RODO aktualności – 07.10.2025 r. 

• Kontekst sprawy: Orzeczenie Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie z maja 2025 r. dotyczyło sporu wokół prawa dostępu do danych osobowych oraz definicji danych osobowych w kontekście mailingu marketingowego.
• Stan faktyczny:
  • W grudniu 2023 r. obywatel otrzymał ofertę marketingową drogą e-mailową od nieznanej Spółki.
  • W styczniu 2024 r. zażądał od nadawcy informacji, m.in. o tym jakie jego dane są przetwarzane, w jakim celu, komu je udostępniono oraz kopii jego danych osobowych.
  • Spółka odpowiedziała tylko częściowo, informując m.in. o usunięciu e-maila i źródle pozyskania danych, ale nie dostarczyła pełnych żądanych informacji.
• Działania Prezesa UODO (sierpień 2024 r.):
  • Prezes UODO uznał, że Spółka naruszyła prawo dostępu do danych (art. 15 RODO), zwłaszcza w zakresie informacji o odbiorcach danych, dacie uzyskania zgody, okresie przechowywania danych oraz zautomatyzowanym podejmowaniu decyzji.
  • Wydano upomnienie i nakazano Spółce uzupełnienie informacji wobec wnioskodawcy.
• Stanowisko WSA w Warszawie (maj 2025):
  • WSA uchylił decyzję Prezesa UODO, uznając, że organ nie wykazał dostatecznie, iż Spółka przetwarzała dane osobowe w rozumieniu RODO.
  • W ocenie sądu, sam adres e-mail i numer IP nie muszą być jednoznacznie danymi osobowymi, jeśli nie można ich powiązać bezpośrednio z konkretną osobą fizyczną.
  • Sąd stwierdził, że nie doszło do należytego zbadania stanu faktycznego, a za podstawę kwalifikacji informacji jako danych osobowych nie może służyć wyłącznie subiektywna ocena administratora.
• Znaczenie orzeczenia:
  • Wyrok wpisuje się w szerszą debatę dotyczącą definicji danych osobowych – zwłaszcza w kontekście danych takich jak adres e-mail czy numer IP.
  • Sąd podkreślił konieczność precyzyjnego ustalenia, czy konkretna informacja pozwala na identyfikację osoby fizycznej – co jest warunkiem uznania jej za dane osobowe objęte zakresem RODO.
  • Jednocześnie zaznaczono, że choć niektóre praktyki marketingowe mogą być wątpliwe etycznie, nie każda z nich podlega przepisom RODO bez wykazania przetwarzania danych osobowych.

• Kontekst: Choć małe firmy teoretycznie mają mniej obowiązków w zakresie RODO, w praktyce często nie radzą sobie z ich realizacją, co naraża je na wysokie kary – sięgające nawet 20 mln euro lub 4% rocznego obrotu.
• Brak obowiązku informacyjnego: Wiele firm nie informuje klientów, kontrahentów lub pracowników o zakresie i celu przetwarzania ich danych. Przykłady: Bisnode Polska i agencja marketingowa w Hiszpanii – wysokie kary za brak informacji.
• Niewystarczające zabezpieczenie danych: Udostępnianie danych osobowych online bez odpowiednich zabezpieczeń może prowadzić do dużych kar. Przykład: Dolnośląski Związek Piłki Nożnej i szkoła na Węgrzech.
• Brak zabezpieczeń IT: Zaniedbania w zakresie ochrony technologicznej (brak szyfrowania, aktualizacji) prowadzą do wycieków danych. Przypadki: morele.net (Polska) i Vastaamo (Finlandia).
• Utrudniony dostęp do praw osób fizycznych: Brak możliwości wycofania zgody lub usunięcia danych to częsty błąd. Przykłady: ClickQuickNow i Carrefour France.
• Nieprawidłowości związane z inspektorem danych (DPO): Inspektorzy często są wybierani niezgodnie z przepisami, a polityka ochrony danych traktowana pobieżnie. Przykłady: Toyota Bank Polska i berliński samorząd.
• Brak nadzoru nad podmiotami zewnętrznymi: Przedsiębiorcy ponoszą odpowiedzialność za działania podwykonawców. Przykłady: McDonald’s Polska i Booking.com.
• Opóźnienia w zgłaszaniu naruszeń danych: RODO wymaga zgłoszenia incydentów w ciągu 72 godzin. Częste opóźnienia skutkują sankcjami. Przykłady: instytucja szkoleniowa w Polsce i UniCredit Bank we Włoszech.
• Błędy przy udostępnianiu dokumentów: Przesyłanie danych bez kontroli dostępu (np. publiczne linki, błędne adresy e-mail) to poważne ryzyko. Przykłady: urząd w Polsce i firma z Irlandii.

Najczęstsze błędy popełniane przez firmy:

• Niewypełnianie obowiązku informacyjnego
• Udostępnianie danych bez odpowiedniego zabezpieczenia
• Utrudnianie realizacji praw osób, których dane dotyczą
• Brak niezależnego i kompetentnego DPO
• Brak nadzoru nad podwykonawcami
• Nieprawidłowości w zgłaszaniu naruszeń
• Brak kontroli nad dostępem do dokumentów

Rekomendacje dla przedsiębiorców:

• Informować wyraźnie o przetwarzaniu danych osobowych
• Stosować zabezpieczenia IT, szyfrowanie i kontrolę dostępu
• Umożliwiać łatwe wycofanie zgody i usuwanie danych
• Powołać niezależnego i kompetentnego Inspektora Ochrony Danych
• Podpisywać umowy z podwykonawcami zgodne z RODO i nadzorować ich działania
• Przygotować plan działania i zgłaszać naruszenia w ciągu 72 godzin
• Stosować bezpieczne metody przesyłania i udostępniania dokumentów

• Kontekst: Artykuł dotyczy naruszenia przepisów RODO przez spółkę medyczną, wynikającego z nieprawidłowego powołania Inspektora Ochrony Danych (IOD).
• Przez niemal sześć lat prezes zarządu spółki pełnił równocześnie funkcję IOD, co jest sprzeczne z wymaganiami RODO dotyczącymi niezależności tego stanowiska.
• Sprawę ujawniono po zgłoszeniu incydentu w 2023 r., gdy pacjent otrzymał dokumentację należącą do innej osoby.
• Prezes Urzędu Ochrony Danych Osobowych (PUODO), Mirosław Wróblewski, wszczął postępowanie administracyjne i nałożył na spółkę karę w wysokości 11 365 zł.
• PUODO stwierdził, że pełnienie funkcji IOD przez prezesa spółki powoduje konflikt interesów, co uniemożliwia bezstronne i niezależne wykonywanie obowiązków wynikających z przepisów o ochronie danych osobowych.
• Spółka argumentowała, że w jej przypadku nie dochodzi do konfliktu interesów, ponieważ ochrona danych i dokumentacji medycznej należy do jej podstawowych zadań.
• PUODO odrzucił tę argumentację, wskazując, że obowiązki IOD wymagają niezależności od kadry zarządzającej – inspektor powinien informować kierownictwo o nieprawidłowościach, także tych trudnych lub kosztownych do naprawy.
• RODO dopuszcza łączenie funkcji IOD z innymi zadaniami tylko wtedy, gdy nie prowadzą one do konfliktu interesów – w tym przypadku warunek ten nie został spełniony.
• Prezes spółki, jako osoba kierująca i odpowiedzialna za decyzje operacyjne, nie może być jednocześnie odpowiedzialny za niezależny nadzór nad przetwarzaniem danych osobowych.

• Kontekst: 19 czerwca 2025 r. francuski organ ochrony danych osobowych (CNIL) wydał dwa poradniki dotyczące zgodnego z RODO wykorzystywania danych w projektach sztucznej inteligencji.
• Pierwszy poradnik dotyczy stosowania podstawy prawnej uzasadnionego interesu przy tworzeniu systemów AI.
• Drugi poradnik dotyczy legalnego stosowania web scrapingu danych publicznych (czyli automatycznego zbierania danych z otwartych źródeł internetowych).

Najważniejsze wytyczne CNIL:

• Web scraping musi być prowadzony zgodnie z zasadami minimalizacji danych (zbierać tylko dane niezbędne), przejrzystości oraz z uwzględnieniem ograniczeń technicznych.
• Nawet jeśli dane są publicznie dostępne, nie należy automatycznie zbierać informacji, które mogą pozwalać na identyfikację osoby.
• Zalecenia te uzupełniają wcześniejsze wytyczne dotyczące dostosowania zasad RODO do specyfiki AI, w tym sytuacji, gdy modele mogą „zapamiętywać” dane osobowe.

Co to oznacza dla firm:

• Firmy rozwijające lub korzystające z AI, która uczy się na danych z internetu, muszą zdecydowanie ostrożniej podchodzić do korzystania z danych publicznych.
• Legalność pozyskiwania danych musi być wykazana i udokumentowana – samo ich „dostępność online” nie wystarcza.

Rekomendowane działania praktyczne:

• Przeanalizuj projekty AI – sprawdź, które wykorzystują dane z web scrapingu i oceń legalność ich pozyskiwania.
• Uaktualnij dokumentację RODO – opisz procesy web scrapingu, w tym sposoby filtrowania danych i uwzględnienie praw osób, których dane dotyczą.
• Wprowadź ocenę ryzyka (DPIA) – dokumentuj ryzyka związane z wykorzystaniem danych osobowych i decyzje o ich anonimizacji czy ograniczeniu.

• Kontekst: Sprawa dotyczy istotnego orzeczenia Naczelnego Sądu Administracyjnego (NSA), który oddalił skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie nałożenia ponad 1,1 mln zł kary na Cyfrowy Polsat za rzekome uchybienia w zakresie bezpieczeństwa danych osobowych.
• Początek sprawy: W czerwcu 2020 r. Cyfrowy Polsat zgłosił do UODO naruszenia ochrony danych osobowych klientów, związane z błędami firm kurierskich (utraty dokumentów lub doręczenia ich nieuprawnionym osobom).
• Decyzja organu (kwiecień 2021 r.): Prezes UODO uznał, że Cyfrowy Polsat nie wdrożył odpowiednich środków technicznych i organizacyjnych zgodnie z RODO i nałożył karę w wysokości 1 136 975 zł.
• Argumentacja UODO: Spółka opierała się na niewystarczających analizach ryzyka – m.in. na wydrukach z internetowego kalkulatora – które nie stanowiły rzetelnej oceny zdarzenia.
• Wyrok WSA w Warszawie (listopad 2021 r.): Sąd uchylił decyzję UODO, wskazując m.in. na brak jednoznacznego ustalenia, czy firma kurierska była „podmiotem przetwarzającym” czy „administratorem” danych – co ma istotne znaczenie dla zakresu odpowiedzialności spółki.
• Ocena WSA: Prezes UODO nie przeprowadził pełnego postępowania dowodowego i nie wyjaśnił, dlaczego to właśnie Cyfrowy Polsat powinien ponosić odpowiedzialność za naruszenia.
• Wyrok NSA (wrzesień 2023): NSA przychylił się do stanowiska WSA, podkreślając, że w decyzji brakowało uzasadnienia, dlaczego Spółka ma zostać uznana za administratora danych w zakresie zdarzeń oraz wskazał na naruszenia wielu przepisów Kodeksu postępowania administracyjnego (m.in. art. 107 § 3 k.p.a.).
• Kluczowy wniosek: Nałożenie kary administracyjnej wymaga precyzyjnego i wyczerpującego uzasadnienia oraz wykazania wszystkich przesłanek odpowiedzialności – co w tej sprawie nie miało miejsca.
• Skutek: Sprawa po ponad pięciu latach od zgłoszenia wraca do punktu wyjścia; decyzja UODO została prawomocnie uchylona, a organ będzie musiał ponownie przeanalizować okoliczności sprawy.

• Kontekst: Artykuł dotyczy wyzwań, jakie napotykają pracodawcy użytkownicy współpracujący z agencjami pracy tymczasowej, którzy chcą zweryfikować kompetencje i legalność zatrudnienia pracowników, nie naruszając przepisów RODO.
• Stanowisko UODO: Prezes Urzędu Ochrony Danych Osobowych przypomina, że to agencja pracy tymczasowej, a nie pracodawca użytkownik, jest formalnym pracodawcą i to na niej spoczywają główne obowiązki związane z zatrudnieniem.
• Zakres udostępniania danych: Pracodawca użytkownik nie ma prawa żądać tak szczegółowych danych o pracowniku tymczasowym, jakby sam go zatrudniał. Udostępnianie danych musi wynikać z konkretnych przepisów branżowych, a nie ogólnych przesłanek jak „uzasadniony interes”.
• Krytyka powoływania się na „uzasadniony interes”: UODO zdecydowanie odradza wykorzystywanie tej przesłanki jako sposobu na ominięcie ściśle określonych przepisów prawa, podkreślając wytyczne Europejskiej Rady Ochrony Danych (EROD).
• Ryzyka przy kopiowaniu dokumentów: Kopiowanie dokumentów tożsamości oznacza z reguły pozyskanie zbyt szerokiego zakresu danych, co narusza zasadę minimalizacji danych RODO. Legalność takiego działania wymaga konkretnej podstawy ustawowej.
• Wyjątki możliwe w przypadku cudzoziemców: W przypadku pracowników z zagranicy, agencja pracy tymczasowej ma obowiązek udostępnić pracodawcy użytkownikowi kopię zezwolenia na pracę – regulują to przepisy ustawy branżowej.
• Obowiązek przestrzegania zasad RODO: Każdy administrator danych, w tym pracodawca użytkownik, musi być w stanie wykazać legalność przetwarzania danych, kierując się zasadą legalizmu i przepisami branżowymi.
• Dalsze działania UODO: Urząd zapowiedział uwzględnienie tematu w nadchodzącej aktualizacji oficjalnego poradnika dla pracodawców.