RODO aktualności – 09.09.2025 r. 

Sprawa dotyczyła przekazania danych osobowych akcjonariuszy i wierzycieli Banco Popular Español SA przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) firmie Deloitte w ramach postępowania dotyczącego prawa do bycia wysłuchanym po przymusowej restrukturyzacji banku. Europejski Inspektor Ochrony Danych (EIOD) stwierdził naruszenie przepisów o ochronie danych osobowych przez SRB.

• Trybunał Sprawiedliwości UE uznał, że dane przekazane przez SRB firmie Deloitte były danymi osobowymi.
• Informacje te, choć były spseudonimizowane (czyli opatrzone anonimowym kodem), mogły być przypisane konkretnym osobom, ponieważ SRB posiadała informacje pozwalające na ich identyfikację.
• Trybunał podkreślił, że dane zawierające osobiste opinie (jak w tym przypadku uwagi akcjonariuszy) dotyczą danej osoby, nawet jeśli nie zawierają bezpośrednich danych identyfikujących.
• EIOD miał prawo uznać, że SRB dopuściła się naruszenia prawa, nie informując na etapie zbierania danych, że dane zostaną przekazane spółce Deloitte.
• Wyrok Sądu UE z kwietnia 2023 r., uchylający decyzję EIOD, został unieważniony – Trybunał Sprawiedliwości uznał, że Sąd błędnie interpretował, czym są dane osobowe i jakie informacje należy udzielić osobie, której dane są pozyskiwane.
• Trybunał zaznaczył, że pseudonimizacja nie wyklucza możliwości identyfikacji osoby i nie pozbawia danych ich „osobowego” charakteru.
• Sprawa trafi ponownie do Sądu UE w celu rozpoznania pozostałych zarzutów nieobjętych decyzją Trybunału.

Najważniejsze wnioski:

• Dane pseudonimizowane mogą nadal być uznane za dane osobowe, jeżeli istnieje możliwość ich przypisania konkretnej osobie.
• Administrator (SRB) ma obowiązek poinformować osoby, których dane są zbierane, o wszystkich potencjalnych odbiorcach danych, nawet jeśli odbiorca nie potrafi na własną rękę zidentyfikować osoby.
• Obowiązek informacyjny powstaje już w momencie zbierania danych, a nie dopiero w momencie ich dalszego przekazania.
• Przekazanie danych osobowych bez ujawnienia tego odbiorcy (tu: Deloitte) stanowi naruszenie Rozporządzenia 2018/1725 dotyczącego ochrony danych osobowych w instytucjach UE.

Kolejne kroki:
Sprawa będzie ponownie rozpatrywana przez Sąd UE w celu ustalenia, czy SRB dopuściła się innych naruszeń przepisów o ochronie danych poza zakwestionowaną już kwestią przekazania danych bez wystarczającej informacji.

Artykuł opisuje niepokojące zjawisko działalności tzw. "szon patroli" – grup młodych chłopców, często nieletnich, którzy w imię obrony domniemanych norm moralnych, publicznie zawstydzają kobiety i nastolatki oraz publikują ich zdjęcia wraz z obraźliwymi komentarzami w mediach społecznościowych.

• Zjawisko "szon patroli" polega na zaczepianiu kobiet w przestrzeni publicznej, fotografowaniu ich bez zgody i publikowaniu ich zdjęć i profili społecznościowych w internecie – często z obraźliwymi komentarzami.
• Uczestnikami tych akcji są głównie bardzo młodzi chłopcy działający w grupach o nazwach typu „szon.patrol_[miejscowość]”.
• Zjawisko ma swoje korzenie w tzw. „manosferze” — środowisku internetowym szerzącym mizoginistyczne treści, które trafiają także do bardzo młodych użytkowników.
• Działania "szon patroli" mogą prowadzić do poważnych konsekwencji psychicznych dla ofiar, jak np. przypadki depresji czy prób samobójczych.
• Rzeczniczka Praw Dziecka – Monika Horna-Cieślak – zaapelowała do platform Meta i TikTok o monitorowanie i reagowanie na tego typu treści oraz zgłosiła sprawę do organizacji Dyżurnet.pl.
• Rzeczniczka podkreśliła, że ochrona dzieci i młodzieży w środowisku cyfrowym jest priorytetem i zasugerowała możliwość zmiany prawa, by skuteczniej walczyć z przemocą w sieci.
• Obecnie w polskim prawie nie istnieje osobne przestępstwo „hejtu internetowego”, ale niektóre działania "szon patroli" mogą podlegać pod już istniejące przepisy – jak zniesławienie, nękanie, czy groźby.
• Mecenas Andrzej Zorski zaznacza, że młodzież może być pociągnięta do odpowiedzialności w ramach przepisów o demoralizacji, a w skrajnych przypadkach trafić nawet do zakładu poprawczego.
• Sądy rodzinne mają możliwość podejmowania środków wychowawczych wobec nieletnich uczestników, np. skierowania pod opiekę kuratora lub zaleceń terapii.

Wniosek: Zjawisko „szon patroli” to poważny problem społeczny, wymagający interwencji instytucji publicznych, zmian legislacyjnych oraz zaangażowania rodziców i specjalistów w celu ochrony młodzieży – zarówno ofiar, jak i sprawców – przed szkodliwymi skutkami przemocy internetowej.

• Prezes Urzędu Ochrony Danych Osobowych (UODO) opublikował sprawozdanie z działalności za rok 2024, które zgodnie z przepisami musi zostać przedstawione organom państwowym. Dokument podsumowuje działania w zakresie ochrony danych osobowych w Polsce.
• Rozpatrywanie skarg: W 2024 r. do UODO wpłynęło 8056 skarg (wzrost z 6962 w 2023 r.), głównie z sektora prywatnego. Skargi dotyczyły m.in. udostępniania danych w BIP, błędnego wysyłania e-maili, nagrań z monitoringu, danych wykorzystywanych do windykacji i celów marketingowych, a także przetwarzania danych o stanie zdrowia czy informacji biometrycznych.
• Naruszenia ochrony danych: UODO otrzymał 14 842 zgłoszenia naruszeń (lekki wzrost względem 2023 r.). Najczęstsze przypadki to: błędne adresowanie korespondencji, nieuprawniony dostęp do danych, kradzież nośników, błędna anonimizacja informacji.
• Działania nadzorcze: W 2024 r. wydano 1719 decyzji administracyjnych, w tym 22 dotyczące nałożenia kar. Przeprowadzono także 7 decyzji związanych z kontrolami.
• Opiniowanie aktów prawnych: Prezes UODO wydał 779 opinii do projektów aktów legislacyjnych, m.in. dotyczących Strategii Cyfryzacji Polski do 2035 r. oraz przepisów związanych ze sztuczną inteligencją i systemem EES dla obywateli państw trzecich.
• Współpraca i zapytania: UODO otrzymał 2214 zapytań prawnych, głównie od administratorów danych i inspektorów ochrony danych (IOD). Dotyczyły one m.in. danych biometrycznych, monitoringu, danych medycznych i procedur uwierzytelniania.
• Wystąpienia systemowe: Prezes UODO wystosował 11 wystąpień do różnych ministerstw w sprawie zmian przepisów, m.in. dotyczących doręczeń elektronicznych, dostępu KAS do danych osobowych i ochrony małoletnich.
• Działalność edukacyjna: UODO organizował wydarzenia edukacyjne, wydał poradniki, uczestniczył w festiwalach i kampaniach społecznych. Prowadzone były też seminaria z zakresu danych w technologiach i AI oraz zajęcia dla szkół.
• Aktywność medialna: W 2024 r. opublikowano 228 komunikatów, udzielono 164 odpowiedzi mediom, a w mediach pojawiło się 22 797 informacji o Prezesie UODO. Rozszerzono aktywność na platformie LinkedIn.
• Współpraca międzynarodowa: UODO uczestniczył w pracach Europejskiej Rady Ochrony Danych oraz innych międzynarodowych forach i inicjatywach nadzorczych dotyczących dużych systemów informatycznych.
• Problemy systemowe: UODO wskazuje na powtarzający się problem pomijania organu w procesie legislacyjnym oraz brak analizy skutków przepisów dla prywatności obywateli. Podkreśla potrzebę przeglądu przepisów krajowych pod kątem zgodności z RODO i dyrektywą policyjną.
• Znaczenie sprawozdania: Prezes UODO podkreśla, że dokument stanowi kompleksowe źródło wiedzy o stanie ochrony danych osobowych i jest niezbędny dla administracji, firm oraz obywateli. Wzrost liczby skarg interpretowany jest jako przejaw rosnącej świadomości społecznej i zaufania do instytucji.

• W Polsce planowane jest wdrożenie nowego systemu teleinformatycznego do obsługi e-umów, który umożliwi elektroniczne zawieranie umów związanych z zatrudnieniem (m.in. umowy o pracę, zlecenia, o świadczenie usług).
• Start systemu: Uruchomienie pierwszej wersji systemu planowane jest na styczeń 2026 roku. Dalszy rozwój funkcjonalności ma następować w kolejnych latach.
• Cel i działanie systemu: System ma integrować dane z wielu rejestrów państwowych (np. KRS, CEIDG), umożliwiać zawieranie umów online i automatycznie przekazywać dane do odpowiednich instytucji.
• Zakres danych: W systemie będą przetwarzane szerokie zakresy danych osobowych, w tym dane wrażliwe, takie jak informacje o zwolnieniach lekarskich i pobieraniu świadczeń z ZUS.
• Zastrzeżenia do projektu: Ministerstwo Cyfryzacji zgłasza poważne wątpliwości dotyczące zgodności systemu z RODO. Krytykuje nieprecyzyjność ustawy o systemie teleinformatycznym do obsługi niektórych umów i zbyt szeroki katalog danych, które mają być gromadzone.
• Obawy o prywatność: Istnieją obawy, że system może prowadzić do nadmiernego monitorowania obywateli ze względu na koncentrację wrażliwych danych w jednym miejscu.

• Artykuł opisuje rosnące zagrożenie tzw. „cyber-kompromatem” – nowoczesną formą szantażu z użyciem kompromitujących treści i fałszywych tożsamości, wykorzystywaną przez obce służby specjalne do zdobywania informacji.
• Nowa rzeczywistość: Francuski kontrwywiad cywilny (DGSI) odnotowuje gwałtowny wzrost przypadków, w których wykorzystuje się media społecznościowe (np. Facebook, LinkedIn, Tinder) do cyberoperacji opartych na socjotechnice i manipulacji.
• Mechanizm ataku: Operacje zazwyczaj rozpoczynają się od niewinnego kontaktu lub oferty zawodowej. Następnie przejmowane są wrażliwe informacje – często pod pretekstem płatnych zleceń, spotkań online czy „badań rynkowych”.
• Narzędzia zagrożenia: Wykorzystywane są m.in. deepfake’i, zautomatyzowane farmy botów, fałszywe profile rekruterów i naukowców, a także metody wywierania presji psychicznej i emocjonalnej.
• Francuska reakcja:
  • DRSD: Kontrwywiad wojskowy opisuje przenikanie obcych wpływów do sektora obronnego i technologicznego, wskazując media społecznościowe jako główny wektor zagrożenia.
  • DGSI: Prowadzi program „Flash ingérence” – comiesięczne biuletyny ostrzegające uczelnie, laboratoria i firmy, zawierające praktyczne wskazówki ochrony przed atakami socjotechnicznymi.
• Wytyczne bezpieczeństwa: ANSSI (francuska agencja ds. cyberbezpieczeństwa) zaleca m.in. ograniczony sprzęt do podróży, szyfrowanie, minimalizację informacji publikowanych w sieci oraz higienę cyfrową (MFA, rotacja haseł, osobne konta do pracy i życia prywatnego).
• Sytuacja międzynarodowa: Podobne ostrzeżenia i działania są podejmowane w innych krajach:
  • Niemcy: Federalny Urząd Ochrony Konstytucji (BfV) i Bundeswehra ostrzegają przed rekrutacją przez chińskie służby, szczególnie na LinkedIn i Xingu, oraz regulują obecność personelu wojskowego w mediach społecznościowych.
  • Wielka Brytania: Kampania MI5 „Think Before You Link” edukuje pracowników sektora publicznego i prywatnego, jak rozpoznawać fałszywe profile oraz separować środowiska zawodowe i prywatne.

• Artykuł dotyczy niedozwolonego ujawnienia danych osobowych prywatnej osoby w kampanii prezydenckiej w Polsce, przez komitety wyborcze kandydatów: Rafała Trzaskowskiego i Karola Nawrockiego.
• Upomnienia Prezesa UODO: Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski udzielił oficjalnych upomnień obu komitetom wyborczym za naruszenie RODO poprzez ujawnienie danych osoby prywatnej.
• Sprawa Komitetu Rafała Trzaskowskiego:
  • Na profilu Rafała Trzaskowskiego opublikowano post z ujawnionym nazwiskiem osoby prywatnej (pana Jerzego) wraz ze zdjęciem niezanonimizowanego pisma.
  • Dane miały zostać usunięte przed publikacją, ale ze względu na "błąd i pośpiech" tego nie zrobiono.
  • Po interwencji dane usunięto w maju 2025 r.
  • UODO stwierdził naruszenie art. 5 ust. 1 lit. a oraz art. 6 ust. 1 RODO (niezgodne z prawem przetwarzanie danych osoby niebędącej osobą publiczną).
• Sprawa Komitetu Karola Nawrockiego:
  • Na kanale „Nawrocki2025” opublikowano film ujawniający nie tylko dane pana Jerzego, ale także szczegóły jego życia prywatnego, zdrowotnego, rodzinnego i prawnego.
  • Komitet powołał się na prawo prasowe oraz konieczność obrony dobrego imienia kandydata, jednak UODO odrzucił te argumenty.
  • UODO wskazał, że prawo prasowe nie dotyczy komitetów wyborczych działających w mediach społecznościowych i materiały te nie mogą być traktowane jako prasowe.
  • Film do momentu decyzji UODO nadal był publicznie dostępny.
  • UODO stwierdził naruszenie art. 5 ust. 1 lit. a i art. 6 ust. 1 RODO (brak podstawy prawnej dla publikacji danych prywatnych).
• Szersza reakcja UODO:
  • Z powodu rosnącej liczby przypadków naruszeń prywatności, UODO zapowiada szkolenia z ochrony danych osobowych.
  • Szkolenia skierowane są do pracowników Krajowego Biura Wyborczego, jednostek terenowych oraz biur poselskich i senatorskich – w sumie przeszkolonych ma zostać 1300 osób.
• Edukacja i prewencja: UODO opracował poradnik „Ochrona danych osobowych w kampanii wyborczej”, który ma pomóc osobom zaangażowanym w kampanie i wyborców zrozumieć zasady legalnego przetwarzania danych osobowych.

• Rosja wprowadza nowe środki kontroli dla migrantów zarobkowych z krajów byłego ZSRR, obejmujące obowiązkową rejestrację i inwigilację za pomocą aplikacji mobilnej oraz potencjalne pobieranie próbek DNA.
• Od września 2025 r. obywatele Uzbekistanu, Tadżykistanu, Kirgistanu, Armenii, Kazachstanu, Gruzji, Azerbejdżanu, Mołdawii i Ukrainy, przyjeżdżający do pracy w Rosji, będą musieli zainstalować aplikację Amina.
• Aplikacja Amina umożliwia rosyjskim władzom stałe śledzenie lokalizacji migrantów poprzez przekazywanie danych geolokalizacyjnych do urzędu migracyjnego.
• Brak aktualizacji lokalizacji przez więcej niż 3 dni może skutkować usunięciem migranta z rejestru, co wiąże się z poważnymi ograniczeniami:
  • zakaz zawarcia małżeństwa,
  • niemożność zapisania dziecka do szkoły,
  • zablokowanie dostępu do usług bankowych,
  • zakaz zakupu pojazdu,
  • możliwość deportacji.
• Aplikacja Amina jest obecnie w fazie testowania i dostępna jest w sklepie RuStore, ale użytkownicy zgłaszają liczne problemy techniczne, m.in.:
  • brak możliwości aktualizacji,
  • problemy z potwierdzeniem numeru telefonu i przesyłaniem zdjęć oraz geolokalizacji,
  • brak odpowiedzi z urzędów na przesłane wnioski,
  • brak dostępności dla użytkowników iPhone’a.
• Rosyjskie władze planują dalsze zaostrzenie kontroli nad migrantami poprzez wprowadzenie obowiązku przekazywania próbek DNA przy rejestracji w Centrum Migracyjnym.
• Choć obecnie próbki DNA mają być przekazywane dobrowolnie, trwają prace legislacyjne nad ustawą wprowadzającą taki obowiązek.
• W związku z planami Kremla Departament Technologii Informacyjnych Moskwy zawarł kontrakt wart 1,3 mld rubli na modernizację systemów umożliwiających rejestrację i przesyłanie danych DNA cudzoziemców do Ministerstwa Spraw Wewnętrznych.

• Artykuł dotyczy decyzji TSUE (General Court) w sprawie zgodności nowego systemu transferu danych osobowych między Unią Europejską a Stanami Zjednoczonymi z przepisami UE w zakresie ochrony danych osobowych.
• Sąd oddalił skargę Philippe'a Latombe'a, który domagał się unieważnienia decyzji Komisji Europejskiej z 10 lipca 2023 r. ustanawiającej nowy transatlantycki mechanizm transferu danych.
• Nowa decyzja Komisji opiera się na wprowadzonych przez USA zmianach prawnych, w tym Executive Order 14086 i nowym regulacjom Departamentu Sprawiedliwości USA, które zapewniają dodatkowe gwarancje w zakresie prywatności.
• W przeszłości Trybunał Sprawiedliwości UE unieważnił dwa wcześniejsze porozumienia dotyczące transferu danych do USA („Safe Harbour” i „Privacy Shield”) z powodu braku wystarczającej ochrony praw podstawowych (sprawy Schrems I i II).
• W ocenie Trybunału, nowy organ odwoławczy w USA – Data Protection Review Court (DPRC) – spełnia wymogi niezależności i bezstronności, a jego członkowie podlegają odpowiednim zabezpieczeniom prawnym.
• Trybunał uznał, że amerykańskie przepisy przewidują wystarczający nadzór sądowy (ex post) nad działaniami służb wywiadowczych, również w przypadku masowego zbierania danych.
• Sąd potwierdził, że obecne ramy prawne w USA zapewniają poziom ochrony danych osobowych porównywalny z poziomem obowiązującym w UE.
• W efekcie Trybunał uznał, że nie doszło do naruszenia prawa UE i oddalił skargę w całości.
• Decyzja Komisji pozostaje w mocy, lecz Komisja ma obowiązek monitorowania zmian w systemie prawnym USA i może ją zawiesić lub zmienić, jeśli warunki przestaną gwarantować odpowiedni poziom ochrony.