Ten wpis miał być zupełnie o czym innym. Chciałam przedstawić Ci relację z Ogólnopolskiej  Konferencji Naukowej „Własność Intelektualna w Działalności Gospodarczej” organizowanej na  Uniwersytecie Marii Curie Skłodowskiej, w moim rodzinnym Lublinie 🙂 .

W szczególności zainteresował mnie panel dotyczący ochrony danych osobowych w biznesie. Tematem tego postu miało być omówienie przewidywań poszczególnych prelegentów co do kształtu nowej ustawy o ochronie danych osobowych, przygotowywanej przez ministerstwo cyfryzacji. Znakomici specjaliści zastanawiali się między innymi  nad tym, czy nasz ustawodawca wprowadzi ogólne reguły dotyczące ochrony danych osobowych- przenosząc przepisy RODO, czy raczej podejdzie do zagadnienia kazuistycznie- regulując zagadnienia dotyczące ochrony danych osobowych w sposób bardziej szczegółowy. Wprawdzie celem RODO było stworzenie regulacji, które są „elastyczne” i dostosowują się do rozwoju nowych technologii, a poprzez dość duży poziom ogólności mają pozostawać aktualne również w przyszłości, to w niektórych krajach , w których ukazały się projekty nowych ustaw, można zauważyć dość szczegółowe rozwiązania. Dlatego też wciąż pozostawało więcej pytań niż odpowiedzi.

W międzyczasie jednak pojawił się długo oczekiwany pierwszy projekt ustawy o ochronie danych osobowych 🙂 , więc mogę przedstawić już pewne konkrety 🙂 .

Projekt został opublikowany przez Ministerstwo Cyfryzacji w miniony wtorek. Przedstawiciele Ministerstwa Cyfryzacji podkreślili jednocześnie, że ma on charakter roboczy i może jeszcze ulec zmianie. Zapewne tak się stanie, ale przedstawiony dokument z pewnością pokazuje, w jakim kierunku idzie nasz ustawodawca.

Opublikowany projekt obejmuje przepisy ogólne, postępowanie w sprawie naruszeń oraz postępowanie kontrolne, ochronę danych osobowych, europejską współpracę administracyjną, administracyjne kary pieniężne, odpowiedzialność cywilną i kwestie związane z inspektorami ochrony danych.

Jakie największe zmiany czekają nas w dziedzinie ochrony danych osobowych? Dziś przedstawię tylko kilka z nich, ale obiecuję informować Cię na bieżąco.

1. Prezes Urzędu Ochrony Danych Osobowych zamiast Generalnego Inspektora Ochrony Danych Osobowych.

Projekt zakłada powołanie w miejsce obecnego GIODO nowego organu – Prezesa Urzędu Ochrony Danych Osobowych.

Jest to zmiana podyktowana wprowadzeniem przez RODO instytucji inspektora ochrony danych osobowych, który będzie pracownikiem administratora danych osobowych. Zmieniono zatem nazwę organu, aby nie wprowadzać w błąd podmiotów zobligowanych do stosowania ustawy. Jak podkreślają doradcy Ministerstwa Cyfryzacji, zaproponowane zmiany nie zmieniają kompetencji organu ochrony danych osobowych.

2. KPA z pewnymi odrębnościami.

Postępowania przed Prezesem Urzędu Ochrony Danych Osobowych będą przeprowadzane na podstawie przepisów Kodeksu Postępowania Administracyjnego z pewnymi odrębnościami.

Projekt przewiduje między innymi:

–  możliwość żądania wszczęcia postępowania przed Prezesem Urzędu bądź udziału w takim postępowaniu organizacji społecznej w przypadku, gdy przemawia za takim rozwiązaniem interes osoby, której prawa zostały naruszone,

-przyznanie Prezesowi Urzędu  uprawnienia do wyznaczenia stronie terminu do przedstawienia dowodów,

– przyznanie Prezesowi Urzędu uprawnienia do zobowiązania podmiotu, któremu zarzucane jest naruszenie ochrony danych do ograniczenia przetwarzania wraz ze wskazaniem dopuszczalnego zakresu takiego przetwarzania. Prezes Urzędu będzie mógł również udzielić w drodze decyzji administracyjnej upomnienia.

3. Jednoinstancyjne postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych.

Zmiana ta ma przyspieszyć postępowania przed tym organem.  Postępowania będą jednoinstancyjne, z tym zastrzeżeniem, że organ będzie miał prawo do autokontroli swoich rozstrzygnięć. Ponadto postępowanie kontrolne będzie mogło trwać maksymalnie miesiąc, a  decyzje Prezesa Urzędu będą miały rygor natychmiastowej wykonalności.

Co ważne, bo to chyba najbardziej interesujące zagadnienie , ze względu na medialne nagłośnienie, rygoru natychmiastowej wykonalności nie przewidziano do decyzji o nałożeniu kary finansowej.

Co więcej, poza drogą administracyjną powstanie możliwość skierowania roszczeń z tytułu naruszenia prawa ochrony danych osobowych do sądu powszechnego, z pominięciem konieczności złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

To tylko niektóre z przewidzianych zmian. Jak już wcześniej zaznaczyłam, będę starała się na bieżąco relacjonować kolejne pomysły ustawodawcy.

Wracając do konferencji, o której wspominałam na początku mojego wpisu – eksperci, jak i uczestnicy konferencji zgodnie podkreślali, że celem nowych  przepisów  jest wprowadzenie regulacji mających na celu większą ochronę prywatności osób fizycznych. RODO dąży do zabezpieczenia naszego interesu przy jednoczesnym umożliwieniu działalności przedsiębiorstw działających w branży nowych technologii. Ponieważ miałam niewątpliwą przyjemność posłuchać wykładów członków zespołu przygotowującego nową ustawę, jestem przekonana, że ten cel zostanie osiągnięty 🙂 .

Ostatnio wpadły mi w ręce bardzo ciekawe badania dotyczące świadomości polskich przedsiębiorców co do obowiązków, jakie mają na podstawie przepisów o ochronie danych osobowych. Choć ustawa o ochronie danych osobowych w tym roku obchodzi swoje dwudziestolecie, okazuje się, że niestety wiele firm ma problemy z jej stosowaniem. Ze wspomnianych przeze mnie badań wynikało, że jedynie mała część firm ma świadomość obowiązku stosowania ustawy o ochronie danych osobowych, a ponadto jest to szczątkowa wiedza, która nie pozwala na  dostosowane organizacji firmy do wymogów  stawianych przez ustawę o ochronie danych osobowych.

Moje dotychczasowe obserwacje dotyczące stosowania przepisów ustawy o ochronie danych osobowych niestety są tożsame z wynikami przeprowadzonych badań. Jedynie nieznaczna część właścicieli średnich i mniejszych firm zdaje sobie sprawę, że obowiązują ich przepisy ustawy o ochronie danych osobowych, mimo to  nie stosują tych przepisów.

Według mnie powodów jest wiele. Po pierwsze nie bardzo wiadomo, co należy chronić, po drugie nie wiadomo jak, a po trzecie właściciel mniejszej firmy raczej spodziewa się kontroli z ZUS albo Urzędu Skarbowego niż GIODO. Prawdą jest, że nie ma wśród przedsiębiorców przekonania, że brak stosowania przepisów o ochronie danych osobowych może narazić ich na przykre konsekwencje, skoro wiec nie obawiają się kary od GIODO, to nie przykładają większej wagi do stosowania ustawy.

Tak było dotychczas i zapewne będzie do maja 2018 r. Dlaczego tylko do maja? Dlaczego, że w 2018 r., zaczną być bezpośrednio stosowane przepisy Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które weszło w życie dnia 24 maja 2016 r- w skrócie RODO.

Jego przepisy będą miały bezpośrednie stosowanie od 25 maja 2018 r. Z tym też dniem uchylone zostaną przepisy dotychczasowej ustawy o ochronie danych osobowych i z tym dniem Ty drogi przedsiębiorco będziesz musiał dostosować działalność prowadzonego przez Ciebie przedsiębiorstwa do przepisów RODO.

Dla firm programistycznych uchwalenie RODO ma podwójnie duże znaczenie, gdyż będą one musiał dostosować nie tylko strukturę i sposób działania swojego przedsiębiorstwa, ale także dostosować swoje produkty do zasad określonych przez RODO-tak, aby dostarczyć odbiorcy program zgodny z powszechnie obowiązującymi przepisami w zakresie ochrony danych osobowych. RODO rzeczywiście dużo namiesza w dziedzinie ochrony danych osobowych. Jest to obecnie chyba najczęściej poruszany temat na różnych szkoleniach i konferencjach branżowych. Firmy zajmujące się przystosowaniem przedsiębiorstw do przepisów RODO powstają jak grzyby po deszczu. A ja co najmniej raz dziennie dostaję maila z zapytaniem, czy przystosowałam moją firmę do przepisów RODO.

Postanowiłam zatem rozpocząć cykl informacyjny na temat RODO. Będę dostarczała Ci informacji na temat ochrony danych osobowych. Początkowo wyjaśnię Ci  podstawowe zagadnienia, postaram się w sposób dostępny wyjaśnić Ci, jakie obowiązki masz na gruncie dotychczasowych przepisów. Docelowo zaś zajmę się omówieniem zagadnień z zakresu RODO. Mam w planach również wywiady ze specjalistami z branży, sprawozdania z konferencji i różne inne atrakcje 🙂 Mam nadzieję, że ten cykl pomoże Ci  w dostosowaniu się do najnowszych przepisów.

Dlaczego to takie istotne? Dlatego, że RODO wpłynie na wszystkie firmy, niezależnie od wielkości, regionu i branży a przedsiębiorstwa, które nie zadbają o zgodność z RODO, mogą ponieść wysokie kary finansowe.

Uwielbiam spotkania prawników z informatykami- to zderzenie dwóch różnych światów, które zawsze dostarcza mi wielu inspiracji i przemyśleń :). Ostatnio uczestniczyłam w żywiołowej dyskusji na temat tworzenia kopii zapasowej programu komputerowego.  Ta ciekawa rozmowa, prowadzona przy duuuużym kubku herbaty:), zainspirowała mnie do stworzenia nowego wpisu, w którym przybliżę Ci zasady tworzenia kopii zapasowej programu. Postaram się także wyjaśnić jakie działania użytkownika związane z utworzeniem kopii zapasowej musisz tolerować, a kiedy takie działanie będzie niezgodne z prawem.

Czy wiesz, że przepisy ustawy o prawach autorskich i prawach pokrewnych wprost wskazują, że:

  • sporządzenie kopii zapasowej, jeżeli jest to niezbędne do korzystania z programu komputerowego, nie wymaga Twojego zezwolenia?
  • zezwolenie na sporządzenie kopii zapasowej nie może zostać wyłączone lub ograniczone umową?

Innymi słowy, niezależnie od tego, czy w umowie wyłączysz to uprawnienie, użytkownik ma prawo do wykonywania kopii zapasowej oprogramowania, jeżeli jest to konieczne do korzystania z niego.

Jednakże, czy przytoczone przepisy  oznaczają , że użytkownik może kopiować program do woli, kiedy chce i gdzie chce – a Ty nie możesz się temu w żaden sposób sprzeciwić?

Nic bardziej mylnego!

Jako twórca oprogramowania, powinieneś wiedzieć, że niedopuszczalne jest zainstalowanie  programu na dwóch komputerach (np. na komputerze stacjonarnym i przenośnym) i naprzemienne ich używanie przez użytkownika.

Zgodzę się z tym, że kopia programu komputerowego może być zapisana w sposób dowolny tj. na dysku twardym, pendrive czy w ramach Cloud ,w wersji instalacyjnej czy jako Back up- różne mogą być kombinacje. Ważne jest jednak to, że Użytkownik musi wybrać jeden sposób zapisu, na jednym urządzeniu, bo przepisy literalnie wskazują, że może stworzyć tylko jedną kopię zapasową. Co do zasady nie jest zatem dozwolone sporządzanie kilku kopii zapasowych (chyba że struktura programu wskazuje na to, że trzeba zrobić kilka kopii zapasowych – ale to są sytuacje wyjątkowe). Na ogół zatem panuje zasada:  jeden program, jeden użytkownik, jedna kopia zapasowa oprogramowania na jednym urządzeniu.

Ok, wszystko niby jest jasne, niby mogłabym na tym zakończyć temat kopii zapasowej. Jednak, jak to zazwyczaj bywa, praktyk zawsze znajdzie jakieś ciekawe studium przypadkuJ.

Podczas wspomnianej rozmowy, mój kolega programista, zapytał mnie, co w sytuacji, gdy jako producent oprogramowania zapewni, że niezwłocznie dostarczy nową kopię programu w przypadku np. zniszczenia oryginalnego nośnika? Czy wtedy dozwolone będzie sporządzenie kopii zapasowej?

Przyznam szczerze, początkowo odpowiedziałam, że według mnie ( a raczej według „guru” polskiego prawa autorskiego- J. Barty, R. Markiewicza ) w takim wypadku sporządzenie kopii zapasowej jest zbędne- gdyż producent zapewnia dostarczenie nowej kopii programu. Coś jednak nie dawało mi spokoju i postanowiłam zgłębić temat :). Kiedy zatem wróciłam do tego zagadnienia, poczytałam i zasięgnęłam opinii wśród kolegów, moje początkowe dość liberalne stanowisko uległo zmianie. Obecnie przychylam się do bardziej wyważonej opcji , prezentowanej przez J. Kępińskiego ,że  sporządzenie kopii zapasowej będzie zbędne tylko wtedy, gdy upływ czasu pomiędzy powzięciem informacji o dostarczeniu kopii zapasowej, a nową instalacją jest niezauważalny.

Jeżeli zatem dostarczysz nową kopię programu w takim czasie, że użytkownik nie odczuje trudności w  korzystaniu z oprogramowania, jesteś w stanie wybronić swoje stanowisko o  niedopuszczalności sporządzenia kopii zapasowej- ale pamiętaj, że to zawsze będzie mocno ocenne i uzależnione od konkretnej sytuacji.

Obojętnie jaką opcję wybierzesz, pamiętaj, że zasady tworzenia kopii zapasowej możesz uregulować w umowie. Odpowiednie zapisy mogą uszczegółowić sposób tworzenia kopii zapasowych oraz prawa i obowiązki stron w tym zakresie.  Czy to nie będzie przypadkiem najlepsza opcja:) ?

 

Długo zastanawiałam się czego powinien dotyczyć pierwszy wpis na blogu.

Z kolejnych wpisów na moim blogu z pewnością dowiesz się jak powinna wyglądać prawidłowa umowa na wdrożenie oprogramowania. Dlatego pomyślałam, że dziś napiszę Ci o tym jak umowa wdrożeniowa wyglądać nie powinna. Tak na początek, żebyś wiedział, jakich zapisów w klauzulach dotyczących praw autorskich unikać 🙂

Brak formy.

Zacznijmy od początku – umowa o przeniesienie praw autorskich powinna być zawarta w formie pisemnej pod rygorem nieważności. Wspominam o tym, gdyż w ostatnim czasie zmieniły się przepisy kodeksu cywilnego, do którego wprowadzono formę dokumentową (np. mail, sms) złożenia oświadczenia woli. Pamiętaj jednak, że zawarcie umowy wdrożenia w formie innej niż pisemna (np. drogą mailową) nie powoduje przeniesienia praw autorskich a co najwyżej udzielenie licencji.

2 w 1- czyli udzielenie licencji i przeniesienie praw autorskich majątkowych do utworu.

Tak, to niestety przykład z życia wzięty. Jak zapewne wiesz, w umowie o wdrożenie oprogramowania możesz albo udzielić do oprogramowania licencji albo przenieść do niego majątkowe prawa autorskie – to jakich uprawnień udzielisz zależy od woli Twojej i Twojego partnera biznesowego.

Nigdy nie możesz jednak do tego samego utworu udzielić zarówno  licencji jak i przenieść do niego praw autorskich. Pamiętaj, że te dwie instytucje się wykluczają. Przeniesienie majątkowych praw autorskich do utworu nie jest tym samym, co udzielenie prawa do korzystania z utworu.

Zbyt szerokie lub szczegółowe określenie pól eksploatacji.

Tu mogłoby sprawdzić się znane powiedzenie „ze skrajności w skrajność”. Albo w umowach brak jest określenia pól eksploatacji w ogóle (lub określone są w sposób ogólnikowy), albo część umowy dotycząca pól eksploatacji to niekończąca się wyliczanka pól eksploatacji, nie mająca nic wspólnego z rzeczywistością.

Żadna z opisanych wyżej opcji nie jest prawidłowa. Przeważa stanowisko, że brak określenia pól eksploatacji (lub ogólny zapis, że autor przenosi prawa majątkowe autorskie na wszystkich polach eksploatacji) prowadzi do uznania, że upoważnienie do wykorzystania utworu w określony sposób nie jest objęte umową.

Nadmierne wyliczenie pól eksploatacji jest zaś niekorzystne dla Ciebie jako Autora, gdyż wyzbywasz się praw autorskich majątkowych również w zakresie w jakim druga Strona z tych praw nie korzysta. Gdybyś zaś zachował prawa autorskie na pewnych polach eksploatacji, zaś po drugiej stronie pojawiłaby się potrzeba do wykorzystania  utworu w określony sposób to możecie rozszerzyć klauzulę przeniesienia praw autorskich – także ODPŁATNIE. Pamiętaj , że wtedy to Ty jesteś na dominującej pozycji w trakcie negocjacji 🙂

Przenoszenie prawa do wykonywania praw zależnych… nawet jeżeli druga Strona tego nie oczekuje i nie potrzebuje.

I wtedy pojawia się pytanie: Dlaczego? przecież to dla Ciebie Autorze niekorzystne? Odpowiedź jest zazwyczaj taka sama: bo tak się przecież pisze w umowach wdrożeniowych.

Pamiętaj jednak, że każde wdrożenie jest inne zaś umowa powinna odzwierciedlać rzeczywistą wolę Stron i cel umowy.