RODO aktualności – 03.02.2026 r. 

• Kontekst: Artykuł dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) o ukaraniu Poczty Polskiej S.A. za naruszenia przepisów RODO w zakresie funkcjonowania Inspektora Ochrony Danych (IOD).
• Wysokość kary: UODO nałożył na Pocztę Polską administracyjną karę pieniężną w wysokości 978 tys. zł.
• Powód kary: Brak zapewnienia niezależności IOD oraz niewystarczające działania mające na celu uniknięcie konfliktu interesów przy pełnieniu tej funkcji.
• Szczegóły naruszenia: Osoba pełniąca funkcję IOD jednocześnie zajmowała stanowisko kierownicze związane bezpośrednio z przetwarzaniem danych, co uniemożliwiało niezależne wykonywanie obowiązków IOD.
• Brak odpowiednich procedur: Spółka nie była w stanie przedstawić analizy ryzyka konfliktu interesów ani procedur określających pierwszeństwo zadań IOD w przypadku ich kolizji z innymi obowiązkami.
• Wytyczne europejskie: Decyzja Prezesa UODO jest zgodna z wytycznymi unijnych organów, które wymagają pełnej niezależności IOD od procesów przetwarzania, które nadzoruje.
• Reakcja spółki: W trakcie postępowania spółka dokonała zmian, oddzielając funkcję IOD i nadając jej bezpośrednią podległość zarządowi, co mogło wpłynąć na złagodzenie kary.
• Charakter naruszenia: UODO uznał, że miało ono średni poziom szkodliwości, jednak zwrócił uwagę na systemowy charakter problemów z przestrzeganiem RODO w spółce.
• Historia naruszeń: To nie pierwsze naruszenie RODO ze strony Poczty Polskiej – wcześniej UODO wydawał już decyzje nakazujące dostosowanie jej działań do przepisów o ochronie danych osobowych.

• Kontekst: Artykuł omawia przełomowy wyrok Naczelnego Sądu Administracyjnego (NSA) dotyczący legalności stosowania monitoringu w altanach śmietnikowych pod kątem przepisów RODO.
• Wyrok NSA (sygn. III OSK 147/23): Sąd uznał, że instalacja kamer w celu egzekwowania segregacji śmieci narusza prywatność mieszkańców i jest nielegalna, jeśli nie poprzedzono jej mniej inwazyjnymi próbami osiągnięcia celu.
• Geneza sporu: Spółdzielnia mieszkaniowa zdecydowała się na montaż kamer w altanach śmietnikowych w reakcji na niewłaściwą segregację odpadów i groźbę podwyższonych opłat. Mieszkaniec uznał to za naruszenie swojej prywatności i złożył skargę do UODO.
• Stanowisko Prezesa UODO: Monitoring uznano za formę przetwarzania danych osobowych bez wystarczającej podstawy prawnej. UODO nakazał zaprzestanie nagrywania oraz usunięcie zarejestrowanych danych.
• Rozbieżność orzeczeń: Wojewódzki Sąd Administracyjny poparł spółdzielnię, uznając monitoring za uzasadniony. NSA uchylił ten wyrok, stwierdzając, że nie spełniono przesłanek legalności z art. 6 ust. 1 lit. f RODO.
• Trójetapowa analiza NSA:
  • Uznano istnienie interesu spółdzielni (np. egzekwowanie segregacji),
  • Jednak nie uznano konieczności stosowania monitoringu – są inne, mniej inwazyjne środki (np. worki na odpady przypisane lokatorom),
  • W teście równowagi stwierdzono prymat prawa do prywatności nad interesem ekonomicznym.
• Znaczenie wyroku: Sąd potwierdził, że monitoring nawet w częściach wspólnych nieruchomości może stanowić poważną ingerencję w prywatność mieszkańców.
• Wnioski praktyczne dla spółdzielni i zarządców nieruchomości:
  • Należy zawsze przeprowadzić i udokumentować analizę mniej inwazyjnych alternatyw przed wdrożeniem monitoringu,
  • Monitoring powinien być stosowany głównie w celu zapewnienia bezpieczeństwa, a nie do realizacji celów organizacyjnych czy ekonomicznych,
  • Decyzja o monitoringu musi być oparta na szczegółowym teście równowagi między interesem administratora a prawami osób fizycznych.
• Podsumowanie: Wyrok NSA ustanawia nowy standard ochrony prywatności w kontekście monitorowania przestrzeni wspólnych w budynkach mieszkalnych. Wskazuje na konieczność ograniczania nadzoru do sytuacji rzeczywiście niezbędnych i poprzedzonych analizą alternatyw.

Kontekst: Artykuł dotyczy sprawy toczącej się przez Naczelnym Sądem Administracyjnym Litwy, który zadał Trybunałowi Sprawiedliwości UE pytania prejudycjalne w związku z interpretacją przepisów RODO w sprawie dotyczącej spółki Vinted. W tle pojawia się problem przedawnienia skarg dotyczących transgranicznego przetwarzania danych osobowych i stosowania środków naprawczych.

• Litewski sąd rozpatruje zgodność krajowego dwuletniego terminu przedawnienia nakładania kar administracyjnych z unijnym RODO, które takiego ograniczenia czasowego nie przewiduje.
• Sprawa dotyczy platformy Vinted, wobec której wpłynęły skargi od użytkowników z Francji, których konta zostały zablokowane. Użytkownicy wnosili m.in. o usunięcie ich danych osobowych.
• Vinted odmówił usunięcia danych, argumentując, że nie zaistniały przesłanki z art. 17 RODO oraz że przechowują dane byłych użytkowników w celu ochrony uzasadnionego interesu serwisu i jego użytkowników.
• Kontrowersje wzbudziła praktyka tzw. "cichego zablokowania" konta – użytkownik nie jest o tym informowany, a po 30 dniach następuje całkowita blokada.
• Spółkę Vinted obciążono zarzutami naruszenia RODO, nałożono na nią środki naprawcze i wszczęto postępowanie administracyjne w sprawie nałożenia kary.
• Sąd pierwszej instancji podtrzymał decyzje organu nadzorczego, wskazując na zgodność postępowania z przepisami prawa.
• Naczelny Sąd Administracyjny Litwy skierował do Trybunału Sprawiedliwości UE siedem pytań prejudycjalnych, które dotyczą m.in.:
  • czy upływ krajowego terminu przedawnienia może uniemożliwić rozpatrzenie skargi lub nałożenie środków naprawczych na podstawie RODO,
  • czy organ nadzorczy może rozpatrywać także inne naruszenia wykryte podczas analizy skargi,
  • jakie obowiązki ma organ nadzorczy w zakresie określenia zakresu postępowania i informowania administratora,
  • czy administrator ma obowiązek przechowywać dane osoby, której dotyczy skarga, przez cały czas postępowania, nawet jeśli nie są one powiązane bezpośrednio z przedmiotem skargi,
  • czy administrator powinien informować osobę, której dane dotyczą, o przyczynach odmowy usunięcia danych oraz o podstawach i celach przetwarzania danych,
  • czy obowiązki informacyjne są spełnione, jeśli informacja o możliwym „cichym zablokowaniu” znajduje się w polityce prywatności, ale użytkownik nie jest informowany indywidualnie,
  • czy przetwarzanie danych na potrzeby „cichego zablokowania” bez poinformowania użytkownika można uznać za zgodne z RODO, jeśli ma na celu ochronę platformy i jej użytkowników.
• Odpowiedź Trybunału Sprawiedliwości UE będzie miała duże znaczenie dla praktyki stosowania RODO, w szczególności w kontekście transgranicznego przetwarzania danych i uprawnień organów nadzorczych.

• Kontekst sprawy: Wyrok Naczelnego Sądu Administracyjnego (NSA) dotyczy granic kontroli sądowej decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) i podkreśla, że to organ – a nie sąd – powinien dokonywać ustaleń faktycznych i oceniać je w świetle przepisów prawa.
• Stan faktyczny: Sprawa dotyczy incydentu związanego z zagubieniem przesyłki przez bank – zawierającej dane osobowe klientów – co uznano za naruszenie przepisów RODO.
• Decyzja Prezesa UODO: Organ administracyjny nałożył na bank upomnienie, jednak uzasadnienie decyzji sprowadzało się jedynie do przytoczenia przepisów bez ich odniesienia do konkretnych faktów sprawy.
• Wyrok WSA: Wojewódzki Sąd Administracyjny (WSA) podtrzymał decyzję Prezesa UODO, jednak NSA uznał, że zrobił to nieprawidłowo, dokonując samodzielnych ustaleń zamiast ocenić legalność decyzji na podstawie ustaleń organu.
• Ocena NSA:
  • NSA uchylił wyrok WSA oraz decyzję Prezesa UODO.
  • Sąd nie powinien „uzupełniać” uzasadnienia decyzji organu ani samodzielnie dokonywać subsumpcji (czyli stosowania przepisów do faktów).
  • Kontrola sądowa powinna opierać się wyłącznie na materiale dowodowym zebranym przez organ administracyjny.
• Wskazane braki w decyzji UODO:
  • Brak rozważań, czy bank dochował należytej staranności od momentu nadania przesyłki.
  • Brak analizy, jak powinien zabezpieczyć dane w przypadku korzystania z usług firmy kurierskiej.
• Praktyczne znaczenie wyroku:
  • Organ musi w uzasadnieniu decyzji wykazać powiązanie przepisów z konkretnym stanem faktycznym (tzw. subsumpcję).
  • Jeśli tego zabraknie, sąd administracyjny nie powinien samodzielnie tego uzupełniać – powinien uchylić decyzję i przekazać sprawę do ponownego rozpoznania.
• Podsumowanie: Wyrok NSA jasno określa granice kompetencji sądu administracyjnego i organu administracji – to do organu należy zebranie i ocena faktów oraz ich właściwe uzasadnienie, a rolą sądu jest jedynie ocena legalności takiej decyzji.

Kontekst: Artykuł dotyczy skargi obywatela złożonej do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w 2018 roku w związku z nieprawidłową anonimizacją dokumentu publicznego. Przypadek pokazuje wieloletnie opóźnienia i problemy proceduralne w działalności UODO oraz ocenę sądów administracyjnych dotyczącą prowadzenia tej sprawy.

• Obywatel złożył skargę do Prezesa UODO w listopadzie 2018 r., dotyczącą błędnej anonimizacji protokołu posiedzenia Komisji Rewizyjnej Rady Powiatu.
• Prezes UODO odmówił uwzględnienia skargi decyzją z lipca 2019 r.
• Wojewódzki Sąd Administracyjny (WSA) w Warszawie uchylił decyzję w lutym 2020 r., a organ wydał nową w listopadzie 2020 r.
• We wrześniu 2021 r. WSA ponownie uchylił decyzję, a odpis prawomocnego wyroku został doręczony Prezesowi UODO w grudniu 2021 r.
• W kwietniu 2022 r. obywatel złożył skargę na przewlekłość postępowania do WSA.
• WSA w październiku 2022 r. potwierdził przewlekłość działania UODO i przyznał obywatelowi 2000 zł jako rekompensatę.
• NSA uchylił ten wyrok w listopadzie 2024 r., przekazując sprawę do ponownego rozpoznania.
• WSA w kwietniu 2025 r. ponownie orzekł, że działanie Prezesa UODO było przewlekłe i stanowiło rażące naruszenie prawa.
• NSA w listopadzie 2025 r. oddalił kasację Prezesa UODO — wyrok ten jest obecnie prawomocny.
• NSA podkreślił, że:
  • braki kadrowe ani duża liczba spraw nie zwalniają organów z obowiązku działania w terminach określonych prawem,
  • zasada dobrej administracji wymaga nie tylko legalności, ale także rzetelności i sprawności działania urzędów,
  • wydanie decyzji przez Prezesa UODO po prawie 4 latach od złożenia skargi jest nie do pogodzenia z obowiązującymi przepisami i standardami działania administracji publicznej.

Wnioski:

• Sprawa wykazuje poważne problemy z efektywnością działania Prezesa UODO i przestrzeganiem terminów postępowań administracyjnych.
• Sądy administracyjne jednoznacznie potwierdziły przewlekłość postępowania oraz rażące naruszenie przepisów procesowych.
• NSA uznał, że tłumaczenia organu dotyczące braków kadrowych nie mogą usprawiedliwiać opóźnień.
• Sprawa stanowi ważny precedens i przypomnienie o konieczności szanowania praw obywateli przez organy państwowe, w tym prawa do rzetelnej i terminowej administracji.

• Kontekst: Od 2018 roku, kiedy wprowadzono europejskie Rozporządzenie o Ochronie Danych Osobowych (RODO), regulatorzy nałożyli na firmy w Europie kary na łączną kwotę 7,1 mld EUR. Najnowszy raport kancelarii DLA Piper potwierdza rosnącą skalę naruszeń danych osobowych i konsekwencji prawnych, zwłaszcza w świetle zagrożeń związanych z cyberatakami i technologiami AI.
• Wysokość kar RODO w 2025 roku: Europejskie organy nadzoru nałożyły kary o łącznej wartości 1,2 mld EUR – podobnie jak w 2024 roku. Najwyższa kara (530 mln EUR) dotyczyła firmy z sektora mediów społecznościowych i transferu danych do Chin; została nałożona przez urząd w Irlandii.
• Wzrost naruszeń ochrony danych: W 2025 roku liczba zgłoszonych naruszeń w Europie wzrosła o ponad 20%, osiągając średnio 443 przypadki dziennie. W Polsce liczba zgłoszeń zwiększyła się aż o 33%, do 19 065 przypadków.
• Najwięcej naruszeń: Najwięcej zgłoszeń pochodziło z Holandii (39 773), Niemiec (34 467) i Polski. Te trzy kraje pozostają w czołówce od kilku lat.
• Główne przyczyny naruszeń: Rosnące ryzyko cyberataków, szybki rozwój technologii AI oraz nieprzygotowanie firm na nowe zagrożenia są głównymi czynnikami prowadzącymi do naruszeń RODO.
• Liderzy pod względem wysokości kar od 2018 roku:
  • 1. Irlandia – 4,04 mld EUR
  • 2. Francja – 1,13 mld EUR
  • 3. Luksemburg – 747 mln EUR
  • 4. Polska – 22,3 mln EUR
• Branże najbardziej narażone: Najwyższe kary wciąż dotyczą głównie firm z sektora technologicznego i mediów społecznościowych – 9 z 10 rekordowych kar otrzymały podmioty z tego obszaru.
• AI a dane osobowe: Niektóre firmy AI również zostały ukarane – np. włoski regulator ukarał firmę Luka Inc., twórcę chatbota Replika, m.in. za brak podstawy prawnej przetwarzania danych oraz brak weryfikacji wieku użytkowników.
• Potencjalne zmiany w prawie: Trwają debaty nad możliwym wprowadzeniem wyjątków w przepisach RODO, które miałyby ułatwić wykorzystanie danych osobowych do rozwijania AI, przy zachowaniu bezpieczeństwa, przejrzystości i prawa do sprzeciwu.
• Wniosek dla firm: Organizacje powinny zintensyfikować działania w zakresie cyberbezpieczeństwa i ochrony danych osobowych, zwłaszcza w kontekście wzrostu zagrożeń związanych z nowymi technologiami.

• Kontekst: Artykuł dotyczy wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) oraz odpowiedzi Prezesa Urzędu Ochrony Danych Osobowych (UODO) na jego znaczenie w kontekście ochrony danych osobowych, w tym przeciwdziałania tzw. deepfake’om.
• Wyrok TSUE z 2 grudnia 2025 r. w sprawie Russmedia wskazuje, że właściciele stron internetowych odpowiadają za dane osobowe zawarte w ogłoszeniach publikowanych na ich platformach.
• Operatorzy serwisów internetowych muszą upewnić się, że dane osobowe publikowane w ogłoszeniach pochodzą od ogłoszeniodawcy, lub że zgoda właściciela danych została udzielona – w przeciwnym wypadku publikacja jest niedopuszczalna.
• Przypadek Russmedia dotyczył publikacji zdjęcia i danych kobiety bez jej zgody w kontekście nieprawdziwego ogłoszenia, co doprowadziło do rozpowszechnienia tych informacji w internecie nawet po ich skasowaniu z pierwotnego źródła.
• Prezes UODO podkreśla, że wyrok TSUE ma duże znaczenie dla określenia odpowiedzialności platform społecznościowych i internetowych za przetwarzanie danych osobowych – nie tylko przechowują, ale także wpływają na ich publiczne udostępnianie.
• W kontekście rosnących zagrożeń związanych z technologią AI, w tym deepfake’ami, Prezes UODO podkreślił potrzebę wprowadzenia odpowiednich przepisów prawnych w Polsce.
• Aktualne przepisy krajowe (m.in. prawo autorskie, kodeks cywilny, kodeks karny) nie zapewniają wystarczającej ochrony przed nadużyciami z użyciem nowoczesnych technologii.
• UODO wskazuje brak precyzyjnych regulacji prawnych w Polsce i UE dotyczących zwalczania deepfake’ów, mimo że są podejmowane pewne działania w ramach Aktu o usługach cyfrowych (DSA) i Aktu o sztucznej inteligencji (DAI).
• Planowana nowelizacja ustawy o świadczeniu usług drogą elektroniczną jest zdaniem UODO niewystarczająca – nie zawiera dedykowanych rozwiązań do walki z deepfake’ami.
• Prezes UODO nawołuje do pilnych zmian legislacyjnych oraz sugeruje możliwość wzorowania się na rozwiązaniach stosowanych m.in. w Danii, Francji i Stanach Zjednoczonych.
• Problem braku odpowiednich regulacji był omawiany podczas posiedzenia sejmowej Komisji ds. Dzieci i Młodzieży, gdzie postulaty UODO spotkały się z poparciem uczestników.
• Ochrona dzieci i młodzieży jest szczególnie istotna – dane z raportu WeProtect wskazują na wzrost o 1300% materiałów z wykorzystaniem AI prezentujących seksualne nadużycia wobec dzieci oraz wzrost o 192% przypadków internetowego uwodzenia (grooming).
• W świetle wyroku TSUE oraz danych o zagrożeniach, UODO ocenia, że konieczne są dodatkowe zmiany prawa, niezależnie od już prowadzonych działań opartych na RODO.