RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 05.05.2026 r. 

  RODO aktualności

NSA: sam numer telefonu nie zawsze jest daną osobową » Uwagi Prezesa UODO do projektu ustawy o systemach sztucznej inteligencji » TSUE wypowiedział się na temat streamingu offline » Ministerstwo Cyfryzacji testuje monitoring pracy zdalnej. Prywatni pracodawcy też

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

NSA: sam numer telefonu nie zawsze jest daną osobową

  • Kontekst sprawy: Naczelny Sąd Administracyjny (NSA) wyrokiem z 15 kwietnia 2026 r. uchylił wyrok WSA w Warszawie z 30 grudnia 2022 r. oraz decyzję Prezesa UODO z 27 maja 2022 r. Sprawa dotyczyła tego, czy sam numer telefonu wykorzystywany przez spółkę do kontaktu (w tym kontaktów marketingowych) można uznać za dane osobowe w rozumieniu RODO.
  • Skarga do UODO: do organu wpłynęła skarga osoby, która twierdziła, że otrzymywała marketingowe połączenia telefoniczne mimo próśb o zaprzestanie i o usunięcie jej danych.
  • Stanowisko Prezesa UODO: Prezes UODO udzielił spółce upomnienia za naruszenie art. 17 ust. 1 lit. d w zw. z art. 6 ust. 1 i art. 12 ust. 3 RODO, uznając, że spółka zbyt późno spełniła żądanie usunięcia numeru telefonu.
  • Wyrok WSA (I instancja): WSA w Warszawie utrzymał decyzję UODO. Przyjął, że numer telefonu może być „punktem kontaktowym”, bo umożliwia dotarcie do konkretnej osoby i potencjalny wpływ na nią, a także że przy obecnych technologiach numer może prowadzić do pozyskania dodatkowych informacji identyfikujących (np. przez komunikatory internetowe).
  • Kluczowa ocena NSA: NSA nie zgodził się z automatycznym uznawaniem numeru telefonu za daną osobową. Wskazał, że sam numer telefonu, oderwany od innych informacji, nie zawsze jest daną osobową; decyduje konkretny kontekst i realna możliwość przypisania numeru do konkretnej osoby.
  • Co było rozstrzygające w tej sprawie: NSA stwierdził, że w realiach tej sprawy numer telefonu nie stanowił danych osobowych osoby zidentyfikowanej, bo spółka (poza numerem) nie dysponowała żadnymi innymi informacjami o skarżącej, które pozwalałyby przypisać numer do konkretnej osoby bez dodatkowych działań identyfikacyjnych.
  • „Potencjał” identyfikacji jest ważniejszy niż teoria: NSA podkreślił, że ocena, czy informacja pozwala zidentyfikować osobę, zależy nie tylko od treści informacji (tu: numeru), ale też od tego, czy dany podmiot ma realną możliwość połączenia jej z „informacjami dodatkowymi”. W tej sprawie takiego potencjału nie wykazano.
  • Brak dostępu do innych źródeł danych: nie wykazano, aby spółka miała dostęp do zasobów innych podmiotów lub baz danych, które pozwoliłyby ustalić, do kogo należy numer telefonu.
  • Telefon za mało: NSA uznał, że sama możliwość wykonania połączenia nie oznacza możliwości identyfikacji właściciela numeru, bo nie ma pewności, że rozmówca poda dane. W tej sprawie miało to znaczenie, bo osoba odmówiła podania danych, co praktycznie wykluczyło przypisanie numeru do konkretnej osoby.
  • Argument o komunikatorach internetowych: NSA uznał, że sam fakt, iż numer telefonu może być powiązany z kontem w aplikacji (np. WhatsApp, Signal), nie wystarcza do przyjęcia identyfikowalności. Nie ustalono, czy skarżąca korzystała z takiego komunikatora ani czy spółka mogła realnie i legalnie użyć takiego mechanizmu identyfikacji.
  • Wytyczne/Opinie nie są wiążące dla sądów: NSA przypomniał, że opinie i wytyczne Grupy Roboczej Art. 29 oraz EROD nie są źródłem prawa wiążącym sądy państw członkowskich. Jednocześnie wskazał, że Opinia 4/2007 nie popiera „czysto hipotetycznej” identyfikowalności.
  • Wniosek praktyczny z uzasadnienia: NSA zaakcentował, że hipotetyczna możliwość ustalenia tożsamości (np. gdy ktoś sam się przedstawi) nie wystarcza do uznania numeru za dane osobowe. Dopóki spółka nie ma „informacji dodatkowych” pozwalających stwierdzić, do kogo numer należy, nie można przyjąć, że posiada dane osobowe tej osoby.
Źródło

Uwagi Prezesa UODO do projektu ustawy o systemach sztucznej inteligencji

  • Kontekst: Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski przekazał do Kancelarii Sejmu uwagi do projektu ustawy o systemach sztucznej inteligencji. Sprawa dotyczy tego, jak w nowych przepisach ma wyglądać nadzór nad używaniem AI, zwłaszcza gdy wiąże się to z przetwarzaniem danych osobowych.
  • Adresat uwag: Uwagi zostały przekazane zastępcy Szefa Kancelarii Sejmu Dariuszowi Salamończykowi.
  • Pozytywnie oceniona zmiana w projekcie: Prezes UODO z zadowoleniem przyjął zapis, że w obszarach takich jak:
    • ściganie przestępstw,
    • kontrola,
    • wymiar sprawiedliwości,
    organ nadzorczy ma mieć wyłączną kompetencję w zakresie nadzoru rynku dotyczącego wykorzystywania systemów AI.
  • Główny problem wskazany przez UODO: Projekt ustawy nie określa szczegółowo zasad współpracy między Prezesem UODO a Komisją Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.
  • Co powinno zostać doprecyzowane: UODO oczekuje ustawowego uregulowania:
    • zasad współpracy w nadzorze nad przetwarzaniem danych osobowych,
    • zasad dotyczących działalności tzw. piaskownic regulacyjnych (testowania rozwiązań AI w kontrolowanych warunkach),
    • trybów, charakteru i zakresu wymiany informacji między UODO a Komisją.
  • Obecny projekt odwołuje się ogólnie do prawa UE: W projekcie powielono jedynie ogólny obowiązek współpracy wynikający z unijnego Aktu w sprawie sztucznej inteligencji (Rozporządzenie 2024/1689), ale zdaniem UODO to za mało — potrzebne są konkretne procedury.
  • Udział Prezesa UODO w Komisji: Projekt przewiduje, że Prezes UODO będzie mógł uczestniczyć w posiedzeniach Komisji, ale bez prawa głosu.
  • Postulat wzmocnienia roli UODO: UODO podkreśla, że jego rola jako organu stojącego na straży praw podstawowych powinna być wyraźnie zapisana w ustawie.
  • Postulat wpływu na decyzje Komisji: Organ nadzorczy powinien mieć prawo:
    • przedstawiać stanowiska dotyczące przetwarzania danych osobowych w sprawach rozpatrywanych przez Komisję,
    • a Komisja powinna brać te stanowiska pod uwagę przy wydawaniu decyzji administracyjnych rozstrzygających sprawy.
  • Uzasadnienie: Takie rozwiązanie miałoby być zgodne z orzecznictwem Trybunału Sprawiedliwości UE.
  • Oznaczenie sprawy: DOL.401.354.2024
Źródło

TSUE wypowiedział się na temat streamingu offline

  • Kontekst: TSUE (Trybunał Sprawiedliwości UE) w wyroku z 16 kwietnia 2026 r. w sprawie C-496/24 odpowiedział na ważne pytanie dla rynku streamingu: czy pobranie utworu do odsłuchu/oglądania offline w płatnej usłudze streamingowej może być traktowane jako kopiowanie na użytek prywatny (czyli korzystać z wyjątku „prywatnego kopiowania”).
  • Wniosek główny: W analizowanych okolicznościach nie – taka kopia offline nie mieści się w wyjątku prywatnego kopiowania, jeśli jest tworzona w sposób kontrolowany przez dostawcę i prawa autorskie.
  • Rozróżnienie dokonane przez TSUE: Trybunał odróżnił prywatne kopiowanie od sytuacji, w której usługa zapewnia dostęp offline w kontrolowanym środowisku. W tym stanie faktycznym offline streaming został potraktowany jako element publicznego udostępniania utworów, a nie jako „zwykłe” zwielokrotnianie na użytek prywatny.
  • Decydujące znaczenie miała kontrola nad kopią: TSUE zwrócił uwagę, że użytkownik nie ma swobody w korzystaniu z pobranego pliku, a uprawniony zachowuje kontrolę (np. poprzez szyfrowanie, brak możliwości przeniesienia pliku, dostęp tylko w aplikacji/ekosystemie usługi oraz możliwość usunięcia/utraty dostępu po zakończeniu subskrypcji lub cofnięciu zgody).
  • Rola dostawcy usługi: Istotne było to, że użytkownik nie dysponuje samodzielnie „źródłem kopii” – dostęp do utworu pojawia się dopiero po tym, jak dostawca tworzy kopię na urządzeniu użytkownika. Według TSUE użytkownik nie tyle sam wykonuje kopię, ile otrzymuje dostęp do kopii utworzonej przez usługę.
  • Licencja nie przesądza o wyjątku: Sam fakt, że funkcja offline jest objęta wynagrodzeniem licencyjnym, nie oznacza automatycznie, że można zastosować wyjątek prywatnego kopiowania.
  • Dlaczego to ważne dla rynku: Wyrok wyznacza granicę między:
    • dostępem offline realizowanym w technicznie kontrolowanym środowisku usługi, a
    • kopiowaniem na użytek prywatny.
  • Praktyczne znaczenie: To ważny punkt odniesienia przy projektowaniu funkcji offline, ustalaniu modeli licencyjnych oraz planowaniu zabezpieczeń technicznych w usługach streamingowych i on-demand.
Źródło

Ministerstwo Cyfryzacji testuje monitoring pracy zdalnej. Prywatni pracodawcy też

  • Kontekst: informacja, że Ministerstwo Cyfryzacji rozważa wprowadzenie narzędzia do monitorowania/rozliczania pracy zdalnej, wywołała niepokój wśród pracowników i na całym rynku pracy (pytania o zakres nadzoru i legalność takich działań).
  • Na jakim etapie jest decyzja: decyzja o wdrożeniu nie zapadła; trwają testy różnych podejść do ewidencji i zarządzania pracą w modelu zdalnym i hybrydowym.
  • Dlaczego resort to rozważa: ministerstwo podaje, że ok. 85% kadry pracuje z domu, więc potrzebne może być narzędzie usprawniające zarządzanie pracą rozproszoną.
  • Co testowano wcześniej: analizowano m.in. ręczną ewidencję czasu pracy, raportowanie zadaniowe oraz zarządzanie przez cele; według resortu metody te nie dawały porównywalnej spójności danych i automatyzacji.
  • Deklarowany cel ministerstwa: resort podkreśla, że w planach nie ma „śledzenia” pracowników, tylko wsparcie przełożonych w planowaniu pracy i bardziej sprawiedliwym przydzielaniu zadań (z uwzględnieniem kompetencji i realnego obciążenia).
  • Argument efektywności i kosztów: ministerstwo wskazuje na rosnącą liczbę zadań oraz potrzebę odpowiedzialnego wydatkowania środków publicznych i ograniczania konieczności nadmiernego zwiększania zatrudnienia.
  • To nie musi stać się standardem w administracji: resort zaznacza, że nie pełni roli promotora narzędzi rynkowych i nie oferuje rozwiązań, których sam nie wytwarza lub nie zleca ich opracowania podległym/współpracującym jednostkom.
  • Trend w sektorze prywatnym: organizacje pracodawców potwierdzają, że podobne narzędzia stają się popularne także w firmach – często nie jako „podgląd”, lecz jako analiza wykorzystania narzędzi cyfrowych i czasu pozostawania w dyspozycji.
  • Co mówi prawo pracy o kontroli pracy zdalnej: kodeks pracy przewiduje możliwość kontroli wykonywania pracy zdalnej (m.in. art. 6728).
  • Kiedy monitoring jest dopuszczalny: według ekspertów (art. 223 § 1 k.p.) monitoring może być wprowadzony, jeśli jest niezbędny do pełnego wykorzystania czasu pracy oraz właściwego użytkowania sprzętu służbowego.
  • Co systemy mogą rejestrować: w praktyce mogą zbierać dane o godzinach aktywności, używanych aplikacjach i otwieranych stronach oraz analizować tempo pracy.
  • Czego robić nie wolno: niedozwolone jest np. podglądanie pracownika kamerą bez jego wiedzy; monitoring nie może naruszać tajemnicy korespondencji, zwłaszcza gdy dopuszczone jest prywatne użycie sprzętu po godzinach.
  • RODO ogranicza zakres monitoringu: kluczowe są zasady proporcjonalności i minimalizacji danych (art. 5 ust. 1 lit. c RODO) – pracodawca nie powinien zbierać danych „na zapas” ani nadmiernych względem celu.
  • Obowiązki po stronie pracodawcy: kontrola powinna mieć związek z pracą, być możliwie najmniej uciążliwa oraz pracownicy muszą być uprzedzeni o możliwości i zakresie kontroli.
  • Ryzyko zbyt daleko idących narzędzi: jeśli celem jest koordynacja pracy i ocena obciążenia, system rejestrujący np. każdą sekundę aktywności klawiatury może być uznany za zbyt szeroki w stosunku do celu.
  • Dane nie zastąpią oceny pracy: automatyczne wykorzystywanie danych z monitoringu jako jedynej podstawy oceny pracownika może być ryzykowne prawnie; monitoring poczty/stron nie może naruszać tajemnicy korespondencji i dóbr osobistych.
  • Kontrola to nie inwigilacja: eksperci podkreślają, że pracownik zachowuje prawo do godności i prywatności w rozsądnym zakresie; nie może stać się obiektem nieograniczonej obserwacji.
  • Kontrowersje wokół pytań o przerwy: testowany system ma pytać o powód przerwy (np. „lunch”, potencjalnie także „toaleta”); zdaniem prawników może to być nieproporcjonalne i zbyt ingerujące w prywatność.
  • Cel przetwarzania danych jest kluczowy: dane z monitoringu można wykorzystywać wyłącznie w celu, w jakim je zebrano; nie można łatwo „zmienić” podstawy i użyć ich np. do innych rozliczeń czy sankcji, jeśli nie wynika to z pierwotnie określonego celu.
  • DPIA przy stałym monitoringu: przy ciągłym, zautomatyzowanym monitorowaniu dużej grupy pracowników może być wymagana ocena skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO; jej brak może oznaczać realne ryzyko odpowiedzialności przed UODO.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry