RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 16.12.2025 r. 

  RODO aktualności

Prezes UODO reaguje w sprawie kamer monitoringu zbierających dane z posesji sąsiadów » EROD przyjęła zalecenia dotyczące podstaw prawnych do tworzenia kont użytkowników na stronach e-commerce » Sąd Rejonowy: zlecenie detektywowi śledzenia pracownika jest zgodne z RODO » Boimy się geopolityki i AI, a wciąż nie mamy antywirusów » Pierwsza kara nałożona na podstawie DSA » Pendrive, błąd i 20 000 zł kary dla Sanepidu. Prezes UODO wyciąga konsekwencje » Upominki i życzenia, czyli świąteczny test dla danych osobowych

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Prezes UODO reaguje w sprawie kamer monitoringu zbierających dane z posesji sąsiadów

  • Kontekst sprawy: Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał decyzję w sprawie prywatnego monitoringu obejmującego przestrzeń publiczną oraz sąsiednie posesje. Mieszkańcy zgłosili naruszenia prywatności i brak zgody na przetwarzanie danych z kamer.
  • System kamer zainstalowany przez osobę fizyczną rejestrował obraz i dźwięk 24 godziny na dobę. Urządzenia obejmowały m.in. drogę publiczną i posesje należące do innych osób.
  • Wśród zarzutów znalazło się m.in. skierowanie jednej z kamer bezpośrednio na okno toalety sąsiada, co zostało uznane za szczególnie naruszające prywatność.
  • Właściciel monitoringu dwukrotnie nie odebrał korespondencji od UODO i nie złożył wymaganych wyjaśnień, co nie zablokowało postępowania. Organ oparł się na zgromadzonym materiale dowodowym.
  • Prezes UODO stwierdził, że monitoring stosowany przez osobę fizyczną nie korzysta z tzw. wyjątku domowego, ponieważ obejmuje przestrzeń publiczną i cudze nieruchomości, a nie wyłącznie działkę właściciela.
  • Przepis RODO nie znajduje zastosowania tylko wtedy, gdy działania mają czysto osobisty lub domowy charakter, czego nie spełniał ten przypadek – potwierdza to także wyrok Trybunału Sprawiedliwości UE z 2014 r.
  • Decyzja Prezesa UODO: nakazano zaprzestanie przetwarzania danych osobowych (obrazu i dźwięku) z obszaru poza posesją właściciela kamer w terminie 7 dni od doręczenia decyzji.
  • Za jedyny wiarygodny dowód zaprzestania przetwarzania danych uznano demontaż kamer lub trwałe skierowanie ich wyłącznie na teren należący do właściciela.
  • UODO zaznaczył, że zapewnienie porządku publicznego nie należy do kompetencji osób prywatnych. Monitoring nie może być wykorzystywany do gromadzenia materiałów w celu inicjowania postępowań o wykroczenie.
Źródło

EROD przyjęła zalecenia dotyczące podstaw prawnych do tworzenia kont użytkowników na stronach e-commerce

  • Kontekst: 112. posiedzenie Europejskiej Rady Ochrony Danych (EROD), które odbyło się w dniach 2–3 grudnia 2025 r., było poświęcone m.in. prywatności użytkowników sklepów internetowych, nowym regulacjom cyfrowym oraz zmianom kadrowym w EROD.
  • Zalecenia EROD dla stron e-commerce:
    • EROD przyjęła wytyczne dotyczące zasadności wymagania utworzenia konta użytkownika w sklepach internetowych.
    • Zgodnie z zaleceniami, użytkownicy powinni mieć możliwość robienia zakupów w trybie "gościa" – bez konieczności zakładania konta.
    • Zakładanie konta powinno być opcjonalne, chyba że jest to niezbędne do świadczenia specjalnych usług, np. subskrypcji lub ofert ekskluzywnych.
    • Takie podejście wspiera zasadę minimalizacji przetwarzania danych osobowych zgodnie z RODO.
    • Wytyczne zostaną poddane konsultacjom publicznym, dając możliwość wypowiedzenia się zainteresowanym stronom.
  • Dyskusja na temat inicjatywy Digital Omnibus:
    • EROD i Europejski Inspektor Ochrony Danych (EIOD) rozpoczęły analizę propozycji legislacyjnej Digital Omnibus przygotowanej przez Komisję Europejską.
    • Zwrócono uwagę na potencjalne ryzyko rozszerzenia definicji danych osobowych, co może wykraczać poza orzecznictwo Trybunału Sprawiedliwości UE i osłabiać ochronę danych.
    • Obie instytucje zadeklarowały chęć wspierania uproszczeń dla organizacji oraz utrzymania silnej ochrony praw jednostki.
    • Podkreślono znaczenie nadchodzącego wydarzenia interesariuszy dotyczącego anonimizacji i pseudonimizacji (12 grudnia 2025 r.).
  • Nowa wiceprzewodnicząca EROD:
    • Jelena Virant Burnik, Rzeczniczka ds. Informacji Słowenii, została wybrana na nową Wiceprzewodniczącą EROD.
    • Zapowiedziała zaangażowanie w rozwój skutecznej polityki ochrony danych oraz wzmacnianie współpracy między organami nadzorczymi w UE.
    • W nadchodzących latach będzie współpracować z przewodniczącą Anu Talus i wiceprzewodniczącym Zdravko Vukićem w celu zapewnienia spójnego stosowania RODO w całej Unii Europejskiej.
Źródło

Sąd Rejonowy: zlecenie detektywowi śledzenia pracownika jest zgodne z RODO

  • Kontekst sprawy: Pracodawca rozwiązał umowę o pracę bez wypowiedzenia z pracownikiem, który był objęty ochroną przedemerytalną, zarzucając mu ciężkie naruszenie obowiązków pracowniczych. Pracownik zaskarżył decyzję do sądu, domagając się przywrócenia do pracy i zaległego wynagrodzenia.
  • Uzasadnienie zwolnienia: Pracodawca powołał się na uzasadniony interes przetwarzania danych zgodnie z RODO, zlecając agencji detektywistycznej obserwację pracownika podejrzewanego o nadużywanie czasu pracy do celów prywatnych.
  • Zakres obserwacji: Pracownik był obserwowany losowo przez 10 dni w okresie dwóch miesięcy, wyłącznie w godzinach pracy. Stwierdzono m.in. prywatne zakupy, wizyty w domu, mycie prywatnego pojazdu, wizyty u żony prowadzącej własną działalność oraz wykonywanie prywatnych zadań przez innych pracowników na jego polecenie.
  • Legalność działań pracodawcy: Sąd uznał, że zlecenie obserwacji detektywistycznej i jej forma były zgodne z prawem – nie naruszono przepisów o ochronie danych osobowych (RODO), ani dóbr osobistych pracownika.
  • Wartość dowodowa raportu: Raport detektywistyczny został uznany za rzetelny dowód w postępowaniu. Nawet jeśli powstałby w sposób mogący budzić wątpliwości, to nie istnieją przepisy obligujące do jego odrzucenia, jeśli jest używany w postępowaniu sądowym.
  • Decyzja sądu: Sąd oddalił powództwo pracownika, akceptując działania pracodawcy jako uzasadnione, celowe i proporcjonalne. Przetwarzanie danych osobowych pracownika odbyło się zgodnie z art. 6 ust. 1 lit. f RODO – w oparciu o prawnie uzasadniony interes pracodawcy.
  • Znaczenie sprawy: Wyrok sądu potwierdza, że legalne jest korzystanie przez pracodawcę z usług detektywa jako środka dowodowego w sporach pracowniczych, nawet wobec pracownika objętego szczególną ochroną, jeśli działania te są proporcjonalne, legalne i służą wykazaniu naruszeń obowiązków pracowniczych.
Źródło

Boimy się geopolityki i AI, a wciąż nie mamy antywirusów

  • Kontekst: Artykuł omawia wyniki raportu "Cyberportret polskiego biznesu 2025" przygotowanego przez ESET i DAGMA Bezpieczeństwo IT, koncentrując się na tym, jak przygotowane są polskie firmy na cyberzagrożenia – w szczególności ataki ransomware – oraz na ich gotowość do wdrożenia unijnych regulacji jak NIS2.
  • Alarmujące dane o cyberzagrożeniach:
    • Polska zajęła 1. miejsce na świecie pod względem liczby wykrytych ataków ransomware w pierwszym półroczu 2025 roku.
    • 17% pracowników, którzy doświadczyli cyberataku, nie poinformowało o tym nikogo.
  • Braki w umiejętnościach i świadomości pracowników:
    • Tylko 19% pracowników uważa swoje kompetencje cyberbezpieczeństwa za wysokie, a 38% czuje się przygotowanych do działania w sytuacji zagrożenia.
    • 55% pracowników nie uczestniczyło w ciągu ostatnich pięciu lat w żadnym szkoleniu z cyberbezpieczeństwa.
    • Wielu pracowników działa intuicyjnie lub błędnie w sytuacji incydentu.
  • Problemy z wdrażaniem NIS2:
    • NIS2 to unijna dyrektywa dotycząca cyberbezpieczeństwa – firmy muszą same ustalić, czy pod nią podlegają.
    • 36% specjalistów ds. bezpieczeństwa nie wie, czy ich firma musi realizować wymagania NIS2.
    • Niezrozumienie NIS2 grozi karami oraz brakiem zgodności z prawem.
  • Niska gotowość na techniczne zagrożenia:
    • Jedynie 53% firm posiada aktywnie wdrożone rozwiązania antywirusowe.
    • 55% pracowników używa tych samych haseł do różnych kont służbowych.
    • Tylko co czwarta firma korzysta z uwierzytelniania dwuskładnikowego (2FA).
  • Rosnąca świadomość i działania naprawcze:
    • 53% firm zaktualizowało politykę cyberbezpieczeństwa, a 34% planuje ją poprawić.
    • 51% organizacji wdrożyło dodatkowe szkolenia, kolejne 38% planuje to zrobić.
    • Firmy zaczynają bardziej zwracać uwagę na kraj pochodzenia narzędzi i technologii – 57% specjalistów bierze to pod uwagę przy zakupach.
  • Wnioski końcowe:
    • Brakuje szkoleń i edukacji – to jedno z największych zagrożeń dla cyberbezpieczeństwa w Polsce.
    • Firmy dostrzegają problem i coraz częściej podejmują działania zwiększające odporność na cyberataki.
    • Optymistyczny sygnał: coraz więcej organizacji rozumie nieuniknioną potrzebę inwestowania w bezpieczeństwo cyfrowe.
Źródło

Pierwsza kara nałożona na podstawie DSA

  • Kontekst: Komisja Europejska ukarała platformę X (dawniej Twitter) grzywną w wysokości 120 mln euro za złamanie przepisów Aktu o usługach cyfrowych (Digital Services Act – DSA), których celem jest zapewnienie większej przejrzystości i odpowiedzialności cyfrowych gigantów w UE.
  • Wprowadzenie w błąd użytkowników (tzw. dark patterns): Komisja uznała, że „niebieski znaczek” sugerujący weryfikację konta był mylący, ponieważ można go było uzyskać jedynie za opłatą, bez rzeczywistego procesu weryfikacyjnego.
  • Brak przejrzystości w reklamach: Platforma X nie prowadziła zgodnego z wymogami UE repozytorium reklam – brakowało w nim m.in. informacji o treści reklam, tematach oraz podmiotach je finansujących.
  • Ograniczenie dostępu naukowców do danych publicznych: Platforma znacznie utrudniała lub zabraniała naukowcom dostępu do danych publicznych – m.in. poprzez zakaz wykorzystywania technik typu scraping oraz stosowanie biurokratycznych barier, co hamowało prowadzenie niezależnych badań nad zagrożeniami dla użytkowników.
  • Porównanie z TikTokiem: Komisja Europejska zakończyła analogiczne postępowanie wobec TikToka, uznając, że przedstawione przez platformę zobowiązania wystarczająco minimalizują identyfikowane ryzyka w zakresie przejrzystości reklam.
Źródło

Pendrive, błąd i 20 000 zł kary dla Sanepidu. Prezes UODO wyciąga konsekwencje

  • Kontekst: Artykuł dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie naruszenia przepisów RODO związanych z nieprawidłowym korzystaniem z przenośnych nośników danych (pendrive'ów) przez pracowników instytucji publicznej.
  • Były pracownik Państwowego Powiatowego Inspektora Sanitarnego zgubił prywatnego pendrive’a, który zawierał dane osobowe przetwarzane w okresie jego zatrudnienia, obejmujące ponad 4200 osób.
  • Nośnik ten nie był zabezpieczony hasłem ani szyfrowaniem, co doprowadziło do potencjalnego ujawnienia zawartych tam danych osobowych osobom nieupoważnionym.
  • Administrator danych nie przewidział w swojej analizie ryzyka faktu, że pracownicy mogą używać prywatnych nośników danych, co uniemożliwiło wdrożenie skutecznych środków ochrony.
  • Prezes UODO stwierdził naruszenie kilku przepisów RODO, w tym m.in. zasad:
    • integralności i poufności danych (art. 5 ust. 1 lit. f),
    • rozliczalności (art. 5 ust. 2),
    • wdrażania odpowiednich środków technicznych i organizacyjnych (art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2).
  • Ustalono, że Administrator nie zapewnił odpowiedniego poziomu bezpieczeństwa danych, nie monitorował ani nie testował wdrożonych zabezpieczeń związanych z użyciem nośników zewnętrznych.
  • Na Administratora nałożono administracyjną karę pieniężną w wysokości 20 000 zł.
  • W konsekwencji naruszenia, Administrator wdrożył zmiany ograniczające używanie zewnętrznych nośników danych tylko do autoryzowanych, szyfrowanych urządzeń USB.
Źródło

Upominki i życzenia, czyli świąteczny test dla danych osobowych

  • Kontekst: Grudzień to czas wzmożonej aktywności firm – zamówienia, prezenty i intensyfikacja kontaktów z partnerami biznesowymi. Niestety, w tym okresie ochrona danych osobowych często schodzi na dalszy plan, mimo że ryzyko naruszenia przepisów RODO jest wtedy wyjątkowo wysokie.
  • Przetwarzanie danych osobowych w działalności osobistej: RODO nie dotyczy prywatnej korespondencji, np. kartek świątecznych wysyłanych rodzinie czy znajomym. Przetwarzanie danych w celach osobistych nie podlega przepisom RODO.
  • Firmowe prezenty a RODO:
    • RODO znajduje zastosowanie, gdy firma przetwarza dane osobowe kontrahentów czy pracowników w celach związanych z działalnością zawodową.
    • Nie ma problemu, gdy wysyłka dotyczy firmy (np. działu marketingu spółki) bez wskazywania konkretnych osób.
    • Wysyłka prezentu konkretnej osobie prowadzącej działalność gospodarczą lub na jej adres prywatny wymaga ostrożności – takie dane stanowią dane osobowe.
  • Zasady bezpiecznego przetwarzania danych:
    • Wysyłając prezent na adres służbowy konkretnej osoby, należy mieć podstawę prawną (np. uzasadniony interes) i obowiązek poinformowania tej osoby o przetwarzaniu danych.
    • Należy unikać wykorzystywania danych pozyskanych np. podczas prywatnych rozmów (jak adres zamieszkania) do celów służbowych.
    • Jeśli w proces zaangażowane są inne podmioty (np. firmy kurierskie), muszą one zostać wskazane jako procesorzy w dokumentacji RODO.
  • Konsekwencje błędów w przetwarzaniu danych:
    • Odbiorcy mogą zapytać o podstawy prawne przetwarzania ich danych, szczególnie gdy ich dane osobowe wykorzystano na gadżetach, zdjęciach czy listach dostawczych.
    • Naruszenia mogą prowadzić do utraty zaufania i potencjalnych sankcji.
  • Ochrona przed phishingiem:
    • Grudzień to okres wzmożonej aktywności cyberoszustów. Często wysyłają oni fałszywe informacje o paczkach lub doręczeniach.
    • Należy uważać na wiadomości z podejrzanymi linkami, załącznikami i błędami językowymi.
    • Nie należy używać firmowych kont e-mail do prywatnych zakupów online.
  • Procesorzy jako „elfy świąteczne”:
    • Podmioty zewnętrzne, którym powierzamy przetwarzanie danych (np. firmy kompletujące prezenty), muszą być sprawdzone i wiarygodne.
    • Należy zawrzeć z nimi odpowiednie umowy powierzenia przetwarzania danych zgodnie z RODO.
  • Podsumowanie: Mimo świątecznej atmosfery, firmy nie mogą zapominać o obowiązkach wynikających z RODO. Każdy gest – nawet z pozoru niewinny prezent – może pociągać za sobą konkretne konsekwencje prawne, jeśli wiąże się z przetwarzaniem danych osobowych. Kluczowe są ostrożność, świadomość i zgodność działań z przepisami o ochronie danych.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry