DANE OSOBOWE I PRYWATNOŚĆ
W dniu 19.1.2022 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył rekordową karę pieniężną w wysokości 4,9 mln zł na administratora (Fortum Marketing and Sales Polska S.A.), równocześnie wymierzając karę 250 tys. zł podmiotowi przetwarzającemu (procesorowi) – PIKA S.A.
Podstawą do wszczęcia postępowania i nałożenia wyżej wymienionych kar było naruszenie ochrony danych, polegające na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Do sytuacji tej doszło w trakcie wprowadzania przez podmiot przetwarzający zmian w systemie IT administratora. O incydencie tym administrator powiadomił zarówno organ, jak i – w wykonaniu wezwania PUODO – zainteresowane podmioty danych.
W trakcie prowadzonego postępowania ustalono, że po stronie PIKA S.A. doszło do naruszenia szeregu wymogów zabezpieczenia danych, określonych w:
1) w RODO,
2) powszechnie obowiązujących standardach bezpieczeństwa oraz
3) postanowieniach wiążącej strony umowy powierzenia danych.
Organ podkreślił przy tym, że jak wynika z art. 32 ust. 1 RODO, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, co miało kluczowe znaczenie w omawianej sprawie, ponieważ do naruszenia ochrony danych osobowych doszło m.in. w wyniku niezastosowania przez podmiot przetwarzający wymogów wynikających z normy PN-EN ISO/IEC 27001:2017-06. Te właśnie okoliczności przesądziły o nałożeniu kary na ten podmiot.
Podstawą ukarania administratora było – wynikłe z zaniedbań procesora – niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, a także niedokonanie odpowiedniej weryfikacji podmiotu przetwarzającego. Szczególnie istotne są w związku z tym argumenty podniesione przez PUODO w związku z zarzutem braku należytego nadzoru przez administratora.
Po pierwsze, organ podkreślił, że przed zawarciem umowy powierzenia przetwarzania danych, administrator jest zobowiązany do przeprowadzenia weryfikacji podmiotu przetwarzającego. Z obowiązku tego nie zwalnia go okoliczność wcześniejszej, jak to miało miejsce w niniejszej sprawie, długotrwałej współpracy z podmiotem przetwarzającym. W tym kontekście bez znaczenia jest również, że uprzednio nie doszło do incydentów bezpieczeństwa, a podmiot przetwarzający jest jednym z liderów w dziedzinie świadczonych usług.
Po drugie, organ zarzucił administratorowi, że pomimo posiadanych procedur oraz wiedzy, w trakcie trwania umowy nie prowadził nadzoru nad tym, czy realizowane przez podmiot przetwarzający wdrożenie IT faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami oraz umową powierzenia przetwarzania danych osobowych.
Po trzecie, PUODO wskazał, że administrator przed wszczęciem postępowania nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy PIKA w sposób prawidłowy realizuje swoje obowiązki wynikające z RODO. Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Zdaniem organu, przepis ten daje zatem administratorowi pewne narzędzia (korzystanie z których może zapewnić), że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami RODO. Przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem, w czasie korzystania przez niego z usług podmiotu przetwarzającego, dysponować wiedzą czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w RODO. Nie ulega wątpliwości, że najskuteczniejszym sposobem zapewnienia sobie tej wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa administrator jednak nie zastosował, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych.
Decyzja wydana w analizowanej sprawie ma bardzo istotne znaczenie dla rynku usług outsourcingu IT. Nałożenie rekordowej kary pieniężnej uwypukliło bowiem ryzyka po stronie zamawiającego te usługi (administratora danych). Może on bowiem zostać ukarany za zaniechania podmiotu przetwarzającego. W tym kontekście szczególnie istotny jest obowiązek weryfikacji podmiotu przetwarzającego zarówno na etapie zawarcia umowy powierzenia danych, jak i jej realizacji. Pomimo że nie wynika to bezpośrednio z przepisów, to PUODO podkreśliło w tym względzie znaczenie audytów jako narzędzia do weryfikacji wypełnienia przez procesora wymogów RODO oraz umowy powierzenia.
www.uodo.gov.pl/decyzje/DKN.5130.2215.2020
[oprac. X. Konarski]
Cyberbezpieczeństwo
Trwają ataki haktywistów Anonymous na rosyjskie instytucje
W odwecie za atak na Ukrainę, kolektyw Anonymous wypowiedział wojnę rosyjskiemu rządowi. Aktualnie kontynuowane są działania w cyberprzestrzeni.
Haktywiści prowadzą ataki typu DDoS blokujące możliwość korzystania z usług online (w tym stron internetowych) rosyjskich urzędów (min. FSB – rosyjskiej służby bezpieczeństwa) i instytucji prywatnych. Na zablokowanych stronach internetowych zostały wyświetlone własne komunikaty członków Anonymous. Zostały przez nich przeprowadzone skuteczne ataki na rosyjskie media i satelity szpiegowskie. „Haktywiści” włamali się do rosyjskich serwisów streamingowych Wink i Ivi oraz państwowych kanałów telewizyjnych Russia 24, Channel One, Moscow 24. W serwisach i telewizji zaczęli transmitować materiały wojenne i apel o zaprzestanie działań wojennych Rosji w Ukrainie. Ostatnio członek kolektywu Anonymous posługujący się na Twitterze pseudonimem DepaixPorteur sugerował zakończone sukcesem przejęcie ponad 400 kamer rosyjskiego monitoringu publicznego.
Działania Anonymous mają na celu dotarcie i uświadomienie rosyjskiego społeczeństwa na temat faktów związanych z napaścią na Ukrainę. Tymczasem retoryka Kremla skierowana do rosyjskiego społeczeństwa przedstawia wojnę w Ukrainie w zupełnie innym świetle.
Zaangażowanie się Anonymous w obronę Ukrainy budzi wiele emocji. Niezależnie od oceny etycznej podejmowanych przez nich działań, należy mieć na uwadze także możliwe niebezpieczeństwa. Przede wszystkim pro-rosyjskie grupy hakerów zapowiedziały działania odwetowe. Samo zjawisko cyberwojny może się także rozwinąć na niekontrolowaną skalę, zaś jej skutki są w tym momencie trudne do przewidzenia.
Trzeci stopień alarmowy CHARLIE–CRP na terytorium całego kraju
W związku z konfliktem zbrojnym w Ukrainie oraz towarzyszącym mu atakom w cyberprzestrzeni, Premier Mateusz Morawiecki podpisał zarządzenie przedłużające obowiązywanie trzeciego stopnia alarmowego CHARLIE–CRP na terytorium całego kraju.
Na wprowadzenie jednego z czterech stopni alarmowych pozwala ustawa z 10.6.2016 r. o działaniach antyterrorystycznych. Zgodnie z treścią art. 15 ust. 5 ww. ustawy trzeci stopień można wprowadzić w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, godzącego w: bezpieczeństwo lub porządek publiczny albo bezpieczeństwo Rzeczypospolitej Polskiej, albo bezpieczeństwo innego państwa lub organizacji międzynarodowej oraz stwarzającego potencjalne zagrożenie dla Rzeczypospolitej Polskiej lub uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym na terytorium Rzeczypospolitej Polskiej, lub uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym, którego skutki mogą dotyczyć obywateli polskich przebywających za granicą lub instytucji polskich albo polskiej infrastruktury mieszczących się poza granicami Rzeczypospolitej Polskiej.
Natomiast katalog czynności, jakie powinny zostać podjęte po wprowadzeniu poszczególnych stopni alarmowych, określa rozporządzenie Prezesa Rady Ministrów z 25.7.2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP.
Rosja wprowadza zmiany w „swoim” Internecie
Rosja nie odcina się od Internetu, lecz wprowadza zmiany w zarządzaniu nim.
Ze względu na liczne ataki hakerskie wymierzone w rosyjską infrastrukturę, władze rosyjskie zapowiedziały przeprowadzenie szeregu zmian, w tym wprowadzenie odpowiedniej polityki haseł dostępu do konta mających dostęp do ustawień DNS (serwery odpowiedzialne za system nazw domenowych), przejście na rosyjskie DNSy, zaprzestanie używania zasobów hostowanych bezpośrednio z serwerów zagranicznych, przeniesienie systemów hostowanych do Rosji, przeniesienie używanych zagranicznych nazw domen do domeny .ru.
[oprac. A. Piechocki]
Handel elektroniczny
Projekt rozporządzenia Parlamentu Europejskiego i Rady dotyczącego zharmonizowanych reguł uczciwego dostępu do danych i korzystania z nich
23.2.2022 r. Komisja Europejska zaprezentowała projekt tzw. rozporządzenia Data Act.
Celem przyszłej regulacji jest zapewnienie dostępu do danych, które powstają w trakcie korzystania z produktów i związanych z nimi usług. Dostęp miałby być zapewniony użytkownikom, podmiotom z sektora publicznego oraz organom unijnym. Przykładami takich produktów mogą być samochody autonomiczne, roboty czy urządzenia wchodzące w skład tzw. inteligentnego domu.
Projekt przewiduje obowiązki odnoszące się już do samego projektowania i wytwarzania produktów i związanych z nimi usług. Wynika z nich konieczność takiego projektowania produktów, aby domyślnie zapewniały łatwy i bezpieczny dostęp do danych dla użytkownika. Użytkownik z kolei będzie miał prawo dostępu do danych, ale także udostępniania ich osobom trzecim.
Aktualnie rozpoczyna się unijny proces legislacyjny
Projekt ustawy o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw
Trwają prace legislacyjne nad projektem ustawy o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw, której celem jest implementowanie do prawa polskiego tzw. dyrektywy Omnibus (dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 z 27.11.2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywę Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE) w odniesieniu do lepszego egzekwowania i unowocześniania unijnych przepisów dotyczących ochrony konsumentów.
Z perspektywy handlu elektronicznego wprowadzane są trzy istotne zmiany. Po pierwsze, obowiązek podawania na stronie m.in. e-sklepu numeru telefonu przedsiębiorcy. Po drugie, nieuczciwą praktyką rynkową stanie się twierdzenie przez przedsiębiorcę, że opinie o produkcie zostały zamieszczone przez konsumentów, którzy używali danego produktu lub go nabyli, jeżeli przedsiębiorca ten nie podjął uzasadnionych i proporcjonalnych kroków w celu sprawdzenia, czy opinie te pochodzą od tych konsumentów. Po trzecie, zmienią się zasady informowania o cenach promocyjnych. Poza dotychczasową oraz promocyjną ceną pojawi się konieczność prezentowania także najniższej ceny towaru lub usługi, jaka obowiązywała w okresie 30 dni przed wprowadzeniem obniżki.
Dodatkowo, pojawią się nowe obowiązki informacyjne dla platform internetowych nakierowane na większą transparentność czy zakup dokonywany jest od przedsiębiorcy oraz czy kupującemu przysługuje ochrona konsumencka.
Aktualnie toczą się prace legislacyjne na poziomie Rady Ministrów
[oprac. W. Chomiczewski]
Innowacje
Europejska deklaracja praw i zasad cyfrowych w cyfrowej dekadzie
Komisja Europejska 26.1.2022 r. przedstawiła projekt Europejskiej deklaracji praw i zasad cyfrowych w cyfrowej dekadzie (European Declaration on Digital Rights and Principles for the Digital Decade; dalej jako: Deklaracja). Deklaracja obejmuje sześć rozdziałów: „Ukierunkowanie transformacji cyfrowej na człowieka”, „Solidarność i wyłączenie społeczne”, „Swoboda wyboru”, „Udział w cyfrowej przestrzeni publicznej”, „Bezpieczeństwo, ochrona i wzmocnienie pozycji” oraz „Zrównoważoność”.
W preambule do Deklaracji stwierdzono, że transformacja cyfrowa oddziałuje na każdy aspekt życia człowieka. Jakkolwiek może ona przyczynić się do poprawy jakości życia jednostek czy wzrostu gospodarczego, to jednocześnie stwarza nowe wyzwania. Zauważono przy tym, że podejście Unii Europejskiej do transformacji cyfrowej powinno mieć na względzie m.in. suwerenność cyfrową, respektowanie praw podstawowych, bezpieczeństwo, zaufanie do technologii, równość oraz wyłączenia społeczne. Wreszcie celem Deklaracji jest określenie wspólnych intencji politycznych względem transformacji cyfrowej. Tym samym może ona służyć jako źródło odniesienia dla podmiotów zaangażowanych w opracowywanie i wdrażanie nowych technologii, w tym również decydentów politycznych w tej dziedzinie.
W rozdziale I, zatytułowanym: „Ukierunkowanie transformacji cyfrowej na człowieka”, podkreśla się, że w centrum transformacji cyfrowej powinien znajdować się człowiek. Uznano, że transformacja cyfrowa powinna służyć poprawie jakości życia wszystkich Europejczyków. W Deklaracji zobowiązano się do przyjęcia niezbędnych środków dla poszanowania praw jednostek.
W rozdziale II, poświęconym solidarności i wyłączeniom społecznym, podkreślono że każdy powinien mieć dostęp do technologii, a technologia nie może tworzyć podziałów pomiędzy ludźmi. W uczestnictwie w transformacji cyfrowej nikt nie może być pomijany, w szczególności opowiedziano się za zasadnością objęcia tą transformacją osób starszych, osób z niepełnosprawnościami, a także osób z innych względów marginalizowanych. Wskazano przy tym, że konieczne jest zapewnienie wszystkim dostępu do doskonałej łączności z Internetem przy zachowaniu jego neutralności i otwartości. W przedmiotowym rozdziale uznano, że wszyscy powinni mieć dostęp do kluczowych usług publicznych w Unii Europejskiej, w tym dostęp do informacji rządowych oraz do cyfrowych usług zdrowotnych i opiekuńczych.
W rozdziale III, zatytułowanym: „Swoboda wyboru”, odniesiono się do kwestii interakcji z algorytmami i systemami sztucznej inteligencji. Każdy powinien być chroniony przed ewentualnymi zagrożeniami płynącymi z działania sztucznej inteligencji. W tym kontekście uznano, że istotne jest zapewnienie przejrzystości w związku z korzystaniem ze sztucznej inteligencji. Ponadto, że konieczne jest zapewnienie, aby algorytmy systemów opierały się na odpowiednich zbiorach danych, które będą wykluczać ewentualną dyskryminację i gwarantować sprawowanie nadzoru przez człowieka.
W rozdziale IV („Udział w cyfrowej przestrzeni publicznej”) przyjęto, że każdy powinien mieć dostęp do wiarygodnego i zróżnicowanego środowiska internetowego. Zauważono, że różnorodność treści w środowisku cyfrowym sprzyja pluralistycznej debacie publicznej. Ponadto, konieczne jest ograniczenie ryzyk wynikających z różnego rodzaju dezinformacji w sieci, przy zachowaniu poszanowania wolności wypowiedzi.
W rozdziale V, dotyczącym bezpieczeństwa, ochrony i wzmocnienia pozycji, wskazuje się, że każdy powinien mieć dostęp do bezpiecznych i chroniących prywatność technologii cyfrowych. Zwrócono uwagę na potrzebę ochrony przed cyberatakami, naruszeniami danych, kradzieżą tożsamości cyfrowej lub manipulacją. Przy tym, każdy ma prawo do ochrony swoich danych w Internecie, zaś prawo to powinno obejmować sposób, w jaki dane są wykorzystane i komu są udostępniane. Zwrócono również uwagę na potrzebę ochrony dzieci i młodzieży w Internecie tak, aby miały one możliwość dokonywania wyborów w bezpieczny i świadomy sposób. Konieczne jest zatem zapewnienie pozytywnego i bezpiecznego środowiska cyfrowego również dla dzieci i młodzieży oraz ich ochrona przed szkodliwymi lub nielegalnymi treściami.
Wreszcie, w rozdziale VI, zatytułowanym: „Zrównoważoność” wskazano, że produkty i usługi cyfrowe powinny mieć jak najmniej negatywny wpływ na środowisko i społeczeństwo. Przy tym odnosi się to do wszelkich etapów ich funkcjonowania, w tym do projektowania, produkowania, wykorzystywania czy usuwania.
Do lata 2022 r., przedstawiony przez Komisję Europejską projekt Deklaracji Parlamentowi Europejskiemu i Radzie, powinien zostać zatwierdzony.
digital-strategy.ec.europa.eu/en/library/declaration-european-digital-rights-and-principles
[oprac. dr A. Auleytner, dr M.J. Stępień]
Internet i media
Kanał na YouTube jako usługa VOD – obowiązek zgłoszenia i inne wymogi wynikające z ustawy o radiofonii i telewizji
Krajowa Rada Radiofonii i Telewizji (dalej jako: KRRiT) wydała komunikat, w którym przypomniała o obowiązku zgłoszenia o wpis do wykazu prowadzonego przez Przewodniczącego Krajowej Rady Radiofonii i Telewizji. W komunikacie potwierdzono również, że – po spełnieniu określonych przesłanek – obowiązek zgłoszenia, a w konsekwencji i inne obowiązki spoczywające na dostawcach VOD, obejmują również podmioty prowadzące profesjonalne kanały na portalach udostępniania wideo, w tym na platformie YouTube.
Obowiązek zgłoszenia o wpis do wykazu dostawców VOD wprowadzony został ustawą z 11.8.2021 r. o zmianie ustawy o radiofonii i telewizji oraz ustawy o kinematografii). Pomimo że zmiany nie dotyczyły samego zakresu audiowizualnej usługi medialnej na żądanie, KRRiT jasno stwierdziła, że zakres definicji usługi VOD obejmuje także kanały prowadzone na platformach udostępniania wideo. Oznacza to, że jeśli kanał na platformie udostępniania wideo udostępniany jest w ramach prowadzonej w tym zakresie działalności gospodarczej, powinien on spełniać wszystkie wymogi ustawy z 29.12.1992 r. o radiofonii i telewizji. Ma to szczególne znaczenie w przypadku kanałów cechujących się dużym stopniem zorganizowania, komercyjnym charakterem oraz dużymi zasięgami.
Termin na zgłoszenie o wpis do wykazów dla podmiotów dostarczających audiowizualne usługi medialne na żądanie (dostawcy VOD) oraz dostawców platform udostępniania wideo, którzy prowadzili działalność w dniu 1.11.2021 r., upłynął 1.2.2022 r. W przypadku podmiotów, które dopiero rozpoczną działalność, zgłoszenia należy dokonać nie później niż 14 dni przed dniem rozpoczęcia dostarczania usług VOD czy dostarczania platformy wideo.
Zgłoszenie to ma wyłącznie charakter formalny, jednak w przypadku braku zgłoszenia, KRRiT może nałożyć karę pieniężną w wysokości do dwudziestokrotności przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw.
Link do komunikatu: www.gov.pl/web/krrit/obowiazek-zgloszenia-o-wpis-do-wykazow-dla-dostawcow-vsp-i-vod
TSUE: właściwość w sprawach o naruszenia prawa w sieci (Gtflix TV przeciwko D.R., C-251/20)
21.12.2021 r. zapadł wyrok TSUE w sprawie czeskiej firmy Gtflix TV. Sprawa odnosiła się do zniesławienia czeskiej firmy wypowiedziami opublikowanymi na licznych stronach i forach internetowych przez węgierskiego przedsiębiorcę D.R. Obie strony działają w tej samej branży – produkcji i dystrybucji treści audiowizualnych przeznaczonych dla dorosłych.
Gtflix Tv wszczęła przeciwko D.R. postępowanie przed francuskimi sądami, żądając zaprzestania dyskredytujących działań i sprostowania opublikowanych informacji oraz naprawienia wyrządzonych krzywd i szkód. Sądy francuskie stwierdziły brak swojej jurysdykcji do rozpoznania tych żądań. Ich zdaniem do przyjęcia jurysdykcji w sprawie odszkodowawczej nie wystarczy, aby zniesławiająca wypowiedź była dostępna na obszarze objętym właściwością miejscową sądu, ale też aby na tym obszarze owa wypowiedź wyrządziła szkodę. Sąd odsyłający postanowił jednak wystąpić do Trybunału Sprawiedliwości UE z pytaniem prejudycjalnym, które sprowadzało się do kwestii jurysdykcji francuskiego sądu do rozpoznania sprawy.
Trybunał Sprawiedliwości udzielił odpowiedzi, że art. 7 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1215/2012 z 12.12.2012 r. w sprawie jurysdykcji i uznawania orzeczeń sądowych oraz ich wykonywania w sprawach cywilnych i handlowych należy interpretować w ten sposób, że osoba, która uznając, iż doszło do naruszenia jej praw poprzez rozpowszechnianie w Internecie dyskredytujących ją treści, podejmuje jednocześnie działania, z jednej strony, w celu doprowadzenia do sprostowania dotyczących jej informacji i usunięcia dotyczących jej treści umieszczonych w sieci, a z drugiej strony, w celu uzyskania naprawienia wynikających z tego umieszczenia w sieci szkód i krzywd może żądać przed sądami każdego państwa członkowskiego, na terytorium którego wypowiedzi te są lub były dostępne, naprawienia szkody i krzywdy wyrządzonych na terytorium państwa członkowskiego siedziby sądu, do którego wniesiono powództwo, nawet jeśli sądy te nie są właściwe do rozpoznania żądania sprostowania i usunięcia.
curia.europa.eu/juris/document/document.jsf
[oprac. M. Kubiak, A. Chodyna]
Prawo IT
Opublikowano założenia nowelizacji ustawy o prawie autorskim i prawach pokrewnych. Projektu zmian do ustawy nadal nie ma
W wykazie projektów legislacyjnych rządu znalazły się założenia nowelizacji ustawy z 4.2.1994 r. o prawie autorskim i prawach pokrewnych oraz niektórych innych ustaw.
Nowelizacja ma na celu implementację przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/790 z 17.4.2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym oraz zmiany dyrektyw 96/9/WE i 2001/29/WE (tzw. dyrektywy „Digital Single Market”). W zakresie praw do programów komputerowych, dyrektywa zakłada m.in modyfikację przepisów o dozwolonym użytku, również potencjalnie w odniesieniu do programów komputerowych. W przypadku eksploracji tekstów i danych, dyrektywa zezwala na przechowywanie „tekstów i danych” tak długo, jak jest to konieczne do celów ich eksploracji. W tym celu dyrektywa stwierdza możliwość wprowadzenia wyjątków i ograniczeń wyłącznego prawa producentów programów komputerowych do zwielokrotniania, modyfikacji lub tłumaczenia. W przypadku działalności dydaktycznej, dyrektywa również zezwala na ograniczenie wyłącznych praw producentów programów komputerowych, ale jedynie w celu zilustrowania w ramach nauczania. Na razie nie jest jasne, czy dozwolony użytek w odniesieniu do programów komputerowych zostanie rozszerzony. Szczegółowa treść projektu powinna zostać udostępniona do końca marca.
Ulga na tzw. symultaniczny IP Box
Na podstawie ustawy z 29.10.2021 r. o zmianie ustawy o podatku dochodowym od osób fizycznych, ustawy o podatku dochodowym od osób prawnych oraz niektórych innych ustaw, wprowadzającej tzw. „Polski Ład”, od 1.1.2022 r. przedsiębiorca, który komercjalizuje wyniki prac badawczo-rozwojowych i osiąga z nich dochody kwalifikowane (w rozumieniu przepisów o IP Box) oraz ponosi koszty kwalifikowane z tytułu prowadzonej działalności B+R, będzie mógł stosować obie ulgi jednocześnie – tzw. ulga na symultaniczny IP Box.
Dodatkowo, w zakresie ulgi B+R od 2022 r. kwota przysługującego odliczenia kosztów kwalifikowanych zwiększa się do 200% dla:
1) podatników mających status centrum badawczo-rozwojowego, będących mikroprzedsiębiorcami, małymi lub średnimi przedsiębiorcami;
2) podatników mających status centrum badawczo-rozwojowego, będących dużymi przedsiębiorcami (z wyjątkiem kosztów związanych z ochroną patentową);
3) wszystkich podatników w przypadku kosztów kwalifikowanych związanych z wynagrodzeniami pracowników zatrudnionych do działalności badawczo-rozwojowej.
[oprac. M. Sowiński]
