RODO aktualności – 10.02.2026 r. 

• Kontekst: Sprawa dotyczy wyroku Sądu Rejonowego w sprawie o odszkodowanie za nieuzasadnione wypowiedzenie umowy o pracę. Pracownica otrzymała prawie 70 000 zł odszkodowania od byłego pracodawcy.
• Pracodawca wypowiedział umowę, powołując się na rzekome nieuczciwe zachowanie pracownicy podczas szkoleń oraz utratę do niej zaufania.
• Dowody na „ściąganie” podczas szkoleń miały pochodzić z monitoringu służbowej skrzynki e-mail oraz komunikatorów używanych przez pracownicę.
• Sąd stwierdził, że przytoczone przez pracodawcę zarzuty dotyczyły okresu zatrudnienia w innej firmie, a więc nie mogą stanowić podstawy do wypowiedzenia umowy przez aktualnego pracodawcę.
• Dodatkowo, pracodawca przeprowadził monitoring bez poinformowania pracownicy, co stanowiło poważne naruszenie jej prywatności i dóbr osobistych.
• Sąd uznał, że pracodawca naruszył prawo do prywatności, tajemnicę korespondencji oraz godność pracownicy, m.in. poprzez:
  • Kontrolowanie prywatnych wiadomości bez wcześniejszego uprzedzenia;
  • Monitorowanie komunikatorów oraz korespondencji sprzed nawiązania umowy o pracę;
  • Brak jednoznacznego określenia narzędzi objętych monitoringiem i niewywiązanie się z obowiązku poinformowania pracownika na 2 tygodnie przed wdrożeniem monitoringu;
  • Poddanie analizie wiadomości niezwiązanych z pracą w firmie.
• Zgodnie z przepisami kodeksu pracy, monitoring pracownika może być prowadzony wyłącznie w zgodzie z zasadą proporcjonalności oraz z poszanowaniem jego praw, w tym prawa do prywatności.
• Pracodawca nie ma nieograniczonego prawa dostępu do całej komunikacji prowadzonej przez pracownika przy użyciu służbowych narzędzi pracy.
• Sąd podkreślił, że działania pracodawcy naruszyły dobra osobiste pracownicy oraz nie zostały przeprowadzone zgodnie z obowiązującymi przepisami prawa.

• Kontekst: Urząd Ochrony Danych Osobowych (UODO) opublikował raport dotyczący wykorzystania sztucznej inteligencji (SI) i ochrony danych osobowych przez organizacje w Polsce.
• Raport opracowano na podstawie ogólnopolskiej ankiety oraz wywiadów grupowych z organizacjami sektora prywatnego.
• To pierwszy w Polsce przekrojowy obraz gotowości instytucji publicznych i prywatnych do wdrażania SI zgodnie z przepisami RODO i nadchodzącym rozporządzeniem AI Act.
• Główne ustalenia:
  • 17% organizacji już korzysta z rozwiązań opartych na sztucznej inteligencji.
  • Pozostałe podmioty są na etapie testów, planują wdrożenia lub nie korzystają z SI.
  • Najczęstsze zastosowania SI to automatyzacja procesów administracyjnych (41,2%) oraz analityka danych (31%).
• Raport identyfikuje potrzeby kompetencyjne organizacji związane z wdrożeniem SI oraz poziom ich świadomości dotyczący ochrony danych osobowych.
• Zidentyfikowano również bariery, wyzwania i obszary ryzyka związane z wdrażaniem sztucznej inteligencji.
• Jednym z celów badania było określenie preferowanych form wsparcia oraz woli współpracy organizacji z Prezesem UODO.
• Wyniki raportu posłużą do przygotowania programów edukacyjnych dla różnych sektorów, m.in. administracji publicznej, edukacji, kultury, nauki, medycyny i biznesu.

• Kontekst: Artykuł prezentuje wnioski z globalnego badania dotyczącego zaufania do sztucznej inteligencji (AI), w tym perspektywy użytkowników z Polski, gdzie zaufanie do AI jest ograniczone, a równocześnie powszechne jest jej stosowanie w codziennym życiu.
• Niskie zaufanie do AI w Polsce: Tylko 41% Polaków deklaruje zaufanie do sztucznej inteligencji – to mniej niż średnia światowa (46%).
• Rosnące zainteresowanie mimo obaw: Aż 77% badanych w Polsce akceptuje obecność AI w codziennych zadaniach, co pokazuje kontrast między deklarowaną ostrożnością a faktycznym użytkowaniem.
• Zaufanie zależne od instytucji: Największym zaufaniem cieszą się instytucje naukowe i badawcze, natomiast sektor publiczny spotyka się z dużym sceptycyzmem – aż 45% respondentów nie ufa państwowym inicjatywom AI.
• Klucz do zaufania – ochrona danych i przejrzystość: Najważniejsze czynniki zwiększające zaufanie Polaków do AI to:
  • Prawo do wycofania zgody na przetwarzanie danych osobowych (89%)
  • Monitorowanie dokładności i niezawodności systemów AI (86%)
  • Stosowanie międzynarodowych standardów przejrzystości i zarządzania ryzykiem (86%)
  • Możliwość interwencji człowieka w działanie AI (85%)
  • Jasne zasady odpowiedzialności za działanie AI (84%)
  • Szkolenia dla użytkowników i pracowników organizacji korzystających z AI (84%)
• Rosnąca potrzeba regulacji i edukacji: Polscy użytkownicy oczekują jasnych regulacji prawnych oraz działań zwiększających świadomość i kompetencje cyfrowe obywateli w zakresie AI.
• Partnerstwa na rzecz zaufania: Eksperci wskazują na potencjał współpracy między sektorem publicznym a uniwersytetami i ośrodkami badawczymi w celu zwiększenia wiarygodności wdrażanych rozwiązań AI.
• AI postrzegana przez pryzmat ryzyka: Respondenci dostrzegają coraz większą potrzebę odpowiedzialnego wdrażania AI, z naciskiem na przejrzystość i kontrolę, a nie tylko funkcjonalność.
• O badaniu: Badanie zostało przeprowadzone przez University of Melbourne we współpracy z KPMG. Objęło 48 000 respondentów z 47 krajów w okresie od listopada 2024 do stycznia 2025 i stanowi jedno z największych badań dotyczących stosunku społeczeństw do AI.

• Kontekst: Artykuł dotyczy wyroku Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, który rozpatrywał sprawę dotyczącą naruszenia przepisów RODO przez Spółkę w związku z nieuprawnionym udostępnieniem danych osobowych.
• WSA potwierdził, że Prezes Urzędu Ochrony Danych Osobowych (UODO) słusznie uznał, iż Spółka naruszyła przepisy RODO i zasadnie udzielił jej upomnienia.
• Sprawa dotyczyła ujawnienia danych osobowych obywatela, który zgłosił, że adwokat – działający pod szyldem Spółki – przesłał osobom trzecim e-mailem sygnaturę sprawy oraz informację o nieprawomocnym wyroku w jego sprawie.
• Adwokat w wiadomości e-mail posługiwał się danymi Spółki, jej logo, adresem e-mail oraz podpisywał się jako „Adwokat” z pełnymi danymi identyfikującymi firmę.
• Spółka odmówiła udzielenia wyjaśnień organowi nadzorczemu, powołując się na tajemnicę zawodową, oraz oświadczyła, że adwokat nie był jej pracownikiem i nie działał w jej imieniu.
• Mimo to Spółka przyznała, że adres e-mail oraz inne oznaczenia użyte w korespondencji należą do niej, co sąd uznał za istotne przy ocenie odpowiedzialności.
• WSA uznał, że doszło do naruszenia art. 6 ust. 1 RODO, ponieważ dane osobowe zostały przekazane bez podstawy prawnej umożliwiającej ich legalne przetwarzanie.
• Upomnienie wydane przez Prezesa UODO zostało przez sąd ocenione jako proporcjonalne i właściwe w stosunku do naruszenia, a uzasadnienie decyzji uznano za jasne i wyczerpujące.

• Kontekst sprawy: Przedmiotem orzeczenia NSA było zdarzenie związane z zagubieniem przez Bank przesyłki zawierającej dokumentację klientów, w tym dane osobowe, co doprowadziło do postępowania przed Prezesem UODO oraz sądami administracyjnymi.
• Zdarzenie: W 2019 r. Bank zagubił przesyłkę z dokumentacją dwóch klientów, zawierającą m.in. PESEL, imię i nazwisko, adres zameldowania i numery kont bankowych.
• Reakcja Banku: Bank uznał, że ryzyko dla osób, których dane dotyczą, było średnie, dlatego nie zgłosił naruszenia do UODO, ani nie przekazał poszkodowanym szczegółowych informacji o zakresie naruszenia.
• Stanowisko UODO: Prezes Urzędu Ochrony Danych Osobowych uznał, że Bank naruszył art. 33 ust. 1 i art. 34 ust. 1 RODO i nałożył karę administracyjną w wysokości 363 832 zł.
• Uzasadnienie kary: Kara została uznana za proporcjonalną i skuteczną – stanowiła jedynie 0,011% rocznego obrotu grupy kapitałowej Banku oraz 0,55% maksymalnej możliwej wysokości kary, jaką można było nałożyć.
• Orzeczenie WSA: Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Banku, uznając, że to Bank jako administrator danych ponosi odpowiedzialność za ich przetwarzanie i powinien był zgłosić naruszenie oraz poinformować osoby, których dane dotyczą.
• Stanowisko NSA: Naczelny Sąd Administracyjny podtrzymał decyzję WSA i Prezesa UODO. Zgodził się, że Bank pozostał administratorem danych i był zobowiązany do działania zgodnie z RODO.
• Ocena NSA: Utrata dokumentacji zawierającej dane takie jak PESEL, imię i nazwisko, adres zameldowania, numery kont i identyfikator klienta (CIF) wiązała się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
• Znaczenie orzeczenia: Wyrok NSA potwierdza, że administrator danych (w tym przypadku Bank) musi samodzielnie ocenić ryzyko i zgłosić naruszenia, niezależnie od udziału innych podmiotów (np. firm kurierskich).

• Kontekst sprawy: Artykuł dotyczy przetwarzania danych osobowych, w szczególności numeru telefonu jako danej pozwalającej na identyfikację osoby fizycznej. Opisano przypadek kobiety, której prywatny numer telefonu był zamieszczony na stronie internetowej i w mediach społecznościowych pracodawcy, nawet po zakończeniu zatrudnienia i cofnięciu zgody na jego dalsze udostępnianie.
• Uznanie numeru telefonu za daną osobową: Wojewódzki Sąd Administracyjny w Warszawie, a następnie Naczelny Sąd Administracyjny, potwierdziły, że numer telefonu może być uznany za daną osobową, ponieważ umożliwia zidentyfikowanie osoby fizycznej oraz wywieranie na nią określonego wpływu (np. poprzez kontakt telefoniczny).
• Zobowiązania pracodawcy: Prezes Urzędu Ochrony Danych Osobowych (UODO) uznał, że były pracodawca kobiety, jako administrator danych osobowych, odpowiada za zgodność przetwarzania tych danych z przepisami prawa, nawet jeśli nie miał bezpośredniego dostępu do wszystkich stron internetowych, na których dane były opublikowane.
• Decyzja UODO: Prezes UODO nakazał przedsiębiorcy usunięcie prywatnego numeru telefonu byłej pracowniczki ze wszystkich stron internetowych związanych z prowadzoną przez niego działalnością gospodarczą.
• Stanowisko sądów: WSA i NSA podtrzymały decyzję prezesa UODO, podkreślając, że numer telefonu, jeśli odnosi się do konkretnej osoby, stanowi daną osobową w rozumieniu RODO, niezależnie od użycia imienia i nazwiska.
• Argumenty przedsiębiorcy odrzucone: Sądy uznały, że spór właściciela firmy z jego bratem ani trudności techniczne z usunięciem danych nie mają znaczenia dla oceny prawnej – odpowiedzialność za przetwarzanie danych osobowych i tak spoczywa na przedsiębiorcy.
• Wyrok NSA: Naczelny Sąd Administracyjny 20 stycznia 2026 r. (sygn. akt III OSK 2256/24) oddalił skargę kasacyjną byłego pracodawcy, kończąc sprawę na korzyść byłej pracowniczki.

• Większość respondentów deklaruje gotowość udostępniania swoich danych za pieniądze, ale tylko pod pewnymi warunkami.
• Oczekiwana cena rośnie w zależności od wrażliwości danych i poziomu ingerencji w prywatność.
• Dla wielu decyzja ta ma charakter kalkulacji ryzyka i zysków.

• Oprócz grupy gotowej do sprzedaży danych, istnieje znacząca mniejszość, która odrzuca samą ideę monetyzacji prywatności – niezależnie od oferowanej kwoty.

• Szacunkowa „rynkowa” wartość danych osobowych jest znacznie wyższa niż to, co użytkownicy faktycznie otrzymują w obecnym modelu opartym na reklamie cyfrowej.
• Obecny ekosystem przekazuje większość korzyści firmom, a użytkownikom pozostawia niewielką kontrolę nad danymi.

• Prawo ochrony danych komplikuje prostą wymianę danych na pieniądze – prawa do danych są niezbywalne, a zgoda nie powinna być wyłącznie transakcją ekonomiczną.
• Dla niektórych obywateli prywatność ma wartość, której nie da się przeliczyć na pieniądze.

• Czy przyszłość to transparentne modele „płatności za prywatność”, czy raczej mocniejsze ograniczenia prawne wobec jej komercjalizacji?
• Czy obecne prawo jest gotowe zaakceptować fakt, że dla części użytkowników prywatność nie ma wartości rynkowej?

• Kontekst: Artykuł dotyczy analizy ryzyka w kontekście RODO (Ogólnego rozporządzenia o ochronie danych), która jest niezbędna do wykazania zgodności z zasadą rozliczalności – jedną z podstawowych zasad RODO.
• Cel analizy: Celem analizy ryzyka jest nie tylko ochrona danych, ale także wykazanie, że administrator lub podmiot przetwarzający świadomie zarządza ryzykiem wynikającym z przetwarzania danych osobowych.
• Perspektywa osoby, a nie organizacji: Ryzyko należy oceniać z punktu widzenia osoby, której dane dotyczą – nie organizacji. Należy zwracać uwagę na potencjalne skutki dla praw i wolności jednostki.
• Odwołanie do przepisów: Analiza powinna być prowadzona zgodnie z wymogami RODO i odnosić się do jego zapisów, motywów i kontekstu przetwarzania.
• Fakty zamiast intuicji: Oceny ryzyka powinny być oparte na konkretnych danych, faktach i uznanych metodykach (np. ISO), a nie na intuicji czy założeniach.
• Dokumentacja: Wszystkie założenia, źródła informacji i decyzje związane z analizą muszą być odpowiednio udokumentowane i możliwe do odtworzenia.
• Ciągłość procesu: Analiza ryzyka powinna być traktowana jako proces ciągły – aktualizowany w przypadku zmian w przetwarzaniu danych.
• Wersjonowanie: Należy dokumentować zmiany w analizie ryzyka, tworzyć wersje i wskazywać przyczyny korekt.
• Realistyczny opis procesów: Opis przetwarzania musi być wierny, konkretny i zgodny z rzeczywistością; powinien uwzględniać cały cykl życia danych.
• Uwzględnianie zasobów: Analiza powinna obejmować wszystkie zasoby (techniczne, ludzkie, organizacyjne) zaangażowane w przetwarzanie.
• Szerokie ujęcie ryzyk: Należy wykraczać poza bezpieczeństwo danych – uwzględniać np. ryzyko wynikające z automatycznego podejmowania decyzji czy profilowania.
• Perspektywa długofalowa: Analiza powinna uwzględniać także pośrednie i długoterminowe skutki przetwarzania.
• Stan wiedzy i koszty: Wybierając środki ochrony danych, należy brać pod uwagę aktualny stan wiedzy technicznej i koszty wdrożenia, ale nie mogą one usprawiedliwiać wysokiego ryzyka.
• Wdrażanie i monitorowanie: Środki ochrony muszą być realnie wdrażane i stale monitorowane pod kątem skuteczności działania.
• Role i odpowiedzialność: W procesie analizy ryzyka należy jasno określić, kto odpowiada za jej wykonanie, podejmowanie decyzji i wdrażanie działań.
• Rola inspektora ochrony danych: Inspektor powinien brać realny udział w analizie, a jego rekomendacje powinny być dokumentowane i rozpatrywane.
• Świadome decyzje zarządcze: Zatwierdzenie wyników analizy powinno być świadomą decyzją konkretnej osoby lub organu, z odpowiednią dokumentacją.
• Odpowiedzialność za decyzje: Również decyzje o zaniechaniu działań (np. niedokonanie DPIA) powinny być uzasadnione, udokumentowane i wynikać z przeprowadzonej analizy.

Podsumowanie: Analiza ryzyka w RODO to nie tylko formalność, ale proces wspierający świadome i odpowiedzialne zarządzanie ochroną danych.