RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 07.04.2026 r. 

  RODO aktualności

3500 zł zniżki na czesne, w zamian… twarz Twojego dziecka w sieci. Kontrowersyjny pomysł szkoły » Decyzja UODO dot. domu opieki – kara symboliczna, ale wnioski dalekosiężne » 3 kwietnia wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) » Sejm RP przyjął poprawki Senatu RP do ustawy o zarządzaniu danymi » Konferencja nt. Europejskiej przestrzeni danych dot. zdrowia (EHDS) – relacja

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

3500 zł zniżki na czesne, w zamian... twarz Twojego dziecka w sieci. Kontrowersyjny pomysł szkoły

  • Kontekst: Artykuł porusza pytanie, czy prywatność dziecka może mieć konkretną „cenę” w szkolnym cenniku. Jedna z niepublicznych szkół podstawowych miała oferować 3 500 zł rocznej zniżki rodzicom, którzy zgodzą się na publikację wizerunku ucznia.
  • Sprawę nagłośnił serwis niebezpiecznik.pl, publikując na Facebooku fragment cennika szkoły na rok 2025/26.
  • Z dokumentu wynika, że standardowe czesne ma wynosić 35 000 zł rocznie, a po zgodzie na publikację wizerunku dziecka obowiązywać ma 10% rabatu, czyli czesne spada do 31 500 zł.
  • Taki model budzi wątpliwości, czy zgoda rodzica jest rzeczywiście dobrowolna (w rozumieniu RODO), skoro wiąże się z istotną korzyścią finansową. W praktyce może to sugerować, że za większą prywatność trzeba „dopłacić”.
  • Stanowisko MEN: Ministerstwo Edukacji Narodowej podkreśla, że publikowanie wizerunku dzieci w internecie niesie realne ryzyka, m.in. wtórne wykorzystanie zdjęć/materiałów przez osoby trzecie oraz narażenie uczniów na cyberprzemoc.
  • MEN przypomina, że wizerunek jest chroniony przepisami (m.in. RODO i prawo autorskie), ale kluczowe są praktyki szkoły: odpowiedzialność dyrektorów oraz to, by zgoda rodzica była świadoma i bez presji.
  • Postulat Kids Alert: Organizacja domaga się całkowitego zakazu publikowania wizerunku dzieci przez szkoły w otwartych kanałach informacyjnych (np. publiczne profile w mediach społecznościowych).
  • Kids Alert wskazuje na narastające nadużycia: dzieci mają być wykorzystywane do marketingu placówek w sposób mogący naruszać ich godność i bezpieczeństwo.
  • Według przedstawicieli organizacji zdarzają się szczególnie niebezpieczne sytuacje, np. publikowanie zdjęć z zajęć dotyczących higieny intymnej czy sesji stylizowanych na dorosłe, bez anonimizacji twarzy.
  • Organizacja ostrzega także przed presją na rodziców: brak zgody na publikację zdjęć bywa wykorzystywany jako argument do wykluczania dziecka z części aktywności grupowych, co może mieć charakter dyskryminacyjny.
  • Wniosek z artykułu: bezpieczeństwo i prawo dziecka do intymności nie powinny być przedmiotem „transakcji” ani narzędziem marketingowym, szczególnie w instytucjach, które mają zapewniać dzieciom wysoki poziom ochrony.
  • Dalsze działania: MEN zapowiada kroki ograniczające ryzykowne praktyki — podczas najbliższej narady z kuratorami minister ma polecić przypomnienie szkołom i przedszkolom zasad bezpiecznego zarządzania wizerunkiem uczniów.
Źródło

Decyzja UODO dot. domu opieki – kara symboliczna, ale wnioski dalekosiężne

  • Kontekst: Artykuł omawia decyzję Prezesa UODO (DKN.5112.13.2023), w której nałożono niewielką karę administracyjną 975 zł. Mimo niskiej kwoty, rozstrzygnięcie jest ważne, bo pokazuje, że same dokumenty RODO nie wystarczą, jeśli nie są realnie dopasowane do działania organizacji i faktycznie stosowane.
  • Kluczowy sygnał od UODO: organ zwrócił uwagę na brak rzeczywistego powiązania procedur i polityk z faktyczną działalnością placówki (dokumentacja istniała, ale nie odzwierciedlała praktyki).
  • „RODO z Internetu” nie działa: korzystanie z gotowych wzorów lub dokumentacji „na papierze”, która nie uwzględnia specyfiki branży i nie została wdrożona w organizacji, jest podejściem nieprawidłowym.
  • Analiza ryzyka to nie formalność: musi opierać się na konkretnych scenariuszach zagrożeń, a nie na ogólnych hasłach; należy uwzględnić m.in. procesy przetwarzania, aktywa, realne zagrożenia oraz istniejące zabezpieczenia.
  • Szkolenia pracowników: powinny być regularne i obejmować wszystkich zatrudnionych, aby zasady ochrony danych były rozumiane i stosowane w codziennej pracy.
  • Obowiązki informacyjne: informacje przekazywane osobom, których dane są przetwarzane, muszą być precyzyjne i jasno wyjaśniać m.in. w jakich sytuacjach można skorzystać z przysługujących praw.
  • Upoważnienia do przetwarzania danych: powinny odzwierciedlać faktyczny zakres zadań danego pracownika (kto, do jakich danych i w jakim celu ma dostęp).
  • Najważniejszy wniosek: dokumentacja ochrony danych musi być „szyta na miarę” — dopasowana do skali organizacji oraz rodzaju i zakresu przetwarzanych danych, a następnie realnie wdrożona i stosowana.
Źródło

3 kwietnia wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC)

  • Kontekst (NIS2 i nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa): Dyrektywa NIS2 to unijne przepisy mające podnieść poziom cyberbezpieczeństwa w Europie. Polska wdraża je poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (u.k.s.c.), która w praktyce nałoży nowe obowiązki na dużą liczbę firm i instytucji.
  • Najważniejsze daty i przebieg prac:
    • NIS2 została przyjęta 14 grudnia 2022, a weszła w życie 16 stycznia 2023.
    • Termin wdrożenia NIS2 do prawa krajowego w UE upłynął 17 października 2024, ale większość państw (w tym Polska) nie zdążyła.
    • Projekt polskiej nowelizacji długo utknął na etapie rządowym; ostatecznie trafił do Sejmu dopiero 7 listopada 2025.
    • Parlament zakończył prace 28 stycznia 2026; Prezydent podpisał ustawę 19 lutego 2026; publikacja w Dzienniku Ustaw: 2 marca 2026.
  • Dlaczego to ważne:
    • Nowe przepisy mają dostosować prawo do współczesnych zagrożeń cybernetycznych, które rosną z roku na rok.
    • Szacuje się, że ustawa obejmie około 10 000 podmiotów, w tym wiele, które mogą nie być świadome, że nowe obowiązki ich dotyczą.
  • Co dalej z nową ustawą (u.k.s.c.) i jej wejściem w życie:
    • Prezydent skierował ustawę do Trybunału Konstytucyjnego w zakresie zgodności z Konstytucją przepisów o administracyjnych karach pieniężnych.
    • Kontrola jest w trybie następczym, więc ustawa i tak zacznie obowiązywać zgodnie ze standardowym vacatio legis: 3 kwietnia 2026.
  • Kluczowe obowiązki i terminy dla podmiotów objętych regulacją:
    • Do 2 października 2026  samoidentyfikacja i złożenie wniosku o wpis do centralnego rejestru prowadzonego przez ministra cyfryzacji.
    • Do 2 kwietnia 2027 – wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie.
    • Do 3 kwietnia 2028 – termin na pierwszy obowiązkowy audyt (dla podmiotów kluczowych).
    • Od 3 kwietnia 2028 – start faktycznego nakładania kar za nieprzestrzeganie przepisów.
  • Samoidentyfikacja jako pierwszy praktyczny problem:
    • Podmioty „ważne” i „kluczowe” muszą same ocenić, czy podlegają nowym przepisom, a następnie zgłosić się do rejestru.
    • Ocena może być trudna, bo wymaga uwzględnienia wielu czynników (np. charakteru działalności i sektora).
  • Konsekwencje braku rejestracji:
    • Niedopełnienie obowiązku samoidentyfikacji i wpisu do rejestru może skutkować administracyjną karą pieniężną.
    • Dla podmiotów „ważnych” kara może wynieść do 7 mln euro lub do 1,4% rocznego obrotu.
  • Wniosek z badań (ryzyko nieświadomości): Według badań EY Polska i CSO Council oraz Trend Micro, 25% podmiotów w Polsce objętych nowymi przepisami nie ma świadomości, że NIS2 będzie ich dotyczyć.
Źródło

Sejm RP przyjął poprawki Senatu RP do ustawy o zarządzaniu danymi

  • Kontekst: 27.03.2026 r. Sejm RP uchwalił ustawę o zarządzaniu danymi (po rozpatrzeniu poprawek Senatu). Jej celem jest pełne wdrożenie unijnego Aktu w sprawie zarządzania danymi (Data Governance Act – DGA), który ma uporządkować i ułatwić bezpieczne udostępnianie oraz wykorzystywanie danych w UE.
  • Wejście w życie: ustawa zacznie obowiązywać 3 miesiące od ogłoszenia (po podpisaniu przez Prezydenta RP).
  • Nowe kompetencje Prezesa UODO: ustawa przyznaje Prezesowi UODO rolę:
    • organu właściwego ds. pośrednictwa danych (nadzór nad podmiotami pośredniczącymi w udostępnianiu danych),
    • organu rejestrującego organizacje altruizmu danych (podmioty zbierające/udostępniające dane w interesie publicznym),
    • organu z kompetencjami dotyczącymi przekazywania danych nieosobowych do państw trzecich.
  • Co wprowadza DGA (najważniejsze mechanizmy):
    • Zasady ponownego wykorzystywania „danych chronionych” będących w posiadaniu sektora publicznego (np. danych objętych ochroną praw osób trzecich).
    • Ramy prawne dla usług pośrednictwa danych – tak, aby zwiększyć zaufanie między podmiotami udostępniającymi dane a podmiotami z nich korzystającymi.
    • Wsparcie dla „altruizmu danych”, czyli udostępniania danych w interesie publicznym.
    • Powołanie Europejskiej Rady ds. Innowacji w zakresie Danych, która ma pomagać w spójnym stosowaniu przepisów oraz wymianie dobrych praktyk między państwami UE.
  • Materiały dodatkowe (UODO): zapowiedziano/udostępniono dalsze informacje m.in. w formie:
    • webinarium UODO o nowych zadaniach Prezesa UODO w obszarze zarządzania danymi,
    • konferencji naukowej „DGA – Innowacyjne zarządzanie danymi”,
    • Biuletynu UODO nr 1 i 2 (styczeń i luty 2026 r.).
Źródło

Konferencja nt. Europejskiej przestrzeni danych dot. zdrowia (EHDS) – relacja

  • Kontekst: 24–25 marca odbyła się konferencja on-line „Europejska przestrzeń danych dotyczących zdrowia – wtórne przetwarzanie danych osobowych oraz prawa osób fizycznych”, zorganizowana przez Urząd Ochrony Danych Osobowych (UODO) we współpracy z WPiA Uniwersytetu Warszawskiego oraz Instytutem Nauk Prawnych PAN. Prawnicy, socjologowie, medycy i eksperci innych dziedzin dyskutowali o szansach rozporządzenia EHDS (Europejskiej Przestrzeni Danych Dotyczących Zdrowia) dla ochrony zdrowia, ale też o obawach społecznych związanych z dużymi systemami danych.
  • Czym jest EHDS w praktyce: ma stworzyć ramy wspólnego europejskiego obiegu danych o zdrowiu (w tym danych biomedycznych), w tym umożliwić tzw. wtórne wykorzystanie danych (np. do badań, analiz, polityk zdrowotnych), przy jednoczesnym zapewnieniu praw osób i bezpieczeństwa.
  • Wniosek przekrojowy z obu dni: o sukcesie EHDS zdecydują nie tyle „ilości” i możliwości przetwarzania ogromnych zbiorów danych, ile zaufanie społeczne, transparentne zasady oraz wysokie standardy bezpieczeństwa i jakości danych.
  • Dzień 1 (24 marca, po angielsku): filozofia projektu i „altruizm danych”
    • Wystąpienia otwierające podkreślały przełomowy charakter EHDS dla wspólnej europejskiej wymiany i wykorzystania danych o zdrowiu.
    • Prof. Barbara Prainsack (Uniwersytet Wiedeński) wskazała, że Europejczycy nie są ani jednoznacznie „za”, ani „przeciw” dzieleniu się danymi o zdrowiu — kluczowe jest to, jak jasno wyjaśni się cele i sposób przetwarzania.
    • Badania sugerują, że osoby, których dane dotyczą, bardziej ufają lekarzom niż firmom prywatnym czy innym organizacjom w kwestii powierzania danych medycznych.
    • Podkreślono problem niskiej świadomości: wiele osób nie rozróżnia danych osobowych od nieosobowych i nie rozumie, po co i jak dane są wykorzystywane, co utrudnia akceptację dużych systemów takich jak EHDS.
    • Zwrócono uwagę na ryzyko traktowania danych jak „waluty” lub dobra materialnego — tymczasem dane pochodzą z codziennego życia ludzi i powinny być rozumiane w szerszym kontekście społecznym.
    • Omówiono trzy cele/filarów EHDS w obszarze altruizmu danych:
      • Wspieranie rozwoju społecznego (lepsza jakość życia i zdrowia dzięki danym).
      • Ograniczanie stronniczości w interpretacji danych (traktowanie danych jako faktów w badaniach i statystyce).
      • Budowanie zaufania do instytucji i nauki (przekonanie, że działania służą dobru wspólnemu).
    • Przedstawiono narzędzie PLUTO – dodatkowy mechanizm oceny, czy EHDS rzeczywiście realizuje „misję publiczną” i czy korzyści z altruizmu danych są rozłożone sprawiedliwie między grupami społecznymi.
    • W Panelu I mocno wybrzmiało napięcie między:
      • ideą „altruizmu danych” oraz domyślnymi mechanizmami przetwarzania,
      • a autonomią i rozumieniem zgody w duchu RODO.
      Postawiono pytanie, czy „pełna kontrola zgody” (RODO) jest skuteczniejsza niż zabezpieczenia systemowe projektowane w EHDS.
    • W Panelu II dyskutowano m.in.:
      • czy podstawą ma być zgoda, czy raczej mechanizm opt-out (prawo do sprzeciwu/wyłączenia),
      • różnice między pierwotnym a wtórnym wykorzystaniem danych,
      • ryzyka zabezpieczeń w planowanych rozwiązaniach.
    • W Panelu III omawiano relacje EHDS z innymi regulacjami UE (m.in. AI Act, Digital Services Act i inne) oraz ryzyko problemów wynikających z nakładających się definicji i wymogów (np. przy wykorzystaniu AI).
    • W Panelu IV skupiono się na wdrożeniu: organach dostępu do danych, bezpiecznych środowiskach przetwarzania, interoperacyjności i jakości danych. Pojawiło się też pytanie, jak redystrybuować korzyści z przetwarzania danych tak, by służyły dobru wspólnemu.
  • Dzień 2 (25 marca, po polsku): prawa, obowiązki i wdrożenie w Polsce
    • Prezes UODO Mirosław Wróblewski zaznaczył, że pełne wdrożenie EHDS wymaga jeszcze zmian regulacyjnych i dalszych dyskusji; jednocześnie wskazano, że w administracji (m.in. Ministerstwo Zdrowia) powstaje przestrzeń współpracy dająca perspektywę powodzenia.
    • Ministerstwo Cyfryzacji (Katarzyna Bis-Płaza) wskazało na:
      • modernizację rejestrów danych biomedycznych i zdrowotnych,
      • upowszechnienie Elektronicznej Dokumentacji Medycznej i jej integrację transgraniczną jako element kluczowy,
      • uwzględnienie EHDS w Strategii Cyfryzacji Państwa,
      • potrzebę zasad dostępu do danych oraz standardów anonimizacji i pseudonimizacji, a także promowania „dawstwa danych” wśród pacjentów.
    • Ministerstwo Zdrowia (Łukasz Sosnowski) podkreśliło pilną potrzebę wyznaczenia trzech organów wymaganych przez EHDS:
      • organu ds. e-Zdrowia,
      • organu nadzoru rynku danych,
      • organu ds. dostępu do danych.
      Zwrócono też uwagę na duże znaczenie aktów wykonawczych Komisji Europejskiej.
    • Perspektywa lekarska (Łukasz Jankowski, NRL): rośnie społeczna świadomość, że dane medyczne są wykorzystywane także przez systemy (w tym AI), co budzi niepokój. Dużym problemem jest też mylenie pierwotnego i wtórnego wykorzystania danych — potrzebna jest edukacja.
    • Rzecznik Praw Pacjenta (Milena Szuchnik-Kamińska) również akcentował konieczność podnoszenia świadomości pacjentów i społeczeństwa.
    • UODO (Monika Krasińska) wskazała:
      • na konieczność spójnej współpracy organów („mówienia jednym głosem”) dla budowania zaufania,
      • że EHDS przypomina o standardach znanych z RODO (m.in. prawo do skargi, zasada minimalizacji danych),
      • na problem polskich rejestrów medycznych działających bez wyraźnej podstawy ustawowej — co wymaga zmian legislacyjnych dla bezpieczeństwa danych.
    • Cyberbezpieczeństwo i AI:
      • EHDS odwołuje się ogólnie do cyberbezpieczeństwa, ale w praktyce podlega też innym regulacjom (np. NIS2, Akt o cyberodporności).
      • Podkreślono, że bez finansowania szkoleń i edukacji personelu medycznego trudno zapewnić realne bezpieczeństwo.
      • Wskazano problemy: niska jakość danych, brak interoperacyjności, małe zróżnicowanie danych; jednocześnie technologia AI jest gotowa, ale brakuje odpowiednio przygotowanych danych.
      • Zauważono też złożoność regulacyjną i brak ujednoliconych standardów anonimizacji/pseudonimizacji; EHDS ma ułatwić wykorzystanie danych medycznych do trenowania AI.
    • Odpowiedzialność i kontrola:
      • Podkreślano trudne do pogodzenia interesy: prywatność jednostki vs. interes publiczny (znaczenie zbiorów danych zdrowotnych).
      • Dr hab. Arwid Mednis akcentował, że wyzwaniem będzie przejrzysty i precyzyjny język regulacji, a prawa z RODO (dostęp, sprostowanie, ograniczenie) pozostają narzędziami kontroli nad funkcjonowaniem EHDS.
      • Prof. Grzegorz Sibiga wskazał, że EHDS mocno stawia na obowiązki administracyjne oraz system organów kontrolnych na poziomie krajowym i międzynarodowym; istotne jest też prawo do skargi.
    • Wątki końcowe: omawiano m.in. regulacje badań biomedycznych w Polsce, wykonalność prawa do odmowy/wyłączenia wtórnego przetwarzania (opt-out), ujednolicenie upoważnień dostępu do danych oraz szczególne znaczenie danych transplantacyjnych dla przyszłych pokoleń.
    • Zwrócono uwagę, że termin konferencji nie był przypadkowy — zbiega się z początkiem częściowego obowiązywania EHDS w 2025 r.; planowane są kolejne edycje (24 marca w następnych latach), aby oceniać postęp wdrożenia.
  • Najważniejsze wnioski „dla nie-ekspertów”:
    • EHDS to duży projekt UE, który ma umożliwić lepsze wykorzystanie danych o zdrowiu (także wtórnie, np. do badań), ale musi to się odbywać z poszanowaniem prywatności i praw pacjentów.
    • Kluczowe bariery to: zaufanie, zrozumienie celu przetwarzania, bezpieczeństwo, jakość danych i spójne zasady między instytucjami.
    • W Polsce przed wdrożeniem stoją konkretne zadania organizacyjne i prawne (m.in. wyznaczenie organów, doprecyzowanie rejestrów, standardy anonimizacji/pseudonimizacji, interoperacyjność systemów).
    • Rozwój AI w ochronie zdrowia będzie ograniczony, jeśli nie poprawi się jakości i spójności danych oraz nie zapewni realnego cyberbezpieczeństwa (w tym szkoleń dla personelu).
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry