RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 04.11.2025 r. 

  RODO aktualności

Nowe prawo ma pomóc zwalczać internetowych przestępców » WSA uchyla decyzję nakładającą 4 mln zł kary na bank » Niepowiadomienie o błędnym wysłaniu dokumentu z danymi pacjentki » NSA ostrzega: niezaszyfrowany e-mail z danymi osobowymi to zagrożenie » Czy lekarz odpowiada za wyciek danych pacjenta z konta PUE ZUS? Precedensowy wyrok NSA » Chciał usunięcia swoich danych z policyjnego rejestru, by dostać pracę. Jest wyrok NSA » Wyciek danych z Ministerstwa Obrony w Afganistanie » Adres lokalu jako dane osobowe

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Nowe prawo ma pomóc zwalczać internetowych przestępców

  • Kontekst: Rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – to reakcja na rosnące zagrożenia związane z phishingiem, kradzieżami tożsamości i dezinformacją oraz konieczność wdrożenia unijnej dyrektywy NIS 2 i wytycznych związanych z bezpieczeństwem sieci 5G (tzw. Toolbox).
  • Nowelizacja wprowadza nowe obowiązki dla podmiotów z kilkunastu kluczowych sektorów gospodarki, m.in. finansów, ICT, przemysłu chemicznego i spożywczego, energetyki, poczty i gospodarki odpadami.
  • Podmioty te zostaną zobowiązane do stosowania odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zapobiegania incydentom i minimalizowania ich skutków.
  • Dyrektywa NIS 2 zmienia dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych – teraz obowiązki będą dotyczyć tzw. podmiotów kluczowych i ważnych.
  • Projekt zakłada również utworzenie krajowego planu reagowania na incydenty oraz możliwość zgłaszania incydentów cyberbezpieczeństwa do właściwych zespołów CSIRT – sektorowych i krajowych.
  • Za niewykonanie obowiązków przewiduje się administracyjne kary pieniężne.
  • Nowelizacja odpowiada na potrzeby społeczne – badania pokazują, że choć większość Polaków deklaruje poczucie bezpieczeństwa online, aż 88% obawia się phishingu, a 38% kradzieży tożsamości.
  • Nadal zbyt mało osób aktywnie reaguje na dezinformację – tylko 17% zgłasza fałszywe treści, a jedynie co czwarty badany nie udostępnia niesprawdzonych informacji.
  • Rząd planuje równolegle przygotować nową Strategię Cyberbezpieczeństwa RP na kolejne lata (dotychczasowa obowiązuje do końca 2025 r.).
  • Na budowanie cyberodporności w sferze cywilnej zaplanowano rekordowe wydatki – w 2025 roku przekroczą 3,1 miliarda złotych.
  • Eksperci zwracają uwagę, że skuteczne przeciwdziałanie zagrożeniom w sieci wymaga wspólnej odpowiedzialności – państwa, sektora prywatnego oraz każdego użytkownika internetu.
  • Projekt nowelizacji został przyjęty przez Radę Ministrów i zostanie przekazany do Sejmu w celu dalszych prac legislacyjnych.
Źródło

WSA uchyla decyzję nakładającą 4 mln zł kary na bank

  • Kontekst: Artykuł dotyczy wyroku Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, który uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładającą karę ponad 4 mln zł na bank za rzekome naruszenie RODO.
  • Sąd uznał, że UODO nie zebrał wystarczających dowodów potwierdzających, że doszło do „wysokiego ryzyka naruszenia praw lub wolności” osób fizycznych – niezbędnego do nałożenia obowiązku powiadomienia klientów o incydencie.
  • Sprawa dotyczyła omyłkowego przesłania dokumentów bankowych klientów do innego banku przez podmiot przetwarzający dane na zlecenie banku.
  • Dokumenty zostały zwrócone, a bank – uznając, że pracownicy innego banku są objęci tajemnicą bankową – nie zawiadomił klientów o naruszeniu danych.
  • WSA stwierdził, że:
    • UODO nie ustalił precyzyjnie, jakie dane zostały ujawnione oraz czy rzeczywiście doszło do zapoznania się z nimi przez osoby nieuprawnione.
    • Nie udowodniono, że sama możliwość zapoznania się z danymi oznacza wysokie ryzyko naruszenia praw lub wolności.
    • Organ oparł wnioski na ogólnikowych stwierdzeniach, znanych już z innych spraw, bez dostatecznego odniesienia do specyficznych okoliczności tej sprawy.
  • Sąd uznał argumentację organu za nieprzekonującą, szczególnie w kontekście tego, że dokumenty mogły trafić w ręce osób zawodowo zobowiązanych do zachowania poufności.
  • WSA wskazał na braki proceduralne – niewyjaśnienie istotnych faktów oraz niekompletne postępowanie dowodowe, co naruszyło przepisy Kodeksu postępowania administracyjnego.
  • W związku z powyższym, decyzja Prezesa UODO została uchylona w całości, a organ będzie musiał ponownie rozpatrzyć sprawę, dokładnie analizując ryzyko naruszenia oraz zakres ujawnionych danych.
Źródło

Niepowiadomienie o błędnym wysłaniu dokumentu z danymi pacjentki

  • Kontekst: Artykuł dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w sprawie spółki Gyncentrum, która nie zgłosiła naruszenia ochrony danych osobowych po incydencie przesłania błędnego dokumentu zawierającego dane pacjentki.
  • PUODO nałożył na Gyncentrum karę pieniężną w wysokości 40 tys. zł oraz udzielił spółce upomnienia za brak zawiadomienia osób, których dane dotyczyły – mimo obowiązku uczynienia tego bez zbędnej zwłoki.
  • Incydent polegał na wysłaniu potwierdzenia zwrotnego przelewu nie tej pacjentce, do której było ono adresowane. Dokument zawierał dane osobowe (imię, nazwisko, adres, numer konta, kwotę oraz nazwę badania prenatalnego).
  • Administrator danych (Gyncentrum) uznał, że incydent nie wiąże się z ryzykiem naruszenia praw lub wolności osób, więc nie zgłosił go do PUODO. Poszkodowana pacjentka dowiedziała się o sytuacji od innej pacjentki Centrum.
  • Zgodnie z RODO, obowiązek zgłoszenia naruszenia zależy od oceny poziomu ryzyka dla osoby, której dane dotyczą. Jeśli ryzyko nie jest pomijalne, należy zawiadomić organ nadzorczy oraz osobę poszkodowaną.
  • PUODO uznał, że udostępnione dane stanowią informacje o stanie zdrowia i ich ujawnienie może prowadzić do naruszenia dóbr osobistych lub dyskryminacji – zatem istnieje wysokie ryzyko dla osoby, której dane dotyczą.
  • W związku z powyższym, Gyncentrum miało obowiązek zarówno zgłosić naruszenie do PUODO, jak i poinformować o incydencie osobę, której dane zostały przesłane nieuprawnionemu odbiorcy.
  • Prezes UODO podkreślił, że zgłaszanie naruszeń przez administratorów danych jest kluczowe dla poprawy bezpieczeństwa danych oraz dla ochrony praw osób fizycznych.
  • Stanowisko administratora dotyczące oceny ryzyka w przypadku incydentu podlega weryfikacji przez PUODO, a zgłaszanie naruszeń służy zarówno interesowi administratora, jak i osób, których dane są przetwarzane.
Źródło

NSA ostrzega: niezaszyfrowany e-mail z danymi osobowymi to zagrożenie

  • Kontekst: Artykuł porusza temat bezpieczeństwa danych osobowych, a konkretnie zagrożeń wynikających z wysyłania niezaszyfrowanych e-maili zawierających takie dane do niewłaściwych adresatów.
  • Wyrok NSA: Naczelny Sąd Administracyjny (NSA) uznał, że wysłanie niezaszyfrowanego maila z danymi osobowymi do niewłaściwego odbiorcy może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.
  • Sprawa Ergo Hestia: Towarzystwo Ubezpieczeniowe Ergo Hestia SA wysłało ofertę ubezpieczeniową z danymi osobowymi (m.in. imię, nazwisko, PESEL, dane finansowe) do nieodpowiedniego odbiorcy.
  • Kara UODO: Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na spółkę karę w wysokości 159 176 zł za brak zgłoszenia naruszenia oraz niepowiadomienie osoby, której dane wyciekły.
  • Odwołania i wyrok NSA: Chociaż Wojewódzki Sąd Administracyjny uchylił decyzję UODO, NSA uznał skargę kasacyjną Prezesa UODO za zasadną i przyznał, że doszło do sytuacji stwarzającej wysokie ryzyko naruszenia praw osoby fizycznej.
  • Znaczenie numeru PESEL: NSA wskazał, że ujawnienie numeru PESEL w powiązaniu z innymi danymi może skutkować kradzieżą tożsamości, zaciąganiem zobowiązań finansowych lub wyłudzaniem usług na niekorzyść tej osoby.
  • Praktyczne konsekwencje: Wyrok NSA podkreśla wagę odpowiedniego zabezpieczania danych osobowych oraz obowiązek informowania zarówno organu nadzorczego, jak i osoby dotkniętej naruszeniem o takich zdarzeniach.
  • Sygnatura sprawy: Wyrok NSA z 1 października, sygn. akt III OSK 1830/22.
Źródło

Czy lekarz odpowiada za wyciek danych pacjenta z konta PUE ZUS? Precedensowy wyrok NSA

  • Kontekst: Naczelny Sąd Administracyjny (NSA) rozstrzygnął precedensową sprawę dotyczącą odpowiedzialności za nieuprawnione ujawnienie danych osobowych pacjentów z konta lekarza w systemie PUE ZUS.
  • Sprawa dotyczyła wycieku danych osobowych kobiety i jej dziecka – dane zostały ujawnione osobie trzeciej przez pielęgniarkę z przychodni. Doszło do tego poprzez konto konkretnej lekarki w systemie PUE ZUS.
  • Prezes Urzędu Ochrony Danych Osobowych (UODO) uznał, że odpowiedzialność ponosi lekarka – jako administrator danych na swoim koncie PUE ZUS – i udzielił jej upomnienia. Odpowiedzialność przychodni została wykluczona.
  • Lekarka odwołała się od decyzji, twierdząc, że system mógł być używany przez inną osobę, a sama nie przetwarzała danych nie swoich pacjentów. Wskazywała też na awarie systemu oraz możliwość przypadkowego dostępu do kont przez innych lekarzy.
  • Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę, podkreślając, że nawet jeśli inne osoby logowały się na konto lekarki, to i tak ponosi ona odpowiedzialność za udostępnienie danych dostępowych.
  • Naczelny Sąd Administracyjny również podtrzymał wcześniejsze decyzje, wskazując, że prawo do przetwarzania danych i wystawiania zaświadczeń w systemie ZUS dotyczy wyłącznie lekarza, a nie placówki medycznej, w której pracuje.
  • NSA uznał lekarkę za administratora danych, ponieważ to ona otrzymała indywidualny dostęp do systemu ZUS i decyduje o sposobie przetwarzania danych. Brak nadzoru nad bezpieczeństwem dostępu do konta również obciąża lekarza.
  • Wyrok jest prawomocny. NSA potwierdził, że nie można zwolnić lekarza z odpowiedzialności za nieuprawnione udostępnienie danych, nawet jeśli udostępnił swoje konto w dobrej wierze lub w sytuacji awarii systemu.
Źródło

Chciał usunięcia swoich danych z policyjnego rejestru, by dostać pracę. Jest wyrok NSA

  • Kontekst sprawy: Mężczyzna, który jako 18-latek spowodował ponad 7 lat temu wypadek drogowy, ubiegał się później o pracę w służbach mundurowych. Choć postępowanie karne wobec niego zostało warunkowo umorzone, jego dane wciąż znajdowały się w Krajowym Systemie Informacyjnym Policji (KSIP), co uniemożliwiało mu dalszą rekrutację.
  • Spór między instytucjami: Komendant Główny Policji odmówił usunięcia danych, argumentując, że system KSIP przechowuje informacje niezależnie od zakończenia postępowania i nie jest publicznie dostępny. Prezes Urzędu Ochrony Danych Osobowych (UODO) nie zgodził się z tą interpretacją i uznał, że brak podstaw do dalszego przetwarzania danych.
  • Decyzja Wojewódzkiego Sądu Administracyjnego: WSA w Warszawie przyznał rację prezesowi UODO. Wskazał, że skoro postępowanie zostało umorzone, oznacza to niewielką szkodliwość społeczną czynu, a więc dalsze przetwarzanie danych jest nieuzasadnione.
  • Rozstrzygnięcie przez NSA: Naczelny Sąd Administracyjny oddalił skargę kasacyjną Komendanta Głównego Policji. NSA podkreślił, że to prezes UODO ma kompetencje do oceny zasadności dalszego przechowywania danych osobowych, a czas ich przechowywania nie może być oparty wyłącznie na formalnych przepisach.
  • Wniosek do MSWiA o zmianę przepisów: Prezes UODO już wystąpił do ministra spraw wewnętrznych z wnioskiem o zmianę przepisów regulujących działanie KSIP. Inicjatywa ma na celu dostosowanie krajowych regulacji do wyroku Trybunału Sprawiedliwości Unii Europejskiej z 2023 roku (sygn. C-118/22).
  • Wnioski:
    • Sądy administracyjne potwierdziły, że nie każda informacja może być przechowywana bezterminowo – celowość i proporcjonalność przetwarzania danych osobowych musi być oceniana indywidualnie.
    • Decyzja ta może wpłynąć na zmianę praktyk w zakresie danych gromadzonych w policyjnych rejestrach, w szczególności KSIP.
    • Sprawa pokazuje ważną rolę prezesa UODO jako instytucji kontrolującej legalność przetwarzania danych osobowych w sektorze publicznym.

Źródło

Wyciek danych z Ministerstwa Obrony w Afganistanie

  • Kontekst: Artykuł dotyczy wycieku danych osobowych Afgańczyków przez brytyjskie Ministerstwo Obrony, co doprowadziło do poważnych konsekwencji dla osób dotkniętych tą sytuacją.
  • Wyciek danych objął 231 z 350 przebadanych afgańskich obywateli, którzy współpracowali z Wielką Brytanią lub byli z nią powiązani.
  • Aż 87% (200 osób) z dotkniętych wyciekiem danych doświadczyło osobistego zagrożenia lub gróźb wobec członków swojej rodziny, w tym gróźb przemocy, przeszukiwań domów i zabójstw.
  • 89% (207 osób) zgłosiło, że wyciek miał negatywny wpływ na ich zdrowie fizyczne i/lub psychiczne, a taki sam odsetek wskazał na pogorszenie zdrowia swoich bliskich.
  • Badania zostały przeprowadzone we współpracy z uniwersytetami w Lancaster i Yorku oraz organizacją Refugee Legal Support, a ich wyniki opublikowała Komisja Obrony Izby Gmin.
  • Profesor Victoria Canning, współautorka badania, podkreśliła poważny, ludzki wymiar skutków wycieku, w tym cierpienie psychiczne i zagrożenie życia dla wielu rodzin.
  • Według badaczy rząd Wielkiej Brytanii powinien pilnie zareagować – poprzez przyspieszenie relokacji Afgańczyków oraz zapewnienie rekompensaty dla poszkodowanych.
  • Pełen raport nosi tytuł: „Nie jestem numerem przypadku, jestem człowiekiem: rzeczywiste skutki wycieku danych Ministerstwa Obrony” i ma zostać opublikowany w listopadzie.
Źródło

Adres lokalu jako dane osobowe

  • Kontekst: Sprawa dotyczyła publikacji w internecie nazwy „Prywatny Gabinet Stomatologiczny” wraz z adresem i numerem telefonu. Prezes Urzędu Ochrony Danych Osobowych (PUODO) uznał, że są to dane osobowe konkretnej osoby i nakazał ich usunięcie. Spółka X, prowadząca portal, nie zgodziła się z tą interpretacją.
  • 15 października 2025 r. Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną Prezesa UODO i utrzymał wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie z 2022 r.
  • WSA uznał, że publikowane dane – nazwa działalności, adres lokalu i numer telefonu – nie identyfikują wprost osoby fizycznej, a więc nie stanowią danych osobowych w rozumieniu RODO.
  • NSA potwierdził tę interpretację, wskazując, że informacje tego typu nie wystarczają do bezpośredniej identyfikacji osoby fizycznej, jeśli nie są połączone z innymi danymi umożliwiającymi jej ustalenie.
  • Sąd podkreślił, że zgodnie z art. 86 RODO, dane pochodzące z publicznych rejestrów mogą być ujawniane, ale konieczne jest zachowanie zasad przetwarzania danych osobowych: odpowiedniej podstawy prawnej, celu i minimalizacji ich zakresu.
  • NSA orzekł, że mimo pewnych uchybień w uzasadnieniu wcześniejszego wyroku, jego rozstrzygnięcie było prawidłowe i zgodne z prawem.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry