RODO aktualności – 05.08.2025 r. 

Artykuł dotyczy sprawy włoskiej firmy Autostrade per l’Italia SpA, która wykorzystała prywatne dane pracownicy z mediów społecznościowych (Facebook, Messenger, WhatsApp) w celu uzasadnienia jej zwolnienia dyscyplinarnego. W wyniku interwencji włoskiego organu ochrony danych (Garante Privacy), na firmę nałożono wysoką karę finansową.

• Włoska firma wykorzystała prywatne treści z Facebooka oraz komunikatorów Messenger i WhatsApp w ramach postępowania dyscyplinarnego wobec pracownicy.
• Treści te pochodziły ze zrzutów ekranu dostarczonych przez współpracowników oraz osobę trzecią.
• Wykorzystany materiał obejmował komentarze, opisy zdjęć i prywatną korespondencję, które nie miały związku ze stosunkiem pracy.
• Włoski Urząd Ochrony Danych Osobowych stwierdził, że pracodawca naruszył przepisy dotyczące legalności, celowości i minimalizacji przetwarzania danych osobowych zgodnie z RODO.
• Organ nadzorczy uznał, że fakt umieszczenia treści w mediach społecznościowych nie oznacza zgody na ich dowolne wykorzystanie przez pracodawcę.
• Firma nie miała podstaw prawnych do przetwarzania tych danych w ramach działań związanych z zatrudnieniem.
• Na spółkę nałożono karę w wysokości 420 000 euro za niezgodne z prawem przetwarzanie danych oraz naruszenie tajemnicy korespondencji.

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył ostatnio kary na placówki medyczne za niewystarczające zabezpieczenia danych osobowych. W związku z tym proponuje system pozytywnej motywacji dla podmiotów, które wykazują się wysokimi standardami ochrony danych.

• Prezes UODO, Mirosław Wróblewski, wystąpił do Ministerstwa Zdrowia z propozycją zmian legislacyjnych.
• Zmiany miałyby dotyczyć rozporządzenia określającego kryteria wyboru ofert w konkursach o zawarcie umów z Narodowym Funduszem Zdrowia (NFZ).
• Nowe przepisy pozwoliłyby przyznawać dodatkowe punkty ofertom medycznym za stosowanie kodeksów postępowania zatwierdzonych przez UODO lub posiadanie odpowiedniego certyfikatu zgodności z RODO.
• W Polsce istnieją dwa zatwierdzone kodeksy postępowania dostosowane do potrzeb sektora ochrony zdrowia, skierowane do dużych i małych placówek medycznych.
• Według UODO, stosowanie zatwierdzonych kodeksów lub certyfikatów ułatwia spełnienie wymagań RODO i wzmacnia zaufanie pacjentów.
• Prezes UODO podkreśla, że zamiast samych kar, warto promować pozytywne przykłady i stosowanie dobrych praktyk w ochronie danych.
• Ministerstwo Zdrowia ma 30 dni na ustosunkowanie się do propozycji Urzędu Ochrony Danych Osobowych.

Kontekst sprawy: Artykuł dotyczy nałożenia administracyjnej kary pieniężnej na przedsiębiorcę działającego w branży gastronomiczno-hotelarskiej przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) za brak współpracy w toku postępowania dotyczącego przetwarzania danych biometrycznych pracownika.

• Prezes UODO nałożył karę w wysokości 18 941 zł na przedsiębiorcę z branży gastronomicznej/hotelowej z Tworogu.
• Postępowanie rozpoczęło się od skargi osoby fizycznej w 2021 r. dot. nieprawidłowości w przetwarzaniu jej danych biometrycznych przez pracodawcę (prawdopodobnie odcisków palców).
• Przedsiębiorca, działający jako administrator danych, nie odpowiedział na wezwania UODO o przedstawienie podstawy prawnej przetwarzania danych ani nie udzielił informacji o okresie, celowości i spełnieniu obowiązku informacyjnego.
• Mimo ponawianych wezwań (ostatnie w maju 2024 r.) przedsiębiorca konsekwentnie nie współpracował z organem nadzorczym.
• W styczniu 2025 r. UODO wszczął formalne postępowanie dotyczące nałożenia kary z urzędu.
• Przedsiębiorca nie skorzystał z możliwości złożenia wyjaśnień ani nie przekazał danych potrzebnych do ustalenia wysokości kary.
• UODO uznał brak działań za przeszkodę w rzetelnym rozpatrzeniu sprawy oraz za przejaw świadomej, celowej odmowy współpracy.
• Zgodnie z art. 83 ust. 5 lit. e) oraz art. 58 ust. 1 lit. a) i e) RODO, taki brak współpracy stanowi przesłankę do nałożenia kary finansowej.
• Brak reakcji ze strony przedsiębiorcy przyczynił się do nieuzasadnionego przedłużenia postępowania i utrzymywania naruszenia przepisów RODO.

Ministerstwo Nauki i Szkolnictwa Wyższego przygotowało projekt nowelizacji ustawy, który umożliwi pracodawcom weryfikację autentyczności dyplomów kandydatów do pracy. Obecnie, ze względu na przepisy o ochronie danych osobowych (np. RODO), pracodawcy nie mają dostępu do takich informacji, co może prowadzić do nadużyć.

• Projekt nowelizacji ustawy Prawo o szkolnictwie wyższym i nauce zakłada wprowadzenie mechanizmu umożliwiającego weryfikację danych zawartych w dyplomach ukończenia studiów.
• Zmiana ma wejść w życie z początkiem 2026 roku.
• Pracodawca będzie mógł złożyć elektroniczny wniosek do uczelni o potwierdzenie danych z dyplomu kandydata lub pracownika.
• Wniosek będzie musiał zawierać m.in. dane pracodawcy, dane z dyplomu (imię, nazwisko, numer dyplomu), zakres danych do potwierdzenia, wskazanie interesu prawnego oraz oświadczenie o wstępnej weryfikacji dokumentu.
• Uczelnia będzie zobowiązana odpowiedzieć na taki wniosek w ciągu maksymalnie 30 dni.
• Odpowiedź uczelni ma być opatrzona podpisem zaufanym lub kwalifikowanym podpisem elektronicznym rektora lub osoby upoważnionej.
• Udzielenie informacji przez uczelnię będzie odpłatne – opłata wyniesie 1% minimalnego wynagrodzenia za pracę.
• Zmiany mają usprawnić proces rekrutacji i zminimalizować ryzyko zatrudniania osób z fałszywymi kwalifikacjami.

Kontekst: Artykuł opisuje poważny atak hakerski na systemy informatyczne rosyjskiego narodowego przewoźnika lotniczego – Aerofłotu, który spowodował chaos na lotnisku Szeremietiewo w Moskwie. Incydent ten wpłynął na funkcjonowanie największego lotniska w Rosji i może mieć poważne konsekwencje dla całego rosyjskiego ruchu lotniczego.

• Od rana na lotnisku Szeremietiewo odwołano dziesiątki lotów z powodu awarii systemu IT Aerofłotu.
• Pasażerowie zostali poproszeni o odebranie nadanych bagaży i opuszczenie terminali – sugeruje to długotrwały paraliż.
• Do ataku przyznała się grupa hakerów „Silent Crow” z Ukrainy, współpracująca z białoruską grupą „Cyberpartisans BY”.
• Hakerzy twierdzą, że byli obecni w sieci Aerofłotu przez rok, zniszczyli 7000 serwerów i ukradli 20 TB danych.
• Uzyskali też dostęp do komputerów pracowników, w tym kadry kierowniczej, i przejęli dane z systemów nadzoru.
• Rosyjska prokuratura wszczęła śledztwo w sprawie naruszenia bezpieczeństwa IT – zakwalifikowano to jako przestępstwo karne.
• Eksperci IT przestrzegają, że hakerzy mogą wyolbrzymiać skalę ataku, ale nie wykluczają rozległej penetracji systemów.
• Aerofłot pracuje nad przywróceniem działania usług, ale nie podano terminu rozwiązania problemu.
• Kreml potwierdza powagę sytuacji i traktuje incydent jako sygnał zagrożenia cyberatakami wobec usług publicznych.
• Aeroflot to największy rosyjski przewoźnik – w 2024 r. odpowiadał za ponad połowę całego ruchu pasażerskiego w Rosji (55,3 mln osób).

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, przedstawił uwagi do projektu „Polityki rozwoju sztucznej inteligencji w Polsce do 2030 roku”. Uwagi te wynikają z wewnętrznych konsultacji ze specjalistami UODO oraz członkami zespołów eksperckich. Ich celem jest zapewnienie, by rozwój AI w Polsce był zgodny z wymogami ochrony danych osobowych i prawa do prywatności.

• Rozwój sztucznej inteligencji powinien uwzględniać bezpieczeństwo danych osobowych oraz prawo do prywatności jako kluczowe zagadnienia.
• Obecne podejście w projekcie „Polityki rozwoju AI” jest zbyt ogólne – konieczne jest uwzględnienie kontekstu sektorowego (np. zdrowie, edukacja, administracja publiczna).
• Potrzebne jest stworzenie konkretnych ram prawnych dla wdrażania AI, zgodnych z przepisami unijnymi (RODO, AI Act) i Konstytucją RP.
• Wdrażanie AI w administracji i usługach publicznych wymaga dokładnego przeglądu obowiązujących przepisów i doprecyzowania podstaw prawnych.
• Szczególną uwagę należy zwrócić na przetwarzanie danych wrażliwych, takich jak dane biometryczne, zdrowotne, genetyczne czy dane o karalności.
• Należy przeprowadzać ocenę skutków dla praw podstawowych przed wdrożeniem nowych systemów AI.
• Utworzenie publicznie dostępnej listy systemów AI stosowanych w administracji publicznej to krok w stronę przejrzystości – lista powinna zawierać nie tylko nazwę i funkcję, ale także cel działania oraz jego skutki.
• Wybrane postulaty Prezesa UODO:
  • Uznanie ochrony danych osobowych za zasadę horyzontalną w całej Polityce AI.
  • Wprowadzenie precyzyjnych regulacji legalizujących użycie AI przez organy publiczne.
  • Wzmocnienie pozycji Prezesa UODO jako niezależnego organu chroniącego prywatność w kontekście AI.
  • Uzupełnienie dokumentu o obowiązek zgodności z RODO, AI Act i Konwencją 108+.
  • Zidentyfikowanie ryzyk związanych z otwartymi danymi i pseudonimizacją danych.
  • Klasyfikacja danych ze względu na ich wrażliwość oraz określenie zasad przetwarzania danych krytycznych dla krajowej infrastruktury.
  • Rozszerzenie działań edukacyjnych dotyczących AI dla ogółu obywateli, niezależnie od platform technologicznych.

• NSA uchylił karę ponad miliona złotych nałożoną przez Prezesa UODO na administratora danych (ID Finance Poland), która wynikała z wycieku danych spowodowanego błędem procesora spoza UE.
• Pomimo oddalenia skargi kasacyjnej UODO, NSA kierował się innymi motywami niż sąd niższej instancji (WSA), otwierając nową interpretację odpowiedzialności administratora danych.
• NSA uznał, że administrator ponosi odpowiedzialność za działania procesorów spoza UE – niezależnie od własnych win – jeżeli zdecydował się z nimi współpracować.
• Stanowisko NSA oznacza odpowiedzialność na zasadzie ryzyka – nawet, gdy administrator działał należycie, odpowiada za wszelkie naruszenia wynikające z działań podmiotów przetwarzających spoza UE.
• NSA opowiedział się także za łączeniem postępowań indywidualnych (na skargi osób) z postępowaniami prowadzonymi z urzędu, co może zmienić praktykę działania organów nadzorczych.
• Osoby składające skargi do UODO powinny zyskać status stron postępowania – co daje im nowe prawa, np. możliwość składania wniosków dowodowych i zaskarżania decyzji.
• Nowe podejście może wpłynąć na zwiększenie obciążeń administratorów w kontekście ochrony tajemnicy przedsiębiorstwa i zgodności z polskimi regulacjami.
• Orzeczenia NSA budzą kontrowersje – m.in. brak oparcia w art. 28 RODO oraz potencjalne skutki dla odpowiedzialności cywilnej administratorów.
• Od incydentu do prawomocnego wyroku NSA minęło ponad 5 lat, a sprawa – mimo rozstrzygnięcia – generuje dalsze pytania interpretacyjne.