Miesiąc: maj 2018 | GWW – doradztwo prawne i podatkowe

AWF we Wrocławiu nie musi zwracać środków z dotacji. Sukces GWW w zakresie korekt finansowych w projektach unijnych

Posted on 30.05.201810.10.2023 by ts_pm

Zarząd Województwa Dolnośląskiego przyznał Akademii Wychowania Fizycznego we Wrocławiu dotację unijną na realizację projektu pn. „Budowa kompleksu boisk do gier otwartych wraz z zapleczem dydaktyczno-naukowym na terenie Pól Marsowych w kompleksie Stadionu Olimpijskiego we Wrocławiu”. To m.in. w tym miejscu odbywały się we Wrocławiu w 2017 r. Igrzyska Sportów Nieolimpijskich The World Games.

Podczas kontroli, pracownicy Urzędu Marszałkowskiego Województwa Dolnośląskiego uznali, że w toku realizacji projektu dopuszczono się naruszenia przepisów ustawy Prawo zamówień publicznych, co poskutkowało nałożeniem na AWF we Wrocławiu sankcji korekty finansowej oraz żadaniem zwrotu części dotacji unijnych.

Wojewódzki Sąd Administracyjny we Wrocławiu w wyroku z dnia 19 kwietnia 2017 r. w sprawie o sygn. akt III SA/Wr 117/17 uznał, że żądanie zwrotu środków nie jest zasadne, a Uczelnia nie dopuściła się nieprawidłowości podczas realizacji przedsięwzięcia inwestycyjnego. Zarząd Województwa Dolnośląskiego wniósł skargę kasacyjną od wyroku sądu I instancji, jednak ta została oddalona wyrokiem NSA z dnia 27 października 2017 r. w sprawie o sygn. akt II GSK 2813/17. Ostatecznie decyzją z dnia 8 maja 2018 r. Zarząd Województwa Dolnośląskiego, będąc związanym oceną prawną wyrażoną w wyrokach sądów administracyjnych, umorzył postępowanie administracyjne w sprawie wydania decyzji określającej kwotę przypadającą do zwrotu środków.

Za przygotowanie merytorycznej koncepcji uchylenia korekty finansowej oraz argumentację z zakresu prawa zamówień publicznych odpowiadał prawnik Grzegorz Karwatowicz, zaś pełnomocnikiem AWF we Wrocławiu przed sądami administracyjnymi obu instancji była radca prawny Joanna Sebzda-Załuska.

CIT: podatkowe zachęty inwestycyjne dla przedsiębiorców

Posted on 28.05.201801.06.2018 by ts_pm

Zezwolenie strefowe zostanie niedługo zastąpione decyzją o wsparciu wydawaną na 10 do 15 lat przez ministra ds. gospodarki. W tym czasie przedsiębiorca będzie mógł wykorzystać pomoc publiczną w formie zwolnienia podatkowego.

10 maja 2018 r. uchwalona została ustawa o wspieraniu nowych inwestycji, będąca pierwszym krokiem mającym „zastąpić" ustawę z 20 października 1994 r. o specjalnych strefach ekonomicznych. Senat przyjął 16 maja 2018 r. nowe regulacje bez poprawek.

Obie ustawy będą funkcjonować równolegle do czasu działania specjalnych stref ekonomicznych (dalej: SSE), czyli do 2026 roku. Jednak od momentu wejścia w życie nowej ustawy, postępowania o uzyskanie zezwolenia nie będą prowadzone na podstawie dotychczasowych przepisów z wyjątkiem tych, które są związane ze zmianą granic strefy. Jest to bardzo ważna informacja dla przedsiębiorców, którzy planowali rozpocząć działalność gospodarczą na preferencyjnych warunkach.

NA TERENIE CAŁEJ POLSKI

Zgodnie z art. 5 ust. 2-3 ustawy o wspieraniu nowych inwestycji, obszarem inwestycyjnym będzie terytorium RP, podzielone na obszary, zarządzane przez zarządzającego obszarem. Inwestycje na konkretnym terytorium strefowym nastręczały przedsiębiorcom wiele problemów, w szczególności w zakresie uzyskania zezwolenia strefowego, a także rozszerzania granic strefowych, co jest procedurą długotrwałą oraz wymagającą nakładów finansowych. Uchwalona zmiana w sposób istotny ułatwia możliwość inwestycji na terenie całego kraju przez przedsiębiorców, niezależenie od miejsca prowadzonej działalności gospodarczej, w formie założenia nowego przedsiębiorstwa lub reinwestycji.

DECYZJA O WSPARCIU

Zezwolenie strefowe zostanie „zastąpione" decyzją o wsparciu wydawaną na okres od 10 do 15 lat przez ministra właściwego ds. gospodarki na wniosek przedsiębiorcy. Będzie to maksymalny okres, w którym przedsiębiorca będzie mógł wykorzystać pomoc publiczną w formie zwolnienia podatkowego. W przypadku przedsiębiorcy chcącego zainwestować na terytorium określonej strefy, decyzja o wsparciu wydawana jest na 15 lat. Procedura uzyskania decyzji o wsparciu zostanie uregulowana w rozporządzeniu wykonawczym do nowej ustawy.

DODATKOWE KRYTERIA

Oprócz kosztów kwalifikowanych, które muszą zostać poniesione przez przedsiębiorcę przy udzielaniu decyzji o wsparciu, brane będą pod uwagę kryteria ilościowe oraz jakościowe. Nie jest na razie znany kształt rozporządzenia regulujący kwestie minimalnych nakładów inwestycyjnych, jak i wspomnianych kryteriów. Bazując na informacjach Ministerstwa Inwestycji i Rozwoju oraz projekcie rozporządzenia w sprawie pomocy publicznej udzielanej przedsiębiorcom na obszarach SSE, można jednak podejrzewać, że wspomniane kryteria ilościowe odnosić się będą do minimalnych kosztów kwalifikowanych inwestycji w konkretnym powiecie, bazujących na stopie bezrobocia. W przypadku kryteriów jakościowych, pod uwagę brane będą założenia z ustawy z 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju oraz wytyczne ze średniookresowej strategii rozwoju kraju, tj. przede wszystkim tworzenie wyspecjalizowanych miejsc pracy czy działalność badawczo-rozwojowa.

CHRONOLOGICZNE ROZLICZANIE

Ustawodawca zadbał o doprecyzowanie kwestii rozliczania pomocy publicznej w przypadku dwóch lub więcej decyzji o wsparciu/zezwoleń strefowych. Rozliczenie pomocy publicznej będzie więc następować chronologicznie, zgodnie z kolejnością ich wydawania w formie jednego wyniku podatkowego działalności zwolnionej, bez względu na liczbę posiadanych decyzji o wsparciu/zezwoleń strefowych.

Wątpliwości interpretacyjne budzi jednak art. 13 ust. 8 nowej ustawy, mówiący o możliwości rozliczenia pomocy publicznej jedynie w stosunku do decyzji, w ramach której określona inwestycja jest realizowana. Organy skarbowe mogą interpretować wspomniany przepis w sposób dosłowny, co neguje możliwość rozliczenia pomocy publicznej łącznie. Regulacja w takim kształcie może stworzyć zarzewie konfliktu na linii przedsiębiorcy – fiskus.

Przykład

Spółka posiada decyzję o wsparciu oraz zezwolenie strefowe. W związku z działalnością prowadzoną na podstawie decyzji o wsparciu, uzyskała w danym roku dochód w wysokości 1 000 000 zł, natomiast działalność określona zezwoleniem strefowym przyniosła stratę – 100 000 zł. Przyjmując, że podatek dochodowy wynosi 19 proc., w przypadku łącznego rozliczania limitu pomocy publicznej spółka wykorzysta 171 000 zł w związku z potrąceniem dochodu ze stratą:

19 proc. x (1 000 000 zł – 100 000 zł) = 171 000 zł.

W przypadku odrębnego rozliczenia działalności zwolnionej spółka musiałaby wykorzystać 190 000 zł przewidzianego dla niej limitu pomocy publicznej w stosunku do działalności określonej w decyzji o wsparciu:

19 proc. x 1 000 000 zł = 190 000 zł

KLAUZULA ANTYOPTYMALIZACYJNA

W związku z nową ustawą, pojawia się również odniesienie do wprowadzenia do ustawy o CIT oraz o PIT tzw. klauzuli anty-optymalizacyjnej. Oznacza to, że przedsiębiorcy grozi utrata prawa do zwolnienia podatkowego, jeżeli w wyniku zawarcia umowy, przeprowadzenia czynności prawnej lub wielu powiązanych ze sobą czynności prawnych w zakresie uzyskanej decyzji o wsparciu lub zezwolenia strefowego, jego głównym celem było uzyskanie zwolnienia od podatku dochodowego lub uniknięcie opodatkowania.

podstawa prawna:ustawa z 20 października 1994 r. o specjalnych strefach ekonomicznych (tekst jedn. DzU z 2017 r. poz. 1010 ze zm.)

podstawa prawna: ustawa z 10 maja 2018 r. o wspieraniu nowych inwestycji (w chwili oddawania do druku tego numeru Rzeczpospolitej ustawa czekała na podpis prezydenta)

Link do artykułu.

Ocena wodnoprawna, czyli nowa decyzja w procesie inwestycyjnym

Posted on 25.05.201808.06.2018 by ts_pm

Proces inwestycyjny to skomplikowana administracyjnie machina. Dla jej napędu niezbędne jest uzyskanie kolejnych, następujących po sobie decyzji administracyjnych, warunkujących realizację planowanych działań. Coraz więcej uzgodnień musi zostać dokonanych na wstępnym etapie procesu, jeszcze przed wystąpieniem z wnioskiem o wydanie pozwolenia na budowę. Warto zwrócić uwagę, iż mechanizm tak funkcjonującego organizmu od niedawna rozszerzył się o kolejne „koło zębate”, bez którego cała machina w ogóle nie ruszy do przodu.

Zgoda wodnoprawna

Ocena wodnoprawna, bo o niej w tym miejscu mowa, to jedno z nowych rozwiązań, jakie przyniosła nam nowelizacja Prawa wodnego. Stanowi ona, obok pozwoleń wodnoprawnych czy zgłoszeń wodnoprawnych, jedną z decyzji, należących do zbiorczej kategorii zgód wodnoprawnych. Co ciekawe, obowiązek uzyskania tej decyzji poprzedza wystąpienie z wnioskiem o wydanie pozwolenia wodnoprawnego. Wydanie pozwolenia, z kolei, poprzedzać musi złożenie wniosku o wydanie pozwolenia na budowę. Tak więc łańcuch uzgodnień ulega wydłużeniu o kolejne ogniwo.

Kiedy ocena wodnoprawna będzie wymagana?

To chyba jedno z kluczowych pytań w kontekście ocen wodnoprawnych, a jednak pozostaje póki co bez odpowiedzi. Szczegółowy katalog inwestycji i działań, których realizacja wymagać będzie oceny wodnoprawnej ma zostać określony przez właściwego ministra w drodze odrębnego aktu prawnego. Należy przypuszczać, iż będzie to rozporządzenie zbliżone w swoim kształcie do rozporządzenia określającego aktualnie rodzaje przedsięwzięć, dla których niezbędne jest uzyskanie decyzji o środowiskowych uwarunkowaniach. A więc określające zarówno rodzaj inwestycji, jak i parametry graniczne. Niemniej dopóki rozporządzenie nie zostanie opublikowane, szczegółowy zakres będzie owiany tajemnicą.

Na chwilę obecną bardzo ogólnie można stwierdzić, iż oceny wymagać będą przedsięwzięcia mogące wpłynąć na możliwość osiągnięcia celów środowiskowych. Chodzi o cele określone dla jednolitych części wód, m.in. w zakresie korzystania z usług wodnych czy wykonania urządzeń wodnych.

Analiza wpływu inwestycji

Pojawia się więc pytanie – jakim celom kolejne uzgodnienie ma służyć? Cała procedura ma zmierzać do tego, aby wykazać, iż planowana inwestycja nie będzie stanowiła zagrożenia dla celów środowiskowych, określonych w dokumentach planistycznych. Takimi dokumentami są plany gospodarowania wodami na obszarze dorzeczy. Innymi słowy, w wyniku realizacji danego przedsięwzięcia nie może ulec pogorszeniu stan wód, a samo przedsięwzięcie nie będzie kolidowało z osiągnięciem określonych parametrów jakościowych tych wód.

Jeżeli w wyniku analizy przedłożonej dokumentacji, organ stwierdzi, iż planowana inwestycja wpływa korzystnie na możliwość osiągnięcia celów środowiskowych lub też nie wpływa w ogóle na możliwość osiągnięcia celów środowiskowych, wyda ocenę wodnoprawną. W przypadku gdy analiza wykaże, że mimo podjętych działań, wpływ ten jest negatywy, organ odmówi wydania oceny wodnoprawnej.

Ponieważ ocena wodnoprawna, o ile jest wymagana, stanowi załącznik do wniosku o wydanie pozwolenia wodnoprawnego. Jej brak uniemożliwi zatem jego wydanie. To z kolei może wpłynąć negatywnie na dalsze etapy procesu inwestycyjnego.

Lektura zalecana

I choć o Prawie wodnym pisze się wiele, głównie w kontekście opłat i problemów natury organizacyjnej, warto przeanalizować te kilkanaście przepisów odnoszących się do ocen wodnoprawnych. Chociażby po to, aby w przyszłości na pytanie o decyzję w sprawie oceny wodnoprawnej odpowiedzieć ze spokojem „nie jest wymagana”, aniżeli gorączkowo zastanawiać się w jaki sposób dokonać zmiany lokalizacji inwestycji.

Artykuł został opublikowany na blogu Lexplorers.pl

GWW dołączyła do grona sieci firm prawniczych TELFA

Posted on 24.05.201810.10.2023 by ts_pm

GWW dołączyła do grona sieci firm prawniczych TELFA (The Trans-European Law Firm Alliance). Jest to organizacja zrzeszająca niezależne kancelarie przede wszystkim z Europy i USA.

TELFA działa od 1989 roku. Liczba jej członków przekroczyła 1 000 prawników.

Członkostwo w organizacji TELFA zwiększa rozpoznawalność na rynku europejskim (TELFA poleca prawników swojej organizacji osobom, które szukają kontaktu w danej jurysdykcji), pozwala na dzielenie się wiedzą oraz dobrymi praktykami z prawnikami z innych krajów.

GWW jest jedyną firmą z Polski, która należy do TELFA.

Więcej o organizacji: http://www.telfa.law/

Członek zarządu a tajemnice przedsiębiorstwa

Posted on 18.05.201808.06.2018 by ts_pm

Z uwagi na pełnioną funkcję członek zarządu posiada dostęp do informacji, które mogą stanowić szeroko rozumianą „tajemnicę przedsiębiorstwa”. Dotyczy to przede wszystkim spółek działających w branżach technicznych. Jeżeli spółka projektuje nowe urządzenia, opracowuje nowatorskie technologie, czy zajmuje się badaniem nad lekami, to członek jej zarządu na co dzień korzysta z know-how spółki. Także w przypadku spółek świadczących usługi znajomość rynku może być potraktowana jako „wiedza tajemna”, dzięki której dany podmiot zarabia pieniądze. Jak można się zabezpieczyć przed ujawnieniem tajemnicy przedsiębiorstwa przez członka zarządy po zakończeniu przez niego współpracy ze spółką?

Członek zarządu kończy współpracę ze spółką, co dalej?

Jeżeli członka zarządu nie wiążą zakazy konkurencji, zasadniczo nie ma przeszkód, aby kontynuował on działalność w tej samej branży, w jakiej działał jego dotychczasowy pracodawca. Można więc postawić pytanie, czy taka osoba może korzystać z dotychczas zdobytej wiedzy ?

Jak zawsze, szukając odpowiedzi, odwołać się trzeba do przepisów prawa. Członek zarządu musi pamiętać, że wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa może być uznane za czyn nieuczciwej konkurencji. Zasady odpowiedzialności za naruszenie cudzych tajemnic określone są ustawie z 16.04.1993 r. o zwalczaniu nieuczciwej konkurencji.

Czym są „tajemnice przedsiębiorstwa” ?

Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Oznacza to, że nie każde know-how podlega ochronie. Określone informacje będą stanowić „tajemnicę przedsiębiorstwa”, o ile posiadają one wartość gospodarczą. Nie chodzi przy tym o jakąkolwiek wartość, ale o to, aby istniał bezpośredni związek pomiędzy takimi informacjami a działalnością prowadzoną przez spółkę. Określone dane muszą w sposób obiektywny przedstawiać szczegóły tej działalności i przekładać się na istnienie interesu przedsiębiorcy w ich utajnieniu.

Ponadto, informacje stanowiące „tajemnicę przedsiębiorstwa” nie mogą być ujawnione do wiadomości publicznej. Jeżeli określone dane są powszechnie znane i stosowane na rynku przez wiele podmiotów, nie będą objęte ochroną. Niezależne od tego, przedsiębiorca musi podjąć niezbędne działania w celu zachowania ich poufności.

Jak zabezpieczyć dane?

Jeżeli spółka nie podjęła działań w celu zabezpieczenia danych, to informacja nie jest poufna, ponieważ każdy może mieć do niej dostęp. Spółka powinna wyeliminować ryzyko dotarcia do swoich tajemnic przez osoby trzecie. Przykładowo spółka powinna sporządzić listę informacji poufnych, przechowywać je w sejfie albo zaszyfrować w komputerze, oznaczyć dokumenty klauzulą poufności, itp.

Ponadto, spółka powinna poinformować osoby mające dostęp do danych, że stanowią one tajemnicę przedsiębiorstwa. Nie można założyć, że know-how spółki jest na tyle wyjątkowe, że członek zarządu musi traktować całość pozyskanej wiedzy jako tajemnicę. Jednocześnie zamieszczenie klauzuli dotyczącej poufności będzie niewystarczające, jeżeli odnosić się będzie do danych, które faktycznie nie mają wartości gospodarczej dla spółki.

Jak powinien zachować się członek zarządu ?

Członek zarządu już na początku współpracy powinien wyjaśnić, które konkretnie informacje spółka traktuje jako poufne. Ważne jest, aby zwrócić uwagę na zabezpieczenia w dostępie osób postronnych do tajemnic przedsiębiorstwa. Podejmując takie kroki, członek zarządu będzie wiedział, w jakim zakresie on sam może korzystać z udostępnionych mu informacji.

Wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa będzie wykluczone, jeżeli zagraża lub narusza interes spółki. Powyższy zakaz stosuje się do osoby, która świadczyła pracę na podstawie stosunku pracy lub innego stosunku prawnego – przez okres trzech lat od jego ustania, chyba że umowa stanowi inaczej albo ustał stan tajemnicy. Zachowanie powyższych wymagań jest ważne, ponieważ za ich naruszenie grozi odpowiedzialność cywilna oraz karna.

Artykuł ukazał się na blogu Lexplorers.pl

Inspektor Ochrony Danych – kim jest i kiedy należy go powołać

Posted on 17.05.201824.05.2018 by ts_pm

Inspektor Ochrony Danych (IOD) zastąpi dotychczasowego Administratora Bezpieczeństwa Informacji. Zmienią się też wymagane kwalifikacje osoby pełniącej tę funkcję oraz sytuacje, w których należy ją powołać. Katarzyna Wojdat opisuje na kim ciąży obowiązek powołania IOD oraz jakie są jego obowiązki w kontekście wejścia w życie Rozporządzenia o Ochronie Danych Osobowych.

Pełny artykuł.

RODO a administracyjne kary pieniężne

Posted on 10.05.201810.10.2023 by ts_pm

Wraz z wejściem w życie RODO przedsiębiorcy powinni liczyć się ze wzmożonymi kontrolami ze strony inspektorów organu nadzorczego. Będą oni weryfikować, w jakim stopniu przedsiębiorca wdrożył nowe przepisy. Za ich naruszenie grożą wysokie kary pieniężne. Co dokładnie im grozi za naruszenie wymogów stawianych przez RODO?

Obecnie na podstawie przepisów krajowych za naruszenie przepisów prawa ochrony danych osobowych przedsiębiorcy grozi odpowiedzialność karna, administracyjnoprawna oraz cywilnoprawna.

Od 25 maja, gdy wejdzie w życie RODO, zaczną również obowiązywać bardzo wysokie kary pieniężne, sięgające nawet kilku milionów euro. Mają one być skuteczne, proporcjonalne i odstraszające. Za każdym razem branych pod uwagę będzie kilka czynników, m.in.:

charakter, waga i czas trwania naruszenia przy jednoczesnym uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
umyślny lub nieumyślny charakter naruszenia;
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych;
wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
kategoria danych osobowych, których dotyczyło naruszenie.

Wysokość kary w RODO

Karze pieniężnej do wysokości 10 mln euro, a w przypadku przedsiębiorstwa w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlega m.in.:

administrator i podmiot przetwarzający w przypadku naruszenia m.in. obowiązków otrzymania zgody przez dziecko na przetwarzanie danych osobowych, naruszenie zasad ochrony danych osobowych w fazie projektowania;
podmiot certyfikujący – w przypadku naruszenia przepisów dotyczących certyfikacji.

Administracyjnej karze pieniężnej w maksymalnej kwocie 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlega:

naruszenie przepisów podstawowych zasad przetwarzania, w tym warunków zgody;
naruszenie praw osób, których dane dotyczą, np. prawa do przenoszenia danych, prawa do bycia zapomnianym, prawa do informacji czy prawa dostępu; przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
naruszenie wszelkich obowiązków wynikających z prawa państwa członkowskiego;
nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Jak widać, górna granica kar ustawiona jest bardzo wysoko. Nie wydaje się jednak, aby kary, zwłaszcza te nakładane na początku obowiązywania RODO, sięgały górnych granic.

Według danych statystycznych przedstawionych przez GIODO w 2016 r. przeprowadzono 192 kontrole, a w 2017 r. – 199. Z raportu GIODO wynika, że przy okazji badania systemów informatycznych w 2016 r. tylko 1 proc. badanych systemów nie wypełniało obowiązku posiadania dokumentacji przetwarzania danych osobowych. Badanie systemów informatycznych w latach 2013-16 pod kątem realizacji wymogów technicznych i organizacyjnych wykazało, że niemalże wszystkie obowiązki były wypełnione ze stuprocentową skutecznością.

*Autor: Katarzyna Blachowicz, radca prawny, młodszy partner w Kancelarii Prawnej GWW

Artykuł ukazał się w Gazecie Wyborczej.

Zasady przetwarzania danych osobowych

Posted on 10.05.201810.10.2023 by ts_pm

Rozporządzenie o ochronie danych osobowych będzie stosowane bezpośrednio, a więc przedsiębiorcy przetwarzający dane będą zobowiązani przestrzegać wprost wszystkich zasad dotyczących ochrony prywatności. Przedsiębiorco! Przygotuj się już dziś na ewolucję w ochronie danych osobowych.

Czym jest „przetwarzanie danych osobowych”? Według RODO przetwarzanie oznacza "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (artykuł 4 pkt 2 RODO)".

Jest to jednak tylko wyliczenie przykładowe – katalog czynności przetwarzania ma charakter otwarty. Wynika on z tego, że nie jest możliwe określenie z góry, jakie czynności mogą wchodzić w zakres przetwarzania. Co istotne – i nieintuicyjne – już samo zbieranie danych osobowych stanowi ich przetwarzanie.

Oto czego musi dopilnować administrator danych:

1. Zasada przejrzystości, rzetelności i legalności (zgodności z prawem)

Przejrzystość.

Zasada przejrzystości wiąże się ściśle z obowiązkami informacyjnymi nałożonymi na administratora. Będzie ona dochowana, gdy zainteresowana osoba zostanie poinformowana o przysługujących jej prawach w sposób zwięzły, przejrzysty, jasnym oraz prostym językiem.

Rzetelność.

Wymóg rzetelności oznacza nakaz przetwarzania danych w zgodzie z zasadami współżycia społecznego (tj. zgodnie z zasadami stanowiącymi fundament porządku prawnego).

Legalność.

Jedną z najbardziej powszechnych przesłanek do przetwarzania danych jest zgoda na to udzielona przez osobę, której dane dotyczą. Oczywiście w myśl tej zasady konieczne jest przestrzeganie wszystkich przepisów dotyczących ochrony danych osobowych przy ich przetwarzaniu (o bezprawności przetwarzania mówimy, gdy administrator przetwarza dane bez upoważniającej go do tego podstawy prawnej).

2. Zasada celowości

Dane osobowe należy przetwarzać zgodnie z konkretnym, wyraźnym i prawnie uzasadnionym celem. Określając cel, należy unikać ogólnikowych opisów celów przetwarzania.

Zasada ta łączy się z obowiązkiem informacyjnym, czyli z koniecznością informowania zainteresowanych przez administratora o celu przetwarzania danych osobowych.

3. Zasada minimalizacji danych

Zgodnie z tą zasadą zakres przetwarzanych danych powinien być adekwatny, stosowny i ograniczony do osiągnięcia założonego celu.

W praktyce chodzi o to, aby pozyskiwać tylko takie dane, które będą konieczne do osiągnięcia zamierzonego celu. Przykładem może być zawarcie umowy sprzedaży zawartej na odległość. Niezbędnymi danymi do realizacji takiej umowy są:

imię i nazwisko,
adres zamieszkania,
niekiedy także numer telefonu.

Wyżej wymienione dane będą w znacznej liczbie przypadków w zupełności wystarczające do realizacji takiej umowy. W omawianej sytuacji zbędne wydaje się wymaganie od potencjalnego klienta np. danych dotyczących wieku, wykształcenia czy też formy spędzania czasu.

4. Zasada prawidłowości

Wiąże się z obowiązkiem zapewnienia prawidłowości danych oraz z obowiązkiem uaktualnienia danych w przypadku stwierdzenia ich nieprawdziwości lub niekompletności, a także z obowiązkiem sprostowania ich na wniosek osoby, której dane dotyczą.

Dane osobowe powinny być kompletne, zgodne z prawdą i odpowiadać aktualnemu stanowi rzeczy.

5. Zasada ograniczenia przechowywania

Zgodnie z tą zasadą dane powinny być przechowywane przez okres nie dłuższy, niż jest to konieczne dla uzyskania celów, dla których były one przetwarzane.

Przykładem może być prowadzenie rachunku bankowego. Po osiągnięciu celu (moment zamknięcia rachunku bankowego) przetwarzanie danych osoby, która posiadała rachunek bankowy, należałoby uznać za nielegalne.

6. Zasada integralności i poufności (bezpieczeństwa danych)

Administrator danych osobowych zobowiązany jest do przetwarzania danych w taki sposób, który zapewnia ich bezpieczeństwo.

Przede wszystkim chodzi tu o ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem. Ochrona danych powinna zostać zapewniona za pomocą odpowiednich środków technicznych lub organizacyjnych.

7. Zasada rozliczalności

Jest to nowa zasada wprowadzona przez RODO. Administrator danych jest odpowiedzialny za przestrzeganie wszystkich ww. zasad, a co bardzo istotne, musi być w stanie wykazać ich przestrzeganie. Zasada ta nakłada na administratora obowiązek utrwalania i przechowywania informacji pozwalających na wykazanie zgodności podjętych przez administratora działań z przepisami prawa.

*Autor: Katarzyna Blachowicz, radca prawny, młodszy partner w Kancelarii Prawnej GWW.

Artykuł ukazał się w Gazecie Wyborczej.

RODO – o co chodzi i kogo dotyczy

Posted on 10.05.201810.10.2023 by ts_pm

25 maja RODO zacznie obowiązywać wszystkich przedsiębiorców przetwarzających dane osobowe. To największa zmiana przepisów o ochronie danych osobowych od 20 lat i zupełnie inne niż dotychczas spojrzenie na tę kwestię. Oto najważniejsze zmiany.

Co grozi za naruszenie prywatności

Kary pieniężne będą sięgały kwot nawet 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa, a ich wysokość będzie ustalana indywidualnie stosownie do okoliczności danego przypadku. Nakładając karę, organ (w Polsce będzie to tzw. PIODO – Polski Inspektor Ochrony Danych Osobowych) do tego uprawniony będzie zwracał m.in. uwagę na:

charakter, wagę i czas trwania naruszenia,
umyślność lub nieumyślność charakteru naruszenia, działania, jakie zostały podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, której dane dotyczą,
rodzaj danych osobowych, które zostały naruszone.

Jak RODO rozszerza prawa osób, których dane dotyczą

RODO wprowadza:

„prawo do bycia zapomnianym” – czyli prawo do trwałego usunięcia danych osobowych przetwarzanych przez dany podmiot,
prawo do żądania przeniesienia danych – czyli możliwość przeniesienia danych osobowych do innego podmiotu przy zmianie umowy,
rozszerzone prawo do informacji o tym, jakie dane, w jakim celu i przez kogo są przetwarzane,
prawo do wglądu w dane osobowe osoby, której dane dotyczą,
rozszerzone prawo do sprzeciwu wobec przetwarzania danych.

RODO a dane osobowe dzieci

RODO kładzie szczególny nacisk na ochronę prywatności dzieci. Wszelkie informacje i komunikaty dotyczące danych osobowych dzieci powinny być sformułowane jasnym i prostym językiem, aby dziecko mogło je bez trudu zrozumieć.

Jeśli dziecko nie ukończyło 16 lat, przetwarzanie danych osobowych będzie zgodne z prawem tylko wtedy, gdy zgodę wyraziła lub zaakceptowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.

Jakie zmiany wprowadza RODO

Rejestr czynności przetwarzania

Od maja br. niemal wszyscy administratorzy będą zobowiązani prowadzić rejestry czynności przetwarzania danych osobowych. Co istotne, obowiązek prowadzenia rejestru czynności nie będzie dotyczył przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie danych:

może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Inspektor Ochrony Danych

RODO przewiduje obowiązek powołania Inspektora Ochrony Danych w sytuacji, gdy:

przetwarzania danych dokonuje organ lub podmiot publiczny,
główna działalność administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa.

Przykładowo: Inspektora Ochrony Danych będzie musiała powołać zarówno firma hostingowa czy też świadcząca usługi call center, jak i apteka oraz szpital.

Pseudonimizacja

To całkowicie nowe pojęcie na gruncie ochrony danych osobowych. Pseudonimizacja jest środkiem podwyższającym bezpieczeństwo danych osobowych, który będzie mógł być wykorzystywany przez administratorów danych w celu wywiązania się z obowiązku ochrony danych. Proces pseudonimizacji polega na przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

Profilowanie

Po raz pierwszy jakikolwiek akt prawa unijnego wprowadza definicję profilowania. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących tej osoby (np. upodobań, preferencji). Tego rodzaju operacje na danych są powszechnie wykorzystywane w sektorach bankowych czy finansowych.

Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia danych osobowych administrator bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie zobowiązany zgłosić je organowi nadzorczemu. Dodatkowo, w sytuacji wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, administrator bez zbędnej zwłoki będzie zobowiązany poinformować ją o takim naruszeniu.

*Katarzyna Blachowicz radca prawny, młodszy partner w Kancelarii Prawnej GWW.

Artykuł ukazał się w Gazecie Wyborczej.

Anonimizacja i pseudonimizacja danych

Posted on 10.05.201810.10.2023 by ts_pm

Rozporządzenie o ochronie danych osobowych wymaga, aby każdy podmiot przetwarzający dane osobowe dostosował swoje systemy bezpieczeństwa do poziomu ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają dwa istotne przepisy – anonimizację i pseudonimizację. Jak zatem zwiększyć bezpieczeństwo danych osobowych?

Pseudonimizacja to przetworzenie danych tak, by nie można ich było przypisać osobie, której te dane dotyczą, bez użycia dodatkowych informacji. Konieczne jednak jest, aby dane te nie były przechowywane w tym samym miejscu.

Przykładem może być posługiwanie się numerem identyfikacyjnym (zamiast pełnym imieniem i nazwiskiem) oraz ograniczonym zestawem danych.

Przy stosowaniu pseudonimizacji administrator musi dbać o odpowiedni podział zadań dla osób, które zaangażowane są w ten proces. Przede wszystkim musi wyznaczyć osobę odpowiedzialną za nadawanie numeru identyfikacyjnego oraz osobę, która będzie posiadać dane umożliwiające identyfikację powrotną.

Poza wyznaczeniem ról administrator musi też ustalić, na jakich zasadach i w jakich przypadkach możliwa jest identyfikacja powrotna spseudonimizowanych danych.

W artykule 32 ust. lit. a RODO pseudonimizacja jest wymieniona jako jeden ze środków technicznych i organizacyjnych, z którego administrator może skorzystać, aby podwyższyć bezpieczeństwo danych.

Anonimizacja danych nie została zdefiniowana ani w ustawie o ochronie danych osobowych, ani w RODO. Wspomina o niej jedynie motyw 26. preambuły RODO.

Według tego postanowienia zasady ochrony danych osobowych nie powinny mieć zastosowania do danych zanonimizowanych, bo anonimizacja jest nieodwracalna. Nie można więc powrotnie zidentyfikować osób, do których dane należą, a więc de facto przestają one być danymi osobowymi. Przykładem anonimizacji danych może być usunięcie tzw. identyfikatorów, np. imienia, nazwiska czy adresu zamieszkania.

Podstawową cechą różnicującą pseudonimizację i anonimizację jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Co ważne, dane spseudonimizowane w dalszym ciągu podlegają regulacjom dotyczącym ochrony danych osobowych, a dane zanonimizowane już nie. Bezpośrednie wprowadzenie pseudonimizacji do RODO nie służy jednak wykluczeniu innych środków ochrony danych.

*Autor: Katarzyna Blachowicz, radca prawny, młodszy partner w Kancelarii Prawnej GWW

Artykuł ukazał się w Gazecie Wyborczej.