RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 14.04.2026 r. 

  RODO aktualności

Naruszenia ochrony danych w świetle Ustawy o KSC » Indie wchodzą w intensywną fazę wdrażania Digital Personal Data Protection Act » Ciężar dowodu spoczywa na administratorze – ważny wyrok NSA po wycieku danych pacjentów » Raport o stanie jawności w Polsce za 2025 r. Eksperci potwierdzają pesymistyczną diagnozę i komentują raport Watchdog Polska » Użycie AI do tworzenia haseł to zaproszenie dla hakerów » 17 kwietnia wchodzi w życie rewolucja w badaniach lekarskich » Egzekwowanie wierzytelności po zmarłej osobie wymaga podstawy prawnej – wyrok NSA

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Naruszenia ochrony danych w świetle Ustawy o KSC

  • Kontekst: nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2 (wejście w życie: 3 kwietnia), wprowadza mechanizm, w którym organy właściwe ds. cyberbezpieczeństwa będą informować Prezesa UODO o podejrzeniach naruszeń ochrony danych osobowych wykrytych podczas nadzoru. To tworzy nowy kanał informacji, niezależny od zgłoszeń składanych przez administratorów na podstawie art. 33 RODO.
  • Kogo dotyczy ustawa o KSC: tzw. podmioty kluczowe i ważne z sektorów m.in. energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa, sektor publiczny.
  • Dlaczego temat jest istotny: cyberincydent dotyczący systemu informacyjnego często wiąże się jednocześnie z naruszeniem danych osobowych przetwarzanych w tym systemie (np. nieuprawniony dostęp, utrata danych).
  • Nowy „punkt styku” KSC i RODO: mimo że KSC i RODO to różne reżimy prawne, w praktyce ich zakresy mogą się nakładać, bo te same zdarzenia mogą mieć znaczenie zarówno dla cyberbezpieczeństwa, jak i ochrony danych.
  • Co wprowadza art. 59a znowelizowanej ustawy o KSC: jeżeli organ ds. cyberbezpieczeństwa w toku nadzoru stwierdzi podejrzenie naruszenia ochrony danych osobowych, ma obowiązek poinformować Prezesa UODO w terminie 7 dni (lub inny właściwy organ).
  • To jest obowiązek, nie opcja: przepis używa sformułowania „organ … informuje”, co oznacza brak uznaniowości.
  • Niski próg uruchomienia obowiązku: wystarczy podejrzenie naruszenia, a nie jego pewne potwierdzenie; organ nie musi dokonywać pełnej kwalifikacji prawnej zdarzenia jak w RODO.
  • Jak wygląda nadzór w KSC (szerokie uprawnienia): organy ds. cyberbezpieczeństwa mogą m.in. prowadzić kontrole na miejscu i zdalnie, nakazać audyt bezpieczeństwa, zlecić ocenę systemu przez CSIRT, żądać dokumentów i informacji, a nawet czasowo wyznaczyć urzędnika monitorującego.
  • Co to oznacza w praktyce: podczas kontroli (np. analiza logów, rejestru incydentów, konfiguracji zabezpieczeń, wyjaśnień) organ może natrafić na sygnały wskazujące na potencjalne naruszenia danych osobowych.
  • Wiele możliwych źródeł informacji dla UODO: podejrzenia mogą pochodzić od różnych organów sektorowych (np. KNF, Prezes UKE, właściwi ministrowie) – każdy w ramach swojego obszaru nadzoru.
  • Niezależnie od zgłoszeń z art. 33 RODO: mechanizm z art. 59a KSC działa obok obowiązku administratora zgłoszenia naruszenia do UODO.
  • Różne terminy i moment startu:
    • administrator (RODO): 72 godziny od stwierdzenia naruszenia,
    • organ ds. cyberbezpieczeństwa (KSC): 7 dni od stwierdzenia podejrzenia.
  • Efekt: Prezes UODO może dostać informacje o tym samym zdarzeniu z co najmniej dwóch źródeł, w różnym czasie i z różnym poziomem szczegółowości.
  • Najważniejsza konsekwencja dla organizacji: dla podmiotów jednocześnie objętych KSC (jako kluczowe/ważne) i RODO (jako administratorzy) wzrośnie prawdopodobieństwo wykrycia zaniedbań, w tym także niezgłoszonych naruszeń ochrony danych osobowych.
  • Kontrole cyberbezpieczeństwa mogą ujawnić również problemy „RODO”: nadzór KSC może wykrywać nie tylko braki w zarządzaniu bezpieczeństwem systemów, ale też okoliczności istotne dla oceny naruszeń przepisów o ochronie danych.
  • Wyzwanie systemowe: praktyczne stosowanie art. 59a będzie wymagało standardów współpracy między organami ds. cyberbezpieczeństwa a organami nadzorczymi RODO oraz sprawnego „zagospodarowania” informacji napływających z wielu instytucji.
Źródło

Indie wchodzą w intensywną fazę wdrażania Digital Personal Data Protection Act

  • Kontekst: Indie wchodzą w intensywną fazę wdrażania Digital Personal Data Protection Act (DPDPA). Po publikacji przepisów wykonawczych w listopadzie 2025 r. widać wyraźne przyspieszenie działań zarówno po stronie regulatora, jak i firm.
  • Rosnące tempo przygotowań: aktywność compliance związana z DPDPA rośnie z tygodnia na tydzień, a organizacje porządkują procesy przetwarzania danych i przygotowują się do nowych obowiązków.
  • Możliwe skrócenie czasu na wdrożenie: pojawiają się propozycje skrócenia okresu wdrożeniowego z 18 do 12 miesięcy. Rynek reaguje obawami, bo wiele podmiotów wskazuje, że nawet obecny termin jest trudny do dotrzymania przy skali zmian.
  • Większa uwaga na cookies i identyfikatory urządzeń: wykorzystanie plików cookies oraz identyfikatorów urządzeń coraz częściej jest analizowane bezpośrednio pod kątem zgodności z DPDPA, szczególnie w reklamie i marketingu.
  • Budowa spójniejszego ekosystemu regulacyjnego: równolegle widać próbę rozszerzania ogólnych ram ochrony danych o przepisy sektorowe. Wraca dyskusja o regulacjach dotyczących danych zdrowotnych (DISHA), które mają uzupełniać ochronę danych w obszarze szczególnie wrażliwym i mocno zdigitalizowanym.
  • Podejście do AI bez nowej ustawy: rząd Indii sygnalizuje, że nie planuje odrębnej ustawy o sztucznej inteligencji. Zamiast tego stawia na wykorzystanie istniejących przepisów oraz podejście „techno-legal” (łączenie narzędzi prawnych, nadzoru i mechanizmów technicznych już na etapie projektowania systemów).
  • Rynek traktuje prywatność i AI coraz poważniej: dane rynkowe wskazują, że większość firm w Indiach rozwija programy privacy i planuje dalsze inwestycje w zarządzanie danymi oraz wdrażanie AI w sposób zgodny z regulacjami i oparty na zaufaniu użytkowników.
  • Główny wniosek: Indie budują model łączący regulację danych i rozwój AI w sposób pro-innowacyjny, bez mnożenia nowych aktów prawnych. Otwarte pozostaje pytanie, czy integracja istniejących ram pozwoli utrzymać równowagę między ochroną danych a szybkim rozwojem technologii.
Źródło

Ciężar dowodu spoczywa na administratorze - ważny wyrok NSA po wycieku danych pacjentów

  • Kontekst: Artykuł pokazuje, że w przypadku naruszenia ochrony danych osobowych nie wystarczy ogólnie twierdzić, że dopełniono obowiązków z RODO. Trzeba umieć udowodnić, że wymagane działania (np. powiadomienia osób) zostały rzeczywiście i skutecznie wykonane.
  • W klinice stomatologicznej doszło do wycieku danych pacjentów (m.in. PESEL, adresy, numery telefonów).
  • Mimo że istniało wysokie ryzyko naruszenia praw i wolności pacjentów, klinika nie powiadomiła osób, których dane dotyczą, o incydencie.
  • Obowiązek powiadomienia został nałożony na klinikę decyzją Prezesa UODO. Decyzja stała się prawomocna, ale administrator zwlekał z jej realizacją.
  • Klinika przedstawiała niespójne wyjaśnienia i próbowała wykazać wykonanie obowiązku m.in. fakturą za zakup znaczków oraz lakonicznym „potwierdzeniem nadania”, które nie potwierdzały faktycznego wysłania zawiadomień do pacjentów.
  • Dopiero po nałożeniu kary klinika przedstawiła rzeczywiste dowody nadania korespondencji.
  • Prezes UODO uznał, że obowiązek nie został wykonany w wymagany sposób i czasie, i nałożył karę w wysokości ponad 85 tys. zł.
  • Stanowisko UODO zostało utrzymane przez sądy administracyjne i ostatecznie potwierdzone przez Naczelny Sąd Administracyjny (NSA).
  • NSA podkreślił, że to administrator danych ma obowiązek wykazać, że podjął skuteczne działania naprawcze (ciężar dowodu spoczywa na administratorze).
  • Późniejsze wykonanie obowiązku (po czasie) nie usuwa odpowiedzialności za wcześniejsze niewykonanie.
  • Niewykonanie decyzji organu nadzorczego jest traktowane jako odrębne naruszenie, niezależne od samego incydentu wycieku.
  • Za nieprzestrzeganie nakazów organu (art. 83 ust. 6 RODO) mogą grozić kary do 20 mln euro lub 4% rocznego obrotu.
  • Wniosek praktyczny: relacja z organem nadzorczym nie kończy się na wydaniu decyzji — kluczowe jest terminowe, rzetelne wykonanie decyzji oraz posiadanie wiarygodnych dowodów, że działania faktycznie zostały zrealizowane.
Źródło

Raport o stanie jawności w Polsce za 2025 r. Eksperci potwierdzają pesymistyczną diagnozę i komentują raport Watchdog Polska

  • Kontekst: Prawo do informacji publicznej przysługuje każdemu obywatelowi, ale w praktyce uzyskanie informacji bywa trudne. Eksperci potwierdzają ustalenia Sieci Obywatelskiej Watchdog Polska, która w raporcie za 2025 r. oceniła, jak państwo działało w obszarze jawności.
  • Główna diagnoza raportu: Problemy z jawnością mają w Polsce charakter utrwalony i systemowy. Mimo pojedynczych pozytywnych inicjatyw nie widać realnej poprawy przejrzystości życia publicznego, a w części obszarów pojawiają się oznaki pogorszenia standardów.
  • Są działania, ale bez „przełomu”: W 2025 r. były ważne rozstrzygnięcia sądowe, interwencje RPO oraz postępy legislacyjne (m.in. uruchomienie Centralnego Rejestru Umów – CRU), jednak nie przełożyło się to na przełom w praktyce dostępu do informacji.
  • CRU jako przykład napięć wokół transparentności: Wieloletnie prace nad CRU miały pokazać typowe mechanizmy osłabiania jawności (np. próby podwyższania progów kwotowych czy zawężania zakresu danych). Jednocześnie wskazano, że CRU ma działać bez progu kwotowego – to przykład postulatu, który udało się zrealizować (w raporcie, zdaniem jednej z ekspertek, mogłoby być więcej takich pozytywnych akcentów).
  • Niektóre reformy są spowalniane: Ekspert zwraca uwagę na opóźnienia i „polityczne rozgrywanie” zmian, m.in. przy wdrażaniu unijnych regulacji (np. akt o usługach cyfrowych – DSA) czy przepisów anty-SLAPP (mających chronić przed nadużywaniem pozwów do uciszania krytyki).
  • Najczęstsze bariery w dostępie do informacji:
    • niejednolita praktyka urzędów,
    • przewlekłość postępowań,
    • narastające napięcie między jawnością a innymi wartościami (prywatność, bezpieczeństwo, kontrola przekazu w internecie).
  • Nadużywanie pojęcia „informacji przetworzonej”: To jedna z kluczowych przeszkód. W praktyce bywa wykorzystywane jako pretekst do odmowy lub utrudniania dostępu do danych, podobnie jak zasłanianie się tajemnicą przedsiębiorstwa czy odmawianie rozpatrywania anonimowych wniosków.
  • Droga sądowa często nie pomaga przeciętnemu obywatelowi: Chociaż istnieje możliwość zaskarżania decyzji do sądów administracyjnych, postępowania są skomplikowane i długie, przez co ta ścieżka nie stanowi realnej, szybkiej ochrony w wielu sprawach.
  • Rekomendacja kluczowa: niezależny organ ds. informacji publicznej: Watchdog oraz część ekspertów wskazują, że taka instytucja mogłaby:
    • odciążyć sądy,
    • ujednolicić praktykę organów,
    • wzmocnić realne wykonywanie prawa do informacji (to rozwiązanie spotykane w części państw europejskich i wskazywane jako dobry standard).
  • Wątek międzynarodowy: Polska nadal nie ratyfikowała Konwencji z Tromsø (dot. standardów dostępu do informacji). Eksperci zauważają, że ratyfikacja wymagałaby zmian w systemie ograniczeń jawności (np. wprowadzenia testów szkody i ważenia interesów), co mogłoby zarówno wzmocnić standardy, jak i zmienić zasady ograniczania dostępu.
  • Stała niechęć władz – niezależnie od ekipy rządzącej: Według jednego z ekspertów polskie władze tradycyjnie niechętnie:
    • uczestniczą w międzynarodowych mechanizmach prawa do informacji,
    • tworzą niezależny organ odpowiedzialny za jawność.
    To ma osłabiać rozwój krajowego systemu prawa do informacji.
  • Inne postulaty zmian:
    • pełna implementacja dyrektywy anty-SLAPP,
    • usunięcie art. 212 kodeksu karnego (zniesławienie) – jako element ochrony wolności wypowiedzi i debaty publicznej,
    • nowa ustawa o oświadczeniach majątkowych – dla uporządkowania systemu i wzmocnienia kontroli antykorupcyjnej.
  • Postulat przeglądu ustawy o dostępie do informacji publicznej: Wskazano, że od uchwalenia ustawy w 2001 r. nie przeprowadzono całościowego, formalnego przeglądu jej działania, mimo sygnalizowanych problemów. Zdaniem eksperta najbardziej właściwą instytucją do podjęcia takiego przeglądu mógłby być RPO.
  • Różnice w ocenie skali problemu: Jedna z ekspertek podkreśla, że kluczowa jest wola instytucji zobowiązanych i że nie należy oceniać całego systemu wyłącznie na podstawie spraw trafiających do sądów (bo te z natury dotyczą sytuacji spornych).
  • Wniosek końcowy: Dostęp do informacji to jedno z najważniejszych narzędzi kontroli władzy i budowania zaufania do instytucji. Jednocześnie jawność nie może być absolutna – zmiany powinny być dobrze zaplanowane i wyważone, tak aby godzić przejrzystość z innymi prawami, zwłaszcza z prawem do prywatności.
Źródło

Użycie AI do tworzenia haseł to zaproszenie dla hakerów

  • Kontekst: Stosowanie AI (modeli językowych, np. GPT, Claude, Gemini) do generowania haseł to realne zagrożenie dla bezpieczeństwa danych w instytucjach publicznych i firmach. Takie hasła często tylko wyglądają na mocne, ale bywają przewidywalne, przez co przestępcy mogą je szybciej złamać. Dla administratorów danych i podmiotów IT oznacza to także ryzyko naruszenia obowiązków należytej staranności oraz sankcji na gruncie RODO.
  • Dlaczego AI nie tworzy naprawdę bezpiecznych haseł: Modele językowe nie są generatorami losowości. Działają statystycznie i „przewidują” najbardziej prawdopodobne znaki, dlatego potrafią produkować hasła o powtarzalnych schematach (mimo cyfr, znaków specjalnych i wielkich liter).
  • Ryzyko powtarzalności: AI może rekomendować identyczne lub bardzo podobne hasła wielu osobom, bo bazuje na wzorcach, których „nauczyła się” jako poprawnych.
  • Wyniki badań (Irregular, luty 2026): potwierdzono dużą powtarzalność:
    • W Claude Opus 4.6 w 50 próbach to samo hasło powtórzyło się 18 razy; to daje przestępcy ok. 36% szans trafienia w pierwszej próbie.
    • W wielu wynikach pojawiały się te same początki haseł (np. sekwencje typu „G7”, „v…”, „vQ7!”, „K/k…”), co ułatwia ataki.
  • Entropia (miara „losowości”):
    • Prawdziwie losowe hasło 16-znakowe ma ok. 98 bitów entropii i może być odporne na ataki brute-force przez skrajnie długi czas.
    • Hasła generowane przez LLM mogą mieć ok. 27 bitów entropii, co oznacza możliwość złamania nawet w kilka sekund na zwykłym komputerze.
  • Problem przenika do kodu i systemów: Agenci AI używani do pisania kodu mogą generować i wstawiać hasła do plików konfiguracyjnych, a programiści czasem akceptują sugestie bez weryfikacji. Takie hasła trafiają też do publicznych repozytoriów (np. GitHub) i są dalej kopiowane, co zwiększa skalę ryzyka.
  • „Pułapka audytowa”: Standardowe narzędzia do oceny haseł często uznają hasła z AI za bardzo silne, bo sprawdzają głównie długość i różnorodność znaków, ale nie uwzględniają przewidywalności wynikającej z tego, że hasło pochodzi z konkretnego modelu.
  • Ataki dopasowane do modelu: Przestępcy mogą używać list haseł i wzorców tworzonych pod konkretne modele („model-specific wordlists”), wiedząc, jakie sekwencje dany model lubi generować.
  • Skutki prawne i zgodność z RODO:
    • Administratorzy danych i firmy IT muszą wykazywać należytą staranność i śledzić aktualne zagrożenia. Używanie przewidywalnych haseł z AI może zostać uznane za jej naruszenie (wskazywane są m.in. art. 355 §1 i §2 k.c.).
    • RODO (art. 32 ust. 1) wymaga zabezpieczeń adekwatnych do stanu wiedzy technicznej; przewidywalne hasła mogą być traktowane jako niespełnienie tego obowiązku.
    • Przy wycieku danych organ nadzorczy może ocenić sytuację jako rażące niedbalstwo, co zwiększa ryzyko kar i roszczeń.
    • Wskazano przykład decyzji Prezesa UODO (20 maja 2024 r., DKN.5112.35.2021), gdzie m.in. zarzucono niewystarczającą analizę ryzyka dot. słabych haseł oraz brak regularnego testowania skuteczności zabezpieczeń; w konsekwencji doszło do wycieku danych i szantażu.
    • Skala kar: administracyjne kary mogą sięgać do 10/20 mln euro lub do 2%/4% obrotu (w zależności od podstawy i okoliczności). W przytoczonej sprawie kara wyniosła 1 440 549 zł.
    • Dodatkowo zwrócono uwagę na możliwą odpowiedzialność kierowników jednostek za rażące zaniedbania w obszarze środków technicznych bezpieczeństwa (ustawa o krajowym systemie cyberbezpieczeństwa).
  • Uwaga praktyczna: Nie zawsze da się automatycznie przesądzić, że każde hasło użytkownika wygenerowane przez AI oznacza naruszenie należytej staranności — może być potrzebna analiza konkretnego przypadku i regulaminu usługi AI.
  • Rekomendacje (jak generować hasła bezpiecznie):
    • Unikać haseł generowanych przez LLM.
    • W projektach IT wymusić, aby agenci kodujący korzystali z bezpiecznych mechanizmów generowania haseł, zamiast „wymyślać” je językowo.
    • Stosować CSPRNG (kryptograficznie bezpieczne generatory liczb pseudolosowych) do tworzenia haseł.
    • Przechowywać hasła w menedżerach haseł (zaszyfrowane „sejfy”, bez dostępu dostawcy do treści).
    • Regularnie przeszukiwać kod źródłowy pod kątem znanych wzorców haseł generowanych przez AI (aby wykrywać przypadkowe „zaszycie” takich haseł w repozytoriach i konfiguracjach).
Źródło

17 kwietnia wchodzi w życie rewolucja w badaniach lekarskich

  • Kontekst: Ministerstwo Zdrowia wprowadza zmiany dotyczące orzeczeń lekarskich dla celów Kodeksu pracy (badania profilaktyczne pracowników). Główna zmiana to możliwość sporządzania tych orzeczeń w formie elektronicznej, z pozostawieniem opcji papierowej w wyjątkowych sytuacjach.
  • Termin wejścia w życie: nowe przepisy zaczną obowiązywać 17 kwietnia (14 dni od ogłoszenia rozporządzenia w Dzienniku Ustaw).
  • Elektroniczne orzeczenia: orzeczenie sporządzone elektronicznie będzie:
    • zapisywane i przechowywane w Systemie Informacji Medycznej (SIM),
    • a następnie jego dane będą przekazywane do Internetowego Konta Pacjenta (IKP).
  • Forma papierowa nadal możliwa: orzeczenie będzie można wystawić na papierze, gdy wystąpi brak dostępu do wymaganego systemu teleinformatycznego. Określono też wzór dokumentu na taką sytuację.
  • Dostęp dla osoby badanej (pracownika):
    • na żądanie pracownika orzeczenie elektroniczne może zostać przekazane jako wydruk,
    • orzeczenie sporządzone na papierze będzie przekazywane pracownikowi.
  • Przekazywanie orzeczenia pracodawcy: niezależnie od formy (elektroniczna/papierowa) orzeczenie ma być przekazywane pracodawcy, który wystawił skierowanie, w terminie i w sposób określony w umowie.
  • Zakres informacji w orzeczeniu: doprecyzowano, jakie informacje mają trafiać do pracodawcy (zależnie od rodzaju orzeczenia), w tym możliwość wpisania:
    • zaleceń lekarza wynikających z warunków pracy, albo
    • zaleceń związanych z decyzją o przeniesieniu pracownika na inne stanowisko.
  • Informacje przydatne także zdrowotnie: ze względu na dostępność dokumentów w IKP, w orzeczeniu mają pojawiać się także informacje, które mogą pomóc pracownikowi w profilaktyce zdrowotnej i w korzystaniu z innych świadczeń zdrowotnych (poza samym kontekstem zawodowym).
  • Nowość: indywidualne zalecenia prozdrowotne: jeśli lekarz uzna za zasadne działania prozdrowotne, sporządzi odrębne zalecenia indywidualne:
    • tworzone w tej samej formie co orzeczenie (elektronicznie w IKP lub na papierze),
    • przekazywane pracownikowi,
    • nieprzekazywane pracodawcy.
  • Nowe wzory dokumentów: wprowadzono nowe wzory orzeczeń (załączniki nr 2 i 3 do rozporządzenia).
  • Pieczęć lekarza: zaktualizowano przepisy dotyczące pieczęci lekarza medycyny pracy — pozostawiono jej wzór na potrzeby orzeczeń papierowych.
  • Okres przejściowy: przez maksymalnie 6 miesięcy od wejścia w życie rozporządzenia będzie można wystawiać i przekazywać orzeczenia także na dotychczasowych zasadach.
  • Szerszy cel zmian: regulacje są elementem cyfryzacji dokumentów medycyny pracy w ramach działań Krajowego Planu Odbudowy (inwestycja D1.1.2 dotycząca rozwoju usług cyfrowych w ochronie zdrowia).
Źródło

Egzekwowanie wierzytelności po zmarłej osobie wymaga podstawy prawnej – wyrok NSA

  • Kontekst: Śmierć osoby mającej długi nie oznacza automatycznie, że jej bliscy/spadkobiercy odpowiadają za zobowiązania. To także nie daje wierzycielom prawa do samodzielnego pozyskiwania i przetwarzania danych potencjalnych spadkobierców wyłącznie po to, by prowadzić windykację.
  • Co się wydarzyło: 8 kwietnia 2026 r. Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną BEST Towarzystwa Funduszy Inwestycyjnych S.A., podtrzymując wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 17 listopada 2022 r.
  • Skutek wyroku: NSA potwierdził prawidłowość decyzji Prezesa UODO z 2021 r., który nakazał usunięcie danych osobowych skarżącego.
  • Dlaczego UODO uznał działania za bezprawne: Organ wskazał, że ani spółka, ani fundusz nie miały podstawy prawnej do przetwarzania danych osobowych skarżącego w celu odzyskania wierzytelności po zmarłej osobie.
  • Kluczowa zasada: Wierzyciele (ani podmioty działające w ich imieniu) nie są uprawnieni do samodzielnego ustalania, kto jest spadkobiercą. Ustalenie kręgu spadkobierców należy do sądu powszechnego.
  • Co jest potrzebne, aby formalnie ustalić spadkobierców: Konieczne jest przeprowadzenie postępowania o stwierdzenie nabycia spadku. Dopiero takie rozstrzygnięcie pozwala jednoznacznie wskazać, kto i w jakim zakresie nabył spadek.
  • Ważne doprecyzowanie: Sama śmierć spadkodawcy nie przesądza, że jego zstępni (np. dzieci) odpowiadają za długi.
  • Szersze zjawisko: Do Prezesa UODO trafiają skargi dotyczące sytuacji, w których wierzyciele kierują żądania zapłaty do osób uznawanych za spadkobierców, a te osoby podnoszą brak podstaw do przetwarzania ich danych.
  • Problem praktyczny: Wezwania do spłaty bywają kierowane także do osób, które odrzuciły spadek, co dodatkowo wzmacnia zarzuty o nieuprawnione działania wierzycieli.
  • Sygnatury spraw (dla identyfikacji): III OSK 875/23, II SA/Wa 368/22, DS.523.6584.2020.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry