RODO aktualności – 02.04.2025 r. 

• Sprawa dotyczy ginekolożki ze Szczecina, której pacjentki zostały objęte działaniami prokuratury w wyniku postępowania prowadzonego przeciwko niej.​
• W styczniu 2023 r. Prokuratura Regionalna w Szczecinie zatrzymała całą dokumentację medyczną pacjentek lekarki, mimo że dochodzenie dotyczyło tylko jednej osoby.​
• Na podstawie znalezionych w dokumentacji danych prokuratura skierowała akt oskarżenia przeciwko lekarce.​
• Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski w piśmie do Prokuratora Krajowego Dariusza Korneluka podkreśla, że przetwarzanie bez podstawy prawnej danych o stanie zdrowia jest niedopuszczalne.​
• UODO przypomina, że dane osobowe mogą być przetwarzane tylko wtedy, gdy wynika to z przepisów prawa i jest niezbędne dla realizacji uprawnienia lub ochrony interesów osoby, której dane dotyczą.​
• W przypadku dokumentacji medycznej pacjentek ginekolożki brak jest podstaw do przetwarzania ich danych przez prokuraturę.​
• Zgodnie z przepisami, bezprawne przetwarzanie danych osobowych może skutkować odpowiedzialnością karną – włącznie z karą pozbawienia wolności do dwóch lat.​
• Dane dotyczące zdrowia są objęte szczególną ochroną prawną zarówno na gruncie polskiej Konstytucji, jak i przepisów o ochronie danych osobowych.​
• UODO wskazuje, że dalsze operacje na dokumentacji medycznej pacjentek mogą być niezgodne z prawem.​

Źródło: https://uodo.gov.pl/pl/138/3589 ​

• Kontekst: Urząd Ochrony Danych Osobowych (UODO) opublikował poradnik dotyczący naruszeń ochrony danych. Dokument wzbudził kontrowersje ze względu na rygorystyczne podejście do roli inspektora ochrony danych (IOD).​
• Kluczowe wnioski z poradnika:​
  • IOD powinien pełnić rolę doradczą, udzielać wskazówek i informacji.​
  • Nie może zgłaszać naruszeń do UODO w imieniu administratora ani podpisywać i wysyłać zgłoszeń.​
  • Nie powinien zawiadamiać osób, których dane dotyczą, o naruszeniach.​
  • Nie może dokumentować naruszeń w imieniu administratora.​
• Stanowisko UODO:​
  • Rola IOD ma pozostać niezależna i wolna od konfliktu interesów.​
  • Poradnik nie zabrania prowadzenia dokumentacji przez IOD w jego własnym zakresie.​
  • Celem UODO było zwrócenie uwagi na potrzebę rozdzielenia odpowiedzialności inspektora i administratora.​
• Reakcje ekspertów:​
  • Część specjalistów uważa, że UODO nie rozwiało, a jedynie zwiększyło niejasności dotyczące roli IOD.​
  • Prof. Grzegorz Sibiga zwraca uwagę na brak precyzyjnego określenia, jakie zadania powinien pełnić inspektor w procesie obsługi naruszeń.​
  • Maciej Gawroński popiera stanowisko UODO, twierdząc, że IOD powinien pełnić funkcję doradczą, a nie operacyjną.​
• Wnioski końcowe:​
  • IOD powinien dokumentować naruszenia we własnym zakresie, ale to administrator ostatecznie bierze na siebie odpowiedzialność.​
  • Nadal istnieją rozbieżności co do interpretacji roli IOD, co może wpłynąć na konieczność reorganizacji działań związanych z ochroną danych w organizacjach.​
  • Eksperci wciąż dyskutują, czy UODO rzeczywiście doprecyzowało kwestie roli inspektora, czy wręcz przeciwnie – skomplikowało temat.

Źródło: https://www.prawo.pl/biznes/rola-iod-poradnik-uodo-o-naruszeniu-danych-osobowych,531994.html ​

• Sąd Rejonowy w Sofii skierował do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) 17 pytań dotyczących ochrony konsumentów w kontekście automatycznie podejmowanych decyzji.​
• Kluczowe pytania dotyczą interpretacji przepisów AI Act w zakresie dostępu konsumentów do informacji o sposobie podejmowania decyzji przez algorytmy.​
• Sprawa dotyczy automatycznie generowanych faktur przez operatora telekomunikacyjnego na podstawie danych pobieranych z urządzenia użytkownika.AC​
• Konsument kwestionuje wysokość opłat wynikających z tych faktur oraz naliczoną karę umowną.​
• Sąd rozważa, czy:​
  • Konsument ma prawo do informacji o algorytmach obliczających jego faktury.​
  • Sąd może wymagać od przedsiębiorcy ujawnienia kodu źródłowego i mechanizmów działania systemu rozliczeniowego.​
  • Automatycznie podejmowane decyzje podlegają kontroli i weryfikacji przez człowieka w toku postępowania sądowego.​
• W sprawie stwierdzono problem tzw. „czarnej skrzynki” (black box effect) – brak przejrzystości w sposobie podejmowania decyzji przez systemy AI.​
• Rozstrzygnięcie sprawy może mieć istotne znaczenie dla przyszłej ochrony konsumentów w UE w kontekście korzystania z algorytmów i sztucznej inteligencji w usługach.​

Źródło: https://judykatura.pl/bulgarski-sad-pyta-tsue-o-interpretacje-przepisow-ai-actu/ ​

• Francja zaostrza weryfikację wieku użytkowników stron dla dorosłych – jak chroni dane osobowe?​
• Nowe przepisy: Od 11 października 2024 roku strony pornograficzne we Francji muszą stosować zaawansowane systemy weryfikacji wieku użytkowników.​
• Podwójna anonimowość: Weryfikacja wieku ma zapewniać prywatność – witryna nie zna tożsamości użytkownika, a dostawca autoryzacji nie ma informacji o odwiedzanych stronach.​
• Zasady weryfikacji:​
  • Strona główna nie może wyświetlać treści dla dorosłych bez wcześniejszej weryfikacji.​
  • Weryfikacja wieku musi być przeprowadzana w każdej sesji.​
  • Systemy zabezpieczające muszą być odporne na oszustwa, np. deepfakes czy spoofing.​
• Obowiązki platform: Muszą oferować co najmniej jedną metodę weryfikacji wieku zgodną z zasadą podwójnej anonimowości – stanie się to obowiązkowe od 11 kwietnia 2025 roku.​
• Cel regulacji: Ochrona niepełnoletnich przed dostępem do treści dla dorosłych – w 2023 roku ponad 2 miliony nastolatków we Francji miało dostęp do takich materiałów.​
• Kluczowe wyzwania:​
  • Jak zapewnić skuteczność ograniczeń bez naruszania prawa do prywatności?​
  • Czy nowe przepisy nie otwierają drogi do nadmiernej inwigilacji użytkowników?​
• Perspektywy: Prawnicy i specjaliści ds. ochrony danych będą monitorować wdrażanie regulacji, aby nie naruszały one fundamentalnych praw obywateli

Źródło: https://iapp.org/news/a/france-s-new-age-verification-standard-tightening-controls-on-access-to-explicit-image-sites​

• Korea Południowa zawiesiła działanie sztucznej inteligencji Deepseek za naruszenie prywatności użytkowników.​
• Komisja Ochrony Danych Osobowych (PIPC) stwierdziła, że model AI zbierał dane osobowe bez zgody użytkowników, co narusza krajowe przepisy.​
• Deepseek został stworzony przez byłych pracowników Google DeepMind i będzie zablokowany na 30 dni.​
• Firma argumentowała, że może przetwarzać dane z publicznych źródeł bez konieczności uzyskania zgody, ale władze odrzuciły tę argumentację.​
• Zawieszenie obejmuje nowe pobrania aplikacji, ale usługa internetowa Deepseek pozostaje nadal dostępna.​
• Deepseek zobowiązał się do wprowadzenia zmian zgodnie z koreańskim prawem o ochronie prywatności.​
• Podobne kroki podjęto we Włoszech – tamtejszy regulator nakazał zablokowanie chatbota Deepseek.​
• Chiński rząd oświadczył, że chroni prywatność i bezpieczeństwo danych zgodnie z prawem i nie wymaga od firm ich nielegalnego gromadzenia.​

Źródło: https://www.reuters.com/technology/south-koreas-data-protection-authority-suspends-local-service-deepseek-2025-02-17/ ​

• W 2019 roku szpital padł ofiarą ataku ransomware, jednak nie wdrożył odpowiednich środków bezpieczeństwa. W 2021 roku doszło do kolejnego ataku, który miał poważniejsze skutki:​
  • Zakłócenie operacji medycznych.​
  • Ujawnienie danych 300 000 pacjentów.​
  • Zgłoszenie naruszenia do belgijskiego organu ds. ochrony danych.​
• Dlaczego szpital otrzymał karę?​
• Belgijski organ nadzorczy Gegevensbeschermingsautoriteit nałożył karę 200 000 euro, uzasadniając to brakiem odpowiednich zabezpieczeń, m.in.:​
  • Braku kompleksowej polityki bezpieczeństwa.​
  • Nieskutecznego monitorowania zagrożeń.​
  • Słabych środków technicznych, takich jak brak silnych haseł i audytów.​
• Jak uniknąć podobnych ataków i konsekwencji?​
• Aby zminimalizować ryzyko cyberataków, organizacje powinny wdrożyć:​
  • Ocenę skutków dla ochrony danych (DPIA) – identyfikacja zagrożeń i dostosowanie środków ochrony.​
  • Spójną politykę bezpieczeństwa – aktualizowane i egzekwowane procedury ochrony danych.​
  • Techniczne środki ochrony – regularne audyty, silne hasła, monitoring dostępu i szkolenia pracowników.​
• Podsumowanie​:
  • Kara 200 000 euro pokazuje, że organy nadzorcze będą coraz surowiej traktować organizacje, które nie dbają o cyberbezpieczeństwo. Szczególnie narażone są placówki przechowujące wrażliwe dane, takie jak szpitale. Kluczowe jest podejście prewencyjne – pytanie nie brzmi „czy” atak nastąpi, lecz „kiedy”.

Źródło: LinkedIn

• Kara dla Poczty Polskiej: Urząd Ochrony Danych Osobowych (UODO) nałożył na Pocztę Polską rekordową karę 27,1 mln zł za nielegalne przetwarzanie danych obywateli.​
• Odpowiedzialność Ministra cyfryzacji: Minister cyfryzacji, który przekazał dane z bazy PESEL bez podstawy prawnej, otrzymał maksymalną przewidzianą ustawowo karę 100 tys. zł.​
• Kontekst sprawy: Kary dotyczą działań podjętych w 2020 roku w ramach przygotowań do tzw. „wyborów kopertowych”, które ostatecznie się nie odbyły.​
• Bezpodstawne przetwarzanie danych: Poczta Polska przetwarzała informacje obejmujące m.in. numery PESEL, adresy zameldowania i dane o pobytach czasowych – bez wymaganych podstaw prawnych.​
• Stanowisko prezesa UODO: Mirosław Wróblewski podkreślił, że skala naruszenia była bezprecedensowa, a Poczta Polska powinna była przeanalizować legalność przetwarzania danych.​
• Decyzja sądów administracyjnych: Bezprawność udostępnienia danych potwierdziły wcześniej wyroki Naczelnego Sądu Administracyjnego.​
• Kary dostosowane do realiów: UODO pierwotnie oszacował karę dla Poczty Polskiej na 138 mln zł, ale obniżył ją do 27 mln zł, by uniknąć negatywnego wpływu na usługi pocztowe.​
• Możliwość odwołania: Decyzja UODO nie jest jeszcze prawomocna – zarówno Poczta Polska, jak i minister cyfryzacji mogą ją zaskarżyć do sądu administracyjnego.​
• Konsekwencje prawne: W przypadku uprawomocnienia się decyzji, podmioty ukarane mogą dochodzić zwrotu kosztów od osób odpowiedzialnych za naruszenia.​

Źródło: https://www.prawo.pl/biznes/wybory-kopertowe-poczta-polska-z-27-mln-zl-kary-od-uodo,532038.html ​

• Kontekst: Uczelnia wprowadziła z opóźnieniem regulacje zapewniające zgodność z RODO w zakresie współpracy z Inspektorem Ochrony Danych (IOD).​
• Postępowanie: Prezes UODO Mirosław Wróblewski przeanalizował sytuację, pytając uczelnię o szczegóły i badając jej odpowiedzi.​
• Kluczowe zaniedbania uczelni:​
  • Brak zapewnienia, że IOD był niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.​
  • Brak rozwiązań gwarantujących IOD dostęp do zasobów umożliwiających utrzymanie jego wiedzy fachowej.​
  • Brak mechanizmów zapobiegających konfliktowi interesów w pracy IOD.​
  • Brak zapisów zapewniających, że IOD nie otrzymuje instrukcji dotyczących wykonywania swoich obowiązków.​
  • Brak procedur kontroli nad prawidłowym wykonywaniem obowiązków przez IOD (np. harmonogram audytów).​
• Korekty wprowadzone przez uczelnię:​
  • Nowelizacja przepisów polityki ochrony danych osobowych (wdrożona 3 kwietnia 2023 r.).​
  • Przyjęcie dodatkowego regulaminu (wdrożone 9 października 2023 r.).​
• Decyzja UODO: Ze względu na wcześniejsze braki i opóźnienia we wdrożeniu przepisów Prezes UODO nałożył na uczelnię upomnienie.​

Źródło: https://uodo.gov.pl/pl/138/3597 ​

• Kontekst: Władze Uczelni państwowej we wrześniu 2022 r. zgłosiły naruszenie ochrony danych osobowych dotyczące 1461 studentów, absolwentów oraz byłych studentów.​
• Przyczyna incydentu: Błąd popełniony w trakcie migracji systemu „Rejestrator” na nowy serwer – kontrola dostępu została wyłączona, co umożliwiło publiczny dostęp do danych.​
• Zakres naruszenia: Ujawniono dane osobowe, w tym m.in. imię, nazwisko, PESEL, adres, numery dokumentów tożsamości, dane kontaktowe oraz szczegóły dotyczące studiów.​
• Skutki incydentu: Dane zostały zaindeksowane przez wyszukiwarkę internetową, co potencjalnie mogło prowadzić do ich niezgodnego z prawem wykorzystania przez osoby trzecie.​
• Reakcja Uczelni: W odpowiedzi na incydent Uczelnia wprowadziła procedurę testowania zmian w systemie oraz code review przed wdrożeniem na produkcję.​
• Decyzja Prezesa UODO: Ocenił, że uczelnia naruszyła zasady integralności i poufności danych (art. 5 ust. 1 lit. f RODO) oraz zasadę rozliczalności (art. 5 ust. 2 RODO) poprzez niewdrożenie odpowiednich środków bezpieczeństwa.​
• Stanowisko Sądu: Sąd podtrzymał decyzję UODO, uznając, że brak analizy ryzyka i nieodpowiednie środki techniczne oraz organizacyjne doprowadziły do naruszenia RODO.​
• Konsekwencje dla Uczelni: Kara administracyjna została uznana za zasadną i adekwatną ze względu na poważny charakter naruszenia oraz ryzyko dla poszkodowanych osób.​
• Czynnik łagodzący: Uczelnia współpracowała z UODO w celu ograniczenia skutków naruszenia – m.in. poprzez usunięcie zaindeksowanych danych.​

Źródło: https://judykatura.pl/wsa-prawidlowa-kara-35-000-zl-za-brak-analizy-ryzyka-uczelni/ ​

• W miniony weekend pojawiły się informacje o rzekomym wycieku danych klientów sklepu internetowego Empik.com.​
• Serwis Sekurak poinformował, że na jednym z forów społecznościowych pojawiła się oferta sprzedaży bazy z danymi klientów, zawierającej m.in. imiona, nazwiska, adresy e-mail, numery telefonów i historię zamówień.​
• Empik wydał oficjalne oświadczenie, w którym zaprzeczył, jakoby doszło do włamania do ich systemów i pozyskania bazy danych.​
• Firma podkreśliła, że rzekomy wyciek danych to oszustwo – baza została stworzona z historycznych wycieków z innych firm oraz ogólnodostępnych informacji.​
• Eksperci apelują o ostrożność, ponieważ hakerzy i oszuści często wykorzystują podobne sytuacje do wyłudzeń.​
• Zaleca się zgłaszanie podejrzanych incydentów internetowych przez aplikację mObywatel lub na stronie incydent.cert.pl.​
• Funkcja „Bezpiecznie w sieci” w aplikacji mObywatel pozwala zgłaszać oszustwa, podejrzane wiadomości e-mail i SMS, fałszywe sklepy oraz inne zagrożenia cybernetyczne.​
• Warto zapoznać się z Bazą wiedzy w aplikacji mObywatel, gdzie publikowane są ostrzeżenia i porady dotyczące cyberbezpieczeństwa.​
• Wnioski:​
  • Nie doszło do wycieku danych z Empik.com – sprzedawana baza to oszustwo.​
  • Warto zachować czujność i być świadomym zagrożeń związanych z cyberprzestępczością.​
  • Każdy użytkownik internetu może pomóc w ochronie sieci, zgłaszając podejrzane incydenty do odpowiednich instytucji.​

Źródło: https://antyweb.pl/robiles-zakupy-w-empiku-uwazaj-sklep-ma-wazny-komunikat https://niebezpiecznik.pl/post/wyciek-danych-klientow-empiku/ ​

• Kontekst sprawy: Meta Platforms Ireland Limited wycofała skargi na decyzje Prezesa Urzędu Ochrony Danych Osobowych (UODO) dotyczące ochrony wizerunku Rafała Brzoski i Omeny Mensah.​
• Działania UODO: Prezes UODO Mirosław Wróblewski zobowiązał Meta do tymczasowego zablokowania na Facebooku i Instagramie fałszywych reklam wykorzystujących wizerunki tych osób.​
• Rodzaj naruszeń:​
  • Wizerunek Rafała Brzoski, zmodyfikowany deepfake, użyto do promowania platform inwestycyjnych.​
  • Omenę Mensah przedstawiano w reklamach z fałszywymi informacjami o jej rzekomym pobiciu, śmierci i zatrzymaniu przez policję.​
• Meta początkowo zaskarżyła decyzje UODO, domagając się ich unieważnienia, jednak ostatecznie wycofała swoje skargi.​
• Decyzja WSA: W związku z cofnięciem skarg przez Meta, Wojewódzki Sąd Administracyjny w Warszawie umorzył postępowania.​
• Problem fake newsów: UODO zwraca uwagę na ryzyko dezinformacji, które nie tylko narusza godność osobistą znanych osób, ale może również prowadzić do negatywnych konsekwencji dla odbiorców, np. w kontekście decyzji inwestycyjnych.​
• Zagrożenie dla opinii publicznej: Fałszywe materiały celowo wykorzystują popularność znanych osób, aby zwiększyć swoją skuteczność, co może szkodzić ich reputacji.​
• Nadzór UODO: Działania Meta w zakresie ograniczania takich treści będą monitorowane przez Prezesa UODO.​

Źródło: https://uodo.gov.pl/pl/138/3601 ​

• Kontekst: Sąd w Hamburgu oddalił pozew stowarzyszenia ochrony konsumentów przeciwko operatorowi niemieckiej platformy handlowej online dotyczący obowiązku zakładania konta przed zakupem.​
• Kluczowe ustalenia:​
  • Wymóg rejestracji użytkownika przed zakupem nie narusza zasad minimalizacji danych i ochrony prywatności, o ile stosowane są odpowiednie środki ochrony.​
  • Sąd uznał, że konto użytkownika jest uzasadnione operacyjną strukturą platformy obsługującą tysiące sprzedawców i zapewniające sprawną komunikację, obsługę gwarancji i zwrotów.​
  • Przetwarzanie danych osobowych (imię, nazwisko, dane kontaktowe, data urodzenia, numer telefonu) uznano za proporcjonalne do celu umownego oraz zgodne z uzasadnionym interesem operatora (zapobieganie oszustwom, weryfikacja tożsamości, logistyka).​
• Stanowisko organu nadzorczego ds. ochrony danych (HmbBfDI):​
  • Organ wcześniej uznał, że rezygnacja z opcji zakupów jako gość była dopuszczalna w danym modelu biznesowym.​
  • Zasada minimalizacji danych została spełniona dzięki innym rozwiązaniom, np. automatycznemu usuwaniu nieaktywnych kont i separacji danych operacyjnych od archiwalnych.​
• Interpretacja przepisów RODO:​
  • Artykuł 25 ust. 2 RODO nie nakłada obowiązku oferowania zakupów bez rejestracji – konieczność takiego wymogu należy oceniać indywidualnie.​
  • Sąd podkreślił, że klienci mają możliwość wyboru innych sprzedawców oferujących transakcje bez konta, co ogranicza potencjalne naruszenia praw konsumenta.​
• Dalsze działania:​
  • HmbBfDI nadal uznaje zakupy jako gość za domyślny standard w ochronie danych, ale dopuszcza wyjątki, jeśli operator wykazuje konieczność rejestracji oraz stosuje dodatkowe środki minimalizacji danych.

Źródło: https://www.juris.de/static/infodienst/autoren/D_NJRE001569990.htm

• Sąd apelacyjny w Luksemburgu utrzymał w mocy decyzję z 2021 roku nakładającą na Amazon grzywnę w wysokości 746 mln euro za naruszenia przepisów RODO.​
• Sprawa została skierowana do sądu po skardze francuskiej organizacji La Quadrature du Net, reprezentującej ponad 10 tys. obywateli.​
• Amazonowi zarzucono m.in. brak transparentności w przetwarzaniu danych użytkowników oraz wykorzystywanie ich do profilowania i targetowania reklam bez wyraźnej zgody.​
• Sąd uznał, że Amazon naruszył kluczowe zasady RODO, w tym:​
  • Brak przejrzystości w przetwarzaniu danych osobowych.​
  • Niespełnienie obowiązku informacyjnego.​
  • Naruszenie prawa do sprzeciwu wobec przetwarzania danych w celach marketingowych.​
• Amazon nie zgadza się z wyrokiem i rozważa dalsze kroki prawne, podkreślając jednocześnie swoje zaangażowanie w ochronę danych użytkowników.​
• To jedna z najwyższych kar nałożonych na firmę technologiczną w historii obowiązywania RODO.​

Źródło: https://www.dlahandlu.pl/e-commerce/amazon-musi-zaplacic-746-mln-euro-sad-podtrzymal-rekordowa-kare,155953.html ​

• Sprawa dotyczyła zwolnienia nauczycielki ze szkoły podstawowej na skutek reorganizacji wynikającej z redukcji zatrudnienia.​
• Pracodawca, aby podjąć decyzję o wyborze nauczyciela do zwolnienia, przeanalizował dane z publicznych rejestrów (CEIDG, KRS, oświadczenia majątkowego radnego).​
• Nauczycielka zarzuciła, że szkoła bezprawnie przetworzyła dane dotyczące jej i męża, nie informując o ich użyciu.​
• Urząd Ochrony Danych Osobowych (UODO) uznał, że w tym przypadku doszło do naruszenia RODO i nakazał usunięcie spornych danych.​
• Wojewódzki Sąd Administracyjny (WSA) w Warszawie uznał jednak, że przetwarzanie było zgodne z prawem, ponieważ bazy CEIDG i KRS są jawne, a pracodawca miał prawnie uzasadniony interes.​
• Ostatecznie Naczelny Sąd Administracyjny (NSA) potwierdził stanowisko pracodawcy i uznał, że korzystanie z jawnych rejestrów było legalne oraz uzasadnione koniecznością właściwego uzasadnienia wypowiedzenia umowy.​
• Sąd podkreślił, że jeśli pracodawca chce skutecznie uzasadnić wypowiedzenie, może posiłkować się danymi z publicznie dostępnych źródeł.​
• Wniosek: Pracodawcy mogą sięgać po dane z jawnych rejestrów w celu uzasadnienia wypowiedzenia umowy o pracę. Wyrok NSA potwierdza, że jest to zgodne z RODO, jeśli służy prawnie uzasadnionemu interesowi.​

Źródło: https://www.rp.pl/dane-osobowe/art41986491-do-uzasadnienia-zwolnienia-z-pracy-moga-sluzyc-dane-z-jawnych-baz ​

• Kontekst sprawy: Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski nałożył na Komendanta Głównego Policji karę 75 tys. zł za ujawnienie danych osobowych kobiety, która dokonała aborcji farmakologicznej.​
• Opis incydentu: W 2023 r. kobieta zgłosiła problemy psychiczne na numer 112. Trafiła na pogotowie, gdzie pojawiła się policja – skonfiskowała jej laptop i telefon, kazała rozebrać się do naga i była obecna przy badaniu.​
• Konferencja prasowa: Ówczesny Komendant Główny Policji, tłumacząc działania funkcjonariuszy, ujawnił dodatkowe informacje o stanie zdrowia kobiety oraz jej życiu prywatnym, co stanowiło naruszenie RODO.​
• Naruszenie przepisów: Ujawnienie danych naruszyło dwa przepisy RODO:​
  • Art. 6 ust. 1 – przetwarzanie danych osobowych bez podstawy prawnej.​
  • Art. 9 ust. 1 – ujawnienie danych dotyczących zdrowia bez podstawy prawnej.​
• Decyzja UODO: Prezes UODO stwierdził, że Policja nie mogła powoływać się na przepisy dotyczące zwalczania czynów zabronionych ani na wyjątki wynikające z Prawa prasowego.​
• Konsekwencje wycieku danych: Nieuprawnione ujawnienie informacji stworzyło ryzyko wykorzystania ich przez osoby trzecie, co mogło skutkować dyskryminacją, utratą dobrego imienia i kontroli nad danymi.​
• Znaczenie kary: Administracyjna kara pieniężna ma charakter edukacyjny i prewencyjny – podkreśla odpowiedzialność organów władzy za przestrzeganie przepisów o ochronie danych.​
• Potencjalne skutki prawne: Istnieje możliwość dochodzenia zwrotu kary od osób odpowiedzialnych w trybie cywilnym.​

Źródło: https://uodo.gov.pl/pl/138/3602 ​

• Kontekst: Artykuł opisuje przypadek przypadkowego dodania dziennikarza do grupy dyskusyjnej na Signalu, w której przedstawiciele administracji Trumpa omawiali plany ataku na Jemen. Podkreśla także szerszy problem lekceważenia cyberbezpieczeństwa przez polityków.​
• Incydent w USA: Michael Waltz, doradca ds. cyberbezpieczeństwa, przypadkowo dodał do grupy Jeffrey’a Goldberga, dziennikarza „The Atlantic”. W grupie omawiano szczegóły planowanego ataku na Jemen, co rodzi pytania o bezpieczeństwo takich komunikacji.​
• Szerszy problem: To nie pierwszy przypadek wycieku informacji z administracji USA. W 2016 r. ujawniono maile Partii Demokratycznej, co miało wpływ na wynik wyborów. W 2024 r. wyciekły natomiast maile sztabu Trumpa.​
• Włamania na konta polityków w Europie: Incydenty miały miejsce m.in. w Wielkiej Brytanii (zhakowane konta parlamentarzystów na X), Niemczech (atak na konto prezydenta i publikacja kontrowersyjnych zdjęć) oraz we Włoszech (kradzież danych Ministerstwa Spraw Wewnętrznych).​
• Dane polityków w darknecie: Badanie firmy Proton wykazało, że tysiące oficjalnych adresów mailowych europejskich i amerykańskich polityków pojawia się w darknecie, częściowo z powodu używania ich do celów prywatnych.​
• Sytuacja w Polsce: Znane przypadki naruszeń bezpieczeństwa to m.in.:​
  • Seria wycieków maili rzekomo ze skrzynki Michała Dworczyka.​
  • Publiczne ujawnienie identyfikatora połączenia Skype podczas komisji Macierewicza.​
  • Ujawnienie PIN-u do telefonu Donalda Tuska przez sejmową kamerę.
• Wnioski: Brak świadomości cyberzagrożeń wśród polityków może prowadzić do poważnych konsekwencji, w tym wycieków tajnych informacji i wzrostu zagrożeń phishingowych.​

Źródło: https://www.msn.com/pl-pl/polityka/rz%C4%85d/nie-tylko-sprawa-signala-i-ekipy-trumpa-politycy-maj%C4%85-regularnie-problemy-z-cyberbezpiecze%C5%84stwem/ar-AA1BFwvl?ocid=BingNewsSerp https://wiadomosci.wp.pl/ludzie-trumpa-planowali-wojne-na-komunikatorze-to-jest-katastrofa-7138689531828928a

• Komisja Europejska proponuje przedłużenie decyzji o adekwatności ochrony danych osobowych w Wielkiej Brytanii​
• Kontekst: Komisja Europejska zaproponowała przedłużenie decyzji o adekwatności ochrony danych osobowych w Wielkiej Brytanii do 27 grudnia 2025 r.​
• Decyzja ta pozwala na swobodny przepływ danych osobowych z UE do Wielkiej Brytanii bez dodatkowych zezwoleń.​
• „Adekwatność” oznacza, że Wielka Brytania zapewnia porównywalny poziom ochrony danych co RODO.​
• Dlaczego to ważne?​
• Zasadniczo prawo unijne ogranicza transfery danych poza UE, jeśli kraj docelowy nie gwarantuje odpowiedniego poziomu ochrony.​
• W przypadku Wielkiej Brytanii decyzja o adekwatności obowiązuje od 2021 r. i bez przedłużenia wygasłaby w czerwcu 2024 r.​
• Przedłużenie terminu umożliwi Komisji Europejskiej ocenę nowych brytyjskich przepisów dotyczących ochrony danych.​
• Co zmieni nowa brytyjska ustawa?​
• W Wielkiej Brytanii trwają prace nad nową ustawą o danych – Data (Use and Access) Bill.​
• Nowe przepisy mają wspierać rozwój gospodarczy i efektywne wykorzystanie danych, jednocześnie zapewniając ich bezpieczeństwo.​
• Ustawa przewiduje również reformę instytucji ochrony danych – Biuro Komisarza ds. Informacji zostanie zastąpione nowym organem.​
• Co dalej?​
• Komisja Europejska czeka na opinię Europejskiej Rady Ochrony Danych.​
• Jeśli nowe przepisy w Wielkiej Brytanii będą zgodne z wymogami UE, możliwe będzie pełne odnowienie decyzji o adekwatności.

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9763704,transfer-danych-osobowych-do-wielkiej-brytanii-do-konca-roku-na-staryc.html ​

• Nowy poradnik UODO: Nie ma na celu zmiany roli Inspektora Ochrony Danych (IOD), lecz systematyzuje stanowisko urzędu.​
• Cel poradnika: Poprawa zrozumienia przepisów o ochronie danych i zwiększenie świadomości administratorów.​
• Definicja naruszenia danych: Ujęcie „może wpłynąć” dotyczy potencjalnego ryzyka, a nie samego naruszenia.​
• Postępowanie przy incydentach: Należy skupić się na szybkim reagowaniu, a nie na długiej analizie.​
• Rola IOD: Może wspierać i doradzać administratorowi, ale nie może go zastępować ani ponosić odpowiedzialności.​
• Obowiązki administratorów: Nie zmieniają się – zgłaszanie incydentów nie powinno być automatyczne, lecz przemyślane.​
• Webinarium UODO: 28 marca 10:00-12:30, ma wyjaśnić wszelkie wątpliwości.​
• Kara dla Poczty Polskiej: Decyzja UODO wynikała z innego podejścia niż poprzednie kierownictwo urzędu.​
• Księgi wieczyste: UODO postuluje wprowadzenie systemu weryfikacji dostępu do danych.​
• RODO i deregulacja: Urząd podkreśla, że RODO zapewnia elastyczność i dostosowanie do realiów, a nie formalizm.​
• Popularne „mity RODO”: UODO wskazuje na konieczność odróżnienia rzeczywistych obowiązków od nadinterpretacji przepisów.​
• Ochrona danych w różnych kulturach: Przykład Szwecji pokazuje, że podejście do jawności informacji może się różnić.​

Źródło: https://www.prawo.pl/biznes/prezes-uodo-miroslaw-wroblewski-wywiad-o-iod-rodo-poradniku,532194.html ​