RODO aktualności – 12.08.2025 r. 

Artykuł dotyczy problemu niewystarczającego zabezpieczenia dokumentacji medycznej podczas wizyt domowych lekarzy. Sprawa wyszła na jaw po kradzieży samochodu, w którym znajdowały się niezabezpieczone dane pacjentów.

• W jednej z placówek medycznych (niepubliczny ZOZ z Pyskowic) doszło do kradzieży samochodu lekarza, w którym znajdowały się dokumenty ośmiorga pacjentów zawierające dane osobowe i medyczne.
• Dane te obejmowały m.in. imiona, nazwiska, numery PESEL, adresy oraz szczegóły dotyczące zdrowia pacjentów.
• ZOZ zgłosił incydent do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
• Kontrola PUODO wykazała, że placówka nie przeprowadziła odpowiedniej analizy ryzyka dotyczącej przetwarzania danych podczas wizyt domowych.
• Brak pełnej analizy ryzyka skutkował niewdrożeniem odpowiednich procedur oraz zabezpieczeń dotyczących przewożenia dokumentacji poza siedzibą placówki.
• Placówka nie traktowała prywatnych samochodów lekarzy jako obszaru, w którym przetwarzane są dane osobowe.
• Choć już w 2017 roku Administrator Bezpieczeństwa Informacji ZOZ wskazywał zagrożenia wynikające z przewożenia dokumentów lekarskich, jego rekomendacje nie zostały wprowadzone w życie.
• W efekcie zaniedbań Prezes UODO nałożył na ZOZ karę finansową w wysokości 32 832 zł – nie za samą utratę danych, ale za brak właściwego zabezpieczenia danych osobowych.
• Dopiero po kradzieży wprowadzono konkretne procedury: zakaz pozostawiania dokumentacji w samochodach, szkolenia dla personelu oraz wyposażenie lekarzy w zamykane na szyfr teczki do transportu dokumentów.

Wniosek: Odpowiednie procedury ochrony danych powinny być wdrażane z wyprzedzeniem na podstawie analizy ryzyka, a nie dopiero po wystąpieniu incydentu. Brak zabezpieczeń może skutkować naruszeniem przepisów RODO i karami finansowymi.

Europejska Rada Ochrony Danych (EROD) przyjęła 3 lipca 2025 r. w Helsinkach nowe Oświadczenie dotyczące zwiększonej przejrzystości, wsparcia i zaangażowania. Jego celem jest poprawa zgodności z RODO i ułatwienie współpracy pomiędzy organizacjami a regulatorami, zwłaszcza w kontekście transformacji cyfrowej i ochrony praw podstawowych obywateli UE.

• EROD podkreśla znaczenie praw podstawowych w cyfrowej transformacji jako elementu wspierającego innowacyjność i konkurencyjność w Europie.
• Nowe działania skierowane są szczególnie do mikro-, małych i średnich przedsiębiorstw, by uprościć i ułatwić wdrażanie przepisów RODO.
• Ogłoszono uruchomienie praktycznych narzędzi, takich jak: szablony zgłoszeń naruszeń danych, listy kontrolne, instrukcje i sekcje FAQ – celem jest szybkie i dostępne wsparcie przy wdrażaniu RODO.
• EROD zapowiada regularne, publiczne raportowanie wyników konsultacji, które pozwolą lepiej identyfikować potrzeby i ewentualne niespójności w interpretacji przepisów.
• Rozwijane będą wspólne unijne i krajowe praktyki, procedury oraz wytyczne, aby zapewnić jednolitą interpretację i skuteczne egzekwowanie przepisów w całej Europie.
• Wzmocniona zostanie współpraca międzysektorowa – także z organami spoza ochrony danych – w odpowiedzi na złożoność cyfrowego krajobrazu regulacyjnego.
• W planach jest publikowanie stanowisk organów nadzorczych w priorytetowych sprawach, co ma wspomóc organizacje w lepszym rozumieniu oczekiwań regulatorów.

Komisja Europejska oraz Rada ds. Sztucznej Inteligencji zatwierdziły kodeks praktyk dla dostawców modeli AI ogólnego przeznaczenia (GPAI), który ma pomóc w realizacji przepisów unijnego aktu o sztucznej inteligencji (AI Aktu). Decyzja ta budzi kontrowersje w środowiskach branży kreatywnej, które domagają się lepszej ochrony praw autorskich.

• Kodeks praktyk GPAI został zatwierdzony przez Komisję Europejską i Radę ds. AI w wersji z początku lipca – mimo apeli środowisk twórczych i wydawców o jego poprawki.
• Obowiązki wynikające z AI Aktu weszły w życie 2 sierpnia 2024 r. – wszystkie nowe modele AI wprowadzane na rynek UE po tej dacie muszą być z nimi zgodne.
• Dostawcy najbardziej zaawansowanych modeli (stwarzających ryzyko systemowe) muszą formalnie powiadamiać Biuro ds. Sztucznej Inteligencji (AI Office) o wprowadzeniu ich modeli na rynek.
• Od 2 sierpnia 2026 r. Komisja Europejska będzie mogła egzekwować przestrzeganie AI Aktu przez dostawców – m.in. poprzez nakładanie kar finansowych.
• 1 sierpnia 2027 r. mija termin na dostosowanie starszych modeli AI wprowadzonych przed 2 sierpnia 2025 r.
• Organizacje reprezentujące twórców i wydawców podkreślają, że kodeks nie zapewnia wystarczającej ochrony praw autorskich i nie odpowiada na ryzyka dla sektora kreatywnego.
• Izba Wydawców Prasy apelowała do ministra cyfryzacji o interwencję, ale Ministerstwo Cyfryzacji pozytywnie oceniło kodeks za jego znaczenie dla stabilności regulacyjnej i postęp w pracach.
• Kodeks podpisało dotychczas 26 firm, w tym Amazon, Google, Microsoft, OpenAI i IBM. Firma xAI przystąpiła tylko do rozdziału dotyczącego bezpieczeństwa i ochrony.

Artykuł dotyczy poważnego naruszenia prywatności użytkowniczek aplikacji TeaApp – platformy przeznaczonej dla kobiet, mającej wspierać ich bezpieczeństwo podczas randkowania i dzielenia się doświadczeniami. Zamiast chronić, aplikacja ujawniła wrażliwe dane tysięcy Amerykanek.

• TeaApp miała być bezpieczną przestrzenią dla kobiet, służącą do dzielenia się ocenami i doświadczeniami z randek oraz do uzyskiwania porad od innych użytkowniczek.
• Aplikacja gromadziła dane użytkowniczek, w tym zdjęcia twarzy oraz skany dokumentów tożsamości, ale przechowywała je w sposób niezabezpieczony – bez szyfrowania i bez wymogu autoryzacji dostępu.
• Wyciekło 13 tys. zdjęć wrażliwych (m.in. twarze i dokumenty tożsamości) oraz 59 tys. innych fotografii – dane te udostępniono publicznie w sieci za pomocą protokołu P2P.
• Wśród ofiar wycieku były m.in. żołnierki i urzędniczki – ujawniono nawet informacje o ich miejscu pracy lub stacjonowania oraz fragmenty legitymacji służbowych armii USA.
• Incydent uwidacznia różnice między podejściem do ochrony danych osobowych w USA i Europie – w Europie obowiązywałyby surowsze przepisy, które mogłyby zapobiec takiemu naruszeniu.
• Po wycieku powstały m.in. mapa lokalizacji użytkowniczek oraz strona do porównywania ich zdjęć, co budzi dodatkowe obawy o skalę naruszenia prywatności.
• TeaApp została przez niektóre media określona jako „aplikacja do hejtu mężczyzn” – wywołało to dyskusję o granicach prywatności i konsekwencjach wzajemnego oceniania się w relacjach międzyludzkich.
• Wyciek danych dotyczył osób zarejestrowanych przed lutym 2024 r., co rodzi pytania o bezpieczeństwo rejestracji za pomocą dokumentów tożsamości oraz o wdrażanie norm regulacyjnych, takich jak brytyjski „Online Safety Act”.
• Pozyskanie danych było bardzo łatwe – udostępnienia i linki do nich znajdowały się wprost na portalach społecznościowych. W praktyce nie doszło do cyberataku – dane były po prostu niezabezpieczone.

Wnioski:

• Incydent z TeaApp pokazuje, jak niebezpieczne może być gromadzenie i niewłaściwe zabezpieczanie danych osobowych w aplikacjach.
• Pojawiła się potrzeba większej przejrzystości, odpowiedzialności technologicznej oraz ochrony prywatności w aplikacjach społecznościowych i randkowych.
• Wyciek danych może mieć realne i dotkliwe konsekwencje dla użytkowniczek – zawodowe, społeczne i psychologiczne.
• Zdarzenie stanowi przestrogę dla wszystkich użytkowników aplikacji do rejestrowania się z użyciem prawdziwych dokumentów tożsamości bez uprzedniego sprawdzenia zabezpieczeń platformy.

Artykuł przedstawia najczęściej zadawane pytania kierowane do infolinii Urzędu Ochrony Danych Osobowych (UODO), czynnej w dni robocze w godzinach 10:00–14:00 pod numerem 606-950-000. Odpowiedzi udzielane przez pracowników UODO mają na celu wyjaśnienie kluczowych kwestii związanych z przetwarzaniem danych osobowych według przepisów RODO.

• Prawo do sprzeciwu przy realizacji umowy: Jeśli dane osobowe przetwarzane są w celu realizacji zawartej umowy (art. 6 ust. 1 lit. b RODO), nie przysługuje prawo do wniesienia sprzeciwu. W takim przypadku nie informuje się także o tym uprawnieniu w obowiązku informacyjnym.
• Przetwarzanie danych dłużnika: Wierzyciel może przetwarzać dane osobowe dłużnika w celu dochodzenia roszczeń bez konieczności posiadania wyroku sądu. Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO, czyli uzasadniony interes administratora.
• Niedopełnienie obowiązku informacyjnego: Naruszenie przepisów art. 13 lub 14 RODO (brak dopełnienia obowiązku informacyjnego) nie jest równoznaczne z naruszeniem ochrony danych osobowych wymagającym zgłoszenia do Prezesa UODO w trybie art. 33 RODO.
• Wypłata wynagrodzenia a zgoda na numer rachunku: Pracodawca nie potrzebuje zgody pracownika na przetwarzanie numeru rachunku bankowego, jeśli wypłata wynagrodzenia odbywa się zgodnie z przepisami Kodeksu pracy. Przesłanką przetwarzania danych jest obowiązek prawny (art. 6 ust. 1 lit. c RODO).
• Monitoring w zakładzie pracy: Dopuszczalny jest wyłącznie monitoring wizualny (nagrywanie obrazu). Nagrywanie dźwięku za pomocą monitoringu w miejscu pracy nie jest zgodne z przepisami Kodeksu pracy.
• Cofnięcie zgody na publikację wizerunku przez pełnoletniego ucznia: Po osiągnięciu pełnoletności uczeń ma prawo cofnąć zgodę na publikację swojego wizerunku udzieloną wcześniej przez rodziców lub opiekunów prawnych. Administrator danych osobowych zobowiązany jest poinformować o tym uprawnieniu.

• Gemini CLI to narzędzie Google wspierane przez sztuczną inteligencję, służące do analizy kodu.
• Luka bezpieczeństwa umożliwiała atakującym wykonanie złośliwego kodu poprzez specjalnie spreparowany plik README.md.
• Atak opierał się na technice „prompt injection” – AI było nakłaniane do wykonania poleceń, które nie pochodziły od użytkownika.
• Efektem ataku mogło być np. przesłanie prywatnych danych (takich jak API_KEY, TOKENY) na zewnętrzne serwery, bez wiedzy użytkownika.
• Nie było żadnych ostrzeżeń ani potwierdzeń ze strony narzędzia – polecenia były wykonywane automatycznie.
• Luka została odkryta w dwa dni po premierze narzędzia, a Google potrzebowało ponad miesiąca na jej załatanie.
• Poprawka została wprowadzona dopiero w wersji 0.1.14 i zawiera m.in. sandboxing i konieczność potwierdzania działań AI.
• Artykuł ostrzega, że to nie pierwszy i zapewne nie ostatni taki przypadek – AI CLI stają się coraz bardziej popularne, ale nadal niebezpieczne.

Wnioski i zalecenia:

• Traktuj AI CLI jak nieznajomego – nie ufaj bezwzględnie generowanym działaniom.
• Zawsze weryfikuj, co narzędzie ma uruchomić – nie klikaj bezmyślnie.
• Nie przekazuj narzędziom AI poufnych danych, takich jak klucze API czy treści umów.
• Sprawdź, czy używana wersja CLI posiada zabezpieczenia – korzystaj z aktualnej wersji.
• AI to potężne narzędzie, ale wymaga świadomego i odpowiedzialnego użycia.

• Prezydentka Gdańska, Aleksandra Dulkiewicz, stała się ofiarą naruszenia prywatności po tym, jak nagranie z jej koszykiem zakupów trafiło do Internetu.
• Na nagraniu widać m.in. butelkę wódki, co stało się podstawą do licznych komentarzy i żartów w sieci, wpływając na wizerunek publiczny i prywatność polityczki.
• Według zeznań świadków, pracownik sklepu miał poprosić ochroniarza o zgranie nagrania na telefon komórkowy.
• Aleksandra Dulkiewicz domaga się oficjalnych przeprosin i 50 tys. zł zadośćuczynienia – środki mają zostać przekazane Fundacji Wspólnoty Burego Misia, wspierającej osoby z niepełnosprawnościami.
• Na ławie oskarżonych znajdują się właściciel sieci Biedronka oraz zewnętrzna firma ochroniarska współpracująca z dyskontem.
• Sprawa jest rozpatrywana w trybie postępowania cywilnego, poprzedzona była śledztwem prokuratorskim oraz kontrolą Urzędu Ochrony Danych Osobowych.
• Rozprawa z udziałem Aleksandry Dulkiewicz i jej asystenta odbędzie się 31 października