-1
archive,category,category-covid-19,category-314,theme-stockholm,cookies-not-set,stockholm-core-1.1,woocommerce-no-js,select-child-theme-ver-5.1.8.1573676579,select-theme-ver-5.1.8,ajax_fade,page_not_loaded,menu-animation-underline,popup-menu-fade,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Bezpieczny mailing. Czy na pewno dbasz o zabezpieczenie danych przekazywanych pocztą mailową?

W poprzednim wpisie omawialiśmy bezpieczne korzystanie z najpopularniejszych platform do wideokonferencji. W tym wpisie, zajmiemy się analizą najbardziej powszechnej formy komunikacji online, czy za pośrednictwem email – poczty elektronicznej.

Z technicznego punktu widzenia, usługa email polega na dostarczaniu funkcjonalności serwera poczty elektronicznej oraz umożliwieniu dostępu do poczty elektronicznej przez przeglądarkę internetową, czyli przechowywaniu danych (email), wysyłania danych (email) i odbierania danych (email). Udostępnianie aplikacji pozwalającej obsługiwać pocztę elektroniczną na komputerze lub innym urządzeniu np. program Outlook nie stanowi dostarczania usługi email.

Omawiając bezpieczeństwo korzystania z poczty elektronicznej również posłużymy się przykładami najczęściej wybieranych usług:

  1. Exchange Online w ramach Microsoft 365, oferowanej przedsiębiorcom z Europejskiego Obszaru Gospodarczego (EOG) przez Microsoft Ireland Operations Limited;
  2. Gmail w ramach Google Wrokspace oferowanej przedsiębiorcom z EOG przez Google Ireland Limited;
  3. iCloud Mail w ramach Apple Business Manager oferowanej przedsiębiorcom z EOG przez Apple Distribution International Ltd. z siedzibą w Irlandii.

dane przetwarzane w poczcie elektronicznej 

Dane, które są przetwarzane w ramach korespondencji e-mail można podzielić na:

  • dane podstawowe i kontaktowe użytkownika: imię, nazwisko, email, telefon, login, hasło, organizacja, metoda płatności, ustawienia preferencji;
  • treści i kontent: czyli dane przechowywane i przesyłane przez użytkowników – treść maili oraz wszelkie możliwe załączniki dołączone do maili – dane te należą do danych nieustrukturyzowanych, więc mogą zawierać informacje poufne i dane wrażliwe;
  • dane techniczne i telemetryczne: czyli IP, lokalizacja i cechy sprzętu, natężenie ruchu, requesty i anomalie;
  • dane drugiej strony korespondencji: dane identyfikacyjne oraz dane telemetryczne.

 

aspekty prawne

Korzystając z poczty elektronicznej w kontaktach biznesowych z kontrahentami (relacja B2B) jak i klientami indywidualnymi (relacja B2C) zwrócić uwagę na kilka zagadnień:

rola dostawcy usługi poczty elektronicznej oraz przedsiębiorcy korzystającego z takiej usługi w zakresie przetwarzania danych

Podobnie jak w przypadku wideokonferencji, tak i w zakresie korespondencji e-mail dostawca usługi będzie podmiotem przetwarzającym dane osobowe (art. 4 pkt 8 RODO, art. 28 RODO) powierzone mu przez Ciebie, jako administratora tych danych osobowych (art. 4 pkt 7 RODO).

Mogą zdarzyć się również sytuacja, w której będziesz występował w charakterze podmiotu przetwarzającego np. świadcząc usługi na rzecz danego klienta – przedsiębiorcy i zawierając z nim jako administratorem danych umowę powierzenia przetwarzania danych.

Natomiast w zakresie danych technicznych czy telemetrycznych i podstawowych danych użytkownika, dostawca usługi działa jako administrator tych danych i wykorzystuje je dla celów zarządzania użytkownikami, raportowania finansowego oraz cyberbezpieczeństwa.

W relacji pomiędzy dostawcą usługi, a usługobiorcą korzystającym z poczty elektronicznej, tak jak w przypadku organizowania spotkań online nie dochodzi do współadministrowania danymi osobowymi pomiędzy tymi podmiotami. Mimo wszystko, w tym przypadku należy także przypomnieć wyrok Trybunału Sprawiedliwości z dnia 29 lipca 2019 r. [1]. Trybunał stwierdził, że doszło do współadministrowania danymi pomiędzy Facebookiem a operatorem strony internetowej, na której umieszczono znacznik śledzący Facebook Pixel. Pomimo tego kontrowersyjnego orzeczenia, zdaniem organów ochrony danych, Microsoft i klienci usług Microsoft 365 nie są współadministratorami danych.

 

obowiązki formalne

Korzystając z usługi poczty elektronicznej masz następujące obowiązki z zakresu ochrony danych:

  • wiarygodność – sprawdź, czy dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych tak aby usługa spełniała wymogi RODO i chroniła prawa osób, których dane dotyczą (zgodnie z art. 28 ust. 1 RODO). Możesz je zweryfikować poprzez analizę umowy powierzenia przetwarzania danych i innych informacji podawanych przez samych dostawców, certyfikatów niezależnych firm, jak i doniesień rynkowych na temat praktyki działania danej usługi, w tym informacji o wyciekach danych, podatnościach, awariach oraz praktykach handlu danymi. Dotyczy to weryfikacji następujących elementów:
    • zgodności działania usługi z prawem ochrony danych osobowych;
    • bezpieczeństwa usługi.
  • umowa powierzenia – sprawdź, czy dostawca usługi oferuje umowę powierzenia przetwarzania danych, spełniającą wymogi art. 28 RODO.

 

Poniżej znajdziesz linki dla umów powierzenia przetwarzania danych osobowych dla usługi:

 

Z istotnych informacji praktycznych należy zaznaczyć, że w przypadku korzystania z:

  • Gmail dla kont biznesowych niezależnie od wyboru pakietu – Google oferuje 14 dniowy bezpłatny okres próbny podczas którego nie obowiązuje umowa powierzenia przetwarzania danych osobowych (Aneks o przetwarzaniu danych – DPA). Wobec tego nie powinieneś przesyłać, przechowywać, wysyłać ani odbierać jakichkolwiek danych osobowych z wykorzystaniem poczty Gmail. Aby skrócić okres próbny należy skontaktować się z Google.
  • iCloud Mail – Apple nie oferuje oddzielnej umowy powierzenia przetwarzania danych osobowych, co wobec wymogu przejrzystości przetwarzania danych może nie spełniać wymogu z art. 5 ust. 1 lit. a RODO. Dodatkowo umowa Apple nie zawiera zobowiązania Apple do przedstawiania klientowi dalszych podmiotów przetwarzających, co jest niezgodne z art. 28 ust. 2 zd. 2 RODO. Ponadto, Apple przyznaje sobie uprawnienie do ujawniania danych osobowych o Użytkowniku, jeżeli Apple uzna, że ujawnienie jest w uzasadniony sposób niezbędne do egzekwowania warunków i zasad Apple lub zabezpieczania operacji lub użytkowników Apple (art. 9 ust. 1 umowy Apple – ABM). Co więcej, Apple posługuje się nieobowiązującymi już standardowymi klauzulami umownymi przyjętymi na podstawie Decyzji Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

 

W przypadku przetwarzania danych jako podmiot przetwarzający, a nie jako administrator danych dodatkowo pamiętaj o tym, żeby:

  1. w umowie powierzenia przetwarzania powinien umieścić dane swojego dostawcy poczty elektronicznej, ze względu na konieczność akceptacji administratora dla dalszych przetwarzających (Twój dostawca poczty w tym wypadku będzie dalszym przetwarzającym danych osobowych powierzonych Tobie przez administratora). W przypadku zmiany dostawy powinieneś powiadomić administratora o zmianie dalszego przetwarzającego danych. Administrator w zależności od treści umowy was łączącej powinien wyrazić zgodę lub będzie uprawniony do zgłoszenia sprzeciwu (art. 28 ust. 2 RODO);
  2. zweryfikować warunki umowy powierzenia przetwarzania danych osobowych zawartej pomiędzy Tobą jako przetwarzającym dane osobowe a administratorem tych danych a umową pomiędzy Tobą a dostawcą usługi poczty elektronicznej, warunki obu tych umów nie mogą pozostawać ze sobą w sprzeczności (art. 28 ust. 4 RODO).

obowiązek informacyjny

Przy korzystaniu z poczty elektronicznej powinieneś poinformować osoby z którymi prowadzisz korespondencję mailową, w jaki sposób przetwarzane będą ich dane osobowe (art. 13 RODO). Najkorzystniej będzie zamieścić w stopce maila informację dotyczącą przetwarzania danych osobowych wraz z linkiem do polityki prywatności obowiązującym w Twoim przedsiębiorstwie.

Dodatkowo powinieneś wskazać, że niektóre dane osobowe uczestników będą przekazywane poza EOG, wymagają tego zasady przejrzystości i rzetelności przetwarzania danych (art. 5 ust. 1 lit. a RODO).

 

W informacji o przetwarzaniu danych wskaż:

  • kto jest dostarczycielem usługi – Microsoft, Google, Apple lub inny dostawca usługi poczty elektronicznej;
  • metody szyfrowania komunikacji;

dodatkowo poinformuj o:

  • zawarciu przez Ciebie umowy powierzenia przetwarzania danych osobowych z dostawcą usługi;
  • tym, że dane telemetryczne i dane o uczestnikach są przekazywane poza EOG do USA;
  • tym, że dostawca usługi zapewnia zgodność transferu danych z RODO przez zawarcie w umowie z Tobą tzw. standardowych klauzul umownych zaakceptowanych przez Komisję Europejską.

 

eksport danych poza Europejski Obszar Gospodarczy

Wszyscy omawiani dostawcy usługi poczty elektronicznej informują, że w ramach korzystania z usługi może dochodzić do przetwarzania danych poza EOG. Wobec tego należy ustalić, jakie dane są przetwarzane poza EOG i na jakich zasadach zapewniona jest zgodność tego przetwarzania z RODO (art. 44-46 RODO).

Wobec  unieważnienia decyzji Komisji Europejskiej nr 2016/1250 (wydanej na podstawie art. 45 RODO) dotyczącej Tarczy Prywatności UE-US (tzw. privacy shield) przez Trybunał Sprawiedliwości w wyroku z dnia  16 lipca 2020 r.[2], o czym pisaliśmy tutaj, dostawcy wskazanych usług transferują do USA dane telemetryczne i dane podstawowe użytkowników, na podstawie SCC, czyli standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.

Microsoft i Google są administratorami danych telemetrycznych i danych kontaktowych użytkowników poczty, które są przekazywane poza EOG. W przypadku usługi poczty dostarczanej przez Apple, całość danych jest przekazywana poza EOG. Natomiast wobec wydania nowych klauzul umownych (SCC) istnieje możliwość korzystania z dostawcy poczty, który nie przechowuje danych na obszarze EOG. Jednakże, treść warunków świadczenia usługi poczty elektronicznej oferowane przez Apple nie wskazuje na to że Apple jako dostawa działa w charakterze dalszego przetwarzającego. Google i Microsoft wskazują, że w sytuacji, gdy klient usługi poczty elektornicznej jest podmiotem przetwarzającym dane osobowe wówczas Google i Micorosft jako dostawy usługi działają w charakterze dalszych przetwarzających.

 Poniżej zostały wskazane obowiązujące standardowe klauzule umowne:

 

bezpieczeństwo

Regulacje dotyczące bezpieczeństwa przetwarzania danych zawarte są w art. 32 RODO. Zgodnie z powyższą regulacją, administrator (czyli Ty, jako organizator spotkania online) i podmiot przetwarzający (czyli dostawca usługi), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z:

  • przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych,
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Wywiązywanie się ze wskazanych obowiązków w zakresie bezpieczeństwa można wykazać między innymi poprzez:

  • stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub
  • zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.

 

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

Ustalając, czy usługi poczty elektronicznej oferują poziom bezpieczeństwa odpowiedni do ryzyka ich wykorzystania, można wziąć pod uwagę także wytyczne i normy uznanych organów, instytutów i organizacji, takich jak: NASKENISAISACAISO, wyznaczające aktualne standardy w zakresie bezpieczeństwa informacji oraz wskazujące na zagrożenia.

 

Jako podstawowe środki bezpieczeństwa w zakresie korzystania z wideokonferencji należy wskazać:

  • zabezpieczenia przesyłanych i przechowywanych danych, w tym szyfrowanie;
  • uwierzytelnianie użytkowników;
  • zarządzanie dostępami i uprawnieniami użytkowników oraz administratorów;
  • ciągłość i dostępność usługi;
  • Zabezpieczenia przed złośliwym oprogramowaniem;
  • Tworzenie kopii zapasowych.

 

W zakresie zachowania poufności informacji kluczowe znaczenie będzie odgrywać szyfrowanie. Stosowane są różne metody szyfrowania danych w trakcie ich przesyłu (encryption in transit) a także w trakcie ich przechowywania (encryption at rest).

 

  • Exchange Online (Microsoft) zapewniają szyfrowanie danych zarówno at rest jak in transit za pomocą rożnych technologii w zależności od rodzaju danych i usługi. Rozwiązania standardowo proponowane przez Microsoft nie zapewniają szyfrowania end-to-end. Podstawową technologią kryptograficzną wykorzystywaną do ochrony tych danych in transit jest TLS (Transport Layer Security). W przypadku wiadomości mailowych Microsoft zapewnia także dodatkowe, opcjonalne narzędzia w postaci Office 365 Message Encryption (OME) pozwalający wysyłać zaszyfrowane wiadomości email.

 

  • Gmail (Google) zapewnia szyfrowanie danych w tranzycie (in transit) i w spoczynku (at rest). Google szyfruje dane w transmisji pomiędzy użytkownikiem a Google jak i pomiędzy użytkownikiem Google a podmiotem trzecim. Google stosuje protokół TLS (Transport Layer Security). Google szyfruje dane w tranzycie z użyciem sprawdzonych algorytmów szyfrujących: RSA oraz ECDSA. Opcjonalnie, Google oferuje zaawansowany standard szyfrowania – hostowane szyfrowanie w standardzie S/MIME (Secure/Multipurpose Internet Mail Extensions). Stosowany do szyfrowania danych w spoczynku przez Google Zaawansowany Standard Szyfrowania – AES jest jedną z najczęstszych metod szyfrowania ważnych danych.

 

  • iCloud Mail (Apple) stosuje protokół TLS (Transport Layer Security). Standardowo usługa iCloud korzysta z serwerów poczty IMAP, co oznacza, że treść emaili na serwerze pocztowym nie jest zabezpieczona szyfrowaniem przed dostępem samego dostawcy poczty (czyli Apple). Wszystkie programy pocztowe Apple obsługują (opcjonalne) szyfrowanie S/MIME (Secure/Multipurpose Internet Mail Extensions). W zakresie zapewnienia szyfrowania endto-end encryption, w przypadku iCloud Mail obie strony komunikacji muszą dysponować stosownymi certyfikatami i dodatkowym oprogramowaniem. Sam fakt korzystania przez jedną ze stron z iCloud nie zapewnia tego standardu. Ma to znaczenie dla oceny legalności korzystania z iCloud na gruncie RODO. Apple nie zapewnia szyfrowania maili at rest (w spoczynku).

 

email jako usługa świadczona drogą elektroniczną

Zgodnie z art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344) (uśude) poczta elektroniczna jest usługą świadczoną drogą elektroniczną, czyli bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, czyli Internetu.

Natomiast na podstawie art. 3 pkt 2 oraz pkt 6 uśude przepisów uśude nie stosuje się do:

  1. używania poczty elektronicznej lub innego równorzędnego środka komunikacji elektronicznej między osobami fizycznymi, w celach osobistych niezwiązanych z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową lub wykonywanym przez nie zawodem oraz
  2. świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą elektroniczną służy wyłącznie do kierowania pracą lub procesami gospodarczymi tego podmiotu.

 

Wobec tego świadcząc usługę np. doradczą za pośrednictwem poczty e-mail jesteś zobowiązany posiadać regulamin takiej usługi zgodnie z art. 8 uśude oraz nieodpłatnie udostępnić usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca.

 Regulamin określa w szczególności:

  • rodzaje i zakres usług świadczonych drogą elektroniczną;
  • warunki świadczenia usług drogą elektroniczną, w tym:
    • wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca;
    • zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
    • warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
    • tryb postępowania reklamacyjnego.

 

Regulamin nie jest wymagany w przypadku komunikacji z pracownikami i współpracownikami oraz komunikacji z klientami w przypadku wykonywania umowy, która nie dotyczy usługi świadczonej drogą elektroniczną.

 

Podsumowując należy stwierdzić że korzystanie z usług poczty elektronicznej w ofertach biznesowych dostawców Microsoft i Google jest zgodne z prawem i uznawane jako bezpieczne w zakresie przetwarzania danych i informacji poufnych. Jednakże nie zwalnia to z czujności nad zmianami w zakresie regulacji dotyczących przetwarzania danych osobowych oraz informacji przekazywanych bezpośrednio przez administrujące wymienionymi narzędziami korporacje w zakresie sposobu przetwarzania przez nich danych.

W przypadku usługi iCloud Apple należy wskazać, że przetwarzanie danych przez Apple nie odbywa się zgodnie z RODO. Apple przechowuje maile poza EOG a dodatkowo nie stosuje jeszcze aktualnie obowiązujących standardowych klauzul umownych.

We wpisie nie analizowano darmowych usług poczty elektronicznej oferowanych przez te podmioty ze względu na to, że  korzystanie z nich  jest odradzane wobec wskazywania wprost przez dostawców, że usługi te nie mają zastosowania do użytku komercyjnego oraz użytkownik udziela dostawcy licencji na korzystanie z treści przesyłanych, przechowywanych, czy wysyłanych przy użyciu usług, a licencja obejmuje możliwość używania automatycznych systemów i algorytmów do analizowania treści użytkownika m.in. pod kątem spamu.

 

Niniejsza publikacja została również opracowana w oparciu o „Księgę bezpieczeństwa w komunikacji elektronicznej w pracy radcy prawnego. Część II” Krajowej Rady Radców Prawnych dostępną pod linkiem https://kirp.pl/czesc-druga-ksiegi-bezpieczenstwa-juz-dostepna/. Jeśli potrzebujesz pomocy w zakresie bezpieczeństwa danych osobowych, zapraszamy do skorzystania z gotowego pakietu RODO i do kontaktu

 

[1] Sygn. C-40/17.
[2] https://lgl-iplaw.pl/2021/10/korzystasz-ze-spotkan-online-sprawdz-czy-odpowiednio-dbasz-o-bezpieczenstwo-podczas-wideokonferencji-oraz-czy-spelniasz-wszystkie-wymagania/#_ftn2
Photo by Yogas Design on Unsplash

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

 

Korzystasz ze spotkań online? Sprawdź, czy odpowiednio dbasz o bezpieczeństwo podczas wideokonferencji oraz czy spełniasz wszystkie wymagania!

W dobie pandemii koronawirusa SARS-CoV-2 spotkania online zyskały dużą popularność. Dodatkowo, poza bezpieczeństwem związanym z ograniczeniem transmisji wirusa, okazało się, że dzięki wirtualnym spotkaniom możemy zaoszczędzić sporo czasu związanego z koniecznością przemieszczania się na miejsce „rzeczywistego” spotkania. Wykorzystując funkcjonalności aplikacji, nie tylko sprawnie takie spotkanie zorganizujemy, ale również efektywnie je przeprowadzimy np. udostępniając ekran czy pliki.

Pandemia zwiększyła ilość wirtualnych spotkań, ale wideokonferencje są od wielu lat powszechnie używanym narzędziem technicznym do kontaktów. Istotą tego rozwiązania jest przesyłanie w czasie rzeczywistym dźwięku i obrazu umożliwiających kontakt audiowizualny jego użytkowników. Korzystanie z wideokonferencji będącej typem usługi cloud computing, rodzi zagadnienia prawne dotyczące przetwarzania danych osobowych oraz przesyłania i archiwizowania informacji poufnych za pomocą podmiotów trzecich. Czy znasz potencjalne ryzyka i obowiązki?

Do najczęściej wykorzystywanych programów do usług wideokonferencyjnych należą:

  • Microsoft Teams, będącej częścią pakietu Microsoft 365;
  • Zoom;
  • Cisco Webex.

Wobec tego, dokonując analizy dotyczącej przetwarzania i bezpieczeństwa danych w ramach wideokonferencji, będziemy odnosić się do informacji dotyczących wskazanych powyżej poszczególnych programów. Wyróżnimy kilka aspektów, które będą wymagały analizy pod kątem zgodnego z prawem korzystania ze spotkań online.

 

dane przetwarzane w ramach wideokonferencji

Dane, które są przetwarzane w ramach wideokonferencji można podzielić na:

  1. dane podstawowe i kontaktowe użytkownika, czyli: imię, nazwisko, e-mail, telefon, login, hasło, organizacja, metoda płatności, ustawienia preferencji;
  1. treści i kontent, czyli dane przesyłane pomiędzy użytkownikami – rozmowy (dźwięk, obraz), czaty, pliki. Dane te należą do danych nieustrukturyzowanych więc mogą zawierać informacje poufne i dane wrażliwe;
  2. dane techniczne i telemetryczne, czyli: IP, lokalizacja i cechy sprzętu, natężenie ruchu, requesty, anomalie, itp.;
  3. „inne dane” – zależne od funkcjonalności danej platformy. Dla przykładu Microsoft Teams jest narzędziem zintegrowanym w ramach Microsoft 365, stąd analiza tego programu wymaga również weryfikacji pozostałych usług w ramach Microsoft 365 (np. integrację MS Teams z kalendarzem).

 

aspekty prawne

Będąc organizatorem takich spotkań zarówno w kontaktach biznesowych z kontrahentami (relacja B2B) jak i klientami indywidualnymi (relacja B2C) zwrócić uwagę na kilka zagadnień.

rola organizatora oraz rola dostawcy usługi w zakresie przetwarzania danych

Zasadniczo organizator spotkania będzie administratorem danych osobowych, a dostawca narzędzia do wideokonferencji będzie podmiotem przetwarzającym dane osobowe (art. 4 pkt 8 RODO, art. 28 RODO). Dojdzie do powierzenia danych przez administratora, jako klienta biznesowego usługi dostępu do platformy wideokonferencyjnej, dostawcy (art. 4 pkt 7 RODO), czyli odpowiednio firmom: Microsoft, Zoom Video Technologies lub Cisco Systems.

Natomiast w zakresie danych technicznych czy telemetrycznych i podstawowych danych użytkownika, dostawca usługi działa jako administrator tych danych i wykorzystuje je dla celów zarządzania użytkownikami, raportowania finansowego oraz cyberbezpieczeństwa.

W relacji: organizator spotkania (klient usługi) a dostawca tej usługi, nie dochodzi do współadministrowania danymi osobowymi pomiędzy tymi podmiotami. Natomiast należy zaznaczyć, że dnia 29 lipca 2019 r. Trybunał Sprawiedliwości wydał wyrok[1], w którym stwierdził, że doszło do współadministrowania danymi pomiędzy Facebookiem a operatorem strony internetowej, na której umieszczono znacznik śledzący Facebook Pixel. Pomimo tego kontrowersyjnego orzeczenia, zdaniem organów ochrony danych, Microsoft i klienci usług Microsoft 365 nie są współadministratorami danych.

 

obowiązki formalne

Korzystając z usługi wideokonferencyjnej masz następujące obowiązki z zakresu ochrony danych:

  • wiarygodność – sprawdź, czy dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych tak aby usługa spełniała wymogi RODO i chroniła prawa osób, których dane dotyczą (zgodnie z art. 28 ust. 1 RODO). Dotyczy to weryfikacji następujących elementów:
    • zgodności działania usługi z prawem ochrony danych osobowych;
    • bezpieczeństwa usługi.

Możesz je zweryfikować poprzez analizę umowy powierzenia przetwarzania danych i innych informacji podawanych przez samych dostawców, certyfikatów niezależnych firm, jak i doniesień rynkowych na temat praktyki działania danej usługi, w tym informacji o wyciekach danych, podatnościach, awariach oraz praktykach handlu danymi.

  • umowa powierzenia – sprawdź, czy dostawca usługi oferuje umowę powierzenia przetwarzania danych, spełniającą wymogi art. 28 RODO.

Poniżej znajdziesz linki dla umów powierzenia przetwarzania danych osobowych dla usługi:

Teams, Zoom i Webex oferują umowę powierzenia przetwarzania danych, które spełniają wymogi zawarte w art. 28 RODO.

 

obowiązek informacyjny

W odniesieniu do wideokonferencji powinieneś poinformować uczestnikach spotkania online o tym, w jaki sposób przetwarzane będą ich dane osobowe (art. 13 RODO). Dodatkowo powinieneś wskazać, że niektóre dane osobowe uczestników będą przekazywane poza EOG, wymagają tego zasady przejrzystości i rzetelności przetwarzania danych (art. 5 ust. 1 lit. a RODO).

W informacji o przetwarzaniu danych wskaż:

  • wskaż kto jest dostarczycielem usługi – Microsoft, Zoom Video Communication czy Cisco Systems;
  • szyfrowania komunikacji;

dodatkowo poinformuj o:

  • zawarciu przez Ciebie umowy powierzenia przetwarzania danych osobowych z dostawcą usługi;
  • tym, że dane telemetryczne i dane o uczestnikach są przekazywane poza EOG do USA;
  • tym, że dostawca usługi zapewnia zgodność transferu danych z RODO przez zawarcie w umowie z Tobą tzw. standardowych klauzul umownych zaakceptowanych przez Komisję Europejską.

 

eksport danych poza Europejski Obszar Gospodarczy

Wszyscy dostawcy omawianych platform wideokonferencyjnych informują, że w ramach korzystania z usługi może dochodzić do przetwarzania danych poza EOG. Wobec tego należy ustalić, jakie dane są przetwarzane poza EOG i na jakich zasadach zapewniona jest zgodność tego przetwarzania z RODO (art. 44-46 RODO).

 

Wobec  unieważnienia decyzji Komisji Europejskiej nr 2016/1250 (wydanej na podstawie art. 45 RODO) dotyczącej Tarczy Prywatności UE-US (tzw. privacy shield) przez Trybunał Sprawiedliwości w wyroku z dnia  16 lipca 2020 r.[2], o czym pisaliśmy tutaj, dostawcy wskazanych usług transferują do USA dane telemetryczne i dane podstawowe użytkowników, na podstawie SCC, czyli standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.

Jako klient takich usług masz obowiązek informowania wszystkich uczestników spotkania, o tym, że dane mogą być przekazywane poza EOG.

 

Microsoft (Teams) dane techniczne przetwarza w celu bezpieczeństwa i optymalizacji, natomiast dane o użytkownikach przetwarza w celu zarządzania tożsamością użytkowników i rozliczeń. Te dane są administrowane przez Microsoft i Microsoft eksportuje je poza EOG. Kontent (czyli dane zawierające treść komunikatów użytkowników w postaci wiadomości tekstowych oraz wideo i dźwięku) Microsoft przetwarza jedynie na terenie UE. W zakresie Cisco i Zoom, nie zostało to tak precyzyjnie wyjaśnione przez te podmioty, natomiast umowy powierzenia przetwarzania danych zapewniają klientom tych wymóg nałożony na dostawców do przetwarzania danych zgodnie z RODO, w tym do bezpieczeństwa komunikacji.

 

Powyższe zasady w zakresie transferu danych osobowych dotyczą również darmowych dostępów do platform wideokonferencyjnych. Co istotne, nowowydane decyzje wykonawcze Komisji Europejskiej regulują już kwestię dalszego powierzenie przetwarzania danych osobowych. Aktualnie w mocy istnieją dwie decyzje:

 

bezpieczeństwo

Regulacje dotyczące bezpieczeństwa przetwarzania danych zawarte są w art. 32 RODO. Zgodnie z powyższą regulacją, administrator (czyli Ty, jako organizator spotkania online) i podmiot przetwarzający (czyli dostawca usługi), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z:

  • przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych,
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Wywiązywanie się ze wskazanych obowiązków w zakresie bezpieczeństwa można wykazać między innymi poprzez:

  • stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub
  • zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.

 

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

Ustalając, czy usługi wideokonferencyjne oferują poziom bezpieczeństwa odpowiedni do ryzyka ich wykorzystania, można wziąć pod uwagę także wytyczne i normy uznanych organów, instytutów i organizacji, takich jak: NASK, ENISA, ISACA, ISO, wyznaczające aktualne standardy w zakresie bezpieczeństwa informacji oraz wskazujące na zagrożenia.

 

Jako podstawowe środki bezpieczeństwa w zakresie korzystania z wideokonferencji należy wskazać:

  • zabezpieczenia przesyłanych i przechowywanych danych, w tym szyfrowanie;
  • uwierzytelnianie użytkowników;
  • zarządzanie dostępami i uprawnieniami użytkowników oraz administratorów;
  • zarządzanie funkcjonalnościami usługi
  • ciągłość usługi.

 

W zakresie zachowania poufności informacji kluczowe znaczenie będzie odgrywać szyfrowanie. Stosowane są różne metody szyfrowania danych w trakcie ich przesyłu (encryption in transit) a także w trakcie ich przechowywania (encryption at rest).

  • Teams zapewnia szyfrowanie przesyłanych danych w tym audio i video in transit oraz at rest za pomocą protokołów TLS, MTLS oraz SRTP. Teams nie zapewnia szyfrowania end-to-end (e2e) pomiędzy uczestnikami spotkania. Oznacza to, że Microsoft ma techniczną możliwość zapoznania się z treścią komunikacji uczestników spotkania Teams. Brak szyfrowania e2e nie powinno być oceniane jako znaczne ryzyko ze względna to, że Microsoft zobowiązany jest do zachowania poufności.
  • Zoom zapewnia szyfrowanie komunikacji za pomocą 256-bitowego protokołu szyfrującego TLS (Transport Layer Security) oraz także 256-bitowego AES (Advanced Encryption Security). Zoom zapewnia także pełne szyfrowanie e2e pomiędzy nadawcą i adresatami komunikacji.
  • Webex zapewnia szyfrowanie komunikacji za pomocą 128-bitowego20 lub 256-bitowego protokołu TLS.

 

W zakresie uwierzytelniania użytkowników wszystkie trzy omawiane platformy korzystają z uwierzytelniania. Uwierzytelnienie chroni przed nieuprawnionym dostępem do konta użytkownika. Podstawowym narzędziem uwierzytelnienia są login oraz indywidualne hasło użytkownika – uwierzytelnianie jednoskładnikowe. Dodatkowe zabezpieczenie może stanowić uwierzytelnianie dwuskładnikowe w postaci:

  • 2FA = two factor authentication,
  • MFA = multi factor authentication,
  • SCA = strong customer authentication).

 

  • Teams zapewnia proces uwierzytelniania użytkowników poprzez sam login i hasłoSFA lub z użyciem dodatkowego składnika – np. PIN-u. telefonu, odcisku palca MFA). Decyzja o uruchomieniu opcji MFA zależna jest od Ciebie, jako klienta usługi, Microsoft nie narzuca stosowania silniejszych uwierzytelnień. Proces uwierzytelnienia następuje poprzez usługę dostawcy – Azure Active Directory.
  • Zoom zapewnia uwierzytelnianie użytkowników za pomocą loginu i hasła. Umożliwia także zaawansowane uwierzytelnianie za pomocą single sign-on czyli pojedynczego uwierzytelnienia zapewniającego dostęp do wielu usług zintegrowanego z usługą zewnętrznego dostawcy tożsamości np. z Azure Active Directory.
  • Webex zapewnia uwierzytelnianie użytkowników za pomocą SFA opartego na haśle użytkownika. Oferuje także możliwość wdrożenia single sign-on opartego na zewnętrznym dostawcy tożsamości.

 

Warto również wskazać, że dostawcy platform wideokonferencyjnych posiadają następujące certyfikaty:

  • Microsoft udostępnia szereg audytów i certyfikatów niezależnych audytorów, w tym: ISO 27001, 270018, SOC 1, SOC 223[3];
  • Zoom oświadcza, że posiada certyfikaty zgodności m.in. SOC 2 oraz FedRAMP24[4].
  • Webex deklaruje zgodność z SOC 2 oraz certyfikację 2700125[5].

 

Ryzyka w zakresie bezpieczeństwa danych podczas spotkania online:

  • celowa podmiana danych lub zakłócanie komunikacji (np. tzw. Zoombombing[6]) będą efektem naruszenia poufności – przechwycenia danych uwierzytelniających lub podatności umożliwiającej nieautoryzowane dołączenie do spotkania;
  • ryzyko cichego włamania – obecnie brak informacji o takim ryzyku, każdy uczestnik spotkania jest widoczny;
  • rozpoznawalność uczestników – weryfikacja tożsamości uczestnika podczas spotkania jest dokonywana za pomocą uwierzytelnienia oraz przy mniejszych spotkaniach, głosowo i wizualnie;
  • ryzyko wycieku danych – ryzyko wycieku danych wskutek przejęcia danych uwierzytelniających (credentials) również wydaje się niskie, a co więcej, wymagałoby zasadniczo tzw. ataku targetowanego, to znaczy ktoś celowo chciałby nas podsłuchiwać.

W tej sytuacji uczestnicy spotkania zobaczą, że dołącza się kolejny użytkownik z tą samą tożsamością, co jeden z nich.

 

regulamin spotkania

Zgodnie z art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344) (uśude) świadczenie usługi drogą elektroniczną, to wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne. Taką siecią telekomunikacyjną będzie Internet. Wobec tego wideokonferencje, w ramach których odbywasz spotkanie z klientem w celu wykonania zawartej pomiędzy wami umowy należ zakwalifikować jako usługę świadczoną drogą elektroniczną.

 

Wobec tego, zgodnie z art.  8 uśude usługodawca:

  • określa regulamin świadczenia usług drogą elektroniczną,
  • nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca.

 

Regulamin określa w szczególności:

  • rodzaje i zakres usług świadczonych drogą elektroniczną;
  • warunki świadczenia usług drogą elektroniczną, w tym:
    • wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca;
    • zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
    • warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
    • tryb postępowania reklamacyjnego.

 

Natomiast, zgodnie z art. 3 pkt 6 uśude, nie jesteś zobowiązany do posiadania regulaminu wideokonferencji, jeżeli spotkanie online prowadzone jest w ramach Twojej struktury

organizacyjnej (czyli uczestnikami spotkania są Twoim pracownicy i współpracownicy), kiedy usługa służy wyłącznie do kierowania pracą lub procesami gospodarczymi.

 

Podsumowując, należy stwierdzić że korzystanie z narzędzie Teams, Zoom i Webex jest zgodne z prawem i uznawane jako bezpieczne w zakresie przetwarzania danych i informacji poufnych. Jednakże nie zwalnia to z czujności nad zmianami w zakresie regulacji dotyczących przetwarzania danych osobowych oraz informacji przekazywanych bezpośrednio przez administrujące wymienionymi narzędziami korporacje w zakresie sposobu przetwarzania przez nich danych.

 

Niniejsza publikacja została również opracowana w oparciu o „Księgę bezpieczeństwa w komunikacji elektronicznej w pracy radcy prawnego” Krajową Radę Radców Prawnych dostępną pod linkiem https://kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/. Jeśli potrzebujesz pomocy w zakresie bezpieczeństwa danych osobowych, zapraszamy do skorzystania z gotowego pakietu RODO i do kontaktu

 

Photo by Chris Montgomery on Unsplash

[1] Sygn. C-40/17.

[2] sygn. C-311/18.

[3] https://servicetrust.microsoft.com/ViewPage/MSComplianceGuide.

[4] https://explore.zoom.us/docs/doc/Zoom-Security-White-Paper.pdf.

[5]https://www.cisco.com/c/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.html.

[6] tzw. zoombombingiem – paraliżowanie spotkania online przez publikowanie niestosownych treści przez jednego z uczestników.

 

 

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

Import równoległy a wyczerpanie prawa wyłącznego

Z importem równoległym mamy do czynienia, gdy pomiędzy krajem eksportu a krajem importu istnieje różnica w cenie danego towaru, a jego import poza siecią np. uprawnionego do znaku towarowego czy patentu pozwala importerowi równoległemu zbyć go po cenach atrakcyjniejszych w stosunku do oferowanych na danym rynku przez uprawnionego do znaku towarowego czy patentu. Przez import równoległy rozumie się import produktów dopuszczonych do obrotu na terytorium Unii Europejskiej i EFTA w drodze procedur narodowych oraz procedury wzajemnego uznania albo procedury zdecentralizowanej. Import równoległy jest pojęciem definiowanym w ustawie z dnia 6 września 2001 r. Prawo farmaceutyczne.

Import równoległy dotyczy produktów leczniczych spełniających łącznie następujące warunki:

  1. sprowadzony produkt leczniczy posiada tę samą substancję czynną (substancje czynne), co najmniej te same wskazania do 3 poziomu kodu ATC/ATCvet (kod międzynarodowej klasyfikacji anatomiczno-terapeutyczno-chemicznej produktów leczniczych/kod międzynarodowej klasyfikacji anatomiczno-terapeutyczno-chemicznej produktów leczniczych weterynaryjnych), tę samą moc, tę samą drogę podania oraz tę samą postać jak produkt leczniczy dopuszczony do obrotu na terytorium Rzeczypospolitej Polskiej lub postać zbliżoną, która nie powoduje powstania różnic terapeutycznych w stosunku do produktu leczniczego dopuszczonego do obrotu na terytorium Rzeczypospolitej Polskiej,
  2. sprowadzony produkt leczniczy i produkt leczniczy dopuszczony do obrotu na terytorium Rzeczypospolitej Polskiej są odpowiednio w państwie, z którego produkt jest sprowadzony, i na terytorium Rzeczypospolitej Polskiej jednocześnie referencyjnymi produktami leczniczymi albo jednocześnie odpowiednikami referencyjnych produktów leczniczych.

 

Na podstawie tych przepisów nie jest możliwe prowadzenie importu równoległego  na terytorium Unii Europejskiej lub EFTA z państw spoza Unii Europejskiej lub EFTA. Taki import jest możliwy, jednak produkty sprowadzone spoza UE lub EFTA nie mogą być dopuszczone do obrotu na podstawie pozwolenia na import równoległy, ale muszą uzyskać „zwykłe” pozwolenie na dopuszczenie do obrotu. 

 

Pozwolenie na import równoległy wydaje Prezes Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych. Pozwolenie na import równoległy wydaje się na 5 lat. Pozwolenie może zostać przedłużone na kolejne 5 lat na wniosek importera równoległego.

 

Do Polski w ramach importu równoległego można sprowadzać wszystkie produkty lecznicze. Natomiast nie wszystkie produkty mogą być z Polski importowane na terytorium innych państw Unii Europejskiej. Przeszkodą w tym imporcie może być tzw. mechanizm szczegółowy, określony w traktacie akcesyjnym z 2003 r., albo fakt, że niektóre produkty na mocy traktatu akcesyjnego z 2003 r. korzystały z tzw. okresu przejściowego (w przypadku Polski maksymalnie do 31.12.2008 r.), czyli nie zostały w Polsce dopuszczone do obrotu zgodnie z wymaganiami Unii Europejskiej. Takie ograniczenia, jak w przypadku importu z Polski, występują także w innych „nowych państwach członkowskich”, do których odnosi się „mechanizm szczegółowy” albo które korzystają z okresów przejściowych.

 

W tym aspekcie istotne znaczenie będą miały przepisy dotyczące ochrony własności intelektualnej. Tzw. wyczerpanie prawa z patentu czy prawa ochronnego na znak towarowy nie ma zastosowania do produktów wprowadzonych do obrotu poza granicami UE lub EFTA. Oznacza to, że import opatentowanych produktów czy towarów opatrzonych chronionym znakiem towarowym spoza UE lub EFTA na tzw. „wspólny rynek” bez zgody uprawnionego stanowi naruszenie tych praw.

 

Import równoległy jest dopuszczalny, gdyż nastąpiło wyczerpanie prawa wyłącznego, w tym np. uprawnionego z prawa ochronnego na znak towarowy lub patentu. 

 

Szczególnie istotne są sytuacje, w których towar będący przedmiotem importu równoległego zostaje przepakowany, co pociąga za sobą również ingerencję w znak towarowy umieszczony na oryginalnym opakowaniu. Do tych sytuacji należy zaliczyć te, które wiążą się z jakąkolwiek ingerencją w oryginalne opakowanie, na którym znak towarowy został umieszczony przez uprawnionego z prawa wyłącznego. Typowym przykładem jest dodanie dodatkowej etykiety, w całości lub w części zasłaniającej opakowanie oryginalne, zastosowane przez uprawnionego do znaku towarowego.

 

Uznaje się, że to na podstawie teorii wyczerpania praw wyłącznych rozstrzygane są kolizje zachodzące między relacją praw wyłącznych na dobrach niematerialnych a wykonywaniem prawa rzeczowego w postaci prawa własności będącego nośnikiem tego dobra niematerialnego.

 

 

import równoległy a wyczerpanie patentu

 

Zgodnie z art. 70 ustawy – prawo własności przemysłowej (pwp) patent nie rozciąga się na działania dotyczące wyrobu według wynalazku lub wytworzonego sposobem według wynalazku, polegające w szczególności na jego oferowaniu do sprzedaży lub dalszym wprowadzaniu do obrotu, jeżeli wyrób ten został uprzednio wprowadzony do obrotu na terytorium Rzeczypospolitej Polskiej przez uprawnionego lub za jego zgodą. Nie stanowi również naruszenia patentu import na terytorium Rzeczypospolitej Polskiej oraz oferowanie do sprzedaży lub dalsze wprowadzanie do obrotu, dotyczące wyrobu wprowadzonego uprzednio do obrotu na terytorium Europejskiego Obszaru Gospodarczego przez uprawnionego lub za jego zgodą.

Przepisy ustawy nie definiują pojęcia wprowadzenia do obrotu. Przez wprowadzenie do obrotu należy rozumieć przeniesienie fizycznego władztwa nad egzemplarzem produktu na osobę trzecią, niezależnie od tytułu prawnego. Wprowadzenie do obrotu ma charakter jednorazowy, wyczerpanie następuje wraz z pierwszym wprowadzeniem wyrobu do obrotu w warunkach z art. 70 ust. 1 pwp. Wprowadzenie do obrotu jest zawsze uprzednie wobec wyczerpania, zawsze pierwszą czynnością musi być wprowadzenie wyrobu do obrotu przez uprawnionego (lub za jego zgodą), aby następne czynności odnoszące się do wyrobu nie naruszały patentu. Tytuł prawny będący przedmiotem przeniesienia posiadania produktu nie ma znaczenia dla kwestii wyczerpania. Aby doszło do wyczerpania, wprowadzenia do obrotu musi dokonać sam uprawniony z patentu lub musi to nastąpić za zgodą tego podmiotu. Zgoda uprawnionego musi dotyczyć konkretnego egzemplarza towaru, nie wystarczy zgoda generalna na wprowadzanie towarów danego rodzaju do obrotu. Zgoda na wprowadzenie do obrotu musi dotyczyć wprowadzenia na terytorium relewantnym dla wyczerpania (Polski – w przypadku wyczerpania krajowego, EOG – w przypadku wyczerpania wspólnotowego).

 

Nie stanowi wprowadzenia do obrotu samo wytwarzanie wyrobów według wynalazku. Nie jest także wprowadzeniem do obrotu sam przywóz towarów do EOG, składowanie ich w celu wprowadzenia do obrotu, oferowanie do sprzedaży we własnych sklepach uprawnionego z patentu lub w sklepach przedsiębiorstw zależnych. Również przewóz (tranzyt) takich produktów przez terytorium państwa członkowskiego EOG nie jest objęty zakresem pojęcia wprowadzenia do obrotu.

 

W zakresie wynalazków biotechnologicznych, ze względu na ich specyfikę, wyczerpanie prawa wymagało szczególnej regulacji zamieszczonej w art. 935 pwp. Patent nie rozciąga na materiał biologiczny otrzymany przez jednokrotną reprodukcję materiału biologicznego wprowadzonego do obrotu przez uprawnionego z patentu lub za jego zgodą, jeżeli reprodukcja jest nieodzownym następstwem wykorzystywania materiału biologicznego.

 

import równoległy a wyczerpanie prawa ochronnego na znak towarowy

 

Prawo ochronne na znak towarowy nie rozciąga się na działania dotyczące towarów ze znakiem, polegające w szczególności na ich oferowaniu do sprzedaży lub dalszym wprowadzaniu do obrotu towarów oznaczonych tym znakiem, jeżeli towary te zostały uprzednio wprowadzone do obrotu na terytorium Rzeczypospolitej Polskiej przez uprawnionego lub za jego zgodą.

 

Nie stanowi również naruszenia prawa ochronnego na znak towarowy import oraz oferowaniu do sprzedaży lub dalszym wprowadzeniu do obrotu dotyczących towarów oznaczonych tym znakiem towarowym, jeżeli towary te zostały uprzednio wprowadzone do obrotu na terytorium Europejskiego Obszaru Gospodarczego przez uprawnionego lub za jego zgodą.

 

Natomiast jeżeli przemawiają za tym uzasadnione względy, które pozwalają uprawnionemu sprzeciwić się dalszej dystrybucji towarów, w szczególności jeżeli po wprowadzeniu do obrotu zmieni się lub pogorszy stan towarów wyczerpanie prawa nie będzie mieć zastosowania.

 

Jednym z głównych problemów w przypadku importu równoległego produktów leczniczych w aspekcie praw ochronnych na znaki towarowe jest kwestia przepakowania produktu. W przypadku importu równoległego produktów leczniczych regułą jest ingerencja w opakowanie, w jakim towar został wcześniej wprowadzony do obrotu przez uprawnionego, a to ze względu na konieczność dostosowania się do norm wynikających z przepisów obowiązujących w kraju importu, dotychczas nieujednoliconych w państwach członkowskich.

 

Konieczność przepakowania może dotyczyć wymogów w zakresie: wielkości opakowań produktów leczniczych, języka urzędowego oraz wymagań co do oznakowania produktów leczniczych. Znaczącą przyczyną zmiany opakowania może być również fakt, że określona nazwa produktu leczniczego jest chroniona w kraju importu lub istnieje przeszkoda, niemożliwa do usunięcia, do rejestracji znaku towarowego w kraju importu.

 

Proces przepakowania produktu leczniczego należy rozpatrywać zasadniczo w dwóch płaszczyznach, takich jak:

  1. nałożenie nowej etykiety lub
  2. zmianie zewnętrznego opakowania, czyli wewnętrzne opakowanie produktu leczniczego zostaje umieszczone w nowym zewnętrznym opakowaniu pochodzącym od importera.

 

Ale jako typowe ingerencje importerów równoległych w opakowanie produktu można bardziej szczegółowo dookreślić i wskazać:

  1. przełożenie środka farmaceutycznego do nowego opakowania, nałożenie na nie znaku towarowego uprawnionego i oznaczenie nazwą importera równoległego;
  2. stworzenie przez importera równoległego nowego opakowania przy użyciu znaku towarowego uprawnionego;
  3. nałożenie etykiety w języku kraju importu na oryginalne opakowanie środka farmaceutycznego wprowadzonego do obrotu i jednoczesne pozostawienie znaku towarowego na opakowaniu;
  4. nałożenie na opakowanie etykiety, która zasłania znak towarowy i zawiera znak towarowy uprawnionego;
  5. wykreowanie przez importera równoległego nowej marki reklamowanej bez sięgania do znaku towarowego. W takiej sytuacji nie dochodzi do ponownego nałożenia znaku towarowego na produkt[1].

 

Przesłanki regulujące niemożność dokonania sprzeciwu w przypadku przepakowania towaru przez importera równoległego w związku z nałożeniem nowej etykiety na produkt przepakowany to:

  1. wykazanie, że korzystanie przez podmiot uprawniony z prawa do znaku towarowego po to, aby uniemożliwić wprowadzenie do obrotu produktu zaopatrzonego w nową etykietę przyczynia się do sztucznego podziału rynku między państwa Unii Europejskiej;
  2. nowa etykieta nie wywołuje szkody w pierwotnym stanie produktów;
  3. na nowym opakowaniu powinny być zawarte w sposób wyraźny dane dotyczące producenta i podmiotu nakładającego etykietę;
  4. wygląd produktu z etykietą nie może wpływać w sposób negatywny na renomę znaku towarowego lub podmiotu uprawnionego; „etykieta nie może być uszkodzona, złej jakości lub nieschludna”.

 

Aby wskazane powyżej czynności pozostały zgodne z prawem, należy wykazać, że przepakowanie jest czynnością konieczną dla utrzymania zgodności z prawem krajowym oraz że nie doszło do naruszenia jakości produktu. Dodatkowo naruszenie gwarancji pochodzenia towaru nie będzie miało miejsca, pod warunkiem, że podmiot zajmujący się importem równoległym zostawi opakowanie wewnętrzne leku, dokonując jedynie zmiany opakowania zewnętrznego. W wyniku czego konsument ma sposobność dostrzeżenia znaku towarowego na opakowaniu wewnętrznym.

 

Importer równoległy jest obowiązany powiadomić uprawnionego do znaku towarowego przed wprowadzeniem produktu z nową etykietą do sprzedaży, a na jego żądanie powinien przekazać egzemplarz przepakowanego produktu. Oznacza to, że w przypadku braku zawiadomienia importer równoległy narusza prawo do znaku towarowego. Nie wyklucza to możliwości dochodzenia przez podmiot uprawniony odszkodowania, którego wysokość powinna być ustalona w stosunku do zaistniałej szkody oraz z zachowaniem zasady proporcjonalności.

Zapraszamy do kontaktu jeśli jesteś importerem i masz wątpliwości odnośnie Twoich praw.

 

[1] J. Sieńczyło-Chlabicz (red.), Prawo własności przemysłowej. Komentarz, Warszawa 2020.

Photo by Christina Victoria Craft on Unsplash

Więcej informacji dotyczących praw własności intelektualnej, o których warto wiedzieć znajdziesz na naszym blogu.

Udostępnij ten wpis innym, którzy mogą być zainteresowani wykorzystaniem własności intelektualnej, aby nasza wiedza pomogła im w optymalnym zabezpieczeniu i efektywnym zarządzaniu wartościami niematerialnymi i prawnymi: prawami autorskimi, prawami własności przemysłowej (znaki towarowe, wzory użytkowe i przemysłowe, patenty), tajemnicą przedsiębiorstwa, wizerunkiem i wielu innymi. Od lat zajmujemy się tworzeniem i negocjacjami umów, prowadzimy spory sądowe, rejestracje w urzędach patentowych. Doradzamy, prowadzimy audyty własności intelektualnej, zajmujemy się sukcesją marek rodzinnych. Pomagamy pozasądowo rozwiązywać konflikty. Powiedź o nas innym, może potrzebują tej informacji 🙂 

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami

 

Organizacja walnego zebrania stowarzyszenia w czasie Covid-19

Czerwiec to gorący miesiąc dla stowarzyszeń, których rok obrotowy pokrywa się z rokiem kalendarzowym. Co prawda Rozporządzenie Ministra Finansów z dnia 31 marca 2020 r.[1] wprowadza dłuższe terminy do złożenia sprawozdań finansowych z uwagi na ograniczenia wynikające z Covid-19 ale nie zmienione pozostały terminy wyborów władz. Z tego względu, z obawy o zdrowie członków stowarzyszenia, coraz więcej podmiotów boryka się z problemem przeprowadzenia walnego zebrania w terminie, na które często zbiera się nawet kilkadziesiąt osób.

Tymczasem, z uwagi na panującą od kilku miesięcy epidemię koronawirusa, odwoływane są prawie wszystkie wydarzenia, spotkania, imprezy i zgromadzenia. Pomimo utrzymującej się liczby zakażeń nic nie wskazuje, by wirus miał “odpuścić” w ciągu najbliższych dni czy tygodni. Za cztery tygodnie, w czerwcu, kończy się kadencja organów stowarzyszenia i konieczne jest wybranie ich na nowo.

W takiej sytuacji należy przede wszystkim zajrzeć do statutu stowarzyszenia, który powinien określać zasady zwoływania walnego zebrania, terminy i sytuacje, w których powinno ono zostać zwołane.

W dogodnej sytuacji są stowarzyszenia, które w statucie mają zapisy mówiące o tym, że zarząd pełni swoje funkcje do czasu kolejnych wyborów.  Wtedy sytuacja jest całkiem niezła, ponieważ zebranie można przesunąć na późniejszy termin. Jednak większość stowarzyszeń nie ma takich regulacji w statutach.

 

Jak wobec tego przeprowadzić walne zebranie stowarzyszenia zachowując odpowiednie środki ostrożności oraz w granicach prawa?

 

Na mocy ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa Sars-Cov-2 z dnia 16 kwietnia 2020 r. (Dz.U. z 2020 r. poz. 695) w ustawie z dnia 7 kwietnia 1989 r. Prawo o stowarzyszeniach (t.j. Dz. U. z 2019 r. poz. 713 z późn. zm.) dodane zostały przepisy art. 10 ust. 1a – 1e wprowadzające możliwość głosowania jak i udziału w posiedzeniu władz stowarzyszenia z wykorzystaniem środków komunikacji elektronicznej.

 

W związku z rozbieżnością interpretacyjną czy przeprowadzenie zebrania z wykorzystaniem środków elektronicznych wymaga zgody członków, stowarzyszenie, które chciałoby skorzystać z możliwości zdalnego przeprowadzenia zebrania, powinno zebrać od członków zgody na przeprowadzenie zebrania w takiej formie. Zgoda może mieć formę dokumentową, nie musi być pisemna, czyli wystarczy wyrażenie zgody przez członka poprzez wiadomość e-mail lub sms.

Termin w jakim zawiadomienie powinno być doręczone jak i jego forma zależy od statutu stowarzyszenia.

Stowarzyszenie ma obowiązek w zawiadomieniu o zebraniu wskazać, że:

    • istnieje możliwość udziału przy wykorzystaniu środków komunikacji elektronicznej;
    • opis sposobu uczestnictwa przy wykorzystaniu takich środków;
    • opis prawa wykonywania głosu przy wykorzystaniu takich środków.

 

Stowarzyszenie organizując zebranie za pomocą środków elektronicznych musi zapewnić co najmniej:

    • transmisję obrad posiedzenia w czasie rzeczywistym;
    • dwustronną komunikację w czasie rzeczywistym, w ramach której Członek może wypowiadać się w toku obrad;
    • wykonywania osobiście lub przez pełnomocnika prawa głosu przed lub w toku posiedzenia.

 

Jednocześnie należy pamiętać, że zgodnie z § 13 ust. 2 Rozporządzenia Rady Ministrów z dnia 16 maja 2020 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, ograniczenia spotkań i zebrań niezależnie od ich rodzaju, nie stosuje się do spotkań i zebrań związanych z wykonywaniem czynności zawodowych lub zadań służbowych, lub pozarolniczej działalności gospodarczej, lub prowadzeniem działalności rolniczej lub prac w gospodarstwie rolnym, a także związanych z działalnością organizacji pozarządowych, o których mowa w art. 3 ust. 2 ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie, oraz organizacją i przeprowadzaniem egzaminów określonych w przepisach odrębnych.

Zgodnie z art. 3 ust 2 ustawy o działalności pożytku publicznego i o wolontariacie dotyczy to  stowarzyszeń. W związku z powyższym, z uwagi na brak ograniczeń dotyczących zgromadzeń względem walnego zebrania członków stowarzyszenia, zebranie może zostać przeprowadzone w tradycyjnej formie, pamiętając o zachowaniu wszelkich środków ostrożności mających na celu zapobieganie rozprzestrzeniania się wirusa Sars-Cov-2, w szczególności:

    • obowiązek zakrywania ust i nosa zgodnie z § 17 Rozporządzenia;
    • odległość pomiędzy osobami wynosząca minimalnie 2 metry, zgodnie z zaleceniami z dnia 17.05.2020 r.; będzie się to wiązało z koniecznością doboru sali, która będzie w stanie pomieścić wszystkich członków z zachowaniem tych odległości, lub też podzielenie członków na kilka sal;
    • obowiązek używania rękawiczek lub zapewniony dostęp do płynów dezynfekujących, zgodnie z zaleceniami z dnia 17.05.2020 r.

 

Jednakże, osoby, które w dniu zebrania będą przebywać na kwarantannie, nie mogą pojawić się na zebraniu zgodnie z art. 34 ust. 4 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, w której zabrania się opuszczania miejsca kwarantanny. Z uwagi na to, że każdy członek ma prawo biernego i czynnego uczestniczenia w zebraniach, sytuacja pozbawienia go możliwości wzięcia udziału będzie pozbawieniem go jego praw.

Członek stowarzyszenia ma również  prawo ustanowić pełnomocnika do uczestnictwa w walnym zebraniu, jeżeli statut stowarzyszenia tego nie zabrania. Pełnomocnikiem może być dowolna osoba, np. inny członek stowarzyszenia, ale również taka, która nie jest członkiem stowarzyszenia. Warto jednak, by była to osoba zorientowana w sprawach stowarzyszenia, z którą ma się podobne zdanie, zwłaszcza jeśli na walnym zebraniu mają być podejmowane ważne, wiążące decyzje (np. wybór władz). Z tego też względu nie każdy członek może chcieć skorzystać z prawa do ustanowienia pełnomocnika.

 

Z uwagi na powyższe, w obecnie panującym czasie zagrożenia epidemicznego, w celu ochrony członków stowarzyszenia przy jednoczesnym wypełnieniu obowiązków jakie na stowarzyszenie nakłada prawo, najkorzystniej byłoby zorganizować zebranie jedynie z wykorzystaniem środków komunikacji elektronicznej pamiętając o:

    • wymogu zawiadomienia na 14 dni przed zebraniem;
    • uzyskaniu zgody ponad połowy członków w formie sms lub e-mail na przeprowadzenie zebrania z wykorzystaniem środków komunikacji elektronicznej;
    • uwzględniając w zawiadomieniu wymogi wskazane powyżej;
    • uwzględniając narzucone przez ustawę obowiązki techniczne.

 

Jest wiele dostępnych na rynku rozwiązań informatycznych oferujących możliwość przeprowadzenia zdalnego głosowania. Na pewno warto podczas weryfikacji oferty podmiotu udostępniającego możliwość zdalnego odbycia zebrania i przeprowadzenia głosowań, przeanalizować warunki umowy pod kątem odpowiedzialności tego podmiotu. W tym zakresie służymy pomocą.

 

[1] Rozporządzenie Ministra Finansów z dnia 31 marca 2020 r. w sprawie określenia innych terminów wypełniania obowiązków w zakresie ewidencji oraz w zakresie sporządzenia, zatwierdzenia, udostępnienia i przekazania do właściwego rejestru, jednostki lub organu sprawozdań lub informacji (Dz. U. poz. 570).

Photo by Paul Bergmeir on Unsplash