weryfikacji miejsca dokonania płatności za świadczone usługi.

Nadto ustawodawca unijny precyzuje, iż zakresem stosowania niniejszego Rozporządzenia nie są objęte te usługi online, które nie są usługami kulturalnymi i gospodarczymi oraz jedynie pomocniczo wykorzystują przedmioty prawa autorskiego. Chodzi tu o taką działalność, w zakresie której prawa autorskie stanowią jedynie tło dla funkcjonowania całości (np. szata graficzna).

Najważniejsze zmiany

Rozporządzenie, mając na celu zniesienie geoblokad na rynku dystrybucji treści cyfrowych, wprowadza swoistego rodzaju fikcję prawną, zgodnie z którą korzystanie z usług online w miejscu czasowego pobytu odbywa się w miejscu zamieszkania użytkownika takiej platformy. Oznacza to, iż obywatele RP, przebywając w innym państwie UE, chociażby na wakacjach, wyjazdach służbowych czy wymianach studenckich, będą mogli korzystać z platform dystrybucji cyfrowej na tych samych zasadach i warunkach, jakie obowiązują w Polsce. Co więcej, w świetle Rozporządzenia, konsumenci korzystający z powyższych treści będą traktowani tak jakby nadal przebywali w kraju.

Powyższa fikcja prawna odnosi się także do funkcjonalności oraz treści świadczonych usług, które nie powinny odbiegać od stanu jaki obowiązuje w państwie miejsca zamieszkania. Wyjątkiem jest tu regulacja dotycząca jakości, która co do zasady winna być taka sama jak w państwie miejsca zamieszkania, ale nie musi przewyższać swoim poziomem jakości dostępnej lokalnie.

Poprzez utworzenie fikcji prawnej dalszego obowiązywania regulacji krajowych wobec konsumentów przebywających czasowo w państwie trzecim ustawodawca europejski stworzył system, w którym dostawcy i dystrybutorzy treści nie ponoszą odpowiedzialności za potencjalne naruszenia umów licencyjnych ograniczonych terytorialne. Przyjmuje się bowiem, iż usługi są nadal świadczone na podstawie i w ramach prawa państwa miejsca zamieszkania. Z tego też wynika, iż omawiane Rozporządzenie nie ingeruje bezpośrednio w porządek prawny poszczególnych państw europejskich i nie modyfikuje istniejących modeli licencjonowania treści (w tym nie niweczy zasady ograniczenia terytorialnego).

Poza obowiązkiem zapewnienia konsumentom możliwości transgranicznego przenoszenia treści online, dostawcy zobowiązani są do weryfikowania lokalizacji użytkownika w momencie zawierania i każdorazowego przedłużania umowy. W praktyce tego rodzaju usługi są zazwyczaj przez konsumentów opłacane przy pomocy systemu automatycznych transakcji pieniężnych niewymagających obecności osób fizycznych zlecanych na podstawie odnawialnych miesięcznie subskrypcji. W związku z tym wydaje się, że najczęściej stosowanymi środkami weryfikacji lokalizacji konsumentów korzystających z usług dostawców treści online, oprócz sprawdzenia adresów IP, mogą być uzyskiwane informacje dotyczące szczegółów płatności, takich jak rachunek bankowy lub karta kredytowa. Przedsiębiorcy muszą jednak pamiętać, iż stosowanie środków weryfikacyjnych musi być uzasadnione, proporcjonalne, skuteczne oraz zgodne z regulacjami dotyczącymi ochrony danych osobowych.

Kontrowersje i uwagi

Problem istnienia geoblokad od wielu lat stanowił przedmiot dyskusji społecznych oraz debat parlamentarnych. Dotychczasowy stan prawny stanowił niekorzystne z punktu widzenia relacji konsument – przedsiębiorca ograniczenie dla pełnej realizacji zawieranych stosunków cywilnoprawnych. Obie grupy były zainteresowane zniesieniem zasady terytorialności obowiązywania praw autorskich w zakresie treści udostępnianej online – konsumenci z uwagi na chęć korzystania z wcześniej wykupionego pakietu w niezmienionym zakresie podczas swojego pobytu za granicą, zaś przedsiębiorcy z uwagi na obawę przed stratami wynikającymi z ewentualnych rezygnacji zgłaszanych przez użytkowników udających się do państwa trzeciego.

Grupą społeczną negatywnie nastawioną na tego rodzaju zmiany byli przede wszystkim posiadacze praw autorskich. Jest to o tyle zrozumiałe, iż autorzy czerpią zyski z każdorazowo zawieranej umowy licencyjnej obowiązującej na poszczególnych terytoriach państw członkowskich. Dystrybutorzy, chcąc umożliwić korzystanie konsumentom z pakietu w tej samej formie, która istnieje w państwie miejsca zamieszkania, byliby zobowiązani do zawierania kilkunastu umów lub jednej umowy o wyższych kosztach całkowitych.

Powyższe Rozporządzenie starało się wyjść naprzeciw wszystkim zainteresowanym grupom, choć nie obyło się bez legislacyjnych nieścisłości. W praktyce dużo kontrowersji budzi rozumienie pojęcia „czasowej obecności w innym państwie”. Mimo, iż ustawodawca postarał się o definicję legalną powyższego terminu, to uczynił to w wysoce nieprecyzyjny sposób. Nie wiadomo bowiem jak należy rozumieć przesłankę obecności przez ograniczony okres w państwie trzecim. Czy przykładowo wyjazdy w ramach wymian studenckich typu Erasmus będą traktowane jako spełniające powyższy warunek? Na tak postanowione pytanie dopóty trudno będzie udzielić odpowiedzi dopóki przesłanka ograniczenia czasowego nie będzie zakreślona konkretnymi ramami czasowymi.

Jak już słusznie zauważono, opisywane Rozporządzenie ma dość jednostronny charakter[1]. Należy się zgodzić, iż fakt pominięcia sytuacji, w której użytkownik wykupuje pakiet usług online w miejscu czasowej obecności w innym państwie niż państwo miejsca zamieszkania, stanowi swoistego rodzaju lukę prawną, która będzie wykładana zgodnie z dotychczasowym i nieprzystającym do dzisiejszych realiów porządkiem prawnym.

Ciekawą do rozważenia kwestią są także środki weryfikacyjne i ich potencjalny wpływ na konsumentów. Zgodnie z dyspozycją art. 5 Rozporządzenia do dystrybutorów treści cyfrowych UE należy wybór dwóch środków weryfikacji lokalizacji użytkownika spośród wymienionych enumeratywnie w powyższym przepisie. Wydaje się, że niektóre z proponowanych rozwiązań mogą w rzeczywistości być zbyt uciążliwe dla klientów. Taka sytuacja może dotyczyć chociażby wymogu przesłania dysponentom kopii swojego dowodu tożsamości potwierdzającego miejsce zamieszkania, kopii zawieranych umów z przedsiębiorcami udostępniającymi Internet, kopii opłacanych podatków czy też kopii dokonanej rejestracji na liście wyborczej. Pomimo tego, iż Rozporządzenie wymaga, by zastosowane środki były uzasadnione, proporcjonalne i skuteczne, należy stwierdzić, że niektórzy użytkownicy zaniepokojeni możliwością dokonania potencjalnych naruszeń ich danych osobowych, mogą rezygnować z usług transgranicznego przenoszenia treści online. Zdaje się, iż zasadnym byłby postulat przyznania przedsiębiorcom większej swobody w kształtowaniu środków weryfikacji, bowiem to w interesie dystrybutorów leży stworzenie takich mechanizmów, które w jak najmniejszym stopniu będą ingerowały w komfort konsumentów.

Na sam koniec należy zaznaczyć, iż Rozporządzenie nie normuje kwestii związanych z dostarczaniem usługi online świadczonych pierwotnie poza granicami UE. Wydaje się jednak, iż powyższe relacje na tle przenoszenia treści poza granicami państw unijnych będą wynikiem ewentualnych negocjacji w sprawie współpracy, co należy uznać za pozytywne rozwiązanie (zwłaszcza z punktu widzenia ochrony danych osobowych).

[1] M. Kubiak, M. Zawadka, Zmiany w dostępie do usług online wewnątrz UE?, LSW IP BLOG: http://lswipblog.pl/pl/2016/01/zmiany-w-dostepie-do-uslug-online-wewnatrz-ue/