Kategoria: Bez kategorii

Bez kategorii

Jak postępować w przypadku, gdy moje dane lub systemy objęte są postępowaniem karnym (śledztwem lub dochodzeniem)?

Judyta Kasperkiewicz

Jeśli Twoje dane, systemy informatyczne lub urządzenia zostały objęte postępowaniem karnym, kluczowe jest przestrzeganie prawa oraz ochrona interesów Twojej firmy. Poniżej znajdziesz zagadnienia, o których warto pamiętać w takiej sytuacji:

Otrzymanie informacji od organów ścigania

Zapoznanie się z postanowieniem / wezwaniem 

Jeśli policja lub prokuratura kontaktuje się w sprawie Twoich danych lub systemów, dokładnie przeanalizuj dokumenty, które otrzymasz, np.:

  • Nakaz przeszukania lub postanowienie o zabezpieczenia dowodów.
  • Postanowienie o żądaniu wydania rzeczy lub żądanie przekazania informacji lub danych.

Sprawdź zakres żądania

Upewnij się, że wezwanie dotyczy danych/systemów bezpośrednio powiązanych ze sprawą. Organy ścigania nie mogą wymagać dostępu do danych wykraczających poza ich uprawnienia.

Pamiętaj, że zgodnie z art. 15 Kodeksu postępowania karnego, osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

Zabezpieczenie danych przed zmianami

Nie modyfikuj danych

Jeśli Twoje dane lub systemy są objęte śledztwem lub dochodzeniem, masz obowiązek zabezpieczyć je w stanie nienaruszonym. Każda zmiana (nawet przypadkowa) może być interpretowana jako próba zatarcia śladów lub utrudniania śledztwa.

Utwórz kopie zapasowe

Przed przekazaniem danych organom ścigania wykonaj kopię zapasową dla swojej firmy, jeśli jest to możliwe (chyba że zakazano tego wprost w postanowieniu).

Współpraca z organami ścigania

Przekazanie wymaganych informacji

Na żądanie policji lub prokuratury musisz przekazać dane, do których dostęp określono w postanowieniu o żądaniu wydania rzeczy, w tym: 

  • Logi systemowe.
  • Konkretne pliki lub bazy danych.
  • Inne informacje wskazane w nakazie.

Zapewnienie dostępu do systemów

Jeśli organy ścigania chcą przeprowadzić oględziny lub analizę na miejscu (w Twojej siedzibie), musisz umożliwić im dostęp do infrastruktury IT zgodnie z zakresem ich uprawnień.

Zachowanie poufności

Nieujawnianie szczegółów

Jesteś zobowiązany do zachowania poufności działań organów ścigania, chyba że masz inne wytyczne (np. powiadomienie klientów o wycieku danych w przypadku RODO).

Pamiętaj, że zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Ograniczenie dostępu

Upewnij się, że tylko osoby bezpośrednio zaangażowane w sprawę mają dostęp do informacji o śledztwie.

Weryfikacja zgodności z prawem

Skonsultuj się z prawnikiem

Warto zweryfikować, czy działania organów ścigania są zgodne z prawem. Na przykład:

  • Czy nakaz przeszukania lub zabezpieczenia danych spełnia wymogi formalne?
  • Czy organy nie wymagają danych wykraczających poza ich uprawnienia?

Odwołanie od nadmiernych żądań

Jeśli uważasz, że żądanie jest zbyt szerokie lub narusza Twoje prawa, prawnik może złożyć zażalenie na takie postanowienie. 

Minimalizacja wpływu na działalność firmy

Zapewnienie ciągłości działania

Jeśli zabezpieczenie danych lub systemów może wpłynąć na Twoją działalność operacyjną (np. wyłączenie serwerów, utrata dostępu do danych), poinformuj organy ścigania o konsekwencjach i spróbuj uzgodnić alternatywne rozwiązania, takie jak:

  • Udostępnienie kopii danych zamiast oryginałów.
  • Przeprowadzenie analiz poza godzinami pracy firmy.

Planowanie operacji awaryjnych

Warto przygotować alternatywny plan działania, jeśli kluczowe systemy lub urządzenia zostaną przez organy ścigania zabezpieczone. 

Audyt wewnętrzny po zakończeniu działań

Sprawdzenie systemów po analizie

Po zakończeniu działań organów ścigania upewnij się, że wszystkie systemy zostały przywrócone do pierwotnego stanu, a dane nie zostały uszkodzone lub zmodyfikowane.

Przywrócenie bezpieczeństwa

Przeprowadź kontrolę bezpieczeństwa, aby upewnić się, że działania śledczych nie naraziły Twoich systemów na dodatkowe ryzyko.

Ochrona danych osobowych (RODO)

Jeśli dane osobowe zostały przekazane w toku śledztwa, skonsultuj się z prawnikiem lub Inspektorem Ochrony Danych, aby upewnić się, czy konieczne jest powiadomienie osób, których dane dotyczą.

Zapobieganie przyszłym incydentom

Wdrożenie procedur zgodności

Zadbaj o poprawienie procedur wewnętrznych, aby uniknąć podobnych sytuacji w przyszłości. Możesz rozważyć:

  • Lepsze zabezpieczenie danych i systemów.
  • Aktualizację polityki przechowywania logów i informacji wrażliwych.
  • Szkolenia dla pracowników z zakresu ochrony danych i procedur współpracy z organami ścigania.

Kluczowa wskazówka

Zawsze działaj zgodnie z prawem, ale nie bój się chronić interesów swojej firmy. 

Konsultacja z prawnikiem lub ekspertem ds. cyberbezpieczeństwa jest kluczowa, aby upewnić się, że Twoje działania są zgodne z przepisami i nie narażają firmy na dodatkowe ryzyko.

Stan prawny na dzień: 30 stycznia 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Jakie są moje obowiązki jako przedsiębiorcy wobec policji lub prokuratury w przypadku prowadzenia postępowania dotyczącego cyberprzestępstw?

Judyta Kasperkiewicz

W przypadku postępowań dotyczących cyberprzestępstw Twoje obowiązki wobec policji lub prokuratury jako przedsiębiorcy mogą obejmować różne działania, w zależności od roli, jaką w sprawie zajmujesz (np. pokrzywdzony, świadek). Przedstawiam poniżej kluczowe obowiązki przedsiębiorców związane z prowadzonymi przez organy ścigania postępowaniami: 

Obowiązek zgłoszenia przestępstwa (jeśli jesteś pokrzywdzonym)

Zgłoszenie incydentu

Jako przedsiębiorca, szczególnie jeśli cyberatak dotknął Twoje systemy IT, masz prawo, a często również obowiązek zgłoszenia przestępstwa do organów ścigania. Z art. 304 Kodeksu postępowania karnego wynika, że każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję.

Szczegóły zgłoszenia

W zgłoszeniu warto uwzględnić:

  • Datę i godzinę incydentu.
  • Opis okoliczności zdarzenia (np. rodzaj ataku: ransomware, phishing, DDoS).Zakres szkód (np. utrata danych, wyciek informacji).
  • Dane kontaktowe osób odpowiedzialnych za systemy IT w Twojej firmie.

Udostępnienie dowodów

Zabezpieczenie danych

Masz obowiązek zabezpieczyć dowody związane z incydentem, np.:

  • Logi z serwerów i systemów IT.
  • Kopie zapasowe systemów i baz danych.
  • Maile, pliki lub inne materiały wskazujące na przebieg ataku.

Przekazanie dowodów

Na wezwanie policji lub prokuratury musisz przekazać zgromadzone dowody. Ważne jest, aby nie modyfikować ich, aby nie mogły zostać podważone w toku postępowania.

Obowiązek współpracy z organami ścigania

Dostarczanie informacji

Organy ścigania mogą wezwać Cię do udzielenia dodatkowych informacji związanych z prowadzonym postępowaniem, np.:

  • Informacji o używanych systemach i ich zabezpieczeniac
  • Listy użytkowników, którzy mogli mieć dostęp do zaatakowanych systemów.
  • Szczegółów na temat zabezpieczeń i procedur bezpieczeństwa.

Obecność na przesłuchaniu

Na przesłuchanie możesz zostać wezwany jako świadek lub pokrzywdzony w celu złożenia zeznań, ewentualnie jako pokrzywdzony wniosku o ściganie. 

Ochrona danych osobowych (RODO)

Powiadomienie o wycieku danych

Jeśli incydent związany jest z naruszeniem ochrony danych osobowych (np. wyciekiem danych klientów), masz obowiązek:

  • Zgłosić naruszenie do organu nadzorczego (w Polsce: Prezes UODO) nie później niż w ciągu 72 godzin od wykrycia incydentu (art. 33 ust. 1 Rozporządzenia RODO).
  • Powiadomić osoby, których dane zostały naruszone, o wycieku (jeśli incydent niesie wysokie ryzyko dla ich praw i wolności).

Przestrzeganie przepisów prawa telekomunikacyjnego (jeśli jesteś dostawcą usług)

Jeśli jesteś dostawcą usług internetowych lub telekomunikacyjnych, Twoje obowiązki mogą obejmować:

  • Udostępnianie logów z działalności użytkowników (zgodnie z przepisami).
  • Współpracę w ustalania sprawców cyberprzestępstwa.
  • Informowanie klientów o naruszeniach, jeśli incydent mógł wpłynąć na ich dane.

Wdrożenie działań naprawczych

Usunięcie skutków ataku

Po zabezpieczeniu dowodów powinieneś wdrożyć działania zmierzające do przywrócenia funkcjonowania systemów IT, np. przywrócenie danych z kopii zapasowej.

Audyt powłamaniowy

Warto przeprowadzić szczegółowy audyt, aby wykryć luki bezpieczeństwa, które umożliwiły atak i zabezpieczyć się w przyszłości przed podobnymi zagrożeniami.

Poufność i ochrona śledztwa

Nieujawnianie informacji

Jeśli bierzesz udział w postępowaniu jako świadek lub poszkodowany, masz obowiązek nieujawniania szczegółów śledztwa osobom trzecim. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną lub cywilną.

Zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym podlega karze.  

Zapewnienie dostępu do systemów (jeśli wymagane)

Jeśli organy ścigania wystąpią z odpowiednim postanowieniem o żądaniu wydania rzeczy, możesz być zobowiązany do:

  • Umożliwienia dostępu do Twoich systemów informatycznych w celu przeprowadzenia oględzin.
  • Przekazania nośników danych, które mogą być dowodem w sprawie.

Zgłoszenie CERT lub innego odpowiedniego organu

CERT Polska

W przypadku poważnych incydentów warto (lub czasem jest to obowiązkowe) zgłosić sprawę do CERT Polska, który wspiera przedsiębiorców w zakresie cyberbezpieczeństwa i reagowania na incydenty.

Zapobieganie podobnym incydentom w przyszłości

Wdrożenie procedur bezpieczeństwa

Po incydencie należy zaktualizować polityki bezpieczeństwa, w tym przede wszystkim zwiększyć poziom zabezpieczeń systemów IT, przeprowadzić szkolenia dla pracowników w zakresie cyberbezpieczeństwa, wdrożyć lepsze mechanizmy monitorowania i wykrywania zagrożeń.

Podsumowanie 

Wszystkie te działania wymagają zarówno współpracy z organami ścigania, jak i wdrożenia odpowiednich procedur wewnętrznych. W przypadku wątpliwości zawsze warto skonsultować się z prawnikiem lub specjalistą ds. cyberbezpieczeństwa, aby mieć pewność, że działania podejmowane są zgodnie z obowiązującymi przepisami.

Stan prawny na dzień: 28 stycznia 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Cyberubezpieczenie i ochrona przed cyberatakami 

Judyta Kasperkiewicz

Cyberubezpieczenie to specjalistyczny produkt ubezpieczeniowy będący rodzajem polisy ubezpieczeniowej, który chroni przedsiębiorstwa przed finansowymi skutkami cyberzagrożeń, takich jak ataki hakerskie, naruszenia danych, przerwy w działalności spowodowane cyberprzestępczością czy brak ciągłości działania systemów informatycznych. 

Czym jest cyberubezpieczenie?

Cyberubezpieczenie zapewnia ochronę przed stratami finansowymi wynikającymi z incydentów cybernetycznych. Polisy te mogą pokrywać koszty związane z:

  • Odzyskaniem utraconych danych.
  • Przerwami w działalności spowodowanymi atakiem.
  • Roszczeniami klientów lub karami regulacyjnymi (np. za naruszenie przepisów o ochronie danych, takich jak RODO).
  • Kosztami wynajęcia ekspertów ds. cyberbezpieczeństwa lub prawniczych po ataku.
  • Usuwaniem skutków reputacyjnych i komunikacją kryzysową.

Co pokrywa cyberubezpieczenie?

Każda polisa jest inna, ale zazwyczaj obejmuje:

  • Ochronę przed stratami własnymi, które obejmują koszty odtworzenia danych, koszty reagowania na incydenty, w tym płacenie za specjalistów ds. bezpieczeństwa IT. Obejmują również przychody utracone w wyniku przerw w działalności spowodowanych atakiem.
  • Ochronę przed stratami stron trzecich, które obejmują roszczenia klientów, których dane zostały naruszone, kary regulacyjne nałożone przez organy nadzoru (np. za złamanie RODO), koszty postępowań sądowych i rekompensaty.
  • Ochronę reputacyjną, w tym koszty zarządzania kryzysowego, w tym PR i komunikacji z mediami.

    Dlaczego warto wykupić cyberubezpieczenie?

    • Wzrost liczby cyberzagrożeń: Ataki typu ransomware, phishing czy wycieki danych stają się coraz powszechniejsze.
    • Wysokie koszty incydentów: Średni koszt wycieku danych w firmie może wynosić setki tysięcy złotych.
    • Przepisy prawne: Regulacje takie jak RODO nakładają wysokie kary za naruszenia ochrony danych osobowych.
    • Ochrona reputacji: Ubezpieczenie pomaga zmniejszyć negatywny wpływ na markę po ataku.

    Jak działa cyberubezpieczenie?

    Ocena ryzyka przed zakupem: Ubezpieczyciel przeprowadza audyt lub analizę bezpieczeństwa IT w firmie, by określić poziom ryzyka.

    Zakres ochrony: Przedsiębiorstwo wybiera rodzaj ryzyk, które chce objąć polisą (np. ataki ransomware, wycieki danych).

    Wypłata odszkodowania: W przypadku incydentu firma zgłasza zdarzenie, a ubezpieczyciel pokrywa uzgodnione koszty.

    Czego zazwyczaj nie pokrywa cyberubezpieczenie?

    • Umyślnych działań pracowników.
    • Naruszeń spowodowanych brakiem podstawowych zabezpieczeń (np. przestarzałe oprogramowanie).
    • Długoterminowych strat związanych z utratą reputacji (często są ograniczone do krótkiego okresu po incydencie).

    Dla kogo jest przeznaczone cyberubezpieczenie?

    Oferty firm ubezpieczeniowych kierowane są do:

    • Dużych korporacji: Ze względu na ogromne ilości danych i rozbudowane systemy IT są bardziej narażone na cyberataki.
    • Małe i średnie przedsiębiorstwa: Chociaż ich budżet na cyberbezpieczeństwo jest mniejszy, ryzyko ataku wciąż jest realne.
    • Firmy przetwarzające dane osobowe: Takie jak sklepy internetowe, firmy medyczne czy finansowe.

    Jak wybrać odpowiednią polisę?

    • Określenie ryzyka: Jakie dane i systemy są kluczowe dla działalności firmy?
    • Zakres ochrony: Upewnij się, że polisa pokrywa najważniejsze ryzyka (np. ransomware, przerwy w działalności).
    • Suma ubezpieczenia: Sprawdź maksymalną kwotę, którą ubezpieczyciel wypłaci w razie incydentu.
    • Koszt: Cena cyberubezpieczenia zależy od wielkości firmy, branży i poziomu zabezpieczeń IT.

    Wskazówki przy wyborze cyberubezpieczenia:

    • Zakres ochrony: Upewnij się, że polisa pokrywa najważniejsze dla Twojej firmy ryzyka, takie jak ataki ransomware, wycieki danych czy przerwy w działalności.
    • Limity odszkodowania: Sprawdź maksymalne kwoty, które ubezpieczyciel wypłaci w razie incydentu.
    • Warunki polisy: Zwróć uwagę na wyłączenia i ograniczenia w umowie ubezpieczeniowej.
    • Wsparcie w razie incydentu: Niektórzy ubezpieczyciele oferują dodatkowe usługi, takie jak pomoc w reagowaniu na incydenty czy doradztwo prawne.

    Stan na dzień: 23 stycznia 2025 roku

    Zdjęcie: freepik.com

    Bez kategorii

    Jak radzić sobie z cyberatakiem typu ransomware i żądaniem okupu? 

    Judyta Kasperkiewicz

    (Cyber)ataki z wykorzystaniem ransomware powoduje blokadę lub zaszyfrowanie plików znajdujących się na danym urządzeniu. Ransomware stanowi złośliwe oprogramowanie blokujące dostęp do danych lub systemów w zamian za okup. Taki atak może być poważnym problemem, w szczególności dla działalności firm. 

    Najlepiej jeszcze przed potencjalnym atakiem ustalić, w jaki sposób postępować w razie wystąpienia ataku typu ransomware, ale w razie braku procedury należy pamiętać, aby działać szybko i ostrożnie, by zminimalizować ewentualne szkody. 

    1) Izolacja zainfekowanego systemu

    W pierwszej kolejności należy odłączyć urządzenie od sieci: Natychmiast należy odłączyć komputer lub serwer od Internetu i lokalnej sieci (odłącz kabel Ethernet lub wyłączyć Wi-Fi), aby zapobiec rozprzestrzenianiu się ransomware. O ile jest to możliwe, należy zidentyfikować zainfekowane urządzenia i sprawdzić, które komputery, serwery lub inne urządzenia zostały zainfekowane.

    2) Zaleca się, aby nie płacić okupu

    Choć mogą pojawiać się pomysły zapłaty okupu, nie zaleca się płacenia okupu, ponieważ ofiary takiego ataku:

    • Nie mają gwarancji odzyskania danych.
    • Ryzykują, że sfinansują inne bezprawne działania cyberprzestępców.
    • Mogą tym zachęcić do kolejnych ataków.

    3) Identyfikacja ransomware

    Ofiara ataku ransomware powinna podjąć starania, aby zidentyfikować rodzaj ransomware: W tym celu należy sprawdzić, czy komunikat o okupie zawiera nazwę złośliwego oprogramowania lub inne szczegóły jego dotyczące.

    W tym celu skorzystać można z narzędzi online, w tym takich jak No More Ransom, gdzie można sprawdzić rodzaj ransomware i czy istnieje narzędzie do jego odszyfrowania.

    Zachować należy kopie plików z okupem. W tym celu należy zapisać wiadomość od przestępców i nazwy zaszyfrowanych plików – to może pomóc w późniejszym czasie ekspertom.

    4) Przywrócenie systemu z kopii zapasowej

    Jeśli ofiara ataku posiada niedawne kopie zapasowe, będzie mogła przywróć systemy do stanu sprzed ataku. Przed wykorzystaniem kopii zapasowej należy się upewnić, że kopia jest bezpieczna i należy sprawdzić, czy oprogramowanie ransomware nie zainfekowało kopii zapasowych.

    5) Usuń ransomware z urządzenia, o ile posiadasz umiejętności techniczne 

    • Skanowanie antywirusowe: Użyj narzędzi antywirusowych, aby usunąć złośliwe oprogramowanie.
    • Tryb awaryjny: Jeśli system nie działa poprawnie, uruchom go w trybie awaryjnym i spróbuj usunąć ransomware.
    • Specjalistyczne narzędzia: Niektóre programy oferują dedykowane rozwiązania do usuwania ransomware. 

    6) Zgłoszenie ataku (incydentu)

    W razie ataku typu ransomware należy zawiadomić odpowiednie organy. W Polsce zgłoszenia cyberataku można dokonać w każdym komisariacie policji lub w prokuraturze. Zgłoszenie można dokonać również do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CERT Polska: https://incydent.cert.pl/

    Jeśli atak dotyczy przedsiębiorstwa, natychmiast należy poinformować odpowiedzialne osoby, w tym zespoły IT i kierownictwo. 

    7) Analiza i poprawa bezpieczeństwa

    Po usunięciu ransomware i odzyskaniu systemów, kluczowe jest wdrożenie działań zapobiegawczych:

    • Aktualizacja oprogramowania: Upewnij się, że system operacyjny, aplikacje i oprogramowanie antywirusowe są aktualne.
    • Szkolenia dla użytkowników: Edukuj pracowników lub domowników o zagrożeniach (np. nieotwieranie podejrzanych załączników e-maili).
    • Segmentacja sieci: Ogranicz możliwość rozprzestrzeniania się infekcji między urządzeniami.
    • Regularne kopie zapasowe: Twórz kopie zapasowe i przechowuj je offline lub w oddzielnej, zabezpieczonej lokalizacji.
    • Zastosowanie ochrony przed ransomware: Korzystaj z narzędzi bezpieczeństwa, które oferują ochronę przed atakami tego typu.

    8) Konsultacja z ekspertami

    W przypadku dużych organizacji lub złożonych ataków, można skontaktować się z ekspertami ds. cyberbezpieczeństwa lub firmą specjalizującą się w reakcjach na tego rodzaju incydenty.

    9) Problematyczne sytuacje 

    Czego unikać przy ataku typu ransomware?

    Przy ataku ransomware należy unikać samodzielnego manipulowania zaszyfrowanymi plikami. Takie działania mogą zniszczyć dane lub utrudnić ich odzyskanie.

    Należy unikać również podłączania zainfekowanego urządzenia do kopii zapasowej. Ransomware może rozprzestrzenić się na kopię zapasową (backup).

    Co zrobić, jeśli ofiara ataku nie posiada kopii zapasowej?

    Jeśli kopie zapasowe są niedostępne, a dane są krytyczne, to należy zwrócić się do specjalistów. Eksperci mogą pomóc w analizie i odzyskiwaniu danych.

    Można również sprawdzić narzędzia do odszyfrowania. W niektórych przypadkach istnieją darmowe dekryptory dostępne w Internecie.

    Stan na dzień: 21 stycznia 2025 roku

    Zdjęcie: freepik.com

    Bez kategorii

    WorldCoin i jego cyfrowy dowód tożsamości

    Judyta Kasperkiewicz

    Worldcoin rozpoczął działalność w Polsce. Rozwiązanie stworzone zostało przez szefa OpenAI, Sama Altmana i niemieckiego naukowca Alexa Blanię. Worldcoin oferuje World ID, czyli cyfrowy dowód na to, że użytkownik jest człowiekiem, bez konieczności ujawniania jakichkolwiek danych osobowych, w tym imienia i nazwiska.

    Teraz uzyskanie cyfrowego dowodu możliwe jest również w Polsce. Osoby pełnoletnie mogą odwiedzić jeden z trzech punktów w Warszawie i przejść procedurę uzyskania zweryfikowanego World ID (dowód człowieczeństwa) Fizyczna obecność na miejscu jest niezbędna, gdyż konieczne jest zrobienie zdjęcia tęczówki oka – która jest unikalna dla każdego człowieka – za pomocą kamery w kształcie srebrnej kuli o nazwie Orb. Wkrótce rozwiązanie będzie dostępne w kolejnych miastach w Polsce. 

    Dodatkowo twórcy rozwiązania zachęcają do potwierdzania tożsamości poprzez oferowanie kryptowaluty WLD w liczbie 58 jednostek (równowartość 1,44 $). 

    Rozwiązanie WorldCoin budzi wiele kontrowersji w związku z obawami o ochronę danych osobowych. Z drugiej strony rozwiązanie jest innowacyjne i może przyczynić się do zwiększenia bezpieczeństwa w sieci. 

    Stan na dzień: 20.09.2024 r. 

    Zdjęcie: freepik.com

    Bez kategorii

    Dom Steve’a Jobsa w Los Altos, Kalifornia: Wspomnienie podróży po Dolinie Krzemowej

    Judyta Kasperkiewicz
    Judyta Kasperkiewicz, autorka bloga

    W dniu 2 maja 2024 roku podczas mojej kolejnej podróży po Stanach Zjednoczonych dotarłam do Doliny Krzemowej. W Kalifornii zwiedziłam San Diego, Los Angeles, San Jose, Palo Alto i San Francisco.

    Nie mogłam nie wykorzystać okazji i nie odwiedzić miejsca wyjątkowego dla każdego geeka komputerowego, a mianowicie domu Steve’a Jobsa.

    Jego dom, który obecnie jest własnością prywatną mieści się pod adresem 2066 Crist Drive w Los Altos w Kalifornii. Steve Jobs mieszkał w nim od szkoły średniej. W garażu tego domu wraz ze Steve’em Woźniakiem pracował nad pierwszym komputerem Apple.

    Zdjęcia: zbiory własne

    Bez kategorii

    Digital Nomads in Poland and Their Legal Dilemmas: Taxation (6)

    Judyta Kasperkiewicz

    What are the taxation rules for digital nomads working remotely in Poland for foreign companies? What regulations apply to individuals working remotely in Poland but employed by foreign companies? What international agreements govern taxation issues?

    The rules regarding the taxation of digital nomads working remotely for foreign companies in Poland can be complex and depend on various factors such as the length of stay, type of contract, and the location where income is earned. Below are key issues to consider:

    Tax Residency

    Under Polish tax law, an individual becomes a tax resident in Poland if they:

    • Stay in Poland for at least 183 days in a tax year, or
    • Have their center of vital interests (personal or economic interests) in Poland.

    If a digital nomad meets either of these conditions, they must report and pay taxes on their worldwide income in Poland. For non-residents, taxation applies only to income earned within Poland.

    Income Tax (PIT)

    Digital nomads who are tax residents in Poland are subject to general tax regulations:

    • PIT tax rates: 12% for income up to 120,000 PLN and 32% for income exceeding that amount.
    • Obligation to submit an annual tax return (PIT-36 or PIT-37).

    Double Taxation Avoidance Agreements

    Poland has signed double taxation avoidance agreements with numerous countries. Key elements of these agreements include:

    • Rules determining where income should be taxed.
    • Methods to avoid double taxation, such as the exemption with progression method or the credit method.

    Digital nomads should verify whether Poland has such an agreement with their employer’s country to avoid double taxation.

    Working for a Foreign Company Without Local Business Registration

    If a digital nomad works for a foreign company but does not register a business in Poland:

    • Their income is taxable in Poland if they are tax residents.
    • They may be required to pay income tax advances independently.

    Business Registration

    Some digital nomads choose to register a business in Poland (e.g., as a sole proprietorship) to simplify tax settlements. In such cases, additional rules regarding VAT and contributions to the Social Insurance Institution (ZUS) apply.

    Social Security Contributions (ZUS)

    Tax residents working for foreign companies may be required to pay social security contributions in Poland if they are not covered by the social security system in their employer’s country.

    Summary

    Digital nomads working remotely for foreign companies in Poland should consider the following:

    • Determining their tax residency status.
    • Understanding double taxation avoidance agreements.
    • Complying with income tax and social security contribution requirements.

    In case of doubts, it is advisable to consult a tax advisor to avoid issues with tax authorities.


    Status as of March 13, 2024.

    Bez kategorii, Cyfrowi nomadzi, Cyfrowi Nomadzi | Digital Nomads

    Digital Nomads in Poland and Their Legal Dilemmas. Business Activity of Foreigners in Poland (5)

    Judyta Kasperkiewicz

    What regulations regarding the operation of a business in Poland by foreigners? What formalities must digital nomads fulfill if they want to register a company in Poland and conduct business activities within the territory of Poland?

    In Poland, foreigners can run a business on the same terms as Polish citizens, provided they fulfill certain formalities. The process of registering a company and conducting business activities by digital nomads is relatively simple, but it involves several key requirements and steps. Here are the details regarding the regulations and formalities that need to be fulfilled:

    Types of Business Activities

    Foreigners can run various types of businesses in Poland, such as:

    • Sole Proprietorship – This is the simplest form of business in Poland, especially popular among freelancers, consultants, and digital nomads.
    • Limited Liability Company (Spółka z o.o.) – A more formal legal structure that can be chosen by those who want to establish a more developed business.

    Company Registration in Poland

    To start a business in Poland, foreigners need to go through several formal steps:

    Registration in the Central Register and Information on Business Activity (CEIDG)

    • Digital nomads planning to run a sole proprietorship must register in the CEIDG. This process is fully online and takes just a few minutes.
    • Foreigners must have a PESEL number (personal identification number) or a NIP number (if they do not have PESEL).
    • A residential address in Poland is also required, although this can be obtained with the help of virtual office services.

    Limited Liability Company (Spółka z ograniczoną odpowiedzialnością; sp. z o.o.)

    To establish a limited liability company in Poland, foreigners must:

    • Register the company in the National Court Register (KRS).
    • Have a registered office address in Poland.
    • Appoint a management board for the company, which may consist of foreigners.
    • Submit relevant documents, including the company’s articles of association, notarial deed, etc.

    Obtaining NIP and REGON Numbers

    In order to conduct business activities in Poland, foreigners must obtain:

    • NIP (Tax Identification Number) – essential for tax payments.
    • REGON (National Business Registry Number) – statistical registry for entrepreneurs.

    Registration with ZUS

    Foreigners conducting business activities in Poland must also register with the Social Insurance Institution (ZUS) and pay contributions to social and health insurance. In the case of sole proprietorships, entrepreneurs pay contributions for their own insurance.

    Tax Obligations

    Digital nomads must comply with Polish tax regulations, including:

    • Income tax – Individuals running a business in Poland must pay income tax (PIT) or corporate income tax (CIT) if they run a limited liability company.
    • VAT – If the annual turnover of the business exceeds a certain threshold (currently 200,000 PLN), the entrepreneur must register for VAT.
    • Forms of taxation – In Poland, there are several forms of business taxation, including:
      • General rules tax (PIT).
      • Lump-sum tax on registered income (a simplified form of taxation for small businesses).
      • Flat tax (19% tax rate for companies).

    Work Permit

    Digital nomads who operate a business in Poland do not need to obtain a separate work permit if they have the right to stay in Poland, such as through a visa or residence card. However, individuals who plan to work under an employment contract in Poland must have the appropriate visa or work permit.

    Special Regulations for Digital Nomads

    Although there are no specific programs for digital nomads in Poland, like the “digital nomad visa” in other countries, many people take advantage of existing regulations, such as:

    • The Startup Hub Poland program, which offers support to foreigners looking to start businesses in Poland.
    • Use of the national visa for long-term stay and work in Poland.

    Remote Work and Place of Residence

    Digital nomads who wish to work remotely from Poland do not need to register a company if they are only working for foreign clients (e.g., clients from other countries), but they must comply with Polish tax and insurance regulations.

    Summary

    Foreigners, including digital nomads, can run a business in Poland by registering a company in CEIDG or KRS, fulfilling tax and insurance obligations. This requires several formalities, such as obtaining a NIP number, registering with ZUS, and complying with tax regulations. Poland provides favorable conditions for foreigners to run a business, and digital nomads can benefit from flexible remote work regulations.

    As of: March 11, 2024

    Bez kategorii

    Dyrektywa DAC7 i nowe obowiązki platform cyfrowych 

    Judyta Kasperkiewicz

    W ostatnich miesiącach głośno stało się o dyrektywie Rady (UE) 2021/514 z dnia 22 marca 2021 r. zmieniającej dyrektywę 2011/16/UE w sprawie współpracy administracyjnej w dziedzinie opodatkowania (zwanej DAC7) oraz jej implementowaniu do krajowych przepisów prawa.

    Zgodnie z założeniem Dyrektywa DAC7 jest odpowiedzią na problem braku dostępu do danych dotyczących dochodów uzyskanych przez podatników za pośrednictwem platform cyfrowych. Przede wszystkim Dyrektywa DAC7 nakłada na te platformy obowiązek raportowania, czyli przekazywania do administracji skarbowej danych o czynnościach dotyczących sprzedaży internetowej. 

    Z raportowania będą zwolnieni sprzedawcy, którzy w danym okresie sprawozdawczym zawarli mniej niż 30 transakcji sprzedaży towarów i ich łączne wynagrodzenie nie przekracza kwoty 2000 euro. Ma to wykluczyć wszystkie osoby, które okazjonalnie sprzedają własne rzeczy tj. ubrania, obuwie czy książki. 

    Pojawiały się błędne informacje, aby od 1 września 2023 roku miały zacząć obowiązywać wspominane przepisy. Do tej pory Dyrektywa DAC7 nie została do polskich przepisów prawa implementowana. Obecnie projekt ustawy o zmianie ustawy o wymianie informacji podatkowych z innymi państwami oraz niektórych innych ustaw znajduje się na etapie procedowania przez Komitet do Spraw Europejskich. 

    Stan prawny na dzień: 1 września 2023 r.

    Źródło: https://legislacja.rcl.gov.pl/projekt/12369201

    Zdjęcie: pixabay.com