RODO aktualności – 09.12.2025 r. 

• Kontekst sprawy: W 2018 roku obywatel złożył do Prezesa UODO skargę, że bank przetwarza jego dane osobowe niezgodnie z przepisami i odmówił mu wydania kopii danych, domagając się uprzedniej aktualizacji adresu korespondencyjnego.
• Działania banku: Bank odmówił wysłania kopii danych na adres e-mail wskazany we wniosku uznając, że dla bezpieczeństwa musi użyć adresu znajdującego się w systemie banku, ewentualnie zmienionego przez klienta.
• Decyzja Prezesa UODO (2021): Organ nakazał Bankowi udostępnienie kopii danych osobowych drogą elektroniczną na adres email wskazany przez wnioskodawcę.
• Wyrok WSA w Warszawie (2022): Sąd uchylił decyzję UODO, wskazując na konieczność uwzględnienia przez organ przepisów prawa bankowego, Rekomendacji KNF oraz obowiązku ochrony tajemnicy bankowej.
• Ocena WSA: Bank działał prawidłowo, ponieważ wymagał weryfikacji tożsamości przed udostępnieniem danych i realizował wewnętrzne procedury bezpieczeństwa.
• Uchwała NSA (2023): Naczelny Sąd Administracyjny uchylił wyrok WSA i wskazał, że:
• Skoro Bank odpowiedział na część wniosku (na podstawie art. 15 ust. 1 lit. a–d RODO), to nie miał rzeczywistych wątpliwości co do tożsamości wnioskodawcy.
• Brak przesłania kopii danych wynikał z przyjętej polityki banku, nie z braku identyfikacji klienta.
• Tym samym Bank nie zastosował zasad art. 12 ust. 6 RODO, który umożliwia dodatkową weryfikację przy wątpliwościach co do tożsamości.
• Odmowę przesłania kopii danych drogą elektroniczną (zgodnie z art. 15 ust. 3 RODO) uzasadniano względami bezpieczeństwa, co nie miało podstawy prawnej w tym przypadku.
• Wnioski NSA:
• Działania banku pozostają w sprzeczności z art. 15 ust. 3 RODO, który przewiduje prawo osoby do otrzymania kopii danych osobowych w powszechnie używanej formie elektronicznej.
• Sąd pierwszej instancji błędnie ocenił materiał dowodowy, zakładając, że bank miał uzasadnione wątpliwości co do tożsamości wnioskodawcy.
• Konsekwencje: Sprawa zostaje skierowana do ponownego rozpatrzenia przez WSA. Bank powinien w przyszłości odpowiednio stosować przepisy RODO oraz w sposób jednoznaczny uzasadniać wszelkie działania związane z odmową udzielenia informacji na wniosek osoby fizycznej.

• Kontekst sprawy: Rumuński organ ochrony danych (ANSPDCP) zakończył postępowanie wobec spółki z sektora energetycznego w październiku 2025 r., po zgłoszeniu incydentu naruszenia ochrony danych osobowych.
• Incydent dotyczył nieautoryzowanego przejęcia kont klientów – osoba trzecia uzyskała dostęp do adresów e-mail i haseł użytkowników, co stwarzało ryzyko dalszych szkód, w tym finansowych.
• Ustalenia organu:
  • Administrator danych nie wdrożył środków ochrony odpowiednich do poziomu ryzyka.
  • Zabezpieczenia nie zapobiegły nieuprawnionemu dostępowi do kont – ochrona transmisji danych i ich przechowywania była niewystarczająca.
  • Ryzyko nieuprawnionego wykorzystania danych było realne.
• Podstawa prawna naruszenia:
  • Sółka naruszyła obowiązki wynikające z art. 32 ust. 1 lit. b i ust. 2 RODO – brak adekwatnych środków technicznych i organizacyjnych.
  • Zaniedbano aktualizację środków bezpieczeństwa mimo rosnącego poziomu ryzyka.
• Sankcje:
  • Na spółkę nałożono karę administracyjną w wysokości 126 tys. RON (ok. 25 tys. euro).
  • Naruszenie uznano za systemowe – spółka nie zareagowała odpowiednio do swojej skali działalności.
  • Firma była już wcześniej karana, jednak tamta sprawa dotyczyła nadużycia pozycji dominującej. Tym razem sankcje dotyczyły naruszenia ochrony danych osobowych.
• Zalecenia organu:
  • Wdrożenie obowiązkowego uwierzytelniania wieloskładnikowego (multi-factor authentication) dla wszystkich użytkowników.
  • Poprawa zabezpieczeń transmisji i przechowywania danych.
  • Wprowadzenie procedur reagowania na incydenty oraz cyklicznego przeglądu zabezpieczeń.
• Wnioski końcowe:
  • Nawet duże organizacje mogą stracić czujność, jeśli nie dostosowują zabezpieczeń do zmieniającego się ryzyka.
  • Kluczowe jest nie tylko spełniane formalności, ale realna gotowość do zapobiegania i reagowania na incydenty.

• Kontekst: Trybunał Sprawiedliwości UE wydał wyrok w sprawie C-492/23 dotyczącej odpowiedzialności operatorów internetowych portali ogłoszeniowych za przetwarzanie danych osobowych zgodnie z RODO.
• Kluczowy wniosek: Operator internetowego portalu ogłoszeniowego, publikuje ogłoszenia zawierające dane osobowe użytkowników, ponosi odpowiedzialność jako administrator danych w rozumieniu RODO.
• Operator musi przed publikacją ogłoszeń:
  • Identyfikować ogłoszenia zawierające dane wrażliwe (np. dane zdrowotne, seksualne).
  • Zweryfikować, czy ogłoszeniodawca jest osobą, której dane dotyczą, lub czy posiada wyraźną zgodę tej osoby na ich publikację.
• Jeśli tych warunków nie spełniono, operator musi odmówić publikacji ogłoszenia, chyba że zachodzą inne wyjątki dopuszczone przez RODO.
• Operator jest także zobowiązany do stosowania środków zapobiegających kopiowaniu i rozpowszechnianiu takich ogłoszeń na innych stronach internetowych.
• Trybunał orzekł, że operator nie może uchylić się od tej odpowiedzialności powołując się na dyrektywę 2000/31/WE o świadczeniu usług drogą elektroniczną.
• Sprawa dotyczyła portalu publi24.ro, na którym zamieszczono ogłoszenie zawierające zdjęcia i numer telefonu kobiety bez jej zgody w kontekście rzekomego świadczenia usług seksualnych.
• Mimo szybkiego usunięcia ogłoszenia przez operatora, zostało ono skopiowane i opublikowane na innych stronach, co doprowadziło do postępowania sądowego.
• Wyrok Trybunału wyjaśnia, że portale internetowe udostępniające ogłoszenia odpowiadają za ich treść w zakresie przetwarzania danych osobowych – niezależnie od tego, że treści dostarczają użytkownicy.

• Kontekst: Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do ministra cyfryzacji z wnioskiem o przegląd rejestrów publicznych ze względu na konieczność dostosowania ich do unijnych przepisów dotyczących ochrony danych i rozwoju technologii (sztuczna inteligencja, dane, usługi cyfrowe).
• Ministerstwo Cyfryzacji (MC) odpowiedziało, że minister cyfryzacji nie ma uprawnień do audytowania rejestrów prowadzonych przez innych ministrów – każdy minister odpowiada za swoje rejestry jako administrator danych.
• Rejestry podlegające Ministerstwu Cyfryzacji (PESEL, Rejestr Dowodów Osobistych, CEPiK) działają zgodnie z obowiązującym prawem i mają zapewniony odpowiedni poziom bezpieczeństwa.
• Dostęp do danych z tych rejestrów jest kontrolowany, dostęp mają jedynie uprawnione podmioty, a działania użytkowników są rejestrowane – co zapewnia przejrzystość i możliwość kontroli.
• Ministerstwo zapewniło, że w swoich rejestrach nie stosuje profilowania obywateli ani zautomatyzowanego podejmowania decyzji.
• Resort cyfryzacji monitoruje projekty nowych przepisów, analizuje je pod kątem zgodności z RODO oraz uczestniczy w procesie legislacyjnym na każdym jego etapie.
• Prezes UODO uważa, że rejestry publiczne są kluczowe dla bezpieczeństwa państwa i powinny być przeglądane m.in. pod kątem podstaw prawnych, zakresu gromadzonych danych, jawności informacji (w tym PESEL), dostępu i wymiany danych oraz wpływu unijnych przepisów.
• UODO zaleca m.in. ocenę zasad przechowywania danych, automatyzacji decyzji i wpływu AI, a także zapewnienie integralności i bezpieczeństwa danych w sytuacjach zagrożenia.

Kontekst: Sztuczna inteligencja (AI) staje się powszechnym narzędziem w biznesie – jest wykorzystywana m.in. w sprzedaży, marketingu, HR i obsłudze klienta. Jednak przetwarzanie danych osobowych przez AI wiąże się z obowiązkiem przestrzegania przepisów RODO i nowego unijnego rozporządzenia – AI Act, które mają chronić prawa obywateli i zapewniać przejrzystość działania systemów technologicznych.

• Nowe przepisy: AI Act, czyli unijne rozporządzenie dotyczące systemów sztucznej inteligencji, wchodzi w życie etapami – zakazy dla systemów o nieakceptowalnym ryzyku obowiązują od lutego 2024 r., a większość wymogów od sierpnia 2026 r.
• Równoległe stosowanie AI Act i RODO: Firmy muszą przestrzegać przepisów obu aktów – jeden dotyczy sposobu działania technologii (AI Act), a drugi ochrony danych osobowych (RODO).
• Obowiązki firm: Przedsiębiorstwa muszą informować o interakcji z AI, ujawniać źródła danych i dokumentować sposób wykorzystania AI. Obowiązki różnią się w zależności od roli firmy – dostawcy rozwiązania lub jego użytkownika.
• Rola dostawcy i użytkownika:
  • Dostawca (np. firma tworząca model AI) musi mieć podstawę prawną przetwarzania danych, informować o ich wykorzystaniu i dokumentować proces uczenia.
  • Użytkownik (np. firma korzystająca z gotowego narzędzia AI) odpowiada za zgodne z prawem użycie narzędzia – także w kontekście danych osobowych.
• Poziomy ryzyka wg AI Act:
  • Ograniczone ryzyko – obowiązek informowania, że użytkownik ma do czynienia z AI (np. chatboty, generatory treści).
  • Wysokie ryzyko – dodatkowe obowiązki przejrzystości (np. systemy rekrutacyjne, biometryczne, oceny kredytowej).
• Przykłady naruszeń:
  • OpenAI – kara 15 mln euro za brak informacji o przetwarzaniu danych przez ChatGPT.
  • Replika – kara 5 mln euro za trenowanie „emocjonalnego asystenta” na danych dzieci bez zgody.
  • Clearview AI – łączne kary ponad 50 mln euro za naruszenie prywatności związanej z rozpoznawaniem twarzy.
• Problematyczne źródła danych: Modele uczone na danych z internetu mogą naruszać RODO, jeśli nie da się określić źródła, celu i kontekstu ich pozyskania.
• Wymogi przy trenowaniu modeli: Zgoda lub uzasadniony interes musi być jasno określony i dobrze udokumentowany – w razie naruszeń grożą wysokie sankcje.
• Potencjalne kary:
  • Do 15 mln euro lub 3% obrotu globalnego – za naruszenia AI Act.
  • Do 20 mln euro lub 4% obrotu – za naruszenia RODO.
  • Możliwy nakaz usunięcia całego modelu AI trenowanego nielegalnie – grozi paraliż projektu i wielomiesięczne straty.
• Odpowiedzialność za naruszenia: Dotyczy nie tylko twórcy modelu AI – także firmy korzystające z gotowych rozwiązań muszą sprawdzać legalność narzędzi i podstawy przetwarzania danych.