Kamila Wasilewska
|
27 października 2025 | Czas na przeczytanie: 13 minut

Wejście w życie rozporządzenia MiCA1 i zmiana modelu świadczenia usług w zakresie kryptowalut z VASP na CASP całkowicie zmieniła wymagania, jakie muszą spełnić podmioty działające w branży kryptowalut. Wyjaśniamy, w jaki sposób nowe regulacje korelują ze standardami ochrony danych osobowych wytyczonymi przez RODO2.

Kamila Wasilewska
RADCA PRAWNY | WSPÓLNIK
Specjalizacja: Prawo finansowe i FinTech, AML, prawo korporacyjne, prawo pracy oraz...
Więcej artykułów tego autora

CASP jako administrator danych osobowych

W pierwszej kolejności należy ustalić, czy podmioty kwalifikujące się jako CASP są zobowiązane do stosowania unijnych przepisów określających standard ochrony danych osobowych. Rozporządzenie RODO posługuje się dwoma kategoriami podmiotów zobowiązanych do ochrony danych osobowych – administrator oraz procesor (podmiot przetwarzający).

Poprzez pojęcie administratora należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (Art. 4 pkt 7 RODO). Z kolei podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8).

W praktyce CASP najczęściej będzie samodzielnie określał cele i sposoby przetwarzania danych, świadcząc usługi z zakresu kryptowalut. Procesorem może być natomiast zewnętrzna firma świadcząca usługi IT, czy kancelaria prawna oferująca bieżącą obsługę prawną.

Obowiązki CASP jako administratora danych osobowych można rozpatrywać na kilku płaszczyznach

Zapewnienie bezpieczeństwa i integralności danych osobowych

Podstawowym obowiązkiem ciążącym na administratorze jest ochrona danych osobowych przed nieuprawnionym przetwarzaniem poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Ten cel można osiągnąć poprzez:

  • przygotowanie dokumentacji RODO (m.in. upoważnienia, klauzule informacyjne, rejestr czynności przetwarzania, raporty DPIA),

  • zarządzanie upoważnieniami,

  • szkolenie personelu.

Zasady bezpieczeństwa przetwarzania danych osobowych zostały wyrażone w art. 32 RODO i obejmują one m.in.:

  • pseudonimizację i szyfrowanie danych osobowych,

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Obowiązki względem osób, których dane dotyczą

Odrębną grupą obowiązków administratora są te, które dotyczą realizacji praw osób, których dane są przetwarzane. Poza elementarnym obowiązkiem informacyjnym można wskazać chociażby na obowiązek skorygowania danych, zaprzestania ich przetwarzania lub cofnięcia zgody. Naruszenie któregokolwiek z tych uprawnień stanowi podstawę wniesienia skargi do organu nadzorczego, co wiąże się z ryzykiem kontroli i surowymi sankcjami.

Obowiązki względem organu nadzorczego

Każdy administrator danych ma także obowiązek współpracować z organem nadzoru, czyli w przypadku podmiotów działających w Polsce – z Inspektorem Ochrony Danych Osobowych. W tym zakresie warto przede wszystkim wskazać na dokumentowanie naruszeń i prowadzenie obowiązkowych rejestrów, wydanie dokumentacji na potrzeby kontroli i udzielenie stosownych wyjaśnień. Kluczowe znaczenie ma również właściwa obsługa incydentów, które zdarzają się regularnie. Przykładami przestępczych działań jest m.in. włamanie na giełdę ByBit oraz niedawna agresja hakerów względem Domu Maklerskiego XTB).

Jakie dane osobowe przetwarza CASP?

Przetwarzanie informacji z wykorzystaniem blockchaina może prowadzić do przetwarzania wielu różnych danych osobowych w zależności od kontekstu. Do tych najpopularniejszych należy zaliczyć imię, nazwisko, adres e-mail, numer karty kredytowej. Warto pamiętać, że istnieją różne rodzaje portfeli kryptowalut. Te kwalifikowane jako hostowane wymagają podania danych osobowych (np. adresu e-mail), ale istnieją też portfele non-custodial zapewniające anonimowość.

Obowiązująca zasada TravelRule nakazuje jednak CASP-om weryfikację tożsamości użytkowników, którzy dokonują transakcje na kwotę przekraczającą 1000 euro. W ten sposób unijny ustawodawca broni się przed próbami prania pieniędzy i finansowania terroryzmu oraz innymi nieuczciwymi działaniami. Taka weryfikacja może polegać np. na cyfrowym podpisaniu transakcji albo przesłaniu symbolicznej kwoty z innego adresu (na podobieństwo przelewu potwierdzającego). Zasadniczo więc obowiązujące przepisy eliminują lub też ograniczają do minimum anonimowy obrót kryptowalutami, zmuszając tym samym administratorów do wdrożenia odpowiednich mechanizmów przetwarzania danych.

Jak zabezpieczyć bezpieczeństwo danych osobowych w technologii Blockchain?

RODO nie wskazuje na konkretne sposoby, po jakie powinien sięgnąć administrator, aby ochronić dane osobowe zapisane w poszczególnych blokach łańcucha. Rozwiązań jest wiele, ale każde z nich należy ocenić poprzez pryzmat adekwatności zastosowania (np. silne i drogie zabezpieczenie do małych transakcji albo zasadność stosowania na potrzeby zapobieżenia konkretnego ataku) oraz faktycznej możliwości wydzielenia konkretnych danych. Wśród przykładowych możliwości warto wymienić3:

  • szyfrowani kluczami jednorazowymi (ang. One Time Pad) – za każdym razem generowany jest losowy klucz o unikalnej budowie,

  • funkcje haszujące odporne na ataki z wykorzystaniem komputerów kwantowych (tzw. kryptografia postkwantowa), które mają na celu ochronę przed atakami cyberprzestępców z wykorzystaniem technologii kwantowej,

  • salted hashes i peppered hashes – hash, który powstaje przez wprowadzenie do informacji poddanych funkcji haszującej dodatkowego, indywidualnego losowego składnika,

  • stealth adresses – jednorazowe adresy wykorzystywane wyłącznie na potrzeby konkretnej transakcji.

Niekiedy stosuje się także ring signatures, czyli podpisy, których wiarygodność można wprawdzie sprawdzić, ale bez możliwości ustalenia, kto dany podpis złożył. Uzupełnieniem tej technologii są ring confidential transactions, czyli operacje, których uczestnicy znani są tylko im samym.

Czy CASP ma obowiązek powołania inspektora ochrony danych osobowych?

Wypada wspomnieć, że instytucje finansowe, jak ESMA uznają działalność w zakresie kryptowalut za biznes wysokiego ryzyka ze względu na transgraniczny charakter działalności, specyfikę transakcji zwiększającą ryzyko prania pieniędzy, a także podpisywanie umów z milionami użytkowników. Warto w tym kontekście zastanowić się, czy CASP ma obowiązek ustanowienia inspektora ochrony danych osobowych, a jeśli nie ma – czy warto się na taki krok zdecydować.

Stosownie do brzmienia art. 37 ust. 1 RODO ustanowienie IOD jest obowiązkowe, jeżeli:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych

Duże podmioty, które wcześniej działały już jako VASP, mają duży wolumen obrotu i pokaźną liczbę użytkowników, z ostrożności powinny powołać inspektora ochrony danych z uwagi na drugą z przesłanek. Mniejsze firmy, które dopiero będą wchodziły na rynek po uzyskaniu licencji CASP powinny rozważyć ustanowienie IOD ze względów ostrożnościowych pomimo niewielkiej skali działalności gospodarczej. Administrator ochrony danych nie tylko pomoże zadbać o compliance z przepisami RODO, ale będzie także służył, jak punkt kontaktowy dla organu nadzoru oraz osób, które dokonują zgłoszenia w zakresie naruszenia i ochrony swoich praw.

W jaki sposób CASP powinny obsługiwać incydenty RODO?

Obecnie przypadki cyberataków można mnożyć, dlatego przyjrzyjmy się sytuacji, kiedy w wyniku agresji cyberprzestępców dochodzi do wycieku danych osobowych. Co w takiej sytuacji powinien uczynić administrator?

Przede wszystkim – zgodnie z art. 33 RODO – obowiązkiem administratora jest przekazanie informacji o naruszeniu danych osobowych organowi nadzoru w terminie do 72 godzin od stwierdzenia naruszenia. Działania tego można zaniechać wyłącznie wtedy, kiedy jest mało prawdopodobne, że powstało ryzyko naruszenia praw lub wolności osób fizycznych. Takie zgłoszenie powinno zawierać przynajmniej:

  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

  • opis możliwych konsekwencji naruszenia ochrony danych osobowych,

  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W sytuacji, kiedy do incydentu doszło po stronie podmiotu przetwarzającego, np. zewnętrznej firmy IT, ma ona obowiązek niezwłocznie przekazać stosowne informacje administratorowi danych osobowych. Nie dokonuje jednak zgłoszenia do organu nadzoru na własną rękę. Takie działanie nie sprawi, że podmiot będzie mógł powołać się na zasadę rozliczalności.

Dodatkowo należy ocenić, czy nie zachodzi potrzeba zawiadomienia klientów CASP o naruszeniu, stosownie do art. 34 RODO. Taką informację należy przekazać, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Istnieje możliwość odstąpienia od zawiadomienia pod warunkiem, że administrator będzie w stanie wykazać przynajmniej jedną z przesłanek, o których mowa w art. 34 ust. 3 RODO, tj.:

  • wdrożenie odpowiednich technicznych i organizacyjnych środków ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,

  • zastosowanie środków eliminujących prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,

  • zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, wówczas można ograniczyć się do publicznego komunikatu.

Mając na względzie specyfikę działalności CASP i to, że większość z tego typu podmiotów inwestuje duże kwoty w zaawansowane technologie, najłatwiej wyobrazić sobie odwołanie się podmiotu do pierwszej lub drugiej z wymienionych przesłanek.

CASP z siedzibą w państwie trzecim – o czym trzeba pamiętać?

W Polsce nie obowiązuje jeszcze ustawa sektorowa, która pozwalałaby na uzyskanie licencji jako CASP. W praktyce oznacza to, że polskie podmioty nie mogą jeszcze formalnie wnioskować o przyznanie im takiego statutu. Nie oznacza to jednak, że firmy prowadzące działalność w zakresie kryptowalut w kraju, gdzie przepisy zostały już w pełni wdrożone, nie mogą rozpocząć działalności na obszarze Rzeczpospolitej Polskiej odwołując się do zasady paszportowania.

Może więc dojść do sytuacji, kiedy zarówno administrator danych osobowych, jak i procesor będzie miał siedzibę w państwie trzecim i to tam będą przekazywane dane osobowe klientów z Polski. Jak zrobić to legalnie?

W pierwszej kolejności należy ustalić, czy Komisja Europejska wydała w stosunku do danego państwa decyzję, z której wynika, że dany reżim zapewnia odpowiednio wysokie standardy ochrony danych osobowych. Dotychczas takie decyzje zapadły m.in. w stosunku do Japonii, Kanady, Adory, Argentyny, Kanady, Szwajcarii, Stanów Zjednoczonych, Nowej Zelandii i kilku innych państw4.

Dany podmiot (lub grupa podmiotów) opracował wiążące reguły korporacyjne (ang. Binding Corporate Rules), czyli zasady przekazywania i przetwarzania danych osobowych, które zostały zaaprobowane przez lokalny organ nadzoru jako spójne. To rozwiązanie dotyczy głównie grup kapitałowych, które funkcjonują zarówno w UE/EOG, jak i na obszarze państwa trzeciego.

Dopuszczalne jest też zastosowanie standardowych klauzul ochrony danych albo opracowanie kodeksu postępowania RODO, który zostanie zaaprobowany przez organ nadzoru (np. Prezesa UODO).

Sam fakt wyrażenia zgody przez osobę, której dane mają być przetwarzane, na transfer tych danych również legalizuje cały proces i to pomimo braku innych instrumentów prawnych, jak BCR, czy kluzule umowne. Warunkiem skuteczności zgody jest jednak to, aby była ona wyraźna. Klient CASP musi także zostać poinformowany o ryzyku związanym z faktem transferu danych osobowych poza obszar obowiązywania RODO.

Ochrona danych osobowych w świetle MiCA – jak możemy Ci pomóc?

Zaprojektowanie procedur ochrony danych osobowych w biznesie, który działa na skalę transgraniczną i przetwarza informacje na znaczną skalę to duże wyzwanie. Zachęcamy do zapoznania się z ofertą Kancelarii Prawnej RPMS w zakresie wsparcia RODO. Nasz zespół pomoże Ci odpowiednio przygotować się do wymagań stawianych przez obowiązujące przepisy:

  • przeprowadzamy audyt organizacji na płaszczyźnie RODO,

  • identyfikujemy potencjalne problemy związane z przetwarzaniem danych osobowych,

  • opracowujemy komplet dokumentacji wymaganej przez unijne przepisy,

  • oceniamy legalność przekazywania danych osobowych do państw trzecich,

  • cyklicznie prowadzimy badanie compliance, aby zapewnić zgodność działalności z prawem i wytycznymi organu nadzoru,

  • reprezentujemy przedsiębiorcę w postępowaniach kontrolnych i sądowych,

  • świadczymy bieżącą pomoc prawną dopasowaną do indywidualnych potrzeb.

1https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02023R1114-20240109
2https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02016R0679-20160504
3Opracowanie Ministerstwa Cyfryzacji, Grupa robocza ds. rejestrów rozproszonych i blockchain, RODO a technologia blockchain
4https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Pytania i odpowiedzi

Zasada prywatności w sferze projektowania zakłada, że administrator ochrony danych wybierze, wdroży i utrzyma odpowiedni środki techniczne oraz organizacyjne, niezbędne do zapewnienia zgodności działań z RODO. Wszelkie działania wymagają stałego monitoringu i ewaluacji. Przykładem privacy be design będzie opracowanie zasad dostępu do pomieszczeń serwerowni lub zaimplementowanie oprogramowania IPS/IDS celem wykrywania ataków.

Zasada domyślnej prywatności polega na zagwarantowaniu wysokiego standardu ochrony danych bez konieczności podejmowania żadnej aktywności przez użytkownika. Takim działaniem będzie np. domyślne włączenie dwustopniowej autoryzacji na kontach klientów lub konieczność manualnego zatwierdzenia zleceń przekraczających określoną kwotę.

W takiej sytuacji do zawiadomienia należy dodatkowo załączyć wyjaśnienie przyczyny opóźnienia. Można też liczyć się z tym, że w toku kontroli zostanie zbadane, czy incydent dało się wykryć wcześniej i czy administrator dochował wszystkich swoich obowiązków.

Podstawowym zadaniem IOD jest monitorowanie zgodności działań organizacji z RODO. Dodatkowo inspektor przyjmuje na siebie rolę punktu kontaktowego względem organu nadzoru oraz osób, których dane dotyczą. Ma też obowiązek prowadzenia rejestrów dotyczących danych osobowych i udzielania porad m.in. osobom zarządzającym oraz pracownikom w zakresie ochrony tych informacji.

Zasadniczo wszystkie usługi w zakresie kryptoaktywów wiążą się z przetwarzaniem danych osobowych. Wynika to z wprowadzenia zasady Travel Rule, która nakłada obowiązek przekazywania informacji dotyczących stron transakcji przez podmioty, które te transakcje realizują. Wprowadzając Travel Rule unijny ustawodawca walczy z próbami oszustw finansowych.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam

5/5 - (liczba głosów: 1)
Spis treści

    Imię i nazwisko
    Email lub telefon kontaktowy
    Twoja wiadomość
    Dane podane w formularzu będą przetwarzane przez Kancelarię Prawną RPMS z siedzibą w Poznaniu, w celu realizacji zgłoszenia oraz według zasad zawartych w Polityce Prywatności.
    Pozostałe Artykuły
    MiCA vs. RODO – czy CASP powinny chronić dane osobowe?
    27 października 2025
     MiCA vs. RODO – czy CASP powinny chronić dane osobowe?

    CASP jako administrator danych osobowych W pierwszej kolejności należy ustalić, czy podmioty kwalifikujące się jako...

    Więcej
    Wprowadzenie narzędzi AI w firmie – obowiązki prawne, RODO i wymogi Ai Act krok po kroku
    24 października 2025
     Wprowadzenie narzędzi AI w firmie – obowiązki prawne, RODO i wymogi Ai Act krok po kroku

    Wdrożenie AI w firmie - znajomość prawa jako konieczny element wdrożenia Rosnące znaczenie narzędzi AI...

    Więcej
    Wniesienie (aport) nieruchomości do spółki kapitałowej
    24 października 2025
     Wniesienie (aport) nieruchomości do spółki kapitałowej

    Co oznacza wniesienie nieruchomości do spółki aportem? Wniesienie nieruchomości do spółki niewiele ma wspólnego ze...

    Więcej
    Rejestracja i utrzymanie znaku towarowego w 2025r. – ile kosztuje i na co uważać?
    23 października 2025
     Rejestracja i utrzymanie znaku towarowego w 2025r. – ile kosztuje i na co uważać?

    Od czego zależą koszty rejestracji znaku towarowego? Koszty rejestracji znaku towarowego nie są stałe. Zależą...

    Więcej
    System kaucyjny: na czym polega i co trzeba wiedzieć
    23 października 2025
     System kaucyjny: na czym polega i co trzeba wiedzieć

    Jak działa system kaucyjny w praktyce Zasada działania systemu jest prosta: kupując napój w określonym...

    Więcej
    Wniesienie do spółki (aport) autorskich praw majątkowych 
    23 października 2025
     Wniesienie do spółki (aport) autorskich praw majątkowych 

    Na czym polega wniesienie autorskich praw majątkowych do spółki kapitałowej? Wkładem do spółki innym niż...

    Więcej
    Plan ciągłości działania (BCP) – jak przygotować i wdrożyć skuteczny plan bezpieczeństwa krok po kroku
    22 października 2025
     Plan ciągłości działania (BCP) – jak przygotować i wdrożyć skuteczny plan bezpieczeństwa krok po kroku

    Czym jest plan ciągłości działania (BCP) i dlaczego jest ważny dla firmy Wielu przedsiębiorców myśli...

    Więcej
    Opodatkowanie wypłat zysku wypracowanego przed przekształceniem działalności lub spółki – zasady, ryzyka i interpretacje podatkowe
    21 października 2025
     Opodatkowanie wypłat zysku wypracowanego przed przekształceniem działalności lub spółki – zasady, ryzyka i interpretacje podatkowe

    Róznice w opodatkowaniu spółek osobowych i kapitałowych - dlaczego po przekształceniu może dojść do podwójnego...

    Więcej
    Klauzula toolingu w umowie B2B, czyli jak rozliczać przekazanie sprzętu wykonawcy
    20 października 2025
     Klauzula toolingu w umowie B2B, czyli jak rozliczać przekazanie sprzętu wykonawcy

    Czym jest umowa toolingu i kiedy się ją stosuje? Są takie elementy współpracy, które pojawiają...

    Więcej
    Prawo dla producentów i importerów – najważniejsze obowiązki, odpowiedzialność i praktyczne wskazówki
    17 października 2025
     Prawo dla producentów i importerów – najważniejsze obowiązki, odpowiedzialność i praktyczne wskazówki

    Kim jest producent, a kim importer – definicje i podsatwy prawne Zgodnie z prawem unijnym,...

    Więcej
    Kwalifikacja prawna tokenów i obowiązki z nimi związane na podstawie ustawy o kryptowalutach oraz Rozporządzenia MiCA
    16 października 2025
     Kwalifikacja prawna tokenów i obowiązki z nimi związane na podstawie ustawy o kryptowalutach oraz Rozporządzenia MiCA

    Dlaczego tokeny muszą mieć swoją kwalifikację? Z technicznego punktu widzenia token jest linijką kodu. Z...

    Więcej
    Agencja pracy tymczasowej – jak bezpiecznie zatrudniać cudzoziemców po zmianach w 2025 roku [praktyczny przewodnik]
    15 października 2025
     Agencja pracy tymczasowej – jak bezpiecznie zatrudniać cudzoziemców po zmianach w 2025 roku [praktyczny przewodnik]

    Agencja pracy tymczasowej a zatrudnianie cudzoziemców – nowe obowiązki i warunki prowadzenia działalności od 2025...

    Więcej
    RODO w biurze rachunkowym – jak wdrożyć procedurę i skutecznie chronić dane klientów
    14 października 2025
     RODO w biurze rachunkowym – jak wdrożyć procedurę i skutecznie chronić dane klientów

    RODO w biurze rachunkowym — jak dobrać odpowiednie środki ochrony danych osobowych Rozporządzenie RODO nie...

    Więcej
    Zabezpieczenia techniczne i organizacyjne – spółka zgodna z RODO
    13 października 2025
     Zabezpieczenia techniczne i organizacyjne – spółka zgodna z RODO

    Co mówią przepisy RODO o zabezpieczeniach danych osobowych? Ogólne rozporządzenie o ochronie danych osobowych (RODO)...

    Więcej
    Zewnętrzny Inspektor Ochrony Danych – kiedy warto powierzyć funkcję IOD
    10 października 2025
     Zewnętrzny Inspektor Ochrony Danych – kiedy warto powierzyć funkcję IOD

    Kim jest inspektor ochrony danych osobowych i kiedy jego powołanie jest obowiązkowe? Inspektor Ochrony Danych,...

    Więcej
    Wynagrodzenie za świadczenia niepieniężne w spółce z o.o. a ZUS
    9 października 2025
     Wynagrodzenie za świadczenia niepieniężne w spółce z o.o. a ZUS

    Na czym polegają świadczenia niepieniężne w spółce z o.o.? Ustawa kodeks spółek handlowych w art....

    Więcej
    IP BOX i Ulga B+R dla firm IT – jak bezpiecznie korzystać z preferencji podatkowych i przygotować się na kontrolę
    8 października 2025
     IP BOX i Ulga B+R dla firm IT – jak bezpiecznie korzystać z preferencji podatkowych i przygotować się na kontrolę

    Ulga B+R a IP BOX – czym się różnią i kiedy można je łączyć w...

    Więcej
    Audyt podatkowy i księgowy w transakcjach M&A – jak przygotować się do due diligence i uniknąć ryzyk przed podpisaniem umowy
    7 października 2025
     Audyt podatkowy i księgowy w transakcjach M&A – jak przygotować się do due diligence i uniknąć ryzyk przed podpisaniem umowy

    Kiedy i dlaczego warto wykonać audyt podatkowo-księgowy w transakcjach M&A? Audyt podatkowo księgowy to szereg...

    Więcej
    Powtarzające się świadczenia niepieniężne a estoński CIT – jak prawidłowo rozliczać i unikać błędów podatkowych
    6 października 2025
     Powtarzające się świadczenia niepieniężne a estoński CIT – jak prawidłowo rozliczać i unikać błędów podatkowych

    Czy wynagrodzenie wspólników za świadczenia niepieniężne jest ukrytym zyskiem? Stanowisko Dyrektora KIS Jak wskazuje w...

    Więcej
    Polityka etycznego korzystania ze sztucznej inteligencji (AI) w firmie
    3 października 2025
     Polityka etycznego korzystania ze sztucznej inteligencji (AI) w firmie

    Kto potrzebuje polityki etycznego korzystania z AI? W 2024 roku ponad 50% wszystkich przedsiębiorstw z...

    Więcej
    Czy Twoja strona www spełnia wymagania RODO? Checklista 2025
    26 września 2025
     Czy Twoja strona www spełnia wymagania RODO? Checklista 2025

    Kiedy właściciel strony internetowej staje się administratorem danych? RODO, czyli Rozporządzenie o Ochronie Danych Osobowych...

    Więcej
    Obowiązek informacyjny RODO – kogo, kiedy i jak informować o przetwarzaniu danych?
    25 września 2025
     Obowiązek informacyjny RODO – kogo, kiedy i jak informować o przetwarzaniu danych?

    Czym jest obowiązek informacyjny i kogo dotyczy? Obowiązek informacyjny to jedno z podstawowych narzędzi ochrony...

    Więcej
    Transfer danych osobowych do USA – co musisz wiedzieć?
    24 września 2025
     Transfer danych osobowych do USA – co musisz wiedzieć?

    Czym właściwie jest transfer danych do USA? Zgodnie z RODO, transfer danych osobowych do państwa...

    Więcej
    Etykieta produktu – obowiązkowe informacje, które muszą się na niej znaleźć zgodnie z przepisami
    22 września 2025
     Etykieta produktu – obowiązkowe informacje, które muszą się na niej znaleźć zgodnie z przepisami

    Dlaczego prawidłowa etykieta jest tak ważna? - funkcje i odpowiedzialność producenta Dla konsumenta etykieta jest...

    Więcej
    User Generated Content (UGC) – czym jest i jak korzystać z treści tworzonych przez użytkowników?
    19 września 2025
     User Generated Content (UGC) – czym jest i jak korzystać z treści tworzonych przez użytkowników?

    Czym właściwie jest User Generated Content? Termin User Generated Content odnosi się do wszelkich materiałów...

    Więcej
    Karty charakterystyki (SDS) – kiedy są wymagane i co muszą zawierać?
    18 września 2025
     Karty charakterystyki (SDS) – kiedy są wymagane i co muszą zawierać?

    Czym jest karta charakterystyki (SDS) i do czego służy? Karta charakterystyki (ang. Safety Data Sheet,...

    Więcej
    Monitoring pracownika a RODO – granice kontroli w miejscu pracy
    17 września 2025
     Monitoring pracownika a RODO – granice kontroli w miejscu pracy

    Podstawy prawne monitoringu pracowników w Polsce (RODO + Kodeks pracy) Mówiąc o monitoringu pracowników, pierwszą...

    Więcej
    Wyrok TSUE: nowa era dla suplementów ziołowych
    16 września 2025
     Wyrok TSUE: nowa era dla suplementów ziołowych

    Czym są oświadczenia zdrowotne? Zgodnie z art. 2 ust. 2 pkt 5 rozporządzenia 1924/2006, oświadczenie...

    Więcej
    Ostrzeżenia i piktogramy na produktach – kiedy i jakie są obowiązkowe?
    15 września 2025
     Ostrzeżenia i piktogramy na produktach – kiedy i jakie są obowiązkowe?

    Rola ostrzeżeń i piktogramów w ochronie użytkownika Ostrzeżenia i piktogramy na produktach nie są ani...

    Więcej
    Zmiany przepisów dotyczących Fundacji Rodzinnej
    12 września 2025
     Zmiany przepisów dotyczących Fundacji Rodzinnej

    Czy zmiany w regulacji fundacji rodzinnej są potrzebne – fundacje rodzinne vs. agresywne praktyki podatkowe...

    Więcej


    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *