RODO aktualności – 04.03.2025 r. 

• Kontekst: Wdrożenie rozporządzenia o europejskiej przestrzeni danych dotyczących zdrowia (EHDS) będzie wyzwaniem, ale może przynieść wiele korzyści, takich jak ujednolicony i bezpieczny dostęp do danych medycznych oraz większą kontrolę pacjentów nad tym, kto je przetwarza.​
• Podjęte decyzje: Rada Unii Europejskiej zatwierdziła rozporządzenie tworzące EHDS, co oznacza znaczące zmiany w przechowywaniu i udostępnianiu danych medycznych w UE.​
• Główne cele:​
  • Zwiększenie kontroli pacjentów nad ich danymi zdrowotnymi.​
  • Ułatwienie wymiany danych między placówkami medycznymi w całej UE.​
  • Wsparcie badań naukowych i innowacji poprzez lepszy dostęp do danych.​
  • Zapewnienie bezpieczeństwa i ochrony danych zgodnie z RODO.​
• Bezpieczeństwo i możliwość rezygnacji: Pacjenci będą mogli zrezygnować z udostępniania danych zarówno na potrzeby leczenia, jak i badań naukowych.​
• Wpływ pandemii COVID-19: Kryzys zdrowotny pokazał, jak istotny jest szybki i skuteczny dostęp do danych medycznych oraz bezpieczne systemy e-zdrowia.​
• Korzyści dla pacjentów i lekarzy: Jednolity system elektronicznej dokumentacji medycznej pozwoli pacjentom unikać konieczności noszenia papierowych wyników badań, a lekarzom ułatwi diagnostykę.
• Wyzwania dla Polski:​
  • Potrzeba dostosowania przepisów prawa i infrastruktury IT.​
  • Wyznaczenie odpowiednich organów nadzorujących wdrożenie EHDS.​
  • Rozwój systemu elektronicznego dostępu do danych.​
• Możliwości dla sektora badawczo-rozwojowego: Lepszy dostęp do danych medycznych może pomóc w rozwoju sztucznej inteligencji i innowacyjnych technologii w ochronie zdrowia.​
• Kolejne kroki:​
  • Wyznaczenie organów odpowiedzialnych za wdrażanie EHDS w Polsce.​
  • Przygotowanie infrastruktury technicznej dla placówek medycznych.​
  • Zaktualizowanie krajowych regulacji prawnych.​
• Podsumowanie: Choć wdrożenie EHDS będzie dużym wyzwaniem, jego realizacja może przynieść istotne korzyści w zakresie bezpieczeństwa, dostępności i wykorzystania danych medycznych w UE.

Źródło: https://www.prawo.pl/zdrowie/rozporzadzenie-ehds-wyzwania-we-wdrazaniu-dla-polski,531456.html ​

• Kontekst sprawy: Dotyczy przetwarzania danych osobowych przez instytucje unijne zgodnie z Rozporządzeniem 2018/1725 (bliźniaczym do RODO).​
• Stan faktyczny: Komisja Europejska umożliwiła rejestrację na wydarzenie „GoGreen” poprzez konto Facebook, co skutkowało przekazaniem danych (adres IP, informacje o przeglądarce) firmie Meta Platforms (właścicielowi Facebooka) do USA.​
• Problem prawny: W tamtym czasie nie istniała decyzja Komisji potwierdzająca odpowiedni stopień ochrony danych osobowych przekazywanych do USA, co implikuje naruszenie przepisów.​
• Stanowisko skarżącego: Doszło do bezprawnego przekazania danych, co oznacza utratę kontroli nad danymi i naruszenie praw oraz wolności użytkownika.​
• Kluczowe ustalenia TSUE:​
  • Komisja Europejska ponosi współodpowiedzialność za umieszczanie plików cookie Facebooka.​
  • Naruszenie art. 46 Rozporządzenia 2018/1725 poprzez stworzenie warunków umożliwiających przekazanie danych do państwa trzeciego z naruszeniem zasad ochrony.​
  • Brak konieczności wykazywania progu wagi szkody – utrata kontroli nad danymi osobowymi stanowi rzeczywistą i pewną krzywdę.​
• Wyrok TSUE:​
  • Komisja Europejska zobowiązana do zapłaty 400 EUR na rzecz skarżącego tytułem zadośćuczynienia.
  • Pozostałe żądania odszkodowawcze zostały oddalone.​
  • Komisja pokryje swoje koszty postępowania oraz połowę kosztów skarżącego.​
• Podsumowanie: TSUE potwierdził, że niezgodne z prawem przekazanie danych osobowych do USA stanowi podstawę do ubiegania się o zadośćuczynienie. Wyrok ten może mieć istotny wpływ na przyszłe sprawy dotyczące naruszeń ochrony danych osobowych w Unii Europejskiej.​

Źródło: https://judykatura.pl/tsue-uznal-ze-przekazanie-numeru-ip-niezgodnie-z-prawem-moze-stanowic-krzywde/ ​

• Kontekst: Artykuł dotyczy kar nakładanych przez Urząd Ochrony Danych Osobowych (UODO) za naruszenia unijnych przepisów o ochronie danych osobowych (RODO).​
• Skala kar: W 2024 r. UODO nałożył 20 kar na 24 podmioty, głównie firmy prywatne. Łączna wartość sankcji wyniosła 13,89 mln zł.​
• Najwyższa kara: mBank otrzymał grzywnę 4,05 mln zł za brak powiadomienia klientów o wycieku ich danych osobowych.​
• Najniższa kara: Stowarzyszenie „Maraton” zostało ukarane kwotą 916,71 zł za niezareagowanie na ujawnienie danych uczestników zawodów sportowych.​
• Typowe naruszenia RODO:​
  • Wysyłanie niezabezpieczonych baz danych do nieuprawnionych odbiorców.​
  • Upublicznianie dokumentów zawierających dane osobowe.​
  • Zgubienie nośników danych (np. pendrive’ów).​
  • Ataki złośliwego oprogramowania.​
• Znaczenie RODO: RODO zabezpiecza dane osobowe obywateli UE, a jego naruszenia mogą prowadzić do wysokich kar finansowych.​
• Orzecznictwo: Coraz więcej spraw i wyroków dot. ochrony danych. Przykładowo, TSUE uznał obowiązek podawania form grzecznościowych w systemach rezerwacji za naruszenie zasady minimalizacji danych.​

Źródło: https://biznes.gazetaprawna.pl/artykuly/9739479,4-mln-kary-dla-mbanku-to-rekord-za-lamanie-przepisow-rodo.html ​

• Kontekst: 12 lutego 2025 r. na stronie RCL opublikowano nowy projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), który wdraża przepisy NIS 2. W porównaniu do poprzedniej wersji wprowadza on istotne zmiany dotyczące m.in. klasyfikacji podmiotów publicznych i stosowanych środków nadzoru.​
• Podmioty publiczne​
• Nowa klasyfikacja podmiotów publicznych (Art. 5):​
  • Podmioty publiczne dzielą się na kluczowe i ważne (wcześniej wszystkie były kluczowe).​
  • Podmiotami ważnymi będą m.in. samorządowe jednostki budżetowe, zakłady budżetowe, instytucje kultury oraz spółki prawa handlowego wykonujące zadania użyteczności publicznej przy wykorzystaniu systemów informacyjnych.​
• Uproszczony system zarządzania bezpieczeństwem (Art. 8 ust. 3):​
  • Podmioty ważne-publiczne nie będą musiały stosować pełnych środków zarządzania ryzykiem – zamiast tego wdrożą uproszczony system bezpieczeństwa informacji (nowy załącznik nr 4).​
• Łagodniejsze obowiązki zgłaszania incydentów (Art. 12c):​
  • Podmioty ważne-publiczne będą miały uproszczone procedury zgłaszania incydentów.​
• Wspólne wykonywanie obowiązków (Art. 16c i kolejne):
  • Doprecyzowano zasady współpracy i realizacji obowiązków przez podmioty publiczne zgodnie z przepisami o samorządzie gminnym, powiatowym i wojewódzkim.​
• Środki nadzoru​
• Zmiana zasad stosowania środków nadzoru (Art. 53 ust. 9, Art. 53e):​
  • Organ ds. cyberbezpieczeństwa będzie mógł samodzielnie wydawać decyzje o np. wstrzymaniu koncesji (wcześniej kierował wnioski do sądu lub innego organu).​
• Nowe zasady wydawania decyzji kontrolnych:​
  • Środek nadzorczy nie może być stosowany dłużej niż 14 dni od doręczenia decyzji.​
  • Jeśli uchybienia nie zostaną usunięte, kolejne decyzje mogą być wydawane na kolejne okresy 14-dniowe.​
  • Po usunięciu uchybień decyzję można uchylić.​
• Zmniejszenie kar dla kierowników podmiotów kluczowych i ważnych (Art. 73a):​
  • Maksymalna kara finansowa zmniejszona o połowę – do 300% wynagrodzenia obliczanego według zasad ekwiwalentu za urlop.​
• Podsumowanie: Nowelizacja wprowadza podział podmiotów publicznych na kluczowe i ważne, ułatwia zarządzanie bezpieczeństwem dla podmiotów ważnych-publicznych.​

Źródło: https://www.linkedin.com/posts/agnieszka-wachowska_uksc-nowelizacja-nis2-activity-7295473589636505600-NjCF?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 ​

• Marek A. złożył skargę do prezesa UODO na przedsiębiorcę, zarzucając mu nieprawidłowe przetwarzanie jego danych osobowych.​
• W trakcie postępowania ustalono, że przedsiębiorca został wykreślony z CEIDG, co oznacza, że formalnie przestał istnieć jako podmiot gospodarczy.​
• Z powodu wykreślenia z rejestru przedsiębiorca utracił status administratora danych osobowych i nie można było wobec niego wydać żadnej decyzji związanej z RODO.​
• Prezes UODO umorzył postępowanie uznając, że dalsza analiza sprawy stała się bezprzedmiotowa.​
• Marek A. nie zgodził się z decyzją i wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.​
• WSA uznał, że umorzenie było zgodne z prawem – zgodnie z art. 105 § 1 k.p.a. postępowanie może zostać umorzone, jeśli strona postępowania przestaje istnieć.​
• Sąd podkreślił, że decyzja o umorzeniu nie rozstrzyga o winie przedsiębiorcy, lecz wynika z niemożności dalszego procedowania sprawy.​
• W konsekwencji WSA oddalił skargę Marka A., potwierdzając prawidłowość decyzji prezesa UODO.​

​

Źródło: https://www.prawo.pl/biznes/wykreslenie-przedsiebiorcy-z-ceidg-wiazalo-sie-z-umorzeniem-postepowania,531430.html ​

• Komisja Europejska rezygnuje z rozporządzenia ePrivacy – po latach prac projekt uznano za przestarzały i mało realny do wdrożenia.​
• Powody decyzji: brak porozumienia między instytucjami UE, zmieniające się przepisy technologiczne i legislacyjne oraz wpływ ruchów deregulacyjnych z USA i Chin.​
• ePrivacy miało regulować kwestie prywatności w komunikacji elektronicznej, uzupełniając RODO i zastępując dyrektywę 2002/58.​
• Projekt przewidywał:​
  • Ujednolicenie zasad dotyczących prywatności w internecie, w tym wiadomości, rozmów online i plików cookie.​
  • Określenie zasad przetwarzania metadanych (np. czasu, lokalizacji, odbiorcy łączności elektronicznej).​
  • Nowe regulacje dotyczące zgód na komunikaty marketingowe i pliki cookie.​
  • Ograniczenie niepożądanych połączeń, w tym tzw. „głuchych telefonów”.​
• Eksperci podzieleni: niektórzy uważają, że rezygnacja z ePrivacy uprości sytuację prawną przedsiębiorców i nie wpłynie negatywnie na ochronę użytkowników.​
• RODO nadal chroni prywatność użytkowników w zakresie ochrony danych osobowych i zasad komunikacji elektronicznej.​
• Co dalej? Ochrona prywatności w internecie nadal będzie zależeć od interpretacji i działań organów nadzorczych.​

​

Źródło: https://www.prawo.pl/biznes/rozporzadzenia-eprivacy-nie-bedzie-decyzja-ke,531555.html ​

• Kontekst sprawy: Osoba, która złożyła wniosek o kredyt, ale go nie otrzymała, zauważyła, że bank nadal przetwarza jej dane osobowe.​
• Działania organów: Prezes UODO uznał, że brak zawarcia umowy oznacza brak podstaw do dalszego przetwarzania danych przez bank i Biuro Informacji Kredytowej (BIK) i nakazał ich usunięcie.​
• Argumentacja banku i BIK: Obie instytucje wskazywały jako podstawę prawną przetwarzania danych art. 6 ust. 1 lit. f RODO (uzasadniony interes) oraz art. 105a Prawa bankowego.​
• Decyzja sądów: Wojewódzki Sąd Administracyjny (WSA) w Warszawie przyznał rację Prezesowi UODO, a następnie Naczelny Sąd Administracyjny (NSA) oddalił skargi kasacyjne banku i BIK, potwierdzając wcześniejsze orzeczenie.​
• Kluczowy wniosek: Jeśli nie doszło do zawarcia umowy kredytowej, instytucje finansowe nie mają podstaw do dalszego przetwarzania danych wnioskodawcy.​

​

Źródło: https://uodo.gov.pl/pl/138/3558 ​

• Nowa wersja poradnika uwzględnia aktualne przepisy, doświadczenia praktyczne oraz opinie z konsultacji społecznych.​
• Dokument powstał we współpracy z ekspertami oraz Społecznym Zespołem Ekspertów przy Prezesie UODO.​
• Najważniejsze nowości w poradniku:​
• Zaktualizowane procedury zgłaszania naruszeń do UODO.​
• Praktyczne przykłady i studia przypadków.​
• Wytyczne dotyczące współpracy z organami nadzorczymi.​
• Rekomendacje w zakresie oceny ryzyka i zapobiegania naruszeniom.​
• Wkrótce UODO zorganizuje seminarium, na którym eksperci omówią szczegóły zawarte w poradniku.​
• Szczegółowe informacje o terminie i programie wydarzenia pojawią się na stronie UODO.​

​

Źródło: https://uodo.gov.pl/pl/138/3561 ​

• Kontekst: NSA orzekł, że klienci mają prawo żądać usunięcia swoich danych osobowych po zakończeniu umowy, co może utrudnić rozpatrywanie reklamacji i roszczeń.​
• Kluczowe stanowisko NSA: Przedsiębiorcy nie mogą przechowywać danych „na zapas”, a jedynie na podstawie konkretnych i istotnych przesłanek prawnych.​
• Sprawa Banku Millennium: Bank przechowywał dane klientów po zamknięciu ich kont, co zdaniem UODO było nieuzasadnione. NSA podtrzymał decyzję o ich usunięciu.​
• Konsekwencje dla przedsiębiorców: Brak dostępu do danych po zakończeniu umowy może uniemożliwić rozpatrywanie reklamacji i obrony przed późniejszymi roszczeniami.​
• Kredyty frankowe: Klienci mogą domagać się unieważnienia umów po latach, a brak danych banku mógłby utrudnić analizę sprawy.​
• Stanowisko ekspertów: Niektórzy prawnicy twierdzą, że przechowywanie danych przez okres przedawnienia roszczeń leży w interesie klientów i przedsiębiorców.​
• Odpowiedź UODO: Dane muszą być usuwane tylko wtedy, gdy brak jest podstawy prawnej ich przetwarzania. Prawo przewiduje wyjątki umożliwiające dalsze przechowywanie.​
• Kolejne wyroki: W sądach toczy się wiele podobnych spraw dotyczących usuwania danych – mogą mieć istotne konsekwencje dla różnych branż.
• Problematyczne sytuacje: Przykładem są firmy wynajmujące samochody – usunięcie danych klienta może uniemożliwić dochodzenie roszczeń np. w przypadku kradzieży czy mandatów.​
• Wnioski: Decyzja NSA budzi kontrowersje wśród prawników i przedsiębiorców. Wprowadzenie zasady natychmiastowego usuwania danych po zakończeniu umowy może zagrozić prawom zarówno firm, jak i klientów.​

​

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9740682,po-zrealizowaniu-umowy-klient-moze-zadac-usuniecia-danych-wyrok-nsa-n.html ​

• Wymagane przygotowania: Organizacje powinny przeanalizować procesy wewnętrzne, wyznaczyć osoby odpowiedzialne, przeszkolić pracowników, przeprowadzić analizę ryzyka i zaktualizować dokumentację RODO, aby uniknąć problemów z e-Doręczeniami.​
• Problemy w pierwszym miesiącu: System e-Doręczeń borykał się z poważnymi trudnościami operacyjnymi, takimi jak opóźnienia w dostarczaniu przesyłek, długie czasy załadunku skrzynek i załączników oraz możliwy dostęp do numerów PESEL urzędników.​
• Przyczyny i rozwiązania: Ministerstwo Cyfryzacji wskazało, że problemy wynikały z błędów integracyjnych z systemami EZD, ale główne usterki miały już zostać rozwiązane.​
• Kwestie terminów: Pojawiły się obawy dotyczące zgodności dat nadania i odbioru, jednak Ministerstwo Finansów zapewniło, że w sprawach podatkowych liczy się data nadania przez nadawcę.​
• Zakres wdrożenia: e-Doręczenia obejmują zarówno instytucje publiczne (obowiązkowo od 1 stycznia 2025 r.), jak i podmioty prywatne oraz osoby fizyczne, jeśli aktywują odpowiednie usługi.​
• Kluczowe daty:​
  • 1 stycznia 2025 r. – obowiązek posiadania ADE dla wielu podmiotów publicznych i przedsiębiorstw wpisanych do KRS po tej dacie.​
  • 1 kwietnia 2025 r. – termin dla firm wpisanych do KRS przed 2025 r.​
  • 1 października 2026 r. – ostateczny termin dla JDG (z wyjątkami dotyczącymi zmian we wpisie w CEIDG).​
  • 1 października 2029 r. – obowiązkowe wdrożenie dla policji, sądów, komorników i prokuratury.
• Znaczenie HR: Organizacje powinny określić osoby odpowiedzialne za obsługę ADE, zapewnić odpowiednie procedury zastępstw i przeprowadzić szkolenia, aby uniknąć fikcji doręczeń (uznania pisma za doręczone po 14 dniach braku reakcji).​
• Obowiązki RODO: Przed wdrożeniem należy przeprowadzić analizę ryzyka i zaktualizować dokumentację, w tym rejestry czynności przetwarzania i upoważnienia dla pracowników by zapewnić zgodność z przepisami ochrony danych. ​
• Korzyści: System e-Doręczeń zwiększa bezpieczeństwo przesyłek, gwarantuje niezmienność wiadomości i wygodę w dostępie do skrzynki na różnych urządzeniach.​

Źródło: https://www.gazetaprawna.pl/tygodnik-dgp/artykuly/9740721,e-doreczenia-w-firmie-jak-je-sprawnie-wdrozyc-o-czym-pamietac-by-un.html ​

• Sprawa zaczęła się od skargi pasażera, który musiał podać na głos imię i nazwisko podczas kontroli biletu w autobusie.​
• Prezes Urzędu Ochrony Danych Osobowych (PUODO) uznał, że przewoźnik naruszył RODO, zmuszając pasażerów do ujawniania swoich danych osobowych publicznie.​
• PUODO udzielił przewoźnikowi upomnienia, argumentując, że praktyka ta jest niezgodna z art. 5 ust. 1 lit. f i art. 6 ust. 1 lit. b RODO.​
• Przewoźnik odwołał się od decyzji do Wojewódzkiego Sądu Administracyjnego (WSA), który uchylił decyzję PUODO, uznając, że nie miał on kompetencji do jej wydania.​
• WSA stwierdził, że użycie imienia i nazwiska pasażera nie jest przetwarzaniem danych osobowych w rozumieniu RODO, a ewentualne naruszenie prywatności powinno być rozstrzygane na drodze cywilnej.​
• Prezes PUODO zaskarżył tę decyzję do Naczelnego Sądu Administracyjnego (NSA), argumentując, że ochrona danych osobowych należy do kompetencji jego instytucji.​
• NSA przyznał rację PUODO, uznając, że imię i nazwisko są danymi osobowymi, a ich przetwarzanie przez kierowcę w oparciu o internetowy system sprzedaży biletów podlega RODO.​
• Sąd podkreślił, że przewoźnik przetwarzał dane systemowo, więc PUODO miał podstawy do interwencji w tej sprawie.​
• NSA uchylił wyrok WSA i potwierdził, że PUODO mógł oceniać legalność ujawnienia tych danych.
• Podsumowanie: NSA uznał, że ujawnienie imienia i nazwiska pasażera w autobusie było przetwarzaniem danych osobowych, a PUODO miał prawo interweniować w sprawie. Ostateczne orzeczenie wzmacnia ochronę prywatności pasażerów i potwierdza stosowanie rygorów RODO w podobnych sytuacjach.​

Źródło: https://uodo.gov.pl/pl/138/3565 ​

• Firmy działające w Tajlandii 🇹🇭 pod lupą organu nadzorczego​
• Tajlandzki organ ochrony danych nałożył pierwszą administracyjną karę pieniężną za naruszenie PDPA (Personal Data Protection Act).​
• Ukarano dużą firmę e-commerce za wyciek danych klientów, brak inspektora ochrony danych, opóźnione zgłoszenie incydentu i niewystarczające zabezpieczenia.​
• Przełomowy moment dla tajskiego PDPA​
• Pierwsza administracyjna kara od momentu wejścia PDPA w życie w 2022 roku.​
• Platforma e-commerce ukarana grzywną w wysokości 7 milionów THB.​
• Co doprowadziło do kary?​
• Klienci zgłaszali podejrzane telefony od oszustów podszywających się pod pracowników firmy.​
• Oszuści mieli dostęp do pełnych danych osobowych klientów, co wskazywało na wyciek.​
• Firma nie podjęła odpowiednich działań mimo zgłoszeń klientów.​
• Naruszenia PDPA​
• Brak powołania DPO – firma mimo przetwarzania danych ponad 100 000 klientów nie wyznaczyła inspektora ochrony danych.
• Niewystarczające zabezpieczenia – nieautoryzowane osoby miały dostęp do danych klientów.​
• Opóźnione zgłoszenie naruszenia – firma nie zgłosiła incydentu w wymaganym czasie 72 godzin.​
• Konsekwencje dla firm​
• Kara 7 milionów THB oraz nakaz wdrożenia środków zaradczych w ciągu 7 dni.​
• Ryzyko kolejnych kar finansowych.​
• Strata reputacji i zaufania klientów.​
• Jak uniknąć podobnych konsekwencji?​
• Regularne audyty zgodności z PDPA.​
• Powołanie inspektora ochrony danych (DPO).​
• Wdrożenie skutecznych środków bezpieczeństwa ograniczających dostęp do danych.​
• Szybkie raportowanie naruszeń.​
• Szkolenia pracowników w zakresie ochrony danych.
• Podsumowanie​
• Pierwsza kara w Tajlandii to sygnał ostrzegawczy dla firm.​
• Pełna zgodność z PDPA to nie tylko obowiązek, ale także sposób na budowanie zaufania i minimalizowanie ryzyka.​

Źródło: https://www.linkedin.com/posts/adam-szkur%C5%82at_kara-za-naruszenie-pdpa-w-tajlandii-activity-7299764644204732416-_ldK?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 ​

• Kontekst: Polski Fundusz Rozwoju i Google podpisały tajne memorandum o współpracy dotyczącej m.in. ochrony zdrowia, jednak Ministerstwo Zdrowia nie brało w tym udziału i nie ma szczegółowych informacji na ten temat.​
• Brak konsultacji z Ministerstwami: Ministerstwo Zdrowia oraz Ministerstwo Cyfryzacji nie były informowane o ustaleniach z Google, co budzi pytania o proces decyzyjny dotyczący cyfryzacji ochrony zdrowia w Polsce.​
• Plany Ministerstwa Zdrowia: Trwają prace nad Platformą Usług Inteligentnych, która ma wspierać placówki medyczne poprzez wykorzystanie nowoczesnych narzędzi cyfrowych, zwiększenie poziomu cyberbezpieczeństwa oraz przygotowanie infrastruktury pod regulacje EHDS.​
• Rola sztucznej inteligencji: Polskie rozwiązania SI koncentrują się na diagnostyce obrazowej, np. opisywaniu badań rentgenowskich czy mammograficznych. Narzędzia te mają wspierać lekarzy, ale nie zastępować ich pracy.​
• System P1 – analizy na podstawie danych medycznych: Planowane są narzędzia do analizy stanu zdrowia pacjentów na podstawie danych z e-recept, zdarzeń medycznych i szczepień. Mają one wspomagać lekarzy w opiece nad pacjentami, ale nie zastępować diagnoz.​
• Europejska Przestrzeń Danych Dotyczących Zdrowia (EHDS): Od marca br. pacjenci uzyskają większą kontrolę nad swoimi danymi medycznymi – możliwość ich przeglądania, poprawiania i wyłączania części informacji z ogólnego dostępu.​
• Wyzywania związane z EHDS: Polska musi dopracować przepisy dotyczące przetwarzania danych medycznych i stworzyć infrastrukturę umożliwiającą ich transgraniczny przepływ w UE. Wymaga to powołania specjalnego organu oraz opracowania narzędzi technologicznych..
• Podsumowanie: Cyfryzacja ochrony zdrowia w Polsce to ogromne wyzwanie, wymagające współpracy różnych instytucji. Ministerstwo Zdrowia stawia na rozwój technologii opartych na analizie danych i sztucznej inteligencji, jednak brak przejrzystości w podejmowaniu decyzji (jak w przypadku memorandum z Google) budzi pytania o kierunek tych działań.​

Źródło: https://www.rynekzdrowia.pl/E-zdrowie/Pelnomocnik-ds-cyfryzacji-komentuje-tajna-umowe-z-Google-i-zdradza-plany-w-e-zdrowiu-System-P1-to-kopalnia-wiedzy,268598,7.html ​

• Kontekst: Informacja o podstawie zatrudnienia (pracownik czy zleceniobiorca) jest daną osobową i podlega ochronie zgodnie z RODO.​
• Podstawa prawna: Przetwarzanie tych danych wymaga jednej z podstaw prawnych wymienionych w art. 6 ust. 1 RODO, np. zgody zainteresowanego lub konieczności realizacji obowiązku prawnego.​
• Ujawnianie tych informacji: Nie zawsze jest dopuszczalne – musi wynikać z konkretnej podstawy prawnej; nie można ich upubliczniać bez uzasadnienia.​
• B2B a jawność danych: Sam fakt prowadzenia działalności gospodarczej nie oznacza, że informacja o współpracy B2B jest publiczna. Brak wpisu w CEIDG również nie przesądza o pracowniczym zatrudnieniu.​
• Sytuacje wymagające ujawnienia: Np. obowiązki prawne związane z ubezpieczeniem, medycyną pracy, procedurą zwolnień grupowych.​
• Przetwarzanie w wewnętrznych procesach: Standardowe procesy kadrowe wymagają dostępu do tych danych, ale zakres dostępu powinien być ograniczony.​
• Różne podstawy zatrudnienia a równe traktowanie: Podział na pracowników i współpracowników nie może prowadzić do nieuzasadnionej dyskryminacji, np. w zakresie benefitów czy harmonogramu pracy.​
• Odpowiedzialność za naruszenia: Nieuprawnione przetwarzanie danych o podstawie zatrudnienia może skutkować konsekwencjami prawnymi dla organizacji​

Źródło: https://www.gazetaprawna.pl/praca/artykuly/9747624,firma-musi-miec-powod-aby-ujawnic-kto-nie-pracuje-na-podstawie-umowy.html ​