RODO aktualności – 07.01.2026 r. 

• Kontekst sprawy: Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie odpowiedzialności operatorów internetowych platform ogłoszeniowych za publikowane na nich ogłoszenia zawierające dane osobowe – w szczególności tzw. dane wrażliwe (dotyczące m.in. zdrowia, seksualności, przekonań).
• Kluczowy wyrok TSUE: W sprawie C-492/23 przeciwko rumuńskiemu serwisowi Russmedia Digital, TSUE orzekł, że operator platformy internetowej ponosi odpowiedzialność jako administrator danych za treść ogłoszeń publikowanych przez użytkowników.
• Obowiązki operatorów stron internetowych:
  • Przed publikacją należy zidentyfikować ogłoszenia zawierające dane wrażliwe.
  • Operator musi zweryfikować, czy ogłoszenie dotyczy osoby publikującej ogłoszenie, lub czy posiada ona zgodę osoby, której dane są ujawniane.
  • Brak takiej weryfikacji uniemożliwia legalną publikację ogłoszenia.
• Wyrok chroni osoby przed bezprawnym ujawnianiem danych: Orzeczenie ma zapobiegać przypadkom wykorzystania bez zgody danych osobowych, co miało miejsce w analizowanej sprawie, gdzie anonimowo opublikowano nieprawdziwe i krzywdzące informacje o kobiecie.
• TSUE: operator nie jest tylko „hostem” treści: Platformy internetowe nie mogą uchylać się od odpowiedzialności, tłumacząc się techniczną rolą. Umożliwiają one konkretne sposoby publikacji i tym samym współkształtują jej charakter.
• Obowiązek weryfikacji tożsamości reklamodawców: Reklamodawca nie może działać anonimowo – operator musi pozyskać jego dane i sprawdzić, czy osoba ta jest właścicielem ujawnianych danych.
• Zapobieganie powielaniu danych: Operatorzy muszą również chronić dane przed dalszym rozpowszechnianiem – np. skopiowaniem ogłoszenia na inne serwisy bez zgody.
• Skutki dla mediów społecznościowych: Wyrok zobowiązuje także platformy społecznościowe (np. Facebook, Instagram) do aktywnej kontroli nad treściami zawierającymi dane osobowe, w tym w przypadkach tzw. "celeb bait", czyli wykorzystywania danych znanych osób do tworzenia fałszywych reklam.
• Ochrona użytkowników: Dzięki wymogom weryfikacyjnym można lepiej chronić użytkowników przed oszustwami finansowymi, phishingiem i innymi formami nadużyć, do których często dochodzi przy użyciu fałszywych ogłoszeń.

Kontekst sprawy:

• W postępowaniu cywilnym rozpatrywanym przez polski Sąd Okręgowy pojawiła się wątpliwość co do zgodności przepisów krajowych z prawem Unii Europejskiej dotyczącym ochrony prywatności i danych osobowych w łączności elektronicznej.
• Sąd skierował pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej (TSUE), pytając, czy polskie przepisy są zgodne z Dyrektywą 2002/58/WE oraz Kartą Praw Podstawowych UE.

Najważniejsze ustalenia i wnioski:

• Polskie prawo nakłada na przedsiębiorców telekomunikacyjnych obowiązek zatrzymywania i przechowywania danych dotyczących połączeń i lokalizacji użytkowników przez 12 miesięcy, niezależnie od tego, czy dane te dotyczą konkretnych podejrzanych lub przestępstw.
• Dane te muszą być udostępniane uprawnionym podmiotom, sądom i prokuraturze oraz odpowiednio chronione przez operatorów.
• Sąd zwrócił uwagę, że unijne przepisy dopuszczają ograniczenie praw do prywatności i ochrony danych jedynie w ściśle określonych przypadkach (np. bezpieczeństwo narodowe) i zgodnie z zasadą proporcjonalności.
• Trybunał UE w wyroku z 20 września 2022 r. (C-793/19) uznał, że ogólne, prewencyjne i niezróżnicowane przechowywanie danych o połączeniach i lokalizacji jest niezgodne z prawem UE.
• Sąd Okręgowy uznał więc, że polskie przepisy, które wprowadzają obowiązki przechowywania danych w sposób generalny i bez konkretnych ograniczeń, naruszają prawa podstawowe gwarantowane przez UE – w tym prawo do prywatności, ochrony danych osobowych i wolności wypowiedzi.
• Zgodnie z art. 52 ust. 1 Karty Praw Podstawowych UE, ograniczenia praw muszą być konieczne i proporcjonalne, a polskie przepisy tego wymogu nie spełniają.

Wniosek końcowy:

• Sąd wskazał, że w świetle unijnego prawa, krajowy przepis wprowadzający powszechny i prewencyjny obowiązek gromadzenia oraz przechowywania danych telekomunikacyjnych powinien zostać pominięty w konkretnej sprawie.
• Oczekuje się, że Trybunał Sprawiedliwości UE potwierdzi ten pogląd, co może skutkować koniecznością zmiany polskich przepisów lub ich ograniczenia.

• Kontekst: Artykuł dotyczy zasad udostępniania przez pracodawcę danych pracowników organizacjom związkowym na potrzeby przeprowadzenia referendum strajkowego.
• Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski potwierdził, że obecne przepisy pozwalają pracodawcy na przekazywanie związkowi zawodowemu danych pracowników, jeśli jest to niezbędne do zorganizowania referendum strajkowego.
• Podstawą prawną są przepisy:
  • art. 20 ustawy o rozwiązywaniu sporów zbiorowych (Dz.U. z 2020 r. poz. 123),
  • art. 28 ustawy o związkach zawodowych (Dz.U. z 2025 r. poz. 440).
• Referendum strajkowe może być ważne jedynie, jeśli weźmie w nim udział co najmniej 50% pracowników, a większość głosujących opowie się za strajkiem.
• Organizacja związkowa musi mieć możliwość zweryfikowania, że głosują jedynie osoby uprawnione – w tym celu niezbędna jest lista pracowników.
• Udostępnienie danych obejmujących imię, nazwisko i służbowe dane kontaktowe jest uznane za mieszczące się w granicach prawa i nie naruszające prywatności.
• Legalność przetwarzania danych opiera się na art. 6 ust. 1 lit. c) RODO – obowiązek wynikający z przepisów prawa.
• Pracodawca jako administrator danych musi ocenić, czy wniosek organizacji związkowej jest zasadny i udostępnić wyłącznie dane niezbędne do realizacji celu – zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO).

• Kontekst: Artykuł dotyczy wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 18 grudnia 2025 r. w sprawie obowiązków informacyjnych wynikających z RODO w przypadku używania kamer nasobnych (body cam) przez kontrolerów biletów w transporcie publicznym.
• Sprawa dotyczy szwedzkiego operatora transportu publicznego SL, który został ukarany przez krajowego regulatora (DPA) za brak realizacji obowiązków informacyjnych przy stosowaniu kamer nagrywających wideo i dźwięk.
• Kluczowe pytanie dotyczyło tego, czy w tej sytuacji zastosowanie ma artykuł 13 RODO (gdy dane są zbierane bezpośrednio od osoby), czy artykuł 14 RODO (gdy dane pochodzą z innych źródeł).
• TSUE jednoznacznie orzekł, że zastosowanie ma artykuł 13 RODO. Nawet jeśli osoby są nagrywane bez ich aktywnego udziału, dane te są nadal zbierane bezpośrednio od nich.
• Trybunał odrzucił argumenty, że pasywne zbieranie danych lub brak świadomości osoby nagrywanej uzasadniałby zastosowanie artykułu 14, ostrzegając przed ryzykiem braku przejrzystości i nadużyć w nadzorze.
• Sąd podkreślił, że celem RODO jest zapewnienie transparentności i prawa do bycia informowanym już w chwili rozpoczęcia przetwarzania danych, co uzasadnia konieczność natychmiastowego informowania osób.
• Obowiązki z artykułu 13 mogą być realizowane przy pomocy metody warstwowej: podstawowe informacje mogą być przekazywane za pomocą oznaczeń widocznych przy kamerze, a szczegółowe informacje dostępne przez inne środki (np. online).
• Wyrok ten wyjaśnia i doprecyzowuje praktyczne zasady stosowania RODO w kontekście technologii nadzoru, podkreślając znaczenie praw jednostki i odpowiedzialności administratorów danych.

Kontekst: Ochrona prywatności danych osobowych stała się jednym z kluczowych wyzwań współczesnego społeczeństwa cyfrowego. Po ponad pięciu latach od wprowadzenia RODO, Unia Europejska wciąż pozostaje liderem regulacji w tym zakresie.

• Rosnąca świadomość Polaków: 58% badanych Polaków uważa, że po wprowadzeniu RODO mają większą kontrolę nad swoimi danymi osobowymi.
• Wzrost obaw o bezpieczeństwo danych: 62% Polaków deklaruje, że dziś bardziej niż 5 lat temu martwią się o bezpieczeństwo swoich danych osobowych – to wyższy odsetek niż średnia w Europie (59%).
• Obawy związane z rozwojem technologii: Nowe technologie, takie jak sztuczna inteligencja i algorytmy analizujące zachowania w sieci, generują niepokój u 59% polskich respondentów.
• Deepfake i asystenci głosowi: Treści typu deepfake budzą niepokój u 76% Polaków, a 71% czuje dyskomfort w związku z funkcjonowaniem asystentów głosowych.
• Zaufanie do instytucji: Banki, policja i sądy są postrzegane jako najbardziej godne zaufania w kwestii zarządzania danymi. Instytucje państwowe cieszą się zaufaniem jedynie 13% respondentów.
• Nowe wyzwania dla prywatności: 80% badanych obawia się ryzyka dyskryminacji i nadużyć danych osobowych przez systemy AI.
• Powściągliwość wobec chatbotów: Ponad połowa Polaków wykazuje ostrożność przy wprowadzaniu danych do narzędzi takich jak ChatGPT.
• Zapotrzebowanie na efektywne regulacje: Rosnące znaczenie danych osobowych i rozwój technologii podkreślają konieczność skutecznego egzekwowania prawa i zapewnienia użytkownikom realnej ochrony.
• Rola UE: Unia Europejska pozostaje wzorem dla globalnych regulacji związanych z ochroną danych, jednak wyzwania związane z AI wymagają aktualizacji i rozwoju istniejących ram prawnych.

Wnioski: Społeczeństwo coraz bardziej dostrzega zarówno znaczenie ochrony danych osobowych, jak i realne zagrożenia płynące z nowych technologii. Potrzebne są dalsze działania legislacyjne, edukacyjne i technologiczne, by odpowiedzieć na wyzwania ery cyfrowej i zadbać o bezpieczeństwo obywateli.

• Kontekst: Od 1 stycznia 2026 r. zacznie obowiązywać nowelizacja ustawy o świadczeniach opieki zdrowotnej, wprowadzająca Centralną e-Rejestrację – ogólnopolski system do umawiania wizyt lekarskich i badań online, przygotowany przez Ministerstwo Zdrowia.
• Stopniowe wdrażanie systemu:
  • Od 1 stycznia 2026 r. placówki medyczne będą mogły dobrowolnie włączać się do systemu.
  • Od 1 lipca 2026 r. rejestracja w systemie będzie obowiązkowa dla wizyt kardiologicznych oraz badań profilaktycznych (cytologia i mammografia).
  • Od 12 sierpnia 2026 r. system obejmie kolejne specjalizacje: choroby zakaźne, endokrynologię, hepatologię, immunologię, mukowiscydozę, nefrologię, neonatologię i pulmonologię.
  • Pełne uruchomienie Centralnej e-Rejestracji planowane jest na 2029 r.
• Funkcje systemu:
  • Możliwość zapisów na wizyty i badania przez Internetowe Konto Pacjenta (IKP), aplikację mojeIKP lub bezpośrednio w placówce (również telefonicznie).
  • Dostęp do informacji o wolnych terminach w jednym miejscu i jednakowy dla wszystkich.
  • Łatwe odwoływanie lub zmiana terminu wizyty.
  • Możliwość zapisania się do "wirtualnej poczekalni" w przypadku braku wolnych terminów.
  • System przypomnień o nadchodzących wizytach i zachęt do rezygnacji w razie rezygnacji.
• Asystent głosowy (voicebot):
  • Ma być dostępny od 1 lipca 2026 r.
  • Będzie przypominał o wizycie, umożliwiał jej potwierdzenie, przełożenie lub anulowanie.
  • Rozmowy będą nagrywane i przechowywane maksymalnie przez 3 lata.
  • Początkowo projekt zakładał możliwość przetwarzania danych biometrycznych (głos), jednak po uwagach Urzędu Ochrony Danych Osobowych (UODO) zrezygnowano z tej funkcji – głos nie będzie służył do identyfikacji osoby.
  • Wprowadzono też mechanizmy pozwalające na kontakt z człowiekiem w przypadku błędnego działania voicebota.
• Sankcje za brak integracji z systemem:
  • Pierwotnie planowano zachęty finansowe dla placówek szybko wdrażających system, ale z nich zrezygnowano.
  • Od 1 lipca 2026 r. placówki, które nie zintegrują się z systemem i nie udostępnią terminów, nie otrzymają środków za zrealizowane świadczenia objęte obowiązkiem rejestracji przez Centralną e-Rejestrację.

• Kontekst: Artykuł dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO), który nałożył karę na Powiatowego Inspektora Sanitarnego w Policach za naruszenie przepisów RODO – unijnego rozporządzenia regulującego ochronę danych osobowych.
• W 2023 roku pracownik Sanepidu w Policach zgubił prywatny pendrive, na którym znajdowały się dane osobowe 4200 osób, w tym dotyczące stanu zdrowia (np. informacje o chorych na COVID-19) oraz dane z 300 postępowań administracyjnych.
• Nośnik danych był niezabezpieczony – niezaszyfrowany i niechroniony hasłem, co stanowiło poważne naruszenie zasad bezpieczeństwa określonych w RODO.
• Prezes UODO wszczął postępowanie administracyjne, w wyniku którego wykazano liczne nieprawidłowości u administratora danych, w tym:
• brak prawidłowej analizy ryzyka przetwarzania danych,
• brak odpowiednich regulacji dotyczących użycia zewnętrznych nośników danych,
• zlekceważenie ryzyka związanego z możliwością używania pendrive’ów przez pracowników.
• Administrator, mimo że zakazał użycia nośników zewnętrznych, nie wprowadził technicznych lub organizacyjnych zabezpieczeń, by zapobiec ich rzeczywistemu użyciu.
• Dopiero po zgłoszeniu incydentu do UODO wprowadzono skuteczniejsze środki bezpieczeństwa, m.in. zablokowano kopiowanie danych na prywatne nośniki poprzez zablokowanie portów USB.
• Prezes UODO stwierdził naruszenie dwóch kluczowych zasad RODO:
  • zasady integralności i poufności (art. 5 ust. 1 lit. f RODO),
  • zasady rozliczalności (art. 5 ust. 2 RODO).
• Stwierdzono, że administrator nie działał umyślnie, ale dopuścił się rażącego niedbalstwa – co było istotną okolicznością obciążającą w postępowaniu.
• Organ nadzorczy zdecydował o nałożeniu administracyjnej kary finansowej w wysokości 20 tysięcy złotych.
• W wyniku sprawy:
  • wdrożono skuteczniejsze zabezpieczenia danych w Sanepidzie w Policach,
  • podkreślono znaczenie prawidłowej, szczegółowej analizy ryzyka jako podstawy skutecznej ochrony danych osobowych.
• UODO przypomniał, że zgodnie z RODO, administrator danych musi samodzielnie dobrać i wdrożyć adekwatne do ryzyka środki ochrony danych osobowych, uwzględniając specyfikę organizacji i sposoby przetwarzania danych.