Kategoria: Analizy i opinie

Procedura antymobbingowa przestaje być opcją. Pracodawców czekają nowe obowiązki

Procedura antymobbingowa przestaje być dodatkiem „na wszelki wypadek”. Projekt zmian w Kodeksie pracy pokazuje jasno: pracodawcy będą musieli działać aktywnie i stale – a nie tylko reagować na zgłoszenia. Dla wielu organizacji oznacza to konieczność przebudowy dotychczasowego podejścia.

W Sejmie trwają prace nad projektem ustawy o zmianie Kodeksu pracy oraz Kodeksu postępowania cywilnego, który kompleksowo przebudowuje przepisy dotyczące mobbingu, dyskryminacji, naruszeń godności i innych dóbr osobistych pracownika oraz zasady równego traktowania w zatrudnieniu. Projekt został przyjęty przez Radę Ministrów 17 lutego 2026 r., a 25 marca 2026 r. odbyło się jego pierwsze czytanie w Sejmie.

Jeśli nowelizacja przejdzie w obecnym kształcie, pracodawcy będą musieli spojrzeć na ten obszar znacznie szerzej niż dotychczas.

Co dokładnie się zmienia?

Projekt wprowadza kilka kluczowych zmian:

  • upraszcza definicję mobbingu – rezygnuje z wymogu długotrwałości na rzecz uporczywości nękania,
  • nakłada obowiązek aktywnego i stałego przeciwdziałania niepożądanym zjawiskom w miejscu pracy,
  • daje pracodawcy prawo regresu wobec sprawcy (możliwość dochodzenia zwrotu wypłaconego odszkodowania lub zadośćuczynienia).

To zmiany, które mogą wymusić gruntowny przegląd dotychczasowych procedur i polityk HR.

Procedura to za mało – liczy się działanie

Zmiany dotkną zarówno tych pracodawców, którzy już mają wdrożone procedury, jak i tych, którzy do tej pory nie uporządkowali tego obszaru formalnie.

W wielu organizacjach obecne rozwiązania skupiają się głównie na:

  • ścieżce zgłoszenia
  • powołaniu komisji
  • przeprowadzeniu postępowania wyjaśniającego

Tymczasem projekt idzie znacznie dalej.

👉 Liczyć się będzie nie tylko dokument, ale jego praktyczne funkcjonowanie.

Nowe podejście obejmuje:

  • prewencję,
  • wykrywanie nieprawidłowości,
  • właściwe reagowanie,
  • działania naprawcze,
  • realne wsparcie osób dotkniętych niepożądanymi zachowaniami.

Innymi słowy — do przeglądu może trafić nie tylko sama procedura, ale cały model compliance w obszarze HR.

Nowe obowiązki dla pracodawców (również tych, którzy już mają procedury)

Projekt zakłada, że pracodawca zatrudniający co najmniej 9 pracowników będzie musiał:

➡️ ustalić reguły, procedury oraz częstotliwość działań
➡️ w zakresie przeciwdziałania:

  • naruszaniu godności i dóbr osobistych,
  • naruszeniom zasady równego traktowania,
  • dyskryminacji,
  • mobbingowi

…i ująć je w odrębnym regulaminie (chyba że kwestie te są już uregulowane w układzie zbiorowym lub regulaminie pracy).

To oznacza jedno: posiadanie procedury nie będzie już wystarczające.

Brak procedury? To ostatni moment na działanie

Jeszcze większe znaczenie projekt ma dla tych pracodawców, którzy:

  • nie mają żadnej procedury
  • albo ograniczają się do ogólnego zakazu mobbingu w regulaminie pracy

To właśnie oni powinni już teraz zacząć przygotowania:

  • zmapować ryzyka,
  • ustalić kanały zgłoszeń,
  • opracować sposób prowadzenia postępowań,
  • określić zasady dokumentowania działań,
  • wdrożyć ochronę zgłaszających i świadków,
  • zaplanować szkolenia i komunikację wewnętrzną.

👉 Projekt wyraźnie pokazuje, że liczyć się będzie praktyka, a nie tylko zapis w dokumencie.

Mniejsze firmy też nie są poza systemem

Warto podkreślić: projekt nie „zwalnia” mniejszych pracodawców z obowiązków.

Firmy zatrudniające mniej niż 9 osób nadal muszą:

  • przeciwdziałać mobbingowi i innym niepożądanym zjawiskom
  • zakomunikować pracownikom przyjęte zasady i procedury

Różnica polega bardziej na poziomie formalizacji niż na samym obowiązku.

Ciężar dowodu – zmiana, która zmienia wszystko

Projekt przewiduje również istotną zmianę procesową.

W sprawach o naruszenie zasady równego traktowania:

  • pracownik będzie musiał jedynie uprawdopodobnić naruszenie,
  • to pracodawca będzie musiał udowodnić, że do niego nie doszło.

👉 W praktyce oznacza to jedno:
dokumentowanie decyzji kadrowych i działań HR nabiera kluczowego znaczenia.

Dlaczego to realne ryzyko (a nie tylko teoria)

📊 Aż 93% pracowników deklaruje, że doświadczyło zachowań o charakterze mobbingowym (badania Antal i Dobrej Fundacji).

Jednocześnie:

  • tylko 6% skarg uznawanych jest za zasadne (dane PIP)

To nie oznacza, że problem nie istnieje — raczej pokazuje, jak trudna jest jego prawidłowa identyfikacja.

Projekt odpowiada na to m.in. w ten sposób, że:
➡️ sąd będzie zobowiązany ocenić nie tylko mobbing, ale również naruszenie innych dóbr osobistych pracownika

To znacząco poszerza pole ryzyka dla pracodawców.

To nie jest zmiana w dokumentach

To nie jest zmiana „na papierze”.

👉 To zmiana w sposobie zarządzania ryzykiem pracowniczym.

Procedura antymobbingowa przestaje być dodatkiem, a staje się jednym z podstawowych narzędzi organizacyjnych.

Dla jednych będzie to czas aktualizacji istniejących rozwiązań.
Dla innych — ostatni moment, żeby w ogóle zacząć.

👉 Pytanie nie brzmi już „czy masz procedurę”, ale:
czy ona działa i czy jesteś w stanie to wykazać.

Masz wrażenie, że temat mobbingu i procedur antymobbingowych w Twojej organizacji „jest”, ale nie do końca wiadomo, czy działa w praktyce? To dobry moment, żeby się temu przyjrzeć. Jeśli chcesz, sprawdzimy to razem i podpowiemy, co warto zmienić.

📝 Ochrona znaku towarowego przedsiębiorstwa – dlaczego warto o nią zadbać?

Czy ktoś może „zabrać” Twoją nazwę lub logo?

Wyobraź sobie, że przez lata budujesz markę swojej firmy – inwestujesz w marketing, zdobywasz klientów, rozwijasz ofertę. A potem okazuje się, że inna firma zaczyna używać bardzo podobnej nazwy lub logo… i robi to całkowicie legalnie.

To nie jest rzadki scenariusz.

W wielu przypadkach wynika on z jednego błędu: braku rejestracji znaku towarowego na odpowiednio wczesnym etapie działalności.

Czym właściwie jest znak towarowy?

Najprościej mówiąc, znak towarowy to wszystko to, co pozwala klientom rozpoznać Twoją firmę:

  • nazwa,
  • logo,
  • slogan,
  • kolorystyka,
  • a nawet dźwięk.

Z perspektywy prawa znak towarowy to oznaczenie, które odróżnia Twoje produkty lub usługi od konkurencji i może zostać zarejestrowane w odpowiednim rejestrze.

To właśnie on buduje rozpoznawalność marki – i często decyduje o tym, czy klient wybierze właśnie Ciebie.

Dlaczego rejestracja znaku towarowego jest tak ważna?

Rejestracja to nie formalność. To realne narzędzie ochrony biznesu.

Dzięki niej:

  • zyskujesz wyłączne prawo do korzystania ze znaku w określonym zakresie,
  • możesz zakazać konkurencji używania podobnych oznaczeń,
  • zwiększasz wartość swojej firmy (np. przy sprzedaży lub inwestorze),
  • masz dużo silniejszą pozycję w przypadku sporu.

Co ważne – jeśli nie zarejestrujesz znaku, ktoś inny może zrobić to przed Tobą.

I wtedy to on będzie miał prawa, a nie Ty.

Czy każde oznaczenie można zarejestrować?

Nie każde.

Kluczowe jest to, czy znak:

  • pozwala odróżnić Twoją firmę od innych,
  • nie jest zbyt opisowy (np. „Dobre Pieczywo” dla piekarni),
  • da się go jednoznacznie przedstawić w rejestrze.

W praktyce łatwiej zarejestrować oznaczenia bardziej unikalne niż takie, które bezpośrednio opisują produkt lub usługę.

Jaki rodzaj znaku wybrać?

To ma większe znaczenie, niż się wydaje.

  • Znak słowny (np. sama nazwa) daje najszerszą ochronę – niezależnie od czcionki, koloru czy formy zapisu.
  • Znak graficzny lub słowno-graficzny chroni konkretny wygląd (logo, styl, układ).

Dlatego wybór formy zgłoszenia powinien być dopasowany do tego, jak faktycznie budujesz swoją markę.

Czy ochrona działa też za granicą?

Nie automatycznie.

Rejestracja znaku towarowego w Polsce chroni Cię tylko na terenie Polski.
Jeśli działasz lub planujesz działać za granicą – warto rozważyć rozszerzenie ochrony, np.:

  • na całą Unię Europejską (EUIPO),
  • lub międzynarodowo (WIPO).

O czym trzeba pamiętać przy zgłoszeniu?

Jednym z najważniejszych elementów jest wskazanie, dla jakich towarów i usług znak ma być chroniony.

Odbywa się to według tzw. Klasyfikacji Nicejskiej.

To bardzo istotne, bo:
👉 ochrona obejmuje tylko te obszary, które wskażesz w zgłoszeniu
👉 nie działa „automatycznie na wszystko”

Dlatego już na początku warto dobrze przemyśleć, gdzie i jak chcesz rozwijać swoją działalność.

Kiedy dochodzi do naruszenia znaku towarowego?

Najczęściej w praktyce biznesowej – zwłaszcza w marketingu.

Przykłady?

  • konkurencja używa bardzo podobnej nazwy,
  • ktoś tworzy logo łudząco podobne do Twojego,
  • reklama sugeruje powiązanie z Twoją marką,
  • klienci zaczynają mylić firmy.

W takich sytuacjach możesz podjąć konkretne działania:

  • od wezwania do zaprzestania naruszeń,
  • po postępowanie sądowe.

Ale skuteczność tych działań w dużej mierze zależy od tego, czy Twój znak jest zarejestrowany.

Dlaczego warto działać wcześniej, a nie dopiero „gdy coś się stanie”?

Bo wtedy masz przewagę.

Rejestracja znaku towarowego to nie tylko zabezpieczenie „na przyszłość”, ale element strategii biznesowej:

  • chronisz swoje inwestycje w markę,
  • ograniczasz ryzyko sporów,
  • budujesz realną wartość firmy.

💡 Czy Twoja marka jest odpowiednio chroniona?

Jeśli:

  • nie masz pewności, czy Twój znak nadaje się do rejestracji,
  • zastanawiasz się, jaki zakres ochrony wybrać,
  • zauważyłeś, że konkurencja używa podobnego oznaczenia,

👉 warto to sprawdzić

Criteo, cookies i dane klientów – co sklep internetowy powinien sprawdzić przed wdrożeniem

Sklepy internetowe coraz częściej korzystają z zaawansowanych narzędzi marketingowych i analitycznych. Retargeting, personalizacja reklam czy automatyczne dopasowywanie ofert do użytkowników stały się standardem w e-commerce. Problem polega na tym, że wdrożenie takich rozwiązań to nie tylko kwestia techniczna lub marketingowa. Bardzo często wiąże się ono również z przetwarzaniem danych osobowych.

I właśnie w tym miejscu pojawia się pytanie, które z perspektywy prawa bywa kluczowe: co tak naprawdę dzieje się z danymi użytkowników, gdy uruchamiamy takie narzędzie?

Zanim wdrożysz narzędzie marketingowe – sprawdź, jak działa

W praktyce często wygląda to tak: sklep internetowy decyduje się na wdrożenie rozwiązania marketingowego rekomendowanego przez agencję lub partnera technologicznego. Implementacja odbywa się poprzez dodanie odpowiedniego tagu lub skryptu na stronie.

Z perspektywy marketingu to szybki i skuteczny sposób na zwiększenie sprzedaży. Z perspektywy ochrony danych – dopiero początek analizy.

Kluczowe jest ustalenie m.in.:

  • jakie dane są zbierane przez narzędzie,

  • kto jest administratorem tych danych,

  • czy dane są przekazywane innym podmiotom,

  • czy dochodzi do transferów danych poza Europejski Obszar Gospodarczy,

  • oraz jaka jest właściwa podstawa prawna przetwarzania.

Bez tej analizy łatwo przyjąć uproszczone założenie, że skoro użytkownik wyraził zgodę na cookies, to wszystko jest w porządku. W praktyce często okazuje się, że to dopiero jeden z elementów całej układanki.

Przykład: jak działa retargeting Criteo

Dobrym przykładem jest popularne w e-commerce narzędzie retargetingowe Criteo.

W podstawowym modelu część danych o użytkownikach jest zbierana poprzez pliki cookies Criteo, które umożliwiają identyfikowanie użytkownika w sieci i dopasowywanie reklam do jego wcześniejszej aktywności.

Jednocześnie z analizy dokumentacji i sposobu działania narzędzia wynika, że w niektórych konfiguracjach możliwe jest także przekazywanie dodatkowych danych o użytkownikach.

Mogą to być np.:

  • haszowane adresy e-mail,

  • haszowane numery telefonów,

  • identyfikatory użytkowników z systemów CRM sklepu internetowego.

Takie dane mogą być przekazywane do systemów reklamowych w celu dopasowania użytkownika (matching) i jeszcze dokładniejszego targetowania reklam.

I właśnie w tym miejscu zaczyna się prawdziwa analiza prawna.

Zgoda na cookies to nie zawsze wszystko

Wiele organizacji wychodzi z założenia, że skoro użytkownik wyraził zgodę na cookies marketingowe w banerze cookies, to można na tej podstawie prowadzić wszystkie działania związane z retargetingiem.

Tymczasem zgoda na cookies wynika z przepisów dotyczących przechowywania i uzyskiwania dostępu do informacji w urządzeniu użytkownika – w Polsce regulowanych przez Prawo komunikacji elektronicznej. Przepisy te stanowią implementację art. 5 ust. 3 dyrektywy ePrivacy (dyrektywy 2002/58/WE).

Innymi słowy – taka zgoda dotyczy przede wszystkim samego wykorzystania technologii cookies.

Jeżeli jednak w ramach narzędzia marketingowego dochodzi do dodatkowego przekazywania danych osobowych poza tym, co zostało zebrane poprzez pliki cookies, np.:

  • haszowanych adresów e-mail,

  • numerów telefonów,

  • identyfikatorów użytkowników z CRM,

może to stanowić odrębną operację przetwarzania danych osobowych, która wymaga oddzielnej podstawy prawnej na gruncie RODO.

Co na to organy ochrony danych?

W ostatnich latach organy ochrony danych w Europie coraz uważniej przyglądają się mechanizmom dopasowywania użytkowników w systemach reklamowych.

Dobrym przykładem jest Criteo, na które w 2023 r. francuski organ ochrony danych CNIL nałożył karę w wysokości 40 mln euro. Organ uznał m.in., że spółka nie była w stanie wykazać, iż posiada ważną podstawę prawną do przetwarzania danych użytkowników wykorzystywanych w systemie reklamowym, w tym danych pozyskiwanych w ramach mechanizmów retargetingu. CNIL wskazał również na problemy z realizacją praw osób, których dane dotyczą, oraz niewystarczającą transparentność przetwarzania. Sprawa ta pokazuje, że mamy do czynienia z technologią, która już dziś znajduje się pod lupą regulatorów, a jej wdrożenie powinno być poprzedzone rzetelną analizą prawną i techniczną.

Warto wspomnieć także o głośnej sprawie dotyczącej Facebook Custom Audiences. Niemiecki organ ochrony danych uznał, że przekazywanie do Facebooka list klientów zawierających np. adresy e-mail lub numery telefonów – nawet w formie zahaszowanej – wymaga uprzedniej zgody użytkownika.

Co istotne, sąd administracyjny podtrzymał to stanowisko, wskazując, że samo haszowanie danych nie eliminuje ich charakteru jako danych osobowych, ponieważ platforma nadal może przypisać je do konkretnego użytkownika.

Mechanizm działania takich narzędzi jest stosunkowo prosty: reklamodawca przesyła do platformy reklamowej listę klientów (np. adresy e-mail lub numery telefonów), a platforma dopasowuje je do swoich użytkowników i tworzy grupę odbiorców reklamy.

W praktyce oznacza to, że dochodzi do udostępnienia danych osobowych z bazy klientów sklepu internetowego do systemu reklamowego.

Jakie są ryzyka dla e-commerce?

Brak analizy prawnej przy wdrożeniu narzędzia marketingowego może prowadzić do kilku poważnych ryzyk.

Najczęstsze z nich to:

Przekazywanie danych bez podstawy prawnej

Jeżeli sklep przekazuje np. zahaszowane adresy e-mail lub numery telefonów klientów do systemu reklamowego bez odpowiedniej podstawy prawnej, może to zostać uznane za niezgodne z RODO udostępnienie danych osobowych.

Brak informacji dla użytkowników

Użytkownicy powinni być poinformowani nie tylko o cookies, ale również o tym, że ich dane mogą być wykorzystywane w systemach reklamowych do profilowania lub dopasowywania reklam.

Transfery danych poza EOG

W przypadku globalnych platform reklamowych często pojawia się również kwestia transferu danych do państw trzecich.

A co z karami?

RODO przewiduje bardzo wysokie sankcje za naruszenia przepisów dotyczących przetwarzania danych osobowych.

W przypadku poważniejszych naruszeń administracyjne kary pieniężne mogą sięgać nawet 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa.

Organy nadzorcze coraz częściej interesują się właśnie obszarem marketingu cyfrowego i technologii reklamowych, ponieważ to tam dochodzi do najbardziej złożonych przepływów danych.

Podsumowanie

Nowoczesne narzędzia marketingowe potrafią znacząco zwiększyć efektywność sprzedaży w e-commerce. Jednocześnie ich wdrożenie niemal zawsze wiąże się z przetwarzaniem danych osobowych.

Dlatego zamiast zakładać, że „baner cookies załatwia sprawę”, warto sprawdzić:

  • jakie dane są faktycznie przetwarzane,

  • czy przekazywane są identyfikatory z systemów sklepu (np. e-mail, telefon lub ID z CRM),

  • kto odpowiada za przetwarzanie danych,

  • czy dochodzi do transferów danych poza EOG,

  • oraz czy potrzebna jest dodatkowa podstawa prawna przetwarzania.

Dobrze przeprowadzona analiza pozwala uniknąć wielu problemów – a przy okazji uporządkować dokumentację i komunikację z użytkownikami.

👉 Jeśli planujesz wdrożenie narzędzia marketingowego lub chcesz sprawdzić, czy obecne rozwiązania w Twoim sklepie są zgodne z RODO – skontaktuj się z nami. Chętnie pomożemy przeanalizować ich działanie i wskazać bezpieczne rozwiązania.

reCAPTCHA czy ryzyko? Darmowa ochrona, realna odpowiedzialność.

Google reCAPTCHA to jedno z najczęściej stosowanych narzędzi do ochrony formularzy przed spamem i botami. Instalowane szybko, często „domyślnie”, bez głębszej refleksji prawnej.

Przez długi czas darmowa wersja reCAPTCHA budziła istotne wątpliwości z perspektywy RODO: brak umowy powierzenia, niejasny zakres danych, szerokie przetwarzanie behawioralne.

Od 2 kwietnia model prawny ulega zmianie.

Czy to oznacza, że problem zniknął?
Nie do końca.

1. Jak było wcześniej – usługa w zamian za dane

W modelu Free administrator nie płacił pieniędzmi.
„Płatnością” były dane użytkowników.

reCAPTCHA przetwarza m.in.:

  • adres IP,

  • identyfikatory przeglądarki i urządzenia,

  • dane o zachowaniu użytkownika,

  • informacje zbierane przy użyciu cookies i mechanizmów trackingowych.

Darmowa wersja nie była objęta Google Cloud Data Processing Addendum (DPA). Google działał jako niezależny administrator danych, a nie jako procesor w rozumieniu art. 28 RODO.

Oznaczało to:

  • brak umowy powierzenia przetwarzania danych,

  • przetwarzanie danych również do własnych celów Google,

  • ograniczoną możliwość realnej kontroli zakresu przetwarzania przez właściciela strony.

Ten model określaliśmy wprost: usługa w zamian za dane użytkowników.

2. Od 2 kwietnia – Google jako procesor

Google zapowiedział, że od 2 kwietnia darmowa wersja reCAPTCHA zostanie objęta Cloud Data Processing Addendum.

To istotna zmiana.

Oznacza ona, że Google ma działać jako procesor w imieniu klienta, analogicznie jak w przypadku reCAPTCHA Enterprise. DPA — na poziomie ogólnym — zawiera elementy wymagane przez art. 28 RODO.

Z perspektywy formalnej to wyraźny krok w dobrym kierunku:

  • relacja administrator–procesor zostaje uporządkowana,

  • pojawia się umowa powierzenia,

  • model kontraktowy jest bardziej przewidywalny.

Podmiotem przetwarzającym dla klientów europejskich ma być Google Cloud EMEA Limited (Irlandia), czyli unijny podmiot z grupy Google.

Czy to oznacza pełną zgodność?
Nie automatycznie.

3. Transparentność i minimalizacja – nadal otwarte pytania

DPA definiuje zakres danych bardzo szeroko jako:

„Data relating to individuals provided to Google via the Services, by (or at the direction of) Customer or by its End Users.”

Nie wskazuje natomiast konkretnych kategorii danych osobowych.

Na podstawie publicznie dostępnych informacji można przyjąć, że chodzi głównie o dane techniczne i behawioralne służące odróżnieniu człowieka od bota, przetwarzane w dużej mierze tymczasowo.

Jednak:

  • brak precyzyjnego wskazania kategorii danych utrudnia ocenę proporcjonalności,

  • DPA przewiduje okres retencji do 180 dni,

  • administrator musi samodzielnie zweryfikować, jakie dane są faktycznie przetwarzane w jego konkretnej implementacji.

Kluczowy problem nie polega na tym, że dane na pewno są nadmierne.
Problem polega na tym, że administrator musi być w stanie wykazać, że są proporcjonalne i ograniczone do niezbędnego minimum.

To wymaga realnej analizy technicznej, a nie wyłącznie akceptacji warunków Google.

4. Podstawa prawna – uzasadniony interes czy zgoda?

Zabezpieczenie strony przed spamem może stanowić uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Po objęciu reCAPTCHA Free DPA sytuacja jest bezpieczniejsza niż wcześniej. Nadal jednak należy:

  • przeprowadzić i udokumentować test równowagi,

  • ocenić proporcjonalność przetwarzania,

  • zweryfikować zakres danych w praktyce.

Dodatkowo pozostaje kwestia przepisów ePrivacy.

Jeżeli narzędzie wykorzystuje cookies lub technologie podobne i nie jest ściśle niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika, może wymagać uprzedniej zgody.

Czy reCAPTCHA jest „ściśle niezbędne”?

Użytkownik chce wysłać formularz.
Nie żąda przekazania swoich danych podmiotowi trzeciemu w celu analizy ryzyka.

W modelu Free zgoda pozostaje najbezpieczniejszą podstawą prawną — szczególnie przy ostrożnym podejściu do ePrivacy.

Ale tu pojawia się praktyczny paradoks.

Jeżeli reCAPTCHA ładujemy dopiero po wyrażeniu zgody:

  • brak zgody oznacza brak ochrony,

  • formularz pozostaje narażony na spam,

  • a bot… nie kliknie „Akceptuję”.

To pokazuje, że decyzja o podstawie prawnej nie jest wyłącznie teoretyczna. Ma realny wpływ na funkcjonowanie strony.

5. Nowe DPA. Stare pytania o zgodność.

Od 2 kwietnia sytuacja prawna darmowej wersji reCAPTCHA wygląć bedzie wyraźnie bezpieczniej od strony formalnej.

Z perspektywy kontraktowej to istotna zmiana. Relacja administrator-procesor zostanie najprawdopodobniej formalnie uporządkowana, a model współpracy zbliży się do standardów wynikających z art. 28 RODO.

Nie oznacza to jednak, że temat zgodności można uznać za zamknięty.

Nadal kluczowe pozostaje:

  • ustalenie faktycznego zakresu danych przetwarzanych w konkretnej implementacji,

  • prawidłowe określenie i udokumentowanie podstawy prawnej,

  • zapewnienie spójności pomiędzy polityką prywatności a rzeczywistymi przepływami danych,

  • aktualizacja rejestru czynności przetwarzania,

  • analiza ewentualnych transferów międzynarodowych i stosowanych zabezpieczeń.

Można powiedzieć, że Google wyraźnie zbliża się do europejskich standardów ochrony danych.

Odpowiedzialność za wykazanie zgodności z RODO nadal jednak spoczywa po stronie administratora.

A Twoja strona?

To, co publikujesz na swojej stronie – w tym politykę prywatności – widzą nie tylko użytkownicy.

Widzą to także:

  • konkurencja,

  • niezadowolony klient,

  • partner biznesowy,

  • a w razie potrzeby również organ nadzorczy.

Polityka prywatności nie powinna być dokumentem „z szablonu”. Powinna odzwierciedlać faktyczne procesy przetwarzania danych zachodzące na Twojej stronie.

Czy masz pewność, że:

  • wszystkie używane narzędzia są prawidłowo opisane?

  • wskazano właściwe role podmiotów?

  • podstawa prawna jest realnie przeanalizowana, a nie przyjęta domyślnie?

  • Twoja dokumentacja obroni się w przypadku kontroli?

Pomagamy naszym klientom tak projektować i weryfikować ich dokumentację, aby to, co deklarują na zewnątrz, rzeczywiście odpowiadało temu, co dzieje się „pod maską” strony internetowej.

Jeżeli chcesz sprawdzić, czy Twoja reCAPTCHA to tylko ochrona – czy także potencjalne ryzyko – porozmawiajmy.

Pojęcie i obowiązki „Dużego przedsiębiorcy”

Prezentujemy przygotowany przez Zespół JLSW wyciąg najważniejszych informacji na temat Pracowniczych Planów Kapitałowych. Dowiedz się czym jest oraz od kiedy PPK obowiązuje w twojej firmie.

POJĘCIE I OBOWIĄZKI „DUŻEGO PRZEDSIĘBIORCY” W USTAWIE O PRZECIWDZIAŁANIU NADMIERNYM OPÓŹNIENIOM W TRANSAKCJACH HANDLOWYCH

I. Nowelizacja ustawy o terminach zapłaty w transakcjach handlowych.

W związku z wejściem w życie 1 stycznia 2020 r. nowelizacji ustawy z dnia 8 marca 2013 r. o terminach zapłaty w transakcjach handlowych, zwanej odtąd ustawą o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych (dalej jako: „Ustawa”) do Ustawy zostało wprowadzone nowe pojęcie dużego przedsiębiorcy.

Zaliczenie do kat. dużych przedsiębiorców wiąże się z koniecznością spełnienia przez przedsiębiorcę dodatkowych obowiązków wobec kontrahentów oraz sprawozdawczych względem organów państwowych.

II. Pojęcie Dużego Przedsiębiorcy.

Za dużego przedsiębiorcę uznaje się przedsiębiorcę zatrudniającego powyżej 250 pracowników i którego roczny obrót przekracza 50 milionów EUR lub roczna suma bilansowa przekracza 43 miliony EUR.

Przy kwalifikowaniu przedsiębiorcy do powyższej kategorii wlicza się również dane z przedsiębiorstw powiązanych oraz partnerskich.

Za przedsiębiorstwa powiązane uznaje się takie pomiędzy którymi zachodzi stosunek dominacji i zależność, np. gdy jedno z przedsiębiorstwo posiada większość udziałów drugiego przedsiębiorstwa i ma pełną kontrolę nad jego działalnością, wówczas podlicza się ogół pracowników i roczny obrót obu przedsiębiorstw i na tej podstawie bada się, czy zaliczają się one do kat. dużych przedsiębiorców.

Za przedsiębiorstwa partnerskie uznaje się przedsiębiorstwa, w których ponad 25% udziałów posiada inne przedsiębiorstwo, ale przedsiębiorstwo to nie ma nad nim pełnej kontroli, przedsiębiorstwa będące w takim stosunku uznaje się za partnerskie i do ogółu pracowników i rocznego obrotu jednego wlicza się ogół pracowników i roczny obrót drugiego przedsiębiorstwa w stopniu proporcjonalnym do procentowego udziału w kapitale lub prawach głosu (zależnie od tego, która z tych wartości jest większa) i na tej podstawie bada się czy przedsiębiorstwa zaliczają się do kat. dużych przedsiębiorców.

III. Obowiązki „Dużego przedsiębiorcy.
Nowelizacja przepisów Ustawy nakłada na dużych przedsiębiorców 3 główne obowiązki i ograniczenia:

    1. Obowiązek składania oświadczenia o statusie dużego przedsiębiorcy przy zawieraniu każdej transakcji handlowej, w której przedsiębiorca występuje jako dłużnik (za dłużnika uznaje się podmiot zobowiązany do spełnienia świadczenia pieniężnego), niezależnie od tego do jakiej kategorii przedsiębiorstw kwalifikuje się druga strona transakcji (oprócz kat. dużych przedsiębiorstw, wyróżnia się również mikro, małych i średnich – MŚP, są nimi wszystkie podmioty nie zaliczane do kat. dużych przedsiębiorstw).
    1. Jeżeli dłużnikiem zobowiązanym do zapłaty za towary lub usługi jest duży przedsiębiorca, a wierzycielem jest MŚP, to termin zapłaty określony w umowie nie może przekraczać 60 dni, liczonych od dnia doręczenia dłużnikowi faktury lub rachunku, potwierdzających dostawę towaru lub wykonanie usługi, w przypadku, gdy strony ustalą harmonogram spełnienia świadczenia pieniężnego w częściach, termin ten stosuje się do zapłaty każdej części świadczenia pieniężnego.
      W przypadku umów zawieranych między dużymi przedsiębiorcami możliwe jest ustalenie dłuższego terminu zapłaty, należy przy tym jednak uważać na MŚP podających się za dużych przedsiębiorców, nie będąc nimi w rzeczywistości, ponieważ w przypadku ewentualnego konfliktu prawnego nie można powoływać się na złożone przez MŚP oświadczenie o byciu dużym przedsiębiorcom, należy zatem każdorazowo samodzielnie badać, czy dane przedsiębiorstwo zaliczane jest do kat. dużych i czy w umowie z nim można zastosować dłuższy niż 60 dniowy termin spłaty zobowiązań.
  2. Przedsiębiorcy, którzy osiągnęli w roku podatkowym przychód w wysokości odpowiadającej w złotych kwocie 50 000 000 euro lub byli częścią podatkowej grupy kapitałowej będą zobowiązani przekazywać, drogą elektroniczną, ministrowi właściwemu do spraw gospodarki, w terminie do dnia 31 stycznia każdego roku, sprawozdanie o stosowanych w poprzednim roku kalendarzowym terminach zapłaty w transakcjach handlowych, obowiązek ten nie odnosi się wprost do kat. dużych przedsiębiorstw, jednak na podstawie powyższych kryteriów należy uznać, że wielu dużych przedsiębiorców będzie zobowiązanych do składania takich sprawozdań, pierwsze ze sprawozdań o stosowanych w poprzednim roku kalendarzowym terminach zapłaty będzie trzeba złożyć do 31 stycznia 2021 r.

IV. Konsekwencje niestosowania się do przepisów.

Za nieskładanie oświadczeń o statusie dużego przedsiębiorcy oraz sprawozdań o stosowanych w poprzednim roku kalendarzowym terminach zapłaty grozi kara grzywny, natomiast wprowadzenie do umowy między dużym przedsiębiorcą, a MŚP terminów zapłaty przekraczających 60 dni powoduje ich nieważność i zastąpienie ich maksymalnymi terminami 60 dniowymi.

Pracownicze Plany Kapitałowe

Prezentujemy przygotowany przez Zespół JLSW wyciąg najważniejszych informacji na temat Pracowniczych Planów Kapitałowych. Dowiedz się czym jest oraz od kiedy PPK obowiązuje w twojej firmie.

Od dnia 1 stycznia 2020 r. ustawa o Pracowniczych Planach Kapitałowych obowiązuje kolejną grupę pracodawców, zatrudniających mniej niż 250, lecz co najmniej 50 osób według stanu na dzień 30 czerwca 2019 r. Kolejna grupa pracodawców (zatrudniających na dzień 31 grudnia 2019 r. co najmniej 20 osób) zostanie objęta przepisami ustawy o PPK z dniem 1 lipca 2020 r.

 

Co to są PPK?

Pracownicze Plany Kapitałowe to rodzaj indywidualnych kont oszczędnościowych, prowadzonych przez upoważnione instytucje, na które pracodawca odprowadza co miesiąc składki w ustalonej wysokości w imieniu swoim i osoby zatrudnionej. W założeniu ustawodawcy, PPK są systemem całkowicie odrębnym od powszechnego systemu ubezpieczeń społecznych, stanowiącym dobrowolne narzędzie gromadzenia oszczędności.

Fundusze zgromadzone w PPK są prywatną własnością pracowników. Po ukończeniu 60 lat (wyjątkowo wcześniej, w przypadkach wskazanych w ustawie) pracownik może dowolnie dysponować zgromadzonymi środkami, bez względu na to, czy nadal pracuje, czy nie.

 

Kto podlega PPK?

W rozumieniu ustawy o PPK, pracodawca to nie tylko podmiot zatrudniający pracowników, ale też: zleceniodawca, nakładca, rolnicza spółdzielnia produkcyjna lub spółdzielnia kółek rolniczych oraz podmioty, w których działa rada nadzorcza, jeżeli jej członkowie są wynagradzani z tytułu pełnienia funkcji.

Z kolei za osoby zatrudnione uważać należy osoby podlegające obowiązkowo ubezpieczeniom emerytalnemu i rentowym. Są to:

  • pracownicy w rozumieniu Kodeksu pracy (poza pracownikami przebywającymi na urlopach górniczych oraz młodocianych),
  • osoby fizyczne, które ukończyły 18 lat, wykonujące pracę nakładczą, pracę na podstawie umowy agencyjnej lub umowy zlecenia albo innej umowy o świadczenie usług, do której zgodnie z Kodeksem cywilnym stosuje się przepisy dotyczące zlecenia,
  • członkowie rad nadzorczych wynagradzani z tytułu pełnienia funkcji,
  • ww. osoby przebywające na urlopach wychowawczych lub pobierające zasiłek macierzyński lub zasiłek w wysokości zasiłku macierzyńskiego (poza członkami rad nadzorczych).

 

Umowa o zarządzanie a umowa o prowadzenie PPK

Umowę o zarządzanie PPK pracodawca zawiera, jeżeli zatrudnia co najmniej jedną osobę, w imieniu której jest obowiązany do zawarcia umowy o prowadzenie PPK. Podmiot zatrudniający co najmniej 50 pracowników ma na to czas najpóźniej do dnia 24 kwietnia 2020 r.

Z kolei umowę o prowadzenie PPK pracodawca zawiera z tą samą instytucją, z którą zawarł umowę o zarządzanie PPK, najpóźniej do dnia 11 maja 2020 r. Jest to umowa zawierana zbiorczo w imieniu i na rzecz osób zatrudnionych – nie ma zatem konieczności zawierania umowy dla każdego z pracowników z osobna.

Pracodawca zawiera umowy o prowadzenie PPK w imieniu osób zatrudnionych pomiędzy 18. i 55. rokiem życia, o ile wcześniej nie zrezygnowały one z dokonywania wpłat do PPK. Zatrudnieni w wieku od 55 do 70 lat również są objęci PPK, jednak tylko na ich wniosek.

 

Wpłaty do PPK

Na środki gromadzone na indywidualnych rachunkach PPK składają się kwoty wpłacane przez państwo, osobę zatrudnioną oraz pracodawcę. Pracodawca i pracownik odprowadzają składki obowiązkowe w wyznaczonej ustawą wysokości. Mogą oni jednak zadeklarować także dodatkową, dobrowolną wpłatę.

Składki osób zatrudnionych są pobierane z ich wynagrodzenia. Co ważne, wpłaty pracodawcy nie mogą być potrącone z pensji pracownika.

Wpłata obligatoryjna pracodawcy wynosi 1,5% wartości wynagrodzenia brutto pracownika, natomiast wpłata obligatoryjna pracownika wynosi 2% jego wynagrodzenia brutto. Wysokość wpłat obligatoryjnych jest niezmienna, jednakże w przypadkach uzasadnionych sytuacją życiową, zdrowotną oraz materialną pracownika, wysokość wpłaty może zostać zmniejszona do maksymalnie 0,5% wartości wynagrodzenia brutto pracownika.

Wpłaty dodatkowe są wpłatami dobrowolnymi, co oznacza, że zarówno pracodawca jak i pracownik mogą całkowicie zrezygnować z ich odprowadzania. Ponadto, chęć odprowadzania składek na rachunek PPK przez pracodawcę nie obliguje do tego pracownika – i odwrotnie.

Wysokość wpłaty dodatkowej ze strony pracodawcy wynosi maksymalnie 2,5% wynagrodzenia brutto pracownika, natomiast wpłata dodatkowa pracownika może osiągnąć maksymalnie 2% wartości jego wynagrodzenia brutto.

Łącznie, na rachunek PPK maksymalnie może trafić 8% wartości wynagrodzenia pracownika brutto miesięcznie.

 

Instytucje finansowe

Zarządzaniem i prowadzeniem PPK zajmować się mogą wyłącznie podmioty wpisane do ewidencji PPK. Pracodawca wybiera taką instytucję w porozumieniu z organizacją związkową, a jeśli takowa u niego nie występuje – z reprezentacją pracowników, wyłonioną w sposób przyjęty u danego pracodawcy. Niedopuszczalne jest jednostronne wyznaczenie takiej reprezentacji przez pracodawcę.

Jeżeli na miesiąc przed upływem terminu do zawarcia umowy o zarządzanie PPK nie zostanie zawarte porozumienie z pracownikami co do wyboru instytucji (na przykład, gdy brak jest chętnych do reprezentowania pracowników), pracodawca ma prawo wyboru instytucji finansowej samodzielnie.

Zgłaszanie beneficjentów rzeczywistych do CRBR a problemy praktyczne

Zgłaszanie beneficjentów rzeczywistych do CRBR, a problemy praktyczne. Dowiedz się więcej o nowy przepisach i obowiązkach związanych z CRBR.

Wraz z wejściem w życie przepisów dotyczących Centralnego Rejestru Beneficjentów Rzeczywistych, tj. z dniem 13 października 2019 roku,większość spółek prawa handlowego została zobowiązana do zgłaszania do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR) informacji o beneficjentach rzeczywistych, tj. osobach fizycznych sprawujących bezpośrednią lub pośrednią kontrolę nad spółką. Obecnie obowiązek dokonania zgłoszeń spoczywa na następujących podmiotach:

– spółkach jawnych,

– spółkach komandytowych,

– spółkach komandytowo-akcyjnych,

– spółkach z ograniczoną odpowiedzialnością,

– spółkach akcyjnych, z wyjątkiem spółek publicznych w rozumieniu ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych (Dz. U. z 2019 r. poz. 623).

Po kilku miesiącach funkcjonowania rejestru zaobserwować można szereg problemów, które ujawniły się wraz z wypełnianiem przez spółki ciążącego na nich obowiązku dokonania zgłoszenia.

Określenie charakteru uprawnień beneficjenta rzeczywistego

Jedną z głównych kwestii, która budzi wątpliwości jest określenie charakteru, w jakim beneficjent rzeczywisty/reprezentant spółki powinien zostać wpisany do CRBR. Zgłaszający mają do wyboru wskazanie jednego z trzech wariantów:

  • bezpośrednie uprawnienia właścicielskie/reprezentant,
  • pośrednie uprawnienia właścicielskie,
  • inne uprawnienia.

W ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu kryteria te nie zostały wprost wymienione. Pojawia się zatem problem jak zakwalifikować beneficjenta rzeczywistego spółki, do jakiej kategorii uprawnień go przyporządkować. Z biegiem czasu sytuacja powinna się jednak wyklarować. Wszelkie wątpliwości zostałyby rozwiane, gdyby Generalny Inspektor Informacji Finansowej wydał oficjalny komunikat w tym zakresie.

Osoby uprawnione do dokonania zgłoszenia

Dane do CRBR może zgłosić wyłącznie osoba uprawniona do reprezentacji spółki. Zgodnie z art. 61 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, nie ma możliwości powierzenia tego zadania innym osobom, w tym pełnomocnikom. Stwarza to duże problemy, bowiem często osoby uprawnione do reprezentacji danego podmiotu nie mają dostatecznej wiedzy w jaki sposób poprawnie wypełnić formularz zgłoszeniowy i jak skutecznie go wysłać.

Termin na zgłoszenie zmian do CRBR

Wątpliwości stwarza również termin na zgłoszenie zmian do CRBR. Kluczową kwestią jest rozróżnienie zmian obowiązujących od momentu ich zaistnienia (wpis do KRS mający charakter deklaratoryjny) od tych, które obowiązują dopiero w momencie ich wpisu do KRS (wpis konstytutywny). Biorąc pod uwagę powyższe rozróżnienie trzeba pamiętać o tym, że zmiany informacji przekazanych do CRBR należy zgłaszać  w terminie 7 dni od ich zmiany:

  • w przypadku zmian mających charakter konstytutywny – od ich wpisania do KRS,
  • w przypadku zmian mających charakter deklaratoryjny – od momentu ich zaistnienia.

Kwalifikowany podpis elektroniczny a PESEL

Duże problemy ze zgłoszeniem beneficjentów rzeczywistych do CRBR pojawiły się w przypadku składania zgłoszeń przez obcokrajowców. Zgodnie z obowiązującymi przepisami, zgłoszenie można uwierzytelnić kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym. Podpisywanie zgłoszenia jest jednak dokonywane przez ePUAP, który nie respektuje podpisów kwalifikowanych, w których nie ujawniono PESEL. W praktyce jednak wielu członków zarządów podmiotów zagranicznych jest wyposażonych w kwalifikowane e-podpisy bez ujawnionego w certyfikacie numeru PESEL, albo też korzysta z zagranicznych kwalifikowanych e-podpisów wydanych w innych krajach UE. W takim przypadku złożenie zgłoszenia do CRBR staje się bardzo utrudnione i wymaga od takich osób uprzedniego wystąpienia o nadanie numeru PESEL.

Podsumowanie

Dokonanie zgłoszenia beneficjenta rzeczywistego do CRBR może okazać się nie lada wyzwaniem, w szczególności dla podmiotów o złożonej strukturze kapitałowej. Już samo określenie rodzaju uprawnień jakie przysługują konkretnym osobom może sprawić wiele trudności. Poza tym, osoby dokonujące zgłoszenia, a przede wszystkim cudzoziemcy, muszą pamiętać o konieczności pozyskania numeru PESEL oraz kwalifikowanego podpisu elektronicznego lub profilu zaufanego ePUAP.