RODO aktualności – 10.06.2025 r. 

• NSA wydał wyrok, w którym uznał, że poinformowanie pracowników o odejściu pracownika z pracy nie narusza RODO – mieści się to w prawnie uzasadnionym interesie pracodawcy.
• UODO uznał, że przekazanie tej informacji klientowi było naruszeniem zasad minimalizacji danych (art. 5 ust. 1 lit. c RODO) oraz podstaw przetwarzania danych (art. 6 ust. 1 RODO).
• Pomimo to, UODO stwierdził, że:
  • Poinformowanie współpracowników o rezygnacji pracownika było zasadne i służyło organizacji pracy.
  • Przekazanie maila klientowi nie wiązało się z wysokim ryzykiem dla praw i wolności byłego pracownika.
• Były pracownik nie zgodził się z decyzją, ale jego skarga została oddalona kolejno przez Wojewódzki Sąd Administracyjny i Naczelny Sąd Administracyjny.
• NSA potwierdził, że ujawnienie takich informacji (imię, nazwisko, fakt odejścia z pracy) nie stanowi poważnego naruszenia ochrony danych osobowych.
• Wyrok ma istotne znaczenie dla wszystkich pracodawców i pokazuje, że przekazywanie podstawowych informacji organizacyjnych pracownikom nie musi oznaczać naruszenia RODO.
• Sygnatura wyroku NSA: III OSK 1018/22.

• NSA uchylił wyrok Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie z 29 października 2021 r. i oddalił skargę Biura Informacji Kredytowej (BIK) na decyzję Prezesa UODO z 15 grudnia 2020 r.
• Prezes UODO nakazał wcześniej bankowi i BIK zaprzestanie przetwarzania danych osobowych osoby, która złożyła wniosek o kredyt, ale nie zawarła umowy kredytowej.
• BIK oraz bank twierdziły, że dane mogą być przetwarzane na podstawie przepisów RODO oraz Prawa bankowego, w szczególności dla celów budowy modeli scoringowych i oceny ryzyka kredytowego.
• NSA nie zgodził się z tą argumentacją i potwierdził, że w przypadku niezawarcia umowy kredytowej nie istnieje wystarczająca podstawa prawna do dalszego przetwarzania danych osobowych tej osoby.
• Według NSA, wykorzystanie takich danych do tworzenia modeli scoringowych, analiz statystycznych czy rozpatrywania roszczeń nie spełnia wymogów przepisów RODO w kontekście braku relacji umownej.
• Decyzja NSA oznacza, że banki i BIK nie mogą przetwarzać danych osób, które nie zostały klientami, jeśli brak jest ważnej podstawy prawnej, np. zawartej umowy.
• To kolejne orzeczenie, w którym NSA potwierdza stanowisko Prezesa UODO w podobnych sprawach dotyczących ochrony danych niedoszłych klientów banków.

Wnioski:

• Przetwarzanie danych osobowych w przypadku niezawarcia umowy kredytowej musi być ograniczone i wymaga wyraźnej podstawy prawnej.
• Dane osób, które nie zostały klientami banku, nie mogą być wykorzystywane przez BIK w celach statystycznych, analitycznych czy do budowy modeli ryzyka kredytowego bez ich zgody lub innej legalnej podstawy.

Nowe prawo o ochronie danych osobowych w Wietnamie, które mimo późnego wprowadzenia może stanowić nowy globalny standard, przewyższając w niektórych obszarach nawet europejskie RODO.

• Wejście w życie: Pełne wdrożenie ustawy zaplanowano na 1 stycznia 2026 r., choć jej uchwalenie przyspieszono z października na maj 2024 r.
• Brak podstawy prawnie uzasadnionego interesu: Wietnam nie przewiduje tej podstawy do przetwarzania danych – każdorazowo wymagana będzie pisemna zgoda osoby, której dane dotyczą.
• Rozszerzona definicja danych wrażliwych: Obejmuje m.in. lokalizację i źródła dochodu.
• Szybki czas reakcji: Administrator danych musi odpowiedzieć na żądania osób w ciągu 72 godzin – szybciej niż wg wymogów RODO.
• Regulacje technologii: Nowe prawo obejmuje AI, blockchain i VR – nakładając na organizacje obowiązek wdrażania technicznych i organizacyjnych zabezpieczeń.
• Ochrona danych dzieci: Inne zasady zgód dla dzieci poniżej 7 lat oraz w wieku 7–15 lat; w razie sporu o zgodę decydujący głos ma dziecko.
• Surowe przepisy wykonawcze: Nowy dekret przewiduje dotkliwe sankcje za naruszenia przepisów, w tym obowiązek zgłoszenia incydentu w ciągu 24 godzin.
• Wyższe kary za naruszenia danych wrażliwych: Traktowane są jako poważne wykroczenia, co wiąże się z większą odpowiedzialnością dla organizacji.
• Wyzwanie dla firm międzynarodowych: Nowa regulacja wymaga dogłębnego przeglądu i potencjalnej zmiany strategii przetwarzania danych przez firmy globalne.

Wniosek: Wietnam wprowadza kompleksowe i innowacyjne prawo ochrony danych osobowych, które może wpłynąć na globalne standardy i wymusić rewizję praktyk w wielu organizacjach, także europejskich.

Administratorzy i podmioty przetwarzające dane mają prawny obowiązek wdrażania i monitorowania środków technicznych oraz organizacyjnych adekwatnych do poziomu ryzyka.

• RODO oraz inne krajowe przepisy (m.in. ustawa o krajowym systemie cyberbezpieczeństwa) zobowiązują administratorów do regularnej aktualizacji oprogramowania jako środka zapewniającego bezpieczeństwo danych.
• Aktualizacje oprogramowania eliminują znane luki bezpieczeństwa, dostosowują systemy do zmieniających się przepisów prawa i poprawiają ich ogólną wydajność.
• Brak aktualizacji może prowadzić do poważnych incydentów – m.in. ataków ransomware – co potwierdzają konkretne sprawy analizowane przez Urząd Ochrony Danych Osobowych (UODO).
• Zgodnie z art. 32 RODO, administratorzy mają obowiązek regularnie testować, mierzyć i oceniać skuteczność przyjętych zabezpieczeń – nie wystarcza jednorazowy audyt.
• Wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie podkreślają konieczność ciągłego i rzeczywistego doskonalenia systemów ochrony danych.
• Administrator ponosi pełną odpowiedzialność za zaniedbania w zakresie aktualizacji. Może to skutkować:
  • upomnieniem lub karą pieniężną ze strony UODO,
  • odpowiedzialnością cywilną wobec osób, których dane zostały naruszone,
  • koniecznością zapłaty odszkodowania za szkody, w tym niemajątkowe (np. stres związany z naruszeniem prywatności).
• W praktyce zaleca się:
  • monitorowanie dostępnych aktualizacji dla wszystkich systemów i aplikacji,
  • natychmiastowe wdrażanie aktualizacji, zwłaszcza tych związanych z bezpieczeństwem,
  • śledzenie komunikatów producentów o podatnościach,
  • rezygnację z oprogramowania niewspieranego przez producenta na rzecz nowszych rozwiązań.
• Systematyczne podejście do aktualizacji stanowi nie tylko dobrą praktykę, ale również prawny obowiązek wynikający z RODO.

Wnioski: Regularna aktualizacja oprogramowania oraz kontrola jego skuteczności to klucz do właściwej ochrony danych osobowych i uniknięcia odpowiedzialności prawnej.

Węgierski sąd skierował do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) pytania prejudycjalne dotyczące wykorzystywania treści prasowych przez sztuczną inteligencję. Sprawa dotyczy Google i wydawcy prasowego z Węgier, co może mieć kluczowe znaczenie dla przyszłości relacji między twórcami, mediami a dostawcami dużych modeli językowych AI.

• Wydawca zarzuca Google, że jego AI (Gemini, wcześniej Bard) bezprawnie wykorzystała treści prasowe do tworzenia streszczeń, naruszając prawa pokrewne.
• Google odpiera zarzuty, twierdząc, że wygenerowana odpowiedź nie jest udostępnieniem publikacji prasowej, lecz mieści się w wyjątku dotyczącym eksploracji tekstów i danych (TDM) przewidzianym w dyrektywie DSM.
• To pierwsza w historii sprawa dotycząca relacji AI i prawa autorskiego, która trafiła do TSUE – jej rozstrzygnięcie będzie miało wpływ na całą branżę kreatywną w Europie.
• Pytania zadane TSUE dotyczą zarówno etapu trenowania modeli AI (czy pozyskanie danych narusza prawa autorskie), jak i generowanych przez AI odpowiedzi (czy streszczenie artykułu to publiczne udostępnienie).
• Eksperci są podzieleni: niektórzy twierdzą, że AI wykorzystuje wartość ekonomiczną treści i powinno to być objęte ochroną, inni wskazują, że streszczenia nie naruszają prawa pokrewnego, jeśli nie zawierają fragmentów publikacji.
• Wydawcy prasowi apelują do Komisji Europejskiej o wprowadzenie zasad zobowiązujących dostawców AI do dzielenia się zyskami z twórcami treści, z których korzystają modele AI.
• Organizacje branżowe ostrzegają, że brak regulacji może doprowadzić do upadku sektora kreatywnego i dziennikarstwa, podważając filary demokracji.
• Zgodnie z analizą, AI zmienia tradycyjną rolę wyszukiwarek, ograniczając ruch użytkowników na stronach wydawców i zaburzając dotychczasowy model ekonomiczny obiegu informacji.
• TSUE może nie odpowiedzieć na wszystkie pytania sądu w Budapeszcie, a jego decyzje mogą skupić się bardziej na analizie zakresu prawa pokrewnego niż na samej technologii AI.

Wnioski:

• Rozstrzygnięcie TSUE będzie mieć wpływ na prawo autorskie w kontekście sztucznej inteligencji w całej Unii Europejskiej.
• Sprawa podkreśla rosnące napięcia między twórcami treści a firmami technologicznymi w sprawie uczciwego wynagradzania za wykorzystywane treści.
• Branża kreatywna i wydawcy oczekują jasnych regulacji prawnych, które ochronią ich interesy w erze rozwoju generatywnej AI.

Coraz więcej firm rozważa dopuszczenie pracowników do korzystania z własnych laptopów, telefonów czy tabletów w pracy. Choć z perspektywy pracy zdalnej może się to wydawać praktyczne, brak odpowiednich regulacji może prowadzić do poważnych problemów prawnych i organizacyjnych.

• Obowiązki pracodawcy: Zgodnie z Kodeksem pracy to pracodawca powinien zapewnić sprzęt do pracy. Korzystanie z prywatnych urządzeń jest dopuszczalne tylko przy zgodzie pracownika i odpowiednich zapisach w regulaminie.
• Ryzyko dla pracownika: Używanie prywatnych urządzeń może doprowadzić do zatarcia granicy między życiem zawodowym a prywatnym, co może skutkować naruszeniem prawa do odpoczynku.
• Konsekwencje prawne: Przykładem może być wyrok Sądu Okręgowego w Lublinie, który uznał regularny kontakt po godzinach pracy za formę mobbingu (sygn. akt VIII Pa 86/18).
• Zagrożenia dla pracodawcy: Firma traci kontrolę nad danymi przechowywanymi na prywatnym sprzęcie, co może prowadzić do wycieków i konsekwencji związanych z RODO.
• Problemy z prywatnością: Wymóg instalowania firmowych aplikacji na prywatnych urządzeniach może naruszać prywatną sferę pracownika (lokalizacja, kontakty, historia połączeń).
• Regulacje unijne: Dyrektywa UE „work-life balance” podkreśla prawo pracownika do odpoczynku i wyraźnego rozdzielenia życia prywatnego i zawodowego.
• Rekomendacje dla firm:
  • Uzyskanie pisemnej zgody pracownika, świadomej konsekwencji.
  • Wprowadzenie regulaminu BYOD (Bring Your Own Device).
  • Opracowanie polityki bezpieczeństwa danych: szyfrowanie, zdalne usuwanie danych, uwierzytelnianie.
  • Przeprowadzanie szkoleń w zakresie granicy między pracą a życiem prywatnym.
• Wniosek: Korzystanie z prywatnych urządzeń w pracy może być wygodne, ale wymaga precyzyjnych regulacji i świadomego podejścia, by chronić interesy obu stron – pracodawcy i pracownika.

• Coraz więcej firm korzysta z chatbotów AI w celu usprawnienia pracy (np. obsługi klienta, analizy danych), jednak wiąże się to z ryzykiem nadmiernego zbierania danych.
• Raport firmy Surfshark porównał 10 popularnych chatbotów AI na podstawie danych gromadzonych przez ich aplikacje mobilne (deklarowanych w App Store).
• Średnio chatboty gromadzą 13 z 35 możliwych kategorii danych o użytkownikach.
• Aż 45% aplikacji zbiera dane o lokalizacji, a 30% stosuje śledzenie użytkowników w celach reklamowych.
• Najwięcej danych (32 z 35 kategorii) zbiera Meta AI (Facebook/Instagram/WhatsApp), w tym dane zdrowotne, finansowe i wrażliwe dane osobowe.
• Meta AI i Microsoft Copilot zbierają dane związane z tożsamością użytkownika na potrzeby reklam firm trzecich.
• Niektóre aplikacje (np. Poe, Copilot) udostępniają dane urządzenia brokerom danych, co oznacza możliwość dalszego handlu tymi informacjami.
• ChatGPT od OpenAI wypada lepiej – zbiera mniej danych (10 kategorii), unika śledzenia i umożliwia wyłączanie historii czatów, jednak nadal nie gwarantuje pełnego bezpieczeństwa.

Ryzyka dla firm wynikające z użycia publicznych chatbotów:

• Utrata kontroli nad danymi – chatboty mogą zapisywać treści rozmów i wykorzystywać je do trenowania algorytmów lub analizować je dla własnych celów.
• Ryzyko wycieku danych – przechowywanie rozmów na zewnętrznych serwerach może prowadzić do incydentów (np. przypadek wycieku danych z chińskiej platformy DeepSeek).
• Możliwe naruszenia przepisów RODO oraz wewnętrznych polityk bezpieczeństwa danych.
• Organizacje takie jak Samsung, JPMorgan czy Goldman Sachs wprowadziły ograniczenia w korzystaniu przez pracowników z ChatGPT.

Rekomendowane strategie ochrony danych:

• Wdrożenie polityki ostrożności – zakaz przesyłania danych poufnych do publicznych chatbotów, edukacja pracowników.
• Zablokowanie dostępu do publicznych chatbotów na służbowych urządzeniach.
• Tworzenie własnych lokalnych modeli AI (on-premise), działających w firmowej infrastrukturze, z pełną kontrolą nad danymi.
• Wykorzystanie otwartych modeli językowych (np. LLaMA, Mistral, Falcon), które można dostroić do potrzeb firmy i wdrożyć bez ryzyka narażenia danych.
• Budowa wewnętrznych aplikacji chatbotowych z wykorzystaniem frameworków (np. Streamlit, Gradio) umożliwiających wygodny i bezpieczny dostęp do modelu AI tylko dla uprawnionych pracowników.

Podsumowanie: Publiczne chatboty AI, mimo swojej użyteczności, gromadzą znaczne ilości danych o użytkownikach, co niesie poważne ryzyka dla firm. Zdecydowanie zalecane są środki ostrożności, polityki wewnętrzne oraz rozwój lokalnych, kontrolowanych rozwiązań AI, które pozwalają zachować prywatność i bezpieczeństwo informacji firmowych.

• Policja odnotowała łącznie ponad 350 naruszeń prawa wyborczego, w tym 39 przestępstw i 326 wykroczeń.
• W czasie ciszy wyborczej (2 dni przed wyborami) zgłoszono 30 przestępstw – głównie z art. 248 Kodeksu karnego (naruszenie przebiegu wyborów).
• 7 przypadków dotyczyło wynoszenia kart do głosowania poza lokal wyborczy (art. 497a Kodeksu wyborczego); jeden z takich przypadków miał miejsce w Lublinie.
• Zgłoszono 2 przypadki nielegalnego przetwarzania danych osobowych z zaświadczeń o prawie do głosowania. Policja prowadzi dochodzenie.
• Blisko 572 tys. wyborców otrzymało zaświadczenia uprawniające do głosowania poza miejscem zamieszkania – to o 80% więcej niż w pierwszej turze.
• Pojawiły się obawy i oskarżenia o ewentualne nadużycia, w tym o podrabianie zaświadczeń i oddawanie głosów w wielu lokalach – jednak PKW podkreśliła, że nie potwierdzono takich przypadków na szeroką skalę.
• W ramach zabezpieczeń, każde zaświadczenie było opatrzone hologramem, pieczęcią i numerem seryjnym.
• PKW nie autoryzowała aplikacji internetowej przygotowanej przez Ruch Obrony Wyborów (ROW) do weryfikacji głosujących – według komisji, nie może być ona podstawą do odmowy wydania karty do głosowania.
• Stwierdzono przypadki naruszenia RODO – członkowie komisji lub obserwatorzy fotografowali całe zaświadczenia, łącznie z danymi osobowymi, co jest niezgodne z prawem.
• Z 571 999 wydanych zaświadczeń finalnie skorzystało 531 436 wyborców – ok. 40 tys. osób nie oddało głosu. Według PKW to dowód, że obawy o sfałszowane lub podwójne głosowanie są przesadzone.
• Wśród wykroczeń najczęściej zgłaszano niszczenie i kradzież banerów wyborczych oraz agitację podczas ciszy wyborczej.

Wnioski: Chociaż wybory przebiegły bez zakłóceń wpływających na ich ważność, skala zgłoszonych naruszeń pokazuje potrzebę zwiększenia świadomości prawnej wśród uczestników procesu wyborczego i lepszego zabezpieczenia danych osobowych.