10 min. czytania 30 mar 2023
Make IT Clear 03/2023

Make IT clear - 03/23

Autorzy
Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

Joanna Ostrowska

EY Polska, Kancelaria EY Law, Senior Manager, Counsel

Joanna jest Senior Managerem w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law.

Maciej Bisch

EY Polska, Kancelaria EY Law, Manager, Adwokat

Maciej zajmuje stanowisko Managera w praktyce IP, IT, Digital.

10 min. czytania 30 mar 2023
Powiązane tematy Doradztwo prawne

 

Przedstawiamy wydanie materiałów specjalnych Make IT clear 03/2023

 

Omówione tematy:

  • Własność intelektualna - Jednolity system ochrony patentowej w Europie
  • IT - Raport Europejskiej Rady Ochrony Danych dotyczący korzystania z usług chmurowych przez sektor publiczny
  • Cybersecurity - Nowe przepisy dotyczące nadużyć w komunikacji elektronicznej
  • Ochrona danych osobowych - Prawo dostępu do własnych danych – obowiązek wskazania dokładnej tożsamości odbiorców danych
  • E-commerce - Trwają prace nad nową dyrektywą w sprawie odpowiedzialności za produkty wadliwe
  • Legal alert - Przewodnik dotyczący ochrony tajemnicy przedsiębiorstwa
Jednolity system ochrony patentowej w Europie
(Chapter breaker)
1

Rozdział

Własność Intelektualna

Jednolity system ochrony patentowej w Europie

Europejski patent o jednolitym skutku

W Europie do tej pory nie występował jednolity system patentowy, który umożliwiałby rejestrację patentu we wszystkich państwach zrzeszonych w tym systemie bez konieczności weryfikacji go przez urzędy krajowe. Od 2012 r. trwają prace nad Jednolitym Systemem Patentowym i Jednolitym Sądem Patentowym, które mają zacząć funkcjonować od 1 czerwca 2023 r. Nowością w tym systemie jest to, że patent będzie udzielany łącznie na terytorium wszystkich państw Unii Europejskiej, które przystąpiły do Porozumienia i nie będzie wymagana jego walidacja na poziomie krajowym. Stanowi to przełom w ochronie patentowej i znacznie skróci drogę przedsiębiorców zamierzających taką ochronę uzyskać.

Najistotniejsze cechy nowego systemu

  • Nowy system nie zastąpi dotychczasowych systemów rejestracji – będzie to dodatkowa ścieżka międzynarodowej rejestracji patentu, w ramach której wniosek nie będzie weryfikowany na szczeblach krajowych.
  • Rejestracja patentu nie obejmie wszystkich państw europejskich – jedynie te, które przystąpiły do Porozumienia o Jednolitym Sądzie Patentowym. Do momentu publikacji, Porozumienie ratyfikowało 17 państw-członków. Polska póki co nie przystąpiła do Porozumienia.
  • Ustanowiony zostanie Jednolity Sąd Patentowy (UPC – United Patent Court). Dotychczas, spory rozwiązywane wyłącznie były przez sądy krajowe. UPC daje możliwość toczenia sporów w ramach międzynarodowej procedury. Do kompetencji sądu należeć będzie rozpoznawanie sporów dotyczących patentu o jednolitym skutku oraz patentu europejskiego. Względem patentu europejskiego państwa mają możliwość rezygnować z poddawania spraw pod jurysdykcję UPC.

Zalety i wady jednolitego systemu ochrony patentowej

Zalety:

  • Mniej skomplikowana i tańsza procedura – patent europejski o jednolitym skutku będzie obowiązywał na terytorium kilkunastu państw UE bez potrzeby dodatkowej rejestracji na poziomie krajowym.
  • Ustanowienie międzynarodowego sądu zapewni jednolitość orzecznictwa – zmniejszenie niepewności prawnej.

Wady:

  • Możliwość utraty ochrony na terytorium wielu państw w tym samym momencie.
  • Ekonomiczny sens ochrony patentem o jednolitym skutku zależy od indywidualnych potrzeb przedsiębiorstwa. Rozwiązanie może okazać się nieoptymalne, jeśli strategią przedsiębiorstwa jest rozpoznanie rynku i pozostawienie prawa ochronnego jedynie w niektórych krajach.

Potencjalny wpływ na polskich przedsiębiorców

Polska nie przystąpiła do Porozumienia w sprawie jednolitego sądu patentowego, jednak nowy system będzie miał wpływ na polskich przedsiębiorców. Orzecznictwo UPC będzie miało wpływ na kształt polskiego prawa patentowego oraz wyroki polskich sądów. Dodatkowo polski przedsiębiorca będzie miał możliwość uzyskania patentu o jednolitym skutku. Prawo ochronne nie będzie w takim przypadku obejmowało Polski, lecz teren państw, które podpisały Porozumienie. W rezultacie możliwe będzie dochodzenie swoich praw związanych z  jednolitym prawem ochronnym przed UPC.

Raport Europejskiej Rady Ochrony Danych dotyczący korzystania z usług chmurowych przez sektor publiczny
(Chapter breaker)
2

Rozdział

IT

Raport Europejskiej Rady Ochrony Danych dotyczący korzystania z usług chmurowych przez sektor publiczny

W raporcie z dnia 17 stycznia 2023 r. Europejska Rada Ochrony Danych (dalej: „EROD”) przedstawiła listę zagadnień z zakresu rozporządzenia RODO, na które podmioty z sektora publicznego powinny w szczególności zwrócić uwagę przy zawieraniu umów z dostawcami usług chmurowych.

Lista zagadnień

Podmioty publiczne powinny rozważyć następujące kwestie, bez uszczerbku dla innych obowiązków wynikających z rozporządzenia RODO, tak aby zapewnić, że wdrożenie chmury jest zgodne z rozporządzeniem RODO:

  • przeprowadzenie oceny skutków dla ochrony danych (DPIA);
  • zapewnienie, że role stron umowy są określone jasno i jednoznacznie;
  • zapewnienie, że dostawcy usług chmurowych działają wyłącznie w imieniu podmiotu publicznego i zgodnie z jego udokumentowanymi instrukcjami;
  • zidentyfikowanie danych osobowych przetwarzanych przez dostawcę chmury obliczeniowej jako administratora;
  • zapewnienie, że możliwy jest realny sprzeciw wobec zaangażowania nowych podwykonawców przetwarzania;
  • zapewnienie, że zakres danych osobowych jest ustalany w odniesieniu do celów, dla których są one przetwarzane;
  • zaangażowanie inspektora ochrony danych;
  • współpraca z innymi podmiotami publicznymi w negocjacjach z dostawcą usług chmurowych;
  • weryfikacja, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych;
  • zapewnienie, że procedura udzielania zamówienia publicznego przewiduje wszystkie niezbędne wymagania dla zachowania zgodności z RODO;
  • zapewnienie przestrzegania przepisów rozdziału V RODO poprzez identyfikację oraz wdrożenie środków uzupełniających, jeżeli jest to niezbędne;
  • analiza przepisów państwa trzeciego, które mogłyby mieć zastosowanie do konkretnego dostawcy usług chmurowych i mogłyby pozwolić na kierowanie wniosków organów państwa trzeciego o dostęp do danych przechowywanych przez dostawcę usług chmurowych w Unii Europejskiej;
  • weryfikacja warunków, na jakich organ publiczny może przeprowadzać audyty i brać w nich udział. 

Chcesz wiedzieć więcej?

Cały raport EROD znajdziesz pod linkiem:

edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf (europa.eu)

Nowe przepisy dotyczące nadużyć w komunikacji elektronicznej
(Chapter breaker)
3

Rozdział

Cybersecurity

Nowe przepisy dotyczące nadużyć w komunikacji elektronicznej

W dniu 2 marca 2023 r. złożony został w Sejmie rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Nowe przepisy mają wejść w życie po 30 dniach od ogłoszenia w Dzienniku Ustaw. Po jej wejściu w życie dostawca poczty elektronicznej dla podmiotu publicznego będzie miał 3 miesiące na wdrożenie mechanizmów SPF, DMARC i DKIM oraz 6 miesięcy na przedstawienie oferty poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego.

Nowe przepisy zawierają prawa i obowiązki przedsiębiorców telekomunikacyjnych oraz kompetencje Prezesa Urzędu Komunikacji Elektronicznej związane z zapobieganiem i zwalczaniem nadużyć w komunikacji elektronicznej.

  • Zakaz nadużyć w komunikacji elektronicznej

    Ustawa zawiera otwarty katalog nadużyć w komunikacji elektronicznej, z uwagi na brak możliwości zidentyfikowania wszystkich form nadużyć w świetle szybkiego postępu technologicznego. Określono cztery szczególne (podstawowe) formy nadużyć w komunikacji:

    • generowanie sztucznego ruchu – jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą za sobą żadnej treści (tzw. głuche telefony);
    • smishing – to fałszywe SMS-y pochodzące od kuriera, banku czy instytucji publicznej, zawierające np. link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków elektronicznych;
    • spoofing – podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby i próba zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych;
    • nieuprawniona zmiana informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np. w celu utrudnienia rozliczenia za połączenie.
  • Nowe obowiązki dostawców poczty elektronicznej

    Przedsiębiorcy telekomunikacyjni będą zobowiązani do podejmowania proporcjonalnych środków organizacyjnych i technicznych, które będą przeciwdziałać nadużyciom w komunikacji elektronicznej. Jednym z takich działań jest blokowanie SMS-ów, które zawierają treści smishingowe oraz blokowanie połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.

    Od dnia wejścia w życie nowych przepisów dostawcy poczty elektronicznej dla co najmniej 500 tys. użytkowników, 500 000 aktywnych kont lub podmiotów publicznych będą zobowiązani przy świadczeniu poczty elektronicznej stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Dostawcy poczty elektronicznej dla podmiotu publicznego będą również musieli oferować stosowanie metod uwierzytelniania wieloskładnikowego.

  • Wykaz numerów prowadzony przez Urząd Komunikacji Elektronicznej

    Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów telefonicznych służących wyłącznie do odbierania połączeń głosowych. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki i inne instytucje finansowe lub ubezpieczeniowe. Rozwiązanie to ograniczy możliwość podszywania się przez oszustów pod pracowników urzędów czy banków, wykorzystując do tego numery infolinii widoczne na publicznych stronach tych podmiotów.

  • Lista ostrzeżeń dotyczących domen internetowych

    W samym tylko okresie od stycznia 2022 r. do listopada 2022 r. CSIRT NASK zidentyfikował łącznie 38 999 domen, które mają na celu wprowadzenie w błąd użytkowników Internetu i wyłudzenie ich danych i środków finansowych.

    Projekt ustawy zawiera definicję listy ostrzeżeń – jest to jawna lista ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników. in

    Projekt wprowadza regulację, zgodnie z którą każdy będzie mógł zgłosić do CSIRT NASK domenę internetową mogącą służyć do nadużyć. Aby uprościć procedurę, odstąpiono od obowiązku uzasadniania zgłoszenia, choć będzie to możliwe. CSIRT NASK będzie mógł wpisać domenę na listę ostrzeżeń po zweryfikowaniu, że rzeczywiście podstawowym celem domeny jest wprowadzenie w błąd oraz wyłudzenia danych użytkowników internetu lub doprowadzenie ich do niekorzystnego rozporządzenia mieniem. Do ustalenia „podstawowego celu” strony internetowej posłuży m.in. mechanizmem zaproponowany przez Międzynarodowy Związek Telekomunikacyjny.

  • Sankcje

    Za niezrealizowanie obowiązków przewidzianych w projekcie UZNKE na przedsiębiorców telekomunikacyjnych będzie mogła zostać nałożona m.in. kara pieniężna w wysokości do 3% przychodu danego przedsiębiorcy osiągniętego w poprzednim roku kalendarzowym.

    Zdefiniowane w projekcie ustawy nadużycia w komunikacji elektronicznej zostaną spenalizowane. Każdy, kto dopuści się sztucznego ruchu, smishingu, CLI spoofingu lub nieuprawnionej modyfikacji informacji adresowej w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody będzie podlegał karze pozbawienia wolności od 3 miesięcy do lat 5 – analogicznie jak w przypadku kary za oszustwo komputerowe (art. 287 kk).

Prawo dostępu do własnych danych – obowiązek wskazania dokładnej tożsamości odbiorców danych
(Chapter breaker)
4

Rozdział

Ochrona Danych Osobowych

Prawo dostępu do własnych danych – obowiązek wskazania dokładnej tożsamości odbiorców danych

Wyrok TSUE w sprawie C‑154/21

W wyroku z dnia 12 stycznia 2023 r. w sprawie C‑154/21 TSUE jednoznacznie orzekł, że prawo dostępu do własnych danych zawarte w art. 15 ust. 1 lit. c) RODO (Rozporządzenie 2016/679) oznacza, że jeżeli dane osobowe zostały lub zostaną ujawnione odbiorcom, administrator danych jest zobowiązany podać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców.

Podanie tylko kategorii odbiorców nie jest wystarczające. Administrator danych może ograniczyć się do wskazania „kategorii odbiorców” tylko wyjątkowo, w przypadku gdy:

  • nie jest możliwe zidentyfikowanie tych odbiorców; lub
  • jeżeli wniosek jest nieuzasadniony lub nadmierny.
  • Stan faktyczny

    Obywatel niemiecki złożył na podstawie art. 15 RODO wniosek do głównego operatora usług pocztowych i logistycznych w Austrii, Österreichische Post, o podanie informacji w zakresie tożsamości odbiorców, którym Österreichische Post przekazała jego dane osobowe. Österreichische Post udzieliła jedynie ogólnych informacji nie wskazując dokładnej tożsamości odbiorców, a jedynie kategorię odbiorców. Österreichische Post w ramach swojej działalności jako wydawca książek adresowych, oferował dane obywatela swoim partnerom handlowym do celów marketingowych. Ponadto dane były przekazywane klientom, w tym reklamodawcom w sektorze sprzedaży wysyłkowej i handlu stacjonarnego, przedsiębiorstwom informatycznym, wydawcom książek adresowych i stowarzyszeniom takim jak organizacje charytatywne, organizacjom pozarządowym (NGO) lub partiom politycznym. 

  • Pytanie prejudycjalne

    Obywatel pozwał Österreichische Post, a w efekcie Oberster Gerichtshof, sąd najwyższy w Austrii, rozstrzygający spór w ostatniej instancji, zwrócił się do TSUE z pytaniem prejudycjalnym w zakresie wykładni art. 15 ust. 1 lit c) RODO:

    • czy RODO pozostawia administratorowi danych wybór czy ujawni konkretną tożsamość odbiorców danych, czy też wyłącznie kategorie odbiorców oraz
    • czy RODO przyznaje osobie, której dane dotyczą prawo poznania konkretnej tożsamości tych odbiorców.
  • Każdy ma prawo wiedzieć komu zostały przekazane dotyczące go dane osobowe

    W odpowiedzi TSUE wyjaśnił, że administrator realizując prawo dostępu do danych osobowych jest zobowiązany wskazać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców, a nie tylko kategorię odbiorców. Takie działanie ma zagwarantować faktyczną realizację tego prawa, które umożliwia skorzystanie z innych praw przyznanych przez RODO takich jak: prawo do sprostowania, prawo do usunięcia danych („prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, prawo sprzeciwu wobec przetwarzania, prawo do korzystania ze środków prawnych w razie poniesienia szkody.

    Wyjątkowo, w szczególnych okolicznościach administrator może nie podawać dokładnej tożsamości odbiorców, gdy nie jest (jeszcze) możliwe zidentyfikowanie tych odbiorców albo gdy administrator danych wykaże, że wniosek jest ewidentnie nieuzasadniony lub nadmierny. Ma to miejsce, gdy np. przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym.

  • Kim jest odbiorca danych?

    Zgodnie z RODO "odbiorca" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.

  • Chcesz wiedzieć więcej?

Trwają prace nad nową dyrektywą w sprawie odpowiedzialności za produkty wadliwe
(Chapter breaker)
5

Rozdział

E-commerce

Trwają prace nad nową dyrektywą w sprawie odpowiedzialności za produkty wadliwe

28 września 2022 r. Komisja Europejska opublikowała wniosek dotyczący nowej dyrektywy w sprawie odpowiedzialności za produkty wadliwe. Nowa dyrektywa ma zmienić istniejącą dyrektywę 85/374/EWG w sprawie odpowiedzialności za produkty, przyjętą prawie 40 lat temu - w 1985 r.

Wniosek ma na celu dostosowanie systemu odpowiedzialności za produkt w Unii Europejskiej do ery cyfrowej, obecnych na rynku modeli biznesowych gospodarki cyrkularnej i globalnych łańcuchów wartości

Dołącz do programu „Make IT Clear”

Otrzymuj unikatowe opracowania przygotowywane przez zespół EY Law z zakresu: własności intelektualnej, IT, danych osobowych i cyberbezpieczeństwa.

Zapisz się

Legal Alert

Przewodnik dotyczący ochrony tajemnicy przedsiębiorstwa

Dla każdego przedsiębiorcy budującego swoją pozycję rynkową poprzez innowacyjność, nowe technologie oraz informacje handlowe posiadające wartość gospodarczą niezwykle istotna jest ochrona tajemnicy przedsiębiorstwa. Tajemnica przedsiębiorstwa stanowi niejednokrotnie najbardziej wartościowy element aktywów przedsiębiorcy.

Kancelaria EY Law przygotowała przewodnik dotyczący ochrony tajemnicy przedsiębiorstwa, a w nim:

  • omówienie najważniejszych regulacji prawnych związanych z ochroną tajemnicy przedsiębiorstwa;
  • pigułka wiedzy na temat przesłanek uznania danych informacji za tajemnicę przedsiębiorstwa;
  • wskazówki, w jaki sposób dochodzić swoich praw w sytuacji naruszenia tajemnicy przedsiębiorstwa;
  • najnowsze trendy w omawianej tematyce.

Raport dostępny jest w języku angielskim na portalu Lexology:

https://www.lexology.com/gtdt/tool/workareas/report/trade-secrets/chapter/poland

Podsumowanie

Oto kolejne wydanie przygotowane w ramach programu Make IT Clear.

Co miesiąc będziemy przedstawiać Państwu trendy, którymi powinni podążać przedsiębiorcy, a także rozwiązania, które należy wdrożyć, aby być na bieżąco z prawem technologii, własnością intelektualną i ochroną danych. Wskażemy także ryzyka i wyzwania związane z Twoim biznesem.

Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.