IT zakon
IT zakon
Pametna pravna rješenja za tehnološke tvrtke
SAŽETAK
IT pravo i tehnološko pravo ključni su za tvrtke u digitalnom dobu. Bez obzira jeste li tehnološka tvrtka koja razvija softver, tvrtka koja implementira IT sustave ili organizacija koja se bavi usklađenošću s propisima o privatnosti podataka, specijalizirano pravno savjetovanje štiti vaše inovacije i osigurava usklađenost s propisima.
At Zakon & Više, savjetujemo tehnološke tvrtke, startupove i tvrtke o svim aspektima IT prava, kibernetičke sigurnosti i digitalne usklađenosti. Smješteno u Brainportu. Eindhoven U tehnološkom ekosustavu intenzivno surađujemo sa softverskim tvrtkama, SaaS pružateljima usluga, proizvođačima hardvera i digitalnim inovatorima. Naši IT pravnici kombiniraju tehničko razumijevanje s pravnom stručnošću kako bi zaštitili vaše poslovanje u digitalnom krajoliku.
Trebate savjet stručnjaka?
Naši stručnjaci za IT pravo spremni su vam pomoći. Zatražite personalizirani pravni savjet već danas.
Brza navigacija
Najnoviji uvidi
Članci o IT pravu
Dijeljenje podataka je žila kucavica moderne trgovine. Bez obzira na to uvodite li novog pružatelja usluga u oblaku,
Nizozemska SaaS tvrtka prima pismo o prestanku pružanja usluga u kojem se tvrdi da je ključna značajka njihove
1. Uvod – Zašto je patent bitan za poduzetnike? Proveli ste mjesece –
Koje poslove obavljamo
Ugovori o licenciranju softvera i SaaS ugovori
Usklađenost s GDPR-om i zaštita podataka
Pravila o privatnosti i ugovori o obradi podataka
IT ugovori i ugovori s dobavljačima
Odgovor na kibernetičku sigurnost i kršenje podataka
Zaštita intelektualnog vlasništva i izvornog koda
Ugovori o računalstvu u oblaku
Regulacija e-trgovine i online platformi
Zakon o umjetnoj inteligenciji i novim tehnologijama
Tehnološki sporovi i odgovornost
Zašto odabrati Law & More
Dubinsko stručno znanje u tehnološkoj industriji i digitalnim poslovnim modelima
Nalazi se u Brainportu Eindhoven tehnološki ekosustav
Praktično razumijevanje razvoja softvera i IT operacija
Iskustvo sa startupima, scale-upovima i poslovnim klijentima
Višejezična usluga za međunarodne tehnološke tvrtke
Često postavljana pitanja – IT pravo
Često postavljana pitanja o IT pravu, na koja odgovaraju naši stručnjaci.
Ugovor o obradi podataka bilježi dogovore između kontrolora i izvršitelja obrade prema GDPR-u. Između ostalog, mora odrediti predmet, trajanje, prirodu i svrhu obrade, vrstu osobnih podataka i kategorije ispitanika, sigurnosne mjere, korištenje podobrađivača te obveze povrata ili brisanja podataka. Izrađujemo i pregledavamo DPA-ove kako bi bili neometni.
Autorsko pravo na softver razvijen po narudžbi u načelu pripada programeru, osim ako nije drugačije pismeno dogovoreno. Klijent koji želi steći prava stoga mora imati priložen jasan ugovor o prijenosu vlasništva ili široku licencu. Također bi trebalo dogovoriti postojeće komponente, otvoreni kod i prava korištenja. Osiguravamo neprobojnost položaja intelektualnog vlasništva.
SLA bilježi dogovorenu kvalitetu IT usluge, kao što su dostupnost, vrijeme odziva, podrška i prozori za održavanje. Nepoštivanje razina često je povezano s kaznama ili kreditima za uslugu. Jasan SLA sprječava sporove oko toga što znači „dobra usluga“ i daje kupcu konkretnu prednost u slučaju neizvršenja. Izrađujemo uravnotežene SLA-ove i pregledavamo one dobavljača.
Komponente otvorenog koda mogu se koristiti besplatno, ali pod uvjetima primjenjive licence. Neke licence (kao što je copyleft) zahtijevaju dostupnost izvedenog izvornog koda, što može utjecati na komercijalni softver. Popis licenci i politika usklađenosti sprječavaju nenamjerne obveze i kršenja. Savjetujemo o odgovornom korištenju otvorenog koda.
Direktiva NIS2 podiže zahtjeve za kibernetičku sigurnost za široku skupinu srednjih i velikih organizacija u bitnim i važnim sektorima. Između ostalog, zahtijeva mjere upravljanja rizicima, izvještavanje o incidentima i odgovornost menadžmenta. Nepoštivanje propisa može dovesti do značajnih novčanih kazni. Pomažemo vam da utvrdite spadate li pod NIS2 i kako se uskladiti s propisima.
Kod usluga u oblaku važno je tko je odgovoran za dostupnost, sigurnost, podatke i sigurnosne kopije te kako je odgovornost ograničena. Ugovori s dobavljačima često sadrže široka izuzeća; kao kupac, bitno je kritički ih procijeniti i prilagoditi gdje je potrebno. Dogovori o izlasku i povratu podataka također bi trebali biti dobro regulirani. Mi pregovaramo o tim uvjetima za vas.
Prijenos osobnih podataka u zemlje izvan EGP-a dopušten je samo tamo gdje je zajamčena odgovarajuća razina zaštite, na primjer putem odluke o adekvatnosti ili standardnih ugovornih klauzula s dodatnim mjerama. Budući da je sudska praksa važna, potrebna je pažljiva procjena. Savjetujemo o zakonitom međunarodnom prijenosu podataka i potrebnoj dokumentaciji.
Postavljanje kolačića i alata za praćenje koji nisu strogo neophodni u načelu zahtijeva prethodni, informirani pristanak korisnika. Obveze transparentnosti primjenjuju se i putem izjave o kolačićima. Netočni banneri o kolačićima i 'privola' koja je zapravo prisilna stvaraju rizike za provedbu. Procjenjujemo zakonitost vašeg rješenja za kolačiće.
Poslovne tajne su zaštićene ako su tajne, vrijedne i zaštićene razumnim mjerama. Uz zakonsku zaštitu, ključni su i aranžmani o povjerljivosti i zabrani konkurencije u ugovorima i ugovorima o radu. U slučaju kršenja, između ostalog, može se tražiti sudska zabrana i odšteta. Pomažemo u zaštiti vašeg znanja i vještina ugovorno i u praksi.
Sporovi se često odnose na kašnjenje, nedostatke, dodatne radove ili raskid ugovora. Prvi korak je ispitivanje ugovora i isporučene usluge, nakon čega slijedi obrazloženi zahtjev i, ako je potrebno, obavijest o neizvršenju obveze. Ako rješenje putem pregovora ili posredovanja ne uspije, može uslijediti postupak. Zastupamo vaše interese od prvog podsjećanja do sudnice.
Dodjelom prava, autorska prava na softver trajno prelaze na kupca, dok kod licence kreator ostaje nositelj prava i daje samo pravo korištenja. Za softver po mjeri razvijen po narudžbi to treba unaprijed dogovoriti, inače prava ostaju kod programera.
Web trgovina mora jasno navesti, između ostalog, identitet prodavatelja, cijenu uključujući poreze, troškove dostave, pravo na odustajanje od kupnje i načine plaćanja. Nedostatak obveznih informacija može produžiti rok za odustajanje i dovesti do kazni od strane regulatora.
DPIA je obvezna procjena rizika za privatnost za obradu koja će vjerojatno rezultirati visokim rizikom, kao što je profiliranje velikih razmjera ili video nadzor. Ishod vam pomaže da poduzmete odgovarajuće mjere prije početka obrade.
SaaS ugovori propisuju dogovore o dostupnosti, sigurnosti, gubitku podataka i ograničenjima odgovornosti. Obratite pozornost na isključenje posljedične štete, razinu gornje granice odgovornosti i dogovore o vraćanju i brisanju podataka nakon prestanka ugovora.
Ako angažirate stranku koja obrađuje osobne podatke u vaše ime, morate sklopiti ugovor o obradi podataka s dogovorima o sigurnosti, povjerljivosti, podobrađivačima i prijavljivanju povreda podataka. Kao kontrolor, u konačnici ste odgovorni za zakonitu obradu.
Ključni pravni pojmovi
Važna terminologija objašnjena jednostavnim jezikom
GDPR (Opća uredba o zaštiti podataka)
Uredba EU koja uređuje obradu osobnih podataka, na snazi od svibnja 2018. Primjenjuje se na svaku organizaciju koja obrađuje osobne podatke stanovnika EU, bez obzira na lokaciju organizacije. Ključna načela: zakonita osnova za obradu, ograničenje svrhe, minimiziranje podataka, točnost, ograničenje pohrane, sigurnost i odgovornost. Zahtijeva transparentnost (pravila privatnosti), omogućavanje prava ispitanika (pristup, ispravak, brisanje, prenosivost), procjene utjecaja na zaštitu podataka za obradu visokog rizika i imenovanje službenika za zaštitu podataka u određenim slučajevima. Kršenja se moraju prijaviti nadzornim tijelima u roku od 72 sata. Kazne mogu doseći 20 milijuna eura ili 4% globalnog godišnjeg prometa. Provode je nacionalna tijela za zaštitu podataka - u Nizozemskoj, Autoriteit Persoonsgegevens.
SaaS ugovor (softver kao usluga)
Model isporuke softvera u oblaku gdje korisnici pristupaju aplikacijama putem interneta na temelju pretplate, umjesto da kupuju i instaliraju softver lokalno. SaaS ugovori moraju obuhvaćati: razine usluge (jamstva neprekidnog rada, vrijeme odziva podrške), vlasništvo nad podacima i prenosivost (korisnik zadržava vlasništvo, može izvesti podatke), sigurnosne mjere i certifikate, funkcionalnost i ažuriranja, skalabilnost, mogućnosti integracije, pomoć pri raskidu i prijelazu te model određivanja cijena. Ključne razlike u odnosu na tradicionalne licence: korisnik ne posjeduje softver, dobavljač kontrolira infrastrukturu i ažuriranja, podaci se nalaze kod dobavljača, a odnos je kontinuiran, a ne jednokratan. Uobičajeni problemi: prekidi usluge, kršenja podataka, vezanost za dobavljača, usklađenost sa sigurnosnim zahtjevima kupaca. Dobro strukturirani SaaS ugovori uravnotežuju potrebu dobavljača za operativnom fleksibilnošću s potrebom kupca za pouzdanošću i zaštitom podataka.
Ugovor o obradi podataka (DPA)
Obavezan ugovor prema GDPR-u između voditelja obrade podataka i obrađivača podataka kojim se uređuje način na koji će se obrađivati osobni podaci. Kada angažirate dobavljača za obradu podataka u vaše ime (npr. pohrana u oblaku, marketing e-poštom, usluge obračuna plaća), vi ste voditelj obrade, a oni su obrađivač. Ugovor o obradi podataka mora navesti: predmet i trajanje obrade, prirodu i svrhu obrade, vrste osobnih podataka i ispitanika, prava i obveze voditelja obrade te obveze obrađivača. Obrađivači moraju: slijediti upute voditelja obrade, implementirati odgovarajuću sigurnost, koristiti samo odobrene podobrađivače, pomagati sa zahtjevima ispitanika i obavijestima o kršenju, izbrisati ili vratiti podatke kada usluge završe i dokazati usklađenost. Bez odgovarajućeg ugovora o obradi podataka, obje strane riskiraju kršenje GDPR-a. Standardni uvjeti obrađivača često idu u korist dobavljača - voditelji obrade trebali bi pregovarati o zaštiti usklađenoj sa svojim profilom rizika i regulatornim obvezama.
Polog izvornog koda
Sporazum u kojem dobavljač softvera pohranjuje izvorni kod kod neutralne treće strane (escrow agenta), koja ga predaje kupcu ako se dogode određeni okidački događaji (stečaj dobavljača, neodržavanje softvera, kršenje ugovora). Štiti kupce koji ovise o vlasničkom softveru od toga da ostanu nasukani ako dobavljač ne može podržati proizvod. Ugovor o escrowu definira: koji se materijali pohranjuju (izvorni kod, upute za izradu, dokumentacija), učestalost polaganja (svako veće izdanje), postupke provjere (kompajlira li se kod zapravo?) i uvjete izdavanja. Uobičajeno u poslovima s poslovnim softverom, posebno za kritične sustave. Troškovi obično iznose 2,000-10 000 eura godišnje. Dobavljači se opiru escrowu jer dodaje administrativno opterećenje i potencijalno izlaže intelektualno vlasništvo, ali je često potrebno sklopiti poslovne poslove. Nije cjelovito rješenje - čak i s izvornim kodom, kupcima može nedostajati stručnosti za održavanje složenog softvera. Alternative uključuju obvezne uvjete podrške i operativna jamstva.
Zakon o umjetnoj inteligenciji (Zakon EU-a o umjetnoj inteligenciji)
Sveobuhvatna EU regulativa za sustave umjetne inteligencije, postupno uvođenje od 2025. do 2027. Stvara okvir temeljen na riziku: zabranjena umjetna inteligencija (društveno bodovanje, biometrijski nadzor u stvarnom vremenu), umjetna inteligencija visokog rizika (alati za zapošljavanje, kreditno bodovanje, kritična infrastruktura - zahtijeva ocjenu sukladnosti, registraciju, kontinuirano praćenje), umjetna inteligencija ograničenog rizika (chatbotovi, deepfakeovi - samo zahtjevi za transparentnost), umjetna inteligencija minimalnog rizika (većina aplikacija - nema posebnih pravila). Sustavi visokog rizika moraju ispunjavati zahtjeve za: kvalitetu podataka, tehničku dokumentaciju, transparentnost, ljudski nadzor, točnost, kibernetičku sigurnost i upravljanje rizicima. Modeli umjetne inteligencije opće namjene suočavaju se s dodatnim obvezama. Provedba putem nacionalnih tijela s kaznama do 35 milijuna eura ili 7% globalnog prometa. Odnosi se na pružatelje usluga koji plasiraju umjetnu inteligenciju na tržište EU i korisnike sustava visokog rizika u EU. Značajno opterećenje usklađenosti za programere, ali pruža pravnu sigurnost. Međunarodne tvrtke koje posluju s klijentima iz EU moraju se pridržavati propisa.
eIDAS (Elektronička identifikacija i usluge povjerenja)
Uredba EU-a kojom se uspostavlja pravni okvir za elektroničke potpise, pečate, vremenske žigove i druge usluge povjerenja u državama članicama. Prepoznaje tri razine potpisa: jednostavnu (bilo koja elektronička oznaka odobrenja), naprednu (jedinstveno povezanu s potpisnikom, identificira ga, stvorenu sigurnim sredstvima pod isključivom kontrolom) i kvalificiranu (napredni potpis s kvalificiranim certifikatom i sigurnim uređajem, pravno ekvivalentan rukom pisanom). Kvalificirani pružatelji usluga povjerenja moraju ispunjavati stroge sigurnosne i revizijske zahtjeve. E-potpisi iz jedne zemlje EU moraju se priznati u svim ostalima. Za ugovore su općenito dovoljni jednostavni potpisi; kvalificirani su potrebni samo za određene pravne akte. Omogućuje transakcije bez papira uz održavanje sigurnosti i pravne sigurnosti. Nizozemska provodi putem Zakona o elektroničkim potpisima. Ključno za digitalno gospodarstvo i poslovanje na daljinu. Zamijenjena je ranija Direktiva o elektroničkim potpisima sveobuhvatnijim okvirom.
Dodjela intelektualnog vlasništva
Prijenos prava intelektualnog vlasništva s kreatora na drugu stranu. U nizozemskom pravu, prava intelektualnog vlasništva se ne prenose automatski - zaposlenje stvara iznimku u kojoj poslodavci posjeduju proizvod rada zaposlenika, ali izvođači zadržavaju prava osim ako ih ugovor izričito ne dodjeljuje. Pisani prijenos mora biti jasan i sveobuhvatan: "dodjeljuje sva prava, vlasništvo i udjele u i na [definirani proizvod rada], uključujući sva autorska prava, patente, zaštitne znakove, poslovne tajne i srodna prava." Prijenosi mogu biti neposredni ili nakon plaćanja. Moralna prava (pripisivanje, integritet) općenito se ne mogu prenijeti u Nizozemskoj, ali se mogu odreći. Važno je navesti: što se dodjeljuje (specifični kod, sav proizvod rada, buduća poboljšanja?), opseg (širom svijeta? specifična područja upotrebe?) i naknadu (plaćanje, vlasnički kapital, druga razmjena vrijednosti). Bez pravilnog prijenosa, tvrtke možda neće posjedovati ono za što misle da su platile. Bitno u razvoju softvera, stvaranju sadržaja i svakom naručenom kreativnom radu.
SLA (Sporazum o razini usluge)
Sporazum kojim se bilježe dogovorene razine kvalitete IT usluge, kao što su dostupnost, vrijeme odziva i podrška, često s kreditima za uslugu ili kaznama za neispunjavanje istih.
Autorska prava za softver (Auteursrecht op Software)
Pravo koje štiti proizvođača od neovlaštene reprodukcije ili objavljivanja softvera. Za radove po narudžbi, pravo u načelu pripada programeru, osim ako nije preneseno u pisanom obliku.
Licenca otvorenog koda (Open Source-licentie)
Licenca koja dopušta korištenje, izmjenu i distribuciju softvera pod određenim uvjetima. Neke (copyleft) licence zahtijevaju objavljivanje izvedenog izvornog koda.
Direktiva NIS2 (NIS2-richtlijn)
Europsko zakonodavstvo kojim se nameću stroži zahtjevi za kibernetičku sigurnost širokoj skupini organizacija u bitnim i važnim sektorima, s obvezama upravljanja rizicima, izvješćivanja o incidentima i upravljačke odgovornosti.
Računarstvo u oblaku (Cloud Computing)
Dobivanje IT usluga kao što su pohrana, računalna snaga i softver putem interneta. U ugovorima o oblaku, dogovori o dostupnosti, sigurnosti, lokaciji podataka, odgovornosti i izlasku posebno su važni.
Kršenje podataka (Datalek)
Kršenje sigurnosti koje dovodi do uništenja, gubitka, izmjene ili neovlaštenog pristupa osobnim podacima. Prema GDPR-u, kršenje podataka u određenim okolnostima mora se prijaviti nadzornom tijelu i ispitanicima.
Kontrolor (Verwerkingsverantwoordelijke)
Stranka koja određuje svrhe i sredstva obrade osobnih podataka i stoga je prvenstveno odgovorna za usklađenost s GDPR-om.
Procesor (Verwerker)
Stranka koja obrađuje osobne podatke u ime kontrolora, kao što je pružatelj usluga u oblaku. Dogovori o tome zabilježeni su u ugovoru o obradi podataka.
Poslovna tajna (Bedrijfsgeheim)
Informacije koje su tajne, komercijalno vrijedne i zaštićene razumnim mjerama. U slučaju nezakonitog stjecanja ili otkrivanja, između ostalog, može se tražiti sudska zabrana i odšteta.
Pravo na povlačenje (Herroepingsrecht)
Pravo potrošača da bez razloga i unutar zakonskog roka za odustajanje od kupnje zaključene putem interneta ili izvan poslovnih prostorija. Web trgovine moraju o tome jasno obavijestiti.
DPIA (Procjena utjecaja na zaštitu podataka)
Obvezna procjena rizika privatnosti za obradu koja vjerojatno predstavlja visok rizik za pojedince. Njezin ishod pomaže organizaciji da poduzme odgovarajuće tehničke i organizacijske mjere prije početka obrade.
Ugovor o depozitu (Escrow-overeenkomst)
Sporazum prema kojem se izvorni kod softvera pohranjuje kod neovisne treće strane. Kupac dobiva pristup kodu ako, na primjer, dobavljač postane insolventan ili prestane održavati program.
Zapisi o obradi (Verwerkingsregister)
Pregled organizacija koje moraju čuvati informacije o svojim aktivnostima obrade osobnih podataka, uključujući svrhe, kategorije podataka i razdoblja čuvanja, kako je propisano zakonom o zaštiti podataka.
Standardne ugovorne klauzule (SCC)
Model ugovornih klauzula koje je usvojila Europska komisija, a koje pružaju odgovarajuću razinu zaštite za prijenos osobnih podataka u zemlje izvan EU-a bez odluke o adekvatnosti.
Zakon o digitalnim uslugama (DSA)
Europsko zakonodavstvo kojim se nameću obveze online platformama i posrednicima, uključujući one o borbi protiv ilegalnog sadržaja, transparentnosti oglašavanja i zaštiti korisnika.
Imate pitanja o IT pravu?
Naši iskusni odvjetnici su vam na raspolaganju. Zakažite konzultacije kako biste razgovarali o vašoj specifičnoj situaciji.
