<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Ochrona danych &#8211; Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</title>
	<atom:link href="https://paluckiszkutnik.pl/kategoria/ochrona-danych/feed/" rel="self" type="application/rss+xml" />
	<link>https://paluckiszkutnik.pl</link>
	<description>Kancelaria Adwokacka z ponad 10 letnim doświadczeniem w obsłudze prawnej przedsiębiorstw i osób fizycznych. Biura Kancelarii mieszczą się w Krakowie oraz w Zakopanem.</description>
	<lastBuildDate>Wed, 06 May 2026 12:15:10 +0000</lastBuildDate>
	<language>pl-PL</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.9.4</generator>

<image>
	<url>https://paluckiszkutnik.pl/wp-content/uploads/2021/04/favicon5.png</url>
	<title>Ochrona danych &#8211; Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</title>
	<link>https://paluckiszkutnik.pl</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Systemy wysokiego ryzyka AI Act – czy Twój biznes jest zagrożony?</title>
		<link>https://paluckiszkutnik.pl/systemy-wysokiego-ryzyka-ai-act-czy-twoj-biznes-jest-zagrozony/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Wed, 06 May 2026 11:52:54 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[AI]]></category>
		<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Fintech]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[Własność intelektualna i IT]]></category>
		<category><![CDATA[AIAct]]></category>
		<category><![CDATA[e-commerce]]></category>
		<category><![CDATA[HR]]></category>
		<category><![CDATA[ochrona danych osobowych]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[RODO]]></category>
		<category><![CDATA[sztuczna inteligencja]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=3694</guid>

					<description><![CDATA[<p>AI Act wszedł w życie 1 sierpnia 2024 r. jako pierwsza kompleksowa regulacja sztucznej inteligencji w UE i – jako [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/systemy-wysokiego-ryzyka-ai-act-czy-twoj-biznes-jest-zagrozony/">Systemy wysokiego ryzyka AI Act – czy Twój biznes jest zagrożony?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>AI Act wszedł w życie 1 sierpnia 2024 r. jako pierwsza kompleksowa regulacja sztucznej inteligencji w UE i – jako rozporządzenie – stosuje się bezpośrednio we wszystkich państwach członkowskich. Zapewne większość polskich firm nie podjęła specjalnych działań po wprowadzenie nowych przepisów już ponad półtora roku temu, sądząc mylnie, że ich to po prostu nie dotyczy. Z pewnością swoje dołożyła opieszałość w implementacji przepisów Rozporządzenie o Sztucznej Inteligencji do polskiego prawa. Prace nad ustawą o systemach sztucznej inteligencji wdrażającą unijne przepisy jednak gwałtownie przyspieszyły i projekt trafił wreszcie do Sejmu. Poza tym nie można zapominać, że AI Act jest rozporządzeniem, a więc jego przepisy obowiązują odgórnie państwa członkowskie, bez względu na wdrożenie ich w prawie krajowym.</p>



<div class="wp-block-group is-nowrap is-layout-flex wp-container-core-group-is-layout-ad2f72ca wp-block-group-is-layout-flex">
<p>Przepisy AI Act są wprowadzane etapami, a rok 2026 to moment, w którym dla większości firm kończy się czas przygotowań. Ma to szczególne znaczenie w kontekście systemów wysokiego ryzyka. Wiele organizacji – zwłaszcza z sektorów HR, outsourcingu, fintechu czy medtechu – prawdopodobnie już teraz korzysta z rozwiązań, które kwalifikują się jako high-risk, nie mając właściwie o tym świadomości. Jakie działania należy więc podjąć, aby zorientować się czy Twój biznes jest zagrożony? Jak przygotować się przed graniczną datą 2 sierpnia 2026 r.? &nbsp;&nbsp;</p>
</div>



<figure class="wp-block-image size-large"><img fetchpriority="high" decoding="async" width="1024" height="512" src="https://paluckiszkutnik.pl/wp-content/uploads/2026/05/58642548_programmer-working-to-prevent-computer-virus-2-1024x512.jpg" alt="" class="wp-image-3701" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2026/05/58642548_programmer-working-to-prevent-computer-virus-2-1024x512.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2026/05/58642548_programmer-working-to-prevent-computer-virus-2-300x150.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2026/05/58642548_programmer-working-to-prevent-computer-virus-2-768x384.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2026/05/58642548_programmer-working-to-prevent-computer-virus-2-1536x768.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2026/05/58642548_programmer-working-to-prevent-computer-virus-2.jpg 1600w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Harmonogram stosowania AI Act &#8211; oś czasowa, której nie można ignorować</strong></h2>



<p>Wbrew wielu opiniom przedsiębiorców, którzy wolą nie martwić się na zapas, kwestia „odkładania na później” nie dotyczy tematu AI Act. Przepisy częściowo zaczęły wchodzić w życie 1 sierpnia 2024 r. i od tego czas unijne rozporządzenie obowiązuje również w Polsce. Nie jest prawdą, że AI Act dotyczy jedynie wielkich graczy, dlatego temat dostosowania się do przepisów unijnego rozporządzenia nie powinien być odkładany na później przez żadnego przedsiębiorcę, który stosuje choćby sporadycznie narzędzia oparte na modelu sztucznej inteligencji. Wszystko zależeć będzie tu od sposobu i celu użytkowania.</p>



<p>Kogo zatem, tak naprawdę, obowiązuje rozporządzenie o systemach sztucznej inteligencji i jakie są terminy wprowadzenia przepisów? &nbsp;&nbsp;&nbsp;&nbsp;</p>



<h3 class="wp-block-heading"><strong>Kogo i od kiedy obowiązuje AI Act?</strong></h3>



<p>Co do zasady AI Act obowiązuje wszystkie podmioty używające w jakiś sposób w celach zarobkowych systemów sztucznej inteligencji. Przede wszystkim sposób użycia systemów AI będzie decydował o tym, jakie przepisy rozporządzenia będą się z tym wiązać. Jak zatem przedstawia się harmonogram stosowania AI Act?</p>



<ul class="wp-block-list">
<li>1 sierpnia 2024 r. – wejście w życie AI Act;</li>



<li>2 lutego 2025 r. – przepisy ogólne z rozdz. I-II, zakazy z art. 5, AI Literacy (art. 4);</li>



<li>2 sierpnia 2025 r. &#8211; przepisy dotyczące sztucznej inteligencji ogólnego przeznaczenia (modele GPAI), obowiązki spoczywające na dostawcach modeli AI ogólnego przeznaczenia, wyznaczenie organów nadzoru przez państwa członkowskie (Polska w tej kwestii ma opóźnienie);</li>



<li><strong>2 sierpnia 2026 r.</strong> – wydaje się, że to data kluczowa dla przedsiębiorców, zaczynają obowiązywać przepisy dotyczące systemów AI wysokiego ryzyka zawarte w Załączniku III, przepisy dotyczące przejrzystości (art. 50), właściwie rozpoczyna się egzekwowanie AI Act na szczeblu krajowym i unijnym;</li>



<li>2 sierpnia 2027 r. – przepisy dotyczący systemów wysokiego ryzyka z załącznika I, czyli produktów regulowanych (np. maszyny i urządzenia, transport i motoryzacja, ochrona zdrowia i bezpieczeństwo, produkty konsumenckie).&nbsp;</li>
</ul>



<p>Data 2 sierpnia 2026 r. jest kluczowa dla obszarów związanych z działem HR, outsourcingiem, fintechem, ocena kredytów, świadczeń, rozpoznawaniem biometrycznym. Będą dotyczyć:</p>



<ul class="wp-block-list">
<li>dostawców AI, czyli providers;</li>



<li>użytkowników AI, czyli deployers – będą to np. pracodawcy, firmy rekrutacyjne.</li>
</ul>



<h3 class="wp-block-heading"><strong>Czym jest Digital Omnibus?</strong></h3>



<p>W kontekście przepisów AI Act trudno jest nie wspomnieć o przygotowywanym przez Parlament Europejski Cyfrowym Omnibusie. Ten pakiet deregulacyjny ma uprościć i ujednolić przepisy dotyczące cyberbezpieczeństwa i prywatności. W kontekście AI Actu Digital Omnibus ma proponować, między innymi:</p>



<ul class="wp-block-list">
<li>rozszerzenie uproszczeń dla małych i średnich przedsiębiorstw;</li>



<li>ułatwianie przestrzegania przepisów&nbsp;o&nbsp;ochronie danych&nbsp;poprzez umożliwienie dostawcom&nbsp;i&nbsp;podmiotom stosującym wszystkie systemy&nbsp;i&nbsp;modele AI przetwarzania szczególnych kategorii danych osobowych&nbsp;w&nbsp;celu zapewnienia wykrywania&nbsp;i&nbsp;korygowania stronniczości, przy zapewnieniu odpowiednich zabezpieczeń;</li>



<li>powiązanie harmonogramu wdrażania przepisów dotyczących systemów AI wysokiego ryzyka&nbsp;z&nbsp;dostępnością norm lub innych narzędzi wsparcia.</li>
</ul>



<p>Digital Omnibus wiąże się z propozycją PE o odroczeniu części obowiązków dla systemów wysokiego ryzyka – najwcześniej do 2 grudnia 2027 r. To założenie mogłoby faktycznie opóźnić wejście wymogów, które zgodnie z AI Act swój termin mają 2 sierpnia 2026 r. Jednakże Cyfrowy Omnibus nie stanowi jeszcze przyjętych przepisów, dlatego bezpieczniej dla każdego przedsiębiorcy będzie przygotowywanie swojej działalności tak, aby była zgodna z przepisami, które wejdą w życie 2 sierpnia 2026 r. &nbsp;&nbsp;&nbsp;</p>



<h2 class="wp-block-heading"><strong>Krajowa ustawa implementacyjna Ministerstwa cyfryzacji</strong></h2>



<p>Projekt ustawy o systemach sztucznej inteligencji, który został przyjęty przez Radę Ministrów 31 marca 2026 r., a następnie przekazane do Sejmu, powinien, przynajmniej w teorii, wejść w życie do 2 sierpnia 2026 r. Do tego czasu Polska ma obowiązek uruchomienia przynajmniej jednej piaskownicy regulacyjnej, w której uczestnictw dla MŚP oraz startupów ma być bezpłatne.</p>



<p>Jakie są najważniejsze założenia, na tę chwilę, wersji projektu ustawy?</p>



<ul class="wp-block-list">
<li>zostanie ustanowiony nowy organ nadzorczy – <a>Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji</a> – który ma być niezależny od rządu i ma kontrolować przestrzeganie AI Act i ustawy;</li>



<li>do zadań Komisji należeć będzie między innymi współpraca z Komisją Europjeską i Europejską Radą ds. AI, tworzenie piaskownic regulacyjnych, wydawanie wyjaśnień ogólnych (niewiążących, edukacyjnych) czy nakładanie kar;</li>



<li>jedną z istotniejszych funkcji Komisji będzie możliwość wydawania wiążących opinii indywidualnych dla przedsiębiorców, które umożliwią za opłatą, w terminie 30 dni lub 60 dla spraw bardziej skomplikowanych uzyskanie opinii na temat złożonego zapytania na temat przepisów – będzie to mechanizm wzorowany na interpretacjach podatkowych;</li>



<li>sankcje i kary mają wynikać bezpośrednio z AI Act, co dokładniej umówię poniżej;</li>



<li>ustawa ma dotyczyć każdego przedsiębiorcy wprowadzającego systemy AI do obrotu lub stosującego je w działalności, a także dostawców i operatorów w rozumieniu AI Act.&nbsp;</li>
</ul>



<h2 class="wp-block-heading"><strong>Struktury ryzyka a obowiązki przejrzystości w Rozporządzeniu o Sztucznej Inteligencji</strong></h2>



<p>Zbytnim uproszczeniem byłoby mówić o istnieniu 4 poziomów ryzyka w AI Act, gdyż tak naprawdę unijne rozporządzenia nie tworzy spójnej drabinki od systemów o minimalnym ryzyku aż do systemów zakazanych. Ponadto każda z kategorii ma swoją podstawę prawną w zupełnie innym artykule AI Act. Jak zatem to wygląda w praktyce?</p>



<p><strong>Systemy zakazane</strong> obejmuje bezwzględny zakaz ich używania i nie istnieją żadne wyjątki od tej zasady. Podstawa prawna mieści się w art. 5 AI Act, który dotyczy przede wszystkim bezwzględnego zakazu manipulacji, dyskryminacji czy naruszeń praw podstawowych przy określonym zastosowaniu AI. Jakie najważniejsze zakazane praktyki obejmuje:</p>



<ul class="wp-block-list">
<li>bezwzględny zakaz najbardziej ryzykownych zastosowań AI (dotyczy naruszenia prawa człowieka, bezpieczeństwa lub wolności podejmowania decyzji);</li>



<li>zakaz manipulacji i wpływania na decyzje użytkowników;</li>



<li>zakaz wykorzystywania słabości osób w celu wpłynięcia na ich zachowanie w sposób szkodliwy;</li>



<li>zakaz scoringu społecznego i profilowania „ryzyka przestępczego”;</li>



<li>zakaz niektórych zastosowań biometrii (np. analizowanie emocji pracowników);</li>



<li>silne ograniczenia dla rozpoznawania twarzy w przestrzeni publicznej.</li>
</ul>



<p><strong>Systemy wysokiego ryzyka </strong>są w jakimś stopniu dopuszczalne, ale obarczone jednocześnie rygorystycznymi obowiązkami, co szczegółowo omawiam poniżej. Podstawą prawną będzie tu art. 6 oraz załączniki I i III AI Act.</p>



<p>Odrębną kategorią są <strong>obowiązki przejrzystości</strong>, które reguluje art. 50 AI Act – można powiedzieć, że jest to odrębny reżim obowiązków informacyjnych, który może nakładać się na systemy z każdej innej kategorii. Wejście w życie obowiązków przejrzystości ma nastąpić właśnie 2 sierpnia 2026 r.</p>



<h2 class="wp-block-heading">&nbsp;<strong>Czego dotyczą obowiązki przejrzystości &#8211; kogo obowiązuje art. 50 AI Act?</strong></h2>



<p>Obowiązki przejrzystości, które wynikają z art. 50 AI Act, dotyczą przede wszystkim podmiotów będących:</p>



<ul class="wp-block-list">
<li>dostawcami systemów AI – nie tylko wielkie firmy, ale również np. te polskie, które opierają się na narzędziach modelu GPAI;</li>



<li>wdrażającymi systemy AI;</li>



<li>operatorami systemów AI ogólnego przeznaczenia (GPAI).</li>
</ul>



<p>Przepisy art. 50, które dotyczą biznesu, można podsumować w następujący sposób:</p>



<ul class="wp-block-list">
<li>obowiązek informowania użytkownika o interakcji z AI;</li>



<li>oznaczanie treści generowanych przez AI;</li>



<li>informowanie o rozpoznawaniu emocji i biometrii – osoby poddawane takiej analizie muszą być o tym uprzednio poinformowane, poza tym dodatkowo obowiązuje zgodność z przepisami o ochronie danych osobowych;</li>



<li>obowiązek oznaczania deepfake’ów;</li>



<li>liczy się moment i forma przekazania informacji – to znaczy muszą być przekazane najpóźniej przy pierwszej interakcji oraz w jasny, zrozumiały i dostępny dla użytkownika sposób;</li>



<li>art. 50 AI Act działa równolegle z RODO oraz innymi obowiązkami transparentności w prawie UE oraz krajowym.</li>
</ul>



<h2 class="wp-block-heading"><strong>Czym są systemy wysokiego ryzyka (art. 6 AI Act)?</strong></h2>



<p>Systemy wysokiego ryzyka sztucznej inteligencji są dokładnie opisane w art. 6 AI Act oraz w załącznikach I oraz III. Co istotne, nie można zamknąć tej kwestii w sztywnej definicji, gdyż bardzo istotnym aspektem będzie tu mechanizm samooceny. Jak zatem kwalifikować systemy wysokiego ryzyka AI i na co zwrócić szczególną uwagę?</p>



<h3 class="wp-block-heading"><strong>Dwie ścieżki kwalifikacji systemów high-risk</strong></h3>



<p>Art. 6 AI Act wprowadza dwie ścieżki kwalifikacji uznania systemu AI jako wysokiego ryzyka:</p>



<ol class="wp-block-list">
<li>Pierwsza jest niezależna od katalogu zastosowań z załącznika III rozporządzenia i dotyczy systemów AI związanych z bezpieczeństwem produktów regulowanych w prawie UE. Aby system został uznany za high-risk musi spełnić jednocześnie dwa warunki:</li>



<li>jest wykorzystywany jako element związany z bezpieczeństwem produktu lub sam stanowi produkt objęty regulacjami UE (załącznik I AI Act) – np. AI w urządzeniu medycznym albo w systemach przemysłowych, AI pełni tutaj rolę tzw. <em>safety component</em>;</li>



<li>produkt lub sam system AI jako produkt podlega ocenie zgodności przez stronę trzecią – oznacza to, że tylko taki system AI będzie systemem wysokiego ryzyka, który podlega formalnej procedurze certyfikacyjnej.</li>
</ol>



<p>Data wejścia w życia stosowania tego przepisu to 2 sierpnia 2027 r.</p>



<ul class="wp-block-list">
<li>Bardziej kluczowa dla większości firm usługowych (HR, marketing, fintech, SaaS) będzie kwalifikacja druga oparta na katalogu obszarów zastosowań. Są to systemy AI używane w określonych obszarach życia społecznego i gospodarczego, które opisano w załączniku III AI Act. Są to między innymi obszary związane z:</li>



<li>identyfikacją i kategoryzacją biometryczną osób fizycznych;</li>



<li>zarządzaniem infrastruktura krytyczna i jej eksploatacją;</li>



<li>kształceniem i szkoleniem zawodowym;</li>



<li>zatrudnianiem, zarządzaniem pracownikami i dostępem do samozatrudnienia;</li>



<li>zarządzaniem migracją, azylem i kontrolą graniczną;</li>



<li>dostępem do podstawowych usług prywatnych oraz usług i&nbsp;świadczeń publicznych, a&nbsp;także korzystanie z&nbsp;nich.</li>
</ul>



<p>Data wejścia w życie stosowania tego przepisu to 2 sierpnia 2026 r.</p>



<h3 class="wp-block-heading"><strong>Kluczowy wyjątek – mechanizm samooceny</strong></h3>



<p>Mechanizm samooceny stanowi istotne odstępstwo od ogólnej zasady, zgodnie z którą systemy AI wymienione w załączniku III uznaje się za systemy wysokiego ryzyka <a>(art. 6 ust. 3–4 AI Act).</a> Zgodnie z tym przepisem, system AI nie musi być kwalifikowany jako wysokiego ryzyka, jeżeli <a>nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych, w szczególności z uwagi na brak istotnego wpływu na wynik procesu decyzyjnego</a>. Reasumując kluczowa będzie tutaj praktyczna rola i wpływ na decyzje dotyczące użytkownika.</p>



<p>Na czym będzie polegać brak istotnego wpływu na decyzję? Należy ocenić czy system AI realnie wpływa na decyzję dotyczącą człowieka – to znaczy <strong>nie włączymy</strong> go do systemów wysokiego ryzyka, jeśli AI:</p>



<ul class="wp-block-list">
<li>jedynie wspiera podejmowanie decyzji przez użytkownika;</li>



<li>nie zmienia wyniku podejmowanej decyzji;</li>



<li>nie ogranicza autonomii decyzyjnej człowieka.</li>
</ul>



<p>W jakich wypadkach można zastosować wyjątek mechanizmu samooceny?</p>



<ul class="wp-block-list">
<li>przy wąsko określonych zadaniach proceduralnych, gdzie AI wykonuje techniczne, pomocnicze czynności – jak np. wstępna klasyfikacja danych, sortowanie dokumentów;</li>



<li>poprawie wyniku decyzji człowieka – działanie AI następuje po zakończeniu decyzji i nie wpływa na jej treść – jak np. korekta błędów, optymalizacja raportów;</li>



<li>wykrywanie wzorców bez wpływu na decyzję – AI analizuje i wskazuje wzorce, ale nie zastępuje człowieka ani nie wpływa na decyzję bez jego weryfikacji;</li>



<li>w zadaniach przygotowawczych – AI przygotowuje dane do decyzji, ale jej nie podejmuje – jak np. analiza CV przez oceną rekrutera.</li>
</ul>



<p><strong>UWAGA! – </strong>Nawet w wypadku spełnienia powyższych warunków, jeśli system AI dokonuje profilowania osób fizycznych, to zawsze będzie uznawany za high-risk!</p>



<p>&nbsp;Dostawca, który uzna dany system za niebędący systemem wysokiego ryzyka, ma obowiązek udokumentować swoją ocenę i zrobić to przed wprowadzeniem systemu na rynek.</p>



<h2 class="wp-block-heading"><strong>Główne obszary wysokiego ryzyka z Annex III &#8211; czy Twoja firma tu działa?</strong></h2>



<p>&nbsp;Dochodzimy do momentu, gdzie zapewne jako przedsiębiorca zadajesz sobie pytanie czy faktycznie nowe przepisy, które wejdą 2 sierpnia 2026 r., będą miały realny wpływ na Twoją firmę? Czy Twoja firma działa w obszarach objętych wysokim ryzykiem, które wymienia załącznik III AI Act?</p>



<p>Działalność, która w szczególności powinna przeanalizować użycie systemów AI w kontekście high-risk to:</p>



<ul class="wp-block-list">
<li>HR i zatrudnienie, agencje pracy tymczasowej, outsourcing – dotyczy to zastosowania AI przy screeningu CV, rankingu kandydatów, oceny pracowników, decyzji o awansie czy zwolnieniu;</li>



<li>scoring finansowy stosowany w fintech czy e-commerce – jak np. ocena zdolności kredytowej, scoring klientów, decyzje o dostępie do usług;</li>



<li>edukacja i szkolenia</li>



<li>infrastruktura krytyczna, jak zarządzanie energią czy transport;</li>



<li>administracja i migracja – stosowanie AI przy decyzjach administracyjnych, kontroli granicznej;</li>



<li>wreszcie wymiar sprawiedliwości, który już samych przedsiębiorców nie dotyczy.</li>
</ul>



<h2 class="wp-block-heading"><strong>Przykład praktyczny – agencja pracy i system ATS</strong></h2>



<p>PRZYKŁAD: agencja pracy korzysta z zewnętrznego systemu ATS (Applicant Tracking System) z funkcją automatycznego rankingowania i wstępnego odrzucania kandydatów na podstawie analizy CV.</p>



<p>ANALIZA KWALIFIKACJI HIGH-RISK:</p>



<ul class="wp-block-list">
<li>obszar zastosowania – rekrutacja i selekcja pracowników (jest to pkt 4 Załącznika III AI Act);</li>



<li>funkcja systemu – automatyczny i <strong>realny wpływ na decyzję</strong> o zaproszeniu lub odrzuceniu kandydata;</li>



<li>wniosek – brak podstaw di zastosowania wyjątku mechanizmu samooceny, a zatem system kwalifikuje się jako wysokiego ryzyka.</li>
</ul>



<p>KONSEKWENCJE PODMIOTU STOSUJĄCEGO:</p>



<ul class="wp-block-list">
<li>agencja jako deployer ma obowiązek korzystania z z sytemu wyłącznie zgodnie z instrukcją dostawcy (art. 26 ust. 1 AI Act);</li>



<li>obowiązek poinformowania kandydatów i przedstawicieli pracowników o korzystaniu z AI w procesie rekrutacji (art. 26 ust. 7 AI Act);</li>



<li>obowiązek monitorowania działania systemu i zgłaszania poważnych incydentów;</li>



<li>ewentualny obowiązek przeprowadzenia oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych (art. 27 AI Act).</li>
</ul>



<h2 class="wp-block-heading"><strong>&nbsp;Jakie są obowiązki dla systemów wysokiego ryzyka?</strong></h2>



<p>Wracając jeszcze na chwilę do powyższego przykładu dodam, że wspomniana agencja pracy może błędnie sądzić, że będąc „tylko” użytkownikiem gotowego narzędzia AI od zewnętrznego dostawcy jej obowiązki są minimalne. Nic mylnego. AI Act nakłada obowiązki nie tylko na dostawcę, ale również właśnie na deployera, czyli podmiot stosujący. Dzieje się to niezależnie od tego, kto wyprodukował system AI.</p>



<h3 class="wp-block-heading"><strong>Obowiązki dostawcy – providera (art. 9-17 AI Act)</strong></h3>



<p>Jakie zatem obowiązki ciążą na dostawcach systemów AI, czyli w wypadku naszego przykładu – na firmie, która udostępniła system ATS agencji pracy?</p>



<ul class="wp-block-list">
<li>przede wszystkim to system zarządzania ryzykiem – identyfikacja, analiza, ciągłe monitorowanie prze cały cykl życia systemu;</li>



<li>wysokiej jakości dane treningowe;</li>



<li>dokumentacja techniczna – szczegółowy opis systemu, logika algorytmu, parametry;</li>



<li>rejestrowanie i logowanie działania systemu (audit trail) – możliwość odtworzenia procesu decyzyjnego;</li>



<li>ocena zgodności przed wdrożeniem (conformity assessment) – w wielu przypadkach wymagany jest udział jednostki notyfikowanej (czyli niezależna, zewnętrzna organizacja);</li>



<li>rejestracja w unijnej bazie danych (Eu Database).</li>
</ul>



<h3 class="wp-block-heading"><strong>Obowiązki podmiotu stosującego – deployer (art. 26-27 AI Act)</strong></h3>



<p>Pamiętaj, że nawet jeśli korzystasz z gotowego narzędzia AI od zewnętrznego dostawcy, to jako podmiot stosujący nie jesteś zwolniony z odpowiedzialności i ciążą na Tobie osobne obowiązki wynikające wprost z AI Act. Jakie będę te wymogi stawiane przez unijne rozporządzenie?</p>



<ul class="wp-block-list">
<li>w pierwszej kolejności korzystanie zgodnie z instrukcją dostawcy;</li>



<li>konieczność zapewnienia <strong>nadzoru człowieka</strong> w funkcjonowaniu systemu AI;</li>



<li>monitorowanie działania systemu i zgłaszanie poważnych incydentów organowi nadzoru – zgodnie z projektem polskiej ustawy – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji;</li>



<li>poinformowanie pracowników i ich przedstawicieli o korzystaniu z systemów AI wysokiego ryzyka w miejscu pracy, co jest szczególnie istotne dla działów HR i agencji pracy (art. 26 ust. 7);</li>



<li>dokonanie oceny wpływu na prawa podstawowe (FRIA – Fundamental Rights Impact Assessment), co jest obowiązkowe dla podmiotów publicznych, podmiotów świadczących usługi publiczne oraz instytucje finansowych.</li>
</ul>



<h2 class="wp-block-heading"><strong>Obowiązek AI Literacy &#8211; czym jest i od kiedy obowiązuje?</strong></h2>



<p>W początkowej fazie artykułu, przy przepisach obowiązujących od 2 lutego 2025 r., wspomniałem o AI Literacy. Obowiązek ten dotyczy praktycznie każdej firmy używającej<strong> jakiegokolwiek </strong>narzędzia AI i nie ma tu większego znaczenia, czy jest uznawany za high-risk. AI Literacy to zapewnienie odpowiedniego poziomu kompetencji w zakresie AI wśród pracowników zajmujących się obsługą i wykorzystywaniem systemów AI. Wynika on z art. 4 AI Act i dotyczy wszystkich dostawców oraz podmiotów stosujących systemy AI, niezależnie od klasyfikacji ryzyka. W skrócie sens tego wymogu polega na wcieleniu w życie umiejętności efektywnego, a zarazem bezpiecznego wykorzystania systemu AI w codziennej pracy.</p>



<h2 class="wp-block-heading"><strong>Jakie są unijne sankcje za naruszenia AI Act i brak regulacji w systemach AI wysokiego ryzyka?</strong></h2>



<p>Obowiązujące progi kary za naruszenie AI Act i brak regulacji w systemach AI wysokiego ryzyka wyznacza sam tekst unijnego rozporządzenia. Także projekt polskiej ustawy skierowany obecnie do Sejmu powołuje się na wysokość sankcji sugerowanych przez AI Act. Omówione są one w Rozdziale XII (art. 99-101).</p>



<p>Jak zatem wyglądają progi kar grzywny w wypadku naruszenia AI Act?</p>



<ul class="wp-block-list">
<li>Najwyższa kara przewidziana jest za naruszenie dotyczące zakazanych praktyk AI (art. 5) i wynosi ona aż do 35 mln euro lub jeśli sprawcą jest przedsiębiorstwo – do 7% globalnego rocznego obrotu (w&nbsp;zależności od tego, która z&nbsp;tych kwot jest wyższa).</li>



<li>Nieprzestrzeganie&nbsp;któregokolwiek z&nbsp;przepisów dotyczących operatorów lub jednostek notyfikowanych, innych niż przepisy ustanowione w&nbsp;art. 5, w tym<strong> za naruszenie obowiązków dla systemów wysokiego ryzyka przez podmioty stosujące</strong> (art. 26) czy <strong>naruszenie obowiązków przejrzystości</strong> (art. 50)obowiązuje kara w wysokości do 15 mln euro lub 3 % obrotu (w&nbsp;zależności od tego, która z&nbsp;tych kwot jest wyższa).</li>



<li>Wreszcie za podanie nieprawidłowych, niekompletnych lub wprowadzających w&nbsp;błąd informacji jednostkom notyfikowanym lub&nbsp;właściwym organom krajowym w&nbsp;odpowiedzi na ich wniosek&nbsp;kara wynosi do 7,5 mln euro lub 1 % obrotu (w&nbsp;zależności od tego, która z&nbsp;tych kwot jest wyższa).</li>
</ul>



<p>W Polsce karę nakładać będzie nowy organ nadzorczy, czyli Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.</p>



<h2 class="wp-block-heading"><strong>Jak przygotować firmę &#8211; pięć kroków, aby sprostać wymogom zgodności z AI Act</strong></h2>



<p>Jeśli Twoja firma stosuje narzędzia AI, powinieneś je poddać odpowiedniej audytowi/analizie, żeby mieć pewność, jakie obowiązki AI Act będą dotyczyć Twojej działalności. Najlepiej dokonać tego z wykwalikowaną ku temu kancelarią prawną. Przygotowanie takie można przedstawić w 5 poniższych krokach:</p>



<ol class="wp-block-list">
<li>Inwentaryzacja systemów AI – identyfikacja wszystkich narzędzi AI w firmie, w tym „gotowych” rozwiązań SaaS i zewnętrznych dostawców;</li>



<li>Analiza funkcji i celu systemu – czy system wpływa realnie na decyzje dotyczące osób fizycznych’</li>



<li>Porównanie z Załącznikiem II AI Act – dopasowanie do katalogu obszarów wysokiego ryzyka;</li>



<li>Ocena art. 6 ust. 3 – analiza czy możliwe jest zastosowanie wyjątku, jeśli tak, należy wykonać udokumentowanie oceny, a jeśli nie, uruchomić procedury compliance;</li>



<li>Dokumentacja i procedury – przygotowanie dokumentacji technicznej, polityk nadzoru, procedur zgłaszania incydentów oraz spełnienia obowiązku AI Literacy.</li>
</ol>



<h2 class="wp-block-heading"><strong>Najczęstsze błędy firm w zakresie systemów wysokiego ryzyka modeli AI ogólnego przeznaczenia</strong></h2>



<p>Wśród najczęściej popełnianych błędów w zakresie systemów wysokiego ryzyka można wyliczyć:</p>



<ul class="wp-block-list">
<li>brak inwentaryzacji systemów AI – założenie, że „to tylko narzędzie od zewnętrznego dostawcy” i niebranie pod uwagę obowiązków podmiotu stosującego;</li>



<li>automatyczne uznanie systemu za high-risk bez przeprowadzenia analizy art. 6 ust. 3 – wiąże się to z niepotrzebna nadregulacją lub odwrotnie – błędne wykluczenie systemu bez dokumentacji;</li>



<li>ignorowanie art. 26 ust. 7 – brak informowania pracowników i ich przedstawicieli o stosowaniu systemów wysokiego ryzyka;</li>



<li>ignorowanie obowiązku AI Literacy (art. 4) – który obowiązuje już od lutego 2025 r.;</li>



<li>utożsamianie braku, póki co, przyjęcia polskiej ustawy o systemach sztucznej inteligencji z brakiem obowiązków (AI Act jest rozporządzeniem unijnym, co jest równoznaczne z obowiązywaniem we wszystkich krajach UE, nawet pomimo braku ustawy implementacyjnej).</li>
</ul>



<h2 class="wp-block-heading"><strong>Jak nasza Kancelaria może pomóc w przygotowaniu się przed 2 sierpnia 2026 r.?</strong></h2>



<p>2026 r. wydaje się być dość przełomowym w kontekście wprowadzania w Polsce zmian w przepisach dotyczących systemów AI. Zbliżająca się data 2 sierpnia 2026 niesie ze sobą wejście w życie kolejnych obowiązków AI Act powiązanych z systemami wysokiego ryzyka czy obowiązkami przejrzystości, które pełnią kluczową w wielu obszarach istotnych na polskim rynku: sektorze HR, outsourcingu, agencjach pracy, fintechu czy medtechu. Dodatkowo trwają równoległe prace nad polską ustawą o sztucznej inteligencji, których zakończenie powinno zbiec się z terminem sierpniowym przepisów AI Act. Dlatego tak istotne jest przygotowywanie swojej firmy do tych kluczowych zmian już teraz.</p>



<p>Nasza Kancelaria oferuje kompleksowe wsparcie w zakresie dostosowania działalności do wymogów AI Act, projektowanych regulacji krajowych oraz działających równolegle do rozporządzenia unijnego przepisów, jak RODO, które idą z nim niejednokrotnie „ramię w ramię”. Wesprzemy naszych Klientów w identyfikacji i klasyfikacji systemów AI, przygotowaniu dokumentacji samooceny czy wdrożeniu procedur zgodnych z AI Act. Pomagamy także w przeprowadzeniu analiz wpływu na prawa podstawowe (FRIA), opracowaniu polityk i procedur wewnętrznych oraz dostosowaniu komunikacji z pracownikami (co ma szczególne znaczenie dla agencji zatrudnienia i działów HR). Zapewniamy też doradztwo w zakresie zgodności z RODO, w czym specjalizujemy się od lat oraz wsparcie przy kontrolach czy w kontaktach z organem nadzorczym. Naszym celem jest zapewnienie Twojej firmie zgodności z przepisami, co wiąże się z ograniczeniem ryzyk prawnych związanych z wdrażaniem i wykorzystaniem systemów AI w działalności gospodarczej.</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/systemy-wysokiego-ryzyka-ai-act-czy-twoj-biznes-jest-zagrozony/">Systemy wysokiego ryzyka AI Act – czy Twój biznes jest zagrożony?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Jakie są potrzebne dokumenty do zatrudnienia pracownika &#8211; co mówi kodeks pracy i rozporządzenie w sprawie dokumentacji pracowniczej?</title>
		<link>https://paluckiszkutnik.pl/dokumentacja-pracownicza-i-prawo-pracy/</link>
		
		<dc:creator><![CDATA[Adwokat Piotr Pałucki]]></dc:creator>
		<pubDate>Mon, 29 Sep 2025 09:57:05 +0000</pubDate>
				<category><![CDATA[Prawo pracy]]></category>
		<category><![CDATA[Compliance]]></category>
		<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[Zatrudnianie cudzoziemców]]></category>
		<category><![CDATA[bhp]]></category>
		<category><![CDATA[cudzoziemcy]]></category>
		<category><![CDATA[Dane osobowe]]></category>
		<category><![CDATA[HR]]></category>
		<category><![CDATA[ochrona danych osobowych]]></category>
		<category><![CDATA[PIP]]></category>
		<category><![CDATA[pracownik]]></category>
		<category><![CDATA[prawo pracy]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[umowa o pracę]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2678</guid>

					<description><![CDATA[<p>Zatrudnienie pracownika wiąże się z wieloma etapami – poczynając od znalezienia odpowiedniej osoby na stanowisko i negocjacji umowy po jej [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/dokumentacja-pracownicza-i-prawo-pracy/">Jakie są potrzebne dokumenty do zatrudnienia pracownika &#8211; co mówi kodeks pracy i rozporządzenie w sprawie dokumentacji pracowniczej?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Zatrudnienie pracownika wiąże się z wieloma etapami – poczynając od znalezienia odpowiedniej osoby na stanowisko i negocjacji umowy po jej funkcjonowanie w zespole i ocenę wywiązywania się z obowiązków. Cały ten proces ma jednak również formalną stronę, która wiąże się między innymi z prowadzeniem dokumentacji pracowniczej i zadbaniem o wszelkie aspekty z nią związane. Nieoczekiwana kontrola PIP czy skarga pracownika/kandydata może przynieść pracodawcy spore kłopoty w postaci wysokiej grzywny lub nawet procesu sądowego.</p>



<p>O jakich dokumentach związanych z prawem pracy pracodawca powinien więc pamiętać? Na co zwrócić uwagę, żeby zabezpieczyć swoje interesy w dalszej fazie zatrudnienia? Jakie pracodawca ma uprawnienia, a jakie obowiązki? Na te inne pytania postaram się odpowiedzieć w niniejszym artykule.</p>



<figure class="wp-block-image size-large"><img decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/09/dokumenty-pracownika-1024x683.jpg" alt="" class="wp-image-2679" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/09/dokumenty-pracownika-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/09/dokumenty-pracownika-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/09/dokumenty-pracownika-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/09/dokumenty-pracownika.jpg 1500w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading">Czym są akta osobowe pracownika i dokumentacja pracownicza?</h2>



<p>Zgodnie z art. 94 pkt 9a Kodeksu pracy pracodawca ma obowiązek prowadzić i przechowywać w postaci papierowej lub elektronicznej dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracowników. W skład dokumentacji pracowniczej wchodzą, między innymi, akta osobowe, które z kolei składają się z 5 części: A, B, C, D i E, co dokładniej omawiam poniżej. Pracodawca prowadzi i przechowuje osobno dla każdego pracownika dokumentację pracowniczą (§ 2 Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej w sprawie dokumentacji pracowniczej). Na dokumentację pracowniczą składają się m.in.: dokumenty płacowe, ewidencja czasu pracy, wnioski urlopowe czy wszystkie dokumenty niezbędne do ustalenia praw i obowiązków stron stosunku pracy.</p>



<h2 class="wp-block-heading">Jakie są podstawy prawne prowadzenia dokumentacji pracowniczej &#8211; rozporządzenie i kodeks pracy?</h2>



<p>U podstawy prawnej prowadzenia dokumentacji pracowniczej przez pracodawcę leżą dwa istotne źródła. Pierwszym z nich jest Kodeks pracy. Z jednej strony można tu wymieć art. 22<sup>1</sup>, który mówi o danych, których ma żądać od przyszłego pracownika, na czele z danymi osobowymi, jak i historią zawodową oraz wykształcenia. Są to dane, których zgromadzenie niezbędne do nawiązania i realizacji stosunku pracy.</p>



<p>Z drugiej strony kluczowe zobowiązanie przepisami pracodawcy do prowadzenia i przechowywania dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników (art. 94<sup>1</sup> pkt 9a kp). Dodam, że kolejny pkt tego artykułu (9b) nakazuje pracodawcy, aby dokumentacja ta była prowadzona w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł.</p>



<p>Doprecyzowanie zasad odnośnie samej dokumentacji znajduje się w rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej, które weszło w życie 1 stycznia 2019. Opisano w nim między innymi sposób prowadzenia akt osobowych pracownika oraz ich zawartość.</p>



<h2 class="wp-block-heading">Jakie dokumenty pracodawca musi wymagać przed nawiązaniem stosunku pracy?</h2>



<p>Pracodawca żąda od kandydata, który ubiega się o zatrudnienie, podania:</p>



<ul class="wp-block-list">
<li>imienia (imion);</li>



<li>daty urodzenia;</li>



<li>danych kontaktowych;</li>



<li>wykształcenia;</li>



<li>kwalifikacji zawodowych;</li>



<li>przebieg dotychczasowego zatrudnienia, z wyłączeniem informacji o wynagrodzeniu w obecnym stosunku pracy oraz w poprzednich stosunkach pracy (art. 22<sup>1  </sup>§1 k.p.).</li>
</ul>



<p>Ustawodawca jednocześnie zaznaczył, że dane w zakresie wykształcenia, kwalifikacji zawodowych czy przebiegu dotychczasowego zatrudnienia mogą być wymagane tylko wtedy, gdy&nbsp;jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Pracodawca może również żądać podania dodatkowych danych, o ile niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.</p>



<p>W celu zapoznania się z dokładnym opisem procesu rekrutacji z punktu widzenia pracodawcy, zapraszamy do lektury tekstu &#8211; Proces rekrutacji zgodny z RODO – CV, klauzule a ochrona danych osobowych kandydatów? – który znajduje się na naszym blogu.</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h2 class="wp-block-heading">Co powinny zawierać dokumenty potrzebne do zatrudnienia pracownika &#8211; umowa o pracę?</h2>



<p>W przypadku zatrudnienia pracodawca żąda od pracownika podania następujących danych osobowych:</p>



<ul class="wp-block-list">
<li>adres zamieszkania;</li>



<li>numer PESEL o ile posiada, w innym wypadku rodzaj i numer dokumentu potwierdzającego tożsamość;</li>



<li>inne dane osobowe pracownika oraz dane osobowe dzieci i członków najbliższej rodziny pracownika, jeśli jest to konieczne do korzystania z uprawnień przewidzianych w prawie pracy;</li>



<li>numer rachunku płatniczego (jeśli pracownik nie złożył wniosku o wypłacanie wynagrodzenia do rąk własnych);</li>



<li>dostarczenie badań lekarskich, na które kieruje go pracodawca.</li>
</ul>



<p>Najważniejszym instrumentem, który reguluje stosunek pracy jest umowa o pracę. Treść umowy o pracę reguluje art. 29 § 1 Kodeksu pracy. Zgodnie z tym przepisem w umowie o pracę powinny znaleźć się informacje o stronach umowy, więc także dane pracodawcy, adresie siedziby pracodawcy, a w przypadku pracodawcy będącego osobą fizyczną nieposiadającego siedziby &#8211; adresie zamieszkania. Ponadto musi się znaleźć informacja o rodzaju umowy, a więc czasie (w tym dniu jej rozpoczęcia), na jaki jest zawarta:</p>



<ul class="wp-block-list">
<li>umowa na czas określony;</li>



<li>umowa na czas nieokreślony;</li>



<li>umowa na okres próbny.</li>
</ul>



<p>Musi zostać zawarta informacja o wynagrodzeniu ze wskazaniem składników wynagrodzenia, wymiarze czasu pracy, a także opis stanowiska (rodzaju pracy), które będzie miał zajmować pracownik. W umowie musi znaleźć się informacja o miejscu wykonywanej pracy, a także wymiarze czasu pracy. W umowie o pracę mogą się znaleźć często także dodatkowe postanowienia, które doprecyzowują wzajemną współpracę stron i zasady świadczenia pracy.&nbsp; Przykładowo Strony mogą przewidzieć dodatkowe postanowienia odnośnie poufności, czy w sposób odmienny niż ustawowy uregulować moment przejścia praw autorskich. Dodatkowo, Strony mogą zawrzeć także odrębną umowę o zakazie konkurencji.</p>



<h2 class="wp-block-heading">Jakie są obowiązki pracodawcy po podpisaniu umowy o pracę?</h2>



<p>Po podpisaniu umowy dokumenty pracownicze, które musi przechowywać pracodawca wiążą się z kilkoma kwestiami, które uogólniając można zamknąć w:</p>



<ul class="wp-block-list">
<li>aktach osobowych;</li>



<li>dokumentacji związanej ze stosunkiem pracy (m.in. ewidencja czasu pracy, wnioski urlopowe, listy obecności);</li>



<li>regulaminach wewnętrzne pracodawcy;</li>



<li>szkoleniach BHP czy np. RODO;</li>



<li>obowiązkach informacyjnych, oświadczeniach i zgodach pracownika.</li>
</ul>



<p>Jeden z egzemplarzy podpisanej umowy oddaje się pracownikowi, drugi egzemplarz pracodawca umieszcza w części B akt osobowych.</p>



<p>Do obowiązków pracodawcy należy również zgłoszenia pracownika do ZUS-u czy urzędu skarbowego na koniec roku podatkowego.</p>



<p>UWAGA – Kiedy podpisujesz umowę o pracę na czas określony, musisz przesłać taką informację do PIP w terminie 5 dni od jej zawarcia, inaczej może ci grozić kara grzywny od 1000 do 30 000 zł.</p>



<h3 class="wp-block-heading">Co zawiera teczka akt osobowych?</h3>



<p>Zgodnie z treścią rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej w sprawie dokumentacji pracowniczej każdy pracodawca ma obowiązek prowadzić dla każdego pracownika oddzielnie akta osobowe. Składają się one z 5 części:</p>



<ul class="wp-block-list">
<li><strong>część A</strong> obejmuje oświadczenia lub dokumenty dotyczące danych osobowych, zgromadzone w związku z ubieganiem się o zatrudnienie, a także skierowania na badania lekarskie i orzeczenia lekarskie dotyczące wstępnych, okresowych i kontrolnych badań lekarskich (art. 229 § 1 pkt 1, § 1<sup>1</sup> i 1<sup>2</sup> k.p.);</li>



<li><strong>część B </strong>–oświadczenia lub dokumenty dotyczące nawiązania stosunku pracy oraz przebiegu zatrudnienia pracownika (m.in. umowę o pracę, oświadczenia lub dokumenty dotyczące danych osobowych w związku z nawiązaniem stosunku pracy, potwierdzenie zapoznania się pracownika z regulaminami, obwieszczeniami, przepisami, zasadami BHP (całość obszernych wymogów zawarta jest w treści rozporządzenia w § 3);</li>



<li><strong>część C </strong>– oświadczenia lub dokumenty związane z rozwiązaniem albo wygaśnięciem stosunku pracy;</li>



<li><strong>część D </strong>–odpis zawiadomienia o ukaraniu oraz inne dokumenty związane z ponoszeniem przez pracownika odpowiedzialności porządkowej lub odpowiedzialności określonej w odrębnych przepisach, które przewidują zatarcie kary po upływie określonego czasu;</li>



<li><strong>część E</strong> – dokumenty związane z kontrolą trzeźwości pracownika lub kontrolą na obecność w jego organizmie środków działających podobnie do alkoholu.</li>
</ul>



<h3 class="wp-block-heading">Obowiązki informacyjne wobec pracownika</h3>



<p>Do bardzo ważnych obowiązków pracodawcy należą obowiązki informacyjne wobec pracownika. W szczególności, na podstawie art. 29 § 3 kp pracodawca musi przedstawić pracownikowi formalny dokument w postaci informacji o warunkach zatrudnienia. W ciągu 7 dni od dnia dopuszczenia pracownika do pracy, pracodawca musi poinformować go m.in. o:</p>



<p>&#8211; &nbsp;dobowej i tygodniowej normie czasu pracy,</p>



<p>&#8211; dobowym i tygodniowym wymiarze czasu pracy,</p>



<p>&#8211; przerwach w pracy, dobowym i tygodniowym odpoczynku,</p>



<p>&#8211; zasadach dotyczących pracy w godzinach nadliczbowych i rekompensaty za nią,</p>



<p>&#8211; w przypadku pracy zmianowej &#8211; zasadach dotyczących przechodzenia ze zmiany na zmianę,</p>



<p>&#8211; w przypadku kilku miejsc wykonywania pracy &#8211; zasadach dotyczących przemieszczania się między miejscami wykonywania pracy,</p>



<p>&#8211; &nbsp;innych niż uzgodnione w umowie o pracę przysługujących pracownikowi składnikach wynagrodzenia oraz świadczeniach pieniężnych lub rzeczowych,</p>



<p>&#8211; wymiarze przysługującego pracownikowi płatnego urlopu,</p>



<p>&#8211; zasadach rozwiązania stosunku pracy, prawie pracownika do szkoleń (jeśli są zapewniane),</p>



<p>&#8211; &nbsp;układzie zbiorowym pracy lub innym porozumieniu zbiorowym,</p>



<p>&#8211; w przypadku, gdy pracodawca nie ustalił regulaminu pracy &#8211; terminie, miejscu, czasie i częstotliwości wypłacania wynagrodzenia za pracę, porze nocnej oraz przyjętym u danego pracodawcy sposobie potwierdzania przez pracowników przybycia i obecności w pracy oraz usprawiedliwiania nieobecności w pracy.</p>



<p>Dodatkowo, nie później niż w ciągu 30 dni pracodawca musi przedstawić także informację o &nbsp;nazwie instytucji zabezpieczenia społecznego, do których wpływają składki na ubezpieczenia społeczne związane ze stosunkiem pracy oraz informacje na temat ochrony związanej z zabezpieczeniem społecznym, zapewnianej przez pracodawcę, przy czym nie dotyczy to przypadku, w którym pracownik dokonuje wyboru instytucji zabezpieczenia społecznego.</p>



<p>Dodatkowo, jeśli pracownik ma wykonywać pracę zdalnie to na podstawie Art.&nbsp; 67<sup>21</sup> kp należy dodatkowo przekazać mu informację o jednostce organizacyjnej pracodawcy, w której strukturze znajduje się stanowisko pracy pracownika, który wykonuje pracę zdalną, a także &nbsp;wskazanie osoby lub organu, którzy wykonują czynności z zakresu prawa pracy w imieniu pracodawcy, odpowiedzialnych za współpracę z pracownikiem wykonującym pracę zdalną oraz upoważnionych do przeprowadzania kontroli w miejscu wykonywania pracy zdalnej.</p>



<p>Jak widać, zgodnie z obecnym brzmieniem przepisów informacja o warunkach zatrudnienia jest bardzo rozbudowana, a dodatkowo powinna być indywidualnie dopasowana do pracownika. Można ją jedynie uprościć w ten sposób, że wskażemy pracownikowi odpowiednie przepisy prawa pracy, regulujące określone kwestie. Niemniej jednak, przygotowanie odpowiedniej informacji o warunkach zatrudnienia wymaga dokładnego przygotowania.</p>



<p>Kolejnym obowiązkiem pracodawcy jest udostępnienie pracownikom tekstu przepisów dotyczących równego traktowania w zatrudnieniu. Zazwyczaj ten obowiązek spełniany jest poprzez udostępnienie pracownikowi tekstu przepisów do podpisu, jednak może to także odbyć się poprzez rozpowszechnienie tekstu na terenie zakładu pracy w formie pisemnej albo poprzez zapewnienie pracownikom dostępu do tych informacji w inny sposób.</p>



<p>Dodatkowo, na podstawie art. 94<sup>2 </sup>kp pracodawca jest także zobowiązany do informowania pracowników o &nbsp;&nbsp;możliwości zatrudnienia w pełnym lub w niepełnym wymiarze czasu pracy,&nbsp;możliwości awansu, a także&nbsp;wolnych stanowiskach pracy. Jest to nowy obowiązek, który wynika z dyrektywy o jawności wynagrodzeń (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2023/970 z dnia 10 maja 2023 r. w sprawie wzmocnienia stosowania zasady równości wynagrodzeń dla mężczyzn i kobiet za taką samą pracę lub pracę o takiej samej wartości za pośrednictwem mechanizmów przejrzystości wynagrodzeń oraz mechanizmów egzekwowania).</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h3 class="wp-block-heading">Regulaminy wewnętrzne &#8211; pracy, wynagradzania, ochrony danych osobowych, bezpieczeństwa i higieny pracy</h3>



<p>Pracodawca ma obowiązek nie tylko prowadzenia akt osobowych, ale również tworzenia i wdrażania regulaminów oraz polityk wewnętrznych, z którymi pracownik powinien zostać zapoznany przed rozpoczęciem wykonywania pracy. Wynika to z Kodeksu pracy oraz innych przepisów, jak RODO.</p>



<p>Jakie więc regulaminy wewnętrzny musi wdrożyć pracodawca i kiedy staje się to jego obowiązkiem?</p>



<ul class="wp-block-list">
<li><strong>regulamin pracy</strong> ustala organizację i porządek w procesie pracy oraz związane z tym prawa i obowiązki pracodawcy i pracowników (art. 104 § 1 k.p.). Pracodawca, który zatrudnia co najmniej 50 pracowników ma obowiązek jego ustalenia, natomiast w wypadku mniejszej liczby pracowników jest to opcjonalne. W przypadku, gdy pracodawca zatrudnia co najmniej 20 i mniej niż 50 pracowników pracodawca wprowadza regulamin pracy, jeżeli zakładowa organizacja związkowa wystąpi z wnioskiem o jego wprowadzenie, chyba że w tym zakresie obowiązują postanowienia układu zbiorowego pracy (art. 104 § 3). Pracodawca jest obowiązany zapoznać pracownika z treścią regulaminu pracy przed dopuszczeniem go do pracy (art. 104<sup>3</sup> § 2);</li>



<li><strong>regulamin wynagradzania </strong>– podobnie jak wyżej, pracodawca ma obowiązek jego ustalenia, gdy zatrudnia co najmniej 50 pracowników (art. 77<sup>2</sup> § 1 k.p.);</li>



<li><strong>obowiązki związane z ochroną danych osobowych </strong>– Kodeks pracy w sposób jednoznaczny w art. 94 pkt 9b kp wskazuje przez jaki okres należy przechowywać dokumentację pracowniczą (10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej).  Ponadto, sposób jej przechowywania ma gwarantować zachowanie jej poufności, integralności, kompletności oraz dostępności. Niezależnie od powyższego, pracodawca musi spełniać też obowiązki wynikające bezpośrednio z RODO, takie jak przekazanie im klauzuli informacyjnej o przetwarzaniu ich danych osobowych (art. 13 RODO), czy udzielanie pracownikom upoważnień do przetwarzania danych osobowych, a także wprowadzenie ogólnych procedur RODO, zapoznanie z nimi pracowników oraz ich przeszkolenie w tym zakresie.</li>



<li><strong>BHP – szkolenie i instruktaż </strong>– zgodnie z art. 237³ § 2 k.p. pracodawca ma obowiązek przeszkolenia w zakresie bezpieczeństwa i higieny pracy każdego zatrudnionego pracownika. Jest to warunek konieczny do dopuszczenia takiej osoby do pracy. Podpisanie odbytego szkolenia przez pracownika jest przechowywane w jego dokumentacji pracowniczej; </li>



<li></li>
</ul>



<p>&nbsp; &nbsp; &nbsp; &nbsp;Ważne: Pracownik powinien zostać poinformowany o ocenie ryzyka zawodowego – podpisane potwierdzenie tego powinno zostać umieszczone w części B akt osobowych pracownika.</p>



<p>Pracodawcy często decydują się także na dodatkowe regulacje wewnętrzne, które co prawda nie są obowiązkowe, ale stanowią element odpowiedzialnego budowania biznesu i tworzenia przyjaznego, inkluzywnego środowiska pracy. Takie polityki są elementem strategii ESG (z ang. environmental, social and corporate governence), na którą coraz więcej firm zwraca obecnie uwagę. Nie jest możliwe wskazanie tutaj zamkniętego katalogu tego typu procedur, jednak często pracodawcy ustalają przykładowo kodeks etyki, politykę antykorupcyjną, politykę bhp, czy politykę antymobbingową. Polityki ESG są często wymagane od przedsiębiorców przez większych kontrahentów, którzy są objęci lub wkrótce będą objęci obowiązkiem sprawozdawczości w tym zakresie i przykładają do tych kwestii dużą wagę.</p>



<h3 class="wp-block-heading">Jakie są obowiązki pracodawcy wobec ZUS i innych urzędów?</h3>



<p>Pracodawca ma obowiązek zgłosić każdego pracownika do ZUS-u w ciągu 7 dni od rozpoczęcia przez niego pracy. Dokonuje tego poprzez formularz zgłoszeniowy ZUS ZUA. &nbsp;W przypadku przekazywania do Zakładu zgłoszeń do ubezpieczeń społecznych w postaci dokumentu elektronicznego, zgłoszenie w postaci dokumentu pisemnego z własnoręcznym podpisem osoby zgłaszanej płatnik <strong>przechowuje przez okres 5 lat</strong> (art. 36 ust. 8 ustawa o systemie ubezpieczeń społecznych).</p>



<p>Pracodawca nie zgłasza pracownika po podpisaniu umowy do Urzędu Skarbowego. W zakresie jego obowiązków natomiast jest obliczenie i pobranie zaliczki od podatku dochodowego pracownika, a następnie zapłata jej do 20 dnia miesiąca, który następuje po miesiącu, w jakim podatek został pobrany. Ponadto na koniec roku podatkowego pracodawca, który zatrudnia na umowę o pracę, musi dostarczyć US PIT-11 pracownika, który również jemu samemu musi zostać przekazany.</p>



<h2 class="wp-block-heading">Jakie są najczęstsze błędy pracodawcy w sprawie dokumentacji pracowniczej?</h2>



<p>Wprowadzone 1 czerwca 2025 r. zmiany dotyczące między innymi rynku pracy, zmieniły także przepisy w ustawie prawo przedsiębiorców, umożliwiając Państwowej Inspekcji Pracy przeprowadzanie niezapowiedzianych kontroli. Tym bardziej zatem pracodawcy powinni zwrócić uwagę i wystrzegać się błędów i niedociągnięć w temacie prowadzenia dokumentacji pracowniczej.</p>



<p>Jakie zdarzają się najczęściej?</p>



<ul class="wp-block-list">
<li>nieaktualizowanie dokumentów – brak aktualnych danych pracownika czy przebiegu jego zatrudnienia, brak uzupełnienie o dokumenty, które wymagane są przez zmieniające się przepisy;</li>



<li>brak pisemnego potwierdzenia warunków zatrudnienia – brak zawarcia w umowie pisemnego potwierdzenia lub w oddzielnej umowie wszystkich elementów wymaganych w art. 29 k.p.;</li>



<li>nieprowadzenie ewidencji czasu pracy lub prowadzenie jej w sposób niepełny;</li>



<li>nieprawidłowe przechowywanie dokumentacji – np. brak ochrony danych osobowych, przechowywanie akt w miejscu dostępnym dla osób postronnych;</li>



<li>brak podziału na części A, B, C, D i E albo mieszanie dokumentów;</li>



<li>przekroczenie terminów – np. nieterminowe przekazanie informacji do ZUS;</li>



<li>brak skierowania na badania lekarskie przed zatrudnieniem;</li>



<li>żądanie od kandydata lub pracownika danych i dokumentów wykraczających poza przepisy Kodeksu pracy.</li>



<li></li>
</ul>



<p>Zgodnie z art. 281 §1 pkt 6 i 6a i 7 pracodawcy grozi grzywna do 30 tys. zł za brak dokumentacji pracowniczej, nieprzechowywanie jej przez odpowiedni okres czasu czy też pozostawienie jej w warunkach grożących uszkodzeniem lub zniszczeniem!</p>



<h2 class="wp-block-heading">Pytania i odpowiedzi</h2>



<p>Poniżej przedstawiamy kilka najczęstszych pytań oraz odpowiedzi na temat dokumentacji pracowniczej.</p>



<h3 class="wp-block-heading">Jak pracodawca może przechowywać dokumentację pracowniczą?</h3>



<p>Pracodawca może przechowywać dokumentację pracowniczą w formie elektronicznej (w zabezpieczonym systemie teleinformatycznym) albo papierowej (w aktach osobowych).</p>



<h3 class="wp-block-heading">Czy pracodawca musi wymagać od kandydata na pracę zgody do przetwarzania jego danych osobowych?</h3>



<p>Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22<sup>1</sup> § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 RODO.</p>



<h3 class="wp-block-heading">Kiedy pracodawca powinien podpisać umowę o zakazie konkurencji z pracownikiem?&nbsp;</h3>



<p>Zakaz konkurencji pracodawca może podpisać w trakcie trwania stosunku pracy w sytuacji, gdy chce zapobiec sytuacji, w której pracownik prowadzi działalność konkurencyjną wobec niego lub też świadczy pracę w ramach stosunku pracy lub na innej podstawie na rzecz podmiotu prowadzącego taką działalność. Po ustaniu stosunku pracy umowę o zakazie konkurencji podpisuje się natomiast w sytuacji, gdy pracodawca uzna, że ujawnienie szczególnie ważnych informacji, do których dostęp ma pracownik, mogłoby narazić pracodawcę na szkodę (Art. 101<sup>2 </sup>§ 1 k.p.). Należy jednocześnie pamiętać, że po ustaniu zatrudnienia należy pracownikowi wypłacać odszkodowanie, które nie może być mniejsze niż &nbsp;25% wynagrodzenia pracownika otrzymanego przez okres odpowiadający zakazowi konkurencji (przy czym wynagrodzenie może być płatne miesięcznie).</p>



<h3 class="wp-block-heading">Komu i kiedy pracodawca może wydać kopię akt osobowych pracownika?</h3>



<p>Pracodawca wydaje kopię całości lub części dokumentacji pracowniczej na wniosek pracownika, byłego pracownika, małżonka (wdowy lub wdowca) w przypadku śmierci pracownika lub byłego pracownika, w postaci papierowej lub elektronicznej (art. 94<sup>12</sup> k.p.).</p>



<h3 class="wp-block-heading">Kiedy pracodawca powinien podpisać umowę z pracownikiem o powierzeniu mienia?</h3>



<p>Na podstawie art. 124 k.p. pracownik odpowiada za powierzone mu mienie, jednak z korzyścią dla pracodawcy, lecz również i pracownika, będzie uregulowanie powierzenia mienia podpisaną umową. Natomiast umowa jest konieczna, gdy pracownicy przyjmują wspólną odpowiedzialność materialną za mienie powierzone im łącznie z obowiązkiem wyliczenia się (jest to stosowane najczęściej wypadku gotówki powierzanej pracownikom, np. w hotelowej recepcji).</p>



<h2 class="wp-block-heading">Jak nasza kancelaria może pomóc w temacie potrzebnych dokumentów do zatrudnienia pracownika, przestrzegania prawa pracy i kontroli PIP?</h2>



<p>Na prowadzenie dokumentacji pracowniczej składa się cały szereg obowiązków wynikających z Kodeksu pracy, rozporządzeń oraz przepisów podatkowych i ubezpieczeniowych. Ryzyko popełnienia błędu, który miałby swoje konsekwencje podczas kontroli PIP lub ZUS, towarzyszy każdemu pracodawcy. Kluczowe wydaje się tutaj wsparcie kancelarii prawnej, która działa sprawnie w tematyce prawa pracy.</p>



<p>Nasz kancelaria może zaoferować szeroki wachlarz pomocy w prowadzeniu dokumentacji pracowniczej, zatrudnianiu, w tym legalizacji pobytu i pracy pracownika, będącego cudzoziemcem:</p>



<ul class="wp-block-list">
<li>przygotowanie i weryfikacja dokumentów związanych z nawiązaniem stosunku pracy, w tym w <strong>zakresie legalizacji pobytu i pracy pracownika, będącego cudzoziemcem</strong>; przygotowanie np. umowy, informacji o warunkach zatrudnienia, a także dokumentów z zakresu ochrony danych osobowych, bieżące doradztwo w zakresie zatrudniania cudzoziemców;</li>



<li>tworzenie i aktualizacja regulaminów i polityk wewnętrznych – w tym regulaminu pracy, wynagradzania, pracy zdalnej, polityki sygnalistów i innych, jeśli firma uzna, że są one dla niej potrzebne (np. polityka antymobbingowa, polityka bhp, polityki ESG);</li>



<li>doradztwo w kwestiach związanych z prowadzeniem dokumentacji pracowniczej zgodnie z rozporządzeniem o dokumentacji pracowniczej;</li>



<li>przygotowanie firmy do kontroli PIP;</li>



<li>stałe doradztwo prawne.</li>
</ul>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/dokumentacja-pracownicza-i-prawo-pracy/">Jakie są potrzebne dokumenty do zatrudnienia pracownika &#8211; co mówi kodeks pracy i rozporządzenie w sprawie dokumentacji pracowniczej?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Jak bezpiecznie uregulować dostęp do usługi SaaS? Umowa w modelu SaaS – podstawowe zasady i aspekty prawne</title>
		<link>https://paluckiszkutnik.pl/jak-bezpiecznie-uregulowac-dostep-do-uslugi-saas/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 30 Jun 2025 10:31:40 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[Compliance]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[prawo autorskie]]></category>
		<category><![CDATA[Własność intelektualna i IT]]></category>
		<category><![CDATA[GDPR]]></category>
		<category><![CDATA[licencja]]></category>
		<category><![CDATA[ochrona danych osobowych]]></category>
		<category><![CDATA[prawo IT]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[RODO]]></category>
		<category><![CDATA[umowa SaaS]]></category>
		<category><![CDATA[własność intelektualna]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2540</guid>

					<description><![CDATA[<p>Umowa w modelu SaaS (Software as a service) stanowi coraz popularniejsze rozwiązanie dla wielu firm. Korzystanie z zewnętrznego oprogramowania bez [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/jak-bezpiecznie-uregulowac-dostep-do-uslugi-saas/">Jak bezpiecznie uregulować dostęp do usługi SaaS? Umowa w modelu SaaS – podstawowe zasady i aspekty prawne</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Umowa w modelu SaaS (Software as a service) stanowi coraz popularniejsze rozwiązanie dla wielu firm. Korzystanie z zewnętrznego oprogramowania bez konieczności fizycznego instalowania go na własnym sprzęcie czy serwerze, bez konieczności martwienia się o obsługę wydaje się wygodnym i bezpiecznym rozwiązaniem. W skrócie zamiast zakupu na własność klient płaci tylko za korzystanie z dostępu do produktu w chmurze za pośrednictwem internetu.&nbsp;</p>



<figure class="wp-block-image size-large"><img decoding="async" width="1024" height="684" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/07/93392402_hand-interacting-with-saas-icons-above-laptop-showcasing-software-as-a-service-concept-perfect-for-technology-cloud-computing-digital-business-solutions-1-1024x684.jpg" alt="" class="wp-image-2546" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/07/93392402_hand-interacting-with-saas-icons-above-laptop-showcasing-software-as-a-service-concept-perfect-for-technology-cloud-computing-digital-business-solutions-1-1024x684.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/07/93392402_hand-interacting-with-saas-icons-above-laptop-showcasing-software-as-a-service-concept-perfect-for-technology-cloud-computing-digital-business-solutions-1-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/07/93392402_hand-interacting-with-saas-icons-above-laptop-showcasing-software-as-a-service-concept-perfect-for-technology-cloud-computing-digital-business-solutions-1-768x513.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/07/93392402_hand-interacting-with-saas-icons-above-laptop-showcasing-software-as-a-service-concept-perfect-for-technology-cloud-computing-digital-business-solutions-1-1536x1025.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/07/93392402_hand-interacting-with-saas-icons-above-laptop-showcasing-software-as-a-service-concept-perfect-for-technology-cloud-computing-digital-business-solutions-1.jpg 1600w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<p>Przedsiębiorstwa chętnie korzystają z takiego rozwiązania w obszarach zarządzania relacjami z klientami, kadrą i HR czy w księgowości. Pomimo wielu zalet usług w modelu SaaS, należy pamiętać, żeby w pełni zadbać o uregulowanie wszelkich niezbędnych aspektów umowy, aby w wypadku pojawienia się problemu, warunki odpowiedzialności za naruszenie umowy były jednoznacznie określone. Na co zatem zwrócić uwagę? Jakie kluczowe elementy powinny pojawić się w umowie w modelu SaaS?</p>



<h2 class="wp-block-heading">Czym jest umowa SaaS &#8211; czy umowa Saas to umowa licencyjna i jak wybrać dostawcę?</h2>



<p>Umowa SaaS zgodnie ze swoją nazwą – Software as s service – czyli oprogramowanie jako usługa podkreśla swoją najważniejszą cechę. W Saas kluczowe jest właśnie świadczenie usługi dostępu do funkcjonalności oprogramowania, a więc zapewnienie możliwości korzystania z niego z pełni funkcji w nim zawartych. Przedsiębiorca, który wykupuje dostęp za pośrednictwem umowy typu Saas, otrzymuje wraz z nim hosting i wsparcie techniczne ze strony dostawcy, co ma zapewnić prawidłowe działanie usługi.&nbsp;</p>



<p>Cechą z pewnością wyróżniającą dostęp do oprogramowania w modelu Saas jest dostęp do niego za pośrednictwem chmury. Nie jest ono instalowane lokalnie u przedsiębiorcy, co z kolei występuje często w przypadku udzielania stricte licencji.</p>



<p>Umowa o świadczeniu usług Saas nie jest zawierana na wyłączność, to znaczy klient nie może oczekiwać, że dostęp będzie udzielony tylko i wyłącznie jego firmie – w przeciwieństwie do licencji wyłącznej. Zobowiązanie przez dostawcę do świadczenia ciągłej usługi (zapewnienie działania, wsparcia, dostępności) wykupuje się zasadniczo na zasadach abonamentu. Dokładne warunki są opisane w samej umowie. Firma ma zatem dostęp do oprogramowania, dopóki uiszcza opłaty za dany okres subkrybcyjny. Ponadto w umowie SaaS nie otrzymuje się dostępu do kodu źródłowego.</p>



<p>W wypadku umowy SaaS klient nie musi dbać o aktualizacje i potrzebne zmiany w oprogramowaniu, z którego korzysta, gdyż tym zajmuje się dostawca w ramach bieżącej obsługi. Inaczej wygląda sytuacja np. we wdrożeniu on-premise. Tutaj klient kupuje lub rozwija system u siebie, na własnej infrastrukturze, będąc samodzielnie zobowiązanym do dbania o aktualność programu. Niewątpliwą zaletą umowy SaaS jest tzw. skalowalność, czyli możliwość sprawnego dostosowywania usług do zapotrzebowania wielu firm jednocześnie.</p>



<p>Wydaje się zatem, że dość ważny jest wybór dostawcy oprogramowania SaaS – rozbudowane wsparcia, częstotliwość, skuteczność oraz odpowiedzialność, jaką na siebie bierze. Wszystko to zostaje uściślone w umowie SLA, która może zostać dołączona jako umowa utrzymaniowa, czyli dodatkowa gwarancja udzielanego wsparcia do otrzymywanej usługi.</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h2 class="wp-block-heading">Jakie są kluczowe elementy umowy modelu Saas &#8211; obowiązki dostawcy, prawa autorskie i zakres usługi?&nbsp;</h2>



<p>Umowa SaaS, tak jak każda umowa, wymaga dostosowania do użytkowanego systemu w firmie oraz precyzyjnego określenia wymagań i obowiązków. Należy dokładnie opisać funkcjonalności, do których użytkownik uzyskuje dostęp. Klient powinien otrzymać informację czy może korzystać, między innymi, z modelu fakturowania, integracji z innymi aplikacjami czy też API. Umowa powinna zawierać również listę funkcji czy ograniczeń (ilość użytkowników, którzy mają jednocześnie dostęp, limit przechowywania danych).</p>



<p>Umowa SaaS może być zawierana na czas określony, np. 12 miesięcy lub nieokreślony, w którym zawarty ma być okres wypowiedzenia – standardowo 30 dni, czyli powinno się opłacić bieżący miesiąc przed rezygnacją. W umowie utrzymaniowej, czyli SLA (Service Level Agreement), należy zawrzeć czas reakcji i czas usunięcia usterki, godziny wsparcia, procedurę zgłoszenia błędu lub potrzeby wsparcia czy też określenie mechanizmów przy eskalacji problemu. Klient musi wiedzieć, jaka będzie procedura postępowania w wypadku, gdy usterka nie zostanie usunięta przez dostępne mu wsparcie techniczne.</p>



<p>Umowa powinna obejmować również kary umowne oraz precyzyjne określenie odpowiedzialności, jaką ponosi dostawca za utratę danych, niedostępność systemu lub błędy w jego działaniu. Uściślenie tego, o jaki procent płaconego abonamentu nastąpiłoby pomniejszenie w dłuższej niedostępności systemu czy wyłączenie odpowiedzialności w wypadku awarii dostawców zewnętrznych (np. operatorów chmury), również powinno zostać zawarte w treści umowy.&nbsp;</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h2 class="wp-block-heading">Własność danych wprowadzanych do systemu &#8211; ochrona danych osobowych i zgodność z RODO&nbsp;</h2>



<p>Usługa SaaS wiąże się dość wyraźnie z przetwarzaniem danych osobowych. Do systemu wprowadzane są liczne dane, jak np. dane osobowe klientów czy pracowników, dane finansowe, handlowe itd. Z umowy powinno wynikać, że:</p>



<ul class="wp-block-list">
<li>dostawca nie może wykorzystać tych danych do innych celów niż świadczenie usług w modelu SaaS, których dotyczy umowa – w tym nie może udostępniać ich podmiotom trzecim;</li>



<li>klient pozostaje wyłącznym administratorem danych;</li>



<li>istnieje możliwość dostępu do danych i ich pobrania przez klienta;</li>



<li>sprecyzowano czas przechowywania danych po zakończeniu umowy.</li>
</ul>



<p>Przede wszystkim przetwarzanie danych osobowych podlega pod przepisy RODO i treść umowy musi być z nim zgodna. W tym ujęciu klient pełni rolę administratora danych, a dostawca oprogramowania SaaS – podmiotu przetwarzającego. Zgodnie z RODO elementem umowy SaaS powinna absolutnie pojawić się umowa powierzenia danych osobowych (art. 28 RODO). Opisane muszą zostać: cel i zakres przetwarzania, kategorie danych, kategorie osób, których dane dotyczą, obowiązki stron umowy, zasady korzystania z podwykonawców, jak np. dostawcy chmury.</p>



<p>W umowie powinny pojawić się także zasady szyfrowania danych osobowych oraz opis stosowanych środków bezpieczeństwa. Powinna zostać także zawarta procedura postępowania w razie naruszenia ochrony danych osobowych.&nbsp;</p>



<h2 class="wp-block-heading">Jakie są sposoby rozliczania z usługodawcą za usługę oprogramowania Saas?</h2>



<p>Jak już wspomniałem, w umowie modelu SaaS zazwyczaj najczęstszą płatnością jest model subskrypcyjny. Abonament na określony czas, czyli na miesiąc, ewentualnie rok, z opcją automatycznego przedłużenia, chyba że klient wypowie umowę. Za okres wypowiedzenia przyjmuje się przeważnie jeden okres rozliczeniowy.&nbsp;</p>



<p>W umowie powinno się określić wysokość opłat, terminy płatności, częstotliwość fakturowania. Można również zawrzeć sposób rozliczenia np. ewentualnych nadpłat. W umowie powinno się również umieścić informacje dotyczące sytuacji braku płatności ze strony klienta, a więc procedurę postępowania w takim przypadku – naliczanie odsetek, termin ewentualnego zablokowania dostępu do usługi czy też warunki przywrócenia dostępu po uregulowaniu płatności.</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h2 class="wp-block-heading">Jakie są uprawnienia klienta &#8211; co zrobić, aby nie ponieść odpowiedzialności za naruszenie umowy Saas?</h2>



<p>Tak już wspomniałem, podstawą umowy SaaS jest udzielenie za opłatą uprawnienia do korzystania z oprogramowania/aplikacji. Klient nie nabywa prawa dostępu do kodu źródłowego, nie otrzymuje fizycznej kopii oprogramowania. Otrzymuje dostęp za pośrednictwem internetu – poprzez przeglądarkę lub np. API – do oprogramowania i nie może go samodzielnie rozwijać, modyfikować i nie ma też możliwości samodzielnego instalowania systemu.</p>



<p>Klient ma zakaz:</p>



<ul class="wp-block-list">
<li>reverse engineeringu (rozszyfrowania sposobu działania aplikacji SaaS, odzyskania kodu źródłowego);</li>



<li>kopiowania funkcji;</li>



<li>przekazywania logowania osobom trzecim.</li>
</ul>



<p>Wszystkie powyższe zakazy powinny znaleźć się w treści umowy/regulaminu.</p>



<p>Podkreślę, że otrzymane prawo do korzystanie z oprogramowania jest ograniczone do danej firmy-klienta, i jest niewyłączne (czyli może być udzielane każdemu przedsiębiorstwu, które wykupi dostęp), nieprzenoszalne i zazwyczaj bez prawa udostępniania osobom trzecim (chyba że postanowiono inaczej i umowa dokładnie to precyzuje).</p>



<p>Klient nie ma prawa do podzlecania dostępu zewnętrznej firmie, jeśli umowa o tym nie mówi. W wypadku zapotrzebowania współpracy z firmą outsourcingową należy zastrzec w umowie prawo do korzystania przez podwykonawcę (najlepiej z określeniem celu, zakresu i odpowiedzialności).</p>



<p>System modelu SaaS może być zintegrowany z innymi systemami klienta, ale tylko pod warunkiem, że określa to wyraźnie umowa oraz istnieją warunki techniczne, które dopuszczają taką możliwość. Techniczne możliwości zależą tu m.in. od: dostępności API, zakresu dokumentacji czy możliwości konfiguracji systemu. Przypomnę, że integracja nie oznacza ingerencji w kod źródłowy.</p>



<p>Pod kątem prawnym taka integracja byłaby dopuszczalna, o ile umowa zawierałaby taką klauzulę, w której określałaby warunki, w tym zakres, odpowiedzialność i bezpieczeństwo, oraz sama nie zawierała zakazu modyfikowania środowiska. Powinno się również brać pod uwagę już posiadane przez klienta licencje – czy może on tworzyć połączenia pomiędzy oprogramowaniem SaaS a swoimi systemami.</p>



<p>Warto zadbać o precyzję w wytyczaniu granic i określaniu możliwości korzystania z oprogramowania, niż ograniczać się jedynie do suchego komunikatu „nabycia prawa do korzystania z aplikacji”.</p>



<h2 class="wp-block-heading">Jaki jest czas trwania umowy &#8211; rozwiązywanie sporów, wypowiedzenie umowy za jej naruszenie?</h2>



<p>Oprócz zwykłego wypowiedzenia umowy, czyli z określonym terminem wypowiedzenia (np. miesięcznym), warto w umowie uwzględnić także wypowiedzenie umowy w szczególnych sytuacjach:</p>



<ul class="wp-block-list">
<li>stale powracający brak dostępności systemu, a więc naruszenie umowy (w umowie utrzymaniowej SLA powinno zawrzeć się dopuszczalny procent czasu braku dostępności);</li>



<li>stałe zaległości w opłacaniu abonamentu;</li>



<li>naruszenie przepisów w związku z przetwarzaniem danych osobowych;</li>



<li>nieautoryzowane działanie użytkowników systemu (np. próby obejścia zabezpieczeń).</li>
</ul>



<p>W celu zabezpieczenia ciągłości działania systemu, warto w umowie zawrzeć stosowne mechanizmy ochronne:</p>



<ul class="wp-block-list">
<li>klauzule kontynuacji usług w wypadku np. zmiany właściciela dostawcy usługi;</li>



<li>procedurę łatwego i szybkiego przeniesienia danych do innego systemu, o ile zajdzie taka potrzeba;</li>



<li>backup dla klienta, jeśli zajdzie taka potrzeba.</li>
</ul>



<p>Pomimo że umowa w modelu SaaS polega „jedynie” na udzieleniu dostępu do korzystania oprogramowania, to należy w niej zapisać także procedury, które znajdą zastosowanie po zakończeniu umowy. Mowa tutaj choćby o:</p>



<ul class="wp-block-list">
<li>obowiązku usunięcia danych klienta przez dostawcę;</li>



<li>możliwości migracji danych do innego dostawcy;</li>



<li>procedurę i koszty eksportu danych.</li>
</ul>



<p>Zawarcie tych informacji pozwoli zapewnić ciągłość działania Twojej firmie.</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h2 class="wp-block-heading">Czy umowa Saas to umowa prosta &#8211; jak nie wpaść w pułapkę i nie popełnić błędu?</h2>



<p>Przy pisaniu umowy SaaS zdecydowanie warto skorzystać z pomocy kancelarii prawnej, gdyż istnieje co najmniej kilka aspektów, których nie można pominąć, ani o nich zapomnieć. Należy pamiętać m.in. o:</p>



<ul class="wp-block-list">
<li>braku rozróżnienia między licencją a usługą – chociaż w samej umowie SaaS zostało zaszyte pojęcie licencji, to jednak jej podstawową i wyróżniającą funkcją jest usługa dostępu do funkcjonalności oprogramowania, a nie udzielenie na niego licencji, nie można zatem posługiwać się terminami charakterystycznymi dla umowy licencyjnej, gdyż może spowodować to niejednoznaczność prawną co do charakteru umowy;</li>



<li>braku umowy SLA lub posługiwanie się w niej zbyt ogólnymi pojęciami;</li>



<li>braku umowy powierzenia danych osobowych;</li>



<li>unikaniu precyzyjnych określeń w opisie funkcjonalności systemu – np. samo stwierdzenie „platforma CRM”;</li>



<li>braku klauzuli umowy na temat eksportu danych i ich formacie – może spowodować to utratę dostępu do danych przez klienta po zakończeniu umowy;</li>



<li>braku uregulowania kwestii odpowiedzialności za dane.</li>
</ul>



<h2 class="wp-block-heading">Jak napisać umowę Saas korzystną i zgodną z prawem &#8211; pomoc prawnika?</h2>



<p>Trudno zaprzeczyć, że pomimo pozorów prostoty, umowa SaaS jest złożonym dokumentem. Podstawą dla niej jest Kodeks cywilny, ale niemniej kluczową rolę odgrywa w jej powstawaniu prawo autorskie i prawa pokrewne oraz RODO. Umowa, która dotyczy usługi korzystania z funkcjonalności oprogramowania komputerowego, z uwagi na jej złożony charakter wymaga, aby w jej powstawaniu brał udział prawnik dobrze zorientowany w prawie IT. Bardzo istotne jest, aby rozumieć jak dana usługa działa i jakie ewentualne ryzyka ze sobą niesie.</p>



<p>Doświadczony w tych kwestiach prawnik będzie potrafił przetłumaczyć wymagania biznesowe i techniczne na zapisy w umowie, doradzi i zadba, jak odpowiednio zabezpieczyć dane, przygotuje precyzyjną umowę utrzymaniową czy zbalansuje interesy obydwu stron (dobra umowa zabezpiecza obydwie strony). Źle napisana umowa może przynieść znacznie większe koszty niż te, które można przeznaczyć na skuteczną pomoc prawną.</p>



<h2 class="wp-block-heading">Niech duże zalety modelu Saas nie przyćmią ryzyka &#8211; o czym pamiętać?</h2>



<p>Model SaaS zmienił sposób korzystania z oprogramowania – uprościł dostęp, obniżył koszty wejścia i pozwolił firmom szybciej się rozwijać. Należy jednak pamiętać, aby nie lekceważyć procesu tworzenia umowy, gdyż za błędy w dostępności systemu, utratę danych czy naruszenia RODO nadal ktoś ponosi odpowiedzialność, a wcale nie będzie to zawsze dostawca.</p>



<p>Umowa to jedyne narzędzie, które reguluje prawa i obowiązki stron, a w razie potrzeby pozwala dochodzić roszczeń. Brak precyzji, gotowy szablon lub ogólnikowe postanowienia często działają na niekorzyść obydwu stron, dlatego im wcześniej i bardziej precyzyjnie uregulujemy zasady współpracy, tym większa szansa, że unikniemy niepotrzebnych nieporozumień i konfliktów oraz skutecznie zabezpieczymy własne interesy.</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/jak-bezpiecznie-uregulowac-dostep-do-uslugi-saas/">Jak bezpiecznie uregulować dostęp do usługi SaaS? Umowa w modelu SaaS – podstawowe zasady i aspekty prawne</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Jak uniknąć niezamówionej informacji handlowej &#8211; pobieranie zgody, unikanie spamu, prawidłowe przetwarzanie danych </title>
		<link>https://paluckiszkutnik.pl/jak-uniknac-niezamowionej-informacji-handlowej/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 05 May 2025 08:32:36 +0000</pubDate>
				<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[Dane osobowe]]></category>
		<category><![CDATA[e-commerce]]></category>
		<category><![CDATA[GDPR]]></category>
		<category><![CDATA[marketing]]></category>
		<category><![CDATA[ochrona danych osobowych]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[RODO]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2499</guid>

					<description><![CDATA[<p>Marketing stanowi podstawę działań handlowych i właściwie każda firma stara się na różne sposoby pozyskiwać nowych klientów. Próby przedstawiania swojej [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/jak-uniknac-niezamowionej-informacji-handlowej/">Jak uniknąć niezamówionej informacji handlowej &#8211; pobieranie zgody, unikanie spamu, prawidłowe przetwarzanie danych </a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Marketing stanowi podstawę działań handlowych i właściwie każda firma stara się na różne sposoby pozyskiwać nowych klientów. Próby przedstawiania swojej oferty drogą elektroniczną lub ewentualnie telefoniczną wydają się najskuteczniejszym sposobem, dzięki bezpośredniemu kontaktowi z klientem.&nbsp;</p>



<p>Od 10 listopada 2024 r. obowiązuje w Polsce Prawo komunikacji elektronicznej, którego przepisy mają ścisły związek z wysyłaniem informacji handlowej. Urząd Komunikacji Elektronicznej (UKE) uznaje za działanie marketingowe właściwie każdy kontakt, który prowadziłby w jakikolwiek sposób do sprzedaży. Przedsiębiorcy, aby uniknąć kar za niezamówioną informację handlową, muszą dysponować odpowiednią podstawą przetwarzania danych, gdyż właśnie do RODO w zakresie formalnych wymogów zgody odwołuje się wspomniane PKE. Co zatem należy wiedzieć? Jakie praktyki są dozwolone? Czy koniecznie sprzedawca musi posiadać zgodę na przedstawienie informacji handlowej?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="456" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/05/84695514_text-caption-presenting-spam-business-idea-unsolicited-usually-commercial-message-sent-large-number-of-recipient-1-1024x456.jpg" alt="" class="wp-image-2500" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/05/84695514_text-caption-presenting-spam-business-idea-unsolicited-usually-commercial-message-sent-large-number-of-recipient-1-1024x456.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/05/84695514_text-caption-presenting-spam-business-idea-unsolicited-usually-commercial-message-sent-large-number-of-recipient-1-300x134.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/05/84695514_text-caption-presenting-spam-business-idea-unsolicited-usually-commercial-message-sent-large-number-of-recipient-1-768x342.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/05/84695514_text-caption-presenting-spam-business-idea-unsolicited-usually-commercial-message-sent-large-number-of-recipient-1-1536x684.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/05/84695514_text-caption-presenting-spam-business-idea-unsolicited-usually-commercial-message-sent-large-number-of-recipient-1.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading">Czym jest niezamówiona informacja handlowa?</h2>



<p>W celu zdefiniowania informacji handlowej należy sięgnąć do innej ustawy, a dokładniej ustawy o świadczeniu usług drogą elektroniczną. Art. 2 mówi, że informacja handlowa to każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, co właściwie jest tożsame z przywołanym już zdaniem UKE. Zatem właściwie każdą informację, która będzie prowadzić bezpośrednio lub pośrednio do sprzedaży, można nazwać informacją handlową.</p>



<p>Zgodnie z przepisami zawartymi w PKE, niezamówioną informacją handlową będzie taka, na której przedstawienie nie było zgody. Czas zatem, aby przyjrzeć się bliżej podstawom prawnym.</p>



<h2 class="wp-block-heading">PKE i RODO &#8211; podstawy prawne dotyczące wysyłania niezamówionej informacji handlowej</h2>



<p>Na temat stosowania informacji handlowej, w rozumieniu przywoływanej definicji z ustawy o świadczeniu usług drogą elektroniczną, traktuje art. 398 PKE. Mówi on, że zakazuje się, bez zgody abonenta lub użytkownika końcowego, stosowania do celów przesyłania informacji handlowej:</p>



<ul class="wp-block-list">
<li>automatycznych systemów wywołujących, czyli np. nagrane systemy głosowe, zautomatyzowane wiadomości SMS;</li>



<li>telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej.</li>
</ul>



<p>Zgoda może być wyrażona przez udostępnienie swojego adresu e-mail, przy czym istotne jest to, że takie udostępnienie musi mieć miejsce wyraźnie w celu przesyłania informacji handlowej, a w sprawach spornych to wysyłający komunikat handlowy będzie musiał przedstawić argumenty potwierdzające, że celem udostępnienia było właśnie otrzymywanie takich komunikatów. Najlepszym rozwiązaniem będzie tu pozyskiwanie takiego adresu przy wypełnianiu formularzy kontaktowych, zapisów na różne wydarzenia, przy okazji składania oświadczeń. W wypadku pozyskiwania danych osobowych, właśnie w oparciu o zgodę, warto, o ile to możliwe pod katem technicznym, żeby korzystać z opcji tzw. double opt-in. Takie podwójne potwierdzenie to mechanizm, który polega na potwierdzeniu podanego adresu e-mail oraz na potwierdzeniu zainteresowania poprzez dodatkowe potwierdzenie przesłanego zgłoszenia.</p>



<p>Według art. 400 PKE do uzyskania zgody stosuje się przepisy o ochronie danych osobowych, czyli RODO. Na co więc należy zwrócić uwagę i o czym pamiętać?</p>



<div class="wp-block-group"><div class="wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained">
<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>



<h2 class="wp-block-heading has-text-align-center has-text-color has-link-color wp-elements-01aa5542b54d5099e4251cc2aca246a1" style="color:#c98968">Potrzebujesz&nbsp;porady prawnej<strong>?</strong></h2>



<div class="wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex">
<p align="center"><a href="https://paluckiszkutnik.pl/kontakt/" title="Wyślij wiadomość" class="btn btn-primary" target="" id="contact-button"> umów się na wstępną&nbsp;konsultację </a></p>
</div>



<div style="height:25px" aria-hidden="true" class="wp-block-spacer"></div>
</div></div>



<h2 class="wp-block-heading">Zgoda na otrzymywanie oferty &#8211; kiedy e-mail staje się spamem, czyli co zrobić, aby nie naruszyć?&nbsp;</h2>



<p>Zgoda jest <strong>dobrowolnym</strong>, <strong>konkretnym</strong>, <strong>świadomym</strong> i <strong>jednoznacznym</strong> okazaniem woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt. 11 RODO). Nie może być ona domyślna czy domniemana, tylko musi mieć zawsze charakter aktywnego zachowania. Udzielenie zgody można pozyskać np. poprzez zaznaczenie okienka na stronie internetowej. Musi w każdym razie taka czynność wskazywać w sposób jasny, że osoba, której dane dotyczą, akceptuje proponowane warunki przetwarzania jej danych.</p>



<p>Zgodnie z art. 7 ust. 3 udzielona zgoda może zostać w dowolnym momencie wycofana (art. 7 ust. 3) i wycofanie musi być równie łatwe, co jej wyrażenie. Przykładowo, marketingowa wiadomość e-mail powinna zawierać także link do wypisania się z newslettera.</p>



<p>Przy prowadzonych działaniach marketingowo-sprzedażowych należy zwrócić ponadto uwagę na art. 5 RODO i na podstawowe zasady przetwarzania danych:</p>



<ul class="wp-block-list">
<li>dane mają być zbierane w <strong>konkretnych, wyraźnych i prawnie uzasadnionych celach</strong>, nie mogą być również przetwarzane dalej w sposób niezgodny z tymi celami;</li>



<li>przetwarzane dane mają być <strong>prawidłowe</strong>, w razie potrzeby <strong>uaktualniane</strong> – należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;</li>



<li>zgodnie z zasada minimalizacji danych, muszą być one przetwarzane w sposób <strong>adekwatny, stosowny oraz ograniczony</strong> do tego, co niezbędne do celów, w których są przetwarzane;</li>



<li>dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane – przetwarzanie danych przez <strong>ograniczony i określony</strong> przedział czasu;</li>



<li>zgodnie z zasada integralności i poufności, dane mają być przetwarzane w sposób zapewniający odpowiednie <strong>bezpieczeństwo danych osobowych</strong>, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – kluczowe jest tu przestrzeganie wewnętrznych polityk ochrony danych osobowych.</li>
</ul>



<p>Podstawą przetwarzania danych osobowych może być również, patrząc z perspektywy regulacji RODO, w przypadku marketingu uzasadniony interes prawny administratora. Musi zachodzić jednak istotny i odpowiedni rodzaj powiązania pomiędzy administratorem a osobą, której dane dotyczą – np. jest to klient administratora. Musi zostać przeprowadzona dokładna ocena czy w czasie i kontekście, kiedy zbierane są dane osobowe, osoba, której dane dotyczą, posiada rozsądne przesłanki, żeby spodziewać się, że nastąpi przetwarzanie jej danych. W tym celu należy wziąć pod uwagę szereg elementów, jak np.:</p>



<p>charakter relacji zachodzącej pomiędzy administratorem a osobą, której dane dotyczą, sposób wykorzystania danych, sposób komunikacji albo fakt, czy dane zostały zebrane bezpośrednio od osoby, której dane dotyczą.</p>



<h2 class="wp-block-heading">Czy zapytania typu coldmailing i coldcalling są dozwolone &#8211; jakie są praktyki przedsiębiorców?</h2>



<p>Cold mailing oraz cold calling jako takie są przez PKE zabronione. Przypomnę, że każdy kontakt prowadzący w szerokim pojęciu do sprzedaży rozumiany jest jako marketing i niezbędna jest do niego uprzednia zgoda. Rynek jednak szuka wyjścia i przedsiębiorcy stosują praktyki w celu zminimalizowania ryzyka. Wśród nich można wymienić postępowanie zgodnie z poniższymi zasadami:</p>



<ul class="wp-block-list">
<li>podejmowany kontakt nie może mieć charakteru stricte marketingowego – celem może być zaproszenie na rozmowę, nawiązanie do uczestnictwa we wspólnym evencie;</li>



<li>preferowanie kontaktu z wykorzystaniem nieosobowych danych kontaktowych, jak np. kontakt@&#8230; biuro@&#8230;;</li>



<li>kontakt na e-mail spersonalizowany tylko w wypadku, kiedy mamy pewność, że adresat sobie tego życzy lub kiedy może otrzymać w związku z kontaktem jakąś wartość;</li>



<li>kontakt telefoniczny tylko w dni robocze, najlepiej w godzinach 9-17;</li>



<li>próby kontaktu nie mogą być nachalne, ani nagminne, najlepiej maksymalnie raz w tygodniu, a po trzech nieskutecznych próbach próby powinny zostać zaprzestane, a kontakt usunięty;</li>



<li>należy usuwać dane także, jeśli osoba, z którą się kontaktujemy, wyraża sprzeciw;</li>



<li>w razie wyrażenie zainteresowania ewentualną współpracą, powinno się zachęcić np. do kontaktu przez formularz, aby zmienić podstawę przetwarzania z uzasadnionego interesu administratora na zgodę. &nbsp;&nbsp;</li>
</ul>



<p>Ponadto powinno się przyjąć ogólną zasadę, że dobiera się potencjalnych klientów na zasadzie prawdopodobieństwa, kto potencjalnie mógłby być faktycznie zainteresowany ofertą – w szczególności danych firm pozyskanych np. z CEiDG, a nie osób fizycznych.</p>



<h2 class="wp-block-heading">Jakie są niedopuszczalne praktyki marketingowe?</h2>



<p>Wśród absolutnie niedopuszczalnych praktyk marketingowych można wymienić:</p>



<ul class="wp-block-list">
<li>wykonywanie połączeń telefonicznych na numery z posiadanej bazy danych, jednocześnie informując rozmówców, że ich numer został wygenerowany losowo;</li>



<li>korzystanie z narzędzi marketingowych niezgodnych z RODO albo w sposób niezgodny z RODO;</li>



<li>zdecydowanie bardziej ryzykowne jest prowadzenie działań marketingowych wobec osób fizycznych (konsumentów) niż przedsiębiorców.</li>
</ul>



<p>Co prawda stosowanie niezamówionej informacji handlowej nie wiąże się z odpowiedzialnością karną, ale stosowne urzędy jak UKE czy UOKiK mogą nakładać na przedsiębiorców kary finansowe z jednoczesnym nakazem zaprzestania niedozwolonych praktyk. Decydując się na stosowanie niedozwolonych praktyk, warto w tej kwestii odpowiedzieć sobie na pytanie nie tylko o opłacalność ryzyka ewentualnej kary, ale także, czy warto ryzykować nadszarpnięcie dobrej opinii o naszej firmie oraz utratę zaufania kontrahentów oraz klientów.</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/jak-uniknac-niezamowionej-informacji-handlowej/">Jak uniknąć niezamówionej informacji handlowej &#8211; pobieranie zgody, unikanie spamu, prawidłowe przetwarzanie danych </a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Obsługa prawna e-commerce w zakresie dropshippingu – umowa, sprzedaż, ochrona danych osobowych</title>
		<link>https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-w-zakresie-dropshippingu-umowa-sprzedaz-ochrona-danych-osobowych/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 10 Mar 2025 13:26:53 +0000</pubDate>
				<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[Dane osobowe]]></category>
		<category><![CDATA[dropshipping]]></category>
		<category><![CDATA[e-commerce]]></category>
		<category><![CDATA[GDPR]]></category>
		<category><![CDATA[marketing]]></category>
		<category><![CDATA[ochrona danych osobowych]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[RODO]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2290</guid>

					<description><![CDATA[<p>Dropshipping stanowi interesującą alternatywę sprzedaży e-commerce w szczególności dla mniejszych firm, które wolą nie inwestować większych kwot w magazynowanie dużych [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-w-zakresie-dropshippingu-umowa-sprzedaz-ochrona-danych-osobowych/">Obsługa prawna e-commerce w zakresie dropshippingu – umowa, sprzedaż, ochrona danych osobowych</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Dropshipping stanowi interesującą alternatywę sprzedaży e-commerce w szczególności dla mniejszych firm, które wolą nie inwestować większych kwot w magazynowanie dużych ilości towarów. Atrakcyjna opcja współpracy z dostawcą niesie ze sobą, oprócz potencjalnych korzyści, zobowiązania prawne, których niewypełnienie grozi poważnymi konsekwencjami finansowymi. Dlatego, jeśli przedsiębiorca zamierza w swoim sklepie internetowym przejść na sprzedaż na zasadzie dropshippingu, musi on koniecznie zapoznać się z podstawami prawnymi, jakie wiążą się z tym modelem handlowym. Poczynając od dostosowania polityki prywatności i regulaminu na stronie internetowej, konieczne będzie poza tym zawarcie stosownej umowy z hurtownią, a przede wszystkim dopilnowanie ochrony danych osobowych swoich klientów, które przy dropshoppingu będą musiały być przetwarzane również przez zewnętrzny podmiot, w tym wypadku hurtownię.</p>



<p>Jak zatem zadbać o legalne i zgodne z prawem prowadzenie sprzedaży w sklepie internetowym w modelu dropshippingowym?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/54741902_small-business-owner-packing-clothes-in-the-box-at-workplace-1024x683.jpg" alt="" class="wp-image-2291" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/54741902_small-business-owner-packing-clothes-in-the-box-at-workplace-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/54741902_small-business-owner-packing-clothes-in-the-box-at-workplace-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/54741902_small-business-owner-packing-clothes-in-the-box-at-workplace-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/54741902_small-business-owner-packing-clothes-in-the-box-at-workplace-1536x1024.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/54741902_small-business-owner-packing-clothes-in-the-box-at-workplace.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Czym jest dropshopping i jakie korzyści może z niego czerpać sklep internetowy?</strong></h2>



<p>Dropshipping jest modelem handlowym wykorzystywanym w sprzedaży e-commerce. Sklep internetowy, który nie chce zamrozić nadmiarowego towaru lub też po prostu nie ma możliwości magazynowania go, zawiera umowę z dostawcą, który przejmuje od tego sklepu obowiązki związane z wysyłką sprzedanych produktów. Sam dokładny kształt współpracy w dużej mierze zależy od tego, jak skonstruowana zostanie umowa pomiędzy sklepem internetowym a hurtownią i jak podzielą się one obowiązkami. Można przyjąć, że umowy dropshippingowe dzielą się na dwa typy:</p>



<ul class="wp-block-list">
<li>pierwszy, gdy to sklep internetowy pełni rolę głównie pośrednika poszukującego klientów i sprzedającego im towar, a całą obsługą klienta (zwrotami, reklamacjami itd.) przechowywaniem towaru i wysyłką zajmuje się hurtownia;</li>



<li>drugi, kiedy to sklep internetowy ma obowiązki nie tylko marketingowe i sprzedażowe, ale również w zakresie całej obsługi klienta, a hurtownia jedynie przesyła sprzedany towar.</li>
</ul>



<p>W praktyce nie istnieją oczywiście te dwa sztywno ograniczone modele dropshippingu, gdyż może on ewoluować w zależności od tego, jak umówią się obie strony. Przykładowo, dropshippingiem będzie również sytuacja, gdy przedsiębiorca A zapewnia stronę www, cieszącą się dużą renomą, za pośrednictwem której sprzedawany jest towar należący do przedsiębiorcy B, ale procesem sprzedaży, obsługą klienta i wysyłką zajmuje się przedsiębiorca B korzystający z tej strony internetowej jako swoistego marketu.</p>



<p>W tym dropshippingu sklep internetowy nie musi inwestować w żaden magazyn. Nie musi on również płacić za towar, stąd nie zamraża pieniędzy na większe ilości towaru. Dzięki temu sklep może poszerzyć swoją ofertę bez inwestowania w taką strategię większych kwot, które przez długi czas mogłyby się nie zwrócić przy normalnej sprzedaży detalicznej. Przedsiębiorca B może w zależności od zainteresowania klientów zwiększać lub zmniejszać ilość towarów i zamówień. Oczywiście drugą stroną medalu będzie nieco mniejszy zysk z prowadzenia sklepu przez przedsiębiorcę A niż w wypadku sprzedaży i wysyłki przez sam sklep internetowy, gdyż w tym modelu przedsiębiorca A będzie jedynie otrzymywać prowizję od sprzedanych za pośrednictwem jego strony produktów przedsiębiorcy B.</p>



<h2 class="wp-block-heading"><strong>Kto może zawrzeć umowę dropshippingową z dostawcą?</strong></h2>



<p>Umowę z hurtownią może zawrzeć przedsiębiorca prowadzący działalność gospodarczą, choćby jednoosobową. Wcale nie oznacza to jednak, że tylko najmniejsze przedsiębiorstwa z niego korzystają. Znacznie większe sklepy internetowe, które z różnych względów potrzebują przyjęcia tej specyficznej logistyki handlowej, również bardzo chętnie przechodzą na taki model sprzedaży. Każdy przedsiębiorca musi jednak pamiętać, że decydując się na ten sposób sprzedaży, ma obowiązek przygotowania wszystkich potrzebnych dokumentów i wypełnienia stosownych przepisów, które zapewnią mu legalne działanie.</p>



<h2 class="wp-block-heading"><strong>Co powinna zawierać umowa sklepu internetowego z hurtownią – zwroty, reklamacje, wysyłka?</strong></h2>



<p>Umowa zawierana z hurtownią jest chyba jednym z głównych wyróżników sprzedaży dropshippingowej, gdyż cały proces wysyłki zostaje przejęty przez dostawcę. Co jednak warto podkreślić, to sklep internetowy, jeśli ten dokonuje sprzedaży towaru klientowi, zawiera z nim stosowną umową, a więc jest on stroną, do jakiej zwróci się konsument w razie problemów. Dlatego bardzo ważne wydaje się, aby dopilnować jak najkorzystniejszej umowy dla przedsiębiorcy. Najważniejsze kwestie, jakie należy ustalić w dokumencie to:</p>



<ul class="wp-block-list">
<li>czas realizacji zamówienia – obecnie czas, jaki upływa pomiędzy sprzedażą a wysyłką towaru, jest dla konsumenta bardzo istotnym argumentem przy wyborze sklepu; dlatego uściślenie w umowie przedziału czasowego, w którym miałaby nastąpić wysyłka, stanowi bardzo ważny element umowy z hurtownią;</li>



<li>reklamacja wysłanego towaru lub jego zwrot – to właściwie <em>sine qua non</em> w sprzedaży wysyłkowej, konsument musi wiedzieć, gdzie zwracać towar i na jakich zasadach. Sprzedawca właściwie nie uczestniczy w procesie wysyłki, a to do niego najczęściej konsument będzie się zwracał w takiej sprawie. Dlatego konieczne jest dookreślenie odpowiedzialności w tych kwestiach. Możliwe jest także wynegocjowanie, aby reklamacją i zwrotem zajmowała się sama hurtownia, co niewątpliwie byłoby najkorzystniejsze dla sklepu internetowego;</li>



<li>wysokość marży, jaką pobiera hurtownia – np. „przerzucenie” na hurtownię obsługi zwrotów i reklamacji mogłoby podnieść wysokość marży dla dostawcy.</li>
</ul>



<p>Sprawna i oparta na jasnych zasadach współpraca na linii sklep internetowy-hurtownia ostatecznie wpływa na zadowolenie konsumenta i jego opinię na temat sklepu, w jakim dokonuje zakupów. Dlatego tak ważne jest dopracowanie takiej umowy pod kątem prawnym.</p>



<h2 class="wp-block-heading"><strong>Dostosowanie strony internetowej sklepu – regulamin i polityka prywatności</strong></h2>



<p>Konsument, który dokonuje zakupu w sklepie internetowym, musi posiadać jasne i konkretne informacje, które dotyczą sposobu składania zamówienia, sposobu płatności, dostępnych opcji wysyłki, czasu realizacji zamówienia i wysłania go, a także warunków reklamacji oraz zwrotu zakupionego towaru. Wszystkie te kwestie należy zawrzeć w regulaminie sklepu. Przeważnie to właściciel sklepu internetowego jest stroną w umowie, jaką zawiera konsument przy zakupie towaru, dlatego tak ważne jest, aby regulamin był dostosowany do danego sklepu internetowego, a nie bezwiednie powielany od innego sprzedawcy.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Przy sprzedaży dropshippingowej konsument musi wiedzieć, kto wysyła towar, więc jeśli jest to magazyn zewnętrzny, musi zostać o tym poinformowany. Kluczowy jest kształt umowy z dostawcą, gdyż od niej zależy czas realizacji zamówienia i wysyłki. Pomimo że przedsiębiorca w tym przypadku nie zajmuje się wysyłką, to powinien on zadbać o jak najbardziej konkretne określenie w regulaminie, kiedy zakupiony przez klienta towar zostanie wysłany i jaką drogą. To samo dotyczy tematu reklamacji oraz zwrotów – również należy w umowie dokładnie ustalić z hurtownią, kto za to odpowiada, aby móc zawrzeć stosowne informacje w regulaminie.</p>



<p>Przy tworzeniu regulaminu sklepu internetowego trzeba pamiętać oczywiście o wielu innych kwestiach, jak np. wypełnieniu obowiązku informacyjnego, unikaniu klauzul niedozwolonych itd.&nbsp;</p>



<p>Więcej na temat napisania regulaminu sklepu e-commerce dowiesz się w tekście „<strong><a href="https://paluckiszkutnik.pl/regulaminy-i-umowy-dla-branzy-e-commerce-jak-napisac-regulamin-sklepu-internetowego/">Regulaminy i umowy dla branży e-commerce &#8211; jak napisać regulamin sklepu internetowego?</a>”</strong></p>



<p>Drugim ważnym dokumentem, który ma wpływ korzystanie z modelu dropshippingu, jest polityka prywatności. To tutaj koniecznie należy powiadomić klientów, kto jest odbiorcą danych osobowych, jakie oni przekazują. Tutaj nie będzie to jedynie sklep internetowy czy wybrana przez sklep firma kurierska, ale właśnie zewnętrzny dostawca. Zgodnie z RODO osoby, których dane dotyczą, muszą wiedzieć, kto będzie przetwarzał ich dane osobowe.</p>



<p>Więcej na temat dostosowania sklepu internetowego do RODO i samej polityki prywatności przeczytasz w tekście <strong>„<a href="https://paluckiszkutnik.pl/rodo-dla-sklepu-internetowego-jak-zabezpieczyc-sie-w-branzy-e-commerce/">RODO dla sklepu internetowego &#8211; jak zabezpieczyć się w branży e-commerce</a>?” </strong></p>



<h2 class="wp-block-heading"><strong>Umowa powierzenia danych pomiędzy sprzedawcą a hurtownią – ochrona danych osobowych konsumenta&nbsp;</strong></h2>



<p>Bezpieczeństwo przetwarzania danych jest obszarem, któremu przedsiębiorca powinien poświęcić szczególną uwagę w handlu e-commerce. Model dropshippingu wymaga natomiast jeszcze szerszych działań w porównaniu z sytuacją, gdy sklep internetowy realizuje wszystkie swoje zamówienia samodzielnie. W przypadku dropshippingu sklep musi przekazać dostawcy liczne dane osobowe klientów, żeby ten mógł prawidłowo zrealizować wysyłkę (imię, nazwisko, adres, adres mailowy, często numer telefonu). Danych może być jeszcze więcej, kiedy to hurtownia miałaby zająć się obsługą klienta związaną ze zwrotami oraz reklamacjami. Aby wszystko odbyło się zgodnie z przepisami RODO musi zostać zawarta umowa powierzenia danych osobowych.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Podstawą prawną jest tutaj art. 28 RODO, w którym znajdziemy kluczową informację – „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, że sklep internetowy, jako strona zawierają umowę sprzedaży z konsumentem, musi upewnić się, że warunki przetwarzania danych, jakimi dysponuje hurtownia, której powierza dane osobowe klientów, są wystarczające oraz zgodne z RODO.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Umowa powierzenia danych powinna zawierać m.in.:</p>



<ul class="wp-block-list">
<li>informacje czy podmioty, którym hurtownia podpowierza dane (firmy kurierskie, wysyłkowe) spełniają również stosowne warunki bezpieczeństwa;</li>



<li>informacje czy środki techniczne i organizacyjne, jakimi dysponuje dostawca są wystarczające dla bezpiecznego przetwarzania;</li>



<li>określenie kategorii osób, których dane dotyczą;</li>



<li>informacje, jakie dokładnie dane będą dalej przetwarzane;</li>



<li>określenie dokładnego czasu trwania przetwarzania;</li>



<li>określenie charakteru przetwarzania;</li>



<li>określenie dokładnych zadań i obowiązków podmiotu przetwarzającego, przetwarzanie danych tylko na polecenie administratora danych (kiedy sklep przekaże hurtowni zamówienie do realizacji).</li>
</ul>



<p>Więcej na temat umowy powierzenia danych przeczytasz w tekście <strong>„Umowa powierzenia przetwarzania danych osobowych zgodna z RODO &#8211; odpowiedzialność administratora a podmiotu przetwarzającego” (TU ADRES).</strong></p>



<h2 class="wp-block-heading"><strong>W czym możemy ci pomóc – co zrobić, żeby uniknąć kar i skarg klientów?</strong></h2>



<p>Najważniejszym aspektem prawnym w dropshippingu wydaje się dopilnowanie, aby nie naruszyć przepisów RODO. Kary za naruszenie RODO mogą spotkać w tym wypadku sklep internetowy za np.:</p>



<ul class="wp-block-list">
<li>brak umowy powierzenia danych osobowych;</li>



<li>brak polityki prywatności;</li>



<li>brak odpowiednich i aktualnych środków technicznych i organizacyjnych;</li>



<li>w wypadku naruszenia danych – brak zgłoszenia o incydencie;</li>



<li>brak rejestrowania czynności przetwarzania.</li>
</ul>



<p>W zależności od rodzaju naruszenia kary nakładane przez PUODO wynoszą 2% lub 4% całkowitego światowego rocznego obrotu firmy z roku poprzedzającego lub też 10 mln lub 20 mln euro.</p>



<p>Dlatego też tak ważne jest, aby w umowie pomiędzy sklepem a dostawcą zawrzeć wszystkie najważniejsze aspekty oraz w sposób jasny i konkretny wyznaczyć obowiązki. Dzięki temu będzie można uniknąć wzajemnego przerzucania się odpowiedzialnością w sytuacji, gdyby doszło do wycieku danych osobowych. Dobrym pomysłem byłoby np. dokonanie pewnego rodzaju audytu RODO, zanim doszłoby do rozpoczęcia współpracy.</p>



<p>To samo dotyczy kwestii reklamacji, zwrotów i zasadniczo obsługi klienta. Nienajlepszy dla opinii sklepu internetowego byłby chaos informacyjny, jaki napotkałby klient w chwili zagubienia przesyłki, chęci jej zareklamowania, przedłużającego się czasu wysyłki czy też po prostu chęci zwrotu towaru. Warto zatem zadbać, żeby wszystkie dokumenty oraz umowy zostały zawarte w sposób prawidłowy, najlepiej z pomocą wykwalifikowanej kancelarii prawnej.&nbsp;&nbsp;&nbsp;</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-w-zakresie-dropshippingu-umowa-sprzedaz-ochrona-danych-osobowych/">Obsługa prawna e-commerce w zakresie dropshippingu – umowa, sprzedaż, ochrona danych osobowych</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Obsługa prawna e-commerce &#8211; czy sklep internetowy potrzebuje prawnika?</title>
		<link>https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-czy-sklep-internetowy-potrzebuje-prawnika/</link>
		
		<dc:creator><![CDATA[Adwokat Katarzyna Rodacka]]></dc:creator>
		<pubDate>Thu, 06 Mar 2025 13:40:24 +0000</pubDate>
				<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2305</guid>

					<description><![CDATA[<p>Branża e-commerce, czyli handel w internecie, stanowi coraz bardziej rozwijający się sektor gospodarki. Jego specyfika wyróżnia się przede wszystkim dostępem [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-czy-sklep-internetowy-potrzebuje-prawnika/">Obsługa prawna e-commerce &#8211; czy sklep internetowy potrzebuje prawnika?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Branża e-commerce, czyli handel w internecie, stanowi coraz bardziej rozwijający się sektor gospodarki. Jego specyfika wyróżnia się przede wszystkim dostępem dla klientów przez całą dobę, a także globalnym zasięgiem. Przedsiębiorca prowadzący taki sklep spotyka się zatem z bardzo różnorodnymi problemami, a sama działalność e-commerce wiąże się z licznymi przepisami, które stanowczo wykraczają poza RODO, ochronę konsumentów czy regulacje podatkowe. Obsługa prawna e-commerce polega na wielowymiarowym zabezpieczeniu biznesu. Zakres usług, jaki tu omówię nie jest wyczerpujący, ponieważ zależy on od sposobu działania konkretnego przedsiębiorcy.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="678" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/38928284_e-commerce-law-tag-and-wooden-judge-gavel-e-commerce-law-1024x678.jpg" alt="" class="wp-image-2306" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/38928284_e-commerce-law-tag-and-wooden-judge-gavel-e-commerce-law-1024x678.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/38928284_e-commerce-law-tag-and-wooden-judge-gavel-e-commerce-law-300x199.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/38928284_e-commerce-law-tag-and-wooden-judge-gavel-e-commerce-law-768x509.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/38928284_e-commerce-law-tag-and-wooden-judge-gavel-e-commerce-law-1536x1018.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/38928284_e-commerce-law-tag-and-wooden-judge-gavel-e-commerce-law.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">E-commerce law tag and Wooden judge gavel. E-commerce law, rules and regulations concept</figcaption></figure>



<h2 class="wp-block-heading"><strong>Obsługa w procesie sprzedaży – stworzenie bezpiecznego regulaminu sklepu internetowego (m.in. reklamacje, zwroty, gwarancja)</strong></h2>



<p>Regulamin jest jednym z najważniejszych, jeśli nie najważniejszym dokumentem w sklepie internetowym. Od tego czy jest on stworzony w odpowiedni sposób, czy uwzględnia całą specyfikę sklepu, a przede wszystkim wymogi prawne zależy bardzo wiele. Niestety niejednokrotnie właściciele sklepów internetowych nie zdają sobie sprawy, jak bardzo może utrudnić im życie źle skonstruowany regulamin. Idą na przysłowiową łatwiznę czasami wręcz kopiując teksty regulaminów z innych sklepów albo też nie przykładają się specjalnie, tworząc dokument pospiesznie, bez uwzględnienia charakteru własnego biznesu.</p>



<p>Wykwalifikowana kancelaria prawna może <strong>pomóc</strong> przedsiębiorcy w napisaniu regulaminu – pomóc, ponieważ dobry prawnik wie, że w stworzeniu regulaminu sklepu musi brać udział jego właściciel. To on zna najlepiej jego specyfikę, cele, obszary rozwoju. Obsługa prawna służy między innymi temu, żeby wszystkie te cechy w odpowiedni sposób uwzględnić przy tworzeniu dokumentów prawnych, a także temu, by wskazać, w jakich rejonach konieczne jest odpowiednie zabezpieczenie.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; W czym zatem w sklepie internetowym pomaga prawnik?</p>



<ul class="wp-block-list">
<li>w stworzeniu tekstu regulaminu, uwzględniającego grupę docelową (czy sklep skierowany będzie do przedsiębiorcy czy konsumenta, a może do obydwu tych grup, a może będzie uwzględniał także dodatkowe elementy grupy docelowej i będzie to sklep specjalistyczny) oraz sam sposób działania, czyli rodzaj sprzedawanych towarów lub usług, stosowanych sposobów dostawy i płatności, funkcjonowania strony internetowej sklepu;</li>



<li>w optymalizacji regulaminu tak, aby wypełniał wymagania kluczowych dla e-commerce aktów prawnych, np. dyrektywy Omnibus (prawidłowy sposób informowania o cenach, publikowania opinii, stosowania promocji), dyrektywy towarowej (prawidłowy sposób przeprowadzenia procesu reklamacji, prawidłowa informacja o sprzedawanym towarze, obowiązki przedsiębiorcy przy zwrotach oraz reklamacjach), dyrektywy cyfrowej (reklamacja materiałów cyfrowych, pobieranie opłaty za materiały „darmowe”, np. ebooka, &nbsp;w postaci danych osobowych), Rozporządzenia GPSR (o bezpieczeństwie produktów), Aktu o usługach cyfrowych (DSA), a także ustawy o prawach konsumenta, czy ustawy o świadczeniu usług drogą elektroniczną;</li>



<li>w opracowaniu wzorów dokumentów odstąpienia od umowy i&nbsp;reklamacji, a także gwarancji, o ile przedsiębiorca podejmie decyzję o jej udzieleniu;</li>



<li>w przypadku, gdy sklep już istnieje (zatem musi już posiadać regulamin) lub też pojawieniu się zmian w prawie – dokonanie audytu prawnego sklepu internetowego i wprowadzeniu wymaganych zmian do regulaminu w związku z tymi zmianami;</li>
</ul>



<p>Więcej o samym stworzeniu regulaminu sklepu internetowego przeczytasz w tekście <strong>„<a href="https://paluckiszkutnik.pl/regulaminy-i-umowy-dla-branzy-e-commerce-jak-napisac-regulamin-sklepu-internetowego/">Regulaminy i umowy dla branży e-commerce &#8211; jak napisać regulamin sklepu internetowego?</a>”.</strong></p>



<h2 class="wp-block-heading"><strong>Obsługa prawna e-commerce w kontekście RODO – zabezpieczenie ochrony danych osobowych</strong></h2>



<p>Branża e-commerce ma to do siebie, że właściwie opiera się na przetwarzaniu danych osobowych. Cały proces działania opierający się na marketingu, sprzedaży oraz obsłudze klienta wymaga odpowiedniego, a zatem zgodnego z RODO, postępowania, które chroni dane osobowe klientów. Zaniedbanie w kwestiach bezpieczeństwa danych może doprowadzić do naruszenia ochrony danych osobowych&nbsp; o poważnych konsekwencjach dla klientów, a także samych przedsiębiorców. Kary za naruszenia ochrony danych osobowych to tylko jedna strona tego, co spotyka wtedy sklepy. Zszargana opinia u klientów może być znacznie poważniejszą konsekwencją.</p>



<p>Jak kancelaria może w tym wypadku wspierać firmę?</p>



<ul class="wp-block-list">
<li>przeprowadzenie audytu RODO, tj. dokonanie wszechstronnej oceny całej działalności firmy pod kątem zgodności tej działalności z RODO, stosowanych w działalności narzędzi oraz dokumentów (m.in. art. 32 RODO – środki techniczne i organizacyjne, art. 25 – ochrona w fazie projektowania);</li>



<li>prowadzeniu marketingu zgodnego z przepisami prawa – zadbanie o odpowiednie zaprojektowanie newslettera, zbieranie zgód, informowanie klientów o przetwarzaniu ich danych osobowych;</li>



<li>stworzenie polityki prywatności oraz polityki cookies – spełnienie obowiązku informacyjnego administratora (art. 13 RODO), tutaj między innymi konieczne jest zawarcie celów przetwarzania, informacji kto przetwarza, a więc także komu powierzane są dane osobowe konsumentów, informacji o ewentualnym zautomatyzowanym podejmowaniu decyzji (art. 22 RODO), profilowaniu itd., a także przedstawienie szczegółowej informacji na temat stosowanych plików cookies.</li>
</ul>



<p>Więcej na temat zastosowania RODO w sklepie internetowym znajdziesz w tekście <strong>„<a href="https://paluckiszkutnik.pl/rodo-dla-sklepu-internetowego-jak-zabezpieczyc-sie-w-branzy-e-commerce/">RODO dla sklepu internetowego &#8211; jak zabezpieczyć się w branży e-commerce?</a>”</strong></p>



<h2 class="wp-block-heading"><strong>Wsparcie prawne w międzynarodowym e-biznesie &#8211; przygotowanie sklepu do sprzedaży zagranicą</strong></h2>



<p>Prowadzenie sklepu internetowego często wiąże się ze sprzedażą poza granicami Polski. Wiele sklepów swoje działania handlowe prowadzi nawet nie tylko w rejonach UE, ale również poza nią. Każda sprzedaż wiąże się z prawidłowym opodatkowaniem (podatek OSS, doliczanie cła).</p>



<p>Transakcja międzynarodowa to również transfer danych poza Polskę. Odpowiednia obsługa prawna e-commerce będzie w tym wypadku bardzo istotna, ponieważ przy transferze danych osobowych do krajów trzecich konieczne jest podjęcie stosownych działań, aby operacje te przebiegały zgodnie z prawem. Każdy transfer danych musi być zabezpieczony odpowiednim mechanizmem, który jest uznany i akceptowalny na gruncie RODO.&nbsp;</p>



<p>Dużo zależy oczywiście, do jakiego kraju transfer się odbywa. Operacje transferu do krajów trzecich reguluje głównie V rozdział RODO, zaś art. 46 zawiera informacje dotyczące wyboru odpowiednich zabezpieczeń transferu poza granicę Europejskiego Obszaru Gospodarczego (EOG). Od lipca zeszłego roku, dzięki Data Privacy Framework (DPF), bezpieczny jest już transfer do USA. Warunkiem jest tylko posiadanie odpowiedniego certyfikatu przez przedsiębiorstwo, które mieści się na terenie Stanów Zjednoczonych. Najpopularniejszymi mechanizmami zabezpieczającym transfer są standardowe klauzule umowne oraz wiążące reguły korporacyjne.</p>



<p>Więcej na temat transferu danych osobowych do państw trzecich możesz przeczytać w tekście <strong>„<a href="https://paluckiszkutnik.pl/transfer-danych-do-panstwa-trzeciego-jak-prawidlowo-przekazywac-dane-osobowe-do-panstw-trzecich-zgodnie-z-rodo/">Transfer danych do państwa trzeciego &#8211; jak prawidłowo przekazywać dane osobowe do państw trzecich zgodnie z RODO</a>?”</strong></p>



<h2 class="wp-block-heading"><strong>Obsługa prawna sklepów internetowych we wdrożeniu dokumentacji wewnętrznej w firmie</strong></h2>



<p>Wewnętrzna dokumentacja musi regulować stosunki wewnętrzne, w tym z pracownikami i współpracownikami. Rolą pomocy prawnej jest z jednej strony zapewnienie, aby wszelkie działania, dokumenty i umowy były zgodne z przepisami, a z drugiej zapewnia&nbsp; wsparcie w sytuacjach spornych pomiędzy pracodawcą a pracownikiem. Wyróżnić tu można przykładowo obszary:</p>



<ul class="wp-block-list">
<li>RODO – stworzenie i wdrożenie dokumentacji RODO (m.in. polityka naruszeń ochrony danych osobowych, polityka reagowania na wnioski podmiotów danych, rejestr osób upoważnionych do przetwarzania danych, rejestr czynności przetwarzania oraz kategorii czynności przetwarzania danych osobowych, instrukcja zarządzania systemami informatycznymi) oraz w razie potrzeby świadczenie usługi Inspektora ochrony danych osobowych (IOD);</li>



<li>umowy pracownicze, umowy B2B, umowy zlecenia, umowy o dzieło, umowy o świadczenie usług;</li>



<li>przygotowanie niezbędnych dokumentów pracowniczych – np. regulaminów pracy, regulaminów pracy zdalnej (w tym zagranicą), regulaminów wynagradzania, opracowanie informacji o warunkach zatrudnienia itp.</li>
</ul>



<h2 class="wp-block-heading"><strong>Kancelaria prawna oferuje pomoc w zabezpieczeniu kontaktów przedsiębiorcy z kontrahentami</strong></h2>



<p>W branży e-commerce, choć to kontakt z klientami jest najczęstszy, to również konieczna jest współpraca z kontrahentami. Konieczne jest zawieranie stosownych umów, aby ochraniać dane osobowe konsumentów, rozszerzać rynek sprzedaży przez wyszukiwanie pośredników, niejednokrotnie korzystanie z zewnętrznej księgowości, obsługi marketingowej czy dostawców IT. Za każdym razem przedsiębiorca musi zawrzeć umowę, aby chronić klientów, a przede wszystkim samego siebie. Dobra obsługa prawna w tym wypadku wydaje się niezbędna.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Czego może dotyczyć pomoc kancelarii w tym zakresie?</p>



<ul class="wp-block-list">
<li>Umowa dropshippingowa – zachodzi najczęściej, gdy sklep internetowy decyduje się z różnych względów na nieprzechowywanie sprzedawanych towarów u siebie, ale w zewnętrznych magazynach dostawcy. Umowa ta musi zawierać m.in.: ustalenie, kto zajmuje się obsługą klienta (zwrotami, reklamacjami), czas realizacji zamówienia, wysokość pobieranej przez hurtownię prowizji. Należy pamiętać, że taki model handlowy wiąże się także ze odpowiednimi regulacjami w regulaminie sklepu oraz jego polityce prywatności;</li>



<li>Umowa powierzenia danych osobowych – opiera się na art. 28 RODO, który mówi, że kiedy operacja przetwarzania ma być dokonywana w imieniu administratora, to korzysta on <strong>tylko z usług podmiotów zewnętrznych, jakie</strong> <strong>zapewniają wystarczające gwarancje wdrożenia stosownych środków technicznych oraz organizacyjnych</strong> dla ochrony prywatności osób fizycznych, których dane dotyczą. Taka umowa zawierana jest w każdej sytuacji, kiedy dane konsumentów są powierzane podmiotom zewnętrznym;</li>



<li>Umowy dystrybucji, obsługi marketingowej, obsługi księgowej, umowy z dostawcami IT – umowy niezbędne do prowadzenia działalności, regulujące stosunki z kontrahentami, którzy dostarczają przedsiębiorcy określone usługi.</li>
</ul>



<p>Kancelaria prawna zapewni pomoc zarówno w przygotowaniu umów, jak również w weryfikacji umów zaproponowanych przez kontrahenta. Celem działań kancelarii w takich przypadkach jest jak najlepsze zabezpieczenie interesów przedsiębiorcy i minimalizowanie ryzyka, które może wiązać się z daną umową.</p>



<p>Więcej o umowach dropshippingowych przeczytasz w tekście&nbsp;<strong>„<a href="https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-w-zakresie-dropshippingu-umowa-sprzedaz-ochrona-danych-osobowych/">Obsługa prawna e-commerce w zakresie dropshippingu – umowa, sprzedaż, ochrona danych osobowych</a>”</strong></p>



<p>Więcej o umowach powierzenia przeczytasz w tekście&nbsp;<strong>„<a href="https://paluckiszkutnik.pl/umowa-powierzenia-przetwarzania-danych-osobowych-zgodna-z-rodo-odpowiedzialnosc-administratora-a-podmiotu-przetwarzajacego/">Umowa powierzenia przetwarzania danych osobowych zgodna z RODO &#8211; odpowiedzialność administratora a podmiotu przetwarzającego</a>” </strong></p>



<h2 class="wp-block-heading"><strong>Prawnik e-commerce pomocą w zabezpieczeniu marki sklepu – rejestracja i ochrona znaku towarowego</strong></h2>



<p>Zarejestrowanie i zabezpieczenie znaku towarowego swojego sklepu internetowego stanowi jedno z kluczowych działań wprowadzających markę na rynek e-commerce. Zgłoszenie znaku towarowego w Polsce następuje w Urzędzie Patentowym. Pełnomocnikiem strony w postępowaniu przed UP może być adwokat, radca prawny, rzecznik patentowy lub osoba świadcząca usługi transgraniczne w rozumieniu ustawy o rzecznikach patentowych. O zarejestrowanie znaku ubiegać się można drogą online, listownie oraz bezpośrednio w Urzędzie. Oczekiwanie na uzyskanie prawa ochronnego wynosi około 6 miesięcy, o ile nie wpłynie żaden sprzeciw ze strony innych przedsiębiorców.&nbsp;&nbsp;Samo prawo ochronne na znak towarowy trwa 10 lat od daty zgłoszenia w Urzędzie. Następnie można je przedłużać (nie można o tym zapomnieć, gdyż wtedy utraciłoby się prawo ochrony znaku towarowego).</p>



<p>Można ubiegać się również o znak towarowy Unii Europejskiej – ZTUE – co można zrobić drogą elektroniczną. W takim wypadku przedsiębiorca uzyskuje ochronę na terenie całej Unii Europejskiej.</p>



<p>Posiadając już zarejestrowany i chroniony znak towarowy warto zwracać uwagę czy ubiegający się o rejestrację nie używają podobnych lub takich samych znaków. Można wtedy złożyć sprzeciw. Poza tym w przypadku natknięcia się na używanie przez kogoś znaku o dużym podobieństwie do naszego, warto poprzez prawnika skontaktować się z taką firmą z nakazem zaprzestania używania tego logo. W takiej sytuacji przydaje się dowód pierwszeństwa na znak towarowy, który można uzyskać odpłatnie w Urzędzie.</p>



<h2 class="wp-block-heading"><strong>Jakie korzyści daje stała obsługa prawna w zakresie e-commerce?</strong></h2>



<p>Pomoc w bieżących problemach prawnych może dla sklepu internetowego przynosić duże korzyści. Każde przedsiębiorstwo ma swoje potrzeby oraz cele i najlepiej samemu ocenić, w jakich obszarach taka pomoc może być przydatna najbardziej. Może być to np.:</p>



<ul class="wp-block-list">
<li>firma, która działa w e-handlu na poziomie międzynarodowym, zawierając sporo umów z zagranicznymi kontrahentami lub konsumentami – może potrzebować obsługi prawnej w zakresie zawieranych umów;</li>



<li>firma zatrudniająca dużo pracowników &#8211; na pewno skorzystałaby z obsługi w zakresie przygotowania pakietu dokumentów pracowniczych;</li>



<li>właściwie każda firma z branży e-commerce, która przetwarza większe ilości danych osobowych- na pewno skorzystałaby z pomocy własnego Inspektora ochrony danych osobowych oraz kompleksowego audytu w zakresie RODO.</li>
</ul>



<p>Prowadzenie sklepu internetowego nieodłącznie wiąże się z kontaktem z klientami, współpracującymi firmami, a także z przetwarzaniem dużych ilości danych osobowych. Im większa firma, tym większe prawdopodobieństwo wystąpienia problemów, z którymi zetknie się właściciel sklepu. Zmieniające się prawo oraz nieustannie rozwijające swoje możliwości zagrożenie płynące z sieci powoduje, że sklepy e-commerce wystawiane są, raz za razem, na niebezpieczeństwo naruszenia przepisów czy też kradzieży danych. Profesjonalnie przygotowana dokumentacja, cyklicznie dokonywane audyty bezpieczeństwa, doradztwo w zakresie e-handlu międzynarodowego stwarza solidne i bezpieczne podstawy dla prężnie działającego biznesu.&nbsp; &nbsp;&nbsp;&nbsp;</p>



<p><strong>Bieżąca obsługa prawna dla branży e-commerce może przynieść przedsiębiorcy wiele korzyści i odpowiednio zabezpieczyć jego biznes. Kancelaria prawna może nie tylko zadbać o odpowiedni regulamin i politykę prywatności na stronie internetowej, ale może również zapewnić odpowiednią pomoc w zakresie przygotowania umów, regulaminów, czy innych dokumentów. Zakres koniecznej obsługi ustalany jest indywidualnie z przedsiębiorcą i zależy od jego potrzeb biznesowych. Jeśli poszukujesz obsług prawnej dla e-commerce skontaktuj się z nami już dziś- omówimy Twoje potrzeby i ustalimy szczegóły.</strong></p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/obsluga-prawna-e-commerce-czy-sklep-internetowy-potrzebuje-prawnika/">Obsługa prawna e-commerce &#8211; czy sklep internetowy potrzebuje prawnika?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Przebieg audytu prawnego strony internetowej na przykładzie sklepu internetowego &#8211; czy każda firma go potrzebuje?</title>
		<link>https://paluckiszkutnik.pl/przebieg-audytu-prawnego-strony-internetowej-na-przykladzie-sklepu-internetowego-czy-kazda-firma-go-potrzebuje/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Thu, 27 Feb 2025 13:55:58 +0000</pubDate>
				<category><![CDATA[Compliance]]></category>
		<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[Dane osobowe]]></category>
		<category><![CDATA[e-commerce]]></category>
		<category><![CDATA[GDPR]]></category>
		<category><![CDATA[marketing]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[RODO]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2312</guid>

					<description><![CDATA[<p>Strona internetowa jest czymś więcej dla firm niż tylko ich wizytówką w sieci, w szczególności, jeśli chodzi o sklepy, czy [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/przebieg-audytu-prawnego-strony-internetowej-na-przykladzie-sklepu-internetowego-czy-kazda-firma-go-potrzebuje/">Przebieg audytu prawnego strony internetowej na przykładzie sklepu internetowego &#8211; czy każda firma go potrzebuje?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Strona internetowa jest czymś więcej dla firm niż tylko ich wizytówką w sieci, w szczególności, jeśli chodzi o sklepy, czy platformy internetowe. To droga kontaktu z klientem, sposób, w jaki firma się przedstawia, co sobą reprezentuje, a także środek umożliwiający prowadzenie działalności. Zadbanie o jej sprawność techniczną to podstawa działalności przedsiębiorstwa. Niemniej ważne jest jej funkcjonowanie w kontekście przepisów prawa. Uchybienia i zaniedbania w tym względzie grożą nie tylko nadwątleniem reputacji samej firmy w oczach klientów, ale przede wszystkim karami finansowymi, z jakimi mogą spotkać się właściciele strony za niedopatrzenia związane choćby z RODO, dyrektywami UE Omnibus i DSA, a także polskimi przepisami, np. ustawy o prawach konsumenta. Jeśli strona była stworzona już jakiś czas temu to warto sprawdzić, czy jej treść odpowiada aktualnym przepisom prawnym i co ewentualnie powinno zostać zaktualizowane.</p>



<p>Kto powinien zainteresować się przeprowadzeniem audytu prawnego strony internetowej? Kiedy powinien to zrobić? Wreszcie jak taki audyt przebiega?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/32409278_justice-and-law-conceptbusinessman-or-lawyer-or-accountant-work-1024x683.jpg" alt="" class="wp-image-2313" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/32409278_justice-and-law-conceptbusinessman-or-lawyer-or-accountant-work-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/32409278_justice-and-law-conceptbusinessman-or-lawyer-or-accountant-work-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/32409278_justice-and-law-conceptbusinessman-or-lawyer-or-accountant-work-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/32409278_justice-and-law-conceptbusinessman-or-lawyer-or-accountant-work-1536x1024.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/32409278_justice-and-law-conceptbusinessman-or-lawyer-or-accountant-work.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Czym jest audyt prawny strony internetowej i kiedy go wykonać?</strong></h2>



<p>Audyt prawny strony internetowej jest wykonywany przez kancelarię prawną i stanowi proces sprawdzenia całej strony www przedsiębiorstwa pod kątem aktualnych przepisów prawa. Odpowiednio wykwalifikowane osoby analizują strukturę strony, dokumentację w niej zawartą (np. regulaminy, polityki prywatności) oraz jej funkcjonowanie (np. stosowane checkboxy, formularze).</p>



<p>Audyt prawny wykonywany może być przed uruchomieniem całej strony internetowej, kiedy przedsiębiorca chciałby upewnić się, że będzie działać zgodnie z prawem. Może również być przeprowadzany przy poważniejszych zmianach na stronie czy po prostu stanowić element regularnego badania poprawności działania firmy. Audyt stanowi ważną składową strategii analizy ryzyka i pozwala zabezpieczyć się przed ryzykami prawnymi.</p>



<p>Nie da się w sposób generalny wskazać, ile może zająć audyt strony internetowej. Wszystko będzie zależało od stopnia złożoności strony, dokumentów na niej dostępnych, rodzaju działalności firmy, w tym sprzedawanych produktów. Czas trwania audytu jest trudny do przewidzenia. Audyt zakończony jest otrzymaniem przez firmę odpowiedniej dokumentacji wraz z dokładnymi wskazówkami, co wymaga zmiany na stronie internetowej.</p>



<h2 class="wp-block-heading"><strong>Jakie są kluczowe obszary audytu prawnego strony internetowej?</strong></h2>



<p>Należy pamiętać, że audyt prawny czy audyt RODO różni się od audytów technicznych stron internetowych. Takie koncentrują się na aspekcie technicznym strony www, prędkości jej działania, sprawnego funkcjonowania, optymalizacji do urządzeń mobilnych itd. Audyt prawny także może nawiązać do wdrożenia technicznych poprawek, z tymże będą one analizowane w kontekście działania strony zgodnie z przepisami prawa.&nbsp;</p>



<p>Jak już wspomniałem przebieg samego audytu prawnego oraz badane podczas niego obszary zależą w dużej mierze od tego, czego oczekuje firma objęta audytem oraz od sytuacji, w jakiej audyt się odbywa. Na przykładzie sklepu internetowego można jednak wyróżnić elementy strony, które są weryfikowane podczas audytu pod kątem ochrony praw konsumenta, dyrektyw Omnibus oraz towarowej, ochrony danych osobowych czy też wprowadzonych niedawno – Prawa Komunikacji Elektronicznej oraz dyrektywy DSA. Kluczową dla przedsiębiorcy informacją są z pewnością konsekwencje w postaci kar finansowych, jakie mogą spotkać firmę za niewypełnianie obowiązujących przepisów.</p>



<h3 class="wp-block-heading"><strong>Weryfikacja regulaminu sklepu internetowego</strong></h3>



<p>Temat tworzenia regulaminu jest bardzo rozległy, dlatego przybliżę go w dość skrótowy sposób. Więcej o pisaniu regulaminu dla sklepu internetowego możesz przeczytać w tekście <strong>„<a href="https://paluckiszkutnik.pl/regulaminy-i-umowy-dla-branzy-e-commerce-jak-napisac-regulamin-sklepu-internetowego/">Regulaminy i umowy dla branży e-commerce &#8211; jak napisać regulamin sklepu internetowego</a>?”.</strong></p>



<p>Podstawą prawna do stworzenia regulaminu są liczne przepisy prawa, których nie zamyka nawet poniższa lista:</p>



<ul class="wp-block-list">
<li>ustawa o prawach konsumenta;</li>



<li>ustawa o ochronie konkurencji i konsumentów;</li>



<li>ustawę o świadczeniu usług drogą elektroniczną;</li>



<li>prawo komunikacji elektronicznej;</li>



<li>dyrektywa Omnibus;</li>



<li>Kodeks cywilny;</li>



<li>RODO.</li>
</ul>



<p>To właśnie poprawność prawna w kontekście tych przepisów będzie sprawdzana podczas wykonywania audytu prawnego. Mieści się tu między innymi temat reklamacji, zwrotów (regulamin musi zawierać odpowiednie wzory formularzy), praw konsumenta (np. art. 12 ustawy o prawach konsumenta wymienia, jakie informacje powinny być przedstawione konsumentowi). Poza tym zwracana jest również uwaga na ewentualną obecność klauzul abuzywnych, czyli niedozwolonych – obecność ich w tekście regulaminu może spowodować nałożenie kar przez UOKiK (nawet do 10% obrotu z roku poprzedzającego ten, w którym nałożono karę). W samym regulaminie powinno się też zawrzeć omówienie krok po kroku samego procesu sprzedaży, od samego rozpoczęcia dodawania produktów do internetowego „koszyka”, poprzez wybór sposobów zapłaty i dostawy, realizację zamówienia oraz jego wysyłkę.</p>



<p>Niekiedy na stronach internetowych spotykamy się z wieloma podstronami, które wyodrębniają poszczególne informacje z regulaminu, tworząc osobne zakładki. Wówczas w czasie audytu konieczne jest sprawdzenie także tego typu podstron i upewnienie się, że są spójne z regulaminem. Brak spójności w tym zakresie mógłby powodować wątpliwości odnośnie wzajemnych obowiązków stron.&nbsp;</p>



<h3 class="wp-block-heading"><strong>Przetwarzanie danych osobowych – polityka prywatności oraz polityka cookies</strong></h3>



<p>Tak jak regulamin stanowi główny dokument regulujący zasady panujące w Twoim sklepie internetowym, tak można powiedzieć polityka prywatności wraz z polityką cookies wspierają u klienta poczucie bezpieczeństwa podczas korzystania z Twojej strony internetowej oraz są podstawą zbudowania zaufania wobec marki firmy. Obydwa dokumenty muszą być faktycznym odzwierciedleniem zgodności z RODO – opisem jak wykorzystywane są zbierane od klientów dane osobowe i jak są przetwarzane.&nbsp;</p>



<p>Podczas audytu prawnego sklepu internetowego konieczna jest także jej weryfikacja pod kątem RODO. Na co zatem zostaje zwrócona szczególna uwaga?</p>



<ul class="wp-block-list">
<li>na podane informacje dotyczące celów przetwarzania danych osobowych oraz sprawdzenie czy uwzględnieni są wszyscy odbiorcy, do jakich trafiają dane osobowe (konsument musi wiedzieć, co dzieje się z jego danymi);</li>



<li>wyjaśnienie i podanie informacji na temat transferu danych osobowych do krajów trzecich, o ile taki transfer ma miejsce (w praktyce taki transfer jest często możliwy w przypadku korzystania z narzędzi IT);</li>



<li>sprawdzenie poprawności wypełnienia wszystkich obowiązków informacyjnych administratora wobec konsumenta włącznie z podaniem w polityce prywatności informacji o prawach przysługującym osobom, których dane dotyczą (prawo do dostępu do danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do usunięcia danych, prawo do wniesienia sprzeciwu do przetwarzania, prawo do wycofania zgody, prawo do wniesienia skargi do organu nadzorczego);</li>



<li>prawidłowe informacje na temat zautomatyzowanego przetwarzania danych (profilowania), o ile takie występuje;</li>



<li>prawidłowe zgody od konsumentów – pliki cookie;</li>



<li>sprawdzenie prawidłowości checkboxów, aby były zgodne z RODO i dyrektywą DSA;</li>



<li>dostosowanie zgód do wymagań zawartych w przepisach.</li>
</ul>



<p>Więcej na temat polityki prywatności przeczytasz w tekście w tekście:<strong> „<a href="https://paluckiszkutnik.pl/rodo-dla-sklepu-internetowego-jak-zabezpieczyc-sie-w-branzy-e-commerce/">RODO dla sklepu internetowego &#8211; jak zabezpieczyć się w branży e-commerce</a>?”</strong></p>



<h3 class="wp-block-heading"><strong>Co jeszcze oferuje audyt strony internetowej – marketing, proces sprzedaży, formularz rekrutacyjny</strong></h3>



<p>Audyt prawny strony internetowej może dotyczyć jeszcze wielu rzeczy, jak stosowne dokumenty, umowy, formularze, klauzule, regulaminy – wszystko zależy od kształtu strony, co się na niej znajduje i czym zajmuje się sama firma. Można jednak wymienić tu jeszcze kilka tematów, które często sprawdzane są podczas audytu, w szczególności strony sklepu internetowego. Są to m.in.:</p>



<ul class="wp-block-list">
<li>newsletter – czy prawidłowo pobierane są zgody, czy jest prawidłowo skonstruowany;</li>



<li>program lojalnościowy – czy skonstruowany jest zgodnie z RODO, czy posiada własny regulamin, czy zawiera w razie potrzeby stosowne informacje o obniżkach uwzględniające dyrektywę Omnibus;</li>



<li>czy w sklepie znajdują się prawidłowe informacje o towarach oraz prawidłowe informacje o cenach, w tym z uwzględnieniem rozporządzenia GSPR (tj. rozporządzenia o bezpieczeństwie produktów);</li>



<li>czy proces sprzedaży przebiega w sposób prawidłowy – np. czy pojawia się wymagane pole „potwierdzam zakup z obowiązkiem zapłaty”, czy pojawił się checkbox z akceptacją regulaminu oraz polityki prywatności;</li>



<li>czy rekrutacje są prowadzone w sposób prawidłowy (jeśli są prowadzone za pomocą strony internetowej)– czy na stronie jest stosowny formularz rekrutacyjny, który informuje o przetwarzaniu danych osobowych podczas procesu rekrutacji (taka informacja może być również zawarta w polityce prywatności).</li>
</ul>



<h2 class="wp-block-heading"><strong>Dlaczego przedsiębiorca powinien przeprowadzić audyt prawny strony www?</strong></h2>



<p>Przede wszystkim audyt prawny nie powinien być rozumiany jako przymusowy obowiązek do wypełnienia, ale – spoglądając na sprawę od drugiej strony – niewymierna pomoc dla przedsiębiorcy w ulepszeniu swojej strony internetowej i jako ważne działanie profilaktyczne.&nbsp;</p>



<p>Audyt prawny najlepiej wykonać przed rozpoczęciem działania strony, a także powtarzać go cyklicznie w czasie jej funkcjonowania. Istniejąca już strona internetowa może czerpać wiele korzyści z przeprowadzonego audytu. Dzieje się tak choćby w wypadku, gdy zmienia się prawo w kluczowy dla funkcjonowania strony sposób albo strona przechodziła gruntowną przebudowę i zmienił się jej sposób/zakres działania. Przedsiębiorca może również, korzystając ze stałej opieki prawnej, przeprowadzać okresowe audyty, które z pewnością uchronią go przed problematycznymi sytuacjami – poczynając od sporów z konsumentami, na karach nałożonych np. przez PUODO czy UOKiK, kończąc. Dlatego nie warto oszczędzać na operacji audytu prawnego i potraktować ją jako inwestycję, samemu biorąc w niej aktywny udział. Nikt przecież nie wie więcej na temat strony internetowej niż jej właściciel.&nbsp;</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/przebieg-audytu-prawnego-strony-internetowej-na-przykladzie-sklepu-internetowego-czy-kazda-firma-go-potrzebuje/">Przebieg audytu prawnego strony internetowej na przykładzie sklepu internetowego &#8211; czy każda firma go potrzebuje?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Regulamin dla platform internetowych &#8211; świadczenie usług, dyrektywa Omnibus i akt o usługach cyfrowych a nowe obowiązki dla operatorów platform e-commerce</title>
		<link>https://paluckiszkutnik.pl/regulamin-dla-platform-internetowych/</link>
		
		<dc:creator><![CDATA[Adwokat Katarzyna Rodacka]]></dc:creator>
		<pubDate>Thu, 06 Feb 2025 14:04:46 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[Compliance]]></category>
		<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<category><![CDATA[Dane osobowe]]></category>
		<category><![CDATA[e-commerce]]></category>
		<category><![CDATA[GDPR]]></category>
		<category><![CDATA[marketing]]></category>
		<category><![CDATA[ochrona danych osobowych]]></category>
		<category><![CDATA[przedsiębiorca]]></category>
		<category><![CDATA[RODO]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2331</guid>

					<description><![CDATA[<p>Platformy internetowe rosną w siłę i stanowią coraz większą część rynku e-commerce. Udostępnienie wielu ofert w jednym miejscu jest dla [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/regulamin-dla-platform-internetowych/">Regulamin dla platform internetowych &#8211; świadczenie usług, dyrektywa Omnibus i akt o usługach cyfrowych a nowe obowiązki dla operatorów platform e-commerce</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Platformy internetowe rosną w siłę i stanowią coraz większą część rynku e-commerce. Udostępnienie wielu ofert w jednym miejscu jest dla klientów bardzo atrakcyjną alternatywą. Są miejscem, gdzie możliwe jest zebranie komentarzy i opinii na temat jakiejś usługi, produktu czy sprzedawcy. &nbsp;Proponują kompleksową obsługę, więc trudno dziwić się ich popularności. Handel, który właściwie staje się e-handlem, wymaga również zapewnienia bezpieczeństwa konsumentom i tym właśnie od jakiegoś czasu zajmuje się Komisja Europejska. Akty prawne takie jak Omnibus czy DSA, a ostatnio także GPSR stanowią najważniejsze przykłady przepisów, jakie mają wpływ na funkcjonowanie tzw. marketplace’ów, czyli najpopularniejszej obecnie odmiany platformy internetowej. Wprowadzają one dodatkowe obowiązki, które są implementowane w praktyce w formie odpowiednich zmian regulaminów platform.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/64620018_boxes-on-a-laptop-with-graphs-and-charts-internet-trade-online-orders-import-or-export-delivery-and-logistics-shopping-commerce-and-economics-1024x683.jpg" alt="" class="wp-image-2332" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/03/64620018_boxes-on-a-laptop-with-graphs-and-charts-internet-trade-online-orders-import-or-export-delivery-and-logistics-shopping-commerce-and-economics-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/64620018_boxes-on-a-laptop-with-graphs-and-charts-internet-trade-online-orders-import-or-export-delivery-and-logistics-shopping-commerce-and-economics-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/64620018_boxes-on-a-laptop-with-graphs-and-charts-internet-trade-online-orders-import-or-export-delivery-and-logistics-shopping-commerce-and-economics-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/64620018_boxes-on-a-laptop-with-graphs-and-charts-internet-trade-online-orders-import-or-export-delivery-and-logistics-shopping-commerce-and-economics-1536x1024.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/03/64620018_boxes-on-a-laptop-with-graphs-and-charts-internet-trade-online-orders-import-or-export-delivery-and-logistics-shopping-commerce-and-economics.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Czym jest platforma internetowa?</strong></h2>



<p>Platforma internetowa handlowa jest usługą korzystającą z oprogramowania, w tym strony internetowej, części strony internetowej lub aplikacji, obsługiwanej przez przedsiębiorcę lub w jego imieniu, która umożliwia konsumentom zawieranie umów na odległość z innymi przedsiębiorcami lub konsumentami<a href="#_ftn1">[1]</a>. Definicję uzupełnia Akt o usługach cyfrowych, który platformę internetową rozumie jako „dostawcę usługi hostingu, który na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje” (rozdz. I, art. 2 lit. h). DSA (Digital Service Act) jednocześnie wyłącza z dostawców usługi hostingu te podmioty, których wyżej wymienione działanie stanowi nieznaczną i wyłącznie poboczną funkcję innej usługi (podawanym przykładem jest serwis informacyjny, który pobocznie daje możliwość wstawiania komentarzy).</p>



<p>Pojęcie platformy internetowej jest jednak na tyle szerokie, że na potrzeby tego tekstu chciałbym głównie skupić się na tej odmianie handlowej, która wiąże się z branżą e-commerce.</p>



<h2 class="wp-block-heading"><strong>Regulamin platformy e-commerce to także regulamin sklepu internetowego &#8211; RODO, polityka prywatności, obowiązek informacyjny</strong></h2>



<p>Poza specyficznymi wymogami, które dotyczą platform internetowych, nałożonych przez akty prawne takie jak Omnibus i DSA, przy tworzeniu regulaminu dla platformy należy pamiętać o całej reszcie przepisów, jakie wiążą się z pisaniem tego dokumentu dla sklepu internetowego. Przepisy prawa, których wypełnienie jest konieczne, aby regulamin platformy był prawidłowy, są liczne. Do tych najważniejszych należą:</p>



<p>·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ustawa o prawach konsumenta;</p>



<p>·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ustawa o ochronie konkurencji i konsumentów;</p>



<p>·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ustawa o świadczeniu usług drogą elektroniczną;</p>



<p>·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; prawo komunikacji elektronicznej;</p>



<p>·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Kodeks cywilny;</p>



<p>·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RODO.</p>



<p>Najważniejszą zasadą, jaką powinien kierować się właściciel sklepu internetowego, przy tworzeniu regulaminu jest pamiętanie, żeby nie iść na łatwiznę kopiując go z innych stron. Regulamin to jeden z najważniejszych dokumentów na stronie i pisząc go należy koniecznie wziąć pod uwagę jego specyfikę, co się oferuje na stronie, jakie usługi, produkty. Np. jeżeli konsument może wystawiać opinie na temat usługi lub produktu, trzeba poinformować, kto może je wystawiać – czy każda osoba, niezależnie od tego, czy dokonała zakupu, co zmniejsza wiarygodność tak wystawionych opinii, czy może tylko zweryfikowani nabywcy produktu lub usługi.</p>



<p>W kontekście praw konsumenta trzeba pamiętać o zawarciu odpowiednich formularzy zwrotu, rezygnacji itd. Klient musi być poinformowany w jasny i prosty sposób, co do procesu zakupu oraz o prawach, jakie mu przysługują. Ochrona danych osobowych poprzez RODO, którego wypełnieniem jest przede wszystkim polityka prywatności wraz z polityką cookies, w regulaminie musi również mieć swoje odzwierciedlenie. Obowiązek informacyjny, czyli zawarcie wszelkich niezbędnych informacji o sprzedającym, jest podstawowym obowiązkiem każdego administratora strony.&nbsp;</p>



<p>Wreszcie należy pamiętać o dwóch sprawach:</p>



<ul class="wp-block-list">
<li>jeśli czegoś nie zawrzemy w regulaminie sklepu internetowego, to nie będziemy tego mogli wymagać od klienta.</li>



<li>w regulaminie nie możemy zawrzeć czegokolwiek i traktować tego jako nienaruszalnego prawa.</li>
</ul>



<p>Klauzule abuzywne, czyli niedozwolone, stanowią postanowienia, których zawarcie w regulaminie grozi wysokimi karami finansowymi. Ich przykładami będą:</p>



<ul class="wp-block-list">
<li>całkowite wyłączenie odpowiedzialności sprzedającego za niezgodność towaru z umową;</li>



<li>automatyczne przenoszenie kosztów zwrotu towaru na konsumenta;</li>



<li>zmiana regulaminu sklepu ze strony przedsiębiorcy, bez uzasadnienia i prawa konsumenta do odstąpienia od umowy.</li>
</ul>



<p>Więcej na temat stworzenia regulaminu dla sklepu internetowego przeczytasz w tekście „<strong><a href="https://paluckiszkutnik.pl/regulaminy-i-umowy-dla-branzy-e-commerce-jak-napisac-regulamin-sklepu-internetowego/">Regulaminy i umowy dla branży e-commerce &#8211; jak napisać regulamin sklepu internetowego</a>?”</strong>.</p>



<h2 class="wp-block-heading"><strong>Obowiązek informacyjny dużych platform internetowych – ochrona konsumenta i obowiązki wobec zewnętrznych dostawców według dyrektywy Omnibus</strong></h2>



<p>Dyrektywa Omnibus, czyli dyrektywa Parlamentu Europejskiego i Rady (EU) 2019/2161 z 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE, została zaimplementowana do polskiego prawa 1 stycznia 2023 r. Upłynęły już ponad 2 lata od tego unowocześnienia unijnych przepisów dotyczących ochrony konsumenta. Dostawcom platform internetowych zostały wtedy narzucone nowe obowiązki, które w założeniu mają unormować zobowiązania pomiędzy dostawcą platformy a podmiotem, który sprzedaje na tej platformie oraz zaoferować lepszą ochronę konsumentom.</p>



<p>Zgodnie z niniejszą dyrektywą dostawca platformy ma obowiązek udzielić konsumentowi wszelkich potrzebnych informacji, w sposób jasny i zrozumiały, zanim ten zostanie związany umową zawieraną na odległość lub jakąkolwiek ofertą w tym zakresie na internetowej platformie handlowej. Takie informacje dostawca platformy może również zebrać w treści regulaminu platformy – w szczególności powinien podać tam zasady podziału obowiązków z osobą trzecią, która oferuje towary na tej platformie.</p>



<p>Jakie obowiązki dla platform wiążą się z dyrektywą Omnibus?</p>



<ul class="wp-block-list">
<li>podanie ogólnych informacji dotyczących głównych parametrów decydujących o plasowaniu ofert przedstawianych konsumentowi w wyniku wyszukiwania – w skrócie konsument w klarowny sposób musi zostać powiadomiony dlaczego w takiej, a nie innej kolejności wyświetlają się wyniki wyszukiwania towarów; jeśli jest to efekt płatnej reklamy, konsument musi o tym wiedzieć. Uwaga – taka informacja nie może być „zaszyta” w regulaminie. Jak najbardziej można, a wręcz powinno się ją tam zawrzeć, ale musi być ona również zaprezentowana na głównej stronie, w łatwo dostępnym dla konsumenta miejscu;</li>



<li>konsument musi zostać jasno poinformowany, jakie obowiązki ma wobec niego przedsiębiorca sprzedający mu towar, a jakie dostawca platformy handlowej;</li>



<li>jeśli sprzedającym jest osoba fizyczna, to dostawca platformy musi o tym poinformować konsumenta i powiadomić wtedy, że nie obowiązują w takim wypadku prawa konsumentów, które wynikają z unijnego prawa ochrony konsumentów;</li>



<li>dostawca platformy musi zweryfikować czy sprzedawca jest osobą fizyczną czy też przedsiębiorcą – powinno się wymagać od sprzedawców określenia swojego statusu np. za pomocą oświadczenia;</li>



<li>dostawca platformy musi również umożliwić zewnętrznym sprzedawcom przekazanie konsumentowi wszelkich danych kontaktowych, cenie produktu, a także tożsamości sprzedawcy;</li>



<li>informując o cenach zebranych ofert dostawca musi pamiętać w wypadku promocji o obowiązku podawania także najniższej możliwej ceny w ciągu ostatnich 30 dni;</li>



<li>dostawca platformy musi informować o tym, czy weryfikuje każdą wystawioną opinię – co ciekawe, pomimo obecności w prawie dyrektywy Omnibus od ponad 2 lat, to w internecie wciąż można napotkać firmy, które w sposób jawny oferują kupowanie opinii.&nbsp; &nbsp;&nbsp;&nbsp;</li>
</ul>



<h2 class="wp-block-heading"><strong>Prywatność i bezpieczeństwo w świecie e-commerce – obowiązki platform handlowych w kontekście Aktu o usługach cyfrowych (rozporządzenie DSA)</strong></h2>



<p>Rozporządzenie DSA (Digital Services Act, Akt o Usługach Cyfrowych) weszło w życie 17 lutego 2024 r. i postrzegane jest jako jedna z najważniejszych regulacji dla całej branży internetowej. Jego celem jest stworzenie warunków bezpiecznego, przewidywalnego i budzącego zaufanie środowiska internetowego, a także dostosowanie istniejących wcześniej przepisów do zmieniających się technologii. Chodzi tu między innymi o dyrektywę 2000/31/WE o handlu elektronicznym (dyrektywa e-commerce). DSA dotyczy firm internetowych, które świadczą usługi pośrednie, czyli między innymi internetowych platform handlowych. W ich wypadku świadczenie usług następuje drogą elektroniczną, więc konieczne jest dostosowanie regulaminu do treści Aktu o usługach cyfrowych. Poza umieszczeniem ich w regulaminie powinno się je podać w miejscu łatwo dostępnym dla konsumenta, w formacie nadającym się do odczytu maszynowego.</p>



<p>DSA przewiduje wiele obowiązków dla platform internetowych, ale należy zaznaczyć, że wyłącza się z nich te, które kwalifikują się jako mikro- i małe przedsiębiorstwa. Wymogi te obejmują m.in.:</p>



<ul class="wp-block-list">
<li>opracowanie wewnętrznego systemu rozpatrywania skarg – użytkownik platformy ma do 6 miesięcy prawo odwołania się od decyzji dostawcy internetowej platformy handlowej (jak np. zawieszenie/zamknięcie konta);</li>



<li>zakaz stosowania tzw. dark patterns;</li>



<li>informacje o pozasądowym rozwiązywaniu sporów;</li>



<li>zawieszenie świadczenia usług podmiotom często przekazującym nielegalne treści;</li>



<li>tzw. mechanizm „trusted flaggers” &#8211; &nbsp;mechanizm zgłaszania i działania o zarządzanie zgłoszeniami pochodzącymi od zaufanych podmiotów sygnalizujących (czyli tzw. zaufani sygnaliści);</li>



<li>zapewnienie prywatności i bezpieczeństwa małoletnim;</li>



<li>zapewnianie transparentności reklam – użytkownik platformy nie może mieć wątpliwości, że prezentowana treść jest reklamą (czyli również należy wskazać w czyim imieniu jest ta reklama);</li>



<li>należy zapewnić identyfikowalność przedsiębiorcom, którzy oferują produkty lub usługi;</li>



<li>należy zaprojektować interfejs internetowy, który pozwali na realizację obowiązków dotyczących umowy, zgodności i bezpieczeństwa produktów przez przedsiębiorców;</li>



<li>obowiązek informowania o nabyciu nielegalnego produktu lub usługi;</li>



<li>poinformowanie czy i jak są moderowane oceny produktów, jak są weryfikowane;</li>



<li>wyznaczenie punktu kontaktowego – dla użytkowników oraz organów nadzorczych, aby mieli możliwość szybkiego kontaktu drogą elektroniczną z dostawcą platformy.</li>
</ul>



<h2 class="wp-block-heading"><strong>Ochrona bezpieczeństwa produktów jako obowiązek dostawców internetowych platform</strong> <strong>handlowych</strong></h2>



<p>Rozporządzenie 2023/988 – GPSR, czyli o ogólnym bezpieczeństwie produktów, zaczęło obowiązywać 13 grudnia 2024 r. Głównym jego założeniem jest zapewnienie zdrowia i bezpieczeństwa konsumentów. Art. 22 rozporządzenia mówi właśnie o szczególnych obowiązkach dostawców internetowych platform handlowych. Wśród najważniejszych można wymienić:</p>



<ul class="wp-block-list">
<li>wyznaczenie punktu kontaktowego zapewniającego szybką i bezpośrednią komunikację;</li>



<li>wprowadzenie wewnętrznych procedur dotyczących bezpieczeństwa produktów;</li>



<li>podejmowanie niezbędnych środków w celu otrzymania i przetwarzania nakazów oraz podejmowanie działań bez zbędnej zwłoki – w tym usunięcia wszystkich identycznych treści odnoszących się do oferty danego produktu niebezpiecznego;</li>



<li>korzystanie z programu Safety Gate – czyli unijnego systemu szybkiego ostrzegania o niebezpiecznych produktach żywnościowych, w regulaminie można poinformować, że konsumenci mogą znaleźć w Safety Gate listę niebezpiecznych produktów prowadzoną przez Komisję Europejską;</li>



<li>bez zbędnej zwłoki – maksymalnie do 3 dni – rozpatrywanie zawiadomień dotyczących bezpieczeństwa produktów oferowanych do sprzedaży online za ich platformy;</li>



<li>projektowanie i organizacja interfejsu, aby umożliwić przedsiębiorcom prowadzącym sprzedaż za pośrednictwem platformy danego dostawcy, podanie konsumentom wszystkich niezbędnych informacji (np. imię, nazwisko lub nazwa, zarejestrowana nazwa handlowa lub zarejestrowany znak towarowy, informacje umożliwiające identyfikacje produktu, wszelkie ostrzeżenia lub informacje na temat bezpieczeństwa produktu);</li>



<li>zawieszanie świadczenia usług platformy przedsiębiorcom – po uprzednim uprzedzeniu świadczenia usług – którzy często oferują produkty niezgodne z GPSR;</li>



<li>wreszcie współpraca z organami nadzoru rynku, przedsiębiorcami i odpowiednimi podmiotami gospodarczymi.</li>
</ul>



<p><strong>Więcej na temat rozporządzenia GPSR przeczytasz w tekście „<a href="https://paluckiszkutnik.pl/unijne-rozporzadzenie-gpsr-kogo-dotyczy-nowe-rozporzadzenie-o-ogolnym-bezpieczenstwie-produktow/">Unijne rozporządzenie GPSR &#8211; kogo dotyczy nowe rozporządzenie o ogólnym bezpieczeństwie produktów?</a>” </strong></p>



<h2 class="wp-block-heading"><strong>Jakie kary przewidziane są dla internetowych platform handlowych za nieprawidłowe warunki świadczenia usług?</strong></h2>



<p>Z powodu mnogości przepisów, które wpływają na obowiązki platform internetowych, kar związanych z ich nieprzestrzeganiem może być wiele. Poczynając od naruszenia RODO w regulaminie czy w polityce prywatności, za które UODO wyznacza karę do 2 lub 4% całkowitego rocznego globalnego obrotu z poprzedniego roku.</p>



<p>Za złamanie przepisów związanych z Aktem o usługach cyfrowych wiąże się kara do 6% światowego obrotu. Karą dla platformy za nieprzestrzeganie dyrektywy Omnibus – jak np. brak obowiązku informacyjnego, manipulowanie przy opiniach, cenach – może wynosić aż 10% obrotu rocznego.</p>



<p>Polskie przepisy, które mają ustanowić grzywny za łamanie rozporządzenia o ogólnym bezpieczeństwie produktów (GPSR) są obecnie w fazie projektu ustawy. Według założeń zaczną obowiązywać do końca pierwszego kwartału 2025 r. Proponowane kary dla dostawcy internetowych platform handlowych wyniosą do 1 mln zł. Tak wysoka kara co prawda jeszcze nie obowiązuje, ale już teraz warto wdrożyć odpowiednie zmiany, ponieważ termin wprowadzenia ustawy to koniec marca 2025 r.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p><a href="#_ftnref1">[1]</a> https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32019L2161.</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/regulamin-dla-platform-internetowych/">Regulamin dla platform internetowych &#8211; świadczenie usług, dyrektywa Omnibus i akt o usługach cyfrowych a nowe obowiązki dla operatorów platform e-commerce</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Inspektor ochrony danych osobowych &#8211; 10 rzeczy, które powinien wiedzieć przedsiębiorca przy wyznaczaniu IOD </title>
		<link>https://paluckiszkutnik.pl/inspektor-ochrony-danych-osobowych-10-rzeczy-ktore-powinien-wiedziec-przedsiebiorca-przy-wyznaczaniu-iod/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:42:27 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2251</guid>

					<description><![CDATA[<p>Inspektor ochrony danych osobowych jako nieuzasadniony wydatek &#8211; czasami wręcz tak traktowana jest postać osoby, która de facto może stanowić [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/inspektor-ochrony-danych-osobowych-10-rzeczy-ktore-powinien-wiedziec-przedsiebiorca-przy-wyznaczaniu-iod/">Inspektor ochrony danych osobowych &#8211; 10 rzeczy, które powinien wiedzieć przedsiębiorca przy wyznaczaniu IOD </a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Inspektor ochrony danych osobowych jako nieuzasadniony wydatek &#8211; czasami wręcz tak traktowana jest postać osoby, która de facto może stanowić pomocnika stojącego na straży rozporządzenia o ochronie danych osobowych, bezpieczeństwa informacji i skarbnika wiedzy fachowej przepisów o ochronie danych. Dlaczego warto go posiadać w swojej organizacji, a przede wszystkim, czym się kierować przy wyznaczaniu go? Kto ma obowiązek wyznaczenia IOD? Co zalicza się do obowiązków inspektora ochrony danych? A jakie obowiązki posiada administrator?&nbsp; &nbsp;&nbsp;</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/39549788_security-concept-hand-drawn-isolated-vector-1024x683.jpg" alt="" class="wp-image-2252" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/39549788_security-concept-hand-drawn-isolated-vector-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/39549788_security-concept-hand-drawn-isolated-vector-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/39549788_security-concept-hand-drawn-isolated-vector-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/39549788_security-concept-hand-drawn-isolated-vector-1536x1024.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/39549788_security-concept-hand-drawn-isolated-vector.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ol class="wp-block-list">
<li><strong>Kim jest inspektor ochrony danych osobowych?</strong> Nie w każdym przypadku administrator będzie miał obowiązek wyznaczenia w przedsiębiorstwie inspektora danych osobowych, lecz nie ulega wątpliwości, że posiadania odpowiednio przeszkolonej osoby na tym stanowisku stanowi ogromne wsparcie, w szczególności, gdy przetwarzanie danych osobowych jest jednym z głównych zadań administratora danych osobowych. Może być to ktoś wyznaczony z firmy lub też może być to podmiot zewnętrzny wykonujący zadania na podstawie umowy o świadczenie usług (art. 37 RODO). Nie każdy jednak może zostać inspektorem ochrony danych. IOD musi posiadać odpowiednie kwalifikacje zawodowe, według których jest wyznaczany. W szczególności musi posiadać stosowną wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych.  Powinien posiadać:<ul><li>wiedzę na temat krajowych i europejskich przepisów i praktyk w zakresie ochrony danych osobowych, w tym dogłębnego zrozumienia RODO;</li><li>zrozumienie i wiedzę na temat procesu przetwarzania danych osobowych;</li><li>zrozumienie technologii informacyjnych i bezpieczeństwa danych;</li><li>znajomość sektora biznesowego i organizacji;</li><li>umiejętność promowania kultury ochrony danych w organizacji.</li></ul>Inspektor musi wykonywać swoje obowiązki z należytą starannością, tak aby pomoc w zakresie przestrzegania RODO mogła służyć administratorowi w celu podejmowania odpowiednich decyzji.   Inspektor danych osobowych powinien ponadto pełnić swoje obowiązki i zadania w sposób niezależny – nie może on choćby pełnić innej funkcji w przedsiębiorstwie jednocześnie będąc IOD-em. Niezależność IOD jest bardzo ważna, ponieważ pozwala mu pełnić obowiązki w sposób obiektywny i bezstronny.</li>



<li><strong>Kiedy występuje konieczność powołania inspektora ochrony danych osobowych?</strong> Istnieją przypadki, w których wyznaczenie inspektora danych osobowych jest konieczne. Reguluje to art. 37 RODO. Z jednej strony dotyczy to podmiotów publicznych – kiedy przetwarzania dokonuje organ lub podmiot publiczny (wyjątkiem są sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości). Z drugiej strony sprawa dotyczy już szerszego grona, to znaczy sektora prywatnego. Obowiązek wyznaczenia IOD-a występuje w sytuacji, gdy:<ul><li>główną działalnością administratora lub podmiotu przetwarzania są operacje przetwarzania, które ze względu na swój <strong>charakter, zakres lub cele</strong> wymagają <strong>regularnego i systematycznego monitorowania osób</strong>, których dane dotyczą, <strong>na dużą skalę</strong>; lub</li><li>główną działalnością administratora lub podmiotu przetwarzającego jest przetwarzanie <strong>na dużą skalę</strong> szczególnych kategorii danych osobowych (z art. 9 RODO) albo danych, które dotyczą wyroków skazujących i czynów zabronionych (z art. 10 RODO).</li></ul>Do szczególnych kategorii danych osobowych z art. 9 należą: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Powyższe kryteria mają w dużej mierze charakter oceny i uzależnione są od konkretnej sytuacji. Z tego względu administrator musi przeanalizować prowadzoną przez siebie działalność pod kątem spełnienia powyższych przesłanek. W tym zakresie możemy posiłkować się Wytycznymi dotyczącymi inspektorów ochrony danych, wydanymi przez Grupę Roboczą Art. 29.</li>



<li><strong>Czym jest przetwarzanie na duża skalę?</strong> Według Grupy Roboczej Art. 29 w celu ustalenia w większym przedsiębiorstwie, czy dochodzi do przetwarzania na duża skalę powinno się brać pod uwagę kilka aspektów, jak np.: liczba osób, których dane dotyczą, zakres geograficzny przetwarzania danych osobowych oraz zakres przetwarzanych danych, a także okres, przez jaki te dane są przetwarzane.  Przetwarzanie na duża skalę będzie dotyczyć szpitala, który przetwarza dane pacjentów w ramach prowadzonej działalności, ale nie będzie to już przetwarzanie danych przez pojedynczego lekarza. Przetwarzaniem na dużą skalę będzie też np. przetwarzanie danych osobowych klientów przez banki czy też ubezpieczycieli.</li>



<li><strong>Co oznacza „główna działalność administratora”?</strong> Główna działalność administratora danych oznacza kluczowe operacje, jakie muszą być podejmowane przez administratora, aby mógł osiągnąć on swoje cele. Przetwarzanie danych musi stanowić jego zasadniczą działalność, a nie czynności podejmowane dodatkowo. Wspomniany powyżej szpital przetwarzana dane dotyczące zdrowia pacjentów, co stanowi jego główną działalność.</li>



<li><strong>Co to jest regularne i systematyczne monitorowanie?</strong> Cechy regularnego i systematycznego monitorowania również omawia Grupa Robocza Art. 29. Występuje ono, między innymi, w świadczeniu usług telekomunikacyjnych, profilowaniu i ocenianiu ryzyka, śledzeniu lokalizacji czy programach lojalnościowych. Według Grupy Roboczej, działanie regularne powinno mieć cechy:<ul><li>stałego lub podejmowanego w regularnych odstępach czasu;</li><li>cyklicznego lub powtarzającego się w określonych momentach;</li><li>było prowadzone stale lub okresowo.</li></ul>Działanie systematyczne rozumieją natomiast jako jedno lub więcej z cech:
<ul class="wp-block-list">
<li>musi występować zgodnie z określonym systemem;</li>



<li>musi być zorganizowane, metodyczne lub być zaaranżowane;</li>



<li>musi odbywać się według danego planu zbierania danych;</li>



<li>musi odbywać się w ramach danej strategii.</li>
</ul>
</li>



<li><strong>Jakie są zadania inspektora ochrony danych osobowych?</strong>·        </li>



<li> powinien informować administratora danych, podmiot przetwarzający i pracowników, którzy przetwarzają dane osobowe o ich obowiązkach wynikających z RODO oraz innych przepisów UE lub państw członkowskich o ochronie danych oraz powinien doradzać im w tej sprawie;<ul><li>ma posiadać fachową wiedzę na temat przetwarzania danych oraz najlepiej, aby znał sektor, w jakim dane przedsiębiorstwo prowadzi działalność gospodarczą;</li><li>musi stać na straży, czyli monitorować przestrzeganie RODO, innych przepisów UE lub państw członkowskich, a także polityk administratora lub też podmiotu przetwarzającego w dziedzinie ochrony danych osobowych: podział obowiązków, działania zwiększające świadomość, szkolenia personelu, który uczestniczy w operacjach przetwarzania oraz powiązane z tym audyty;</li><li>ma udzielać na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorować jej wykonanie zgodnie z art. 35 RODO;</li><li>ma współpracować z organem nadzorczym oraz ma się z nim kontaktować;</li><li>jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem UE lub prawem państwa członkowskiego.</li></ul>Podsumowując, IOD zajmuje się w przedsiębiorstwie wieloma sprawami z obszaru ochrony danych osobowych, m.in. wspiera administratora w przygotowaniu odpowiednich dokumentów, przedstawia swoje zalecenia i rekomendacje odnośnie odpowiedniego postępowania, prowadzi szkolenia związane z ochroną danych osobowych.</li>



<li><strong>Jakie są zadania administratora wobec inspektora danych osobowych?</strong> Zgodnie z art. 39 RODO   inspektor danych osobowych: ·   ma obowiązek konsultowania się z inspektorem przy dokonywaniu oceny skutków dla ochrony danych ;<ul><li>powinien skonsultować metodę, jaką należy zastosować przy przeprowadzaniu tej oceny;</li><li>powinien zasięgnąć opinii inspektora w sprawie ustalenia, jakie gwarancje należy zastosować w celu ograniczenia wszelkiego rodzaju zagrożeń dla praw i interesów osób, których dane dotyczą;</li><li>powinien skonsultować się z inspektorem w kwestii ustaleń, czy ocena skutków dla ochrony danych została przeprowadzona w prawidłowy sposób;</li><li>w wypadku, gdy administrator danych nie zgadza się z opinią IOD-a w kwestii oceny skutków dla ochrony danych, powinien pisemnie uzasadnić swoją decyzję;</li><li>musi odpowiednio wcześnie udostępniać inspektorowi niezbędne informacje, które dotyczą przetwarzania danych, aby miał on czas zapoznać się z nimi;</li><li>powinien zapewnić inspektorowi pełne wsparcie kadry kierowniczej, a także wsparcie finansowe i infrastrukturalne oraz dostęp do innych działów;</li><li>musi zapewnić łatwy, bezpośredni kontakt z inspektorem wszystkim pracownikom oraz organowi nadzorczemu – należy podać adres korespondencyjny, numer telefonu, adres e-mail, ponadto imię i nazwisko inspektora musi być przekazane do organu nadzorczego.</li></ul>Administrator musi zatem współpracować z inspektorem ochrony danych  na wielu płaszczyznach &#8211; powinien z nim konsultować wszelkie informacje w związku z przetwarzaniem danych osobowych, a także zapewnić mu współpracę całej organizacji, co umożliwi mu wykonywanie swoich obowiązków.</li>



<li><strong>Czy jeden IOD</strong><strong> może być wyznaczony dla wielu podmiotów?</strong> Zgodnie z przepisami RODO inspektor danych osobowych może pełnić swoją funkcję w więcej niż w jednym miejscu. Grupa przedsiębiorstw może wyznaczyć wspólnego IOD-a. Prawidłowe wykonywanie obowiązków przez administratora jest w dużej mierze uzależnione z łatwym kontaktem z nim przez pracowników przedsiębiorstw czy też organy nadzorcze. Dlatego tak ważne jest, aby administratorzy zadbali o pełne i prawidłowe udostępnienie danych kontaktowych do swoich IOD-ów.</li>



<li><strong>Kto odpowiada za nieprzestrzeganie wymogów RODO dotyczących ochrony danych w przedsiębiorstwie?</strong> Inspektor ochrony danych nie jest osobiście odpowiedzialny za przestrzeganie przepisów, które dotyczą ochrony danych osobowych. Za zgodność z nimi odpowiedzialny jest administrator oraz podmiot przetwarzający. Mają oni obowiązek wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z wymogami RODO. Mogą oni korzystać z pomocy fachowca w postaci inspektora. W wypadku postępowania wbrew zaleceniom inspektora ochrony danych będą musieli udokumentować swój wybór i odpowiednio go uzasadnić.</li>



<li><strong>Jakie są kary od organów nadzorczych za niespełnienie obowiązku powołania inspektora ochrony danych osobowych?</strong> Administrator musi wyznaczyć inspektora ochrony danych osobowych w wymienionych w rozporządzeniu przypadkach, a ponadto jeśli wyznaczył go, także w ramach własnej dobrowolnej decyzji, musi mu umożliwić niezależne działanie. IOD nie jest jednak organem decyzyjnym. Nie ponosi on odpowiedzialności za zgodne z przepisami przetwarzanie ochrony danych osobowych  w przedsiębiorstwie, choć oczywiście może on ponieść odpowiedzialność pracowniczą, lub, w przypadku świadczenia usług na podstawie umowy cywilnoprawnej, kontraktową.   W Polsce kary za brak wyznaczenia inspektora wyznacza prezes Urzędu Ochrony Danych Osobowych. Obowiązek ten wiąże się nie tylko z samym wyznaczeniem, ale również z umieszczeniem danych kontaktowych inspektora, sporządzenia odpowiednich procedur jego funkcjonowania czy tez braku skierowania zawiadomienia do organu nadzorczego (Urzędu Ochrony Danych Osobowych).     Europejskie organy nadzorcze wydawały już niejednokrotnie decyzje o ukaraniu przedsiębiorstw w tej kwestii. W Belgii nałożył karę w wysokości 50 tys. euro na spółkę, gdzie pracownik będący inspektorem ochrony danych pełnił w firmie trzy różne funkcje. Administrator w sten sposób uniemożliwiał działanie inspektora w sposób niezależny. W Hiszpanii firma Glovoapp23 S.L. dostała karę 25 tys. euro za brak wyznaczenia IOD-a. <strong>IOD &#8211; podsumowanie</strong> Inspektor ochrony danych osobowych może być dla przedsiębiorcy realnym wsparciem przy prowadzeniu działalności. IOD nie tylko przygotuje odpowiednie polityki (np. procedurę ochrony danych osobowych, rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania itp.), ale także przeprowadzi szkolenie RODO, czy zaproponuje konkretne rozwiązanie biznesowe w zgodzie z RODO. Z tego względu warto rozważyć powołanie IOD nawet w sytuacji, gdy na gruncie przepisów nie będzie to obowiązkowe.</li>
</ol>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/inspektor-ochrony-danych-osobowych-10-rzeczy-ktore-powinien-wiedziec-przedsiebiorca-przy-wyznaczaniu-iod/">Inspektor ochrony danych osobowych &#8211; 10 rzeczy, które powinien wiedzieć przedsiębiorca przy wyznaczaniu IOD </a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>RODO w firmie &#8211; jaką dokumentację powinien posiadać przedsiębiorca?</title>
		<link>https://paluckiszkutnik.pl/rodo-w-firmie-jaka-dokumentacje-powinien-posiadac-przedsiebiorca/</link>
		
		<dc:creator><![CDATA[Adwokat Katarzyna Rodacka]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:41:09 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2246</guid>

					<description><![CDATA[<p>RODO, czyli unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/rodo-w-firmie-jaka-dokumentacje-powinien-posiadac-przedsiebiorca/">RODO w firmie &#8211; jaką dokumentację powinien posiadać przedsiębiorca?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>RODO, czyli unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane także Rozporządzeniem 2016/679, zawiera kluczowe przepisy, które chronią prawa osób, których dane dotyczą oraz umożliwiają swobodny przepływ danych osobowych. Są to dwie kwestie, które dla zdecydowanej większości przedsiębiorstw są, jeśli nie kluczowe, to istotne w prowadzonej działalności. Firma, która rozpoczyna funkcjonowanie, musi sporządzić odpowiednią dokumentację, a następnie stosownie uzupełniać ją zgodnie z wymogami ww. aktu prawnego oraz innych powiązanych przepisów prawnych lub wytycznych odpowiednich organów. Im większa ilość danych osobowych jest przetwarzana, im większa liczba zatrudnianych pracowników lub obecność w działalności transferów danych do krajów trzecich, tym większe są wymogi w zakresie wymaganych dokumentów. Istnieje możliwość, aby przedsiębiorca samodzielnie przygotował całą niezbędną dokumentację, jednak opcja skorzystania z wykwalifikowanych specjalistów w zakresie RODO może zaoszczędzić mu sporo czasu i zapewnić prawidłowość zastosowanych rozwiązań.</p>



<p>Jakie zatem dokumenty RODO powinna posiadać firma, aby odpowiednio zabezpieczyć przetwarzane dane osobowe zgodnie z wymogami RODO?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/32248534_smart-business-engineer-1024x683.jpg" alt="" class="wp-image-2247" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/32248534_smart-business-engineer-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/32248534_smart-business-engineer-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/32248534_smart-business-engineer-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/32248534_smart-business-engineer-1536x1024.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/32248534_smart-business-engineer.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Czy każdą firmę obowiązuje wdrożenie RODO?</strong></h2>



<p>Kluczową informacją dla każdego przedsiębiorcy jest konieczność wdrożenia dokumentacji RODO tak, aby obowiązywało od pierwszego dnia prowadzenia firmy. Dlatego każdy administrator ma obowiązek wprowadzić w życie oraz stosować wymagane przez RODO dokumenty. Przykładowo przedsiębiorstwo, które nie wdroży rejestru czynności przetwarzania lub nie zadba o stosowne umowy powierzenia danych z kontrahentami, będzie działało niezgodnie z przepisami prawa. Czy zatem każda firma musi się o to martwić zanim wystartuje ze swoją działalnością? Odpowiedź jest tutaj bardzo prosta – przepisy RODO obowiązują każdą firmę, o ile przetwarza ona w jakikolwiek sposób dane osobowe. <strong>W praktyce dotyczy to właściwie każdej istniejącej firmy, gdyż trudno wyobrazić sobie, aby istniała działalność, jaka nie przetwarzałaby w ogóle danych osobowych</strong>. Nie ma tu znaczenia czy to działalność jednoosobowa, czy przedsiębiorstwo zatrudniające setki pracowników – każdy przedsiębiorca powinien przeanalizować, jaki będzie zakres jego obowiązków wynikających z zasad RODO i jakie dokumenty powinien w związku z tym przyjąć w swojej firmie. Pomocne w tym zakresie mogą okazać się ogólnodostępne wytyczne, przygotowane przez Europejską Radę Ochrony Danych Osobowych (EROD). EROD przygotowała m.in. Poradnik RODO dla małych firm, gdzie przedsiębiorcy mogą znaleźć podstawowe informacje na temat ochrony danych osobowych oraz swoich obowiązków w zakresie zapewnienia zgodności z przepisami<a href="#_ftn1">[1]</a>.</p>



<h2 class="wp-block-heading"><strong>Które dokumenty związane z RODO są wymagane od przedsiębiorcy?</strong></h2>



<p>Tak jak już to zaznaczyłem, liczba wymaganych dokumentów, a przede wszystkim ich zawartość, jest zależna od zakresu przetwarzanych danych osobowych, a także od wielkości samej firmy. Trudno więc zamknąć listę w jednej konkretnej formie. Z pewnością jednak do najważniejszych dokumentów RODO, jakie są wymagane od przedsiębiorcy, należą:</p>



<ul class="wp-block-list">
<li>rejestr czynności przetwarzania, prowadzony przez administratorów danych osobowych (art. 30 ust. 1 RODO) – w jego skład wchodzą: dane administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, wszelkie dane związane z transferem do krajów trzecich, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1;</li>



<li>rejestr kategorii czynności przetwarzania, prowadzony przez podmioty przetwarzające dane osobowe w imieniu administratora (art. 30 ust. 2 RODO);</li>



<li>analizy ryzyka (art. 32 RODO) oraz przygotowywanie raportów z ocen skutków dla ochrony danych osobowych;</li>



<li>procedury zgłaszania naruszeń zgromadzonych danych osobowych do organu nadzorczego (art. 33 RODO);</li>



<li>rejestr naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO);</li>



<li>polityka ochrony danych osobowych (art. 24 RODO);</li>



<li>informacja o stosowanych środkach technicznych i organizacyjnych dotyczących ochrony danych osobowych (art. 5, 24, 32 RODO);</li>



<li>wzory upoważnień do przetwarzania danych osobowych dla pracowników i współpracowników, ewidencja osób upoważnionych do przetwarzania danych osobowych pracowników firmy (art. 29 RODO);</li>



<li>procedury IT związane z ochroną danych osobowych, w tym instrukcja w zakresie zarządzania systemami informatycznymi, plany ciągłości działania; instrukcje dotyczące systemów IT dla pracowników;</li>



<li>klauzule informacyjne dla wszystkich osób, których dane są przetwarzane przez administratora – np. dla pracowników, kontrahentów, klientów.</li>



<li>materiały informacyjne i szkoleniowe RODO dla pracowników;</li>



<li>umowy powierzenia przetwarzania danych osobowych;</li>



<li>dokumenty związane z transferem danych osobowych do krajów trzecich: np. standardowe klauzule umowne, ocena skutków transferu danych – TIA (tzw. <em>transfer impact assessment</em>).</li>
</ul>



<h2 class="wp-block-heading"><strong>Jak w firmie przechowywać dokumenty RODO?</strong></h2>



<p>Dokładny okres przechowywania dokumentów ochrony danych osobowych nie jest wyznaczony przez RODO, co nie oznacza, że nie ma w tekście rozporządzenia stosownego odniesienia do tego tematu. Art. 5 mówi wyraźnie, że przechowywanie w formie umożliwiającej identyfikację osoby, której dane dotyczą, powinno odbywać się przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (lit. e). Decyzja leży tu po stronie administratora, gdyż to on odpowiada za przechowywane dane osobowe. Musi on brać tu pod uwagę między innymi obowiązek rozliczalności, a zarazem minimalizacji danych. Poza tym administrator, ustalając okresy retencji, powinien uwzględniać odpowiednie krajowe przepisy jak np. Kodeks pracy. Jedno jest pewne – nie może przechowywać nieskończenie długo danych osobowych, o ile nie ma do tego ważnej podstawy prawnej, np. nie upoważnia go do tego przepis prawa. Przetwarzanie danych osobowych bez ważnej podstawy prawnej będzie stanowiło naruszenie ochrony danych osobowych, za które administrator ponosi odpowiedzialność przed UODO.</p>



<p>Dane osobowe, które są przetwarzane w ramach działalności firmy powinny zostać usunięte lub poddane anonimizacji w chwili zakończenia ustalonego okresu retencji. Należy przy tym pamiętać, że obowiązkiem administratora jest poinformowanie osób, których dane przetwarza o okresie przetwarzania i przechowywania danych oraz o celach i podstawach przetwarzania, a także ich podstawowych prawach, jak np. prawie do usunięcia danych czy o dostępnie do danych (art. 13 RODO).</p>



<p>Sama dokumentacja RODO może mieć formę zarówno elektroniczną, jak i papierową. Zazwyczaj administratorzy jedynie niezbędną część dokumentacji sporządzają w formie pisemnej, natomiast w przeważającym zakresie, tam, gdzie jest to możliwe, dokumentację prowadzi się w formie elektronicznej. Przykładowo, o wiele bardziej praktyczne jest prowadzenie rejestrów czynności przetwarzania oraz kategorii czynności przetwarzania w formie elektronicznej, co pozwala na łatwe uaktualnianie tych dokumentów zawsze wtedy, gdy zaistnieje taka potrzeba.</p>



<h3 class="wp-block-heading"><strong>Środki techniczne i organizacyjne zapewniające stosowną ochronę dokumentacji RODO</strong></h3>



<p>Głównym wyznacznikiem w zakresie wdrożenia odpowiedniej dokumentacji RODO jest art. 5 Rozporządzenia, który stanowi jeden z najważniejszych przepisów w całym rozporządzeniu. Za pierwszą wytyczną w zakresie ochrony danych osobowych w firmie należy uznać zasady minimalizacji danych (lit. c), ograniczenia celu (lit. b), ograniczenia przechowywania (lit. e). Mówiąc najprościej, im mniej danych przetwarzamy, ograniczając się do tego, co jest faktycznie niezbędne w osiągnięciu celu oraz im mniej osób będzie miało dostęp do tych danych, tym mniejsza szansa, że dojdzie do incydentu naruszenia bezpieczeństwa danych osobowych.&nbsp;</p>



<p>Wdrażając dokumentację RODO administrator powinien także mieć na uwadze inne zasady, przewidziane w art. 5 RODO, tj. w szczególności zasadę zgodności z prawem, rzetelności i przejrzystości (lit. a), zasadę prawidłowości danych osobowych (lit. d), integralności i poufności (lit. f).</p>



<p>Poza przyjęciem odpowiedniej dokumentacji, do obowiązków administratora należy także wdrożenie stosownych technicznych środków, aby przetwarzanie danych osobowych odbywało się w sposób bezpieczny i zgodnie z aktualną wiedzą techniczną. Do takich środków technicznych w kontekście przechowywania danych będą zaliczać się np. odpowiednie drzwi zabezpieczające, sejf szyfrowany (w wypadku przechowywania dokumentów w formie papierowej) czy stosowne zabezpieczenia typu firewall, oprogramowanie antywirusowe, które należy regularnie aktualizować (w razie przechowywania w sposób cyfrowy, np. w chmurze).</p>



<p>Do odpowiednich środków technicznych zaliczyć można szyfrowanie, pseudonomizację, czy wszelkie zabezpieczenia technologiczne w obszarze IT, których stosowny dobór będzie mieć kluczowe znaczenie dla bezpieczeństwa danych. Należy jednocześnie podkreślić, że zgodnie z RODO nie ma zamkniętego katalogu środków technicznych, do których administrator powinien się stosować. Zamiast tego, RODO nakazuje administratorowi dokonywanie stosownej oceny w celu ustalenia, czy określone środki techniczne będą w danym przypadku wystarczającego, z uwzględnieniem aktualnej wiedzy technicznej.</p>



<p>Administrator ma obowiązek zadbania o przyjęcie środków organizacyjnych, co oznacza nie tylko wdrożenie i stosowanie odpowiednich procedur i polityk, ale także prowadzenie regularnych szkoleń pracowników oraz odpowiedniego zarządzania kadrą pracowniczą – ograniczeniu dostępu do danych tylko do osób upoważnionych oraz na zasadzie udzielania dostępu tylko w niezbędnym zakresie. Bardzo istotne jest także dokonywanie regularnych przeglądów zakresu udzielonych dostępów.&nbsp;</p>



<p>W wypadku wszelkich wątpliwości przedsiębiorcy dotyczących bezpieczeństwa przechowywanych danych powinno się przeprowadzić audyt bezpieczeństwa RODO &#8211; samodzielnie lub we współpracy z wykwalifikowaną kancelarią prawną.</p>



<p>Z uwagi na zasadę rozliczalności wszelkie działania, które są podejmowane przez przedsiębiorcę w ww. zakresie powinny być odpowiednie dokumentowane w taki sposób, aby przedsiębiorca był w stanie udowodnić, jakie działania prowadził w zakresie ochrony danych osobowych.&nbsp;</p>



<h2 class="wp-block-heading"><strong>Jaką dokumentację powinien posiadać przedsiębiorca w razie incydentu naruszenia ochrony danych osobowych?</strong></h2>



<p>W razie wystąpienia naruszenia ochrony danych osobowych, w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma w obowiązku w ciągu 72 godzin zgłosić incydent do organu nadzorczego (PUODO) oraz bez zbędnej włoki zawiadomić o tym osoby, których dane dotyczą. Gdyby po 72 godzinach od potwierdzenia naruszenia administrator nie zawiadomił PUODO, musiałby on uzasadnić i udokumentować opóźnienie.</p>



<p>Administrator w zawiadomieniu musi zawrzeć:</p>



<ul class="wp-block-list">
<li>opis jasnym i prostym językiem charakteru naruszenia;</li>



<li>do organu nadzorczego – kategorie i przybliżoną ilość osób, których dane dotyczą, a także kategorię oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;</li>



<li>imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych Osobowych (IOD) lub wyznacza inny kontakt;</li>



<li>możliwe konsekwencje naruszenia;</li>



<li>środki, które zastosował lub proponuje w celu zaradzenia naruszeniu ochrony danych osobowych, a także środki w celu zminimalizowania jego ewentualnych negatywnych skutków;</li>
</ul>



<p>Ponadto administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, okoliczności ich naruszenia, ich skutki, a także podjęte działania zaradcze. Czyni to poniekąd we własnym interesie, gdyż pomoże to w weryfikacji przestrzegania przepisów przez administratora. W zależności od wagi naruszenia administrator może być także zobowiązany do wystosowania odpowiednich zawiadomień o naruszeniu do podmiotów, których dane były przedmiotem naruszenia.&nbsp;</p>



<p>Ocena konieczności złożenia zawiadomienia do PUODO, a także zawiadomienia osób, których dane dotyczą, wymaga odpowiedniego oszacowania ryzyka, jakie wiąże się z danym naruszeniem. Z tego względu ważne jest, aby ustalić z wyprzedzeniem, w jaki sposób administrator będzie dokonywał tych czynności w przypadku wystąpienia incydentu związanego z ochroną danych osobowych. Z tego względu jest istotne, aby ww. procedura została szczegółowo zapisana w wewnętrznych dokumentach przedsiębiorcy w taki sposób, aby nie było wątpliwości, jak należy podstępować w przypadku wystąpienia naruszenia ochrony danych osobowych w firmie. Każdy pracownik i współpracownik powinien znać i potrafić zastosować ten sposób postępowania.</p>



<h2 class="wp-block-heading"><strong>Jakie kary są przewidziane za brak dokumentacji RODO i czy audyt RODO może im zapobiec?&nbsp;</strong></h2>



<p>Kary za naruszenie RODO, w zależności od rodzaju naruszenia, wynoszą 2% lub 4% całkowitego światowego rocznego obrotu firmy z roku poprzedzającego lub też 10 mln lub 20 mln euro. Firmę może spotkać kara pieniężna przykładowo w następujących przypadkach.:</p>



<ul class="wp-block-list">
<li>brak polityki bezpieczeństwa;</li>



<li>brak rejestrowania czynności przetwarzania;</li>



<li>brak stosownych komunikatów o naruszeniu danych;</li>



<li>brak odpowiednich dokumentów, klauzul przy przekazywaniu danych osobowych do krajów trzecich;</li>



<li>brak zawarcia umów powierzenia przetwarzania danych osobowych;</li>
</ul>



<p>Organ nadzorczy bierze pod uwagę okoliczności każdego indywidualnego wypadku, jak waga i czas naruszenia, czy był to skutek przypadkowego zaniedbania, czy też umyślny czyn, czy administrator podjął samodzielne działania naprawcze, czy też może usiłował zatuszować, ukrywać swój błąd.</p>



<p>Koszty zaniedbania ochrony danych osobowych mogą być bardzo wysokie nie tylko dla osób, których dane dotyczą, ale również dla samej firmy. Dlatego warto pomyśleć już na starcie, zanim do czegokolwiek dojdzie, o skorzystaniu z pomocy doświadczonej Kancelarii prawnej lub po prostu powołaniu we własnym przedsiębiorstwie Inspektora ochrony danych, który stanowi wartościową pomoc i wsparcie dla każdego administratora.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p><a href="#_ftnref1">[1]</a> Poradnik dostępny tutaj: <a href="https://www.edpb.europa.eu/sme-data-protection-guide/home_en" rel="nofollow noopener" target="_blank">https://www.edpb.europa.eu/sme-data-protection-guide/home_en</a></p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/rodo-w-firmie-jaka-dokumentacje-powinien-posiadac-przedsiebiorca/">RODO w firmie &#8211; jaką dokumentację powinien posiadać przedsiębiorca?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Umowa powierzenia przetwarzania danych osobowych zgodna z RODO &#8211; odpowiedzialność administratora a podmiotu przetwarzającego</title>
		<link>https://paluckiszkutnik.pl/umowa-powierzenia-przetwarzania-danych-osobowych-zgodna-z-rodo-odpowiedzialnosc-administratora-a-podmiotu-przetwarzajacego/</link>
		
		<dc:creator><![CDATA[Adwokat Katarzyna Rodacka]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:40:14 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2241</guid>

					<description><![CDATA[<p>Umowa powierzenia przetwarzania danych osobowych jest zawierana pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane w jego imieniu. Umowa ta [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/umowa-powierzenia-przetwarzania-danych-osobowych-zgodna-z-rodo-odpowiedzialnosc-administratora-a-podmiotu-przetwarzajacego/">Umowa powierzenia przetwarzania danych osobowych zgodna z RODO &#8211; odpowiedzialność administratora a podmiotu przetwarzającego</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Umowa powierzenia przetwarzania danych osobowych jest zawierana pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane w jego imieniu. Umowa ta jest zawierana przez firmy właściwie przy każdej działalności outsourcingowej, czyli działalności, gdy przedsiębiorstwo powierza operacje na danych osobowych (a dzieje się od zewnętrznej księgowości, obsługi IT po obsługę klienta) zewnętrznej firmie. Umowa powierzenia jest konieczna także przy transferach danych osobowych do krajów trzecich. Jednym słowem stanowi obiektywny dokument, który gwarantuje administratorowi danych osobowych, że powierzone przez niego dane będą podlegały stosownej ochronie danych osobowych. Co zatem zawiera taka umowa? Jakie są obowiązki administratora i podmiotu przetwarzającego (procesora)? Czy procesor może powierzać dane kolejnym podmiotom? Kto w takich sytuacjach jest prawnie odpowiedzialny za bezpieczeństwo danych osobowych?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="683" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/12163992_composite-image-of-business-handshake-1024x683.jpg" alt="" class="wp-image-2242" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/12163992_composite-image-of-business-handshake-1024x683.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/12163992_composite-image-of-business-handshake-300x200.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/12163992_composite-image-of-business-handshake-768x512.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/12163992_composite-image-of-business-handshake-1536x1024.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/12163992_composite-image-of-business-handshake.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Na czym polega umowa powierzenia danych osobowych?</strong></h2>



<p>Kluczowy dla umowy powierzenia danych osobowych jest art. 28 RODO, który mówi wprost, że w wypadku, kiedy operacja przetwarzania ma być dokonywana w imieniu administratora, to korzysta on tylko z usług podmiotów zewnętrznych, jakie zapewniają wystarczające gwarancje wdrożenia stosownych środków technicznych oraz organizacyjnych dla ochrony prywatności osób fizycznych, których dane dotyczą (art. 32 RODO). Wobec powyższego, w pierwszej kolejności administrator danych nie może powierzyć przetwarzania danych innemu podmiotowi, jeśli nie będzie miał pewności, że ów podmiot zapewni odpowiedni poziom bezpieczeństwa.&nbsp;</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Podstawą prawną przetwarzania przez podmiot przetwarzający jest umowa lub inny instrument prawny, które podlegają prawu Unii lub prawu państwa członkowskiego. Taka umowa zawarta pomiędzy administratorem a podmiotem przetwarzającym służy określeniu przede wszystkim co dokładnie jest przetwarzane i przez jaki okres czasu, jaki jest charakter oraz cel przetwarzania, rodzaj danych osobowych, które są przetwarzane. Ponadto umowa ustala kategorię osób, których dane dotyczą oraz obowiązki administratora i podmiotu przetwarzającego.</p>



<h3 class="wp-block-heading"><strong>Jakie są obowiązki podmiotu przetwarzającego wyznacza RODO w umowie powierzenia?</strong></h3>



<p>Podmiot przetwarzający posiada kilka ważnych obowiązków względem administratora danych osobowych, lecz chyba najważniejszą zasadą, która scala właściwie wszystkie działania, jest konieczność, aby podmiot przetwarzał dane osobowe tylko i wyłącznie na udokumentowane polecenie administratora. To administrator ponosi niezmiennie odpowiedzialność za bezpieczeństwo danych osobowych powierzonych do przetwarzania, choć w tym wypadku dzieli ją również z podmiotem przetwarzającym, ta reguła zapewnia, że właściwie nic nie powinno się wydarzyć bez wiedzy i zgody administratora. Oczywiście mogą wydarzyć się tu wyjątki, jak np. przy transferze danych osobowych do państwa trzeciego lub organizacji międzynarodowej – może pojawić się obowiązek przetwarzania wobec podmiotu przetwarzającego, który zostaje narzucony odgórnie przez prawo Unii lub państwa członkowskiego, podmiot przetwarzający musi jednak wtedy poinformować o tym fakcie administratora.&nbsp;</p>



<p>Jakie pozostałe obowiązki ciążą na podmiocie przetwarzającym?</p>



<ul class="wp-block-list">
<li><strong>obowiązek zachowania tajemnicy</strong> – musi zadbać, aby osoby, które dokonują przetwarzania danych osobowych, zobowiązały się do jej zachowania lub też aby podlegały one odpowiedniemu ustawowemu obowiązkowi;</li>



<li><strong>zapewnienie bezpieczeństwa przetwarzania</strong> – jest obowiązany do podjęcia wszelkich stosownych środków bezpieczeństwa na podstawie art. 32 RODO (wspomniane już środki techniczne i organizacyjne, jak: pseudonomizacja, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, testowanie, analiza bezpieczeństwa);</li>



<li>przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego<br>w przypadku <strong>podpowierzenia danych</strong> (o czym więcej poniżej);</li>



<li><strong>dzielenie odpowiedzialności z administratorem</strong> – w miarę możliwości pomaga mu z wywiązywania się z obowiązków odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania jej praw (np. prawo do informacji, dostępu, sprostowania, usunięcia danych);</li>



<li><strong>pomoc administratorowi w wywiązaniu się z obowiązków wynikających z art. 32-36</strong> <strong>RODO</strong>, czyli np. zgłaszania naruszenia danych, zawiadomienia osób, których dane dotyczą o incydencie, ocena skutków dla ochrony danych osobowych;</li>



<li>usunięcie lub zwrot administratorowi wszystkich danych osobowych po zakończeniu przetwarzania, chyba że co innego nakazuje prawo Unii lub innego państwa członkowskiego;</li>



<li><strong>udostępnienie administratorowi lub upoważnionemu audytorowi wszelkie informacje</strong>, które będą niezbędne do wykazania spełnienie obowiązków wyznaczonych podmiotowi przez art. 28 RODO.</li>
</ul>



<h3 class="wp-block-heading"><strong>Współpraca administratora z podprocesorem przy realizacji umowy powierzenia danych osobowych</strong></h3>



<p>Do obowiązków administratora danych osobowych, przy zawieraniu umowy powierzania, należy:</p>



<ul class="wp-block-list">
<li>dostarczenie i udokumentowanie wszelkich instrukcji dotyczących przetwarzania danych przez podmiot przetwarzający – może mieć to istotne znaczenie dla wypełnienia wymogu rozliczalności (art. 5 ust. 2 RODO);</li>



<li>zapewnienie, przed przetwarzaniem i w trakcie całego procesu przetwarzania, spełniania przez podmiot przetwarzający obowiązków określonych w RODO poprzez prowadzenie kontroli i audytów – najczęściej administratorzy wysyłają ankiety, które mają sprawdzić gotowość wypełnienia przez podmiot przetwarzający wszystkich obowiązków wynikających z RODO;</li>



<li>ustalenie wszelkich szczegółów odnośnie powierzenia przetwarzania, w tym rodzajów i kategorii powierzanych danych osobowych, celów przetwarzania, dopuszczalnych operacji przetwarzania w umowie powierzenia przetwarzania danych osobowych;</li>



<li>ocena środków technicznych i organizacyjnych zaproponowanych przez procesora jako wystarczających do zapewnienia ochrony danych osobowych, które mają być przetwarzane;</li>
</ul>



<p>Podmiot przetwarzający musi udostępnić administratorowi wszystkie informacje, które są niezbędne do wypełnienia obowiązków wynikających z art. 28 RODO. Ma on obowiązek poinformowania administratora, jeśli zdaniem procesora polecenie, jakie dostał jest niezgodne z RODO lub z innymi przepisami Unii lub państwa członkowskiego. Podmiot przetwarzający nie ma jednak w takiej sytuacji obowiązku zaprzestania przetwarzania danych osobowych, gdyż to administrator ponosi odpowiedzialność za legalność przetwarzania. Procesor dokonuje przetwarzania w imieniu administratora, co wprost mówi art. 28 ust. 1 RODO. Mimo to w sytuacji, gdy podmiot przetwarzający nie poinformuje administratora, że wydane mu polecenie narusza wymogi RODO, może zostać obciążony karą pieniężną (art. 83 ust. 4 lit. a RODO). Oczywista będzie również odpowiedzialność procesora, gdyby działał on wbrew poleceniom administratora lub poza instrukcjami zgodnymi z prawem (art. 82 ust. 2 RODO).&nbsp;</p>



<h3 class="wp-block-heading"><strong>Co powinna zawierać umowa powierzenia przetwarzania danych osobowych – procedury, obowiązki, formularze</strong></h3>



<p>Najważniejszą ogólną uwagą, jaką powinno się na samym początku udzielić, jest stwierdzenie, że umowa powierzenia nie powinna być powieleniem przepisów RODO. Umowa powinna przede wszystkim być dostosowana do danej sytuacji przetwarzania i ma zawierać szczegółowe informacje dotyczące współpracy pomiędzy administratorem i procesorem oraz określać, w jaki sposób ten drugi powinien pomagać pierwszemu, by wypełniać wskazane w RODO obowiązki w związku z przetwarzaniem danych osobowych.&nbsp;</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Co zatem powinna zawierać umowa powierzenia?</p>



<ul class="wp-block-list">
<li><strong>konkretne zadania i obowiązki </strong>podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;</li>



<li>określenie przedmiotu przetwarzania &#8211; sformułować w sposób wystarczająco szczegółowy, aby było jasne, jaki jest główny cel przetwarzania powierzonych danych osobowych</li>



<li>określenie dokładnego czasu trwania przetwarzania;</li>



<li>określenie charakteru przetwarzania (np. nagrywanie obrazów podczas monitoringu) oraz celu – nie powinien być to opis ogólny, ale wystarczająco wyczerpujący;</li>



<li>określenie rodzaju danych osobowych, które będą przetwarzane;</li>



<li>określenie kategorii osób, których dane dotyczą – charakterystyka grupy osób, których dane będą przetwarzane (np. pracownicy);</li>



<li>obowiązki i prawa administratora – o których mowa jest powyżej;</li>



<li>w wypadku dalszego podpowierzenia danych osobowych powinno pojawić się zobowiązanie podmiotu przetwarzającego, aby te same obowiązki dotyczące ochrony danych osobowych pomiędzy administratorem a nim, zostały nałożone także na ten kolejny podmiot przetwarzający, czyli podprocesora.</li>



<li>umowa może być oparta w całości lub części na standardowych klauzulach umownych;</li>



<li>umowa może zawierać odpowiednie procedury i wzory formularzy, co usprawni przekazanie administratorowi wszelkich potrzebnych informacji.</li>
</ul>



<h3 class="wp-block-heading"><strong>Jaka powinna być forma umowy powierzenia danych?</strong></h3>



<p>Każde przetwarzanie, które dokonuje podmiot przetwarzający, musi zostać uregulowane umową powierzenia. Taka umowa ma formę pisemną, w tym formę elektroniczną. W swoich Wytycznych EROD 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO (s. 35) zaleca, <em>aby w akcie prawnym znalazły się niezbędne podpisy, zgodnie z obowiązującym prawem (np. prawem zobowiązań)</em>, w celu uniknięcia jakichkolwiek nieporozumień.</p>



<p>Tak jak zostało to powyżej wspomniane – administrator oraz podmiot przetwarzający mogą oprzeć się w pełni na standardowych klauzulach umownych przy tworzeniu umowy powierzenia lub zawrzeć własną umowę przy zastosowaniu wszystkich obowiązkowych elementów. W przypadku standardowych klauzul umownych, które zastępują umowę powierzenia strony powinny się oprzeć na Decyzji wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. <strong>w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi</strong> na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.</p>



<p>&nbsp;&nbsp;Natomiast w przypadku transferów danych osobowych do krajów trzecich konieczne jest odpowiednie zabezpieczenie takiego międzynarodowego przekazywania danych &#8211; stąd konieczne jest zastosowanie odpowiedniego mechanizmu zgodnie z art. 46 RODO, w tym w szczególności standardowych klauzul umownych na podstawie Decyzji wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych&nbsp;<strong>dotyczących przekazywania danych osobowych do państw trzecich </strong>na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679). Takie klauzule będą wówczas wypełniały nie tylko wymagania dotyczące umowy powierzenia, ale także odpowiednio zabezpieczą transfer do kraju trzeciego.</p>



<p>W wypadku, gdy jest co najmniej dwóch administratorów (tj. współadministratorów), każdy z nich powinien zawrzeć umowę powierzenia w zakresie przetwarzania danych osobowych przypisanym im celom.</p>



<h3 class="wp-block-heading"><strong>Jak dokonać podpowierzenia danych osobowych?</strong></h3>



<p>Podpowierzenie danych jest to w skrócie dalsze powierzenie, którego dokonuje subprocesor (podprocesor), a więc dalszy podmiot przetwarzający. Subprocesor w celu dalszego przetwarzania danych osobowych, za które niezmiennie odpowiedzialny jest administrator, musi posiadać jego zgodę. Jak zatem tego dokonać?</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Nieco upraszczając sprawę są trzy możliwe scenariusze takich sytuacji:</p>



<ol class="wp-block-list">
<li>przy zawieraniu umowy powierzenia między administratorem a podmiotem przetwarzającym z góry wiadomo, że dojdzie do dalszego przetwarzania danych u uprzednio określonych podprocesorów;</li>



<li>przy zawieraniu umowy powierzenia między administratorem a podmiotem przetwarzającym  z góry wiadomo, że dojdzie do dalszego przetwarzania, ale tożsamość podprocesorów nie jest jeszcze określona;</li>



<li>decyzja o dalszym powierzeniu następuje już w trakcie obowiązywania umowy zawartej między administratorem a podmiotem przetwarzającym.</li>
</ol>



<p>W pierwszym przypadku będzie musiało do uprzedniej szczegółowej zgody administratora na korzystanie z usług tych podmiotów przez procesora. Szczegółowej, gdyż w umowie będą zawarte dane konkretnych podprocesorów. Taka zgoda może być elementem umowy lub stanowić osobny dokument. &nbsp;</p>



<p>Podobnie będzie z przypadkiem drugim, z tymże w dokumencie musi zostać wyrażona na podstawie ogólnej pisemnej zgody administratora danych. Wynika to z faktu, że tożsamości subprocesorów nie są znane jeszcze na etapie podpisywania umowy. Taka zgoda powinna mieć jednak przewidywać możliwość zgłoszenia sprzeciwu wobec takiego dalszego przetwarzania. Ewentualny sprzeciw pojawiłby się, jeśli administrator uznałby, że podprocesor nie spełnia wystarczających gwarancji ochrony danych osobowych – nie należy zapominać, że to administrator przez cały czas nosi odpowiedzialność za bezpieczeństwo danych.&nbsp;</p>



<p>W przypadku wskazanym w pkt 3 powyżej administrator również będzie zobowiązany do wyrażenia uprzedniej szczegółowej zgody na skorzystanie z usług dalszych podmiotów przetwarzających &#8211; z tą różnicą, że ta zgoda zostanie udzielona już w trakcie obowiązywania umowy, a nie w momencie jej zawarcia lub przed jej zawarciem.&nbsp;</p>



<h2 class="wp-block-heading"><strong>Jakie kary są przewidywane za naruszenie prawa przy umowie powierzenia?</strong></h2>



<p>Za naruszenie przepisów art. 28 RODO może zostać nałożona administracyjna kara pieniężna (art. 83 ust. 4 RODO) w wysokości do 10 mln euro, a w wypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Taka kara może zostać nałożona na administratora np. gdy korzysta on umowy powierzenia z podmiotem przetwarzającym, który nie zapewnia stosownej ochrony danych osobowych. Taki sam skutek może przynieść sytuacja, gdy powierza się przetwarzanie danych bez podpisania umowy lub tez innego instrumentu prawnego.</p>



<p>Może zostać ukarany także procesor, gdy nie zawarł on umowy lub innego instrumentu prawnego z innym podmiotem przetwarzającym. Przypomnijmy, że dzieli on współodpowiedzialność z administratorem, jeśli brał on udział w określaniu celów i sposobów przetwarzania. Poza tym jeśli procesor bez wiedzy oraz zgody administratora podejmie takie działania, to będzie ponosił odpowiedzialność jak administrator w stosunku do tego przetwarzania (art. 28 ust. 10 RODO).&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;</p>



<p>Należy pamiętać, że umowa powierzenia nie powinna być jedynie automatycznie podpisywanym wzorem, ale powinna zawierać realne określenie wzajemnych praw i obowiązków administratora i podmiotu przetwarzającego. W ten sposób umowa powierzenia realnie wpłynie na sposób wykonywania obowiązków przez podmiot przetwarzający i zapewni odpowiednie bezpieczeństwo przetwarzanych danych osobowych.</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/umowa-powierzenia-przetwarzania-danych-osobowych-zgodna-z-rodo-odpowiedzialnosc-administratora-a-podmiotu-przetwarzajacego/">Umowa powierzenia przetwarzania danych osobowych zgodna z RODO &#8211; odpowiedzialność administratora a podmiotu przetwarzającego</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Jak przedsiębiorca powinien postępować podczas kontroli UODO &#8211; czy potrzebna mu reprezentacja?</title>
		<link>https://paluckiszkutnik.pl/jak-przedsiebiorca-powinien-postepowac-podczas-kontroli-uodo-czy-potrzebna-mu-reprezentacja/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:38:51 +0000</pubDate>
				<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2236</guid>

					<description><![CDATA[<p>Kontrola przestrzegania przepisów o ochronie danych osobowych jest przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Samo hasło – kontrola [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/jak-przedsiebiorca-powinien-postepowac-podczas-kontroli-uodo-czy-potrzebna-mu-reprezentacja/">Jak przedsiębiorca powinien postępować podczas kontroli UODO &#8211; czy potrzebna mu reprezentacja?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Kontrola przestrzegania przepisów o ochronie danych osobowych jest przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Samo hasło – kontrola – budzi w przedsiębiorcach, jeśli nie gęsią skórkę, to z pewnością niezbyt pozytywne emocje. W szczególności, gdy w grę wchodzą wysokie kary, jakie są przewidziane za naruszenie ochrony danych osobowych. Trudno się temu dziwić, jednak do takiej ewentualnej kontroli można w określony, a przede wszystkim skuteczny sposób przygotować swoją firmę. Jak podjąć się tego i co właściwie przedsiębiorca powinien wiedzieć na temat przygotowania do kontroli UODO i samego jej przebiegu? Na te pytania oraz co zrobić, aby nie obawiać się kontroli przestrzegania przepisów ochrony danych osobowych w swojej firmie, postaram się odpowiedzieć w niniejszym tekście.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="497" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/19502258_business-partners-talking-with-lawyer-1024x497.jpg" alt="" class="wp-image-2237" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/19502258_business-partners-talking-with-lawyer-1024x497.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/19502258_business-partners-talking-with-lawyer-300x146.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/19502258_business-partners-talking-with-lawyer-768x372.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/19502258_business-partners-talking-with-lawyer-1536x745.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/19502258_business-partners-talking-with-lawyer.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Na czym polega kontrola UODO i kiedy jest możliwa?</strong></h2>



<p>Kontrola UODO, jak już wspomniałem, zostaje przeprowadzona przez Prezesa Urzędu i dotyczy ona przestrzegania przepisów stosowania RODO. Dzieje się tak w trzech przypadkach:</p>



<ul class="wp-block-list">
<li>kiedy stanowi ona część zaplanowanych kontroli, w tym tzw. kontroli sektorowych (zapowiadanych okresowo przez PUODO kontroli w określonych sektorach przedsiębiorstw, np. telekomunikacyjnych).</li>



<li>kiedy jest prowadzona na podstawie uzyskanych przez PUODO informacji (np. w trakcie postępowania w zakresie naruszenia ochrony danych osobowych).</li>



<li>kiedy jest prowadzona w ramach monitorowania przestrzegania RODO.</li>
</ul>



<p>Kontrola UODO może być zatem spodziewaną reakcją np. na wyciek danych osobowych czy też być efektem doniesienia na podejrzewane uchybienia w stopniu zabezpieczeń danych. Kontrola może mieć charakter niezależny, ale także może odbywać się w ramach toczącego się już postępowania administracyjnego. W tym drugim przypadku informacje uzyskane w czasie kontroli będą elementem postępowania dowodowego. Kontrola może także&nbsp; stanowić element szerszej strategii sprawdzania przestrzegania przepisów RODO – ewentualne kontrole sektorowe są zapowiadane przez Prezesa na stronie UODO na początku roku kalendarzowego.</p>



<p>Osoba, przeprowadzająca kontrolę w imieniu PUODO ma m.in. prawo do wstępu do budynków i pomieszczeń w celu przeprowadzenia kontroli, a także żądania dostępu do określonych dokumentów i informacji, o czym napiszę szczegółowo poniżej.</p>



<p>Kontrolowany jest natomiast zobowiązany do pełnej współpracy z kontrolowanym, w tym powinien sporządzać kopie i wydruki dokumentów oraz informacji zgromadzonych na nośnikach elektronicznych.</p>



<p>Czynności kontrolne mogą być&nbsp; w danym przypadku ograniczone tylko do tego, co osoba kontrolująca uzna za właściwe. Może się zdarzyć w szczególności, że kontrola jest ograniczona do żądania przedstawienia dodatkowych wyjaśnień lub dokumentów i niekoniecznie łączy się z czynnościami kontrolnymi w siedzibie przedsiębiorcy.&nbsp;</p>



<h2 class="wp-block-heading"><strong>Kto może przeprowadzić kontrolę w zakresie przetwarzania ochrony danych osobowych w siedzibie przedsiębiorcy?&nbsp;</strong></h2>



<p>Bezpośrednio w siedzibie przedsiębiorstwa kontrolę przeprowadza osoba upoważniona przez PUODO. Może być to pracownik Urzędu albo członek czy też pracownik organu nadzorczego państwa członkowskiego.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Istnieją sytuacje, kiedy wyznaczona osoba może zostać wyłączona z udziału w kontroli (na wniosek lub z urzędu) w sytuacji, gdy:</p>



<ul class="wp-block-list">
<li>wyniki kontroli mogłyby wpływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki lub kurateli;</li>



<li>są wątpliwości co do jego bezstronności.</li>
</ul>



<p>Pierwszy powód wydaje się być właściwie częścią składową powodu drugiego, ponieważ można śmiało zakładać, że jeśli wynik kontroli oddziaływałby w jakikolwiek sposób na kontrolującego, to mogłoby to świadczyć o braku jego bezstronności.</p>



<p>Podmiot objęty kontrolą (przedsiębiorstwo) w przypadkach wskazanych powyżej ma prawo do złożenia wniosku o wyłączenie z udziału w kontroli do Prezesa UODO, który wydaje rozstrzygnięcie w tym zakresie. Prezes UODO może także podjąć taką decyzję z urzędu. &nbsp;</p>



<h2 class="wp-block-heading"><strong>Jakie są prawa i obowiązki kontrolującego?</strong></h2>



<p>Poddawany kontroli przedsiębiorca może wymagać od kontrolującego okazania imiennego upoważnienia oraz legitymacji służbowej. Natomiast jeśli kontrolującym jest członek lub pracownik organu nadzorczego, to musi on okazać imienne upoważnienie wraz z dokumentem tożsamości.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Warto, aby zainteresowany przedsiębiorca wiedział, co ma zawierać imienne upoważnienie, którego ma wymagać, gdyż niespełnienie jednego z warunków będzie prawomocnym powodem do niewpuszczenia kontrolującego. Zgodnie z art. 81 ust. 2 Ustawy o ochronie danych osobowych imienne upoważnienie powinno zawierać:</p>



<ul class="wp-block-list">
<li>wskazanie podstawy prawnej przeprowadzenia kontroli;</li>



<li>oznaczenie organu;</li>



<li>imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej lub gdy kontrolujący jest pracownikiem lub członkiem organu nadzorczego – imię i nazwisko wraz z numerem dokumentu potwierdzającego tożsamość;</li>



<li>określenie zakresu przedmiotowego kontroli;</li>



<li>oznaczenie kontrolowanego;</li>



<li>wskazanie daty rozpoczęcia i przewidywanego końca kontroli;</li>



<li>podpis Prezesa Urzędu;</li>



<li>pouczenie kontrolowanego o jego prawach i obowiązkach;</li>



<li>datę i miejsce wystawienia upoważnienia.</li>
</ul>



<p>Ponadto kontrolujący ma obowiązek zachowania w tajemnicy informacji, o których dowiedział się podczas kontroli. Po zakończeniu kontroli kontrolowanemu przedstawia się protokół kontroli. Kontrolowany może go podpisać albo przedstawić swoje zastrzeżenia w ciągu 7 dni. W przypadku złożenia zastrzeżeń kontrolujący może przeprowadzić dodatkowe czynności albo zmienić lub uzupełnić protokół w formie aneksu. W przypadku braku podpisania protokołu i nieprzedstawienia zarzutów uznaje się, że kontrolowany odmówił podpisania protokołu. Protokół kontroli doręcza się kontrolowanemu w dwóch egzemplarzach (w postaci elektronicznej lub w papierowej).&nbsp; &nbsp;</p>



<p>W trakcie kontroli kontrolujący ma prawo do:</p>



<ul class="wp-block-list">
<li>wstępu w godzinach 6:00-22:00 na grunt oraz do budynków, lokali, pomieszczeń kontrolowanego przedsiębiorstwa;</li>



<li>wglądu do dokumentów i informacji, które mają bezpośredni związek z zakresem przedmiotowym kontroli;</li>



<li>przeprowadzenia oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;</li>



<li>żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwań w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;</li>



<li>zlecania sporządzania ekspertyz i opinii.</li>
</ul>



<p>Na koniec warto dodać, że Prezes Urzędu lub kontrolujący mogą zwrócić się do Policji o pomoc w wykonaniu działań kontrolnych, o ile będzie to niezbędne.&nbsp;&nbsp;</p>



<h2 class="wp-block-heading"><strong>Czy warto mieć swoją reprezentację i prawne wsparcie – jakie są obowiązki i prawa kontrolowanego przedsiębiorcy?</strong></h2>



<p>Firma, którejdziałalność jest przedmiotem kontroli PUODO może skorzystać z reprezentacji profesjonalnego pełnomocnika, który będzie reprezentował jej interesy w czasie kontroli. W wypadku przeprowadzania kontroli PUODO albo naruszenia ochrony danych osobowych &nbsp;taka osoba będzie najlepszym kontaktem reprezentującym przedsiębiorstwo. Dobra znajomość przepisów RODO oraz orientacja w innych regulacjach prawnych jest koniecznością, aby wypełnić obowiązki spoczywające na firmie, w której działalności obecne jest przetwarzanie danych osobowych.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Zgodnie z art. 83 ust. 1 Ustawy o ochronie danych osobowych kontrolowany jest zobowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go podczas kontroli. Wszelkie czynności kontrolne mają miejsce w obecności kontrolowanego albo upoważnionej przez niego osoby. W przypadku niewskazania osoby upoważnionej czynności prowadzi się w obecności osoby czynnej w lokalu przedsiębiorstwa.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Jakie zatem najważniejsze obowiązki <strong>spoczywają</strong> na kontrolowanym przedsiębiorstwie?</p>



<ul class="wp-block-list">
<li>zapewnienie kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli – szczególnie sporządzenie we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, urządzeniach lub systemach;</li>



<li>dokonanie potwierdzenia za zgodność z oryginałem sporządzonych kopii i wydruków;</li>



<li>odpowiedzenie na wszelkie pytania i wątpliwości ze strony kontrolującego – w szczególności, kiedy kontrola przebiega pisemnie przez Prezesa UODO, a nie w przedsiębiorstwie przez wyznaczonego przez niego przedstawiciela;</li>



<li>obowiązek współpracy z kontrolującym pod groźbą nałożenia kary;</li>



<li>w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisanie go albo złożenie pisemnego zastrzeżenia co do jego treści.</li>
</ul>



<p>Jeśli w wyniku czynności kontrolnych Urząd uzna, że mogło dojść do naruszenia ochrony danych osobowych, niezwłocznie zostanie wszczęte postępowanie w tym przedmiocie.</p>



<h2 class="wp-block-heading"><strong>Co zawiera protokół kontroli?</strong></h2>



<p>Protokół kontroli jest przygotowywany przez kontrolującego. Ustala on stan faktyczny na podstawie zebranych dowodów podczas przeprowadzanej kontroli. Przypomnę, że taki protokół musi zostać podpisany przez kontrolowanego (ewentualnie musi on złożyć pisemne zastrzeżenia wobec niego).</p>



<p>A co dokładniej zawiera taki protokół?</p>



<ul class="wp-block-list">
<li>wskazanie nazwy lub imienia i nazwiska oraz adresu kontrolowanego;</li>



<li>imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;</li>



<li>imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego;</li>



<li>datę rozpoczęcia i zakończenia kontroli;</li>



<li>określenie zakresu przedmiotowego kontroli;</li>



<li>opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje, które mają istotne znaczenia dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;</li>



<li>wyszczególnienie załączników;</li>



<li>omówienie poprawek, skreśleń i uzupełnień dokonanych w protokole;</li>



<li>pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu kontroli;</li>



<li>datę i miejsce podpisania protokołu przez kontrolującego oraz kontrolowanego.</li>
</ul>



<h2 class="wp-block-heading"><strong>Audyt, szkolenia i stała kontrola zabezpieczeń – doradztwo w przygotowaniu</strong>&nbsp;<strong>się do kontroli UODO</strong></h2>



<p>Najlepszym sposobem na przygotowanie firmy na ewentualną kontrolę UODO jest trzymanie ręki na pulsie działalności związanej z przetwarzaniem danych osobowych. Im więcej danych osobowych przedsiębiorstwo przetwarza, tym bardziej powinno zwracać uwagę na kontrolę aktualnych zabezpieczeń oraz obowiązujących przepisów dotyczących ochrony danych. Wyznaczenie Inspektora Ochrony Danych Osobowych, tj. IOD-a będzie tutaj z pewnością dużym ułatwieniem, nawet jeśli na gruncie przepisów jego wyznaczenie nie będzie obowiazkowe.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Bardzo ważne będzie przeprowadzanie regularnych audytów zgodności z RODO ze względu na nowelizacje przepisów prawnych oraz z uwagi na zmiany technologiczne. Bardzo ważne dla dbania o bezpieczeństwo przetwarzanych danych jest wykonywanie analizy ryzyka oraz oceny skutków dla ochrony danych. Więcej na temat wykonywania audytu RODO można znaleźć w naszym tekście, który omawia dokładnie temat audytu&nbsp;(TUTAJ WSTAWIĆ LINK DO TEKSTU).</p>



<h2 class="wp-block-heading"><strong>Jakie są ewentualne kary i grzywny za brak współpracy z kontrolującym lub utrudnianie kontroli przez unikaniu kontaktów?</strong></h2>



<p>Zgodnie z art. 108 ust. 1 Ustawy o ochronie danych osobowych każdy, kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Dodatkowo, należy mieć na uwadze, że współpraca z organem nadzorczym jest obowiązkiem przedsiębiorcy gruncie RODO.&nbsp; Współpraca może polegać w szczególności na niezwłocznym przekładaniu żądanych przez UODO dokumentów albo udzielaniu wyjaśnień we wskazanych przez urząd terminach. Należy mieć na uwadze, że za brak współpracy UODO może również nałożyć karę, co ma często miejsce w praktyce (por. np. Decyzja PUODO z dnia 25 stycznia 2023 r., DKE.561.35.2022).</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/jak-przedsiebiorca-powinien-postepowac-podczas-kontroli-uodo-czy-potrzebna-mu-reprezentacja/">Jak przedsiębiorca powinien postępować podczas kontroli UODO &#8211; czy potrzebna mu reprezentacja?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Audyt i wdrożenia RODO &#8211; dlaczego warto wdrożyć procedury ochrony danych osobowych i przeprowadzić audyt RODO w firmie?  </title>
		<link>https://paluckiszkutnik.pl/audyt-i-wdrozenia-rodo-dlaczego-warto-wdrozyc-procedury-ochrony-danych-osobowych-i-przeprowadzic-audyt-rodo-w-firmie/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:37:35 +0000</pubDate>
				<category><![CDATA[Compliance]]></category>
		<category><![CDATA[Inne]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2227</guid>

					<description><![CDATA[<p>Przedsiębiorcy często nie mają pewności, w jaki sposób należy prawidłowo przetwarzać dane osobowe w firmie. Wiąże się to także z [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/audyt-i-wdrozenia-rodo-dlaczego-warto-wdrozyc-procedury-ochrony-danych-osobowych-i-przeprowadzic-audyt-rodo-w-firmie/">Audyt i wdrożenia RODO &#8211; dlaczego warto wdrożyć procedury ochrony danych osobowych i przeprowadzić audyt RODO w firmie?  </a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Przedsiębiorcy często nie mają pewności, w jaki sposób należy prawidłowo przetwarzać dane osobowe w firmie. Wiąże się to także z niewiedzą w zakresie sposobu zabezpieczania poufnych informacji –niepewnością, z której strony może pojawić się zagrożenie wycieku danych osobowych, gdzie znajduje się faktyczna luka w zabezpieczeniach, z którą wiąże się ryzyko. Pomocny w tym względzie może być audyt ochrony danych osobowych, czyli audyt RODO, w trakcie którego w sposób szczegółowy analizowane są poszczególne aspekty działania firmy. Sprawdzane są wdrożone procedury, a te których brakuje zostają wprowadzone. Audyt RODO ma na celu, generalnie rzecz ujmując, sprawdzenie, a dzięki temu zapewnienie odpowiedniego zabezpieczenia danych.&nbsp; &nbsp;Jak to wygląda w praktyce?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="633" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/27118670_cybersecurity-personal-data-protection-1-1024x633.jpg" alt="" class="wp-image-2232" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/27118670_cybersecurity-personal-data-protection-1-1024x633.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/27118670_cybersecurity-personal-data-protection-1-300x185.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/27118670_cybersecurity-personal-data-protection-1-768x475.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/27118670_cybersecurity-personal-data-protection-1-1536x949.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/27118670_cybersecurity-personal-data-protection-1.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading"><strong>Odpowiednie wdrożenie i procedury &#8211; jaki jest zakres audytu zgodności z RODO?&nbsp;</strong></h2>



<p>Zakres audytu RODO zależy w dużej mierze od branży, dla jakiej się go wykonuje. W niektórych przypadkach wymagane mogą być zupełnie odmienne niż dla innych przedsiębiorców procedury bezpieczeństwa danych osobowych, które powinno się wdrożyć, ze względu na obszar, w jakim firma działa i specyficzne dla niej ryzyka. Dlatego inaczej będzie prowadzony audyt RODO IT, jeszcze inaczej audyt dla agencji rekrutacyjnej, a jeszcze inaczej audyt RODO dla podmiotu medycznego. Kancelaria prawna, która wykonuje audyt zawsze dostosowuje się do konkretnego klienta podczas przeprowadzania audytu. Istotą całej operacji jest zapewnienie bezpieczeństwa, dlatego tak ważne jest dostosowanie wymogów i procedur do konkretnej branży.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Można jednak oczywiście wyróżnić pewne elementy audytu, które w pewnym zakresie zobrazują jego przebieg oraz to, jakie aspekty działania firmy mogą być w trakcie audytu poddane analizie:</p>



<ul class="wp-block-list">
<li>wszystkie mające znaczenie dla ochrony danych osobowych dokumenty firmowe, takie jak:</li>
</ul>



<p>&#8211; regulamin strony internetowej;</p>



<p>&#8211; polityka prywatności;</p>



<p>&#8211; polityka cookies;</p>



<p>&#8211; zgody marketingowe;</p>



<p>&#8211; regulamin pracy;</p>



<p>&#8211; wzór umowy B2B;</p>



<p>&#8211; wzór umowy o pracę;</p>



<p>&#8211; wzór umowy cywilnoprawnej;</p>



<p>&#8211; aktualne umowy z kontrahentami (m.in. umowa z biurem księgowym, umowa z dostawą oprogramowania, umowa dotycząca niszczenia dokumentów);</p>



<p>&#8211; istniejące dokumenty RODO (polityki, rejestry, procedury, polityka haseł, instrukcje dotyczące systemów informatycznych);</p>



<ul class="wp-block-list">
<li>zgodność stosowanych rozwiązań w zakresie bezpieczeństwa i cyberbezpieczeństwa z wymogami RODO;</li>



<li>sposób prowadzenia działań marketingowych zgodnie z RODO;</li>



<li>sposób prowadzenia działań sprzedażowych zgodnie z wymaganiami RODO;</li>



<li>rekrutacja zgodnie z RODO;</li>



<li>wypełnienie obowiązku informacyjnego zgodnie z art. 13 i 14 RODO;</li>



<li>czy w firmie dochodzi do międzynarodowego transferu danych osobowych i czy ten transfer jest odpowiednio zabezpieczony.</li>
</ul>



<h2 class="wp-block-heading"><strong>&nbsp;Wdrożenie RODO &#8211; na czym polega raport przetwarzania danych osobowych?&nbsp;</strong></h2>



<p>Kiedy zdecydujemy się przeprowadzić kompleksowy audyt RODO w firmie, możemy stworzyć przy tym raport przetwarzania danych osobowych. Zostają w nim zawarte rekomendacje i wskazówki dla poszczególnych działów firmy oraz dla przedsiębiorstwa jako całości. Raport służy przede wszystkim temu, aby wskazać te elementy działalności, które powinny ulec poprawie i jednocześnie zawiera on propozycje rozwiązań w tym zakresie. Ten opracowany na podstawie audytu dokument ma służyć pomocą przedsiębiorcy w opracowaniu strategii udoskonalenia procesu przetwarzania i ochrony danych osobowych zgodnie z obowiązującymi przepisami RODO i najnowszymi rekomendacjami i wytycznymi, w tym wytycznymi EROD (Europejskiej Rady Ochrony Danych Osobowych) oraz UODO (Urzędu Ochrony Danych Osobowych).</p>



<p>Przeprowadzenie audytu, którego efektem jest raport przetwarzania danych osobowych, stanowi w pewnym sensie jedynie wstęp do dalszych działań, kiedy przygotowana i wdrożona zostaje dokumentacja RODO, niezbędna dla danej firmy albo dotychczas istniejąca dokumentacja zostaje poddana niezbędnym zmianom i poprawkom. Informacje, jakie zawarte zostają w raporcie przetwarzania danych osobowych, stanowią podstawę do stworzenia dokumentów, które są specjalnie dopasowane do działalności poddawanej audytowi firmy. Uwzględniają one sytuację firmy oraz branżę, w której ona działa. &nbsp;Można orzec, że audyt i wdrożenie odpowiednich procedur stanowi podstawę zapewnienia bezpieczeństwa danych, jaką może zaoferować administrator danych osobowych.</p>



<h2 class="wp-block-heading"><strong>Kodeks pracy, ustawa o rachunkowości i inne – jakie przepisy poza RODO są brane pod uwagę podczas audytu?&nbsp;</strong></h2>



<p>RODO nie stanowi jedynych przepisów, jakie są brane pod uwagę podczas audytu ochrony danych osobowych. Należy zaznaczyć, że ze względu na zapewnienie pełnej zgodności procesów przetwarzania danych osobowych w firmie konieczna jest znajomość orzecznictwa sądów, a poza tym wszelkich wytycznych, rekomendacji i zaleceń organów nadzorczych. Ponadto ze względu na międzynarodowy charakter RODO, podczas audytu, często wymagane jest uwzględnienie nie tylko zaleceń Urzędu Ochrony Danych Osobowych (UODO), lecz również wytycznych Europejskiej Rady Ochrony Danych Osobowych (EROD), a pomocniczo także wytycznych organów nadzorczych w innych krajach (np. francuskiego CNIL czy brytyjskiego ICO).</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; W trakcie audytu brane są także pod uwagę inne przepisy krajowe, mające wpływ na przetwarzanie danych osobowych w przedsiębiorstwie. Są to, między innymi, Kodeks pracy, ustawa o rachunkowości, ustawa o świadczeniu usług drogą elektroniczną, czy prawo telekomunikacyjne lub inne przepisy, często specyficzne dla danej branży. Dzięki wykorzystaniu znajomości tych wszystkich przepisów i zaleceń możliwe jest:</p>



<ul class="wp-block-list">
<li>przygotowanie dokumentów RODO;</li>



<li>udzielenie wsparcia w sporządzeniu analizy ryzyka, oceny skutków dla ochrony danych;</li>



<li>udzielanie konsultacji w zakresie ochrony danych osobowych;</li>



<li>świadczenie usług doradztwa w zakresie międzynarodowego transferu danych osobowych;</li>



<li>zapewnienie pełnej obsługi naruszeń ochrony danych osobowych.</li>
</ul>



<h2 class="wp-block-heading"><strong>Jaka dokumentacja RODO jest przygotowywana po przeprowadzeniu audytu?</strong></h2>



<p>Po przeprowadzeniu audytu, dzięki zapoznaniu się z indywidualną sytuacją firmy, możliwe jest przygotowanie odpowiednich dokumentów, które są konieczne do zapewnienia ochrony danych osobowych w organizacji. Przykładowe dokumenty, jakie zostają przygotowane po dokonaniu audytu to (ze względu na zawsze indywidualny charakter audytu nie jest to pełna lista):</p>



<ul class="wp-block-list">
<li>polityka ochrony danych osobowych;</li>



<li>polityka haseł;</li>



<li>instrukcja zarządzania systemem informatycznym;</li>



<li>rejestr czynności przetwarzania danych osobowych;</li>



<li>rejestr kategorii przetwarzania danych osobowych;</li>



<li>klauzula informacyjna art. 13 RODO;</li>



<li>klauzula informacyjna art. 14 RODO;</li>



<li>procedura postępowania w przypadku naruszenia ochrony danych osobowych, procedura zgłaszania naruszenia ochrony danych osobowych;</li>



<li>procedura realizacji praw osób, których dane dotyczą;</li>



<li>rejestr naruszeń ochrony danych osobowych;</li>



<li>wzór umowy powierzenia przetwarzania danych osobowych;</li>



<li>wzór upoważnienia do przetwarzania danych osobowych.</li>
</ul>



<h2 class="wp-block-heading"><strong>Czym jest analiza ryzyka oraz ocena skutków dla ochrony danych osobowych?</strong></h2>



<p>Szczególne znaczenie w dokumentacji RODO mają analiza ryzyka oraz ocena skutków dla ochrony danych. Analiza ryzyka musi zostać przeprowadzona w zakresie procesów przetwarzania danych w firmie. W niektórych przypadkach może również objąć swoim zakresem konkretny proces przetwarzania danych osobowych (np. analiza ryzyka stosowania monitoringu wizyjnego, analiza ryzyka aplikacji IT, analiza ryzyka działań rekrutacyjnych). Dopiero podczas wykonywania audytu zostaje zazwyczaj podjęta decyzja czy dana analiza ryzyka jest konieczna.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ocena skutków dla ochrony danych (DPIA) jest kwalifikowaną oceną ryzyka, która w niektórych przypadkach jest obowiązkowa. Przeprowadzenie takiej analizy jest niezbędne w sytuacji, gdy przetwarzanie danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych (art. 35 RODO). Ocena taka nie zawsze jest łatwa, dlatego &nbsp;warto skorzystać ze wsparcia wykwalifikowanej kancelarii prawnej, która pomoże dokonać odpowiedniej weryfikacji w oparciu o przepisy RODO oraz odpowiednie wytyczne organów nadzorczych i Grupy Roboczej art. 29.</p>



<h2 class="wp-block-heading"><strong>Międzynarodowe transfery danych osobowych</strong></h2>



<p>Obecnie firmy, które działają w Polsce często współpracują z przedsiębiorstwami z innych krajów. Taka działalność może wiązać się z transferem danych osobowych do kraju trzeciego, czyli poza obszar terytorium Europejskiego Obszaru Gospodarczego (EOG). Taki transfer nie zawsze uznawany jest za bezpieczny z punktu widzenia RODO. Konieczne jest często podjęcie wtedy dodatkowych środków, jak np. podpisanie standardowych klauzul umownych, &nbsp;czy zastosowanie odpowiednich środków technicznych zabezpieczających taki transfer danych.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Odpowiednia kancelaria prawna dokonuje weryfikacji czy transfer do określonych krajów jest bezpieczny i dozwolony na gruncie RODO, a w razie konieczności pomaga przygotować stosowne procedury bezpieczeństwa. Wskazuje jak zabezpieczyć taki transfer, jakie umowy, dotyczące ochrony danych, należy podpisać.&nbsp;</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Należy pamiętać, że do międzynarodowego transferu danych dochodzi nie tylko w przypadku współpracy z firmą mającą siedzibę w kraju trzecim. Transfer danych osobowych może mieć miejsce także w następujących przypadkach:</p>



<ul class="wp-block-list">
<li>praca zdalna z kraju trzeciego przy skorzystaniu z usług podmiotu trzeciego;</li>



<li>świadczenie usług zdalnie z kraju trzeciego;</li>



<li>korzystanie z oprogramowania, chmury i innych rozwiązań w sytuacji, gdy dane są hostowane w tzw. kraju trzecim;</li>
</ul>



<p><strong>&gt;&gt;&gt;Szukasz więcej na temat transferu danych do krajów trzecich? Sprawdź<u>: Jak prawidłowo przekazywać dane osobowe do krajów trzecich?</u></strong></p>



<h2 class="wp-block-heading"><strong>Czy audyt RODO jest obowiązkowy?</strong></h2>



<p>Firma, w której działalności pojawia się w jakikolwiek sposób przetwarzanie danych osobowych, powinna przeprowadzać cykliczne audyty RODO. Najlepiej jest zlecić takie działanie wykwalifikowanej kancelarii prawnej, która specjalizuje się w ochronie danych osobowych. Często przedsiębiorcy nie zdają sobie sprawy, jak bardzo dotyczy ich ten temat. Dopiero po nałożeniu kar przez organy nadzorcze, okazuje się jak ważne jest regularne sprawdzanie aktualności zabezpieczeń i stosowania odpowiednich procedur, które należy wdrażać.&nbsp; &nbsp;</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/audyt-i-wdrozenia-rodo-dlaczego-warto-wdrozyc-procedury-ochrony-danych-osobowych-i-przeprowadzic-audyt-rodo-w-firmie/">Audyt i wdrożenia RODO &#8211; dlaczego warto wdrożyć procedury ochrony danych osobowych i przeprowadzić audyt RODO w firmie?  </a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Co zrobić, jeśli doszło do naruszenia ochrony danych osobowych w firmie i jak to zgłosić?</title>
		<link>https://paluckiszkutnik.pl/co-zrobic-jesli-doszlo-do-naruszenia-ochrony-danych-osobowych-w-firmie-i-jak-to-zglosic/</link>
		
		<dc:creator><![CDATA[Radca Prawny Maciej Bednarek]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:32:40 +0000</pubDate>
				<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2222</guid>

					<description><![CDATA[<p>Coraz częściej stykamy się z informacjami o bardzo wysokich karach nakładanych na firmy, w których doszło do naruszenia ochrony danych [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/co-zrobic-jesli-doszlo-do-naruszenia-ochrony-danych-osobowych-w-firmie-i-jak-to-zglosic/">Co zrobić, jeśli doszło do naruszenia ochrony danych osobowych w firmie i jak to zgłosić?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Coraz częściej stykamy się z informacjami o bardzo wysokich karach nakładanych na firmy, w których doszło do naruszenia ochrony danych osobowych. Przedsiębiorcy zwykle przymykają oko na takie wiadomości, gdyż przecież „tak potężna afera nam się nie przytrafi”. Trochę większy niepokój budzi to, gdy do incydentu dochodzi w bliskiej lub wręcz tożsamej im branży.</p>



<p>„Będziemy martwić się, kiedy do tego w ogóle dojdzie” – takie podejście wydaje się najprostsze i najlepsze, kiedy dla przedsiębiorca musi zmagać się z wieloma problemami, które są o wiele bardziej istotne dla niego w danej chwili. Problem w tym, że w wypadku naruszenia ochrony danych osobowych nie liczy się jedynie reakcja po zdarzeniu, ale również, w stopniu nie mniej istotnym, jakie były działania administratora danych przed takim potencjalnym incydentem.&nbsp;</p>



<p>Jak więc należy postąpić w przypadku zajścia naruszenia ochrony danych osobowych w przedsiębiorstwie oraz jakie działania powinien podjąć każdy administrator, który przetwarza jakiekolwiek dane osobowe?</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="892" height="1024" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/9143650_padlock-tagcloud-892x1024.jpg" alt="" class="wp-image-2228" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/9143650_padlock-tagcloud-892x1024.jpg 892w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/9143650_padlock-tagcloud-261x300.jpg 261w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/9143650_padlock-tagcloud-768x882.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/9143650_padlock-tagcloud-1337x1536.jpg 1337w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/9143650_padlock-tagcloud.jpg 1393w" sizes="auto, (max-width: 892px) 100vw, 892px" /></figure>



<h2 class="wp-block-heading"><strong>Czym jest naruszenie ochrony danych osobowych?</strong></h2>



<p>W kwestii danych osobowych wszystkim reguluje RODO, czyli obowiązujące już szósty rok rozporządzenie o ochronie danych na terenie całej Unii Europejskiej. Według niego, naruszenie ochrony danych osobowych stanowi naruszenie bezpieczeństwa danych, które&nbsp;&nbsp;prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).&nbsp;</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Grupa Robocza Art. 29 rozróżniła trzy kategorie takiego naruszenia:</p>



<ul class="wp-block-list">
<li>naruszenie dotyczące poufności danych – w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;</li>



<li>naruszenie dotyczące integralności danych – w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;</li>



<li>naruszenie dotyczące dostępności danych – w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.</li>
</ul>



<h2 class="wp-block-heading"><strong>W jakim przypadku konieczne jest zgłoszenie naruszenia ochrony danych osobowych?</strong></h2>



<p>Administrator danych ma obowiązek zgłoszenia incydentu do organu nadzorczego (Urzędu ochrony danych osobowych) oraz do wszystkich osób, których dane dotyczą, jeśli naruszenie, do którego doszło, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Co to znaczy?</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RODO w motywie 85 dość jasno precyzuje, że dzieje się tak w wypadku, gdy naruszenie ochrony danych osobowych może powodować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych –&nbsp; takich, jak:</p>



<ul class="wp-block-list">
<li>utrata kontroli nad własnymi danymi osobowymi;</li>



<li>ograniczenie praw;</li>



<li>dyskryminacja</li>



<li>kradzież lub sfałszowanie tożsamości;</li>



<li>strata finansowa;</li>



<li>nieuprawnione odwrócenie pseudonomizacji (mówiąc wprost – nieuprawnione odszyfrowanie zabezpieczonych danych);</li>



<li>naruszenie dobrego imienia;</li>



<li>naruszenie poufności danych osobowych chronionych tajemnicą zawodową</li>



<li>wszelkie inne znaczne szkody gospodarcze lub społeczne.</li>
</ul>



<h2 class="wp-block-heading"><strong>Kto jest odpowiedzialny za ochronę danych osobowych w firmie?</strong></h2>



<p>Administrator jest osobą odpowiedzialną prawnie za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. Zgodnie z RODO, administrator to osoba fizyczna lub prawna, organ publiczny lub jednostka lub inny podmiot, który ustala samodzielnie (lub wspólnie z innymi) cele i sposoby przetwarzania danych osobowych.</p>



<p>Jako pomoc może on wyznaczyć:</p>



<ul class="wp-block-list">
<li>podmiot przetwarzający dane – czyli osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;</li>



<li>Inspektora Ochrony Danych Osobowych (IOD) – czyli osobę, która dysponuje fachową wiedzą w zakresie ochrony danych osobowych, służy on pomocą oraz poradą, ale nie jest to organ decyzyjny – administrator może, ale nie musi wysłuchać porady IOD-a (co istotne w niektórych przypadkach przepisy regulują konieczność powołania IOD-a);</li>
</ul>



<p>Nikt nie może zdjąć jednak odpowiedzialności z administratora i to zawsze on pozostanie osobą decyzyjną. Ma on obowiązek wdrożyć (samodzielnie lub w wyznaczyć kogoś, kto uczyni to w jego imieniu) odpowiednie i skuteczne środki zapobiegawcze oraz musi być w stanie wykazać, że przetwarzanie danych, za które jest odpowiedzialny, pozostaje zgodne z przepisami RODO. Wreszcie to administrator ponosi odpowiedzialność za powiadomienie organu nadzorczego i osób, których dane dotyczą, w wypadku zajścia naruszenia ochrony danych osobowych. Ma też obowiązek podjęcia wszystkim niezbędnych działań po zajściu takiego incydentu. On też jest odpowiedzialny za podjęcie ewentualnej decyzji o braku konieczności powiadomienia organu nadzorczego czy osób, których dane dotyczą.</p>



<h2 class="wp-block-heading"><strong>Jakie kroki należy podjąć, kiedy dowiadujemy się, że doszło do naruszenia danych osobowych?</strong></h2>



<p>1. W momencie, kiedy dochodzi do stwierdzenia naruszenia bezpieczeństwa w związku z przetwarzaniem danych osobowych, administrator ma obowiązek nie później niż w terminie 72 godzin zgłosić incydent do organu nadzorczego – chyba że jest małe prawdopodobieństwo, żeby skutkowało wystąpieniem ryzyka naruszenia praw lub wolności osób fizycznych (art. 33 RODO).&nbsp;</p>



<p>2. Administrator danych bez zbędnej zwłoki zawiadamia osoby, których dane dotyczą, o naruszeniu ochrony ich danych (jest kilka wyjątków – w kolejnym punkcie).</p>



<p>3. Administrator w zawiadomieniu:</p>



<ul class="wp-block-list">
<li>opisuje jasnym i prostym językiem charakter i okoliczności naruszenia ochrony danych osobowych w swojej organizacji;</li>



<li>do organu nadzorczego – przesyła kategorie i przybliżoną ilość osób, których dane dotyczą, a także kategorię oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;</li>



<li>podaje imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych Osobowych lub wyznacza inny kontakt;</li>



<li>opisuje możliwe konsekwencje naruszenia;</li>



<li>opisuje środki, które zastosował lub proponuje w celu zaradzenia naruszeniu ochrony danych osobowych, a także środki w celu zminimalizowania jego ewentualnych negatywnych skutków;</li>
</ul>



<p>4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, okoliczności ich naruszenia, ich skutki, a także podjęte działania zaradcze. Pomoże to weryfikacji przestrzegania przepisów przez administratora.</p>



<p>5. Jeśli zawiadomienie o naruszeniu zostało zgłoszone do organu nadzorczego po terminie 72 godzin, administrator powinien uzasadnić i udokumentować opóźnienie.&nbsp;</p>



<h2 class="wp-block-heading"><strong>Kiedy nie jest wymagane powiadomienie osób, których</strong><strong>&nbsp;dane dotyczą, o naruszeniu?</strong></h2>



<p>Nie ma takiej konieczność w przypadkach, gdy:</p>



<ul class="wp-block-list">
<li>administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do ochrony danych osobowych, których dotyczy naruszenie (np.. szyfrowanie, które uniemożliwi odczyt danych osobom nieuprawnionym) – innymi słowy wybrane wcześniej środki ochrony w pełni zabezpieczają dane osobowe, które uległy naruszeniu;</li>



<li>administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia naruszenia praw i wolności osób, których dane dotyczą;</li>



<li>zawiadomienie osób, których dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku – można podjąć wtedy inne działania, jak np. wydać publiczny komunikat, umieścić go na stronie internetowej czy też zastosować inny środek, który byłby w tym wypadku skuteczny.</li>
</ul>



<p>W takich wypadkach bardzo przydaje się osoba inspektora danych osobowych, który może posłużyć wiedzą oraz poradą – tym bardziej że często IOD-em jest prawnik.</p>



<h2 class="wp-block-heading"><strong>Jakie są sankcje za naruszenie danych osobowych?</strong></h2>



<p>Naruszenie przepisów art. 33 i 34 RODO, czyli obowiązku zgłaszania naruszenia ochrony organowi nadzorczemu oraz osobom, których dane dotyczą, skutkuje w wysokości do 10 mln zł, a w wypadku przedsiębiorstwa karą w wysokości 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Co jednak istotne i warte ponownego podkreślenia – w samym zajściu incydentu naruszenia ochrony danych osobowych nie chodzi tylko o prawidłowe działania po samym naruszeniu. Kluczowe jest zastosowanie wcześniej odpowiednich środki ochrony – technicznych i organizacyjnych, które w odpowiedni sposób zabezpieczą przetwarzane dane. Ponieważ to właśnie o bezpieczeństwo tych danych chodzi. W razie gdy dojdzie do naruszenia, stosowne środki ochrony mogą zapobiec skutkom naruszenia praw lub wolności osób fizycznych, a więc sytuacji, do której żaden administrator danych osobowych nie chce dopuścić.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Świadczy o tym niedawna kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę medyczną w wysokości 1,5 mln zł. W spółce doszło do olbrzymiego wycieku danych, w tym wrażliwych danych klientów, o którym spółka dowiedziała się od samych hakerów, którzy zażądali pieniędzy. Dopiero wtedy spółka zgłosiła sprawę do organu nadzorczego. Kara wynikła przede wszystkim z olbrzymiego zaniedbania ochrony danych osobowych, jakiego dopuściła się spółka:</p>



<ul class="wp-block-list">
<li>brak aktualnych zabezpieczeń;</li>



<li>nieprzestrzeganie własnych środków bezpieczeństwa;</li>



<li>brak wdrożenia odpowiednich środków ochrony.</li>
</ul>



<p>W wypadku działań związanych z ochroną danych osobowych równie ważne są odpowiednie czynności podejmowane w wypadku zajścia naruszenia bezpieczeństwa, co wszelkie środki i działania zapobiegawcze, które podejmuje i przestrzega przedsiębiorstwo.</p>



<p></p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/co-zrobic-jesli-doszlo-do-naruszenia-ochrony-danych-osobowych-w-firmie-i-jak-to-zglosic/">Co zrobić, jeśli doszło do naruszenia ochrony danych osobowych w firmie i jak to zgłosić?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>RODO dla sklepu internetowego &#8211; jak zabezpieczyć się w branży e-commerce?</title>
		<link>https://paluckiszkutnik.pl/rodo-dla-sklepu-internetowego-jak-zabezpieczyc-sie-w-branzy-e-commerce/</link>
		
		<dc:creator><![CDATA[Adwokat Katarzyna Rodacka]]></dc:creator>
		<pubDate>Mon, 27 Jan 2025 14:28:10 +0000</pubDate>
				<category><![CDATA[E-commerce]]></category>
		<category><![CDATA[Ochrona danych]]></category>
		<guid isPermaLink="false">https://paluckiszkutnik.pl/?p=2217</guid>

					<description><![CDATA[<p>Każdy przedsiębiorca prowadzący działalność e-commerce musi zadbać o wdrożenie przepisów wynikających z RODO. To nie jest jedynie obowiązek prawny, gdyż [&#8230;]</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/rodo-dla-sklepu-internetowego-jak-zabezpieczyc-sie-w-branzy-e-commerce/">RODO dla sklepu internetowego &#8211; jak zabezpieczyć się w branży e-commerce?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Każdy przedsiębiorca prowadzący działalność e-commerce musi zadbać o wdrożenie przepisów wynikających z RODO. To nie jest jedynie obowiązek prawny, gdyż coraz bardziej rośnie świadomość użytkowników internetu i oczekują oni, że sklepy, w jakich robią oni zakupy już nie tylko zaoferują im atrakcyjne ceny i szeroki wybór przedmiotów lub usług, ale również liczą na to, że ich prywatność w sieci będzie szanowana. W skrócie – po sieci poruszamy się chcąc bezpieczeństwa także dla swoich danych osobowych. Firmy sprzedające w internecie, które zgodnie z przepisami wdrożą RODO, budują w ten sposób swoją markę godną zaufania. Nie chodzi tu już jedynie o uniknięcie niepotrzebnych kar, ale o zbudowanie więzi z klientami opartej na zaufaniu. &nbsp;&nbsp;&nbsp;</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="314" src="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/59137544_interactive-engagement-set-digital-marketing-professionals-implementing-personalization-1024x314.jpg" alt="" class="wp-image-2218" srcset="https://paluckiszkutnik.pl/wp-content/uploads/2025/01/59137544_interactive-engagement-set-digital-marketing-professionals-implementing-personalization-1024x314.jpg 1024w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/59137544_interactive-engagement-set-digital-marketing-professionals-implementing-personalization-300x92.jpg 300w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/59137544_interactive-engagement-set-digital-marketing-professionals-implementing-personalization-768x235.jpg 768w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/59137544_interactive-engagement-set-digital-marketing-professionals-implementing-personalization-1536x470.jpg 1536w, https://paluckiszkutnik.pl/wp-content/uploads/2025/01/59137544_interactive-engagement-set-digital-marketing-professionals-implementing-personalization.jpg 1600w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p>Każda firma, która sprzedaje cokolwiek przez internet, w jakiś sposób dokonuje operacji przetwarzania danych, co chcąc nie chcąc jest terenem, na jakim rządzi RODO.&nbsp;</p>



<h2 class="wp-block-heading"><strong>Jakie są podstawy przetwarzania danych osobowych w branży e-commerce?</strong></h2>



<p>Zgodnie z art. 4 RODO pojęcie przetwarzania danych jest bardzo szerokie. Oznacza ono operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jak widać od razu w działalności e-commerce wykonujemy przynajmniej część z nich, licząc choćby podstawowe działania, jak np. przechowywanie danych klientów, czy pobieranie danych dotyczących płatności itd.</p>



<p>Danych, jakie są zbierane w sklepie internetowym, nie da jednoznacznie sklasyfikować, ponieważ wszystko zależy tu od działalności, jaka jest prowadzona oraz od samego przedsiębiorcy. Dane osobowe przetwarzane są przede wszystkim podczas procesów, które wiążą się z sama sprzedażą (rachunkowością, księgowością, wysyłką) oraz marketingiem, czyli ofertami, jakie przesyłane są do klientów. Działalność e-commerce opiera operacje przetwarzania głównie na podstawach prawnych wskazanych art. 6 ust. 1 lit. a) oraz lit. b) RODO.&nbsp;</p>



<p>Przetwarzanie danych, gdzie podstawą jest umowa między sprzedawcą a klientem (lit. b), wiążę się umożliwieniem wysyłki i płatności za towar lub usługę. Dane takie jak: imię, nazwisko, adres, numer telefonu są konieczne do wykonania&nbsp; zawartej pomiędzy stronami umowy. Musimy jednak uważać, aby nie zbierać danych nadmiarowych &#8211; tj. takich, które nie są niezbędne z punktu widzenia danego procesu. Żadna księgarnia internetowa nie powinna zbierać od konsumenta np. numeru PESEL wysłania do niego towaru. Nie ma żadnego wzorca, a każdy przedsiębiorca kieruje się swoją działalnością i musi do niej dostosować zakres zbieranych danych. Należy przy tym pamiętać o dwóch rzeczach. Po pierwsze zawsze kierować się zasada minimalizacji danych, czyli zbierać tyle danych, ile jest niezbędnych do osiągnięcia celu – im mniej danych zbierzemy, tym mniejsze wiąże się z tym ryzyko. Oraz po drugie – zbieranie od klientów nawet samego adresu e-mail będzie już uznawane za przetwarzanie danych osobowych.</p>



<p><strong>Drugą podstawą przetwarzania danych osobowych przez sklepy internetowe jest zgoda klienta (lit. a). Administrator danych musi tu pamiętać, że zgoda musi być dobrowolna, jednoznaczna, świadoma i nie może zależeć od niej zawarcie umowy.&nbsp;<em>Zapytanie o zgodę</em> <em>musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem</em> (art. 7 ust. 2 RODO). Zgoda wykorzystywana jest tu przede wszystkim do działalności marketingowej.</strong></p>



<h2 class="wp-block-heading"><strong>Polityka prywatności &#8211; jak spełnić obowiązek informacyjny RODO w sklepie internetowym&nbsp;</strong></h2>



<p>Administrator sklepu internetowego spełnia obowiązek informacyjny poprzez wprowadzenie na stronę internetowa polityki prywatności. Informacje, jakie powinien on tam zawrzeć, znajdują się w art. 13 RODO, lecz dobra polityka prywatności nie jest jedynie spełnieniem tych wytycznych. Musi być przejrzysta, napisana w prosty sposób, aby osoba, której dane dotyczą, nie może mieć problemów ze znalezieniem najpotrzebniejszych wiadomości. Prostota również tutaj będzie najlepszym drogowskazem.</p>



<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <strong>Co zatem powinno znaleźć się w dokumencie polityki prywatności?</strong></p>



<ul class="wp-block-list">
<li>dane administratora – nazwa firmy, imię nazwisko, adres, dane kontaktowe; a także informacje o powołaniu inspektora ochrony danych osobowych (jeśli został powołany)</li>



<li>cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania;</li>



<li>informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;</li>



<li>informacje o przekazywaniu danych;</li>



<li>informacja o prawach przysługującym osobom, których dane dotyczą, czyli: prawo dostępu do danych, prawo do ograniczenia przetwarzania danych, prawo do usunięcia danych, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu do przetwarzania, prawo do wycofania zgody, wniesienia skargi do organu nadzorczego;</li>



<li>okres, przez który dane osobowe będą przechowywane lub kryteria jego ustalenia;</li>



<li>informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;</li>



<li>informację o zautomatyzowanym podejmowaniu decyzji/profilowaniu.</li>
</ul>



<h2 class="wp-block-heading"><strong>Pozyskanie zgody klienta na przetwarzanie danych osobowych w sklepie internetowym</strong></h2>



<p>Zgoda jest jedną z głównych podstaw przetwarzania danych osobowych wykorzystywanych w internecie przez przedsiębiorców. W branży e-commerce bywa ona najczęściej wykorzystywana do działań marketingowych. Opisane przez mnie powyżej warunki prawidłowo przeprowadzonej zgody – dobrowolność, jednoznaczność, wyrażenie jej w pełni świadomie – mimo że klarownie zawarte w art. 7 RODO, często nie są przestrzegane przez administratorów. W szczególności w przypadku plików cookies, czyli popularnych ciasteczek, stosowane są nielegalne praktyki w postaci utrudniania użytkownikom cofnięcia zgody na śledzenie ich ruchu w internecie. Domyślne zaznaczanie zgody na wszystkie warunki czy ukrywanie co ważniejszych opcji to tylko jedne ze stosowanych praktyk. Wiele w tej sprawie zmieniły jednak rozporządzenia DSA (Digital Services Act) oraz DMA (Digital Market Act).</p>



<h2 class="wp-block-heading"><strong>Zgoda na wykorzystywanie plików cookies w sklepie internetowym</strong></h2>



<p>Pliki cookies są niewielkimi plikami tekstowymi, które stanowią swoisty ślad obecności na stronie internetowej konkretnej osoby. Innymi słowy są to pliki wysyłane do przeglądarki przez witrynę, w chwili naszych odwiedzin na niej. Służą do zapamiętaniu danych z odwiedzenia tej strony, dzięki czemu kiedy odwiedzimy ją ponownie będzie działać sprawniej „pod nas”, dostosowując się pod nasze preferencje. Dosyć wygodne, a jednocześnie jest to element profilowania osób, których dane dotyczą. Wyrażając zgodę na to otrzymujemy np. reklamy rzeczy, które faktycznie nas interesują, gdyż po prostu chwilę wcześniej szukaliśmy ich w sieci. Nic dziwnego, że tak chętnie korzystają z tego sklepy internetowe.</p>



<p>Od dnia 17 lutego 2024 r. w całej UE zaczął obowiązywać akt o usługach cyfrowych (wspominany DSA), natomiast chwilę wcześniej, bo w maju 2023 r., wszedł w życie akt o rynkach cyfrowych (DMA). Obydwa rozporządzenia nieco unormowały wykorzystywanie plików cookies.. Wprowadzane zasady nie dotyczą jedynie technologicznych gigantów, choć o nich jest najgłośniej. Właściwie każdy przedsiębiorca z branży e-commerce musi dostosować sposób uzyskiwania zgody na wykorzystywanie „ciasteczek”. Wymagania sprowadzają w sumie do jednego – uproszczenia i większej przejrzystości podanych informacji, tak aby osoba, której dane dotyczą, mogła wyrazić świadomą i dobrowolną zgodę. Belka z informacjami na temat wykorzystania plików cookie, która wyświetla się w momencie odwiedzenia witryny internetowej musi zawierać na jednym banerze możliwość jasnej zgody lub odmowy, informacje jak wykorzystywane są pliki cookies i dokładne opisanie ich oraz zgód. Ponadto domyślnie te zgody powinny być wyłączone, tak aby nie wpływać na wydaną zgodę. Należy także pamiętać, że na stronie sklepu internetowego powinna być także aktualna polityka plików cookies, w której użytkownik będzie w stanie znaleźć wszystkie niezbędne informacje.</p>



<h3 class="wp-block-heading"><strong>Profilowanie w działaniach marketingowych w sklepie online &#8211; jakie są podstawy przetwarzania danych?&nbsp;</strong></h3>



<p>Profilowanie ma na celu jak najlepsze poznanie klienta, aby być w stanie przewidywać jego potrzeby. Cechą immanentną profilowania jest to, że polega ono na dowolnym <strong>zautomatyzowanym przetwarzaniu danych osobowych</strong>, które pozwala ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Często jest ono wykorzystywane właśnie do działań marketingowych.</p>



<p>Podstawą takich działań wykorzystywanych w programach lojalnościowych, z których osoby, których dane dotyczą, czerpią korzyści (w zasadzie taka jest ich idea) jest najczęściej uzasadniony interes administratora lub umowa. Na potrzeby marketingowych kontaktów mailowych czy smsowych potrzebna będzie natomiast zgoda klienta, co wynika z ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego.</p>



<p>Bardzo ważne jest w wypadku profilowania, aby uczestnicy programów lojalnościowych mieli klarownie przedstawione zasady – za co otrzymują specjalne, indywidualne oferty. Przypomnijmy, że osoba, której dane dotyczą, ma prawo do sprzeciwu, czyli do tego, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych (art. 22). Poza tym przedsiębiorcy wykorzystujący profilowanie w działaniach marketingowych muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapobiec ewentualnej dyskryminacji osób fizycznych. Ryzyko opiera się na wyciąganiu nieprawdziwych wniosków z uzyskanych wyników opartych wyłącznie na zautomatyzowanym przetwarzaniu danych.</p>



<h2 class="wp-block-heading"><strong>Rejestr czynności, klauzule i dokumenty &#8211; o czym przedsiębiorca powinien pamiętać przy wewnętrznej dokumentacji RODO dla sklepu internetowego?</strong></h2>



<p>Poza zewnętrzną dokumentacją, czyli tą udostępnianą klientowi, sklep internetowy musi również posiadać dokumentację wewnętrzną. Tworzy się ją z myślą o współpracujących z przedsiębiorstwem firmach czy pracownikach, w celu zapewnienia zgodnej z RODO działalności firmy. Do takiej dokumentacji należą m.in.:</p>



<ul class="wp-block-list">
<li>polityka bezpieczeństwa – polityka ochrony danych osobowych;</li>



<li>polityka naruszeń ochrony danych osobowych;</li>



<li>polityka reagowania na wnioski podmiotów danych;</li>



<li>klauzule informacyjne – wzory klauzul dla różnych grup podmiotów i w razie potrzeby dostosowywane je do różnych kategorii odbiorców;</li>



<li>analiza ryzyka i ocena skutków dla ochrony danych;</li>



<li>umowy powierzenia danych osobowych (np. z zewnętrznymi firmami księgowymi, dostawcami narzędzi IT);</li>



<li>upoważnienia do przetwarzania danych osobowych – wszyscy dopuszczeni do danych osobowych muszą mieć takie upoważnienie oraz muszą być zobowiązani do zachowania poufności;</li>



<li>rejestr osób, które są upoważnione do przetwarzania danych osobowych;</li>



<li>instrukcja zarządzania systemami informatycznymi – np. jak robić kopie zapasowe, jakie stosować hasła, jak używać w sposób bezpieczny systemów informatycznych;</li>



<li>rejestr czynności przetwarzania oraz kategorii czynności przetwarzania danych osobowych.</li>
</ul>



<p>Powyższy katalog ma częściowo charakter przykładowy. Dokumentacja wewnętrzna powinna być dostosowana do konkretnego przedsiębiorstwa i jego specyfiki. Zakres dokumentacji może być nieco inny w zależności od branży, w jakiej działa firma, a także skali tej działalności. Z tego względu warto jest przeprowadzić tzw. audyt ochrony danych osobowych w firmie.</p>



<p><strong>Audyt RODO</strong></p>



<p>Audyt RODO w firmie, czyli audyt ochrony danych osobowych, polega na kompleksowym zbadaniu całości działania firmy pod kątem bezpieczeństwa przetwarzania danych osobowych. W trakcie audytu należy przeanalizować poszczególne elementy działalności i zbadać, w jaki sposób zbierane są dane osobowe i w jaki sposób następnie są one przetwarzane czy wprowadzone są odpowiednie okresy retencji danych i czy dane osobowe są po tych okresach usuwane. W ramach audytu konieczne jest przeanalizowanie dokumentów stosowanych w firmie &#8211; zarówno dokumentów z zakresu ochrony danych osobowych, ale także innych, dotyczących ogólnych kwestii, a także sprawdzenie strony internetowej firmy oraz weryfikacja stosowanych w firmie narzędzi i praktyk.&nbsp;&nbsp;Celem audytu jest ocena całości działalności firmy pod kątem zapewnienia należytej ochrony danych osobowych. Dopiero po przeprowadzeniu audytu można stwierdzić, jaką dokumentację RODO (zarówno wewnętrzną, jak i skierowaną do klientów i kontrahentów) dana firma powinna wdrożyć.</p>



<p><strong>Zapewnić klientowi komfort</strong></p>



<p>W całej operacji wdrażania RODO w witrynie internetowej, jaką jest sklep internetowy, chodzi nie tylko o samo przestrzeganie przepisów, ale przede wszystkim o to, do czego to ono prowadzi, a mianowicie do poczucia bezpieczeństwa klienta, który odwiedza naszą stronę. Dlatego tak istotna jest jasność komunikatu, unikanie zgubienia się w bełkotliwej treści przepisu, a w jej miejsce oferowanie klarownych i zrozumiałych informacji. Klient musi z łatwością móc odnaleźć się na stronie – nie tylko w celu znajdowania interesujących go towarów, ale także w wypadku, jeśli szuka informacji o administratorze, wzoru reklamacji czy odstąpienia od umowy. Musi mieć jasny przekaz na co się zgadza oraz wprost podaną możliwość braku wyrażenia zgody. Administrator sklepu internetowego musi nie tylko zadbać o obecność na stronie wszystkich wymaganych przepisów, lecz przede wszystkim zapewnić, formą przekazania, ich użyteczność i dostępność.&nbsp;</p>
<p>Artykuł <a rel="nofollow" href="https://paluckiszkutnik.pl/rodo-dla-sklepu-internetowego-jak-zabezpieczyc-sie-w-branzy-e-commerce/">RODO dla sklepu internetowego &#8211; jak zabezpieczyć się w branży e-commerce?</a> pochodzi z serwisu <a rel="nofollow" href="https://paluckiszkutnik.pl">Pałucki &amp; Szkutnik Kancelaria Adwokacka Kraków</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
