Tech-Legal https://tech-legal.pl TechLawyer Blog Tue, 09 Jun 2020 17:30:27 +0000 pl-PL hourly 1 https://tech-legal.pl/wp-content/uploads/2019/09/fav-150x150.png Tech-Legal https://tech-legal.pl 32 32 https://drive.google.com/file/d/1aPA4zdSxfVxWxxBKreTjXGi9E5qnw1fg/view?usp=sharinghttps://drive.google.com/open?id=15ScpFyme-PMENOUd_BNfFqk4w9YU4c3q Chmura a RODO? Na co uważać https://tech-legal.pl/blog_techprawnika/chmura-a-rodo-na-co-uwazac/ https://tech-legal.pl/blog_techprawnika/chmura-a-rodo-na-co-uwazac/#respond Tue, 09 Jun 2020 15:32:52 +0000 https://tech-legal.pl/?p=1143 Czy można korzystać z chmury zgodnie z RODO (GDPR)? To chyba jedno z częstszych pytań jeśli chodzi o cloud i nie tylko. W tym artykule zbieram najważniejsze elementy związane z chmurą w kontekście RODO. Ten artykuł jest dostępny jako film na YouTube i podcast  Czy RODO pozwala na korzystanie z chmury? Wbrew temu co można […]]]>

RODO cloud chmura

Czy można korzystać z chmury zgodnie z RODO (GDPR)? To chyba jedno z częstszych pytań jeśli chodzi o cloud i nie tylko. W tym artykule zbieram najważniejsze elementy związane z chmurą w kontekście RODO.

Ten artykuł jest dostępny jako film na YouTube i podcast 

Czy RODO pozwala na korzystanie z chmury?

Wbrew temu co można czasem usłyszeć RODO/GDPR nie zabrania korzystania z chmury. Samo RODO (Rozporządzenie 2016/679) jest neutralne technologicznie – nie dyskryminuje żadnej technologii ani nie wymusza korzystania z niej. Określa tylko zasady jak jej używać. Dlatego korzystając z usług cloudowych nie powinieneś się obawiać RODO.

Od razu zaznaczę też, że wszystko co napisałem w tym artykule dotyczy także klasycznych usług hostingowych – VPS, dedyk, współdzielony itp.

RODO a chmura – podstawy

RODO/GDPR wpływa na chmurę w kilku kwestiach, przy czym każda z nich będzie się nieco różnić w zależności od jednej z dwóch sytuacji:

  1. Korzystasz z chmury na swoje potrzeby – do wewnętrznych procesów, aplikacji itp. w twojej firmie czy organizacji.
  2. Używasz chmury w procesie, systemie itp. w którym są dane (dane osobowe) pochodzące od twoich Klientów biznesowych. takim przykładem może być SaaS dla firm do wystawiania faktur i prowadzenia księgowości.

Co ważne proces musi też podlegać pod RODO, o czym więcej napisałem w innym artykule. Na potrzeby tego tekstu przyjąłem, że używamy RODO bo w procesie są dane osobowe.

Usługa dla siebie vs. usługa dla Klienta

Najważniejsza różnica jaką można zauważyć, jest ta, że korzystając z chmury wewnątrz własnej firmy czy organizacji to Ty (Twoja firma) odpowiada za ryzyko złamania RODO, natomiast gdy wykorzystuje cloud w usługach dla Klienta biznesowego to on ponosi ryzyko, dlatego według rozporządzenia o ochronie danych osobowych będziesz potrzebował zgody Klienta na wiele podejmowanych działań.

Dobór dostawcy cloudowego

Pierwszym krokiem, najbardziej oczywistym jest dobór dostawcy usług chmurowych. Przy czym w kontekście RODO będziesz szukał takiego dostawcy, który zagwarantuje Ci przestrzeganie RODO/GDPR, ponieważ dostawca będzie procesorem danych (podmiotem przetwarzającym).

art. 28 ust. 1.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Jeżeli Twój dostawca chmury ma pewne mankamenty, nie przestrzega prawa w zakresie RODO/GDPR to ty bierzesz na siebie ryzyko wszystkich ewentualnych problemów z tym związanych.

Jeśli natomiast usługę kierujesz do Klienta a u dostawcy są problemy z RODO lub nie sprawdziłeś czy przestrzega on rozporządzenia, musisz liczyć się z tym, że twój Klient wybierze przez to innego dostawcę lub zrezygnuje z twoich usług w trakcie współpracy powołując się właśnie na RODO.

Niestety co jakiś czas pojawiają się sytuacje gdy moi Klienci muszą zrezygnować z usług dostawcy usług.

CLOUD Act – problem z RODO

Amerykańska ustawa CLOUD Act bardzo mocno namieszała w kwestiach RODO w usługach chmurowych ponieważ sprawia, że amerykańskie firmy z tej branży nie mogą zostać uznane za przestrzegające RODO, jednocześnie nie można też powiedzieć, że je naruszają. Krótko omówię temat poniżej, na dłuższą analizę zapraszam do moje innego artykułu.

Obecnie CLOUD Act wisi w pewnej próżni – zgodnie z nią spółki z Ameryki muszą ujawniać dane zgromadzone w swojej infrastrukturze do służb z USA. Dotyczy to oczywiście największych graczy takich jak Microsoft z Azure, Google z Google Cloud czy Amazon z AWS.Problem w tym, że zgodnie z RODO dostawca chmury nie może ujawnić danych bez zgody Klienta. Dlatego dobierając dostawcę z Stanów Zjednoczonych musisz się liczyć z ryzykiem złamania RODO.

Przy czym na dzień dzisiejszy nie wiemy czy CLOUD Act będzie też dotyczyć spółek-córek, ponieważ to one działają w Europie – Microsoft czy Google mają spółki w Irlandii, które są formalnymi dostawcami usług dla firm z Unii Europejskiej. Jeżeli będzie to spółki z USA i ich spółki powiązane zostaną wykluczone przez RODO a twój Klient będzie miał prawo do zrezygnowania z twojej usługi lub zmusić cię do zmiany dostawcy.

Przy czym przy CLOUD Act sytuacja może się jeszcze zmienić.

Chmura tylko za zgodą Klienta

Żeby skorzystać z usług danego dostawcy chmurowego nie tylko musisz wybrać takiego, który przestrzega RODO, musisz także mieć zgodę Klienta, na konkretnego dostawcę lub po prostu na dostawców chmury, ale wtedy komunikujesz Klientowi kogo wybrałeś a on może wykluczyć dostawcę (zabronić ci korzystania z jego usług).

art. 28 ust. 2

Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Umowa powierzenia w chmurze

Pomiędzy Tobą a dostawcą chmury musisz podpisać umowę powierzenia (DPA – Data Processing Agreement), przy czym w RODO jest zawarta konkretna lista co musi się znaleźć w takiej umowie. Niestety część dostawców tego nie przestrzega. jeśli chodzi o RODO w chmurze. Część dalej nie ma jej wcale a część ma DPA ale bez wszystkich elementów, które powinny być w umowie powierzenia.

Ponownie, jeśli realizujesz swój wewnętrzny projekt, to brak umowy powierzenia jest ryzykiem, które bierzesz na siebie.

Jeżeli w chmurze pojawią się dane od Klienta, to pomiędzy Tobą a Klientem powinna zostać podpisana taka umowa (możesz to zrobić w formie elektronicznej), jest to jednak obowiązek Klienta. Przy czym twoim obowiązkiem będzie zadbanie, żeby umowa powierzenia pomiędzy tobą a Klientem była kompatybilna z umową powierzenia pomiędzy Tobą a dostawcą chmury i jest to twój obowiązek o który musisz zadbać a jeżeli coś pójdzie nie tak to ty będziesz odpowiadał przed Klientem.

Najczęściej umowa powierzenia pomiędzy tobą a dostawcą chmury to wzór dostawcy. Więc w praktyce będziesz musiał dostosować umowę z Klientem do umowy z dostawcą a nie odwrotnie. Dlatego najlepiej byłoby napisać własną propozycję takiej umowy by Klient nie mógł ci zarzucić, że łamiesz umowę i RODO.

art. 28 ust. 4
Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Gdzie jest chmura, pyta RODO

Jak by to nie zabrzmiało, RODO w chmurze to także kwestia gdzie znajdują się serwery. Upraszczając, mamy serwery w Unii lub poza Unią. I tak naprawdę, to że serwer znajduje się poza Unią nie jest czymś złym. Dokłada Ci to kilku obowiązków. Pamiętaj, że nawet jeśli firma jest z Unii ale ma serwery poza nią to te obowiązki też Cię dotyczą.

Jak wysłać chmurę poza Unię?

W zasadzie wysłanie danych poza UE to nie jest problem, musisz podpisać odpowiednie dokumenty, które są nazywane standardowymi klauzulami umownymi. I bez ich podpisania nie możesz skorzystać z serwera spoza Unii. Na marginesie zaznaczę, że nie jest to jedyny sposób ale ten jest najprostszy i najbardziej popularny.

Przy czym, jeżeli na tym serwerze znajdą się dane Klienta, to musisz mieć na to jego zgodę a właściwie jego polecenie (jeśli umowa powierzenia została napisana zgodnie z RODO). Warto na to uważać i dobrze ująć to w regulaminie lub umowie z Klientem. MongoDB wpisało do swoich dokumentów zgodę na taki transfer, czyli jeśli Twój Klient nie zgadza się wysłanie danych poza UE, nie powinieneś rozważać ich usługi.

Warto poszukać firm, które zapewniają trzymanie danych w Unii, np. Google ma usługę, która pozwala firmom decydować czy dane zostaną w Europie, czy też ją opuszczą. Niestety nie jest ona dostępna w każdym planie. Można też wybrać firmę, która nie ma data centere poza Unią.

Chmura poza UE

Cały mój wywód odnośnie RODO w chmurze i serwerów poza RODO to nie tylko kwestia zgody Klienta czy klauzul umownych.  Nie jest to też kwestia rezygnacji przez Klienta jeśli nie wie o transferze Jeżeli wysyłasz dane poza UE to RODO wymusza by informować o tym ludzi.

Gdy trzymasz dane na serwerze poza Unią twoi Klienci, biznesowi (B2B) i konsumenccy (B2C) muszą zostać o tym poinformowani, i to dość szczegółowo. Co powoduje, że musisz zadbać o swoją politykę prywatności i inne komunikaty związane z RODO. Jeśli tego nie zrobisz złamiesz RODO.

Z kolei, jeżeli nie powiadomisz o takim transferze swojego Klienta to on złamie RODO a ty podpisaną z nim umowę powierzenia (DPA). Ponieważ Klient nie będzie w stanie przygotować odpowiednich informacji dla swoich klientów czy pracowników.

 

Podsumowując, nie ma w RODO przeciwwskazań do korzystania z chmury, trzeba po prosty spełnić odpowiednie wymogi. Główną kwestią na której warto się skupi to to, czy twoi docelowi Klienci zgodzą się na chmurę oraz transfer poza UE. Reszta to po prostu kwestia poświęcenia wysiłku na dostosowanie się do RODO.

TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/chmura-a-rodo-na-co-uwazac/feed/ 0
Masz zakaz konkurencji? Za chwilę możesz być wolny! https://tech-legal.pl/blog_techprawnika/masz-zakaz-konkurencji/ https://tech-legal.pl/blog_techprawnika/masz-zakaz-konkurencji/#respond Mon, 08 Jun 2020 11:05:03 +0000 https://tech-legal.pl/?p=1132 Zmiany w prawie pozwolą firmom IT wypowiedzieć zakazy konkurencji, nawet w umowach B2B i zaoszczędzić pieniądze]]>

COVID-19 spowodował spore zmiany w polskim prawie i gospodarce a wygląda na to, że spowoduje kolejne, 4 czerwca 2020 r. o 22.14 posłowie przyjęli przepisy w ramach tarczy 4.0, które pozwalają wypowiedzieć umowy o zakazie konkurencji (tzw. NCA). Więc jeżeli masz podpisaną taką umowę, za niedługo możesz już nie mieć zakazu, a jeśli podpisałeś zakazy z swoimi pracownikami możesz je teraz wypowiedzieć.

O co tak naprawdę chodzi w tych przepisach? Częstym błędem w umowach o zakazie konkurencji jest brak możliwości ich rozwiązania (zgodnie z prawem, jeśli umowa jest podpisana na konkretny czas nie można jej rozwiązać ot, tak), więc firma tak czy siak musi płacić byłemu pracownikowi tylko za to, że nie pracuje dla konkurencyjnej firmy lub nie założył swojej, nawet jeżeli zakaz nie ma już sensu. Można oczywiście podpisać porozumienie, które zakończy taką umowę ale wymaga to zgody pracownika, a ten może nie chcieć utracić dodatkowej pensji (w IT zakaz oscyluje w widełkach sięgających nawet 100% pensji). A ponieważ są firmy, które starają się ciąć koszty, nawet w umowach NCA, prawo wychodzi im właśnie naprzeciw.

Zmiana zasad?

Co ciekawe zmiana jest tylko tymczasowa i umowę można wypowiedzieć tylko dopóki trwa stan zagrożenia epidemicznego albo stan epidemii w związku z COVID-19. W tym okresie wszystkie umowy o zakazie konkurencji dla byłych pracowników będzie można wypowiedzieć. Dotyczy to zakazów po zakończeniu umów o dzieło, zlecenia, B2B czy o pracę. Firmy mogą więc zwolnić swoich pracowników oraz „pracowników” z zakazu i zaoszczędzić na płaceniu im za wywiązanie się z umowy. Co ciekawe okres wypowiedzenia jest tu bardzo krótki bo tylko siedem dni.

Dla kogo?

Na jedną rzecz trzeba uważać, zakaz może wypowiedzieć tylko była firma, sam pracownik nie ma takiej możliwości. I dotyczy to tylko polskich umów, jeśli zakaz podlega prawu innego państwa np. współpraca z specjalistą IT na B2B spoza Polski, to takiego zakazu najprawdopodobniej nie będziesz mógł wypowiedzieć, chyba, że twój prawnik o to zadbał i umowa podlega naszym przepisom.

Co dalej?

Osobiście jestem ciekaw czy spowoduje to wysyp wysoko wykwalifikowanych specjalistów IT na rynku, nagle uwolnionych od zakazu i pozbawionych pieniędzy, który za niego otrzymywali. Może więc powstać ciekawa okazja do łatwego zatrudnienia talentów ale raczej nie nastawiałbym się na to. Czas pokaże, jak rozwinie się sytuacja.

Przepis

A tak brzmi planowana zmiana:

Art. 15gf. W okresie obowiązywania stanu zagrożenia epidemicznego albo
stanu epidemii, ogłoszonego z powodu COVID-19, strony umowy o zakazie
konkurencji obowiązującym po ustaniu:
1) stosunku pracy,
2) umowy agencyjnej,
3) umowy zlecenia,
4) innej umowy o świadczenie usług, do której zgodnie z ustawą z dnia 23
kwietnia 1964 r. – Kodeks cywilny stosuje się przepisy dotyczące zlecenia,
5) umowy o dzieło
– na rzecz których ustanowiono zakaz działalności konkurencyjnej, mogą ją
wypowiedzieć z zachowaniem terminu 7 dni

Jeśli masz pytania zapraszam do grupy prawo w IT by TechPrawnik oraz na mój kanał na YouTubie – TechPrawnik.

Przemysław Caputa TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/masz-zakaz-konkurencji/feed/ 0
Zakaz konkurencji u programisty i nie tylko – NCA w IT https://tech-legal.pl/blog_techprawnika/zakaz_konkurencji_w_it/ https://tech-legal.pl/blog_techprawnika/zakaz_konkurencji_w_it/#respond Fri, 05 Jun 2020 14:39:05 +0000 https://tech-legal.pl/?p=978 Zakaz konkurencji, znany też jako NCA (Non-Compete Agreement) nie dość, że ma dwie strony – co innego oznacza gdy sami zakazujemy a co innego gdy nam zakazują – to jeszcze występuje w różnych rodzajach i z różnymi ograniczeniami. Na co musi uważać programista a na co firma, która go zatrudnia? Ten wpis jest także dostępny […]]]>

Zakaz konkurencji, znany też jako NCA (Non-Compete Agreement) nie dość, że ma dwie strony – co innego oznacza gdy sami zakazujemy a co innego gdy nam zakazują – to jeszcze występuje w różnych rodzajach i z różnymi ograniczeniami. Na co musi uważać programista a na co firma, która go zatrudnia?

Ten wpis jest także dostępny na vlogu TechPrawnika

Ten wpis jest także dostępny na vlogu TechPrawnika

 

Po co podpisuje się NCA?

Na ogół odpowiedź jest dość prosta – żeby nie stracić Klienta (Kontrahenta) i związanych z nim zysków. Czasem jest również podpisywany by zatrzymać w firmie specjalistę – żeby nie założył konkurencyjnej firmy lub by nie podkupiła go nasza konkurencja a nawet po to by nie podkupił go nasz Klient (tak takie przypadki też się zdarzają). Warto go podpisać gdy nasz pracownik to wykwalifikowany specjalista, otrzymujący oferty od innych firm. Przyda się nam również jeśli zlecamy pewne prace na zewnątrz zarówno wtedy, gdy mamy podwykonawców w projektach, które realizujemy dla naszych Klientów, np. jako softwarehouse zlecamy wykonanie części prac nad kodem innej firmie – dzięki zakazowi konkurencji nie podkupi nam ona Klienta lub gdy jesteśmy startupem i np. zatrudniamy firmę doradczą możemy się uchronić przed jej współpracą z naszą konkurencją.

Czego zabrania zakaz konkurencji?

Teoretycznie NCA brzmi dość prosto – zabrania konkurowania, jednak prawnicy wiedzą, że diabeł zawsze tkwi w szczegółach. W praktyce zakaz konkurencji może zablokować:

  • pracę dla innych firm, które działają w tej samej branży, np. w branży tworzącej oprogramowanie dla salonów samochodowych;
  • założenie własnej firmy w tej samej branży/rynku
  • współpracę z Klientem lub Kontrahentem.

Rodzaj umowy

To podstawowy czynnik ograniczający możliwości obu stron w ramach NCA – najprościej rzecz ujmując rodzaj umowy bardzo mocno wpływa na warunki i zakres umowy a nawet na to jak długo ona trwa. W ramach zakazu konkurencji warto pamiętać o trzech grupach umów:

  • o pracę – zasady podpisania zakazu konkurencji ogranicza Kodeks Pracy i to przy tych umowach zakazy są najbardziej sformalizowane oraz muszą zostać sporządzone na piśmie.
  • zlecenia, agencyjne czy dzieło z „pracownikiem” – tutaj zasady są luźniejsze co nie znaczy, że ich nie ma;
  • B2B – w tej grupie są umowy podpisywane przez dwie firmy, niezależnie czy mówimy o programiście na B2B, spółkach itd. teoretycznie w tej grupie panuje pełna dowolność ale nie do końca.

Cztery główne elementy NCA

Nr 1 – czas

Warto go określić a często nawet trzeba, na czas trzeba spojrzeć dwojako, po pierwsze możemy wprowadzić zakaz konkurencji na czas pracy, współpracy, projektu ale też możemy na okres po zakończeniu. W tym drugim wypadku doradzam by określić go konkretnie – pamiętajcie, że jeśli umowa nie ma określonego czasu może nie zadziałać wcale albo też zostanie wypowiedziana. Przy czym o ile w ramach umów typu zlecenie czy dzieło nie ma konkretnego przepisu jak długo ma trwać zakaz konkurencji, to i tak powinien to być w miarę rozsądny okres. Przy umowie o pracę wygląda to inaczej – tutaj taki zakaz nie może być dłuższy niż dwa lata po odejściu z pracy.

Nr 2 – zakres

Musimy określić czego zabraniam oraz jak zabraniamy. Wcześniej napisałem, że zakaz może dotyczyć pracy dla innych firm z branży, założenia swojej lub przejścia do Klienta/Kontrahenta. Ale zakres to nie tylko te trzy kwestie ale również:

  • szerokość zakazu – może zabronić wszystkiego albo ograniczyć się do pewnych konkretnych zagadnień. np. zabraniamy pracy dla konkurencji ale umożliwiamy stworzenie własnej firmy;
  • obszar – zakaz może, a nawet powinien odnosić się do obszaru np. zakaz współpracy z firmami z branży deweloperskiej sprzedających swój soft w Polsce vs. zakaz działania dla firm z konkretnego miasta. Wyraźne określenie obszaru jest bardzo ważne bo pojęcie „konkurencji” jest niejednokrotnie dość rozmyte.

Nr 3 – pieniądze

Czasem za zakaz konkurencji firma musi zapłacić – przy czym warto rozróżnić dwie kwestie – przy zakazie konkurencji podczas współpracy raczej nie ma konieczności wypłacania dodatkowego wynagrodzenie, częściej po prostu wypłaca się wyższą stawkę. Natomiast musimy zapłacić jeśli chcemy zakaz działał także po tym jak programista skończy pracować dla firmy. W takim wypadku kodeks pracy wymaga zapłacenia 25% pensji choć na rynku IT jest to nie raz 100-150% ostatniej wypłaty (co miesiąc!). Dużo zależy od rodzaju projektu i obsługiwanych Klientów.

Przy umowie zlecenia nie ma jasno określonych zasad ale sądy nie honorują zakazów bez solidnego wynagrodzenia i raczej odwołują się do kodeksu pracy jako wzoru, więc bezpiecznie przyjąć te 25% jako minimum. Na razie nie ma konieczności płacenia podczas zakazu programiście na umowie B2B ale to może się za niedługo zmienić.

Nr 4 – obszar

Warto konkretnie napisać na jakim terenie lub dla Klientów z jakiego obszaru działa zakaz np. firm z Unii Europejskiej, ułatwi to nie tylko wykonanie umowy przez obie strony (programistę i softwarehouse) ale także ustalenie czy doszło do jego złamania. Zwłaszcza jeśli jesteśmy firmą działającą głównie w jednym kraju, możemy mieć problem z wyegzekwowaniem zakazu od programisty, który postanowił pracować dla konkurencji z innego państwa lub dla potencjalnego Klienta z zagranicy, wynosząc spore know-how, co ułatwi konkurencji np. podebranie naszych Klientów.

Zapomnieliśmy podpisać zakaz konkurencji – co teraz?

W zasadzie nie ma zbyt wielu rozwiązań, jedynym co można zrobić to sprawdzić czy można wykorzystać przepisy o zwalczaniu nieuczciwej konkurencji ale to może być trudne i czasochłonne. Umowa NDA jest znacznie prostsza do wyegzekwowania w prawdziwym życiu niż żmudny proces sądowy. No i trzeba pamiętać, że różnie może to wyglądać w różnych krajach.

Reasumując – najlepiej podpisać zakaz niż martwić się później jego brakiem, można też to nadrobić w trakcie współpracy lub po, jest to trudniejsze ale zawsze możlliwe.

Przemysław Caputa TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/zakaz_konkurencji_w_it/feed/ 0
Czy bezpieczeństwo w IT jest legalne? https://tech-legal.pl/blog_techprawnika/czy-bezpieczenstwo-jest-legalne/ https://tech-legal.pl/blog_techprawnika/czy-bezpieczenstwo-jest-legalne/#respond Mon, 01 Jun 2020 21:21:55 +0000 https://tech-legal.pl/?p=1125 Często rozmawiam z ludźmi na tematy bezpieczeństwa (security) w IT i nie tylko. W rozmowach tych, niejednokrotnie słyszę, że prawo nie ma żadnego wpływu na bezpieczeństwo, zwłaszcza stosowane rozwiązania. Dlatego, nie raz zaskakuję ludzi z branży security, że jednak prawo ma dużo wspólnego z bezpieczeństwem, a pewne rozwiązania z tego zakresu są sprzeczne z prawem. […]]]>

Często rozmawiam z ludźmi na tematy bezpieczeństwa (security) w IT i nie tylko. W rozmowach tych, niejednokrotnie słyszę, że prawo nie ma żadnego wpływu na bezpieczeństwo, zwłaszcza stosowane rozwiązania. Dlatego, nie raz zaskakuję ludzi z branży security, że jednak prawo ma dużo wspólnego z bezpieczeństwem, a pewne rozwiązania z tego zakresu są sprzeczne z prawem.

 

Prawo a bezpieczeństwo?

Skąd wziął się pomysł, że prawo i bezpieczeństwo to dwie odrębne dziedziny? Ewentualnie, skąd bierze się pogląd, że prawo zmusza do bezpieczeństwa?

Świetnym przykładem takiego podejścia jest RODO. W świadomości wielu ludzi wdrożone w firmie rozwiązania z zakresu security/bezpieczeństwa są tylko dlatego, że jest RODO. Natomiast te same osoby nie sprawdzają czy stosowane rozwiązania są zgodne z prawem bo przecież prawo wymusza bezpieczeństwo, więc stosowane środki nie mogą być z tym prawem sprzeczne.

Wbrew pozorom ten temat przewija się już od dawna i został w końcu uregulowany przez prawo. Przez wiele lat nie mieliśmy przepisów, które odnosiły się do kwestie bezpieczeństwa IT. Natomiast zdarzały się spory jak daleko firmy mogą się posunąć w kwestiach bezpieczeństwa i do jakiego stopnia security jest zgodne z prawem.

Na ogół spory o kwestie bezpieczeństwa pojawiały się pomiędzy pracownikami i ich szefami. Pracownicy uważali, że rozwiązania z zakresu bezpieczeństwa łamią ich prawa pracownicze czy nawet prawa człowieka. Powoływali się przy tym na Konstytucję czy umowy międzynarodowe np. Kartę Praw Podstawowych czy Europejską Konwencję Praw Człowieka. Niejednokrotnie sprawy tego typu zawędrowały do sądów i trybunałów międzynarodowych (zwłaszcza do ETPCz – Europejskiego Trybunału Praw Człowieka). Nie przybierało to jednak jakiejś większej skali.

W praktyce, jeśli mówimy o Polsce, jedynymi przepisami, które narzucały reguły stosowania bezpieczeństwa było tzw. rozporządzenie techniczne z 2004 r. do ówczesnej ustawy o ochronie danych osobowych. W zasadzie ograniczało się do tego kiedy korzystać z haseł i jakiej długości.

RODO – wymuszone bezpieczeństwo

Tak naprawdę o wpływie prawa na bezpieczeństwo zaczęto mówić w 2016 r. przy okazji pojawienia się RODO. Wtedy na szerszą skalę zaczęto mówić o styku prawa z security, firmy zaczęły wdrażać różnego rodzaju środki bezpieczeństwa z gatunku „bo RODO”. Od tamtej pory bezpieczeństwo zaczęto kojarzyć z przymusem i właśnie RODO.

Do dzisiaj ta postawa „wymuszonego bezpieczeństwa” i przekonanie, że bezpieczeństwo jest zawsze legalne pokutuje wśród zwykłych ludzi oraz specjalistów. „W praktyce jednak kwestia bezpieczeństwa jest bardziej skomplikowana, ponieważ istnieją przepisy, które regulują jak ma wyglądać bezpieczeństwo i co jest dozwolone.

Pracownik vs. security

Świetnym przykładem na to jak prawo ogranicza bezpieczeństwo jest kodeks pracy. W okresie gorączki RODO w prawie pracy wprowadzono zmiany dotyczące rozwiązań security, na ogół kojarzone z kwestią, gdzie i kiedy można montować kamery w firmie. W praktyce Kodeks Pracy to także przepisy o narzędziach monitorujących pracę i zapewniających bezpieczeństwo w środowisku IT (oczywiście mowa o pracownikach – ludziach na umowach o pracę).

Kodeks Pracy Art. 222
§1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).

Art.223

§ 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej)
§ 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
§ 3. […]
§ 4. Przepisy § 1-3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1.

Mówiąc krótko, wszystkie rozwiązania służące do podglądania tego co robi danych pracownik na swoim komputerze czy telefonie, sprawdzania poczty mailowej danego pracownika, monitorowania ruchu sieciowego itp. są już uregulowane przez prawo. Warto więc sprawdzić czy firma korzysta z tych narzędzi zgodnie z przepisami. Zwłaszcza biorąc pod uwagę ostatnie zmiany w firmach w ramach wprowadzania powszechnej pracy zdalnej.

Co mi zrobisz jak mnie złapiesz?

Korzystanie z rozwiązań do monitoringu w środowiskach IT bez rzucenia okiem na Kodeksem Pracy może się okazać dużym problemem. Powiedzmy, że chcesz zwolnić pracownika korzystając z dowodów z monitoringu środowiska IT. Żeby to zrobić będziesz musiał podać powód (chyba, że jest to pracownik objęty wyjątkiem i nie trzeba podawać powodu) a logi czy screeny z takich narzędzi niestety mogą się nie nadawać do tego celu skoro zostały wprowadzone niezgodnie z prawem.

Wystarczy, że pracownik nie wie o monitoringu środowiska IT by zaczęły się kłopoty a wiedzieć musi bo Kodeks Pracy wprost to firmie narzuca:

Art. 222 § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.

Poza tym trzeba pamiętać, że nie można użyć narzędzi do monitorowania w środowisku do każdego celu, tutaj również jest ograniczona lista celów, wymieniona wprost w przepisach.

RODO a ograniczenie bezpieczeństwa

Wbrew pozorom RODO to nie tylko przepisy, które wymusiły wdrożenie rozwiązań security ale są to też przepisy, które „zabraniają” stosowania bezpieczeństwa, choć lepiej byłoby napisać, że zabrania pewnych rozwiązań z tej dziedziny. Jeśli interesujesz się tym tematem to są duże szanse, że słyszałeś o kwestii RODO i biometrii przy zamkach biometrycznych.

Zamki biometryczne są właśnie świetnym dowodem na to, że RODO zabrania pewnych rozwiązań z zakresu bezpieczeństwa. Akurat przy zamkach kwestia była związana bardziej z zakazem korzystania z biometrii (odcisk kciuka, skan siatkówki itp.) do identyfikowania ludzi niż z samym wpływem RODO na bezpieczeństwo.

Ale poza kwestią zakazu biometrii w RODO jest jeszcze inna kwestia – prawo narzuca obowiązek weryfikowania czy możemy użyć danego rozwiązania do zapewnienia bezpieczeństwa i tyczy się to nie tylko kwestii monitoringu. Ponieważ zdecydowana większość rozwiązań branży security opiera się na tzw. prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) musimy zawsze sprawdzić czy możemy faktycznie takie rozwiązanie wdrożyć – trzeba sprowadzić czy cel wdrożenia rozwiązania jest zgodny z RODO. W większości wypadków będzie to możliwe ale czasem zdarzy się inna sytuacja. Dlatego trzeba wcześniej to sprawdzić (i to sprawdzenie też jest w RODO obowiązkowe).

Nielegalne bezpieczeństwo

Najczęstszym problemem przy RODO nie jest sama zgodność bezpieczeństwa z prawem a zgodność konkretnych rozwiązań z jego wymogami. Mówiąc wprost, firmy mogą się chronić ale nie w każdy sposób.

Wynika to z tego, że jeżeli przez narzędzia do security przepływają informacje o ludziach (nie tylko o pracownikach, to mogą być też osoby na umowie zlecenia, dzieło czy B2B a nawet pracownicy naszego podwykonawcy/usługogodawcy) to podlegają one pod RODO, zwłaszcza jak są o takie dane oparte.

Zabawa z RFID

Powiedzmy, że jestem w stanie ustalać gdzie w danym momencie jest konkretny pracownik poprzez karty dostępu i czytniki RFID przy każdych drzwiach. Widząc takie rozwiązanie mi jako prawnikowi zaczyna się święcić czerwona lampka bo może się okazać, że firma korzysta z systemu, który działa w celach sprzecznych z RODO albo zbiera za dużo informacji!

Więcej znaczy gorzej

Przy różnych rozwiązaniach dąży się do zebrania jak największej puli danych, zwłaszcza w rozwiązaniach Machine Learning. Problem ten dotyka też kwestii security, ponieważ tutaj możemy niechcący zebrać więcej informacji niż pozwala nam RODO..

Powiedzmy, że widzimy jak konkretny pracownik w godzinach pracy wchodzi na strony o leczeniu niepłodności – czyta artykuły, blogi, portale nawet strony lekarzy i klinik. Tutaj wchodzimy na śliski grunt, bo to nie tylko może naruszać zasady RODO (mamy za dużo danych) ale też podpadać pod zakazy posiadania pewnych danych.

Podobny problem mają GPSy – są na rynku usługi monitoringu które w pakiecie oprócz samej lokalizacji samochodu dostarczają różnych danych wyinterpretowanych na bazie podstawowych informacji np. styl jazdy kierowcy.

Security w portalach internetowych

Problem security z prawem  to nie tylko narzędzia używane wewnętrznie w firmie ale też w relacji z Klientami. Świetnie to obrazują takie platformy jak Facebook czy Google. Często moderacja blokuje użytkownika i wymaga weryfikacji jego tożsamości. Często taki użytkownik został wytypowany przez algorytm lub to sam algorytm go zablokował.  Takie rozwiązanie jest nawet bardziej problematyczne.

Głównym problemem jest sam algorytm – jak stosujemy rozwiązania oparte na algorytmach to musimy umieć wyjaśnić ludziom jak i dlaczego algorytm podjął lub zaproponował taką a nie inną decyzję. A potem musimy też pozwolić temu człowiekowi odwołać się od decyzji algorytmy do człowieka. Dlatego rozwiązania Google czy Facebook, które autoblokują ludziom konta są niezgodne pod tym kątem z RODO.

 

Podsumowując, największym problemem jest jawność – pokazanie pracownikowi czy Klientowi jak jego dane są wykorzystywane w procesie tworzenia rozwiązań security. Mogę na zakończenie pocieszyć, że nie wszystko musisz ujawniać ale to już temat na inny odcinek.

PS. 15 października 2020 r. poprowadzę dłuższe wystąpienie „Czy bezpieczeństwo jest legalne?” na konferencji organizowanej przez Tuv Nord, jeżeli chcesz się ze mną spotkać będzie to świetna okazja.

 

Przemysław Caputa TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/czy-bezpieczenstwo-jest-legalne/feed/ 0
Programisty (i nie tylko) na umowie o dzieło nie zwolnisz! Czyli czego nie wiesz o umowach https://tech-legal.pl/blog_techprawnika/programisty-i-nie-tylko-na-umowie-o-dzielo-nie-zwolnisz-czyli-czego-nie-wiesz-o-umowach/ https://tech-legal.pl/blog_techprawnika/programisty-i-nie-tylko-na-umowie-o-dzielo-nie-zwolnisz-czyli-czego-nie-wiesz-o-umowach/#respond Tue, 19 May 2020 12:05:36 +0000 https://tech-legal.pl/?p=1113 Jak zwolnić pracownika na umowie o dzieło? Odpowiem wprost -  nie da się go zwolnić właściwie wcale i pewnie o tym nie miałeś pojęcia. Przygotowałem więc tekst o różnicach pomiędzy umowami o dzieło, pracę i zleceniem.]]>

Dzieło, umowa, zlecenie, pracę

 

Jak zwolnić pracownika na umowie o dzieło? Odpowiem wprost –  nie da się go zwolnić właściwie wcale i pewnie o tym nie miałeś pojęcia. To akurat częsty błąd w softwarehouse’ach, które zwalniają w ten sposób programistów bez konsultacji z prawnikiem. Nie ważne czy jesteś szefem, który „zwalnia” takich „pracowników” czy „pracownikiem”, którego firma „zwolniła” z Umowy o dzieło (UoD). W tym artykule piszę o tej i jeszcze paru innych różnicach pomiędzy umowami o dzieło, zleceniem i umową o pracę.

Zwalnianie

Zacznę z grubej rury,. czyli od zwalniania. Między umowami o dzieło, zleceniem i o pracę są bardzo duże różnice w tym jak zwalnia się ludzi. I wbrew pozorom nie jest tak, że pracowników na tzw. śmieciówkach (dzieło i zlecenie) zwalnia się łatwo a osoby na umowie o pracę zwalnia się bardzo trudno. Patrząc z mojej praktyki wielu ludziom, zarówno szefom/przedsiębiorcom ale też pracownikom, wydaje się, że aby zwolnić człowieka na umowie o pracę trzeba o północy udać się w księżycową noc na rozstaje dróg, stanąć nago pod wisielczym drzewem i okręcić się trzy razy a następnie splunąć przez lewe ramię. Generalnie traktują oni taki proces jak czarną magię. Prawda jest taka, że łatwiej, dużo łatwiej, zwolnić człowieka na umowie o pracę niż tego samego pracownika na umowie o dzieło. W zasadzie w polskim prawie nie ma możliwości by zwolnić człowieka na umowie o dzieło.

Zlecenie i umowa o pracę

Jeśli miałbym jako prawnik stopniować poziom trudności w zwalnianiu to na pierwszym miejscu umieściłbym umowę zlecenia, tutaj faktycznie działa amerykańskie easy hire, easy fire. Człowiek przychodzi, otrzymuje wypowiedzenie a jutro nie pojawia się w pracy – done deal.

Na umowie o pracę najtrudniejszym elementem jest powiedzenie człowiekowi dlaczego go zwalniamy. Prawo wymaga by zwalniając powiedzieć pracownikowi „zwalniam Cię bo…”. I to „bo” musi być oczywiście zapisane na piśmie, z konkretnym powodem np. notoryczne spóźnienia. Wszystkie inne elementy formalne jak terminy, formułki itp., prawnik lub bardzo dobra kadrowa ogarną Ci to bez problemu. W umowie o pracę najcięższy jest element psychologiczny – nie umiemy jako ludzie mówić wprost innym ludziom co się nam w nich nie podoba.

Jak zwolnić na umowie o dzieło?

Na umowie o dzieło nie da się zwolnić pracownika. Więc jeśli chcesz zwolnić np. programistę to warto byś odpuścił bo nie jest to proste. Bierze się to stąd, że umowa o dzieło jest kontraktem o na konkretny projekt. Powiedzmy, że pracujesz z Klientem Agile’owo, w oparciu o SCRUM, i w ramach sprintu zapada decyzja Klienta, że to co już stworzył zespół jest dla niego wystarczające. Jeśli umowa była właśnie umową zwinną i pozwalała Klientowi zakończyć projekt w tym momencie to kończy się współpraca.

Problem w tym, że jeśli programista pracuje na umowie o dzieło, to są najprawdopodobniej zakontraktowany na np. 4 miesiące, bo tak oszacowałeś czas potrzebny na stworzenie konkretnego modułu przez tegoż programistę. Więc jeśli Klient zakończył projekt po dwóch miesiącach to już nie ma sensu by programista kontynuował prace nad zleconym mu modułem. Gdyby taka sytuacja miała miejsce z programistą na umowie o pracę czy zlecenia możesz go przesunąć do innego projektu a nawet zwolnić.

Perspektywa szefa

Przy umowie o dzieło taka sytuacja jest jednak problemem, bo tych umów co do zasady nie da się rozwiązać. Żeby zakończyć umowę o dzieło to, poza sytuacjami, że nie zostanie ona wykonana, to albo się dogadacie – proponujesz programiście aneks (porozumienie) do umowy, które ją skróci. On dostaje pieniądze a za to co już zrobił a twoja firma bierze kod.

Ale jeśli programista zna swoje prawa i przepisy może spokojnie powiedzieć, że chce całe wynagrodzenie, nawet za to czego nie zrobił. Ponieważ od umowy o dzieło można tylko odstąpić i trzeba wtedy wypłacić całe wynagrodzenie z umowy, nawet jeśli zrobiono tylko 10% kodu. Tej umowy nie można po prostu wypowiedzieć.

Jest jeszcze jedna opcja, można zwolnić programistę (a właściwie odstąpić od umowy z nim) jeśli jest tak po tyłach z pracami, kiedy wiesz, że nie ma szans by wyrobił się na umówiony deadline/ Tylko to trzeba umieć udowodnić.

Perspektywa programisty (i innych pracowników)

Ale to o czym napisałem działa też w drugą stronę, jeśli jesteś programistą, tudzież innym pracownikiem, i dostałeś lepszą pracę, za lepsze pieniądze, nie możesz przyjść do szefa i rzucić mu na stół wypowiedzenia. Skoro podpisałeś umowę o dzieło to musisz ją dokończyć i firma może Cię do tego zmusić.  A jeśli projekt zostawisz rozgrzebany to może też pozwać Cię i zażądać pieniędzy, które musiała wydać na jego dokończenie po Twoim odejściu. Np. za programistę, który policzył sobie ekstra stawkę za wejście w cudzy projekt i ekspresowe tempo prac.

Plusem na umowie o dzieło jest to, że nie ma mowy by firma zabroniła Ci podjęcia pracy dla innej, równolegle z Twoją obecną pracą. To twoja sprawa czy pracujesz po godzinach dla nich. Każdy prawnik wie, że ważne jest czy dowieziesz kod w terminie.

Ok, jest jeden wyjątek – jeśli podpisałeś umowę o zakazie konkurencji (tzw. NCA) to może się okazać, że dla pewnych firm nie możesz pracować. Ale o tym przeczytasz w innym moim artykule.

Urlop? Nie ma mowy!

Poza zwalnianiem jest inna kwestia, która budzi częste zaskoczenie – urlop. Większość ludzi wie, że umowy różnią się tym ile można na nich zarobić, i na tym się ta wiedza kończy. Na umowie o pracę państwo zabierze dużą część w podatkach i składkach, na zleceniu może wziąć mniej a na dziele zabierze najmniej.

Ale często nie wiedzą jak wygląda urlop. Autentyczna sytuacja z mojej pracy. Do szefa firmy tworzącej oprogramowanie z którą współpracowałem, przyszedł programista na umowie o dzieło o stwierdził, że zwalnia się w trakcie projektu. Ponieważ miał umowę o dzieło, firma mogła go zmusić by został ale szef stwierdził, że go puszczą. Przygotowałem więc wszystkie dokumenty do podpisania ale nastąpił mały zgrzyt ponieważ programista zażądał jeszcze ekwiwalentu. Był bardzo zdziwiony tym, że na umowie o dzieło nie ma urlopu i nie dostanie ekwiwalentu za niewykorzystane dni wolne.

Urlop i wszystkie przywileje pracownika są tylko wtedy, gdy pracujesz na umowie o pracę. Na zleceniu czy dziele ich po prostu nie masz ale masz coś innego, o czym w następnym akapicie.

Sam sobie sterem, żeglarzem, okrętem

Szefowie bardzo często nie wiedzą, że człowieka na umowie zleceni czy umowie o dzieło nie da się zmusić by przyszedł do pracy.I zawsze kiedy o tym mówię jest to dla nich szokujące, pewnie dlatego, że jestem pierwszym prawnikiem z którym o tym rozmawiali..

Gdzie pracujesz?

Jeśli jestem programistą i tworzysz kod to nie ma znaczenia czy piszesz go w kawiarni, u siebie w domu, czy na Bahamach. Firma nie mam możliwości by zmusić Cię do przyjścia do biura. Jeśli jesteś szefem i chcesz narzucić by programista na umowie o dzieło przyszedł do pracy to lepiej tego nie rób – ryzykujesz, że dzieło zamieni się w umowę o pracę.

Kiedy pracujesz?

Poza tym firmy, często nie wiedzą, że na umowie o dzieło czy zleceniu nie mogą narzucać grafiku. To są umowy, w których nie ma znaczenia czy kod powstaje między 8.00 a 16.00 w biurze czy od 22.00 do 4.00, to jest swobodna decyzja programisty, nie jest to sprawa firmy, która go zatrudnia.

Nawet przy umowie zlecenia nie da się tak po prostu powiedzieć „jutro o 6.30 w biurze”. Człowiek na umowie zlecenia czy dziele może swobodnie powiedzieć „nie, nie przyjdę”. Jedyną umową, na której można narzucać grafik, przy której można ściągnąć pracownika na 6.30 do pracy bo jest ważne spotkanie, jest umowa o pracę. Paradoksalnie, na tej umowie firma ma znacznie większą kontrolę nad czasem pracy i momentem jej wykonywania. Może nawet narzucić przyjście do pracy w niedzielę.

Nad osobami na umowie zlecenia czy dzieło firma tak naprawdę nie ma żadnej kontroli, Ci ludzie mają dowozić efekty a gdzie i kiedy to robią jest tylko ich sprawą.

Formalizm?

Tutaj również Cię zaskoczę, pewnie uważasz, że przy umowie o pracę jest bardzo dużo formalizmu a umowy zlecenia czy dzieło są lżejsze. Jako prawnik mogę powiedzieć, że jest kompletnie odwrotnie. Najkrótsze umowy., które piszę to umowy o pracę. Jestem w stanie taką umowę zmieścić na 3/4 strony A4, czcionką 12 i z dużym światłem, ponieważ wszystko, czego do takiej umowy potrzebuję mam w OWU – Kodeksie Pracy. Wszystkie terminy, obowiązki, zasady itd. są tam opisane więc nie muszę ich wpisywać do umowy.

Przy umowie o pracę nie muszę tworzyć długiej umowy – mogę ściągnąć pracownika z urlopu. Przy zleceniu trzeba to dobrze sformułować i wpisać do umowy, na umowie o dzieło nie ma takiej opcji. Jeśli pracownika na dziele czy zleceniu mówi, że go nie ma od 1 do 15 to go nie ma i nie musi odbierać telefonu.Przy umowie o pracę musi.

Właśnie przez ten źle rozumiany luz w umowach o dzieło czy zlecenia trzeba na nie poświęci znacznie więcej czasu i wysiłku. Są to umowy, które potrafią być naprawdę spore. Choćby NDA (umowa o zachowaniu poufności) – jeśli masz pracownika to zgodnie z art. 100 Kodeksu Pracy ma trzymać informacje w poufności.Na dziele czy zleceniu trzeba podpisać konkretną umowę inaczej nie chronisz swoich tajemnic.

O co powinieneś zadbać w swojej umowie?

Jeśli jesteś programistą, QA, PM itd. na umowie o dzieło lub zlecenia i nie napiszesz w niej co chcesz mieć to tego nie dostaniesz. Jeśli nie wpiszesz do umowy, że firma ma Ci dać nowego MacBooka w kolorze Silvergray to nie tylko go nie dostaniesz ale musisz też pracować na swoim prywatnym sprzęcie.

Jeśli jesteś szefem i nie zapisałeś w umowie zlecenia co tygodniowego feedbacku w piątek o 9.00 to programista nie musi Ci go dawać. Jak czegoś nie ma w umowie to to się nie dzieje. Jest cała masa rzeczy, które muszą zostać wpisane do umowy i zrobione dobrze, najlepiej z prawnikiem, żeby się nagle nie okazało, że jest problem.

W źle napisanej umowie o dzieło możesz nie dostać praw do kodu, pomimo, że zapłaciłeś programiście. Dla Klienta to może być powód by Ci nie zapłacić. Smaczków i niuansów jest więcej, dlatego dobrze napisana umowa o dzieło czy zlecenia może mieć kilkanaście a nawet kilkadziesiąt stron – umowa z wszystkim czego potrzeba + poufność (NDA) + zakaz konkurencji (NCA). A jeszcze przy umowie o dzieło musisz podpisywać ją na nowo przy każdym kolejnym projekcie co tylko zwiększa ilość dokumentów. Umowa o dzieło ma sporo pułapek, może się nawet okazać umową o pracę.

Czy dzieło jest dla każdego?

Na zakończenie, napiszę Ci, że nie każdy może pracować na umowie o dzieło. SCRUM Master czy Project Manager nie może, ich praca polega na świadczeniu usługi więc w grę wchodzi tylko zlecenie lub umowa o pracę. Na dziele może pracować programista a częściowo DevOps.

 

Jeśli masz pytania zadaj je pod tym wpisem lub dołącza do grupy na Facebooku – Prawo w IT by TechPrawnik, którą prowadzę. Możesz tam zadawać pytania i dzielić się problemami.

Przemysław Caputa TechPrawnik

 

 

 

 

]]>
https://tech-legal.pl/blog_techprawnika/programisty-i-nie-tylko-na-umowie-o-dzielo-nie-zwolnisz-czyli-czego-nie-wiesz-o-umowach/feed/ 0
Jak uciec od RODO? 4 sposoby na ucieczkę https://tech-legal.pl/blog_techprawnika/jak-uciec-od-rodo/ https://tech-legal.pl/blog_techprawnika/jak-uciec-od-rodo/#respond Mon, 04 May 2020 07:00:48 +0000 https://tech-legal.pl/?p=1097 Pytanie co prawda nieodwieczne ale bardzo aktualne – czy od RODO da się uciec? A jeśli się da to jak? Z mojego doświadczenia wynika, że tak, jak najbardziej można uciec spod RODO ale duża część z popularnych w Internecie sposobów nie działa wcale albo nie tak jak się nam wydaje.     Ten wpis jest […]]]>

Pytanie co prawda nieodwieczne ale bardzo aktualne – czy od RODO da się uciec? A jeśli się da to jak? Z mojego doświadczenia wynika, że tak, jak najbardziej można uciec spod RODO ale duża część z popularnych w Internecie sposobów nie działa wcale albo nie tak jak się nam wydaje.

 

 

Ten wpis jest dostępny na YouTube oraz Spotify!

 

Przeniesienie biznesu lub jego części poza UE

To chyba jedne z najczęściej spotykanych pomysłów a zarazem jeden z najbardziej szkodliwych dla firm, które postanowiły z niego skorzystać. Założenie jest następujące – przenosimy poza Unię krytyczne elementy naszego biznesu, w które uderza RODO, np. wynajmujemy serwery w państwach, które nie należą do Unii.Teoretycznie idea brzmi pięknie ale rozbija się o jeden drobny niuans. Jeśli firma ma siedzibę w Unii Europejskiej a proces biznesowy jest powiązany z jej działalnością w Unii to cały proces podlega pod RODO, nawet jeżeli toczy się poza Unią. Dla RODO nie ma znaczenia gdzie się toczy dany proces biznesowy – gdzie masz pracowników, serwery itd. Dla tych przepisów liczy się czy działasz w UE – masz siedzibę, filię itd. Zwłaszcza jeśli jesteś europejską spółką, partią, stowarzyszeniem itd.

Żeby to zobrazować powiedzmy, że macie firmę w Polsce z Klientem w Azerbejdżanie. Ten Klient dostaje od was fakturę za usługę, samą fakturę wystawia księgowa pracująca dla was w Tajlandii (jest tam fizycznie z wszystkimi narzędziami) a serwer samej usługi macie w zachodniej Afryce. Musicie też wystawić plik JPK i wysłać go do polskiej skarbówki oraz prowadzić księgi podatkowe zgodnie z polskim prawem – to sprawia, że cały proces jest związany z waszym biznesem w UE, w tym polskimi obowiązkami podatkowymi, i podlega pod RODO choć wszystko dzieje się poza Unią.

Nie obsługujemy ludzi z Unii

To inny pomysł, który czasem się przewija – rezygnujemy jako firma z Klientów, którzy są w Unii, więc będziemy mogli zrezygnować z RODO. Niestety, to że sama usługa jest skierowana do ludzi spoza Unii to za mało, skoro biznes jest związany z działalnością w Unii podlega pod RODO.

Pełne przeniesienie procesu poza Unię

Zetknąłem się też z pomysłem wyoutsorcowania procesów poza Unię np. zlecenie prowadzenia marketingu firmie z Chin. I nawet jeśli faktycznie cały proces przebiegałby w Chinach – chińska firma wyszykuje dla Ciebie Klientów, nawiązuje z nimi relacje, prowadzi newsletter i przekazuje Ci tylko leady to i tak proces będzie podlegał pod RODO. Mało tego będzie to dla Ciebie bardzo duże wyzwanie bo zlecenie takiej usługi poza Unią jest obwarowane dodatkowymi wymogami, których firma z Chin może nie chcieć spełnić. W takim wypadku narażasz się na dodatkowe problemy.

 

To co działa?

Na pewno w tym momencie zadaliście sobie to pytanie – jaki sposób na ucieczkę od RODO ma sens i zadziała? Pokażę wam trzy sposoby, które działają.

Sposób nr 1 – wyjście z Unii

Pierwszy sposób na ucieczkę od RODO zakłada, że jako firma rezygnujecie z runku unijnego. Ponieważ RODO nie obchodzi kim jest twój Klient. Dla RODO liczą się dwie kwestie – pierwsza czy masz firmę w Unii? Jeśli nie masz to przechodzimy do drugiego pytania – gdzie mieszka Twój Klient?

Jeśli wyniesiesz biznes poza Unię – czyli to co robisz nie ma nic wspólnego z Twoją działalnością w Unii np. nie ma nic wspólnego z obowiązkami podatkowymi w Unii i wszystko toczy się poza Unią (nie masz żadnych jednostek organizacyjnych w Unii). Załóżmy więc, że dalej mamy księgową w Tajlandi a serwer w zachodniej Afryce i przenieśliśmy spółkę do Timbuktu. Do tej układanki musimy jeszcze dorzucić jeden element – rezygnacja z Klientów, których mamy w Unii.

Konieczność zrezygnowania z Klientów w Unii wynika z tego, że jeśli jesteś firmą spoza UE, to i tak możesz podlegać pod RODO. Dla RODO znaczenie ma wtedy czy twoi Klienci mieszkają w Unii, natomiast nie ma znaczenia kim oni są – mogą być obywatelami Niemiec czy Polski ale równie dobrze mogą być Chińczykami. Dla RODO ma znaczenie czy klient przebywa w Unii.

Możesz oprzeć swój biznes o usługi dla osób niemieszkających w Unii ale jeśli jeden z Twoich Klientów przeprowadzi się do Unii np. z Chin do Polski, to z chwilą jego przeprowadzki ty się musisz dostosować do RODO, ponieważ jest to już człowiek przebywający w Unii. W takiej sytuacji masz do wybory dwa rozwiązania:

  • odciąć się do tego Klienta – założyć geoblokadę;
  • wydzielić spółkę do obsługi Klientów z Unii.

Sporo firm z USA wybrało rozwiązanie nr 1, przy okazji windując popyt na narzędzia do geoblockingu. Klient z UE wchodząc na serwer, zwłaszcza prasy, widział baner z informacją, że posiada IP z UE więc nie zostanie obsłużony.

Sposób nr 2 – podzielenie biznesu

Więksi gracze by nie rezygnować z Klientów europejskich a jednocześnie nie musieć stosować się do RODO, podzielili biznes na dwie części – Klientów z UE obsługują spółki z UE (i podlegają pod RODO) a pozostałych Klientów obsługują spółki spoza UE i ich działalność nie miesza się. Dzięki temu druga spółka nie podlega pod RODO, chociaż ma dokładnie taki sam model biznesowy jak spółka z Unii.

Sposób nr 3 – RODOodporny biznes

Ostatnim sposobem, o którym na ogół się nie pamięta, to budowa biznesu, który nie wymaga danych osobowych lub który ich nie zawiera.

Gwoli wyjaśnienia – dla prawnika dane osobowe to każda informacja o człowieku, czyli nie tylko imię, nazwisko czy PESEL ale także numer buta, mail czy IP.

Możemy więc skierować się na biznes, który dla swojego działania nie potrzebuje takich danych np. budowa domów. Dla samego procesu stawiania ścian z cegieł nie ma potrzeby korzystania z danych osobowych więc stawianie cegieł nie ma nic wspólnego z danymi osobowymi. Można stworzyć usługę przeliczania danych – tak długo jak długo nie będą to dane osobowe cały proces nie będzie podlegał pod RODO.

Sposób nr 4 – wyjęcie części biznesu spod RODO

Firmy bardzo często ładują się pod RODO – bardziej obrazowo mówiąc firma zachowuje się jak człowiek wbiegający na autostradę. Przeskakuje przez płot, przebiega przez rów, przeskakuje nad barierką energochłonną i wpada pod rozpędzoną ciężarówkę z napisem dane osobowe, po czym idzie do mediów i oskarża RODO i dane osobowe o całe zło tego świata.

Z mojego doświadczenia większość problemów firm z RODO wynika z oślego uporu by posiadać dane osobowe. Prosty przykład – chcecie mieć w firmie newsletter. Formularz zapisu na newsletter możecie zrobić na dwa sposoby:

  1. Wymagacie podania maila – i to wystarczy.
  2. Żądacie od odbiorcy nr buta, telefonu, nazwiska itd.

Jeśli wybraliście wariant nr 1 to wasze problemy z RODO zostały właśnie ograniczone do minimum ale jeśli macie wariant nr 2 to jest mały problem bo już musicie odpowiedzieć na pytanie czy faktycznie taka ilość danych jest wam potrzebna. Więc sami utrudniliście sobie życie.

Innym przykładem są zasoby informacji posiadane przez firmy. Z biegiem czasu posiadane bazy potrafią rozrosnąć się do sporych rozmiarów i często mają w sobie dane osobowe. Między innymi duże firmy archiwizują dane z rekrutacji, dzięki czemu wiedzą jak na przestrzeni lat zmieniała się oczekiwana pensja na danym stanowisku. Dzięki temu planują budżety na rekrutację ale też sprawdzają czy nie płacą za mało na tle konkurencji. To problem, który swego czasu zauważyła Patty McCord w Netfliksie – szybko zauważyła, że stawki rynkowe przewyższyły aktualne wynagrodzenie płacone przez Netflixa.

Jednak to, że dane są potrzebne do nie znaczy, że muszą to być dane osobowe. Historię ofert możesz przechować w formie: Andrzej Nowak chciał 10 000 zł ale równie dobrze możesz mieć ją w formie: Kandydat nr 1 chciał 10 000 zł. Jeśli zanonimizujesz swoją bazę to przestaje ona podlegać pod RODO – przerwiesz powiązanie pomiędzy kandydatem a jego oczekiwaną pensją. A skoro baza nie podlega pod RODO to nie musisz się już martwić terminem ich usunięcia czy wnioskami od osób w niej obecnych.

Jednak najważniejszą korzyścią anonimizacji jest ułatwienie współpracy z zewnętrznymi firmami, powiedzmy, że chcesz zlecić analizę posiadanych danych – jeśli są w nich dane osobowe to musisz przestrzegać RODO począwszy na podpisaniu umowy powierzenia (DPA) a na weryfikacji czy ta zewnętrzna firma przestrzega RODO. Dodatkowo jeśli tam firma jest spoza Unii to dochodzą Ci dodatkowe wymogi związane z RODO.

Sposobów na wyłączenie RODO jest więcej ale wtedy musiałbym napisać książkę na ten temat a nie wpis na bloga. Postarałem się omówić najważniejsze z nich a zwłaszcza pokazać, dlaczego nie zawsze działają tak jak się nam wydaje.

Przemysław Caputa TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/jak-uciec-od-rodo/feed/ 0
Czy biznes blokuje się na IT? O RODO i innych problemach w wyborze narzędzi https://tech-legal.pl/blog_techprawnika/czy-biznes-blokuje-sie-na-it-o-rodo-i-innych-problemach-w-wyborze-narzedzi/ https://tech-legal.pl/blog_techprawnika/czy-biznes-blokuje-sie-na-it-o-rodo-i-innych-problemach-w-wyborze-narzedzi/#respond Wed, 22 Apr 2020 12:41:04 +0000 https://tech-legal.pl/?p=1088   W dzisiejszym odcinku o tym na co uważać przy o rożnych blokadach na które można się natknąć w technologii chcąc robić biznes.]]>

 

W dzisiejszym odcinku o tym na co uważać przy o rożnych blokadach na które można się natknąć w technologii chcąc robić biznes.

]]>
https://tech-legal.pl/blog_techprawnika/czy-biznes-blokuje-sie-na-it-o-rodo-i-innych-problemach-w-wyborze-narzedzi/feed/ 0
Minusy darmowych narzędzi – Jak popełnić przestępstwo korzystając z Google Analytics https://tech-legal.pl/blog_techprawnika/przestepstwo_analytics_pixel/ https://tech-legal.pl/blog_techprawnika/przestepstwo_analytics_pixel/#respond Tue, 14 Apr 2020 09:30:56 +0000 https://tech-legal.pl/?p=1077   Lubimy darmowe narzędzia, głównie dlatego, że są właśnie darmowe i bardzo rzadko zastanawiamy się nad skutkami korzystania z nich, zwłaszcza wtedy gdy są to tak popularne rozwiązania jak Google Analytics, Pixel od Facebooka czy Gmail (a w zasadzie wszystkie narzędzia w ramach darmowego konta Google). Na ogół myślimy, że skoro korzystają z nich wszyscy, […]]]>

Google Analytics

 

Lubimy darmowe narzędzia, głównie dlatego, że są właśnie darmowe i bardzo rzadko zastanawiamy się nad skutkami korzystania z nich, zwłaszcza wtedy gdy są to tak popularne rozwiązania jak Google Analytics, Pixel od Facebooka czy Gmail (a w zasadzie wszystkie narzędzia w ramach darmowego konta Google). Na ogół myślimy, że skoro korzystają z nich wszyscy, to my też możemy, bez zastanawiania się nad tym jakoś głębiej. Przez takie myślenie bardzo łatwo wpaść w różne prawne pułapki – jedną z nich jest przestępstwo. Tak, dokładnie tak, korzystanie z różnych darmowych narzędzi, często jest przestępstwem, zwłaszcza jeśli prowadzisz firmę lub startup!

 

Jeśli wolisz, może też obejrzeć mój odcinek o minusach darmowych narzędzi

Przestępstwo?!

Brzmi może nieprawdopodobnie ale w dobie techprawa (vel techlaw) nie takie rzeczy się dzieją. Podstawowym problemem większości darmowych usług jest ich model biznesowy – tak naprawdę nie są one darmowe, korzystamy z nich w zamian za nakarmienie tych usług informacjami a jeśli informacje , którymi płacimy nie dotyczą tylko nas ale również naszych Klientów, partnerów biznesowych, a nawet osób, które odwiedzają naszą stronę internetową lub bloga to bardzo łatwo możemy złamać prawo.

Ponieważ zgodnie z prawem takie informacje to bardzo często dane osobowe, musimy do nich stosować RODO vel GDPR, musimy więc znaleźć w prawie taki przepis, który pozwoli nam na zapłacenie Google lub Facebookowi za usługi informacjami od naszych Klientów. Najczęściej będziemy musieli do tego uzyskać zgodę (o której szerzej napisałem nieco niżej) a jeśli jej nie mamy to nie możemy korzystać z tych informacji (danych osobowych), w tym płacić nimi za dostęp do narzędzi. Jeśli jednak to zrobimy popełnimy przestępstwo, ponieważ według art. 107 ustawy o ochronie danych osobowych korzystanie z informacji (danych osobowych) bez podstawy prawnej jest przestępstwem za które możemy spędzić w więzieniu nawet dwa lata. Oczywiście oprócz samego więzienia trzeba się liczyć także z procesami i karami finansowym ale nie o nich jest ten artykuł.

Google Analytics, Pixel FB itd.

Wiem, że dla osób zajmujących się marketingiem są to dwa bardzo przydatne narzędzia, często wykorzystywane właśnie dlatego, że są darmowe i dość łatwe w integracji ze stroną. Niestety, ponieważ zarówno Facebook jak i Google korzystają z danych zbieranych przez te narzędzia do swoich celów, można w bardzo prosty sposób złamać prawo. Przy czym obie te firmy nieco inaczej podeszły do tematu.

Facebook w ramach swojej polityki przyjmuje, że gdy korzystasz z jego narzędzi biznesowych (Pixel, guzik Lubię to i inne wtyczki) dzielisz się z firmą danymi osobowymi i dlatego Facebook podpisuje z Tobą odpowiednią umowę o współpracy w ramach RODO. Firma przyjęła taki model, bo w zeszłym roku Trybunał Sprawiedliwości Unii Europejskiej uznał, że zarówno Facebook jak i korzystający z jego narzędzi kooperują w ramach RODO i mają obowiązki administratora danych osobowych.

Nieco inaczej do tematu podszedł Google, w ramach Google Analytics część usługi nie wymaga dzielenia się z Googlem danymi (informacjami) ale jeśli chcemy otrzymać „ rozszerzone raporty o danych demograficznych i zainteresowaniach” (cytat z usługi) musimy podzielić z Google innymi danymi oraz zgodzić się na warunki w ramach, których Google wprost przyznaje, że jest osobnym administratorem w ramach RODO.

Nieco inaczej ma się kwestia z Gmailem, Dyskiem Google i innymi darmowymi usługami w ramach konta Google – korzystając z nich zgadzamy się na to, że Google przeskanuje treść maili i plików do swoich celów i nie mamy możliwości zablokowania tego.

Co z tą zgodą?

W większości wypadków jest tylko jeden sposób by móc legalnie korzystać z takich narzędzi, trzeba mieć zgodę człowieka, którego dana informacja dotyczy. Tylko taką zgodę musimy dostać od niego zanim informacja trafi do narzędzia i trzeba go wcześniej szczegółowo poinformować o tym kto te dane otrzyma, po co itd. Siłą rzeczy bardzo mocno ogranicza nam to pole działania oraz czasami jest niemożliwe do wdrożenia (ciężko zapytać nadawcę maila o taką zgodę, przed wysłaniem go do nas).

Jeśli macie pytania napiszcie je w komentarzach lub bezpośrednio do mnie – pod tym linkiem znajdziesz, kontakt do mnie, możesz też znaleźć mnie w mediach społecznościowych takich jak Facebook czy LinkedIn dołącz też do grupy na Facebooku z rozmowami o styku prawa i IT!

Przemysław Caputa TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/przestepstwo_analytics_pixel/feed/ 0
4 sposoby na umowę on-line oraz ich wady i zalety https://tech-legal.pl/blog_techprawnika/4-sposoby-na-umowe-on-line/ https://tech-legal.pl/blog_techprawnika/4-sposoby-na-umowe-on-line/#respond Thu, 09 Apr 2020 18:31:02 +0000 https://tech-legal.pl/?p=1073

 

Niezależnie czy prowadzisz startup czy po prostu chcesz unowocześnić swoją firmę, popisywanie umów zdalnie, bez wychodzenia z domu, jest czymś co może Ci się przydać. Dlatego omówiłem dla was prawniczym okiem 4 popularne sposoby na podpisanie umowy online, z użyciem różnych podpisów elektronicznych. Zawarłem też wady każdego z tych rozwiązań.

]]>
https://tech-legal.pl/blog_techprawnika/4-sposoby-na-umowe-on-line/feed/ 0
B2B a tarcza antykryzysowa – 3 rzeczy które musisz wiedzieć jako programista i nie tylko https://tech-legal.pl/blog_techprawnika/b2b-a-tarcza-antykryzysowa/ https://tech-legal.pl/blog_techprawnika/b2b-a-tarcza-antykryzysowa/#respond Sat, 04 Apr 2020 15:56:45 +0000 https://tech-legal.pl/?p=1039 Od paru dni działa tzw. tarcza antykryzysowa, w dzisiejszym wpisie zawarłem najważniejsze rzeczy, o których musi wiedzieć każdy, kto prowadzi własną firmę i chciałby z tej tarczy skorzystać. A o błąd nietrudno bo i ustawa napisana została tak jak została - ma nawet artykuł 31 zzd (sic!). Trzy ważne kwestie, o których musisz wiedzieć!]]>

ZUS tarcza antykryzysowa B2B COVID

Od paru dni działa tzw. tarcza antykryzysowa dla firm, w tym ludzi pracujących na B2B,, w dzisiejszym wpisie zawarłem najważniejsze rzeczy, o których musi wiedzieć każdy, kto prowadzi własną firmę i chciałby z tej tarczy skorzystać. A o błąd nietrudno bo i ustawa napisana została tak jak została – ma nawet artykuł 31 zzd (sic!). Trzy ważne kwestie, o których musisz wiedzieć!

 

Ten wpis możesz też obejrzeć na moim vlogu

Nr 1 Postojowe – zasiłek dla firm i freelancerów

Freelancerzy pracujący na umowach o dzieło lub zlecenie oraz ci, którzy mają własne firmy (pracują na B2B vel samozatrudnieniu vel własnej działalności gospodarczej), mogą dostać tzw. postojowe ale każdy na trochę innych warunkach:

  1. Należy się tylko jedno postojowe – jeśli macie kilka umów to tylko z jednej możecie je dostać.
  2. Jeżeli macie firmę i umowę o pracę lub zlecenie – nie możecie dostać postojowego jako firma (B2B), w żadnym wypadku.
  3. Firma ma dwa warianty:
    • Wariant I – Jesteś na tzw. karcie podatkowej i jednocześnie nie płacisz VAT – możesz dostać 1300 zł bez żadnych innych warunków.
    • Wariant II – Pozostałe firmy – możesz dostać 2080 zł ale są dwa warunki:
      • Twój obrót musi spaść o 15% miesiąc do miesiąca – np. składasz wniosek o postojowe za kwiecień, więc Twój obrót w kwietniu musi być mniejszy od 15% od tego w marcu;
      • Przychód (wg stanu na 3 kwietnia) nie może być wyższy niż 15 595.74 zł (według ustawy liczy się to jako 300% średniego wynagrodzenia za poprzedni kwartał a ostatnie ogłoszone to z IV kwartału to 5198,58 zł).
  4. Jeśli pracujesz na zleceniu lub dziele to możesz dostać postojowe, właśnie te wspomniane 2080 zł jeżeli firma dla której pracujesz ma przestój a Ty nie zarobiłeś w poprzednim miesiącu więcej niż 15 595,74 zł (zasady obliczania tej kwoty są w wcześniejszym punkcie).

 

Nr 2 – zwolnienie z ZUS

To akurat najprostszy element całej tarczy antykryzysowej – jeśli prowadzisz firmę to nie musisz płacić ZUSu za marzec, kwiecień i maj ale uwaga i tutaj są pewne pułapki poukrywane. Podstawową pułapką jest to, że zwolnienie dostaniesz tylko z niezapłaconych składek, więc jeśli właśnie zapłaciłeś za marzec zwolnienia nie dostaniesz za ten miesiąc. Musisz też złożyć odpowiedni wniosek w ZUSie. Jakie są inne warunki?

B2B – Samozatrudniony

Jeśli nikogo nie zgłosiłeś do ZUSu – nie masz np. grafika na zleceniu, nawet jeśli w danym miesiącu nie miałeś dla niego zleceń,  pracownika na umowie o pracę itp. to dostaniesz zwolnienie jeśli Twój przychód nie przekroczył 15 681 zł (UWAG! Tutaj jest inny limit niż przy postojowym!).

WAŻNE! Jeśli prowadzisz firmę i zatrudniasz ludzi ale nie płacisz za nich ZUSu np. zatrudniasz studentów na zleceniu, to limit też Cię obowiązuje!

Firma z pracownikami i nie tylko

Jeżeli zatrudniasz kogokolwiek, nawet jedną osobę na umowie zlecenie, i płacisz za tę osobę ZUS, to możesz dostać zwolnienie z swojego ZUSu oraz ZUSu wszystkich swoich pracowników. I tutaj bardzo ważna informacja – nie możesz mieć więcej niż 9 osób za które płacisz ZUS (pracowników lub osób na zlecenie oraz Ciebie, jeżeli masz JDG). Co to znaczy? Jeśli masz pracownicę na urlopie macierzyńskim to ona też liczy się jako pracownik zgłoszony do ZUS ale jeżeli zatrudniasz studenta na zleceniu lub osoby na umowie o dzieło to one się już nie liczą. Skomplikowane? Popatrz na te przykłady:

Przykłady zwolnień

Przykład nr 1 – Firma, jako JDG,(wpisana do CEIDG) zatrudnia 9 osób na ozusowanych umowach zlecenia lub umowach o pracę – nie dostanie zwolnienia bo właściciel JDG jest 10 osobą zgłoszoną do ZUS a można zgłosić maksymalnie 9 osób.

Przykład nr 2 – firma JDG z 20 000 zł przychodu i dwoma studentami na zleceniu, bez ZUSu, nie dostanie zwolnienia bo studenci nie zostali zgłoszeni więc stosujemy limit przychodu – 15 681 zł.

Przykład nr 3 – znowu JDG z 4 pracownikami na umowie o pracę i 10 studentami na zleceniu bez ZUSu dostanie zwolnienie bo studenci nie zostali zgłoszeni do ZUSu i nie liczą się do limitu 9 osób!

 

Nr 3 – młode firmy

Tarcza wybiórczo traktuje młode firmy – jeśli założyłeś firmę 1 lutego 2020 lub później to nie dostaniesz zwolnienia z ZUS na siebie, jako samozatrudniony lub z osobami na nieozusowanym zleceniu ALE jeżeli do 29 lutego zgłosiłeś kogoś do ZUSu – człowieka na umowie o pracę lub zleceniu to tak, dostaniesz już zwolnienie z ZUSu ale bez postojowego, tego ostatniego nie dostaniesz.

Tylko jest jeszcze jedna pułapka, jeśli twoja firma powstała przed 1 lutego 2020 a wcześniej nie prowadziłeś własnej firmy i nie pracujesz dla byłego szefa, to masz prawo do tzw. ulgi na start. Okazuje się, że nawet jeżeli z tej ulgi nie skorzystałeś to i tak nie masz prawa do zwolnienia z ZUS jeśli nikogo nie zgłosiłeś do ZUSu ale postojowe możesz już dostać.

Jeśli potrzebujesz więcej informacji warto zajrzeć na stronę ZUSu o tarczy antykryzysowej , można też poprzez PUE ZUS złożyć od razu wniosek, musicie jednak posiadać profil zaufany

Uff, na dzisiaj to koniec, jeśli masz pytania pisz w komentarzu lub bezpośrednio do mnie – pod tym linkiem znajdziesz, kontakt do mnie, możesz też znaleźć mnie w mediach społecznościowych takich jak Facebook czy LinkedIn dołącz też do grupy na Facebooku z rozmowami o styku prawa i IT!

 

Przemysław Caputa TechPrawnik

]]>
https://tech-legal.pl/blog_techprawnika/b2b-a-tarcza-antykryzysowa/feed/ 0