RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 02.06.2026 r. 

  RODO aktualności

Publikacja niezanonimizowanych danych osobowych w BIP przyczyną naruszenia RODO » WSA uchylając karę ponad 27 mln zł wskazał, że Poczta Polska była związana decyzją Premiera » UODO: Kara 22 920 zł dla fundacji Lumus » Sukces noyb: ORF.at musi poprawić wprowadzający w błąd baner cookie » Cyberbezpieczeństwo szpitali: jak chronić się przed ransomware i wyciekiem danych » Przepisy RODO są z nami 10 lat » WSA ponownie potwierdził słuszność decyzji karowej Prezesa UODO w sprawie spółek Fortum i Pika

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Publikacja niezanonimizowanych danych osobowych w BIP przyczyną naruszenia RODO

  • Kontekst sprawy: Prezes UODO Mirosław Wróblewski prowadził postępowanie dotyczące ujawnienia danych osobowych osób, które poparły petycję, a następnie została ona opublikowana przez Urząd Miasta i Gminy Myślenice w Biuletynie Informacji Publicznej (BIP). Organ dowiedział się o sprawie ze skargi jednej z osób, której dane zostały ujawnione.
  • Co się stało: W BIP opublikowano niezanonimizowaną wersję petycji zawierającą dane osobowe 749 osób (m.in. imiona, nazwiska, adresy zamieszkania oraz wzory podpisów).
  • Jak długo dane były dostępne: Błędny plik z danymi był dostępny publicznie przez kilkanaście dni.
  • Stanowisko administratora (Burmistrza): Burmistrz argumentował, że:
    • doszło do niezamierzonego błędu, a plik został później podmieniony na poprawny,
    • wnosi o umorzenie postępowania w zakresie niezgłoszenia naruszenia, bo wcześniej wszczęto postępowanie na podstawie skargi indywidualnej,
    • nie stwierdzono celowego działania pracowników.
  • Działania Prezesa UODO: Prezes UODO uznał, że skarga indywidualna może wskazywać na szersze problemy w przetwarzaniu danych i dlatego podjął czynności wyjaśniające wykraczające poza sprawę jednej osoby oraz wszczął postępowanie z urzędu dotyczące naruszenia przepisów przy publikacji w BIP.
  • Kluczowy obowiązek z RODO: Administrator po wykryciu incydentu ma obowiązek:
    • niezwłocznie ocenić ryzyko dla praw i wolności osób,
    • na tej podstawie zdecydować o zgłoszeniu naruszenia do organu nadzorczego,
    • udokumentować wnioski w wewnętrznej ewidencji naruszeń (zasada rozliczalności).
  • Dlaczego zgłoszenie było wymagane: Prezes UODO wskazał, że mimo iż w tej sprawie nie stwierdzono wysokiego ryzyka naruszenia praw lub wolności osób, to i tak istniał obowiązek zgłoszenia incydentu Prezesowi UODO.
  • Kiedy można nie zgłaszać naruszenia: Brak obowiązku zgłoszenia jest możliwy tylko wtedy, gdy analiza wykaże, że jest mało prawdopodobne wystąpienie ryzyka – w praktyce rozumiane jako sytuacja zbliżona do braku realnego ryzyka. Podkreślono, że ten wyjątek należy interpretować wąsko (stanowisko Europejskiej Rady Ochrony Danych).
  • Dlaczego nałożono karę: Prezes UODO uznał naruszenie za poważne, m.in. dlatego że:
    • ujawniono szeroki zakres danych (w tym adresy i podpisy),
    • dane były publicznie dostępne przez kilkanaście dni,
    • administrator jako podmiot publiczny powinien wykazywać się wysoką znajomością prawa,
    • administrator nie zmienił stanowiska w sprawie obowiązku zgłoszenia naruszenia mimo działań organu,
    • do momentu wydania decyzji nie dokonano zgłoszenia naruszenia do UODO.
  • Rozstrzygnięcie: Prezes UODO stwierdził naruszenie ochrony danych przez administratora (Burmistrza Miasta i Gminy Myślenice) i nałożył karę administracyjną 7 700 zł.
  • Wniosek praktyczny: Zgłaszanie naruszeń do UODO ma znaczenie nie tylko formalne – może pomóc w analizie przyczyn, wskazaniu działań zapobiegawczych oraz minimalizacji skutków incydentu.
  • Sygnatura sprawy: DKN.5131.17.2025
Źródło

WSA uchylając karę ponad 27 mln zł wskazał, że Poczta Polska była związana decyzją Premiera

  • Kontekst sprawy: Wojewódzki Sąd Administracyjny (WSA) w Warszawie rozpatrywał skargę Poczty Polskiej S.A. na decyzję Prezesa UODO, który nałożył na Spółkę administracyjną karę pieniężną przekraczającą 27 mln zł za działania związane z przygotowaniami do wyborów prezydenckich 2020 w trybie korespondencyjnym.
  • Co wydarzyło się w 2020 r. (stan faktyczny):
    • 16.04.2020 r. Prezes Rady Ministrów polecił Poczcie Polskiej podjęcie działań przygotowujących wybory korespondencyjne (w związku z COVID-19), m.in. organizacyjnie i infrastrukturalnie.
    • 20.04.2020 r. Poczta złożyła wniosek o udostępnienie danych.
    • 22.04.2020 r. Minister Cyfryzacji udostępnił Poczcie dane z rejestru PESEL obejmujące m.in. numer PESEL, imiona, nazwiska oraz adresy zameldowania (zakres dotyczący ok. 30 mln dorosłych obywateli).
    • Przetwarzanie danych przez Pocztę miało miejsce w okresie kwiecień–maj 2020 r.
  • Co stało się później z decyzją Premiera:
    • WSA w Warszawie 15.09.2020 r. stwierdził nieważność decyzji Premiera z 16.04.2020 r.
    • NSA 28.06.2024 r. oddalił skargi kasacyjne – od tego momentu orzeczenie o nieważności stało się prawomocne.
  • Decyzja Prezesa UODO: 17.03.2025 r. Prezes UODO stwierdził naruszenia RODO przez Ministra Cyfryzacji i Pocztę Polską (wobec Poczty zastosowano bardzo wysoką karę).
  • Rozstrzygnięcie WSA z 05.03.2026 r.: WSA w Warszawie uchylił decyzję Prezesa UODO w części dotyczącej Poczty Polskiej.
  • Kluczowy argument Sądu – liczy się moment działania: Legalność przetwarzania danych należy oceniać w czasie, gdy przetwarzanie faktycznie miało miejsce (tu: kwiecień–maj 2020 r.), a nie z perspektywy późniejszych rozstrzygnięć sądów (które uprawomocniły się dopiero w 2024 r.).
  • Domniemanie legalności decyzji administracyjnej:
    • Do czasu prawomocnego wyeliminowania decyzji z obrotu prawnego obowiązuje zasada, że decyzja administracyjna jest wiążąca i korzysta z domniemania prawidłowości (art. 16 § 1 k.p.a.).
    • WSA uznał, że skoro w okresie przetwarzania danych decyzja Premiera formalnie obowiązywała, to nie można automatycznie przyjmować, że Poczta działała „bez podstawy prawnej”.
  • Poczta nie mogła po prostu odmówić wykonania polecenia:
    • Sąd wskazał, że adresat decyzji (tu: Poczta) co do zasady musi ją wykonać, a uchylanie się może skutkować zastosowaniem środków przymusu (egzekucją administracyjną).
    • Sama świadomość, że decyzja może być wadliwa, nie uprawnia adresata do traktowania jej jako „nieistniejącej”.
  • Zarzut wobec Prezesa UODO: pominięcie chronologii i realiów sprawy: WSA uznał za zasadny zarzut, że Prezes UODO nie uwzględnił w sposób właściwy kolejności zdarzeń i tego, że przetwarzanie zakończyło się na długo przed prawomocnym stwierdzeniem nieważności decyzji Premiera (naruszenia m.in. art. 7, 77 § 1 i 80 k.p.a.).
  • Zarzut „wybiórczego” powoływania orzeczeń: Sąd skrytykował sposób, w jaki Prezes UODO powoływał się na wyroki sądów (zwłaszcza NSA), wskazując, że selektywne przytaczanie tez osłabia zaufanie do organu (art. 8 § 1 k.p.a.).
  • Nieodwracalność skutków: WSA podkreślił, że w momencie, gdy po latach stwierdzono nieważność decyzji Premiera, proces przetwarzania danych przez Pocztę był już zakończony, więc ocena skutków tej nieważności musi uwzględniać fakt, że nie wszystko da się „odkręcić” w praktyce.
  • Odpowiedzialność i proporcjonalność sankcji: Sąd zwrócił uwagę na brak pogłębionej analizy działań Poczty w czasie przetwarzania oraz na kontekst, że dane udostępnił także Minister, a mimo to wobec Ministra zastosowano karę wielokrotnie niższą (co rodzi pytania o proporcjonalność i równe traktowanie).
  • Wniosek praktyczny z wyroku: Jeżeli podmiot działał na podstawie obowiązującej w danym momencie decyzji organu państwa, to organ nakładający karę (tu: Prezes UODO) powinien bardzo dokładnie zbadać sytuację z perspektywy tamtego czasu oraz skutki prawne późniejszego unieważnienia decyzji, zanim przypisze delikt i nałoży wysoką sankcję.
Źródło

UODO: Kara 22 920 zł dla fundacji Lumus

  • Kontekst: Do Prezesa UODO (Urząd Ochrony Danych Osobowych) trafiło zgłoszenie dotyczące fundacji działającej w systemie nieodpłatnej pomocy prawnej. W ramach dokumentów przekazanych do organu administracji publicznej dołączono załącznik z niezanonimizowanymi danymi beneficjentów oraz współpracowników fundacji.
  • Jakie dane ujawniono: W załączniku znalazły się m.in. dane identyfikacyjne, numery PESEL, adresy, numery telefonów oraz informacje o zdrowiu i sytuacji życiowej osób korzystających z pomocy (czyli dane wrażliwe).
  • Nadmierny zakres przekazanych danych: UODO uznał, że przekazanie tak szerokiego zestawu informacji nie było wymagane przepisami regulującymi nieodpłatną pomoc prawną. Dane trafiły do podmiotu, który nie był uprawniony do otrzymania pełnego zakresu tych informacji.
  • Brak działań po naruszeniu: Fundacja nie zgłosiła naruszenia do UODO w ciągu 72 godzin oraz nie poinformowała niezwłocznie osób, których dane ujawniono.
  • Spór o ryzyko: Fundacja twierdziła, że ryzyko było niewielkie, bo dokumenty trafiły do instytucji publicznej i w formie papierowej. UODO nie zgodził się i wskazał, że już samo nieuprawnione ujawnienie danych może uruchamiać obowiązki zgłoszeniowe wynikające z RODO.
  • Problem z Inspektorem Ochrony Danych (IOD): IOD był jednocześnie członkiem zarządu fundacji, a później został jej prezesem. UODO uznał, że to konflikt interesów, bo osoba zarządzająca organizacją nie może niezależnie nadzorować zgodności z prawem działań, za które sama odpowiada.
  • Niezależność IOD musi być realna: UODO podkreślił, że niezależność IOD nie może być wyłącznie „na papierze”. Wskazano też jako nieprawidłowe zatwierdzanie analizy konfliktu interesów przez osobę, której ta analiza dotyczyła.
  • Dodatkowe uchybienia organizacyjne: Fundacja nie opublikowała danych kontaktowych IOD oraz nie zawiadomiła UODO o jego wyznaczeniu w ustawowym terminie.
  • Sankcja: Za naruszenia (obowiązki notyfikacyjne oraz organizacja funkcji IOD) na fundację nałożono administracyjną karę pieniężną 22 920 zł.
  • Kluczowy wniosek z decyzji: Realizowanie zadań publicznych i finansowanie ze środków publicznych nie zwalnia organizacji pozarządowych z obowiązku przestrzegania RODO. Decyzja podkreśla znaczenie minimalizacji danych (przekazywania tylko tego, co konieczne) oraz faktycznej niezależności Inspektora Ochrony Danych.
Źródło

Sukces noyb: ORF.at musi poprawić wprowadzający w błąd baner cookie

  • Kontekst: Austriacka Korporacja Nadawcza (ORF) musi zmienić baner plików cookie na stronie ORF.at, aby był zgodny z RODO. Federalny Sąd Administracyjny (BVwG) potwierdził decyzję austriackiego organu ochrony danych z 2024 r.
  • Główna przyczyna problemu: przyciski „Akceptuj” i „Odrzuć” śledzące pliki cookie muszą być zaprojektowane i wyeksponowane w taki sam sposób, żeby użytkownik nie był „zachęcany” do zgody. Na ORF.at przycisk „Akceptuj” był wyróżniony kolorem, co mogło wprowadzać w błąd.
  • Skąd wzięła się sprawa: w sierpniu 2021 r. organizacja noyb złożyła 422 skargi dotyczące niezgodnych z prawem banerów cookie. Wśród nich był ORF.at – wtedy baner nie dawał na pierwszym poziomie opcji „Odrzuć”.
  • Decyzja organu ochrony danych (październik 2024): organ przyznał rację skardze noyb i nakazał ORF umieszczenie przycisków „Akceptuj” i „Odrzuć” w sposób równoważny (taka sama „waga” i widoczność).
  • Reakcja ORF: ORF dodał przycisk „Odrzuć”, ale zrobił go mniej widocznym (mniej wyróżnionym kolorystycznie) niż „Akceptuj”, po czym złożył odwołanie do BVwG.
  • Stanowisko sądu (BVwG): sąd potwierdził naruszenie RODO, wskazując, że wyróżnianie „Akceptuj” jest mylące i może prowadzić do niezamierzonej zgody.
  • Co to oznacza w praktyce: jeśli zgoda jest uzyskana w sposób niejednoznaczny lub nieprzejrzysty, nie jest ważna. ORF musi przeprojektować baner cookie tak, aby wybór „tak” i „nie” był równie łatwy.
  • Dlaczego to ważne szerzej: BVwG wyjaśnił, że samo dodanie opcji „Odrzuć” nie wystarczy, jeśli jest ona mniej widoczna. To rozstrzygnięcie może mieć wpływ na wiele innych stron i firm stosujących podobne banery.
  • Komentarz noyb: Max Schrems wskazał, że banery cookie powinny oferować równie widoczne „tak” i „nie”, bez tzw. „ciemnych wzorców”, oraz że zaskakujące jest, iż nawet nadawca publiczny potrzebował w tej sprawie orzeczenia sądu wiele lat po wejściu w życie RODO.
Źródło

Cyberbezpieczeństwo szpitali: jak chronić się przed ransomware i wyciekiem danych

  • Kontekst: Szpitale coraz częściej padają ofiarą ransomware i wycieków danych medycznych. Artykuł opisuje, jak podejście Zero Trust (zakładamy możliwość włamania i ograniczamy skutki), narzędzia EDR/XDR (wykrywanie i reagowanie na incydenty na stacjach/serwerach) oraz wymagania regulacyjne NIS2 i UKSC pomagają budować realną odporność cybernetyczną placówek.
  • Główna teza: Ochrona danych i ciągłości działania szpitala powinna być prowadzona jak dla infrastruktury krytycznej, w modelu assume breach – nie tylko „zapobiegać”, ale też szybko wykrywać, izolować i odtwarzać systemy po ataku.
  • Fundament 1 – Ochrona punktów końcowych (Endpoint): Komputery personelu to najczęstszy punkt wejścia atakujących; klasyczny antywirus oparty na sygnaturach jest niewystarczający przy nowoczesnych technikach (np. „Living off the Land”, podatności 0-day).
  • EDR/XDR + aktywny monitoring: Każda stacja/serwer powinna być objęta EDR/XDR monitorowanym przez SOC, z analizą behawioralną (np. wykrywanie masowego szyfrowania plików, prób podniesienia uprawnień).
  • Automatyczna izolacja zainfekowanego urządzenia: Po wykryciu zachowań ransomware system ma sam odcinać host od sieci, aby zatrzymać rozprzestrzenianie się ataku.
  • Hardening i kontrola aplikacji: Ograniczenie skryptów (PowerShell/vbs), makr Office, wdrożenie „whitelisty” aplikacji (uruchamianie tylko zatwierdzonego oprogramowania) oraz minimalizacja uprawnień lokalnych administratorów.
  • Fundament 2 – Tożsamość i MFA: Przejęcie haseł (phishing, wycieki) to jedna z najprostszych dróg do ataku, dlatego „tożsamość” staje się kluczowym elementem obwodu bezpieczeństwa.
  • MFA bez wyjątków: Wymagane dla dostępu zdalnego (VPN/RDP), poczty i chmury (np. O365/Google), a także systemów krytycznych w szpitalu (HIS, PACS, ERP).
  • MFA odporne na phishing: SMS/push bywają nadużywane (np. „MFA fatigue”); dla kont uprzywilejowanych rekomendowane są klucze sprzętowe FIDO2.
  • Dostęp warunkowy (kontekstowy): Decyzja o dostępie powinna zależeć także od stanu bezpieczeństwa urządzenia (aktualizacje, aktywny EDR) i np. lokalizacji.
  • Fundament 3 – Separacja i segmentacja sieci: „Płaska” sieć powoduje, że infekcja z jednego komputera może szybko sparaliżować cały szpital, w tym systemy krytyczne.
  • Izolacja stref IT / medycznej / IoMT: Podział sieci na monitorowane strefy z użyciem firewalli NGFW:
    • IT: administracja, biura.
    • Medyczna: systemy z danymi pacjentów (HIS/PACS, bazy danych).
    • IoMT: aparatura medyczna (często na starych systemach) – bez bezpośredniego dostępu do internetu i bez „mieszania” z siecią IT.
  • Warstwowy model administracji AD (Tiering): Rozdzielenie kont i uprawnień (Tier 0/1/2), aby utrudnić kradzież poświadczeń domenowych ze skompromitowanych stacji roboczych.
  • Fundament 4 – Odporne kopie zapasowe (Backup): Grupy ransomware celowo niszczą backupy, aby wymusić okup; backup źle zabezpieczony może nie pomóc w odtworzeniu działania.
  • Air-gap (fizyczny i logiczny): Co najmniej jedna kopia powinna być całkowicie odizolowana od sieci produkcyjnej; połączenie tylko na czas wykonywania backupu lub rotacja nośników.
  • Niezmienność danych (Immutable/WORM): Repozytoria typu WORM uniemożliwiają modyfikację/usunięcie kopii przez określony czas retencji (nawet przez administratora).
  • Oddzielne uwierzytelnianie dla backupu: Systemy backupowe nie powinny być częścią głównej domeny AD, aby włamanie do AD nie dawało automatycznie kontroli nad kopiami.
  • Wnioski priorytetowe dla zarządu (kolejność działań):
    • Krytyczne: Backup – immutable storage + separacja od domeny AD, aby zapewnić możliwość odtworzenia systemów i ciągłość działania po ataku.
    • Wysokie: Tożsamość – MFA na wszystkich kluczowych punktach dostępu, aby zablokować ataki oparte o skradzione hasła.
    • Wysokie: Endpoint – odejście od samego AV na rzecz EDR/XDR z automatyczną izolacją, aby wykrywać i zatrzymywać atak w czasie rzeczywistym.
    • Średnie/długofalowe: Sieć – mikrosegmentacja i izolacja IoMT, by ograniczyć „blast radius” (zasięg szkód) w razie incydentu.
Źródło

Przepisy RODO są z nami 10 lat

  • Kontekst: W 2016 r. przyjęto RODO (ogólne rozporządzenie o ochronie danych osobowych). Lata 2016–2018 przeznaczono na dostosowanie przepisów krajowych oraz przygotowanie instytucji nadzorczych i organizacji do nowych obowiązków.
  • Od kiedy obowiązuje w praktyce: RODO zaczęto stosować od 25 maja 2018 r.
  • Co zmieniło RODO względem wcześniejszych przepisów: Choć regulacje o ochronie danych istnieją w Polsce od 1997 r., dopiero po wejściu w życie RODO temat ochrony danych stał się powszechny i zrozumiały także poza gronem specjalistów.
  • Większa świadomość obywateli: Znacząco wzrosła świadomość osób, których dane dotyczą, w szczególności w zakresie przysługujących im praw.
  • Zmiana podejścia organizacji do ochrony danych: Ochrona danych zaczęła być uwzględniana już na początku planowania procesów i rozwiązań (zwłaszcza technologicznych), a nie dopiero „na końcu”.
  • Nowe zasady projektowania: Upowszechniły się podejścia privacy by design (ochrona danych wbudowana w projekt) oraz privacy by default (domyślna ochrona danych).
  • Ważne elementy przed rozpoczęciem przetwarzania: Podkreślono rolę analizy ryzyka i oceny skutków dla ochrony danych jako działań koniecznych, aby realnie i prawidłowo chronić dane.
  • Ochrona danych jako proces ciągły: Administratorzy danych coraz lepiej rozumieją, że zgodność z RODO to nie jednorazowe działanie, lecz stały, systematyczny proces.
  • Materiał źródłowy i komentarz ekspertów: W filmie prezesi Urzędu Ochrony Danych Osobowych (Prezes UODO Mirosław Wróblewski oraz zastępcy: Agnieszka Grzelak i Konrad Komornicki) omawiają swoje doświadczenia i wnioski po 10 latach funkcjonowania przepisów RODO oraz ich wpływ na codzienną rzeczywistość.
Źródło

WSA ponownie potwierdził słuszność decyzji karowej Prezesa UODO w sprawie spółek Fortum i Pika

  • Kontekst: Wojewódzki Sąd Administracyjny w Warszawie 20 maja 2026 r. uznał, że kary nałożone przez Prezesa UODO na Fortum Energia S.A. (administrator danych) oraz Pika Sp. z o.o. (podmiot przetwarzający) były zasadne, ponieważ w sprawie doszło do naruszenia przepisów RODO.
  • Dlaczego sprawa wróciła do WSA: W marcu 2026 r. Naczelny Sąd Administracyjny uwzględnił skargę kasacyjną Prezesa UODO, uchylił wcześniejszy wyrok sądu niższej instancji i przekazał sprawę do ponownego rozpoznania.
  • Ocena sądu: WSA zgodził się ze stanowiskiem Prezesa UODO, że naruszenie RODO dotyczyło zarówno Fortum, jak i Pika.
  • Kary pieniężne uznane za prawidłowe: Sąd potwierdził, że zastosowane kary były w tych okolicznościach skuteczne, proporcjonalne i odstraszające.
  • Prawidłowość postępowania UODO: WSA (podobnie jak wcześniej NSA) uznał, że organ nadzorczy wyjaśnił wszystkie istotne okoliczności, zebrał materiał dowodowy prawidłowo i dokonał jego wymaganej prawem oceny.
  • Jak doszło do incydentu: Sprawa zaczęła się od zgłoszenia naruszenia przez Fortum. Incydent był związany ze zmianami w środowisku IT pełniącym także rolę cyfrowego archiwum.
  • Rola podmiotu przetwarzającego: Pika, realizując działania modernizacyjne (w reakcji na problemy z wydajnością systemu), stworzyła dodatkową bazę danych i zasiliła ją danymi klientów Fortum.
  • Istota naruszenia: Nowa baza została udostępniona w sposób nieprawidłowy, co umożliwiło osobom nieuprawnionym przetwarzanie danych, w tym dostęp i kopiowanie.
  • Skala: Naruszenie objęło dane ponad 90 tys. osób.
  • Powiadomienie osób, których dane dotyczą: Dopiero interwencja Prezesa UODO doprowadziła do zawiadomienia klientów, których dane były objęte naruszeniem.
  • Najważniejsze braki po stronie firm (ustalenia UODO):
    • brak wdrożenia odpowiednich środków technicznych i organizacyjnych,
    • brak weryfikacji przez Fortum (przed zawarciem umowy powierzenia), czy Pika daje wystarczające gwarancje bezpieczeństwa,
    • brak testowania zabezpieczeń na etapie prac rozwojowych,
    • brak realnego nadzoru nad procesem wprowadzania zmian w systemie teleinformatycznym.
  • Odpowiedzialność administratora: Sąd potwierdził, że Fortum nie sprawowało odpowiedniego nadzoru nad podmiotem przetwarzającym, a administrator nie jest zwolniony z obowiązku zapewnienia bezpieczeństwa przetwarzania i odpowiada za jego zagwarantowanie.
  • Wysokość kar: ok. 5 mln zł dla Fortum oraz ponad 250 tys. zł dla Pika.
  • Sygnatura sprawy: II SA/Wa 458/26; DKN.5130.2215.2020.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry