RODO aktualności – 02.09.2025 r. 

Artykuł dotyczy naruszenia przepisów o ochronie danych osobowych przez ING Bank Śląski w związku z bezpodstawnym skanowaniem dokumentów tożsamości klientów i potencjalnych klientów.

• ING Bank Śląski został ukarany przez Prezesa UODO karą w wysokości 18 416 400 zł za nieuprawnione przetwarzanie danych osobowych poprzez skanowanie dokumentów tożsamości.
• Skanowanie odbywało się w okresie od 1 kwietnia 2019 r. do 23 września 2020 r., również w sytuacjach niezwiązanych z ustawowym obowiązkiem wynikającym z ustawy AML (np. przy składaniu reklamacji).
• Bank nie przeprowadzał indywidualnej oceny ryzyka, która jest wymagana przy stosowaniu tzw. środków bezpieczeństwa finansowego zgodnie z podejściem opartym na ryzyku w ustawie AML.
• UODO uznał, że Bank naruszył przepisy RODO, w szczególności art. 5 ust. 1 lit. a, b, c oraz art. 6 ust. 1, nie zapewniając odpowiedniej podstawy prawnej dla takiego przetwarzania danych.
• Zakres skanowanych danych obejmował m.in. imię i nazwisko, numer PESEL, datę urodzenia, wizerunek, imiona rodziców, co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (np. ryzyko kradzieży tożsamości).
• Choć nie stwierdzono, aby klienci ponieśli szkodę, to praktyka banku dotyczyła milionów osób, co czyniło naruszenie szczególnie poważnym.
• Zdaniem Prezesa UODO zastosowana kara jest skuteczna, proporcjonalna i odstraszająca – ma na celu wymuszenie profesjonalnego i zgodnego z prawem podejścia do kwestii ochrony danych w dużych instytucjach finansowych.

• Wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 30 kwietnia 2024 r. w sprawie C-470/21 wskazuje na konieczność dostosowania przepisów polskiego prawa dotyczących przetwarzania danych osobowych objętych tajemnicą komunikacji elektronicznej.
• Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, wystąpił z wnioskiem o zmianę przepisów do ministra cyfryzacji Krzysztofa Gawkowskiego.
• Obecnie obowiązujące przepisy ustawy Prawo komunikacji elektronicznej (która zastąpiła Prawo telekomunikacyjne) nie spełniają standardów wynikających z prawa unijnego i naruszają prawo do prywatności.
• Adres IP uznawany jest za daną osobową zgodnie z orzecznictwem TSUE oraz sądów polskich – umożliwia on identyfikację użytkownika i tworzenie jego profilu.
• Dane identyfikujące użytkownika Internetu – objęte tajemnicą komunikacji elektronicznej – mogą być obecnie przekazywane przez operatorów telekomunikacyjnych wielu służbom i organom bez wystarczających gwarancji ochrony prywatności.
• Wyrok TSUE podkreśla konieczność zapewnienia kontroli sądowej lub przez niezależny organ administracyjny przy udostępnianiu danych objętych tajemnicą telekomunikacyjną.
• Brak tych gwarancji w polskim systemie prawnym narusza Kartę praw podstawowych UE oraz dyrektywę 2002/58/WE.
• UODO postuluje wprowadzenie zmian legislacyjnych, które zapewnią proporcjonalność i niezbędność ingerencji w prawo do prywatności w demokratycznym państwie prawa.

Rozwój sztucznej inteligencji, mediów społecznościowych i narzędzi cyfrowych sprawia, że coraz więcej aspektów życia przenosi się do przestrzeni wirtualnej. Równocześnie pojawiają się nowe zagrożenia dla jednostki, które nie mieszczą się w dotychczasowym porządku prawnym. W tym kontekście pojawia się pojęcie godności cyfrowej.

• Godność cyfrowa to nowa koncepcja prawa człowieka w erze cyfrowej, której celem jest ochrona autonomii, integralności i tożsamości jednostki w środowisku cyfrowym.
• Prawo Unii Europejskiej (np. RODO, AI Act) coraz częściej odnosi się do potrzeby ochrony godności człowieka w kontekście nowych technologii.
• „Digital dignity” obejmuje:
  • Prawo do kontroli nad danymi osobowymi
  • Ochronę tożsamości cyfrowej
  • Ochronę przed stalkingiem, dyskryminacją, kradzieżą tożsamości lub dezinformacją
• Tradycyjne dobra osobiste (jak cześć, wizerunek, prywatność) często nie nadążają za nowymi formami naruszeń w sferze digitalnej – np. deepfake'ami czy automatycznym profilowaniem algorytmicznym.
• Szczególne zagrożenia dla godności cyfrowej wiążą się z generatywną AI, m.in.:
  • Rozpowszechnianie fałszywych informacji (tzw. AI hallucinations)
  • Stereotypizacja i dyskryminacja przez algorytmy uczone na stronniczych danych
  • Brak transparentności w działaniu systemów AI
  • Manipulacja i profilowanie bez zgody osoby
• Coraz częściej postuluje się uznanie godności cyfrowej za odrębne dobro osobiste, które może być chronione w ramach art. 23 kodeksu cywilnego.
• Największą barierą w dochodzeniu roszczeń z tytułu naruszenia godności cyfrowej jest trudność w identyfikacji odpowiedzialnego podmiotu (np. użytkownik, dostawca technologii, platforma).
• Potrzebne są przepisy, które jasno określą prawa i obowiązki w przestrzeni cyfrowej oraz środki ochrony prawnej w przypadku naruszenia godności cyfrowej.

Wniosek: Godność cyfrowa to realne wyzwanie prawne, które należy uregulować w związku z dynamicznym rozwojem technologii cyfrowych. Prawna ochrona tej godności może być jednym z kluczowych kierunków rozwoju współczesnego prawa cywilnego.

• Kontekst: Sprawa dotyczy zaginięcia przenośnych nośników danych zawierających dane osobowe w Sądzie Rejonowym Szczecin-Centrum, a także odpowiedzialności sądu jako administratora tych danych zgodnie z przepisami RODO.
• Przyczyna postępowania: Saszetka z trzema nośnikami danych (w tym dwoma nieszyfrowanymi) zaginęła z pomieszczenia, w którym pracował sędzia. Nośniki zawierały dane osobowe z lat 2004–2020.
• Stanowisko UODO: Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Sąd szeregu przepisów RODO, w szczególności dotyczących zasady poufności i obowiązków w zakresie wdrażania środków technicznych i organizacyjnych.
• Braki w zabezpieczeniach: Mimo zaleceń z trzech audytów przeprowadzonych w latach 2018–2020, Sąd dopiero po naruszeniu wprowadził blokadę portów USB w komputerach, co pozwoliło na wcześniejsze korzystanie z prywatnych nośników przez pracowników.
• Odpowiedzialność administratora: Sądy uznały, że szkolenie pracowników nie zastępuje obowiązku administratora w zakresie wdrażania skutecznych środków ochrony danych. Niewystarczający nadzór był istotnym czynnikiem w ocenie naruszenia.
• Kara: Na Sąd Rejonowy została nałożona administracyjna kara pieniężna w wysokości 30 000 zł. Prezes UODO uznał, że w związku z powagą naruszenia, kara była zasadna i nie było podstaw do poprzestania na upomnieniu.
• Orzeczenie WSA w Warszawie: WSA oddalił skargę Sądu, uznając, że doszło do poważnych i licznych naruszeń przepisów RODO oraz że zastosowane zabezpieczenia były wdrażane zbyt późno i w ograniczonym zakresie.
• Decyzja NSA: Naczelny Sąd Administracyjny podtrzymał decyzję WSA, wskazując, że mimo braku potwierdzenia szkody u osób, których dane wyciekły, nadal istnieje wysokie ryzyko ich nieuprawnionego wykorzystania. Działania organu nadzorczego oraz zastosowanie kary zostały uznane za uzasadnione i proporcjonalne.
• Znaczenie sprawy: Sprawa podkreśla obowiązek sądów jako administratorów danych do realnego i skutecznego wdrażania procedur zapobiegających naruszeniom RODO oraz wagę odpowiedzialności instytucji publicznych wobec przetwarzania danych osobowych.

• Sprawa dotyczy konferencji prasowej Prokuratury Krajowej z sierpnia 2023 r., podczas której ujawniono dane osobowe pokrzywdzonej w sprawie karnej związanej z napaścią na uczestniczkę demonstracji LGBT.
• W trakcie konferencji przedstawiono imię i nazwisko pokrzywdzonej, informacje o jej obrażeniach ciała, a także szczegóły dotyczące światopoglądu (m.in. nawiązania do symboliki LGBT).
• Prezes Urzędu Ochrony Danych Osobowych (UODO) uznał, że doszło do naruszenia przepisów RODO. Nałożono karę finansową w wysokości 85 000 zł oraz nakazano zawiadomić osobę, której dane zostały ujawnione.
• Prokuratura Krajowa zaskarżyła decyzję UODO wskazując, że Prezes UODO nie miał kompetencji do wydania decyzji administracyjnej – powołując się na przepisy ustawy Prawo o prokuraturze (art. 191a).
• Wojewódzki Sąd Administracyjny w Warszawie przyznał rację Prokuraturze Krajowej – uchylił decyzję Prezesa UODO i umorzył postępowanie.
• Sąd uznał, że w sprawie objętej postępowaniem UODO brak było kompetencji do prowadzenia kontroli, ponieważ dane osobowe były przetwarzane przez Prokuraturę w ramach realizacji jej ustawowych zadań – m.in. związanych z możliwym wniesieniem skargi nadzwyczajnej do Sądu Najwyższego.
• Sąd zaznaczył, że choć ujawnienie danych pokrzywdzonej było niecelowe i nie miało wartości dodanej, to UODO nie mógł podejmować działań nadzorczych wobec prokuratury w tym zakresie.
• Wyrok nie potwierdza prawidłowości działań Prokuratury, ale wskazuje na brak właściwości Prezesa UODO do oceny i ingerencji w działania Prokuratury w zakresie danych osobowych przetwarzanych w ramach realizacji zadań ustawowych.

Artykuł opisuje sprawę Hanny Radziejowskiej – byłej kierowniczki niemieckiego oddziału Instytutu Pileckiego – która jako sygnalistka zgłosiła nieprawidłowości w instytucji, a jej poufne zgłoszenie trafiło do osoby, której dotyczyło. Doprowadziło to do jej odwołania ze stanowiska, co wzbudziło kontrowersje wokół przestrzegania ustawy o ochronie sygnalistów przez Ministerstwo Kultury.

• Hanna Radziejowska zgłosiła nieprawidłowości w działalności dyrektora Instytutu Pileckiego prof. Krzysztofa Ruchniewicza, wysyłając poufną korespondencję do ministra kultury.
• 3 kwietnia 2025 roku przedstawiciel Ministerstwa Kultury poinformował ją, że jest objęta ochroną na mocy ustawy o sygnalistach.
• Mimo to, resort przekazał jej zgłoszenie bez jej zgody osobie, której dotyczyło – prof. Ruchniewiczowi – co jest sprzeczne z przepisami.
• Po ujawnieniu zgłoszenia Radziejowska została odwołana ze stanowiska, m.in. z powodu prowadzenia "korespondencji z osobami trzecimi".
• Ministerstwo Kultury twierdzi, że ochrona została przyznana przez pomyłkę, a pracownik nie miał uprawnień do decydowania o statusie sygnalisty.
• Prawnicy i organizacje obywatelskie, w tym Watchdog Polska, uznają działanie resortu za naruszenie prawa i ochrony sygnalisty.
• Eksperci podkreślają, że zgodnie z prawem unijnym i krajowym, ochrona powinna obowiązywać niezależnie od zasadności zgłoszenia.
• Sprawa może podważać zaufanie do mechanizmów ochrony sygnalistów w Polsce i zniechęcać do zgłaszania nieprawidłowości w instytucjach publicznych.
• Hanna Radziejowska zapowiedziała dochodzenie swoich praw przed sądem.

Ministerstwo Sprawiedliwości pracuje nad projektem ustawy, która wprowadzi nowe funkcjonalności w aplikacji mObywatel. Umożliwi ona dostęp do danych z Centralnej Informacji Ksiąg Wieczystych (CIKW) oraz Krajowego Rejestru Sądowego (KRS). Celem jest uproszczenie procesu pozyskiwania danych o nieruchomościach i podmiotach gospodarczych związanych z użytkownikiem.

• Nowa ustawa umożliwi użytkownikom aplikacji mObywatel:
  • Wydawanie elektronicznych dokumentów z CIKW (odpisów, wyciągów, zaświadczeń o zamknięciu ksiąg wieczystych) – z mocą dokumentów sądowych.
  • Wyszukiwanie informacji po numerze PESEL – zarówno dotyczących ksiąg wieczystych, jak i KRS.
• Użytkownicy będą mogli sprawdzić:
  • Numer księgi wieczystej nieruchomości, w której są ujawnieni w dziale II wpisem PESEL-u.
  • Podmioty z KRS, z którymi są powiązani (np. jako wspólnicy lub członkowie zarządu).
• Wyszukiwanie informacji będzie bezpłatne i niewymagające znajomości numerów KW czy KRS.
• Możliwe będzie pobranie aktualnych informacji o podmiotach z KRS, z którymi użytkownik jest powiązany.
• Projekt ustawy przewiduje, że:
  • Nowe przepisy mają wejść w życie 31 marca 2026 r.
  • Rząd ma przyjąć projekt w III kwartale 2025 r.
• Wdrożenie wymaga zmian prawnych – m.in. nowelizacji przepisów odnoszących się do rejestrów publicznych i systemów teleinformatycznych administracji.
• Środki finansowe na realizację projektu mają pochodzić z Krajowego Planu Odbudowy, w ramach programu „Rozwój i zwiększenie dostępności Rejestrów Sądowych - eKRS i EKW”.

Artykuł dotyczy zaostrzenia zasad amerykańskiej polityki imigracyjnej. Amerykańskie służby imigracyjne (USCIS) wprowadziły nowe środki weryfikacyjne, mające na celu identyfikowanie osób o „antyamerykańskich” poglądach przed przyznaniem im zezwoleń na pobyt w USA, w tym tzw. zielonej karty i obywatelstwa.

• USCIS (United States Citizenship and Immigration Services) będzie sprawdzać, czy osoby ubiegające się o świadczenia imigracyjne wyrażają „antyamerykańskie poglądy”, m.in. w mediach społecznościowych.
• Rzecznik USCIS podkreślił, że świadczenia imigracyjne są „przywilejem, a nie prawem” i nie powinny trafiać do osób „gardzących krajem” lub promujących „antyamerykańskie ideologie”.
• Nowe działania obejmują poszerzoną weryfikację danych, w tym przeglądanie aktywności w mediach społecznościowych przez amerykańskich dyplomatów.
• Weryfikacja będzie dotyczyć m.in. wpisów promujących antyamerykanizm, antysemityzm oraz wrogość wobec obywateli, kultury, rządu czy zasad ustrojowych USA.
• Dziennik „Guardian” podaje, że decyzja władz jest następstwem kontrowersji związanych z falą antyizraelskich protestów na amerykańskich kampusach.
• W wyniku wcześniejszych działań administracji USA wstrzymano rozmowy kwalifikacyjne w sprawie wiz studenckich dla zagranicznych studentów oraz zaostrzono kryteria przy przyjmowaniu na studia.

Wniosek: USA zaostrzają procedury imigracyjne, kładąc nacisk na ideologiczne i społeczne postawy wnioskodawców, szczególnie w kontekście aktywności w mediach społecznościowych.

• Microsoft oficjalnie potwierdził, że prawo amerykańskie (w tym US CLOUD Act) ma pierwszeństwo przed lokalnymi przepisami dotyczącymi ochrony danych.
• Zgodnie z US CLOUD Act, władze USA mogą uzyskać dostęp do danych przechowywanych przez amerykańskie firmy, niezależnie od lokalizacji serwerów.
• Przykładem jest Kanada, która próbowała zabezpieczyć dane krajowe przed obcą jurysdykcją, ale Microsoft jednoznacznie zakomunikował, że to niemożliwe.
• To samo stanowisko firma zajęła wcześniej we Francji podczas przesłuchania w Senacie – sygnalizując spójność globalnej polityki Microsoftu.
• Microsoft nie gwarantuje ochrony danych przed dostępem amerykańskich organów nawet w przypadku, gdy dane przechowywane są poza USA.
• Przekazywanie danych następuje na podstawie każdego „prawnie uzasadnionego wniosku” bez konieczności informowania władz kraju, w którym dane są przechowywane.
• Deklaracje firmy o „ścisłych procedurach prawnych” nie zmieniają faktu, że ostateczna decyzja zapada poza lokalną jurysdykcją.
• Polska jest w gorszej sytuacji niż Kanada – ma mniejsze możliwości gospodarcze oraz słabszy aparat obrony prawnej.
• Autor artykułu podkreśla potrzebę wzmacniania krajowych i europejskich dostawców technologicznych jako alternatywy dla amerykańskich firm.
• Propozycją rozwiązania jest model „anchor tenant” – państwo jako pierwszy, stabilny klient, który pomaga budować lokalnych liderów branży IT.

Wniosek:
Poleganie na amerykańskich dostawcach usług chmurowych oznacza brak pełnej kontroli nad strategicznymi danymi i narażenie się na działanie zagranicznego prawa. Konieczne jest wspieranie lokalnych technologii w celu zachowania cyfrowej suwerenności.