RODO aktualności – 06.05.2025 r. 

Kontekst: Pracodawcy i inni płatnicy wysyłający PIT-11 powinni zachować szczególną ostrożność w zakresie ochrony danych osobowych. Naczelny Sąd Administracyjny (NSA) wydał prawomocny wyrok, który uznaje, że przesłanie PIT-11 na nieaktualny lub błędny adres stanowi naruszenie przepisów RODO i może skutkować sankcjami ze strony Urzędu Ochrony Danych Osobowych (UODO).

• Przyczyna sprawy: Kancelaria obsługująca wierzytelności wysłała PIT-11 na błędny adres spadkobierczyni dłużniczki. Adres ten nie był przez nią nigdy wskazany jako adres do korespondencji.
• Reakcja UODO: Urząd uznał, że doszło do nieuprawnionego udostępnienia danych osobowych osobom trzecim, co stanowi naruszenie art. 5 ust. 1 lit. d RODO – obowiązku przetwarzania prawidłowych i aktualnych danych.
• Argumentacja kancelarii: Twierdziła, że adres został pobrany z systemu teleinformatycznego z braku kontaktu z klientką. Po wykryciu błędu wystawiono korektę dokumentu i podjęto działania naprawcze (szkolenia, rozmowy z pracownikami).
• Stanowisko WSA (pierwsza instancja): Uznano, że UODO nie udowodniło nierzetelnego przetwarzania danych; sąd wskazał na brak dowodów i rozróżnił błędny adres od adresu nieaktualnego.
• Decyzja NSA (ostateczna i prawomocna): NSA uchylił wyrok WSA i przyznał rację UODO. Stwierdził, że niezależnie od przyczyny, wysyłka PIT-11 na nieprawidłowy adres to naruszenie RODO.
• Konsekwencje dla innych firm: Wyrok stanowi ważny precedens – potwierdza, że nawet jednorazowe zaniedbanie przy przetwarzaniu danych wrażliwych (takich jak te zawarte w PIT-11) może prowadzić do odpowiedzialności prawnej.
• Wyrok prawomocny: NSA uznał, że UODO słusznie zareagował; sygnatura sprawy: III OSK 567/22.

Wniosek: Firmy przetwarzające dane osobowe mają obowiązek zachowania najwyższej staranności przy ich aktualizacji i wysyłce dokumentów zawierających dane wrażliwe. Nawet wysyłka PIT-11 na błędny adres może zostać potraktowana jako naruszenie RODO i skutkować sankcjami.

Kontekst sprawy:

• Sprawa dotyczyła stosowania w stołecznym Ośrodku dla Osób Nietrzeźwych systemu monitoringu z nagrywaniem dźwięku.
• Mikrofony zainstalowano w wielu miejscach, w tym w pomieszczeniach izolacyjnych, poczekalni, pokoju lekarza, korytarzach oraz przy wejściach.
• Prezes UODO w 2022 r. uznał, że nagrywanie dźwięku było niezgodne z przepisami RODO, gdyż nie miało odpowiedniej podstawy prawnej i nałożył na Ośrodek karę 10 000 zł.

Najważniejsze wnioski z dalszych postępowań:

• WSA w Warszawie w 2022 r. podtrzymał decyzję UODO, uznając, że Ośrodek nie miał podstaw prawnych do rejestrowania dźwięku.
• WSA stwierdził, że monitoring, o ile jest dozwolony, to tylko obrazowy, a nie dźwiękowy.
• Sąd uznał też, że kara 10 000 zł była proporcjonalna i odstraszająca.

Rozstrzygnięcie NSA z marca 2025 r.:

• NSA uchylił wyrok WSA oraz decyzję Prezesa UODO, uznając, że kara została nałożona przedwcześnie.
• Za istotny uznano fakt, że przepisy prawa były niejasne i trudne do interpretacji, co ograniczało pewność prawną administratora danych.
• NSA wskazał, że:
• brak było szkody spowodowanej nieprawidłowym przetwarzaniem,
• Ośrodek wcześniej nie naruszał przepisów RODO,
• nie osiągnięto korzyści z naruszenia,
• nagrania nie były udostępniane osobom trzecim,
• dźwięk nie stanowi danych wrażliwych w rozumieniu RODO.

Podsumowanie:

• Sprawa wykazała problemy z jasnością przepisów dotyczących monitoringu w placówkach takich jak izby wytrzeźwień.
• NSA podkreślił konieczność precyzyjnych i jednoznacznych regulacji prawnych dotyczących rejestracji dźwięku.
• Decyzja NSA oznacza, że Ośrodek nie będzie musiał zapłacić kary, ale sprawa pokazuje, jak skomplikowana interpretacyjnie może być ochrona danych osobowych.

• Kontekst: Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) to publiczna baza danych, która od 2019 roku zawiera informacje o rzeczywistych właścicielach i osobach kontrolujących spółki i inne podmioty. Celem jej stworzenia było przeciwdziałanie praniu pieniędzy i zwiększenie przejrzystości gospodarczej.
• Zmiana podejścia: CRBR przestanie być całkowicie jawny. To efekt wyroku Trybunału Sprawiedliwości UE oraz nowej unijnej dyrektywy AML6 (2024/1640), wprowadzającej ograniczenia w dostępie w celu ochrony prywatności.
• Kluczowe zmiany w dostępie:
• Dostęp bezpośredni zachowają tylko organy publiczne oraz tzw. instytucje obowiązane (np. banki).
• Inne podmioty będą musiały wykazać "uzasadniony interes", składając wniosek elektroniczny o dostęp do danych. Organ CRBR musi odpowiedzieć w ciągu 12 dni.
• „Uzasadniony interes”: Będzie oceniany na podstawie przesłanek obiektywnych. To pojęcie może być nieprecyzyjne i oceniane subiektywnie, co może powodować trudności w uzyskaniu informacji.
• Nowe obowiązki: Instytucje obowiązane mogą ponieść dodatkowe koszty dostosowania swoich procedur, np. automatycznych systemów pobierających dane z CRBR.
• Ułatwienia dla wybranych grup: Dziennikarze, organizacje pozarządowe, pracownicy naukowi czy potencjalni kontrahenci będą uznawani za posiadających domniemany uzasadniony interes, ale również będą musieli składać wnioski.
• Powody ograniczenia jawności:
• Ochrona danych osobowych beneficjentów rzeczywistych.
• CRBR zawiera bardziej szczegółowe dane niż np. KRS – obejmuje obywatelstwo i kraj zamieszkania.
• TSUE uznał, że jawność rejestru była nieproporcjonalna i naruszała prawo do prywatności.
• Krytyka zmian:
• Ograniczenie jawności może utrudnić walkę z praniem pieniędzy i przejrzystość gospodarczą.
• Możliwe wydłużenie procesu uzyskiwania informacji i problemy praktyczne przy ocenie „uzasadnionego interesu”.
• Dotychczasowe automatyczne systemy weryfikacji kontrahentów mogą wymagać przebudowy.
• Potencjał do dalszych reform: Eksperci wskazują, że nowelizacja CRBR to okazja do rozwiązania innych problemów, takich jak:
• Błędy w danych zgłaszanych przez spółki,
• Brak integracji z innymi bazami danych (np. KRS),
• Nieprecyzyjna definicja beneficjenta rzeczywistego, zwłaszcza w złożonych strukturach.

Kontekst: Artykuł dotyczy obowiązków administratorów danych osobowych w zakresie informowania osób, których dane są przetwarzane, o możliwości wniesienia skargi do organu nadzorczego (UODO) oraz wpływu zmiany siedziby UODO na treści klauzul informacyjnych.

• RODO wymaga, aby osoby, których dane są przetwarzane, były informowane o prawie wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d i art. 14 ust. 2 lit. e), ale nie nakłada obowiązku podawania pełnych danych adresowych tego organu.
• Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości również nie wymagają zamieszczania adresu organu nadzorczego w klauzulach informacyjnych.
• Zmiana siedziby Urzędu Ochrony Danych Osobowych (UODO) planowana na lipiec 2024 r. nie powoduje automatycznego obowiązku aktualizacji klauzul informacyjnych u administratorów danych.
• Administratorzy, którzy zamieścili w swoich klauzulach dokładny adres obecnej siedziby UODO (ul. Stawki 2, Warszawa), będą zobowiązani do jego aktualizacji po faktycznej zmianie siedziby.
• Aktualizacja może polegać na:
• usunięciu dokładnego adresu urzędu
• pozostawieniu ogólnej informacji o możliwości wniesienia skargi do organu nadzorczego
• Korespondencja wysyłana na dotychczasowy adres (ul. Stawki 2) będzie do końca 2025 roku przekierowywana na nowy adres UODO (ul. Moniuszki 1A, Warszawa).

Kontekst sprawy: Naczelny Sąd Administracyjny (NSA) wydał wyrok, w którym utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładającą karę 25 tys. zł na Śląski Uniwersytet Medyczny w Katowicach za naruszenie przepisów RODO dotyczących ochrony danych osobowych studentów.

• Śląski Uniwersytet Medyczny udostępnił na swojej platformie nagrania z egzaminów praktycznych, na których widoczne były dane osobowe studentów (wizerunek, głos, dane z dokumentów tożsamości, informacje o kierunku studiów i odpowiedziach egzaminacyjnych).
• Dostęp do nagrań był możliwy bez logowania, a linki do nagrań były szeroko rozpowszechniane wśród studentów.
• Studenci nie zostali poinformowani, że nagrania z ich udziałem będą udostępniane na platformie.
• Prezes UODO stwierdził, że doszło do naruszenia ochrony danych osobowych, niezależnie od tego, czy faktycznie doszło do nieuprawnionego wykorzystania danych – wystarczające było samo ryzyko ich ujawnienia.
• Śląski Uniwersytet Medyczny nie zawiadomił organu nadzorczego ani osób poszkodowanych o naruszeniu, co było obowiązkowe zgodnie z art. 33 i 34 RODO.
• Argumenty Uniwersytetu, dotyczące słabej jakości nagrań i rzekomej niemożliwości odczytania danych, zostały odrzucone przez organy i sądy, m.in. ze względu na istnienie technologii umożliwiających poprawę jakości obrazu.
• Wojewódzki Sąd Administracyjny oraz Naczelny Sąd Administracyjny przyznały rację organowi nadzorczemu, podkreślając, że obowiązki zgłoszenia i zawiadomienia wynikają z samego ryzyka naruszenia, a nie z faktycznego wykorzystania danych.
• NSA wskazał, że Prezes UODO posiada kompetencje specjalistyczne do oceny technicznej sprawy bez konieczności powoływania biegłego.
• Błędna ocena ryzyka przez administratora danych osobowych (w tym przypadku uczelnię) podlega sankcjom administracyjnym.
• Sądy podkreśliły, że administratorzy muszą stosować odpowiednie środki techniczne i organizacyjne już na etapie planowania działań związanych z przetwarzaniem danych osobowych.

Podsumowanie: Sprawa Śląskiego Uniwersytetu Medycznego pokazuje, że niedopełnienie obowiązków w zakresie ochrony danych osobowych, w tym brak zgłoszenia incydentu oraz brak zawiadomienia osób poszkodowanych, skutkuje poważnymi konsekwencjami prawnymi – niezależnie od tego, czy dane zostały faktycznie wykorzystane. Organy ochrony danych i sądy oczekują od administratorów realnej analizy ryzyka oraz wdrażania skutecznych zabezpieczeń już na etapie planowania procesów przetwarzania danych.

Kontekst: Nowelizacja ustawy o działalności leczniczej wprowadziła możliwość stosowania monitoringu wizyjnego w pomieszczeniach, w których udzielane są świadczenia zdrowotne. Nowe przepisy wywołały liczne kontrowersje, dotyczące m.in. prawa pacjentów do prywatności i ochrony danych osobowych. Rzecznik Praw Obywatelskich (RPO) domaga się korekt legislacyjnych w tym zakresie.

• Nowe przepisy pozwalają kierownikom placówek medycznych określać sposób monitorowania pomieszczeń leczniczych, jeśli jest to konieczne dla leczenia lub bezpieczeństwa pacjentów.
• Monitoring może obejmować urządzenia rejestrujące obraz, przy czym należy uwzględnić ochronę intymności, godności i danych osobowych pacjentów.
• Nagrania mogą być przechowywane maksymalnie przez 3 miesiące od dnia rejestracji.
• Wątpliwości RPO:
• Przepisy dają zbyt dużą swobodę kierownikom placówek w decydowaniu o stosowaniu monitoringu.
• Brakuje określenia konkretnych przesłanek konieczności monitorowania.
• Pacjenci nie mają możliwości odmowy leczenia w monitorowanych pomieszczeniach.
• Dostęp do nagrań mają głównie personel techniczny i ochrony, a nie personel medyczny.
• Istnieje ryzyko naruszenia prawa do intymności, prywatności i ochrony danych osobowych oraz przekroczenia granic konstytucyjnych.
• Argumenty Ministerstwa Zdrowia:
• Monitoring zwiększa bezpieczeństwo pacjentów i poprawia jakość świadczeń zdrowotnych.
• Pomaga w szybszej reakcji na sytuacje nagłe, kontroluje prawidłowość przygotowania leków oraz podawania tlenu.
• Zmiany nie są rewolucyjne – monitoring był dopuszczony już wcześniej w określonych sytuacjach.
• Zapewniono, że nowe przepisy muszą być stosowane z poszanowaniem godności i prywatności pacjentów.
• Krytyka i dalsze działania:
• RPO nadal uważa, że przepisy wymagają doprecyzowania i apeluje o zmiany legislacyjne.
• Raport NIK wykazał, że 18% podmiotów leczniczych stosowało monitoring w sposób nieuzasadniony lub nadmierny.
• Prezes UODO oraz Rzecznik Praw Pacjenta również zgłaszali wątpliwości interpretacyjne i potrzebę jasnego określenia zasad monitorowania.

• Kontekst sprawy: Orzeczenie NSA dotyczy interpretacji przepisu prawa bankowego (art. 105a ust. 3), który odnosi się do przetwarzania danych osobowych klientów po zakończeniu zobowiązania względem banku – bez ich zgody – pod warunkiem wcześniejszego poinformowania ich o tym zamiarze.
• Spór: Czy samo wysłanie listu poleconego klientce banku, informującego o zamiarze przetwarzania jej danych osobowych, wystarcza jako dowód "poinformowania", o którym mowa w przepisach prawa bankowego.
• Stanowiska stron:
• Prezes UODO: Wysłanie listu poleconego nie wystarcza, aby uznać że klient został skutecznie poinformowany; brak dowodu doręczenia oznacza, że przetwarzanie jest bezprawne.
• Bank: Wskazywał, że nadał przesyłki listami poleconymi na poprawny adres i brak ich zwrotu dowodzi skutecznego poinformowania klientki.
• WSA w Warszawie: Przyjął, że dowód nadania listu wystarcza, aby uznać obowiązek poinformowania za spełniony, w świetle wykładni literalnej przepisu.
• Rozstrzygnięcie NSA:
• NSA nie zgodził się ze stanowiskiem WSA i banku.
• Podkreślił, że "poinformowanie" oznacza umożliwienie rzeczywistego zapoznania się z informacją, a wysłanie pisma nie jest równoznaczne z jego skutecznym doręczeniem.
• Potwierdzenie nadania listu poleconego nie jest dowodem, że adresat zapoznał się z treścią pisma.
• Ciężar dowodu skutecznego poinformowania ciąży na banku jako administratorze danych.
• Wnioski z orzeczenia:
• Bank musi wykazać, że klient faktycznie miał możliwość zapoznania się z informacją o przetwarzaniu danych osobowych, a nie tylko, że pismo zostało nadane.
• Bez skutecznego poinformowania, przetwarzanie danych osobowych byłego klienta bez jego zgody jest niezgodne z prawem.
• NSA potwierdził, że ochrona danych osobowych jest konstytucyjnie chronionym prawem i wymaga rzeczywistej realizacji obowiązków informacyjnych.

Kontekst: WSA w Warszawie potwierdził prawidłowość decyzji Prezesa UODO z kwietnia 2024 r., nakazującej usunięcie danych osobowych dotyczących zapytania kredytowego, które nie zakończyło się zawarciem umowy, przetwarzanych przez podmiot zajmujący się rejestracją zapytań kredytowych (B.). Wyrok dotyczył skargi osoby fizycznej wobec banku za nieusunięcie jej danych w rejestrze zapytań kredytowych.

• Sprawa dotyczyła: braku usunięcia danych osobowych w rejestrze zapytań kredytowych (B.) po niepodpisaniu umowy kredytowej.
• Stanowisko PUODO: Bank miał obowiązek usunąć dane osobowe z B., ponieważ cel ich przetwarzania – ocena zdolności kredytowej – ustał po braku podpisania umowy.
• Wyrok WSA: Sąd potwierdził, że brak zawarcia umowy kredytowej eliminuje podstawy prawne do dalszego przetwarzania danych osobowych przez B.
• Nie można przetwarzać danych bez podstawy prawnej: Kontynuacja przetwarzania danych przez B. po odmowie kredytu jest nielegalna i nie znajduje podstawy w przepisach prawa bankowego ani RODO.
• Argumentacja banku odrzucona: Sąd uznał, że B. nie może opierać się na art. 70a Prawa bankowego ani innych przepisach, aby uzasadnić dalsze przetwarzanie danych.
• Ochrona danych osobowych: Osoba, której nie przyznano kredytu, nie może być w gorszej sytuacji pod względem ochrony danych osobowych niż osoba, której kredyt został udzielony i zakończył się jego spłatą.

Podsumowanie: Wyrok WSA oraz decyzja Prezesa UODO wzmacniają prawa osób fizycznych w zakresie ochrony danych osobowych w kontekście procedur kredytowych. Banki i powiązane podmioty muszą usuwać dane osobowe osób, które nie zawarły umowy kredytowej, jeśli celem ich przetwarzania była jedynie ocena zdolności kredytowej.

Kontekst sprawy: Prezes Urzędu Ochrony Danych Osobowych (PUODO) wydał w kwietniu 2024 r. decyzję upominającą administratora danych (Spółkę) za naruszenie przepisów RODO. W sprawie chodziło o wykorzystanie przez pracownika Spółki danych osobowych (numer pozwolenia na broń) byłego pracownika w celu prywatnym, tj. w zawiadomieniu o możliwości popełnienia przestępstwa.

• Pracownik Spółki, mający dostęp do danych służbowych, wykorzystał informację o pozwoleniu na broń byłego współpracownika we własnym imieniu, składając zawiadomienie na Policji.
• PUODO uznał, że doszło do naruszenia zasad przetwarzania danych osobowych określonych w art. 5 ust. 1 lit. a i b oraz art. 6 ust. 1 RODO (zasady zgodności z prawem, rzetelności, przejrzystości oraz odpowiednia podstawa przetwarzania danych).
• Spółka argumentowała, że nie doszło do wewnętrznego naruszenia ochrony danych, ponieważ pracownik działał poza zakresem swoich obowiązków służbowych.
• Wojewódzki Sąd Administracyjny (WSA) w Warszawie uchylił decyzję PUODO, wskazując, że:
• PUODO nie wykazał, że pracownik uzyskał dane osobowe w wyniku zaniedbań Spółki.
• Organ nie przeprowadził dogłębnej analizy, w jakich okolicznościach pracodawca ponosi odpowiedzialność za indywidualne działania pracownika.
• Przypisanie odpowiedzialności Spółce nastąpiło w sposób automatyczny i bez wystarczającego uzasadnienia.
• W ocenie WSA decyzja PUODO naruszyła przepisy Kodeksu postępowania administracyjnego, co mogło mieć istotny wpływ na wynik sprawy.

Najważniejsze wnioski:

• W przypadku wykorzystania danych osobowych przez pracownika w celach prywatnych, konieczna jest dokładna analiza odpowiedzialności administratora danych.
• Organ nadzorczy musi jednoznacznie wykazać związki między działaniem pracownika a obowiązkami pracodawcy w zakresie ochrony danych osobowych.
• Sama możliwość dostępu do danych przez pracownika nie przesądza automatycznie o odpowiedzialności pracodawcy za prywatne korzystanie z tych danych.

Kontekst: Meta (właściciel Facebooka i Instagrama) ogłosiła, że od 27 maja 2025 r. zacznie automatycznie wykorzystywać dane użytkowników tych platform do treningu sztucznej inteligencji (AI). Działanie to budzi poważne kontrowersje dotyczące prywatności i ochrony danych osobowych.

• 📅 Termin: Trening AI rozpocznie się 27 maja 2025 r. – po tej dacie dane nie będzie można usunąć z modelu.
• 🧑‍💻 Zakres danych: Wykorzystywane będą nie tylko komentarze i wpisy, ale także zdjęcia użytkowników Facebooka i Instagrama.
• 📣 Możliwość sprzeciwu: Użytkownicy mogą wyrazić sprzeciw najpóźniej do 26 maja 2025 r. poprzez specjalny formularz dostępny na obu platformach.
• 📍 Jak wyrazić sprzeciw?
• Na Instagramie i Facebooku dostępne jest specjalne okno: „Wyraź sprzeciw wobec wykorzystywania informacji o Tobie na platformach Meta”.
• W formularzu należy podać adres e-mail powiązany z kontem.
• ⚖️ Ostrzeżenia urzędów: Holenderski organ ochrony danych (Autoriteit Persoonsgegevens) ostrzega przed brakiem kontroli nad własnymi danymi po ich wykorzystaniu przez AI.
• 🇪🇺 Działania w UE: Europejskie organy ochrony prywatności analizują sprawę i wyrażają zaniepokojenie działaniami Mety.
• 🇵🇱 Brak reakcji UODO: Polski Urząd Ochrony Danych Osobowych (UODO) nie opublikował jeszcze oficjalnego komunikatu w tej sprawie.

Wniosek: Użytkownicy Facebooka i Instagrama, którzy nie chcą, by ich dane były wykorzystywane do szkolenia algorytmów AI przez firmę Meta, muszą zareagować do 26 maja 2025 r., korzystając z dostępnego formularza sprzeciwu. Po tej dacie nie będzie możliwości cofnięcia zgody na przetwarzanie danych.