RODO aktualności – 13.01.2026 r. 

• Kontekst sprawy: W wyroku Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie z 2025 r. uchylono decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) z grudnia 2024 r. dotyczącą naruszenia przepisów RODO przez administratora danych.
• Tło sprawy: Skarżący twierdził, że w wyniku naruszenia bezpieczeństwa danych z 2018 r. jego adres e-mail został ujawniony i wykorzystany do przesyłania niechcianych wiadomości, w tym prób wyłudzenia danych i pieniędzy.
• Prezes UODO uznał, że doszło do ujawnienia adresu e-mail bez podstawy prawnej, co stanowiło naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO – przetwarzanie danych bez podstawy prawnej oraz bez zapewnienia ich poufności.
• W decyzji Prezesa UODO uznano, że adres e-mail stanowił daną osobową, ale nie przeprowadzono rozważań ani nie przedstawiono uzasadnienia w tym zakresie.
• Stanowisko WSA: Sąd wskazał, że ustalenie, czy adres e-mail stanowi daną osobową w rozumieniu RODO, powinno być pierwszym krokiem w ocenie sprawy.
• Sąd zauważył, że adres e-mail nie zawierał imienia i nazwiska użytkownika, a organ nie wykazał, że możliwa jest jego identyfikacja na podstawie tego adresu – samodzielnie lub w powiązaniu z innymi danymi.
• WSA podniósł również, że organ nie odniósł się do argumentacji Spółki, według której e-mail nie pozwalał na identyfikację osoby i nie doszło do naruszeń po ataku z 2018 r.
• Sąd uznał, że przy braku wykazania, iż doszło do ujawnienia danych osobowych, zastosowanie wobec administratora środka w postaci upomnienia było przedwczesne.
• Braki w ustaleniach organu: W decyzji nie wskazano, na jakich dowodach oparto stwierdzenie naruszenia, nie określono też momentu (czasu) ewentualnego ujawnienia danych osobowych.
• Zalecenia sądu: Organ powinien ponownie rozpoznać sprawę, uwzględniając konieczność ustalenia, czy ujawniony adres e-mail można kwalifikować jako daną osobową oraz czy rzeczywiście doszło do naruszenia przepisów RODO.

• Kontekst: Kalifornia coraz silniej egzekwuje przestrzeganie przepisów o ochronie danych osobowych – kluczowe staje się faktyczne przestrzeganie praw użytkowników, a nie jedynie deklaracje i formalności.
• Kalifornijska agencja ochrony prywatności (California Privacy Protection Agency – CPPA) nałożyła karę w wysokości 1,35 miliona dolarów na firmę Tractor Supply, mimo że formalnie wdrożyła ona polityki dotyczące prywatności.
• CPPA uznała, że ochrona prywatności w firmie była nieskuteczna technicznie – dane użytkowników wciąż trafiały do narzędzi śledzących i partnerów reklamowych, co było sprzeczne z zasadami udostępnionymi użytkownikom.
• Mimo istnienia linku „Do Not Sell or Share” i formularzy do składania wniosków, użytkownicy nie mieli realnej kontroli nad swoimi danymi – ich wybory nie wpływały na dalsze przetwarzanie danych.
• Firma nie respektowała również ustawień Global Privacy Control (GPC) w przeglądarkach, które sygnalizują brak zgody na sprzedaż lub udostępnianie danych. W Kalifornii taki sygnał powinien być traktowany jako wiążący.
• CPPA uznała, że użytkownik nie powinien być zobowiązany do wypełniania dodatkowych formularzy ani przechodzenia skomplikowanych procesów w celu ochrony swojej prywatności.
• Postępowanie wykazało także niedociągnięcia w umowach z partnerami technologicznymi – brak odpowiednich ograniczeń i nadzoru nad sposobem wykorzystania danych użytkowników.
• Organizacje muszą nie tylko wdrażać procedury ochrony danych, ale również zapewniać ich działanie w praktyce – tak, aby wybory użytkowników rzeczywiście wpływały na to, co dzieje się z ich danymi.

• Kontekst: Od 31 grudnia 2023 r. użytkownicy aplikacji mObywatel mogą korzystać z nowej funkcji – Wirtualnego asystenta, czyli czatbota opartego na polskim modelu językowym PLLuM.
• Cel Wirtualnego asystenta: Ułatwienie korzystania z usług publicznych, dostarczanie informacji o formalnościach urzędowych oraz pomoc w znalezieniu właściwych dokumentów i formularzy.
• Dla kogo: Wirtualny asystent jest dostępny dla wszystkich użytkowników aplikacji mObywatel w wersji 4.71.1 lub wyższej (z wyjątkiem wersji Junior).
• Jak działa:
  • Rozumie i przetwarza język polski z uwzględnieniem kontekstu i realiów administracyjnych.
  • Odpowiada na pytania bazując na sprawdzonych źródłach, takich jak stron gov.pl, prezydent.pl oraz info.mobywatel.gov.pl.
• Zakres pomocy:
  • Podpowiada, jak złożyć wnioski np. o dowód, paszport, zastrzec PESEL czy zgłosić sprzedaż auta.
  • Pomaga poruszać się po funkcjach aplikacji mObywatel i znaleźć potrzebne usługi lub dokumenty.
  • Udziela informacji z poradnika bezpieczeństwa.
• Ograniczenia:
  • Nie udziela indywidualnych porad ani informacji dotyczących konkretnych spraw użytkownika.
  • Nie przetwarza danych osobowych, nie ma dostępu do rejestrów państwowych, nie zastępuje doradcy prawnego.
  • Nie obsługuje tematów niezwiązanych z usługami publicznymi (np. prognoza pogody, przepisy kulinarne).
• Bezpieczeństwo i anonimowość: Rozmowy z czatbotem są poufne – użytkownik nie powinien podawać danych osobowych. Asystent nie zapisuje ani nie gromadzi danych użytkowników.
• Ulepszanie asystenta: Wirtualny asystent jest ciągle udoskonalany na podstawie przeprowadzanych rozmów, opinii oraz ocen użytkowników.
• Gdzie znaleźć czatbota: W aplikacji mObywatel – w prawym górnym rogu ekranu obok powiadomień oraz w sekcji „Więcej”.
• Wniosek: Wirtualny asystent w mObywatelu to nowoczesne i bezpieczne narzędzie oparte na AI, które wspiera obywateli w załatwianiu codziennych spraw urzędowych i korzystaniu z usług administracji publicznej.

Kontekst: Coraz więcej firm korzysta z narzędzi opartych na sztucznej inteligencji (AI), często nie zdając sobie sprawy z potencjalnych zagrożeń związanych z ochroną danych osobowych. Uczestnicy debaty zorganizowanej przez Prawo.pl ostrzegają, że niewłaściwe korzystanie z AI może skutkować poważnymi konsekwencjami prawnymi, zarówno w wersjach darmowych, jak i płatnych narzędzi.

• Brak świadomości wśród organizacji: Badania UODO pokazują, że 58,5% organizacji nie widzi związku między AI a ochroną danych osobowych lub nie potrafi go określić.
• AI działa w chmurze: Dane wprowadzane do narzędzi AI nie są przetwarzane lokalnie, tylko w chmurze, co niesie ryzyko niekontrolowanego przepływu danych osobowych.
• Fałszywe poczucie bezpieczeństwa: Prosta anonimizacja (np. usunięcie nazwisk) nie wystarcza, gdyż kontekst może pozwalać na identyfikację osoby.
• Zagadnienie trenowania modeli: Dane wprowadzane do AI mogą być używane do trenowania modeli, co rodzi pytania o legalność takiego przetwarzania i podstawę prawną.
• Brak ochrony prawnej konwersacji z chatami AI: Treści wpisywane do AI nie są objęte tajemnicą korespondencji – zaleca się ostrożność.
• Rozwiązania lokalne bardziej bezpieczne, ale kosztowne: Instalacja modeli AI na własnych serwerach może chronić dane, lecz wiąże się z wysokimi kosztami i ograniczeniami technologicznymi.
• Regulaminy narzędzi AI mają znaczenie: Należy uważnie czytać regulaminy – wersje płatne nie zawsze oferują większe bezpieczeństwo. Umowy powierzenia przetwarzania danych (DPA) często wymagają dodatkowych opłat lub liczby subskrypcji.
• Shadow AI jako ryzyko: Zakazy korzystania z AI często są omijane – pracownicy używają prywatnych narzędzi, co może prowadzić do niekontrolowanego przetwarzania danych.
• Klauzule umowne z kontrahentami: Zaleca się wprowadzenie zapisów regulujących korzystanie z AI przez zewnętrzne firmy – może to ograniczyć ryzyko nieautoryzowanego użycia danych.
• Ryzyka procesowe: Przykłady z postępowań sądowych pokazują, że niezweryfikowane użycie AI może prowadzić do odrzucenia dokumentów lub wykluczenia z przetargów.
• Polityka "zero litości": Organy nadzorcze i sądy nie będą pobłażliwe wobec błędów związanych z niewłaściwym użyciem AI – brak procedur, szkoleń i kontroli może skutkować negatywnymi konsekwencjami.

Wnioski: Firmy powinny podchodzić do korzystania z AI z dużą ostrożnością – analizować regulaminy, wdrażać procedury, przeszkolić pracowników i zawierać odpowiednie umowy. Nawet przypadkowe wprowadzenie danych osobowych do AI może prowadzić do naruszenia RODO i odpowiedzialności prawnej.

• Kontekst: W 2026 roku mikro i małe firmy nadal będą musiały przestrzegać przepisów RODO. Choć samo rozporządzenie nie zmieni się zasadniczo, praktyka jego stosowania, oczekiwania Urzędu Ochrony Danych Osobowych (UODO) oraz wytyczne unijne zaostrzą wymogi w obszarach bezpieczeństwa danych, dokumentacji i cyberochrony.
• Najważniejsze obszary, na które mikrofirmy muszą zwrócić uwagę:
  • Silniejsze zarządzanie ryzykiem – obowiązkowa dokumentacja ryzyk i środków ich minimalizacji.
  • Wyższy standard zabezpieczeń technicznych – aktualizacje systemów, silne hasła, kopie zapasowe, szyfrowanie danych.
  • Dokumentacja RODO – uproszczona, ale obowiązkowa, obejmująca m.in. politykę ochrony danych i wykaz czynności przetwarzania.
  • Współpraca z podwykonawcami – konieczne pisemne umowy powierzenia danych z np. księgowymi, firmami IT, operatorami e-commerce.
  • Cyberbezpieczeństwo w usługach online – szczególnie ważne w handlu internetowym i przy korzystaniu z chmury.
• Obowiązki RODO:
  • Ocena ryzyka – dokumentowana, nawet w prostszej formie.
  • Regularne aktualizacje systemów IT – brak aktualizacji może zostać uznany za naruszenie RODO.
  • Obowiązek szyfrowania – szczególnie istotny w usługach i e-commerce.
  • Umowy powierzenia danych z podmiotami zewnętrznymi.
  • Uproszczona, ale aktualna dokumentacja – zgodna z zasadą rozliczalności.
  • Regularne tworzenie kopii zapasowych danych.
  • Szkolenia pracowników – nawet w formie krótkiego instruktażu.
• Instrukcja minimalizacji ryzyka – krok po kroku:
  • Ustal, jakie dane przetwarzasz.
  • Oceń zagrożenia (np. zgubiony telefon, błąd pracownika, phishing).
  • Wdroż środki ochrony (mocne hasła, ograniczenia dostępu, szyfrowanie).
  • Aktualizuj dokumentację zgodnie ze zmianami w działalności.
  • Podpisz umowy powierzenia z zewnętrznymi wykonawcami.
  • Twórz regularne kopie zapasowe.
  • Przeszkol zespół z podstaw ochrony danych.
• Rekomendacje przygotowawcze dla firm:
  • Zacznij od analizy ryzyka – to podstawa zgodności z RODO.
  • Zadbaj o podstawowe zabezpieczenia techniczne (hasła, systemy, backupy).
  • Nie pomijaj dokumentacji – uproszczona wersja jest akceptowalna, ale musi być aktualna.
  • Zweryfikuj dane przekazywane podwykonawcom – podpisz stosowne umowy.
  • Skup się na praktycznej ochronie danych, nie tylko na formalnościach.

• Kontekst sprawy: Artykuł dotyczy wyroku Naczelnego Sądu Administracyjnego (NSA) z końca 2025 roku, który ma duże znaczenie dla ochrony danych osobowych przetwarzanych za pomocą plików cookies na stronach internetowych.
• W tle sprawy: Obywatel złożył skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO) na firmę, która miała bez jego zgody udostępnić dane takie jak ID, adres IP oraz część historii przeglądania administratorowi serwisu trzeciego. Skarga dotyczyła także braku odpowiedzi na wniosek o usunięcie danych.
• Stanowisko Prezesa UODO: Uznał on, że nie doszło do przekazania danych osobowych innemu podmiotowi, a samo nadanie ID bez zgody nie skutkowało ich przetwarzaniem. Uznał również, że dane te mogą stanowić dane osobowe, ale nie dowiódł możliwości identyfikacji osoby fizycznej przez spółkę.
• Ocena WSA w Warszawie: Sąd pierwszej instancji uchylił decyzję Prezesa UODO, wskazując m.in. na:
  • brak pełnego ustalenia stanu faktycznego,
  • brak analizy całości materiału dowodowego,
  • niejasności w uzasadnieniu co do tego, czy dane mogą być uznane za dane osobowe,
  • nieodniesienie się do sprzecznych wyjaśnień przekazanych przez spółkę.
• Stanowisko NSA: Potwierdzono ocenę WSA i oddalono skargę kasacyjną Prezesa UODO. NSA uznał, że:
  • Prezes UODO nie wykazał, że spółka była w stanie zidentyfikować skarżącego na podstawie danych,
  • stosowanie argumentacji dotyczącej możliwości identyfikacji było niespójne i niepoparte dowodami,
  • Prezes UODO oparł się wyłącznie na stanowisku spółki, nie przeprowadzając samodzielnej oceny dowodów,
  • organ nie przeanalizował materiałów dowodowych przedstawionych przez obywatela (np. zrzutów ekranu),
  • prawidłowa kwalifikacja danych jako osobowych miała kluczowe znaczenie dla dalszego postępowania.
• Znaczenie wyroku: Orzeczenie NSA może zwiększyć możliwości Prezesa UODO w zakresie badania zgodności z RODO przy przetwarzaniu danych osobowych za pośrednictwem cookies. Podkreśla też obowiązek rzetelnego analizowania dowodów i logicznego uzasadniania decyzji administracyjnych.

• Kontekst: Artykuł dotyczy uwag Prezesa Urzędu Ochrony Danych Osobowych (UODO) do projektu ustawy umożliwiającej badanie trzeźwości posłów i senatorów przez Straż Marszałkowską za pomocą urządzeń elektronicznych.
• Prezes UODO Mirosław Wróblewski podkreślił, że informacje o zawartości alkoholu w organizmie są uznawane za dane o stanie zdrowia, a więc należą do szczególnych kategorii danych osobowych zgodnie z art. 9 RODO.
• Przetwarzanie tego typu danych wymaga spełnienia rygorystycznych wymogów RODO, w tym jasno określonego celu, niezbędności danych oraz zabezpieczenia prywatności osoby badanej.
• Prezes UODO zalecił przeprowadzenie tzw. testu prywatności oraz pełnej oceny skutków dla ochrony danych, co pozwoliłoby ocenić ryzyko dla wolności i praw osób badanych.
• Podobne regulacje obowiązują już w przypadku pracowników (Kodeks pracy, art. 221c-221g) oraz funkcjonariuszy Straży Marszałkowskiej, gdzie wskazano m.in. na konieczność poszanowania godności i intymności osoby badanej.
• Zdaniem UODO obecna wersja projektu ustawy narusza zasady przetwarzania danych określone w art. 5 RODO, dlatego wymaga doprecyzowania i uzupełnienia.
• Wskazane przez UODO niezbędne zmiany w projekcie ustawy obejmują:
  • jasne określenie celu realizowanego badania i zakresu pozyskiwanych danych,
  • uregulowanie katalogu danych osobowych przetwarzanych w trakcie kontroli,
  • opracowanie procedur dokumentowania i przechowywania wyników badania,
  • zapewnienie ochrony godności i prywatności osoby badanej,
  • wskazanie wymagań technicznych dla urządzeń służących do kontroli trzeźwości.

• Kontekst sprawy: Artykuł dotyczy uzasadnienia wyroku w sprawie cywilnej, w której jedna ze stron opierała się na analizach prawnych wygenerowanych przez sztuczną inteligencję (AI), konkretnie ChatGPT. Powód nie ufał sędziemu i wolał konsultować swoje działania z cyfrowym doradcą na sali sądowej.
• Kluczowe rozstrzygnięcie Sądu: Sąd jednoznacznie stwierdził, że treści wygenerowane przez AI nie mogą być traktowane jako dowody w postępowaniu cywilnym, ponieważ nie spełniają ustawowej definicji dokumentu zawartej w art. 77(3) kodeksu cywilnego.
• Brak woli ludzkiej – kluczowy argument: Treści tworzone przez AI nie zawierają ludzkiej woli ani intelektualnej zawartości w rozumieniu prawa cywilnego. Oznacza to, że AI nie może formułować oświadczeń woli ani prezentować faktów – są to jedynie twierdzenia i opinie.
• Wartość dowodowa dokumentów AI: Sąd uznał, że wydruki z konwersacji z ChatGPT nie stanowią ani dokumentu, ani dowodu. Mogą być traktowane co najwyżej jako element argumentacji strony, ale nie mają żadnej mocy dowodowej.
• Postawa sądu wobec pism generowanych przez AI: Pisma procesowe sporządzone przez AI mogą zostać odebrane przez sąd jako brak szacunku dla wymiaru sprawiedliwości. Wymaga się precyzji i odpowiedzialności za każde słowo – coś, czego AI nie jest w stanie zapewnić.
• Znaczenie wyroku dla przyszłości: Wyrok ten może zapowiadać szersze podejście sądów, w którym będą one konsekwentnie odrzucać wszelkie próby wykorzystywania sztucznej inteligencji jako źródła dowodów lub formalnych analiz prawnych w procesach sądowych.
• Pouczenie strony w procesie: Powód został sądownie pouczony o obowiązku przedstawiania dowodów pochodzących od ludzi – zastosowanie AI do generowania „dowodów” nie spełnia tego wymogu i nie może wpłynąć na rozstrzygnięcie sprawy.