Bez kategorii – Strona 8. – Cyberlaw by Judyta

Dzieła współtworzone przez człowieka i sztuczną inteligencję (AI) znajdują się w szarej strefie prawa autorskiego, ponieważ obecne regulacje nie dają jednoznacznej odpowiedzi na to, w jakim stopniu wkład człowieka jest wystarczający, by uznać go za autora.

Kiedy człowiek może mieć prawa do dzieła stworzonego z pomocą AI?

Aby człowiek mógł zostać uznany za autora, jego wkład musi być istotny i twórczy. Oznacza to, że człowiek musi podejmować kluczowe decyzje twórcze, np.:

Wybierać parametry generowania dzieła (np. skomplikowane promptowanie).
Modyfikować lub edytować wygenerowane dzieło (np. retusz obrazu AI, zmiany w tekście AI).
Łączyć elementy generowane przez AI w nową, unikalną całość.

Jeśli AI generuje dzieło w pełni automatycznie, bez istotnego wkładu człowieka, wtedy nie podlega ochronie prawnoautorskiej i może trafić do domeny publicznej.

Przepisy i stanowiska w różnych krajach

USA – AI jako narzędzie, nie twórca

U.S. Copyright Office (USCO) uznaje, że AI może być używane jako narzędzie, ale samo nie jest autorem. Jeśli człowiek wykazał „istotny twórczy wkład”, może uzyskać prawa do części dzieła. Przykład: W 2023 r. USCO odrzuciło prawa autorskie do komiksu „Zarya of the Dawn”, ponieważ ilustracje były wygenerowane przez Midjourney, a autor nie miał nad nimi pełnej kontroli.

Unia Europejska – brak jednoznacznych regulacji

Dyrektywa DSM (2019) wymaga „twórczej działalności człowieka”, ale nie określa roli AI. W przyszłości AI Act może częściowo regulować własność treści tworzonych przez AI. W niektórych krajach UE (np. Francja, Niemcy) sąd może ocenić, czy wkład człowieka był wystarczający, aby przyznać mu prawa autorskie.

Wielka Brytania – Machine-Generated Works (MGW)

Jeśli AI zostało „zorganizowane” przez człowieka, prawa autorskie przysługują osobie/firmie, która to zrobiła, na 50 lat (zamiast standardowych 70 lat po śmierci autora). Kluczowe jest, kto kontrolował proces twórczy.

Polska – AI jako narzędzie wspomagające

Prawo autorskie wymaga działalności twórczej człowieka. Jeśli AI było tylko narzędziem (np. człowiek wygenerował szkic i ręcznie poprawił), autor ma prawa do utworu. Brak ochrony dla dzieł w pełni wygenerowanych przez AI.

Przykłady zastosowań i interpretacji

Człowiek jako twórca (możliwe prawa autorskie)

Artysta używa AI do stworzenia szkicu, a następnie ręcznie go edytuje i zmienia. Pisarz generuje fragmenty tekstu przez AI i przepisuje je własnymi słowami. Muzyk wykorzystuje AI do stworzenia podkładu, ale dodaje własne melodie i aranżacje.

AI jako główny twórca (brak ochrony prawnej)

Obraz w pełni wygenerowany przez Midjourney, DALL·E lub Stable Diffusion, bez edycji. Książka napisana w całości przez ChatGPT, bez twórczej ingerencji człowieka. Piosenka skomponowana automatycznie przez AI, bez zmian ze strony muzyka.

Możliwe przyszłe regulacje

Co może się zmienić?

Nowe formy ochrony – np. specjalne licencje na AI-generated content.
Ocena „twórczego wkładu człowieka” – sądy i urzędy mogą precyzyjnie analizować wkład człowieka w proces twórczy.
AI Act w UE – może wprowadzić nowe zasady dotyczące własności utworów tworzonych z AI.

Stan na dzień: 27 marca 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Co powinien wiedzieć przyszły właściciel serwerowni o obowiązujących przepisach prawa?

18 marca 202518 marca 2025 Judyta Kasperkiewicz

Prowadzenie serwerowni wiąże się z wieloma regulacjami prawnymi związanymi z ochroną danych, odpowiedzialnością za usługi, umowami z klientami, bezpieczeństwem systemów, a także obowiązkiem przestrzegania przepisów dotyczących ochrony środowiska i energetyki. Oto kluczowe aspekty prawne, które przyszły właściciel serwerowni powinien wziąć pod uwagę:

Ochrona danych osobowych (RODO)

Rozporządzenie o Ochronie Danych Osobowych (RODO) (GDPR) reguluje sposób przechowywania, przetwarzania i udostępniania danych osobowych. Jeśli serwerownia przechowuje dane klientów, w tym dane osobowe, musisz przestrzegać poniższych zasad:

Zgoda i cel przetwarzania – musisz posiadać zgodę klientów na przetwarzanie ich danych oraz określić cel przetwarzania.
Bezpieczeństwo danych – zapewnienie odpowiednich środków technicznych i organizacyjnych (np. szyfrowanie danych, kontrola dostępu) w celu ochrony danych przed naruszeniem.
Przejrzystość – klient musi być informowany o tym, jak jego dane są przetwarzane.
Obowiązki w przypadku naruszenia – w przypadku wycieku danych musisz zgłosić to odpowiednim organom w ciągu 72 godzin.

Prawo cywilne i umowy

Umowy z klientami – Właściciel serwerowni powinien posiadać precyzyjne umowy regulujące warunki korzystania z usług (np. hostingowych, cloud computing). Umowy te powinny określać:

Zakres usług (np. dostępność, zasoby, czas reakcji na awarie).
Odpowiedzialność (np. za straty spowodowane awarią systemu, gwarancje dostępności usług).
Zasady rozwiązania umowy (np. wypowiedzenie umowy, procedury przeniesienia danych).

Jeśli serwerownia korzysta z oprogramowania osób trzecich (np. systemów operacyjnych, baz danych), należy zadbać o zgodność z licencjami (open-source, komercyjne licencje) i warunkami korzystania z oprogramowania.

Prawo własności intelektualnej

W przypadku przechowywania treści objętych prawami autorskimi (np. filmy, oprogramowanie, dane użytkowników), należy przestrzegać przepisów prawa autorskiego, w tym zapewnić odpowiednią licencję na przechowywanie i udostępnianie takich materiałów.

Ochrona danych w chmurze (Cloud Computing)

Model chmurowy – jeśli serwerownia oferuje usługi chmurowe, należy zadbać o:

Przejrzystość usług – klient musi wiedzieć, gdzie i jak przechowywane są jego dane (np. w przypadku międzynarodowego przechowywania danych, jakie przepisy obowiązują w danym kraju).
Umowy SLA (Service Level Agreements) – określają poziom usług, czas reakcji, dostępność systemów, odpowiedzialność za awarie.
Bezpieczeństwo danych – zapewnienie ochrony danych klientów, w tym zgodności z RODO i innymi przepisami dotyczącymi ochrony danych w różnych krajach.

Przepisy dotyczące energii i środowiska

Zużycie energii i emisja CO2

Serwerownie, szczególnie duże, zużywają dużą ilość energii, co wiąże się z obowiązkami dotyczącymi ochrony środowiska. Warto zapoznać się z przepisami dotyczącymi:

Efektywności energetycznej – serwerownie muszą działać w sposób zrównoważony pod kątem zużycia energii.
Zielona energia – niektóre przepisy mogą nakładać obowiązek korzystania z odnawialnych źródeł energii (np. w UE).
Gospodarka odpadami – odpowiednia utylizacja sprzętu elektronicznego (np. serwerów, dysków twardych).

Przepisy dotyczące cyberbezpieczeństwa

Ochrona przed atakami – właściciel serwerowni powinien wprowadzić odpowiednie środki ochrony przed atakami (np. DDoS), w tym zapory sieciowe, systemy wykrywania intruzów, monitorowanie dostępu.
Zarządzanie incydentami – w razie naruszenia bezpieczeństwa danych musisz mieć procedury reagowania, które obejmują:

Zgłaszanie naruszeń (w przypadku RODO).
Informowanie klientów o naruszeniu bezpieczeństwa.
Przeprowadzanie audytów i testów bezpieczeństwa.

Prawo telekomunikacyjne i usługi internetowe

Zgodność z ustawą o świadczeniu usług drogą elektroniczną, serwerownia, która świadczy usługi internetowe (np. hosting, przechowywanie danych, chmurę) musi przestrzegać przepisów regulujących świadczenie usług drogą elektroniczną, w tym:

Zasady przechowywania danych (np. zasady przechowywania danych osobowych, cookies).
Prawo do bycia zapomnianym – w przypadku przechowywania danych osobowych musisz umożliwić ich usunięcie na żądanie użytkownika.

Monitoring i kontrola

Monitoring fizyczny serwerowni oraz monitorowanie aktywności użytkowników (np. logowanie dostępu) wiąże się z jednoczesnym obowiązkami dotyczącymi ochrony prywatności.
Należy zapewnić, aby tylko uprawnione osoby posiadały dostęp do wrażliwych danych.

Podsumowanie

Przyszły właściciel serwerowni powinien znać i przestrzegać przepisów dotyczących:

Ochrony danych osobowych (RODO).
Zawierania umów z klientami (zawartość, odpowiedzialność, SLA).
Ochrony własności intelektualnej.
Przepisów związanych z usługami chmurowymi.
Przepisów związanych z bezpieczeństwem i ochroną środowiska.
Cyberbezpieczeństwa i ochrony przed atakami.
Przepisów telekomunikacyjnych i świadczenia usług drogą elektroniczną.

Stan prawny na dzień: 18 marca 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Cyberprzemoc z perspektywy prawnej – debata z młodzieżą, 14.03.2025 r.

14 marca 202514 marca 2025 Judyta Kasperkiewicz

Cyberprzemoc wśród młodzieży – nie bądź obojętny!

Jutro odbędzie się IX Dzień Edukacji Prawnej, a już dzisiaj wzięłam udział w debacie z #PolskaPolicja na temat cyberprzemocy wśród młodzieży. Spotkania w szkołach są zawsze bardzo inspirujące. Dziękuję za zaproszenie.

Hejt, wyśmiewanie, groźby, udostępnianie kompromitujących zdjęć, fałszywe konta, stalking… To codzienność wielu młodych ludzi w sieci. Cyberprzemoc rani tak samo jak ta w realnym świecie – a czasem nawet bardziej.

Rozmawiajmy z młodzieżą. Reagujmy. Wspierajmy.

Jeśli widzisz przemoc w sieci – zgłoś to.

Jeśli doświadczasz hejtu – nie bój się prosić o pomoc.

Razem możemy stworzyć bezpieczniejszą przestrzeń online!

#EdukacjaPrawna #StopCyberprzemocy #BezpiecznyInternet #NieHejtuje

Bez kategorii

Prawo w centrach danych – co powinien wiedzieć właściciel?

13 marca 202513 marca 2025 Judyta Kasperkiewicz

Właściciel centrum danych (data center) powinien znać kluczowe regulacje prawne, aby uniknąć kar finansowych, odpowiedzialności prawnej i problemów z klientami.

Ochrona Danych i Prywatność

Centra danych przechowują ogromne ilości informacji, od danych osobowych po poufne informacje firmowe. Muszą przestrzegać przepisów dotyczących ochrony danych.

RODO (GDPR) – jeśli centrum działa w UE lub obsługuje klientów z UE

Obowiązek ochrony danych osobowych.
Przechowywanie danych tylko przez określony czas.
Możliwość usunięcia danych na żądanie użytkownika („prawo do bycia zapomnianym”).
Zgłoszenie naruszenia danych do organów nadzorczych w ciągu 72 godzin.
Wysokie kary: do 20 mln EUR lub 4% globalnego obrotu firmy.

Ustawa o ochronie danych osobowych (Polska)

Zgodna z RODO, dodatkowo określa zasady dla polskich firm.

HIPAA (USA) – jeśli centrum danych obsługuje dane medyczne

Surowe zasady przechowywania i przetwarzania danych pacjentów.

PCI-DSS – jeśli przechowywane są dane kart płatniczych

Obowiązek szyfrowania danych finansowych.

Odpowiedzialność za Przechowywane Treści

Centrum danych może być pośrednikiem w przechowywaniu treści klientów, ale czy ponosi za nie odpowiedzialność?

Safe Harbor / Odpowiedzialność pośrednika

W UE i USA istnieją przepisy chroniące dostawców usług hostingowych, jeśli nie wiedzą o nielegalnych treściach przechowywanych przez klientów. Jeśli centrum danych zostanie poinformowane o naruszeniu prawa (np. piractwo, pornografia nielegalna, dane wykradzione), MUSI zareagować – np. usunąć treści. W UE obowiązuje Dyrektywa o Usługach Cyfrowych (DSA), która reguluje odpowiedzialność platform internetowych i centrów danych.

Jak unikać problemów?

Należy tworzyć jasne regulaminy dla klientów, procedury zgłaszania nielegalnych treści i monitorować wykorzystywania zasobów (np. duże transfery mogą wskazywać na hosting pirackich treści).

Wymogi dotyczące bezpieczeństwa (Cyberbezpieczeństwo)

Centra danych mogą być celem ataków hakerskich – wyciek danych może prowadzić do pozwów i kar finansowych.

NIS2 (UE) – Dyrektywa o bezpieczeństwie sieci i informacji

Centra danych mogą zostać uznane za kluczową infrastrukturę IT i muszą wdrożyć zaawansowane środki ochrony. Obowiązek raportowania cyberataków.

Ustawa o krajowym systemie cyberbezpieczeństwa (Polska)

Dotyczy firm strategicznych dla bezpieczeństwa państwa – niektóre centra danych mogą się do nich zaliczać.

Zabezpieczenia, które warto wdrożyć:

Szyfrowanie przechowywanych danych.
Systemy zapobiegania atakom (firewalle, IDS/IPS).
Regularne testy penetracyjne.

Regulacje Energetyczne i Środowiskowe

Ograniczenia emisji CO₂ i zużycia energii

UE wprowadza przepisy wymuszające redukcję śladu węglowego. Centra danych zużywają ogromne ilości energii – mogą być objęte specjalnymi regulacjami ekologicznymi.

Zielona energia i certyfikaty

W niektórych krajach korzystanie z energii odnawialnej umożliwia skorzystanie z ulg podatkowych.

Umowy i Regulaminy dla Klientów

Właściciel centrum danych powinien dobrze skonstruować umowy z klientami, aby uniknąć niejasności i sporów prawnych.

SLA (Service Level Agreement – Umowa o Poziomie Usług)

Określa gwarantowany czas działania (np. 99,99% uptime). Ustala kary umowne za przerwy w działaniu usług.

Regulamin korzystania z usług

Regulamin korzystania z usług powinien obejmować – zasady przechowywania danych, obowiązki klientów dotyczące bezpieczeństwa, procedury zgłaszania problemów i naruszeń prawa.

Możliwe Konsekwencje Prawne dla Właściciela

Grzywny i kary za naruszenie RODO lub przepisów cyberbezpieczeństwa.
Pozwy od klientów za awarie lub utratę danych.
Konsekwencje prawne za przechowywanie nielegalnych treści (np. naruszenia praw autorskich, dane nielegalne).
Problemy z regulatorami rynku (np. UODO, UKE, Komisja Europejska).

Stan prawny na dzień: 13 marca 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Serwerownia vs. Centrum Danych – czym się różnią?

11 marca 202521 lutego 2025 Judyta Kasperkiewicz

Chociaż terminy serwerownia i centrum danych (data center) są czasem używane zamiennie, mają różne znaczenia i skalę działania.

Serwerownia

Serwerownia to pomieszczenie lub niewielka infrastruktura, w której znajdują się serwery i urządzenia sieciowe. Jest ona zazwyczaj częścią większej organizacji (np. firmy, uczelni, instytucji).

Cechy serwerowni:

Lokalna skala – obsługuje jedną organizację, np. firmę czy instytucję.
Mniejsza infrastruktura – zwykle od kilku do kilkudziesięciu serwerów.
Podstawowe zabezpieczenia – klimatyzacja, zasilanie awaryjne (UPS), monitoring.
Brak usług komercyjnych – serwerownia nie oferuje publicznych usług hostingowych.

Przykłady serwerowni:

Serwerownia w firmie obsługująca systemy księgowe i e-mail.
Serwerownia na uczelni przechowująca dane studentów.

Centrum Danych (Data Center)

Centrum danych to duża, profesjonalna infrastruktura, która może obsługiwać wiele organizacji i klientów na całym świecie.

Cechy centrum danych:

Duża skala – może zajmować całe budynki i przechowywać setki tysięcy serwerów.
Zaawansowana infrastruktura – redundantne systemy chłodzenia, zasilania, ochrony przeciwpożarowej.
Dostępność 24/7 – zapewnia ciągłość działania dla wielu klientów.
Usługi w chmurze – oferuje hosting, przechowywanie danych, obliczenia w chmurze.

Przykłady centrów danych:

Google Data Centers – obsługuje Google Search, YouTube, Gmail.
Amazon AWS Data Centers – zapewnia moc obliczeniową dla milionów klientów.
Equinix Data Centers – globalny dostawca kolokacji i chmury.

Podsumowanie

Serwerownia to lokalne rozwiązanie dla firm i instytucji, a centrum danych to profesjonalna infrastruktura obsługująca miliony użytkowników i globalne usługi.

Stan na dzień: 11 marca 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Współpraca organów ścigania w zakresie cyberprzestępczości

6 lutego 2025 Judyta Kasperkiewicz

Cechą charakterystyczną cyberprzestępczości jest to, że sprawcy takich przestępstw często działają w różnych krajach (jurysdykcjach) i wykorzystują infrastrukturę rozproszoną po całym świecie. Na współpracę międzynarodową składa się szereg mechanizmów, stosowana jest przez liczne organizacje i wykorzystuje się różnorakie narzędzie po to, aby skutecznie przeciwdziałać cyberprzestępczości.

Organizacje i inicjatywy międzynarodowe

Interpol

Interpol koordynuje międzynarodowe działania przeciwko cyberprzestępstwom, wspiera wymianę informacji między krajami i oferuje wsparcie techniczne. W strukturze Interpol-u znajduje się Cybercrime Operational Desk, który specjalizuje się w wykrywaniu i zwalczaniu cyberprzestępczości. Interpol prowadzi specjalistyczne projekty np. Cyber Fusion Centre, które łączą dane z różnych krajów w celu śledzenia globalnych kampanii cyberprzestępczych.

Europol

Europol wspiera kraje Unii Europejskiej w zwalczaniu cyberprzestępczości poprzez wymianę danych, koordynację działań i analizy techniczne. W strukturze Europol-u znajduje się EC3 (European Cybercrime Center) Centrum ds. Cyberprzestępczości, które zajmuje się atakami na infrastrukturę krytyczną, handel narkotykami, bronią i danymi w darknecie, przestępstwami związanymi z ransomware i oszustwami internetowymi.

GLACY+ (Global Action on Cybercrime)

Inicjatywa podjęta przez Unię Europejską i realizowana przez Radę Europy, która wspomaga kraje rozwijające się wprowadzać skuteczne ramy prawne i techniczne do walki z cyberprzestępczością.

CERT (Computer Emergency Response Teams)

Każdy kraj posiada swój zespół CERT lub CSIRT, który współpracuje z innymi państwami w zakresie wymiany informacji o zagrożeniach, analizie technicznej i zapobieganiu atakom.

Umowy międzynarodowe i regulacje prawne

Konwencja budapesztańska o cyberprzestępczości z 2001 roku

Konwencja stanowi najważniejszy międzynarodowy akt dotyczący zwalczania cyberprzestępczości. W jej treści ustalono definicje cyberprzestępstw np. hackingu, phishingu), ustalono procedury współpracy, tj. szybka wymiana informacji, zabezpieczanie dowodów elektronicznych i wzajemna pomoc prawna. Sygnatariuszami tej Konwencji jest ponad 60 państw z całego świata, w tym np. USA i Kanada.

Regulacje Unii Europejskiej

Wśród przepisów Unii Europejskiej, które dotyczą cyberprzestępczości i cyberbezpieczeństwa wymienić należy Dyrektywę NIS (Network and Information Security Directive, która nakłada na kraje UE obowiązek współpracy w zakresie cyberbezpieczeństwa oraz wymiany informacji o zagrożeniach. Innym aktem, który odnosi się do przypadków, gdy dochodzi do wycieku danych i obowiązku współpracy jest Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO).

Wzajemna pomoc prawna (MLAT)

Wiele krajów korzysta z umów o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaties), które umożliwiają szybkie przekazywanie informacji o przestępstwach, dostęp do dowodów znajdujących się na serwerach w innych krajach.

Sposoby współpracy organów ścigania

Wymiana informacji w czasie rzeczywistym

Wiele krajów korzysta z systemów takich jak 24/7 Network, które umożliwiają szybkie przekazywanie informacji o cyberatakach. Narzędzia, takie jak SIENA (Europol), pozwalają na bezpieczne udostępnianie danych między krajami UE.

Zabezpieczanie dowodów elektronicznych

Organy ścigania często muszą współpracować z dostawcami usług IT (np. Google, Amazon, Facebook) w celu uzyskania danych znajdujących się na zagranicznych serwerach.

W przypadku firm zlokalizowanych w USA stosuje się np. przepisy CLOUD Act (Clarifying Lawful Overseas Use of Data).

Operacje międzynarodowe

Przykłady udanych działań międzynarodowych:

Emotet: Wspólne działanie Europolu, Interpolu i USA doprowadziło do zneutralizowania jednej z największych sieci botnetów na świecie.
Darknet Marketplaces: Wielonarodowe operacje (np. zamknięcie „Silk Road” i „Hydra Market”) dzięki współpracy wielu krajów.

Wyzwania w międzynarodowej współpracy

Różnice w przepisach prawnych: Każdy kraj ma swoje własne regulacje dotyczące cyberprzestępczości i prywatności, co utrudnia szybkie działania. Niektóre państwa nie są stroną Konwencji Budapeszteńskiej, co ogranicza ich zaangażowanie.
Jurysdykcja nad danymi: Dane przechowywane w chmurze mogą znajdować się na serwerach w wielu różnych krajach, co komplikuje ustalanie, które prawo ma zastosowanie.
Opóźnienia proceduralne: Tradycyjne mechanizmy pomocy prawnej (MLAT) są czasochłonne i nie zawsze dostosowane do szybkiego tempa cyberprzestępczości.

Rola przedsiębiorców w międzynarodowej współpracy

Przedsiębiorcy, szczególnie w branży IT, często współpracują z organami ścigania, udostępniając dane i wspierając analizy techniczne. Firmy takie jak Google, Microsoft czy Amazon mają dedykowane zespoły zajmujące się współpracą z organami ścigania na całym świecie.

Stan prawny na dzień: 6 lutego 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Jak zabezpieczyć interesy w umowie z dostawcą usług IT np. usług chmurowych?

4 lutego 2025 Judyta Kasperkiewicz

Zabezpieczenie interesów w umowie z dostawcą usług IT, w tym usług chmurowych, wymaga szczególnej uwagi co do zapisów dotyczących odpowiedzialności, bezpieczeństwa danych, dostępności usług i zgodności z prawem.

Oto kluczowe elementy, na które warto zwrócić uwagę przed zawarciem umowy:

Zakres usług

Przede wszystkim należy precyzyjnie określić przedmiot umowy, w tym zakres usług. Warto określić w umowie minimalny poziom jakości usług, np. dostępność systemu (np. 99%) oraz czas reakcji na awarie.

Bezpieczeństwo danych

Biorąc pod uwagę standardy bezpieczeństwa można wymagać, aby dostawca stosował uznane standardy bezpieczeństwa, np. ISO 27001 lub NIST. Warto zapewnić sobie szyfrowanie danych i częstotliwość wykonywania kopii zapasowych danych oraz to, w jakim czasie po awarii będą one przywracane.

Ochrona danych osobowych

Jeśli dostawca przetwarza dane osobowe w Twoim imieniu, konieczna jest umowa o powierzenie danych osobowych zgodna z RODO. Umowa powinna obejmować takie zagadnienia jak – cel i zakres przetwarzania danych, obowiązki dostawcy i możliwość przeprowadzania audytów zgodności.

Należy ustalić, gdzie fizycznie znajdują się serwery, ponieważ dane mogą podlegać różnym przepisom prawa w zależności od kraju ich przechowywania.

Odpowiedzialność i odszkodowania

Należy zwracać uwagę na limity odpowiedzialności, które podlegają negocjacjom, gdyż klauzule umowne mogą znacznie ograniczać odpowiedzialność dostawcy.

W razie pojawienia się szkód, warto przewidzieć odpowiedzialność dostawcy za szkody spowodowane utratą danych, przestojów systemu lub naruszenia bezpieczeństwa.

Dostępność i awarie

W umowie można wynegocjować maksymalny czas na przywrócenie działania systemu po awarii (Recovery Time Objective, RTO) oraz obowiązek dostawcy obejmujący przedstawianie raportów o stanie usług i informowanie o problemach na bieżąco.

Kontrola i audyty

W umowie można ustalić możliwość przeprowadzania audytów bezpieczeństwa oraz częstotliwość raportowania przez dostawcę zgodności z umową i standardami bezpieczeństwa.

Prywatność i przechowywanie danych

W umowie powinno się znaleźć uzgodnienie dotyczące dostępu do danych w każdym czasie, sposobu postępowania z danymi po zakończeniu współpracy i zasad przenoszenia danych do innego dostawcy.

Rozwiązania umowy i migracja danych

Ważnym elementem umowy jest ustalenie dotyczące sytuacji, kiedy każda ze stron może rozwiązać umowę. Warto wymagać, aby dostawca wspierał proces migracji danych w przypadku zakończenia współpracy i określić należy, jak długo będą świadczone usługi po rozwiązaniu umowy, by umożliwić płynne przejście do nowego dostawcy.

Postanowienia końcowe w umowie

W postanowieniach końcowych umowy zwykle określone jest prawo właściwe, które będzie regulować umowę oraz sądy właściwe do rozstrzygania sporów, co jest szczególnie istotne w przypadku dostawców zagranicznych.

Warto zadbać o to, aby dostawca posiadał odpowiednie ubezpieczenie od odpowiedzialności cywilnej i aby zobowiązał się do zachowania w poufności danych i informacji biznesowych (tajemnica przedsiębiorstwa).

W razie wątpliwości warto rozważyć przed podpisaniem umowy konsultację jej treści z prawnikiem.

Stan na dzień: 4 luty 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Jak postępować w przypadku, gdy moje dane lub systemy objęte są postępowaniem karnym (śledztwem lub dochodzeniem)?

30 stycznia 20257 lutego 2025 Judyta Kasperkiewicz

Jeśli Twoje dane, systemy informatyczne lub urządzenia zostały objęte postępowaniem karnym, kluczowe jest przestrzeganie prawa oraz ochrona interesów Twojej firmy. Poniżej znajdziesz zagadnienia, o których warto pamiętać w takiej sytuacji:

Otrzymanie informacji od organów ścigania

Zapoznanie się z postanowieniem / wezwaniem

Jeśli policja lub prokuratura kontaktuje się w sprawie Twoich danych lub systemów, dokładnie przeanalizuj dokumenty, które otrzymasz, np.:

Nakaz przeszukania lub postanowienie o zabezpieczenia dowodów.
Postanowienie o żądaniu wydania rzeczy lub żądanie przekazania informacji lub danych.

Sprawdź zakres żądania

Upewnij się, że wezwanie dotyczy danych/systemów bezpośrednio powiązanych ze sprawą. Organy ścigania nie mogą wymagać dostępu do danych wykraczających poza ich uprawnienia.

Pamiętaj, że zgodnie z art. 15 Kodeksu postępowania karnego, osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

Zabezpieczenie danych przed zmianami

Nie modyfikuj danych

Jeśli Twoje dane lub systemy są objęte śledztwem lub dochodzeniem, masz obowiązek zabezpieczyć je w stanie nienaruszonym. Każda zmiana (nawet przypadkowa) może być interpretowana jako próba zatarcia śladów lub utrudniania śledztwa.

Utwórz kopie zapasowe

Przed przekazaniem danych organom ścigania wykonaj kopię zapasową dla swojej firmy, jeśli jest to możliwe (chyba że zakazano tego wprost w postanowieniu).

Współpraca z organami ścigania

Przekazanie wymaganych informacji

Na żądanie policji lub prokuratury musisz przekazać dane, do których dostęp określono w postanowieniu o żądaniu wydania rzeczy, w tym:

Logi systemowe.
Konkretne pliki lub bazy danych.
Inne informacje wskazane w nakazie.

Zapewnienie dostępu do systemów

Jeśli organy ścigania chcą przeprowadzić oględziny lub analizę na miejscu (w Twojej siedzibie), musisz umożliwić im dostęp do infrastruktury IT zgodnie z zakresem ich uprawnień.

Zachowanie poufności

Nieujawnianie szczegółów

Jesteś zobowiązany do zachowania poufności działań organów ścigania, chyba że masz inne wytyczne (np. powiadomienie klientów o wycieku danych w przypadku RODO).

Pamiętaj, że zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Ograniczenie dostępu

Upewnij się, że tylko osoby bezpośrednio zaangażowane w sprawę mają dostęp do informacji o śledztwie.

Weryfikacja zgodności z prawem

Skonsultuj się z prawnikiem

Warto zweryfikować, czy działania organów ścigania są zgodne z prawem. Na przykład:

Czy nakaz przeszukania lub zabezpieczenia danych spełnia wymogi formalne?
Czy organy nie wymagają danych wykraczających poza ich uprawnienia?

Odwołanie od nadmiernych żądań

Jeśli uważasz, że żądanie jest zbyt szerokie lub narusza Twoje prawa, prawnik może złożyć zażalenie na takie postanowienie.

Minimalizacja wpływu na działalność firmy

Zapewnienie ciągłości działania

Jeśli zabezpieczenie danych lub systemów może wpłynąć na Twoją działalność operacyjną (np. wyłączenie serwerów, utrata dostępu do danych), poinformuj organy ścigania o konsekwencjach i spróbuj uzgodnić alternatywne rozwiązania, takie jak:

Udostępnienie kopii danych zamiast oryginałów.
Przeprowadzenie analiz poza godzinami pracy firmy.

Planowanie operacji awaryjnych

Warto przygotować alternatywny plan działania, jeśli kluczowe systemy lub urządzenia zostaną przez organy ścigania zabezpieczone.

Audyt wewnętrzny po zakończeniu działań

Sprawdzenie systemów po analizie

Po zakończeniu działań organów ścigania upewnij się, że wszystkie systemy zostały przywrócone do pierwotnego stanu, a dane nie zostały uszkodzone lub zmodyfikowane.

Przywrócenie bezpieczeństwa

Przeprowadź kontrolę bezpieczeństwa, aby upewnić się, że działania śledczych nie naraziły Twoich systemów na dodatkowe ryzyko.

Ochrona danych osobowych (RODO)

Jeśli dane osobowe zostały przekazane w toku śledztwa, skonsultuj się z prawnikiem lub Inspektorem Ochrony Danych, aby upewnić się, czy konieczne jest powiadomienie osób, których dane dotyczą.

Zapobieganie przyszłym incydentom

Wdrożenie procedur zgodności

Zadbaj o poprawienie procedur wewnętrznych, aby uniknąć podobnych sytuacji w przyszłości. Możesz rozważyć:

Lepsze zabezpieczenie danych i systemów.
Aktualizację polityki przechowywania logów i informacji wrażliwych.
Szkolenia dla pracowników z zakresu ochrony danych i procedur współpracy z organami ścigania.

Kluczowa wskazówka

Zawsze działaj zgodnie z prawem, ale nie bój się chronić interesów swojej firmy.

Konsultacja z prawnikiem lub ekspertem ds. cyberbezpieczeństwa jest kluczowa, aby upewnić się, że Twoje działania są zgodne z przepisami i nie narażają firmy na dodatkowe ryzyko.

Stan prawny na dzień: 30 stycznia 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Jakie są moje obowiązki jako przedsiębiorcy wobec policji lub prokuratury w przypadku prowadzenia postępowania dotyczącego cyberprzestępstw?

28 stycznia 20257 lutego 2025 Judyta Kasperkiewicz

W przypadku postępowań dotyczących cyberprzestępstw Twoje obowiązki wobec policji lub prokuratury jako przedsiębiorcy mogą obejmować różne działania, w zależności od roli, jaką w sprawie zajmujesz (np. pokrzywdzony, świadek). Przedstawiam poniżej kluczowe obowiązki przedsiębiorców związane z prowadzonymi przez organy ścigania postępowaniami:

Obowiązek zgłoszenia przestępstwa (jeśli jesteś pokrzywdzonym)

Zgłoszenie incydentu

Jako przedsiębiorca, szczególnie jeśli cyberatak dotknął Twoje systemy IT, masz prawo, a często również obowiązek zgłoszenia przestępstwa do organów ścigania. Z art. 304 Kodeksu postępowania karnego wynika, że każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję.

Szczegóły zgłoszenia

W zgłoszeniu warto uwzględnić:

Datę i godzinę incydentu.
Opis okoliczności zdarzenia (np. rodzaj ataku: ransomware, phishing, DDoS).Zakres szkód (np. utrata danych, wyciek informacji).
Dane kontaktowe osób odpowiedzialnych za systemy IT w Twojej firmie.

Udostępnienie dowodów

Zabezpieczenie danych

Masz obowiązek zabezpieczyć dowody związane z incydentem, np.:

Logi z serwerów i systemów IT.
Kopie zapasowe systemów i baz danych.
Maile, pliki lub inne materiały wskazujące na przebieg ataku.

Przekazanie dowodów

Na wezwanie policji lub prokuratury musisz przekazać zgromadzone dowody. Ważne jest, aby nie modyfikować ich, aby nie mogły zostać podważone w toku postępowania.

Obowiązek współpracy z organami ścigania

Dostarczanie informacji

Organy ścigania mogą wezwać Cię do udzielenia dodatkowych informacji związanych z prowadzonym postępowaniem, np.:

Informacji o używanych systemach i ich zabezpieczeniac
Listy użytkowników, którzy mogli mieć dostęp do zaatakowanych systemów.
Szczegółów na temat zabezpieczeń i procedur bezpieczeństwa.

Obecność na przesłuchaniu

Na przesłuchanie możesz zostać wezwany jako świadek lub pokrzywdzony w celu złożenia zeznań, ewentualnie jako pokrzywdzony wniosku o ściganie.

Ochrona danych osobowych (RODO)

Powiadomienie o wycieku danych

Jeśli incydent związany jest z naruszeniem ochrony danych osobowych (np. wyciekiem danych klientów), masz obowiązek:

Zgłosić naruszenie do organu nadzorczego (w Polsce: Prezes UODO) nie później niż w ciągu 72 godzin od wykrycia incydentu (art. 33 ust. 1 Rozporządzenia RODO).
Powiadomić osoby, których dane zostały naruszone, o wycieku (jeśli incydent niesie wysokie ryzyko dla ich praw i wolności).

Przestrzeganie przepisów prawa telekomunikacyjnego (jeśli jesteś dostawcą usług)

Jeśli jesteś dostawcą usług internetowych lub telekomunikacyjnych, Twoje obowiązki mogą obejmować:

Udostępnianie logów z działalności użytkowników (zgodnie z przepisami).
Współpracę w ustalania sprawców cyberprzestępstwa.
Informowanie klientów o naruszeniach, jeśli incydent mógł wpłynąć na ich dane.

Wdrożenie działań naprawczych

Usunięcie skutków ataku

Po zabezpieczeniu dowodów powinieneś wdrożyć działania zmierzające do przywrócenia funkcjonowania systemów IT, np. przywrócenie danych z kopii zapasowej.

Audyt powłamaniowy

Warto przeprowadzić szczegółowy audyt, aby wykryć luki bezpieczeństwa, które umożliwiły atak i zabezpieczyć się w przyszłości przed podobnymi zagrożeniami.

Poufność i ochrona śledztwa

Nieujawnianie informacji

Jeśli bierzesz udział w postępowaniu jako świadek lub poszkodowany, masz obowiązek nieujawniania szczegółów śledztwa osobom trzecim. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną lub cywilną.

Zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym podlega karze.

Zapewnienie dostępu do systemów (jeśli wymagane)

Jeśli organy ścigania wystąpią z odpowiednim postanowieniem o żądaniu wydania rzeczy, możesz być zobowiązany do:

Umożliwienia dostępu do Twoich systemów informatycznych w celu przeprowadzenia oględzin.
Przekazania nośników danych, które mogą być dowodem w sprawie.

Zgłoszenie CERT lub innego odpowiedniego organu

CERT Polska

W przypadku poważnych incydentów warto (lub czasem jest to obowiązkowe) zgłosić sprawę do CERT Polska, który wspiera przedsiębiorców w zakresie cyberbezpieczeństwa i reagowania na incydenty.

Zapobieganie podobnym incydentom w przyszłości

Wdrożenie procedur bezpieczeństwa

Po incydencie należy zaktualizować polityki bezpieczeństwa, w tym przede wszystkim zwiększyć poziom zabezpieczeń systemów IT, przeprowadzić szkolenia dla pracowników w zakresie cyberbezpieczeństwa, wdrożyć lepsze mechanizmy monitorowania i wykrywania zagrożeń.

Podsumowanie

Wszystkie te działania wymagają zarówno współpracy z organami ścigania, jak i wdrożenia odpowiednich procedur wewnętrznych. W przypadku wątpliwości zawsze warto skonsultować się z prawnikiem lub specjalistą ds. cyberbezpieczeństwa, aby mieć pewność, że działania podejmowane są zgodnie z obowiązującymi przepisami.

Stan prawny na dzień: 28 stycznia 2025 roku

Zdjęcie: freepik.com

Bez kategorii

Cyberubezpieczenie i ochrona przed cyberatakami

23 stycznia 20257 lutego 2025 Judyta Kasperkiewicz

Cyberubezpieczenie to specjalistyczny produkt ubezpieczeniowy będący rodzajem polisy ubezpieczeniowej, który chroni przedsiębiorstwa przed finansowymi skutkami cyberzagrożeń, takich jak ataki hakerskie, naruszenia danych, przerwy w działalności spowodowane cyberprzestępczością czy brak ciągłości działania systemów informatycznych.

Czym jest cyberubezpieczenie?

Cyberubezpieczenie zapewnia ochronę przed stratami finansowymi wynikającymi z incydentów cybernetycznych. Polisy te mogą pokrywać koszty związane z:

Odzyskaniem utraconych danych.
Przerwami w działalności spowodowanymi atakiem.
Roszczeniami klientów lub karami regulacyjnymi (np. za naruszenie przepisów o ochronie danych, takich jak RODO).
Kosztami wynajęcia ekspertów ds. cyberbezpieczeństwa lub prawniczych po ataku.
Usuwaniem skutków reputacyjnych i komunikacją kryzysową.

Co pokrywa cyberubezpieczenie?

Każda polisa jest inna, ale zazwyczaj obejmuje:

Ochronę przed stratami własnymi, które obejmują koszty odtworzenia danych, koszty reagowania na incydenty, w tym płacenie za specjalistów ds. bezpieczeństwa IT. Obejmują również przychody utracone w wyniku przerw w działalności spowodowanych atakiem.
Ochronę przed stratami stron trzecich, które obejmują roszczenia klientów, których dane zostały naruszone, kary regulacyjne nałożone przez organy nadzoru (np. za złamanie RODO), koszty postępowań sądowych i rekompensaty.
Ochronę reputacyjną, w tym koszty zarządzania kryzysowego, w tym PR i komunikacji z mediami.

Dlaczego warto wykupić cyberubezpieczenie?

Wzrost liczby cyberzagrożeń: Ataki typu ransomware, phishing czy wycieki danych stają się coraz powszechniejsze.
Wysokie koszty incydentów: Średni koszt wycieku danych w firmie może wynosić setki tysięcy złotych.
Przepisy prawne: Regulacje takie jak RODO nakładają wysokie kary za naruszenia ochrony danych osobowych.
Ochrona reputacji: Ubezpieczenie pomaga zmniejszyć negatywny wpływ na markę po ataku.

Jak działa cyberubezpieczenie?

Ocena ryzyka przed zakupem: Ubezpieczyciel przeprowadza audyt lub analizę bezpieczeństwa IT w firmie, by określić poziom ryzyka.

Zakres ochrony: Przedsiębiorstwo wybiera rodzaj ryzyk, które chce objąć polisą (np. ataki ransomware, wycieki danych).

Wypłata odszkodowania: W przypadku incydentu firma zgłasza zdarzenie, a ubezpieczyciel pokrywa uzgodnione koszty.

Czego zazwyczaj nie pokrywa cyberubezpieczenie?

Umyślnych działań pracowników.
Naruszeń spowodowanych brakiem podstawowych zabezpieczeń (np. przestarzałe oprogramowanie).
Długoterminowych strat związanych z utratą reputacji (często są ograniczone do krótkiego okresu po incydencie).

Dla kogo jest przeznaczone cyberubezpieczenie?

Oferty firm ubezpieczeniowych kierowane są do:

Dużych korporacji: Ze względu na ogromne ilości danych i rozbudowane systemy IT są bardziej narażone na cyberataki.
Małe i średnie przedsiębiorstwa: Chociaż ich budżet na cyberbezpieczeństwo jest mniejszy, ryzyko ataku wciąż jest realne.
Firmy przetwarzające dane osobowe: Takie jak sklepy internetowe, firmy medyczne czy finansowe.

Jak wybrać odpowiednią polisę?

Określenie ryzyka: Jakie dane i systemy są kluczowe dla działalności firmy?
Zakres ochrony: Upewnij się, że polisa pokrywa najważniejsze ryzyka (np. ransomware, przerwy w działalności).
Suma ubezpieczenia: Sprawdź maksymalną kwotę, którą ubezpieczyciel wypłaci w razie incydentu.
Koszt: Cena cyberubezpieczenia zależy od wielkości firmy, branży i poziomu zabezpieczeń IT.

Wskazówki przy wyborze cyberubezpieczenia:

Zakres ochrony: Upewnij się, że polisa pokrywa najważniejsze dla Twojej firmy ryzyka, takie jak ataki ransomware, wycieki danych czy przerwy w działalności.
Limity odszkodowania: Sprawdź maksymalne kwoty, które ubezpieczyciel wypłaci w razie incydentu.
Warunki polisy: Zwróć uwagę na wyłączenia i ograniczenia w umowie ubezpieczeniowej.
Wsparcie w razie incydentu: Niektórzy ubezpieczyciele oferują dodatkowe usługi, takie jak pomoc w reagowaniu na incydenty czy doradztwo prawne.

Stan na dzień: 23 stycznia 2025 roku

Zdjęcie: freepik.com