Autor: kancelaria

NIS2: Wykaz podmiotów kluczowych i podmiotów ważnych już działa. Dla części firm brak wpisu może być bardzo kosztownym błędem.

Uruchomienie wykazu podmiotów kluczowych i podmiotów ważnych, do którego wpisywane będą podmioty objęte przepisami Ustawy o krajowym systemie cyberbezpieczeństwa,  nie jest tylko technicznym dodatkiem do wdrożenia NIS2 w Polsce. To moment, od którego dla wielu organizacji zaczyna się bardzo konkretna praktyka compliance: trzeba ustalić, czy podmiot w ogóle podlega pod przepisy ustawy, czy powinien znaleźć się w wykazie, kiedy ma złożyć wniosek i jak szybko musi zacząć realizować nowe obowiązki. Właśnie na tym etapie najłatwiej o błąd: część firm zakłada, że skoro nie dostała żadnego pisma, to temat jej nie dotyczy. To może być bardzo ryzykowne założenie.

Wykaz już ruszył – i ustawia tempo wdrożenia

Ministerstwo Cyfryzacji wskazało, że 13 kwietnia 2026 r. uruchomiono wykaz podmiotów kluczowych i ważnych. W okresie od 13 kwietnia do 6 maja 2026 r. odbywają się wpisy z urzędu, a od 7 maja do 3 października 2026 r.przewidziano samorejestrację dla podmiotów, które nie są wpisywane automatycznie. Dla nowych podmiotów możliwość korzystania z systemu S46 ma ruszyć 12 czerwca 2026 r., a okres dostosowawczy dla podmiotów, które już w dniu wejścia w życie ustawy spełniały przesłanki uznania za podmiot kluczowy albo ważny, kończy się 3 kwietnia 2027 r.

To ważne, bo wpis do wykazu nie ma charakteru „uznaniowego” ani konstytutywnego. Ustawa przesądza, że wpis, zmiana wpisu i wykreślenie mają charakter deklaratoryjny, a sam wpis następuje z chwilą złożenia wniosku w systemie teleinformatycznym. Innymi słowy: to nie wykaz „tworzy” obowiązek podlegania pod ustawę. Wykaz porządkuje i formalizuje status, który wynika już wcześniej z samych przepisów.

To nie jest zwykły rejestr

Ustawa wprost wskazuje, że wykaz służy trzem celom: identyfikacji podmiotów kluczowych i ważnych, zapewnieniu wymiany informacji w zakresie cyberbezpieczeństwa oraz umożliwieniu prowadzenia czynności nadzorczych. W praktyce oznacza to, że nie chodzi wyłącznie o listę nazw podmiotów. W wykazie mają znaleźć się również m.in. dane kontaktowe, sektory i rodzaje działalności, wykorzystywane domeny internetowe, zakresy publicznych adresów IP, informacje o administratorze konta, a także dane o korzystaniu z usług MSSP.

Co istotne, ustawodawca wyraźnie odciął te dane od zwykłego reżimu jawności. Do danych zgromadzonych w wykazie nie stosuje się przepisów o dostępie do informacji publicznej ani o otwartych danych. Publicznie mają być udostępniane tylko dane zagregowane, czyli liczba podmiotów w podziale na sektory, podsektory i rodzaje działalności. To ważny sygnał: ustawodawca od początku traktował wykaz jako narzędzie operacyjne i nadzorcze, a nie publiczny katalog firm.

Kogo to dotyczy? Nie każdej firmy, ale znacznie większej grupy niż dotychczas

Największy praktyczny problem polega na tym, że odpowiedź na pytanie „czy my podlegamy?” bardzo często nie wynika wprost z jednego przepisu. Zakres podmiotowy ustawy opiera się na połączeniu kilku elementów: sektora, rodzaju działalności, progu wielkości oraz wyjątków. Ustawa kwalifikuje jako podmioty kluczowe lub ważne m.in. podmioty z załącznika nr 1 i załącznika nr 2, przy czym dla wielu z nich znaczenie ma osiągnięcie co najmniej progu średniego przedsiębiorcy, a dla wybranych kategorii ustawodawca przewiduje reguły szczególne albo objęcie niezależnie od wielkości. Przepisy wskazują również, że ustawa obejmuje podmioty prowadzące działalność w Polsce, także przez oddział lub transgranicznie, a dla części podmiotów cyfrowych przewidziano reguły dotyczące głównego miejsca prowadzenia działalności i przedstawiciela w UE.

Najpierw kwalifikacja, potem wpis, a zaraz potem wdrożenie

Podmiot kluczowy lub ważny ma co do zasady 6 miesięcy od dnia spełnienia przesłanek na złożenie wniosku o wpis do wykazu. Jeżeli dane się zmienią, wniosek o zmianę wpisu trzeba złożyć w terminie 14 dni.

Samo zarejestrowanie to jednak dopiero początek. Ustawa wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji w systemach wykorzystywanych w procesach wpływających na świadczenie usług, powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo albo zawarcia umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa, a także wykonywania obowiązków incydentowych. Kluczowe terminy incydentowe są bardzo krótkie: 24 godziny na wczesne ostrzeżenie, 72 godziny na zgłoszenie incydentu poważnego i co do zasady miesiąc na sprawozdanie końcowe.

Dla podmiotów, które już w dniu wejścia w życie ustawy spełniały przesłanki uznania za podmiot kluczowy albo ważny, ustawodawca przewidział okres dostosowawczy: na wdrożenie obowiązków z rozdziału 3 jest 12 miesięcy, a dla podmiotów kluczowych na pierwszy audyt – 24 miesiące.

Brak wpisu to nie drobny formalizm

Najważniejsza praktyczna informacja jest taka, że brak złożenia wniosku o wpis do wykazu został przez ustawodawcę wprost powiązany z sankcją. Organ właściwy może nałożyć karę pieniężną na podmiot, który w terminie z art. 7c ust. 1 nie złożył wniosku o wpis do wykazu. Dla podmiotu kluczowego kara może sięgnąć do
10 000 000 euro albo 2% rocznego przychodu, a dla podmiotu ważnego do 7 000 000 euro albo 1,4% rocznego przychodu. W przypadkach szczególnie poważnych, gdy naruszenie powoduje bezpośrednie i poważne cyberzagrożenie albo grozi poważną szkodą majątkową lub poważnymi utrudnieniami w świadczeniu usług, sankcja może wynieść nawet 100 000 000 zł.

Ustawa idzie dalej: karze może podlegać również kierownik podmiotu, w tym za niewykonanie obowiązku złożenia wniosku o wpis. Maksymalny wymiar tej kary to co do zasady 300% wynagrodzenia. Co więcej, jeżeli podmiot nie złoży wniosku sam, organ właściwy może wpisać go do wykazu z urzędu i następnie wezwać do uzupełnienia brakujących danych pod rygorem kolejnej sankcji.

Jednocześnie ustawodawca przewidział, że nowe kary pieniężne mogą być po raz pierwszy nakładane dopiero po upływie 2 lat od wejścia w życie ustawy. To nie oznacza jednak, że można spokojnie odłożyć temat. Przeciwnie: ten czas ma służyć kwalifikacji podmiotów, rejestracji i wdrożeniu obowiązków, a nie biernemu oczekiwaniu.

To jest moment na ocenę statusu – nie na zgadywanie

W praktyce największe ryzyko nie polega dziś na tym, że firma „nic nie wdrożyła”. Największe ryzyko polega często na tym, że błędnie założyła, iż ustawa jej nie dotyczy. Tymczasem kwalifikacja podmiotowa bardzo często wymaga analizy więcej niż jednego elementu: rzeczywistego modelu działalności, sektora, progów wielkości, relacji z podmiotami powiązanymi, zakresu systemów informacyjnych i roli w łańcuchu dostaw.

Właśnie w tym obszarze wsparcie prawne ma dziś największą wartość. W kancelarii pomagamy:

  • ocenić, czy dany podmiot jest podmiotem kluczowym albo ważnym,
  • ustalić, czy i kiedy powinien złożyć wniosek o wpis do wykazu,
  • przygotować dokumenty i proces rejestracyjny,
  • uporządkować obowiązki wdrożeniowe po stronie zarządu i organizacji,
  • przełożyć wymagania ustawy na dokumentację, procedury i relacje kontraktowe z dostawcami.

Jeżeli nie masz pewności, czy Twoja organizacja powinna znaleźć się w wykazie, to właśnie teraz jest najlepszy moment, żeby to sprawdzić. W wielu przypadkach problem nie polega na braku dobrej woli, tylko na tym, że odpowiedź naprawdę nie wynika z przepisów „na pierwszy rzut oka”.

Procedura antymobbingowa przestaje być opcją. Pracodawców czekają nowe obowiązki

Procedura antymobbingowa przestaje być dodatkiem „na wszelki wypadek”. Projekt zmian w Kodeksie pracy pokazuje jasno: pracodawcy będą musieli działać aktywnie i stale – a nie tylko reagować na zgłoszenia. Dla wielu organizacji oznacza to konieczność przebudowy dotychczasowego podejścia.

W Sejmie trwają prace nad projektem ustawy o zmianie Kodeksu pracy oraz Kodeksu postępowania cywilnego, który kompleksowo przebudowuje przepisy dotyczące mobbingu, dyskryminacji, naruszeń godności i innych dóbr osobistych pracownika oraz zasady równego traktowania w zatrudnieniu. Projekt został przyjęty przez Radę Ministrów 17 lutego 2026 r., a 25 marca 2026 r. odbyło się jego pierwsze czytanie w Sejmie.

Jeśli nowelizacja przejdzie w obecnym kształcie, pracodawcy będą musieli spojrzeć na ten obszar znacznie szerzej niż dotychczas.

Co dokładnie się zmienia?

Projekt wprowadza kilka kluczowych zmian:

  • upraszcza definicję mobbingu – rezygnuje z wymogu długotrwałości na rzecz uporczywości nękania,
  • nakłada obowiązek aktywnego i stałego przeciwdziałania niepożądanym zjawiskom w miejscu pracy,
  • daje pracodawcy prawo regresu wobec sprawcy (możliwość dochodzenia zwrotu wypłaconego odszkodowania lub zadośćuczynienia).

To zmiany, które mogą wymusić gruntowny przegląd dotychczasowych procedur i polityk HR.

Procedura to za mało – liczy się działanie

Zmiany dotkną zarówno tych pracodawców, którzy już mają wdrożone procedury, jak i tych, którzy do tej pory nie uporządkowali tego obszaru formalnie.

W wielu organizacjach obecne rozwiązania skupiają się głównie na:

  • ścieżce zgłoszenia
  • powołaniu komisji
  • przeprowadzeniu postępowania wyjaśniającego

Tymczasem projekt idzie znacznie dalej.

👉 Liczyć się będzie nie tylko dokument, ale jego praktyczne funkcjonowanie.

Nowe podejście obejmuje:

  • prewencję,
  • wykrywanie nieprawidłowości,
  • właściwe reagowanie,
  • działania naprawcze,
  • realne wsparcie osób dotkniętych niepożądanymi zachowaniami.

Innymi słowy — do przeglądu może trafić nie tylko sama procedura, ale cały model compliance w obszarze HR.

Nowe obowiązki dla pracodawców (również tych, którzy już mają procedury)

Projekt zakłada, że pracodawca zatrudniający co najmniej 9 pracowników będzie musiał:

➡️ ustalić reguły, procedury oraz częstotliwość działań
➡️ w zakresie przeciwdziałania:

  • naruszaniu godności i dóbr osobistych,
  • naruszeniom zasady równego traktowania,
  • dyskryminacji,
  • mobbingowi

…i ująć je w odrębnym regulaminie (chyba że kwestie te są już uregulowane w układzie zbiorowym lub regulaminie pracy).

To oznacza jedno: posiadanie procedury nie będzie już wystarczające.

Brak procedury? To ostatni moment na działanie

Jeszcze większe znaczenie projekt ma dla tych pracodawców, którzy:

  • nie mają żadnej procedury
  • albo ograniczają się do ogólnego zakazu mobbingu w regulaminie pracy

To właśnie oni powinni już teraz zacząć przygotowania:

  • zmapować ryzyka,
  • ustalić kanały zgłoszeń,
  • opracować sposób prowadzenia postępowań,
  • określić zasady dokumentowania działań,
  • wdrożyć ochronę zgłaszających i świadków,
  • zaplanować szkolenia i komunikację wewnętrzną.

👉 Projekt wyraźnie pokazuje, że liczyć się będzie praktyka, a nie tylko zapis w dokumencie.

Mniejsze firmy też nie są poza systemem

Warto podkreślić: projekt nie „zwalnia” mniejszych pracodawców z obowiązków.

Firmy zatrudniające mniej niż 9 osób nadal muszą:

  • przeciwdziałać mobbingowi i innym niepożądanym zjawiskom
  • zakomunikować pracownikom przyjęte zasady i procedury

Różnica polega bardziej na poziomie formalizacji niż na samym obowiązku.

Ciężar dowodu – zmiana, która zmienia wszystko

Projekt przewiduje również istotną zmianę procesową.

W sprawach o naruszenie zasady równego traktowania:

  • pracownik będzie musiał jedynie uprawdopodobnić naruszenie,
  • to pracodawca będzie musiał udowodnić, że do niego nie doszło.

👉 W praktyce oznacza to jedno:
dokumentowanie decyzji kadrowych i działań HR nabiera kluczowego znaczenia.

Dlaczego to realne ryzyko (a nie tylko teoria)

📊 Aż 93% pracowników deklaruje, że doświadczyło zachowań o charakterze mobbingowym (badania Antal i Dobrej Fundacji).

Jednocześnie:

  • tylko 6% skarg uznawanych jest za zasadne (dane PIP)

To nie oznacza, że problem nie istnieje — raczej pokazuje, jak trudna jest jego prawidłowa identyfikacja.

Projekt odpowiada na to m.in. w ten sposób, że:
➡️ sąd będzie zobowiązany ocenić nie tylko mobbing, ale również naruszenie innych dóbr osobistych pracownika

To znacząco poszerza pole ryzyka dla pracodawców.

To nie jest zmiana w dokumentach

To nie jest zmiana „na papierze”.

👉 To zmiana w sposobie zarządzania ryzykiem pracowniczym.

Procedura antymobbingowa przestaje być dodatkiem, a staje się jednym z podstawowych narzędzi organizacyjnych.

Dla jednych będzie to czas aktualizacji istniejących rozwiązań.
Dla innych — ostatni moment, żeby w ogóle zacząć.

👉 Pytanie nie brzmi już „czy masz procedurę”, ale:
czy ona działa i czy jesteś w stanie to wykazać.

Masz wrażenie, że temat mobbingu i procedur antymobbingowych w Twojej organizacji „jest”, ale nie do końca wiadomo, czy działa w praktyce? To dobry moment, żeby się temu przyjrzeć. Jeśli chcesz, sprawdzimy to razem i podpowiemy, co warto zmienić.

📝 Ochrona znaku towarowego przedsiębiorstwa – dlaczego warto o nią zadbać?

Czy ktoś może „zabrać” Twoją nazwę lub logo?

Wyobraź sobie, że przez lata budujesz markę swojej firmy – inwestujesz w marketing, zdobywasz klientów, rozwijasz ofertę. A potem okazuje się, że inna firma zaczyna używać bardzo podobnej nazwy lub logo… i robi to całkowicie legalnie.

To nie jest rzadki scenariusz.

W wielu przypadkach wynika on z jednego błędu: braku rejestracji znaku towarowego na odpowiednio wczesnym etapie działalności.

Czym właściwie jest znak towarowy?

Najprościej mówiąc, znak towarowy to wszystko to, co pozwala klientom rozpoznać Twoją firmę:

  • nazwa,
  • logo,
  • slogan,
  • kolorystyka,
  • a nawet dźwięk.

Z perspektywy prawa znak towarowy to oznaczenie, które odróżnia Twoje produkty lub usługi od konkurencji i może zostać zarejestrowane w odpowiednim rejestrze.

To właśnie on buduje rozpoznawalność marki – i często decyduje o tym, czy klient wybierze właśnie Ciebie.

Dlaczego rejestracja znaku towarowego jest tak ważna?

Rejestracja to nie formalność. To realne narzędzie ochrony biznesu.

Dzięki niej:

  • zyskujesz wyłączne prawo do korzystania ze znaku w określonym zakresie,
  • możesz zakazać konkurencji używania podobnych oznaczeń,
  • zwiększasz wartość swojej firmy (np. przy sprzedaży lub inwestorze),
  • masz dużo silniejszą pozycję w przypadku sporu.

Co ważne – jeśli nie zarejestrujesz znaku, ktoś inny może zrobić to przed Tobą.

I wtedy to on będzie miał prawa, a nie Ty.

Czy każde oznaczenie można zarejestrować?

Nie każde.

Kluczowe jest to, czy znak:

  • pozwala odróżnić Twoją firmę od innych,
  • nie jest zbyt opisowy (np. „Dobre Pieczywo” dla piekarni),
  • da się go jednoznacznie przedstawić w rejestrze.

W praktyce łatwiej zarejestrować oznaczenia bardziej unikalne niż takie, które bezpośrednio opisują produkt lub usługę.

Jaki rodzaj znaku wybrać?

To ma większe znaczenie, niż się wydaje.

  • Znak słowny (np. sama nazwa) daje najszerszą ochronę – niezależnie od czcionki, koloru czy formy zapisu.
  • Znak graficzny lub słowno-graficzny chroni konkretny wygląd (logo, styl, układ).

Dlatego wybór formy zgłoszenia powinien być dopasowany do tego, jak faktycznie budujesz swoją markę.

Czy ochrona działa też za granicą?

Nie automatycznie.

Rejestracja znaku towarowego w Polsce chroni Cię tylko na terenie Polski.
Jeśli działasz lub planujesz działać za granicą – warto rozważyć rozszerzenie ochrony, np.:

  • na całą Unię Europejską (EUIPO),
  • lub międzynarodowo (WIPO).

O czym trzeba pamiętać przy zgłoszeniu?

Jednym z najważniejszych elementów jest wskazanie, dla jakich towarów i usług znak ma być chroniony.

Odbywa się to według tzw. Klasyfikacji Nicejskiej.

To bardzo istotne, bo:
👉 ochrona obejmuje tylko te obszary, które wskażesz w zgłoszeniu
👉 nie działa „automatycznie na wszystko”

Dlatego już na początku warto dobrze przemyśleć, gdzie i jak chcesz rozwijać swoją działalność.

Kiedy dochodzi do naruszenia znaku towarowego?

Najczęściej w praktyce biznesowej – zwłaszcza w marketingu.

Przykłady?

  • konkurencja używa bardzo podobnej nazwy,
  • ktoś tworzy logo łudząco podobne do Twojego,
  • reklama sugeruje powiązanie z Twoją marką,
  • klienci zaczynają mylić firmy.

W takich sytuacjach możesz podjąć konkretne działania:

  • od wezwania do zaprzestania naruszeń,
  • po postępowanie sądowe.

Ale skuteczność tych działań w dużej mierze zależy od tego, czy Twój znak jest zarejestrowany.

Dlaczego warto działać wcześniej, a nie dopiero „gdy coś się stanie”?

Bo wtedy masz przewagę.

Rejestracja znaku towarowego to nie tylko zabezpieczenie „na przyszłość”, ale element strategii biznesowej:

  • chronisz swoje inwestycje w markę,
  • ograniczasz ryzyko sporów,
  • budujesz realną wartość firmy.

💡 Czy Twoja marka jest odpowiednio chroniona?

Jeśli:

  • nie masz pewności, czy Twój znak nadaje się do rejestracji,
  • zastanawiasz się, jaki zakres ochrony wybrać,
  • zauważyłeś, że konkurencja używa podobnego oznaczenia,

👉 warto to sprawdzić

Doradztwo JLSW przy transakcji przejęcia

Kolejna ekscytująca transakcja za nami

Mieliśmy przyjemność doradzać Karlik sp. z o.o. przy przejęciu działalności dealerskiej Renault i Dacia prowadzonej dotychczas przez Pieluszyńska sp. z o.o.

To ważny krok w dalszym rozwoju Grupy Karlik i umacnianiu jej pozycji na rynku motoryzacyjnym w regionie.

Zapewniliśmy kompleksowe wsparcie prawne całego procesu — od due diligence, przez przygotowanie i negocjacje dokumentacji, aż po podpisanie i zamknięcie transakcji. Reprezentowaliśmy klienta również w postępowaniu przed Prezesem UOKiK w związku z uzyskaniem zgody na koncentrację.

Projekt prowadzili: Tomasz Janaszczyk i Joanna Żemojtel (Partnerzy), przy wsparciu Róży Dziewy (Radca prawny).

Gratulujemy wszystkim stronom i dziękujemy za zaufanie 🤝

RODO a technologie marketingowe w e-commerce – między efektywnością a ryzykiem

Firmy z branży e-commerce w dużym stopniu opierają się dziś na narzędziach cyfrowych – analizują zachowania użytkowników, optymalizują konwersję i precyzyjnie targetują reklamy. Retargeting, analityka, sieci reklamowe czy mechanizmy antybotowe stały się standardem.

Z perspektywy technologicznej ich wdrożenie jest zwykle proste. Dodajemy tag lub skrypt i narzędzie zaczyna działać.

Z perspektywy prawnej – to dopiero początek.

W praktyce wiele z tych rozwiązań funkcjonuje w ramach rozbudowanych ekosystemów przetwarzania danych, które wykraczają daleko poza samą stronę internetową. To, co wygląda jak prosta integracja marketingowa, często oznacza faktyczne udostępnianie danych globalnym platformom, współadministrowanie, transfery poza EOG i profilowanie użytkowników.

To właśnie ta „niewidoczna warstwa” powoduje, że organy nadzorcze coraz uważniej przyglądają się technologiom marketingowym.

Dla e-commerce to dziś jeden z najbardziej wrażliwych obszarów zgodności z RODO.

Ukryta złożoność narzędzi marketingowych

W wielu projektach widzimy podobny schemat: sklep wdraża narzędzie rekomendowane przez agencję lub dostawcę technologii. Integracja jest szybka i bezproblemowa.

Problem zaczyna się później.

Jedno narzędzie marketingowe może oznaczać jednocześnie:

– kilku administratorów danych,
– współadministrowanie,
– profilowanie i śledzenie zachowań,
– transfery danych poza EOG,
– wykorzystanie danych w zewnętrznych ekosystemach reklamowych.

Co istotne, te elementy nie zawsze są widoczne na etapie wdrożenia.

Przykładowo, narzędzia retargetingowe nie zawsze opierają się wyłącznie na cookies. W praktyce mogą wykorzystywać także haszowane adresy e-mail, numery telefonów czy identyfikatory z CRM, które służą dopasowywaniu użytkowników do kont reklamowych.

Z punktu widzenia RODO oznacza to często odrębne przetwarzanie danych, wymagające własnej podstawy prawnej i dodatkowej transparentności.

Audience matching – gdzie zaczyna się realne ryzyko

Szczególnie wrażliwym obszarem są narzędzia typu Google Customer Match czy Meta Custom Audiences.

Ich mechanizm jest prosty: firma przesyła do platformy identyfikatory klientów (np. e-mail lub telefon), a platforma dopasowuje je do swoich użytkowników i tworzy grupy reklamowe.

Z marketingowego punktu widzenia – bardzo skuteczne.

Z punktu widzenia RODO – problematyczne.

Kluczowe pytanie dotyczy podstawy prawnej. W praktyce coraz częściej podważa się możliwość opierania takich działań na uzasadnionym interesie.

Organy wskazują, że użytkownik, który podaje swoje dane przy zakupie czy rejestracji, nie oczekuje, że będą one wykorzystywane do targetowania reklam w zewnętrznych ekosystemach reklamowych.

W konsekwencji takie działania mogą wymagać odrębnej, wyraźnej zgody.

Jej brak to realne ryzyko uznania, że dochodzi do nieuprawnionego udostępnienia danych osobowych.

Organy nadzorcze już reagują

To nie jest ryzyko teoretyczne.

W 2023 r. francuski CNIL nałożył na Criteo karę 40 mln euro, wskazując m.in. brak właściwej podstawy prawnej oraz niewystarczającą transparentność.

Podobnie oceniane są narzędzia typu Facebook Custom Audiences – niemieckie organy uznały, że nawet przesyłanie danych w formie haszowanej może wymagać zgody.

To pokazuje wyraźny kierunek: ekosystemy reklamowe są traktowane jako obszar podwyższonego ryzyka.

Identyfikatory online to nadal dane osobowe

W praktyce często pojawia się argument: „to przecież nie są dane osobowe, nie mamy imienia ani nazwiska”.

RODO mówi coś innego.

Motyw 30 jasno wskazuje, że identyfikatory internetowe (np. cookie ID, identyfikatory reklamowe) mogą prowadzić do identyfikacji osoby poprzez profilowanie jej zachowań.

Jeśli użytkownik ogląda produkt na jednej stronie, a potem widzi tę samą reklamę w innych miejscach – oznacza to, że został rozpoznany w systemie.

Nie trzeba znać jego imienia, żeby skutecznie go zidentyfikować.

Zgodność to nie tylko dokumenty

Zgodność z RODO w tym obszarze nie sprowadza się do polityki prywatności.

Wymaga spójnego podejścia techniczno-prawnego.

Oznacza to w szczególności:

– jasną informację dla użytkownika (co, po co i komu przekazujemy),
– prawidłowe określenie ról (administrator, współadministrator),
– właściwą podstawę prawną,
– kontrolę nad momentem uruchomienia narzędzi (np. zgody),
– oraz transparentność w zakresie transferów danych i okresów przechowywania.

Innymi słowy – compliance musi być „wbudowane” w sposób działania narzędzia, a nie dodane na końcu.

RODO chroni prywatność także w środowisku cyfrowym – tam, gdzie dane powstają poprzez zachowanie użytkownika, a nie tylko poprzez formularz.

Jak pracujemy z klientami e-commerce

W JLSW Janaszczyk Lis & Wspólnicy regularnie wspieramy firmy e-commerce w analizie narzędzi marketingowych i analitycznych.

Pracujemy m.in. nad:

– kwalifikacją ról dostawców technologii,
– analizą umów z platformami (Google, Meta i inne),
– projektowaniem mechanizmów zgód,
– oceną transferów danych,
– oraz ograniczaniem ryzyk w ekosystemach adtech.

Nie chodzi o to, żeby nie korzystać z tych narzędzi.

Chodzi o to, żeby korzystać z nich świadomie i zgodnie z prawem.

Criteo, cookies i dane klientów – co sklep internetowy powinien sprawdzić przed wdrożeniem

Sklepy internetowe coraz częściej korzystają z zaawansowanych narzędzi marketingowych i analitycznych. Retargeting, personalizacja reklam czy automatyczne dopasowywanie ofert do użytkowników stały się standardem w e-commerce. Problem polega na tym, że wdrożenie takich rozwiązań to nie tylko kwestia techniczna lub marketingowa. Bardzo często wiąże się ono również z przetwarzaniem danych osobowych.

I właśnie w tym miejscu pojawia się pytanie, które z perspektywy prawa bywa kluczowe: co tak naprawdę dzieje się z danymi użytkowników, gdy uruchamiamy takie narzędzie?

Zanim wdrożysz narzędzie marketingowe – sprawdź, jak działa

W praktyce często wygląda to tak: sklep internetowy decyduje się na wdrożenie rozwiązania marketingowego rekomendowanego przez agencję lub partnera technologicznego. Implementacja odbywa się poprzez dodanie odpowiedniego tagu lub skryptu na stronie.

Z perspektywy marketingu to szybki i skuteczny sposób na zwiększenie sprzedaży. Z perspektywy ochrony danych – dopiero początek analizy.

Kluczowe jest ustalenie m.in.:

  • jakie dane są zbierane przez narzędzie,

  • kto jest administratorem tych danych,

  • czy dane są przekazywane innym podmiotom,

  • czy dochodzi do transferów danych poza Europejski Obszar Gospodarczy,

  • oraz jaka jest właściwa podstawa prawna przetwarzania.

Bez tej analizy łatwo przyjąć uproszczone założenie, że skoro użytkownik wyraził zgodę na cookies, to wszystko jest w porządku. W praktyce często okazuje się, że to dopiero jeden z elementów całej układanki.

Przykład: jak działa retargeting Criteo

Dobrym przykładem jest popularne w e-commerce narzędzie retargetingowe Criteo.

W podstawowym modelu część danych o użytkownikach jest zbierana poprzez pliki cookies Criteo, które umożliwiają identyfikowanie użytkownika w sieci i dopasowywanie reklam do jego wcześniejszej aktywności.

Jednocześnie z analizy dokumentacji i sposobu działania narzędzia wynika, że w niektórych konfiguracjach możliwe jest także przekazywanie dodatkowych danych o użytkownikach.

Mogą to być np.:

  • haszowane adresy e-mail,

  • haszowane numery telefonów,

  • identyfikatory użytkowników z systemów CRM sklepu internetowego.

Takie dane mogą być przekazywane do systemów reklamowych w celu dopasowania użytkownika (matching) i jeszcze dokładniejszego targetowania reklam.

I właśnie w tym miejscu zaczyna się prawdziwa analiza prawna.

Zgoda na cookies to nie zawsze wszystko

Wiele organizacji wychodzi z założenia, że skoro użytkownik wyraził zgodę na cookies marketingowe w banerze cookies, to można na tej podstawie prowadzić wszystkie działania związane z retargetingiem.

Tymczasem zgoda na cookies wynika z przepisów dotyczących przechowywania i uzyskiwania dostępu do informacji w urządzeniu użytkownika – w Polsce regulowanych przez Prawo komunikacji elektronicznej. Przepisy te stanowią implementację art. 5 ust. 3 dyrektywy ePrivacy (dyrektywy 2002/58/WE).

Innymi słowy – taka zgoda dotyczy przede wszystkim samego wykorzystania technologii cookies.

Jeżeli jednak w ramach narzędzia marketingowego dochodzi do dodatkowego przekazywania danych osobowych poza tym, co zostało zebrane poprzez pliki cookies, np.:

  • haszowanych adresów e-mail,

  • numerów telefonów,

  • identyfikatorów użytkowników z CRM,

może to stanowić odrębną operację przetwarzania danych osobowych, która wymaga oddzielnej podstawy prawnej na gruncie RODO.

Co na to organy ochrony danych?

W ostatnich latach organy ochrony danych w Europie coraz uważniej przyglądają się mechanizmom dopasowywania użytkowników w systemach reklamowych.

Dobrym przykładem jest Criteo, na które w 2023 r. francuski organ ochrony danych CNIL nałożył karę w wysokości 40 mln euro. Organ uznał m.in., że spółka nie była w stanie wykazać, iż posiada ważną podstawę prawną do przetwarzania danych użytkowników wykorzystywanych w systemie reklamowym, w tym danych pozyskiwanych w ramach mechanizmów retargetingu. CNIL wskazał również na problemy z realizacją praw osób, których dane dotyczą, oraz niewystarczającą transparentność przetwarzania. Sprawa ta pokazuje, że mamy do czynienia z technologią, która już dziś znajduje się pod lupą regulatorów, a jej wdrożenie powinno być poprzedzone rzetelną analizą prawną i techniczną.

Warto wspomnieć także o głośnej sprawie dotyczącej Facebook Custom Audiences. Niemiecki organ ochrony danych uznał, że przekazywanie do Facebooka list klientów zawierających np. adresy e-mail lub numery telefonów – nawet w formie zahaszowanej – wymaga uprzedniej zgody użytkownika.

Co istotne, sąd administracyjny podtrzymał to stanowisko, wskazując, że samo haszowanie danych nie eliminuje ich charakteru jako danych osobowych, ponieważ platforma nadal może przypisać je do konkretnego użytkownika.

Mechanizm działania takich narzędzi jest stosunkowo prosty: reklamodawca przesyła do platformy reklamowej listę klientów (np. adresy e-mail lub numery telefonów), a platforma dopasowuje je do swoich użytkowników i tworzy grupę odbiorców reklamy.

W praktyce oznacza to, że dochodzi do udostępnienia danych osobowych z bazy klientów sklepu internetowego do systemu reklamowego.

Jakie są ryzyka dla e-commerce?

Brak analizy prawnej przy wdrożeniu narzędzia marketingowego może prowadzić do kilku poważnych ryzyk.

Najczęstsze z nich to:

Przekazywanie danych bez podstawy prawnej

Jeżeli sklep przekazuje np. zahaszowane adresy e-mail lub numery telefonów klientów do systemu reklamowego bez odpowiedniej podstawy prawnej, może to zostać uznane za niezgodne z RODO udostępnienie danych osobowych.

Brak informacji dla użytkowników

Użytkownicy powinni być poinformowani nie tylko o cookies, ale również o tym, że ich dane mogą być wykorzystywane w systemach reklamowych do profilowania lub dopasowywania reklam.

Transfery danych poza EOG

W przypadku globalnych platform reklamowych często pojawia się również kwestia transferu danych do państw trzecich.

A co z karami?

RODO przewiduje bardzo wysokie sankcje za naruszenia przepisów dotyczących przetwarzania danych osobowych.

W przypadku poważniejszych naruszeń administracyjne kary pieniężne mogą sięgać nawet 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa.

Organy nadzorcze coraz częściej interesują się właśnie obszarem marketingu cyfrowego i technologii reklamowych, ponieważ to tam dochodzi do najbardziej złożonych przepływów danych.

Podsumowanie

Nowoczesne narzędzia marketingowe potrafią znacząco zwiększyć efektywność sprzedaży w e-commerce. Jednocześnie ich wdrożenie niemal zawsze wiąże się z przetwarzaniem danych osobowych.

Dlatego zamiast zakładać, że „baner cookies załatwia sprawę”, warto sprawdzić:

  • jakie dane są faktycznie przetwarzane,

  • czy przekazywane są identyfikatory z systemów sklepu (np. e-mail, telefon lub ID z CRM),

  • kto odpowiada za przetwarzanie danych,

  • czy dochodzi do transferów danych poza EOG,

  • oraz czy potrzebna jest dodatkowa podstawa prawna przetwarzania.

Dobrze przeprowadzona analiza pozwala uniknąć wielu problemów – a przy okazji uporządkować dokumentację i komunikację z użytkownikami.

👉 Jeśli planujesz wdrożenie narzędzia marketingowego lub chcesz sprawdzić, czy obecne rozwiązania w Twoim sklepie są zgodne z RODO – skontaktuj się z nami. Chętnie pomożemy przeanalizować ich działanie i wskazać bezpieczne rozwiązania.

🔐 NIS2 w Polsce staje się faktem

🔐 NIS2 w Polsce staje się faktem

Prezydent podpisał ustawę o krajowym systemie cyberbezpieczeństwa, która wdraża do polskiego prawa dyrektywę NIS2. Nowe przepisy znacząco rozszerzają obowiązki wielu organizacji w zakresie cyberbezpieczeństwa – oraz odpowiedzialność kierownictwa.

Co to oznacza w praktyce? Między innymi obowiązek:

• wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie
• ustanowienia systemu zarządzania bezpieczeństwem informacji
• organizacji obsługi i raportowania poważnych incydentów
• zapewnienia odpowiedniego nadzoru ze strony zarządu

Przepisy przewidują też wysokie kary administracyjne – nawet do 10 mln EUR lub 2% rocznych przychodów, a w szczególnych przypadkach do 100 mln zł. Możliwa jest również osobista odpowiedzialność członków zarządu.

📅 Najważniejsze terminy:
2 kwietnia 2026 r. – wejście w życie ustawy
2 maja 2026 r. – publikacja wykazu podmiotów kluczowych i ważnych
2 kwietnia 2027 r. – termin na wdrożenie obowiązków ustawowych
2 kwietnia 2028 r. – pierwszy audyt dla podmiotów kluczowych

Czy Twoją organizację obejmą nowe regulacje?
Jakie obowiązki będą z tego wynikać dla firmy i jej zarządu?

Skontaktuj się z nami – Pomożemy Tobie ustalić, czy i w jakim zakresie nowe przepisy dotyczą Twojej organizacji oraz jakie obowiązki prawne się z tym wiążą.

Standard, który definiuje naszą praktykę

Nie chodzi tylko o to, co robimy.

Chodzi też o standard, w jakim pracujemy.

Na podstawie opinii klientów Legal 500 wyróżnił JLSW w obszarze Billing & Efficiency oraz NPS® – obrazujący miernik zaufania i gotowości do rekomendacji.

Za tym wyróżnieniem stoi filozofia, w którą wierzymy: jasna komunikacja, odpowiedzialne doradztwo i rozwiązania oparte na realnych potrzebach biznesowych.

Stawiamy na długofalowe relacje i wsparcie projektów naszych klientów w praktyce, nie tylko w teorii.

Ten standard jest dla nas punktem wyjścia, nie wyjątkiem.

#Legal500 #ClientSatisfaction #LawFirmLife #LegalExcellence #ProfessionalStandards

.

reCAPTCHA czy ryzyko? Darmowa ochrona, realna odpowiedzialność.

Google reCAPTCHA to jedno z najczęściej stosowanych narzędzi do ochrony formularzy przed spamem i botami. Instalowane szybko, często „domyślnie”, bez głębszej refleksji prawnej.

Przez długi czas darmowa wersja reCAPTCHA budziła istotne wątpliwości z perspektywy RODO: brak umowy powierzenia, niejasny zakres danych, szerokie przetwarzanie behawioralne.

Od 2 kwietnia model prawny ulega zmianie.

Czy to oznacza, że problem zniknął?
Nie do końca.

1. Jak było wcześniej – usługa w zamian za dane

W modelu Free administrator nie płacił pieniędzmi.
„Płatnością” były dane użytkowników.

reCAPTCHA przetwarza m.in.:

  • adres IP,

  • identyfikatory przeglądarki i urządzenia,

  • dane o zachowaniu użytkownika,

  • informacje zbierane przy użyciu cookies i mechanizmów trackingowych.

Darmowa wersja nie była objęta Google Cloud Data Processing Addendum (DPA). Google działał jako niezależny administrator danych, a nie jako procesor w rozumieniu art. 28 RODO.

Oznaczało to:

  • brak umowy powierzenia przetwarzania danych,

  • przetwarzanie danych również do własnych celów Google,

  • ograniczoną możliwość realnej kontroli zakresu przetwarzania przez właściciela strony.

Ten model określaliśmy wprost: usługa w zamian za dane użytkowników.

2. Od 2 kwietnia – Google jako procesor

Google zapowiedział, że od 2 kwietnia darmowa wersja reCAPTCHA zostanie objęta Cloud Data Processing Addendum.

To istotna zmiana.

Oznacza ona, że Google ma działać jako procesor w imieniu klienta, analogicznie jak w przypadku reCAPTCHA Enterprise. DPA — na poziomie ogólnym — zawiera elementy wymagane przez art. 28 RODO.

Z perspektywy formalnej to wyraźny krok w dobrym kierunku:

  • relacja administrator–procesor zostaje uporządkowana,

  • pojawia się umowa powierzenia,

  • model kontraktowy jest bardziej przewidywalny.

Podmiotem przetwarzającym dla klientów europejskich ma być Google Cloud EMEA Limited (Irlandia), czyli unijny podmiot z grupy Google.

Czy to oznacza pełną zgodność?
Nie automatycznie.

3. Transparentność i minimalizacja – nadal otwarte pytania

DPA definiuje zakres danych bardzo szeroko jako:

„Data relating to individuals provided to Google via the Services, by (or at the direction of) Customer or by its End Users.”

Nie wskazuje natomiast konkretnych kategorii danych osobowych.

Na podstawie publicznie dostępnych informacji można przyjąć, że chodzi głównie o dane techniczne i behawioralne służące odróżnieniu człowieka od bota, przetwarzane w dużej mierze tymczasowo.

Jednak:

  • brak precyzyjnego wskazania kategorii danych utrudnia ocenę proporcjonalności,

  • DPA przewiduje okres retencji do 180 dni,

  • administrator musi samodzielnie zweryfikować, jakie dane są faktycznie przetwarzane w jego konkretnej implementacji.

Kluczowy problem nie polega na tym, że dane na pewno są nadmierne.
Problem polega na tym, że administrator musi być w stanie wykazać, że są proporcjonalne i ograniczone do niezbędnego minimum.

To wymaga realnej analizy technicznej, a nie wyłącznie akceptacji warunków Google.

4. Podstawa prawna – uzasadniony interes czy zgoda?

Zabezpieczenie strony przed spamem może stanowić uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Po objęciu reCAPTCHA Free DPA sytuacja jest bezpieczniejsza niż wcześniej. Nadal jednak należy:

  • przeprowadzić i udokumentować test równowagi,

  • ocenić proporcjonalność przetwarzania,

  • zweryfikować zakres danych w praktyce.

Dodatkowo pozostaje kwestia przepisów ePrivacy.

Jeżeli narzędzie wykorzystuje cookies lub technologie podobne i nie jest ściśle niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika, może wymagać uprzedniej zgody.

Czy reCAPTCHA jest „ściśle niezbędne”?

Użytkownik chce wysłać formularz.
Nie żąda przekazania swoich danych podmiotowi trzeciemu w celu analizy ryzyka.

W modelu Free zgoda pozostaje najbezpieczniejszą podstawą prawną — szczególnie przy ostrożnym podejściu do ePrivacy.

Ale tu pojawia się praktyczny paradoks.

Jeżeli reCAPTCHA ładujemy dopiero po wyrażeniu zgody:

  • brak zgody oznacza brak ochrony,

  • formularz pozostaje narażony na spam,

  • a bot… nie kliknie „Akceptuję”.

To pokazuje, że decyzja o podstawie prawnej nie jest wyłącznie teoretyczna. Ma realny wpływ na funkcjonowanie strony.

5. Nowe DPA. Stare pytania o zgodność.

Od 2 kwietnia sytuacja prawna darmowej wersji reCAPTCHA wygląć bedzie wyraźnie bezpieczniej od strony formalnej.

Z perspektywy kontraktowej to istotna zmiana. Relacja administrator-procesor zostanie najprawdopodobniej formalnie uporządkowana, a model współpracy zbliży się do standardów wynikających z art. 28 RODO.

Nie oznacza to jednak, że temat zgodności można uznać za zamknięty.

Nadal kluczowe pozostaje:

  • ustalenie faktycznego zakresu danych przetwarzanych w konkretnej implementacji,

  • prawidłowe określenie i udokumentowanie podstawy prawnej,

  • zapewnienie spójności pomiędzy polityką prywatności a rzeczywistymi przepływami danych,

  • aktualizacja rejestru czynności przetwarzania,

  • analiza ewentualnych transferów międzynarodowych i stosowanych zabezpieczeń.

Można powiedzieć, że Google wyraźnie zbliża się do europejskich standardów ochrony danych.

Odpowiedzialność za wykazanie zgodności z RODO nadal jednak spoczywa po stronie administratora.

A Twoja strona?

To, co publikujesz na swojej stronie – w tym politykę prywatności – widzą nie tylko użytkownicy.

Widzą to także:

  • konkurencja,

  • niezadowolony klient,

  • partner biznesowy,

  • a w razie potrzeby również organ nadzorczy.

Polityka prywatności nie powinna być dokumentem „z szablonu”. Powinna odzwierciedlać faktyczne procesy przetwarzania danych zachodzące na Twojej stronie.

Czy masz pewność, że:

  • wszystkie używane narzędzia są prawidłowo opisane?

  • wskazano właściwe role podmiotów?

  • podstawa prawna jest realnie przeanalizowana, a nie przyjęta domyślnie?

  • Twoja dokumentacja obroni się w przypadku kontroli?

Pomagamy naszym klientom tak projektować i weryfikować ich dokumentację, aby to, co deklarują na zewnątrz, rzeczywiście odpowiadało temu, co dzieje się „pod maską” strony internetowej.

Jeżeli chcesz sprawdzić, czy Twoja reCAPTCHA to tylko ochrona – czy także potencjalne ryzyko – porozmawiajmy.