RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 17.02.2026 r. 

  RODO aktualności

53-letni Poznaniak zatrzymany za cyberatak. Zaatakował swoją byłą firmę, „by zwrócić uwagę na jej cyberbezpieczeństwo” » WSA po raz kolejny potwierdza brak podstaw prawnych do przetwarzania przez BIK danych dotyczących upadłości konsumenckiej » NSA: Przedsiębiorca słono zapłaci za zbywanie urzędu niewiarygodnymi dowodami » Prezes UODO popiera wprowadzanie higieny cyfrowej już od przedszkola » Niemcy: Jak administrator może zweryfikować, czy jego były procesor faktycznie usunął dane? » WSA uchylając decyzję wskazuje brak przetwarzania danych osobowych » EROD i EIOD: „Nie” dla zmian w definicji danych osobowych

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

53-letni Poznaniak zatrzymany za cyberatak. Zaatakował swoją byłą firmę, by zwrócić uwagę na jej cyberbezpieczeństwo

  • Kontekst sprawy: Chodzi o atak cybernetyczny na system informatyczny operatora infrastruktury wodno-kanalizacyjnej, która stanowi część tzw. infrastruktury krytycznej.
  • Do przestępstwa doszło w czerwcu ubiegłego roku – sprawę prowadzi Prokuratura Okręgowa w Poznaniu.
  • Atak polegał na:
    • uzyskaniu nieautoryzowanego dostępu do sieci firmy,
    • zalogowaniu się na konto techniczne bez uprawnień,
    • pobraniu danych,
    • upublicznieniu ich w tzw. darknecie przy użyciu technologii anonimizujących ruch w Internecie.
  • Funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości zlokalizowali skradzione dane i je usunęli.
  • 4 lutego br. zatrzymano 53-letniego mieszkańca Poznania w związku z tym atakiem.
  • Zatrzymany to były pracownik firmy, której system został zaatakowany.
  • Według prokuratury, motywacją sprawcy było zwrócenie uwagi na słabe zabezpieczenia informatyczne firmy.
  • Postawiono mu zarzuty nielegalnego dostępu do systemu informatycznego oraz bezprawnego przetwarzania danych osobowych.
  • Sprawca częściowo przyznał się do winy.
  • Grozi mu kara do 2 lat pozbawienia wolności.
Źródło

WSA po raz kolejny potwierdza brak podstaw prawnych do przetwarzania przez BIK danych dotyczących upadłości konsumenckiej

  • Kontekst sprawy: Artykuł dotyczy stanowiska Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie w sprawie dotyczącej legalności przetwarzania przez Biuro Informacji Kredytowej (BIK) danych osobowych dotyczących upadłości konsumenckiej.
  • W maju 2023 r. obywatel złożył skargę na przetwarzanie przez BIK jego danych osobowych w związku z ogłoszoną upadłością konsumencką.
  • W grudniu 2024 r. Prezes Urzędu Ochrony Danych Osobowych (UODO) nakazał usunięcie spornych danych, wskazując na brak podstawy prawnej do ich dalszego przetwarzania.
  • Fakt, że dane o upadłości zostały opublikowane w ogólnodostępnych rejestrach, takich jak Monitor Sądowy i Gospodarczy, nie zwalnia z obowiązku przestrzegania przepisów RODO przy ich dalszym przetwarzaniu.
  • Prawo bankowe (art. 105a) dopuszcza przetwarzanie danych osobowych w celu oceny zdolności kredytowej, ale tylko jeśli dane podlegają tajemnicy bankowej i są związane z konkretną czynnością bankową lub umową.
  • W omawianej sprawie BIK nie wykazał, że przetwarzanie danych miało związek z konkretną umową kredytową lub działaniami poprzedzającymi jej zawarcie. Nie było też podstaw do przetwarzania danych po wygaśnięciu ewentualnego zobowiązania.
  • WSA uznał, że BIK nie wykazał w sposób wystarczający istnienia prawnie uzasadnionego interesu, który mógłby stanowić podstawę do przetwarzania danych na mocy art. 6 ust. 1 lit. f RODO.
  • Proces przetwarzania danych osobowych dotyczących upadłości konsumenckiej musi spełniać konkretne przesłanki zgodności z RODO, a w tym przypadku przesłanki te nie zostały spełnione.
  • Sąd odrzucił również możliwość wykorzystania danych dla celów statystycznych, ponieważ także w tym przypadku wymagane przesłanki prawne nie zostały spełnione.
  • WSA podkreślił, że interesy osoby, której dane dotyczą – w tym prawo do prywatności – przeważają nad interesem administratora w postaci zachowania danych na przyszłość.
Źródło

NSA: Przedsiębiorca słono zapłaci za zbywanie urzędu niewiarygodnymi dowodami

  • Kontekst sprawy: W 2019 r. klinika stomatologiczna padła ofiarą wycieku danych osobowych pacjentów, spowodowanego nielegalnym działaniem byłego pracownika, który skopiował i wykorzystywał te dane w celach marketingowych.
  • Ujawnione dane to m.in.: PESEL-e, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania lub pobytu oraz numery telefonów.
  • Klinika oceniła ryzyko naruszenia praw osób jako wysokie, jednak nie poinformowała samodzielnie pacjentów o incydencie.
  • Prezes Urzędu Ochrony Danych Osobowych (UODO) nakazał klinice poinformowanie osób poszkodowanych – decyzja ta stała się prawomocna.
  • Mimo to klinika nie zrealizowała nakazu – początkowo ignorowała pisma UODO, a później przedstawiała niespójne wyjaśnienia lub próbowała zrzucić obowiązek na urząd.
  • Jako dowód wykonania decyzji, klinika przedstawiła m.in. fakturę za zakup 37 znaczków i niewiarygodne oświadczenie nieznanego pracownika poczty.
  • UODO uznał te dowody za niewiarygodne i nałożył na klinikę administracyjną karę pieniężną w wysokości 85 588 zł.
  • Dopiero po nałożeniu kary klinika przedstawiła wiarygodne potwierdzenia wysyłki zawiadomień, jednak nie zwolniło to jej z obowiązku zapłaty kary.
  • Klinika odwołała się do Wojewódzkiego Sądu Administracyjnego i później do Naczelnego Sądu Administracyjnego (NSA), argumentując m.in., że kara jest zbyt wysoka i niesłuszna.
  • Obie instancje sądowe uznały decyzję UODO za zgodną z prawem, podkreślając, że to na administratorze danych ciąży obowiązek udowodnienia wykonania działań naprawczych i zawiadomienia osób poszkodowanych.
  • NSA przypomniał, że zgodnie z RODO za nieprzestrzeganie decyzji organu nadzorczego mogą być nakładane znacznie wyższe kary – do 20 mln euro lub 4% rocznego obrotu firmy, jeśli jest to kwota wyższa.
  • Sprawa jest przykładem, że celowe ignorowanie obowiązków administratora danych osobowych może skutkować dotkliwymi sankcjami finansowymi.
Źródło

Prezes UODO popiera wprowadzanie higieny cyfrowej już od przedszkola

  • Kontekst: Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, przedstawił uwagi do projektu podstawy programowej wychowania przedszkolnego oraz kształcenia ogólnego dla szkół podstawowych. Projekt przygotowany przez Ministerstwo Edukacji Narodowej (MEN) skupia się na rozwijaniu świadomości cyfrowej już od najmłodszych lat.
  • Prezes UODO pozytywnie ocenił kierunek zmian – wskazano konkretne treści w zakresie higieny cyfrowej i ochrony danych osobowych w edukacji przedszkolnej i szkolnej.
  • Ważnym celem jest kształtowanie odporności cyfrowej i świadomego podejścia do zarządzania prywatnością na każdym etapie edukacji.
  • U dzieci w wieku przedszkolnym nacisk położono na naukę ochrony danych osobowych, w tym wizerunku, oraz rozwijanie codziennych nawyków w zakresie higieny cyfrowej.
  • W klasach I–III szkoły podstawowej promuje się bezpieczeństwo cyfrowe i krytyczne podejście do treści pojawiających się w internecie, w celu ochrony dzieci przed manipulacją i cyberzagrożeniami.
  • Dla uczniów starszych klas szkoły podstawowej zaplanowano naukę etycznego korzystania ze sztucznej inteligencji, rozpoznawania dezinformacji i praktycznego stosowania praw podstawowych.
  • Projekt uwzględnia potrzeby uczniów z niepełnosprawnościami, m.in. poprzez promowanie kompetencji w zakresie korzystania z urządzeń asystujących, komunikacji i rozpoznawania zagrożeń w sieci.
  • UODO realizuje program edukacyjny „Twoje dane – Twoja sprawa”, który wspiera rozwój cyfrowych kompetencji i edukację w zakresie prywatności.
  • Prezes UODO podkreśla wagę współpracy organów publicznych, aby przygotować dzieci i młodzież do odpowiedzialnego życia w świecie nowych technologii.
  • Zgłoszone zastrzeżenia do projektu:
    • Wątpliwości budzi zakaz używania urządzeń ekranowych w przedszkolach wprowadzany w formie rozporządzenia – może naruszać zasady wynikające z Konstytucji.
    • Potrzeba doprecyzowania, z jakich narzędzi sztucznej inteligencji mają korzystać uczniowie, aby były bezpieczne i nie wykorzystywały danych osobowych.
    • Lista zagrożeń związanych z cyfrowym światem (cyberprzemoc, hejt, uzależnienia) w projekcie nie zawiera zjawisk takich jak deepfake – UODO rekomenduje ich uwzględnienie w podstawie programowej.
Źródło

Niemcy: Jak administrator może zweryfikować, czy jego były procesor faktycznie usunął dane?

  • Kontekst: Artykuł porusza temat odpowiedzialności za dane osobowe po zakończeniu współpracy między administratorem danych (kontrolerem) a podmiotem przetwarzającym (procesorem), w świetle RODO. 
  • Wyrok niemieckiego Federalnego Trybunału Sprawiedliwości (BGH) z 11 listopada 2025 r.: Sąd obarczył kontrolera odpowiedzialnością za naruszenia RODO, mimo że to procesor nie usunął danych zgodnie z umową.
  • Przypadek dotyczył: firmy oferującej streaming muzyki, której były procesor przeniósł dane użytkowników do środowiska testowego zamiast ich usunąć, co doprowadziło do wycieku danych do darknetu w 2022 roku.
  • Kluczowy błąd administratora: Poleganie wyłącznie na oświadczeniach procesora bez wymuszenia pisemnego potwierdzenia usunięcia danych.
  • Stanowisko BGH: Umowa przetwarzania danych nie wystarcza – kontroler musi aktywnie nadzorować realizację jej postanowień, szczególnie po zakończeniu współpracy.
  • Podstawa prawna: obowiązki administratora wynikają z art. 28, 32 oraz zasad z art. 5 RODO (m.in. zasada minimalizacji oraz ograniczenia przechowywania danych).
  • Szersze znaczenie wyroku: Ryzyko dla osób, których dane dotyczą, powstaje już wtedy, gdy dane osobowe nadal są przechowywane po wykonaniu celu przetwarzania – nawet przed potencjalnym wyciekiem czy atakiem.
  • Szkoda niematerialna: Może powstać już przy samej utracie kontroli nad danymi, również poprzez pojawienie się danych w niewłaściwych miejscach – np. w darknecie. Nie musi osiągać wysokiej intensywności ani zostać ograniczona przez powszechność ryzyka cyfrowego.
  • Znaczenie praktyczne: Dane muszą być usuwane lub zwracane po zakończeniu umowy, co administrator musi aktywnie weryfikować – to obowiązek, a nie formalność.

Źródło

WSA uchylając decyzję wskazuje brak przetwarzania danych osobowych

  • Kontekst sprawy: Wyrok WSA w Warszawie z końca 2025 r. dotyczy sytuacji, w której jeden drobny błąd pracownika (wpisanie litery „s” zamiast cyfry „5” w adresie e-mail) spowodował, że automatyczna wiadomość została wysłana do niewłaściwej osoby (obywatela), co uruchomiło skargę do firmy oraz postępowanie przed Prezesem UODO.
  • Co się wydarzyło:
    • Przez pomyłkę wprowadzono błędny adres e-mail do systemu.
    • System wysłał automatyczną wiadomość do osoby, która nie była klientem (odbiorca przypadkowy).
    • Obywatel zażądał usunięcia danych; firma odpowiedziała, że nie wie, kim jest nadawca.
    • Obywatel złożył też skargę do Prezesa UODO.
  • Stanowisko Prezesa UODO (decyzja z lutego 2025 r.):
    • Organ uznał, że doszło do przetwarzania danych osobowych obywatela (adres e-mail) bez podstawy prawnej.
    • Prezes UODO wskazał, że adres e-mail jest daną osobową, bo może umożliwiać identyfikację (także pośrednią), nawet jeśli wymaga to dodatkowego wysiłku (czas/koszty/działania).
    • Uznano, że przetwarzanie nie spełniało żadnej przesłanki legalizującej z art. 6 ust. 1 RODO.
    • Ponieważ przetwarzanie nie było kontynuowane, Prezes UODO zastosował łagodniejszy środek: upomnienie (art. 58 ust. 2 lit. b RODO).
  • Kluczowe rozstrzygnięcie WSA w Warszawie: Sąd nie zgodził się z podejściem Prezesa UODO i zakwestionował je na dwóch głównych płaszczyznach.
  • 1) WSA: nie wykazano, że chodziło o „dane osobowe” w tej konkretnej sytuacji
    • Sąd uznał, że organ nie wyjaśnił konkretnie, jak Spółka miała dokonać (choćby pośredniej) identyfikacji obywatela na podstawie samego adresu e-mail.
    • WSA przypomniał różnicę:
      • Identyfikacja bezpośrednia – dane same w sobie pozwalają rozpoznać osobę.
      • Identyfikacja pośrednia – potrzebne jest połączenie z dodatkowymi informacjami.
    • W tej sprawie Spółka jedynie „wytworzyła” ciąg znaków, który obiektywnie okazał się cudzym adresem e-mail, ale:
      • nie wiedziała, że to adres należący do konkretnej osoby,
      • nie miała dodatkowych informacji, by go z kimkolwiek powiązać,
      • nie miała nawet świadomości, że e-mail trafił do osoby postronnej (a nie do klienta).
    • WSA podkreślił też, że adres e-mail nie zawierał imienia i nazwiska, a organ nie pokazał realnych metod identyfikacji – poprzestał na ogólnym stwierdzeniu o „nakładzie czasu i działań”, bez odniesienia do faktów sprawy.
  • 2) WSA: nie doszło do „procesu przetwarzania danych” w rozumieniu RODO
    • Według Sądu Spółka nie pozyskała adresu e-mail obywatela z żadnego źródła (bazy danych, systemu zewnętrznego itp.).
    • Adres powstał przypadkowo w wyniku literówki podczas przepisywania adresu klienta.
    • WSA zakwestionował także tezę, że Spółka „wykorzystała” dane:
      • „Wykorzystywanie” oznacza użycie danych dla określonego celu.
      • Sąd uznał, że tutaj nie było celu dotyczącego obywatela (np. identyfikacji czy kontaktu z nim), bo Spółka nie miała świadomości, że to w ogóle jest e-mail osoby postronnej.
    • W konsekwencji Sąd stwierdził, że skoro przetwarzanie nie zaistniało, to nie można mówić o naruszeniu art. 6 ust. 1 RODO i nie było podstaw do upomnienia.
  • Najważniejsze wnioski praktyczne z opisanego wyroku:
    • Spór nie dotyczył tego, że doszło do pomyłki, tylko tego, czy ta pomyłka oznaczała przetwarzanie danych osobowych w rozumieniu RODO.
    • WSA wymaga od organu konkretnego uzasadnienia, jak w danej sprawie miałaby zachodzić możliwość identyfikacji osoby (a nie ogólnych stwierdzeń).
    • Wyrok pokazuje, że ocena „czy to są dane osobowe” i „czy doszło do przetwarzania” może zależeć od tego, czy administrator:
      • miał (lub mógł realnie mieć) dodatkowe informacje pozwalające na identyfikację,
      • działał w jakimś celu wobec tej konkretnej osoby,
      • miał świadomość, kogo dotyczą dane.
Źródło

EROD i EIOD: Nie dla zmian w definicji danych osobowych

  • Kontekst: Europejska Rada Ochrony Danych (EROD) i europejski inspektor ochrony danych (EIOD) sprzeciwiają się temu, aby Komisja Europejska mogła w drodze aktu wykonawczego decydować, kiedy dane po pseudonimizacji „przestają być” danymi osobowymi. Obie instytucje przedstawiły wspólne stanowisko do pakietu uproszczeń Digital Omnibus, zaprezentowanego przez KE w listopadzie ub.r., wskazując na ryzyka dla ochrony danych i pewności prawa.
  • Główna obawa: EROD i EIOD uważają, że część propozycji Digital Omnibus może prowadzić do osłabienia ochrony danych osób fizycznych oraz zwiększyć niejasność co do tego, jakie zasady obowiązują w praktyce (spadek „pewności prawa”).
  • Uproszczenia tak, ale nie kosztem praw: EROD podkreśla, że ograniczanie biurokracji i wzmacnianie konkurencyjności UE jest potrzebne, ale nie powinno odbywać się kosztem praw podstawowych (cyt. Anu Talus).
  • Zmiana definicji danych osobowych (RODO art. 4 ust. 1):
    • Obecnie dane osobowe to wszelkie informacje o osobie zidentyfikowanej lub możliwej do zidentyfikowania.
    • Digital Omnibus zakłada, że dane nie byłyby uznawane za osobowe z perspektywy administratora, jeśli administrator nie ma „realnych środków” identyfikacji konkretnej osoby.
    • EIOD ostrzega, że takie podejście byłoby niezgodne z orzecznictwem Trybunału Sprawiedliwości UE i mogłoby znacząco zawęzić pojęcie danych osobowych (cyt. Wojciech Wiewiórowski).
    • EROD ocenia, że proponowane zmiany mogą istotnie osłabić ochronę danych (cyt. Anu Talus).
  • Wątki dot. sztucznej inteligencji: EROD i EIOD wskazują, że niektóre propozycje (m.in. o AI) wymagają doprecyzowania. Przypominają też stanowisko z opinii EROD 28/2024: w pewnych sytuacjach „uzasadniony interes” może być podstawą prawną dla rozwoju i wdrażania modeli/systemów AI, ale nie widzą potrzeby dodawania do RODO specjalnego przepisu wyłącznie o AI.
  • Propozycje ocenione pozytywnie przez EROD i EIOD:
    • Podwyższenie progu ryzyka, od którego powstaje obowiązek zgłoszenia naruszenia ochrony danych do organu nadzorczego.
    • Wydłużenie terminu na dokonanie zgłoszenia naruszenia.
    • Wprowadzenie wspólnych szablonów i wykazów dla: naruszeń ochrony danych oraz ocen skutków dla ochrony danych (DPIA).
    • Nowe odstępstwo dla przetwarzania szczególnych kategorii danych na potrzeby uwierzytelniania biometrycznego, jeśli środki weryfikacji są pod wyłączną kontrolą osoby, której dane dotyczą.
    • Ujednolicenie pojęcia „badań naukowych” i powiązane zmiany – jako element zwiększający pewność prawną i harmonizację przepisów.
    • Próby rozwiązania problemu „zmęczenia zgodami” (consent fatigue) oraz powszechności banerów cookie.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry