RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 17.03.2026 r. 

  RODO aktualności

NSA w pełni podtrzymał decyzję Prezesa UODO nakładającą karę na Santander Bank Polska S.A. » EROD wskazuje wyzwania utrudniające pełną realizację prawa do usunięcia danych » WSA: Prezes UODO poprawnie upomniał Bank za nieprawidłowe informacje o podstawie profilowania Klienta » Czy mogę się poskarżyć na niewłaściwe zabezpieczenie moich danych osobowych? » Komisja Europejska przyjęła decyzję o adekwatności wobec Brazylii » WSA w Warszawie uchylił decyzję Prezesa UODO o karze dla Poczty Polskiej » Meta sprzedała miliony par okularów AI. Podwykonawcy w Kenii oglądali nagrania użytkowników » Retencja danych telekomunikacyjnych wymaga dostosowania do standardów UE – istotny pogląd PUODO

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

NSA w pełni podtrzymał decyzję Prezesa UODO nakładającą karę na Santander Bank Polska S.A.

  • Kontekst sprawy: Naczelny Sąd Administracyjny (NSA) potwierdził stanowisko Prezesa UODO, że bank naruszył RODO, ponieważ nie powiadomił właściwie osób (pracowników), których dane zostały objęte incydentem. Chodziło o naruszenie obowiązku z art. 34 ust. 1 RODO (informowanie osób o naruszeniu, gdy występuje wysokie ryzyko dla ich praw lub wolności).
  • Decyzja UODO: Prezes UODO nałożył na bank karę 545 748 zł oraz nakazał niezwłoczne powiadomienie osób, których dane dotyczyły, m.in. o:
    • potencjalnych konsekwencjach naruszenia,
    • działaniach, jakie mogą podjąć, by zabezpieczyć się przed negatywnymi skutkami.
  • Rozstrzygnięcie sądów: 6 marca 2026 r. NSA oddalił skargę kasacyjną spółki i w całości podtrzymał wcześniejszy wyrok WSA, który również przyznał rację Prezesowi UODO.
  • Na czym polegał incydent: Bank zgłosił do UODO, że byłemu pracownikowi nie odebrano dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). W efekcie, po zakończeniu zatrudnienia, miał on nadal dostęp do danych innych pracowników na profilu płatnika firmy.
  • Skala zdarzenia: Ustalono, że w ciągu 8 miesięcy były pracownik 5 razy logował się do PUE ZUS już po ustaniu stosunku pracy.
  • Jakie dane mogły zostać ujawnione: PUE ZUS umożliwia dostęp m.in. do:
    • imion i nazwisk,
    • numerów PESEL,
    • adresów zamieszkania lub pobytu,
    • informacji o zwolnieniach lekarskich (dane o zdrowiu – dane szczególnej kategorii).
  • Dlaczego uznano „wysokie ryzyko”: NSA nie zgodził się z argumentem banku, że dostęp miała „zaufana” osoba, więc ryzyko nie było wysokie. Sąd wskazał, że nie trzeba udowadniać, że ktoś faktycznie zapoznał się z danymi – wystarczy, że miał realną możliwość dostępu, a więc ryzyko naruszenia praw lub wolności istniało.
  • Stanowisko banku: Bank twierdził, że incydent zgłoszono jedynie „z ostrożności”, a obowiązek informowania pracowników nie powstał, bo – według jego oceny – nie było wysokiego ryzyka.
  • Co zrobił bank zamiast powiadomień: Na wewnętrznej platformie komunikacji zamieszczono jedynie ogólny komunikat przypominający zasady przetwarzania danych, bez wskazania, że doszło do konkretnego incydentu.
  • Dlaczego to nie wystarczyło (ocena UODO):
    • komunikat był zbyt ogólny i nie informował, że naruszenie faktycznie miało miejsce,
    • odbiorcy nie mieli podstaw, by podjąć działania ochronne,
    • wewnętrzna platforma mogła nie dotrzeć do byłych pracowników, których dane również mogły być objęte incydentem.
  • Możliwe konsekwencje dla osób, których dane dotyczyły: UODO wskazał, że dane z PUE ZUS mogą potencjalnie zostać wykorzystane m.in. do:
    • pozyskania informacji o stanie zdrowia,
    • podszycia się pod daną osobę (np. w celu zaciągnięcia pożyczki).
  • Dodatkowa okoliczność obciążająca: W toku postępowania bank konsekwentnie utrzymywał, że nie widzi potrzeby informowania osób, których dane dotyczyły, co UODO uznał za istotny problem w podejściu do obowiązków wynikających z RODO.
Źródło

EROD wskazuje wyzwania utrudniające pełną realizację prawa do usunięcia danych

  • Kontekst: Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie z działań w ramach Skoordynowanego Egzekwowania Prawa (CEF) dotyczących prawa do usunięcia danych (art. 17 RODO, tzw. „prawo do bycia zapomnianym”).
  • Dlaczego wybrano ten temat na 2025 r.: prawo do usunięcia danych należy do najczęściej wykorzystywanych praw z RODO i jest źródłem licznych skarg składanych do organów nadzorczych przez osoby prywatne.
  • Główne cele działania CEF:
    • zapewnienie, aby osoby fizyczne w Europie mogły skutecznie wykonywać prawo do usunięcia danych,
    • sprawdzenie, jak administratorzy danych realnie stosują to prawo w praktyce,
    • zidentyfikowanie dobrych praktyk i najważniejszych wyzwań oraz przygotowanie podstaw do dalszych wskazówek.
  • Skala inicjatywy (2025): w działaniach uczestniczyły 32 organy ochrony danych z całej Europy.
  • Jakie działania podjęto:
    • 9 organów wszczęło nowe formalne postępowania wyjaśniające lub kontynuowało już prowadzone,
    • 23 organy prowadziły działania mające na celu ustalenie stanu faktycznego (np. kontrole/ankiety/ustalenia praktyk).
  • Kto był objęty działaniami: odpowiedzi udzieliło łącznie 764 administratorów danych – od MŚP, przez duże firmy z różnych branż, po różne podmioty publiczne.
  • Co zrobiono z wynikami: ustalenia z krajów zostały zebrane i przeanalizowane łącznie, co umożliwiło przygotowanie ukierunkowanych działań następczych na poziomie krajowym i unijnym.
  • Najważniejsze obszary wymagające poprawy (powtarzające się wyzwania):
    • braki w wewnętrznych procedurach obsługi wniosków o usunięcie danych,
    • przekazywanie osobom fizycznym niewystarczających informacji o sposobie rozpatrywania wniosków,
    • stosowanie przez część administratorów nieefektywnych technik anonimizacji jako „zamiennika” usunięcia danych,
    • niespójne praktyki i trudności w ustalaniu okresów przechowywania oraz usuwania danych (w tym w kontekście kopii zapasowych),
    • trudności z prawidłową oceną, kiedy prawo do usunięcia danych nie ma zastosowania (bo nie jest prawem absolutnym),
    • problemy z przeprowadzaniem testów równowagi między prawem do usunięcia danych a innymi prawami i wolnościami.
  • Powiązanie z wcześniejszymi wnioskami EROD: część ustaleń potwierdza problemy znane już ze skoordynowanego działania z 2024 r. dotyczącego prawa dostępu (np. procedury i informowanie osób).
  • Działania następcze i wsparcie: na poziomie krajowym istnieją liczne wytyczne, dokumenty i szablony wspierające zgodność z prawem do usunięcia danych oraz pomagające osobom w korzystaniu z tego prawa.
  • Ujednolicanie podejścia w UE: zgodnie z założeniami deklaracji helsińskiej (ułatwianie zgodności i spójna interpretacja RODO), materiały opracowane w krajach mają być – tam gdzie to właściwe – wykorzystywane na poziomie EROD.
  • Szerszy kontekst CEF: CEF to kluczowy element strategii EROD na lata 2024–2027, mający wzmocnić egzekwowanie przepisów i współpracę między organami.
  • Chronologia wcześniejszych skoordynowanych działań:
    • 2023: działania dot. korzystania z usług chmurowych w sektorze publicznym,
    • 2024: działania dot. wyznaczania i pozycji inspektorów ochrony danych,
    • 2025: sprawozdanie z trzeciego działania dot. wdrażania prawa dostępu.
  • Kolejny temat (CEF 2026): obowiązki w zakresie przejrzystości i informowania wynikające z RODO.
Źródło

WSA: Prezes UODO poprawnie upomniał Bank za nieprawidłowe informacje o podstawie profilowania Klienta

  • Kontekst: Wyrok WSA w Warszawie wpisuje się w linię orzeczniczą, która podkreśla rygorystyczne stosowanie RODO przy profilowaniu marketingowym oraz w zakresie obowiązków informacyjnych wobec klientów.
  • Czego dotyczyła sprawa: Klient banku złożył sprzeciw wobec wykorzystywania jego danych do marketingu bezpośredniego (w tym profilowania). Spór dotyczył tego, czy bank:
    • przestał profilować dane od razu po sprzeciwie,
    • przekazał klientowi prawdziwą i jasną informację o podstawie przetwarzania.
  • Jak bank przetwarzał dane: Bank profilował dane klienta na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), używając m.in. danych identyfikacyjnych oraz transakcyjnych (np. fakt wykonania przelewu, numer rachunku odbiorcy) w celu dopasowania ofert marketingowych.
  • Co zrobił klient: Po otrzymaniu oferty, którą uznał za efekt niedozwolonego profilowania, wniósł sprzeciw na podstawie art. 21 ust. 2 RODO (sprzeciw wobec marketingu bezpośredniego).
  • Najważniejsze ustalenie faktów: Bank potwierdził przyjęcie sprzeciwu, ale faktycznie przestał profilować dopiero po ok. miesiącu (11 października 2021 r.). Sąd podkreślił, że wynikało to z własnych wyjaśnień banku, więc organ nie musiał szukać dalszych dowodów.
  • Drugi problem – błędna informacja dla klienta: W odpowiedzi na sprzeciw bank napisał, że „odnotował wycofanie zgody na profilowanie”, mimo że klient nigdy nie udzielał zgody (przetwarzanie opierało się na prawnie uzasadnionym interesie). Dopiero później bank doprecyzował podstawę prawną.
  • Decyzja Prezesa UODO (styczeń 2025): Organ zastosował wobec banku dwa upomnienia:
    • za kontynuowanie profilowania mimo sprzeciwu (naruszenie m.in. art. 21 ust. 2 i 3 RODO w powiązaniu z art. 6 ust. 1),
    • za przekazanie klientowi nieprawdziwej informacji (naruszenie art. 12 ust. 1 RODO w powiązaniu z art. 21 ust. 2).
  • Stanowisko banku: Bank zaskarżył decyzję, twierdząc m.in., że nie prowadził profilowania oraz że odpowiedź dla klienta była wystarczająco jasna i właściwa, a upomnienie jest nieproporcjonalne.
  • Rozstrzygnięcie WSA w Warszawie: Sąd oddalił skargę banku i uznał stanowisko Prezesa UODO za prawidłowe.
  • Kluczowy wniosek 1 – sprzeciw wobec marketingu działa natychmiast: WSA podkreślił, że po sprzeciwie wobec marketingu bezpośredniego administrator ma obowiązek bezzwłocznie przerwać przetwarzanie (art. 21 ust. 3 RODO) i przepis nie przewiduje „okresu przejściowego”. Miesięczny termin dotyczy odpowiedzi na żądanie, a nie czasu na dalsze profilowanie.
  • Kluczowy wniosek 2 – komunikacja z klientem musi być prawdziwa i precyzyjna: Sąd uznał, że art. 12 ust. 1 RODO wymaga komunikacji zwięzłej i zrozumiałej, ale także zgodnej z faktami. Pomylenie „zgody” ze „sprzeciwem” nie jest drobnym błędem – to naruszenie zasady przejrzystości.
  • Proporcjonalność środka: WSA wskazał, że upomnienie jest najłagodniejszym środkiem naprawczym i w tej sprawie było adekwatne, bo doszło do dwóch odrębnych naruszeń, w tym wprowadzenia klienta w błąd.
  • Znaczenie praktyczne wyroku (dla firm, zwłaszcza finansowych): Orzeczenie (choć nieprawomocne) sugeruje konieczność:
    • sprawdzenia procedur obsługi sprzeciwów, aby wstrzymanie marketingu/profilowania następowało od razu,
    • przeglądu szablonów odpowiedzi do klientów, aby nie dochodziło do błędów co do podstawy prawnej przetwarzania,
    • traktowania precyzyjnej komunikacji jako elementu zgodności z prawem i budowania zaufania.
Źródło

Czy mogę się poskarżyć na niewłaściwe zabezpieczenie moich danych osobowych?

  • Kontekst: Artykuł odpowiada na pytanie, czy osoba, której dane dotyczą, może skutecznie złożyć do Prezesa UODO skargę na niewłaściwe zabezpieczenie jej danych osobowych (np. słabe środki bezpieczeństwa, błędy w przekazywaniu haseł, itp.). Intuicyjnie wydaje się, że tak — ale w praktyce w Polsce bywa inaczej.
  • Dwa tryby działania Prezesa UODO:
    • na wniosek (czyli po skardze osoby lub organizacji społecznej),
    • z urzędu (z inicjatywy samego organu).
  • Co daje art. 77 RODO: można wnieść skargę, jeżeli ktoś uważa, że przetwarzanie jego danych narusza RODO.
  • Stanowisko NSA (wyrok z 9 lipca 2024 r., III OSK 2425/22): do złożenia skargi wystarcza subiektywne przekonanie osoby, że jej dane są przetwarzane z naruszeniem RODO.
  • Problem praktyczny w Polsce: mimo brzmienia art. 77 RODO, w decyzjach UODO (i w starszej linii orzeczniczej) pojawia się pogląd, że sprawy dotyczące zabezpieczenia danych mogą być badane tylko w postępowaniu wszczętym z urzędu, a nie na skargę osoby.
  • Przykład z praktyki autora: klient złożył skargę dotyczącą zabezpieczeń i otrzymał decyzję wskazującą, że takie sprawy mogą być przedmiotem jedynie postępowania z urzędu.
  • Ocena autora artykułu: autor nie zgadza się z takim ograniczeniem i wskazuje, że art. 77 RODO powinien pozwalać skarżyć także naruszenia obowiązków bezpieczeństwa (np. z art. 32 RODO).
  • Dlaczego organ może preferować tryb „z urzędu”: z perspektywy UODO takie podejście oznacza mniej postępowań wszczynanych po skargach.
  • Zmiana (częściowa) podejścia w nowszym orzecznictwie: NSA w wyroku z 19 lutego 2026 r. (III OSK 178/23) uznał, że skarga może być skuteczna także przy zarzucie naruszenia zabezpieczeń, jeśli naruszenie wynika z działania lub zaniechania osoby, za którą administrator odpowiada (np. błąd pracownika).
  • Wciąż istotne ograniczenie: jeżeli naruszenie wynika z działań osób, za które administrator nie odpowiada (np. atak z zewnątrz), to według opisywanego podejścia skarga oparta na zarzucie „za słabe zabezpieczenia umożliwiły atak” może być nieskuteczna.
  • Dodatkowy argument z orzecznictwa przeciw „mnożeniu postępowań”: NSA (wyrok z 18 czerwca 2025 r., III OSK 2100/22) wskazał, że gdy naruszenia obowiązków (m.in. art. 5 ust. 1 i art. 32 RODO) prowadzą do naruszenia ochrony danych i mogą skutkować karą, to prowadzenie równoległych postępowań może być uznane za niedopuszczalne.
  • Co z możliwością skargi „później”: sąd sugeruje, że po zakończeniu postępowania wszczętego z urzędu (np. po decyzji UODO) osoby mogą jeszcze składać skargi z art. 77 RODO, ale praktyczna korzyść bywa mała (np. kara mogła już zostać nałożona, a UODO nie przyznaje zadośćuczynienia).
  • Najważniejszy wniosek praktyczny z artykułu:
    • Co do zasady można złożyć skargę, gdy uważa się, że przetwarzanie danych narusza RODO.
    • Jeśli zarzut dotyczy wyłącznie niewłaściwych zabezpieczeń, skarga często nie przynosi efektu.
    • Wyjątek: skarga może być skuteczna, gdy naruszenie zabezpieczeń wynika z błędu/zaniechania osoby, za którą administrator ponosi odpowiedzialność (np. pracownika).
    • Gdy chodzi o ogólną ocenę poziomu zabezpieczeń (zwłaszcza w kontekście ataku zewnętrznego), organ może uznać, że sprawa nadaje się tylko do działania z urzędu.
Źródło

Komisja Europejska przyjęła decyzję o adekwatności wobec Brazylii

  • Kontekst: Unia Europejska właśnie powiększyła obszar swobodnego i bezpiecznego przepływu danych osobowych. 27 stycznia 2026 r. Komisja Europejska przyjęła decyzję o adekwatności wobec Brazylii, co ułatwia legalne przekazywanie danych osobowych z UE do Brazylii.
  • Co oznacza decyzja w praktyce: dane osobowe mogą być przekazywane z UE do Brazylii bez dodatkowych narzędzi prawnych, takich jak standardowe klauzule umowne (SCC) czy wiążące reguły korporacyjne (BCR).
  • Podstawa prawna w Brazylii: decyzja opiera się na brazylijskiej ustawie o ochronie danych LGPD (Lei Geral de Proteção de Dados), którą Komisja uznała za zapewniającą poziom ochrony zasadniczo równoważny RODO.
  • Ocena Europejskiej Rady Ochrony Danych (EROD): EROD wskazała, że brazylijskie przepisy są w dużej mierze zgodne z europejskimi standardami (m.in. zasady przetwarzania danych i ochrona praw osób, których dane dotyczą).
  • Uwagi i obszary do doprecyzowania: EROD zwróciła uwagę na potrzebę dopracowania niektórych kwestii, m.in. dotyczących ocen skutków dla ochrony danych oraz praktycznego stosowania części instrumentów nadzorczych, ale ogólnie uznała, że kryteria adekwatności są spełnione.
  • Znaczenie gospodarcze: UE i Brazylia tworzą jeden z największych obszarów bezpiecznego przepływu danych na świecie, obejmujący ponad 670 mln osób.
  • Korzyści dla firm i organizacji: decyzja może oznaczać uprośczenie współpracy cyfrowej, obniżenie kosztów prawnych związanych z transferami danych oraz większą pewność regulacyjną w działalności transgranicznej.
  • Stanowisko Brazylii: brazylijski organ ochrony danych ANPD ocenia decyzję jako impuls dla rozwoju gospodarki cyfrowej i wskazuje na potencjalne wsparcie współpracy m.in. w obszarach badań naukowych, technologii medycznych, AI i analizy danych.
  • Szerszy trend w UE: decyzja wpisuje się w aktywną politykę Komisji Europejskiej w zakresie adekwatności; w ostatnim okresie m.in. odnowiono decyzję dla Wielkiej Brytanii oraz przyznano adekwatność Europejskiemu Urzędowi Patentowemu (pierwszy raz dla organizacji międzynarodowej).
  • Co dalej: Komisja Europejska będzie monitorować działanie systemu ochrony danych w Brazylii, a pierwszy przegląd decyzji zaplanowano za cztery lata.
  • Wniosek ogólny: decyzje o adekwatności to kluczowy mechanizm porządkujący globalne przepływy danych i jednocześnie przykład, jak silnie europejski model ochrony danych wpływa na regulacje prywatności na świecie.
Źródło

WSA w Warszawie uchylił decyzję Prezesa UODO o karze dla Poczty Polskiej

  • Kontekst: Wojewódzki Sąd Administracyjny (WSA) w Warszawie uchylił w czwartek karę 27 mln zł nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) na Pocztę Polską za przetwarzanie danych ok. 30 mln obywateli w związku z przygotowaniami do wyborów korespondencyjnych na Prezydenta RP w 2020 r.
  • Dlaczego WSA uchylił karę: Sąd uznał, że w momencie podejmowania działań Poczta Polska miała podstawę prawną w postaci decyzji Premiera z 16 kwietnia 2020 r., która obowiązywała i była wiążąca aż do formalnego stwierdzenia jej nieważności (co nastąpiło dopiero po latach).
  • Domniemanie legalności decyzji: Nawet jeśli później sądy administracyjne uznały decyzję Premiera za nieważną, to w czasie, gdy była wykonywana, korzystała ona z domniemania prawidłowości/legalności, więc nie można automatycznie przyjąć, że Poczta działała „bez podstawy prawnej”.
  • Poczta nie mogła sama oceniać legalności polecenia: WSA wskazał, że jako adresat decyzji Premiera Poczta Polska nie mogła odmówić jej wykonania; odmowa mogłaby skutkować egzekucją administracyjną. Decyzję można było kwestionować w trybie prawnym (skarga do sądu), ale samo zaskarżenie nie wstrzymywało obowiązku wykonania.
  • Co UODO powinno było zbadać: Zdaniem WSA Prezes UODO powinien ocenić, czy w dacie przetwarzania danych Poczta działała w ramach i w celu realizacji polecenia wynikającego z decyzji Premiera (a nie opierać się wyłącznie na późniejszym stwierdzeniu nieważności tej decyzji).
  • Nieodwracalne skutki: WSA zwrócił uwagę, że nie wszystkie skutki wykonania nieważnej decyzji da się odwrócić; do takich skutków zaliczono m.in. samo przetwarzanie danych oraz upływ czasu.
  • Jak wyglądała operacja na danych (2020):
    • 16 kwietnia 2020 r. Premier wydał decyzję zobowiązującą Pocztę Polską do przygotowań do wyborów korespondencyjnych.
    • 20 kwietnia 2020 r. Poczta wystąpiła do Ministerstwa Cyfryzacji o dane z rejestru PESEL.
    • Dane przekazano po 2 dniach (na płycie DVD).
    • Przetwarzanie trwało ok. miesiąc; dane zniszczono w dniach 15–22 maja, gdy było jasne, że wybory nie odbędą się w planowanym terminie i formie.
  • Zakres przekazanych danych: m.in. PESEL, imię i nazwisko, adres zameldowania (stały lub czasowy) oraz informacja o zarejestrowanym czasowym wyjeździe za granicę.
  • Wcześniejsze wyroki o decyzji Premiera:
    • Rzecznik Praw Obywatelskich zaskarżył decyzję Premiera 29 kwietnia 2020 r.
    • WSA 15 września 2020 r. uznał, że decyzja rażąco naruszała prawo i była wydana bez podstawy prawnej.
    • NSA 28 czerwca 2024 r. podtrzymał to stanowisko.
  • Decyzja Prezesa UODO (2025): 17 marca 2025 r. UODO uznał, że działania Poczty Polskiej naruszały podstawowe zasady przetwarzania danych; wskazywał m.in. na skalę (prawie 80% populacji) oraz potencjalne szkody niematerialne (obawa, niepewność, utrata kontroli nad danymi).
  • Stanowisko UODO wobec staranności spółki: UODO twierdził, że Poczta Polska – jako spółka Skarbu Państwa realizująca zadania publiczne – powinna była po otrzymaniu decyzji Premiera przeprowadzić dogłębną analizę, czy decyzja rzeczywiście daje podstawę do pozyskania danych z PESEL.
  • Ministerstwo Cyfryzacji: UODO uznał działania Ministerstwa za niezgodne z prawem i nałożył na Ministra Cyfryzacji karę 100 tys. zł (maksymalną dla podmiotów publicznych); kara została zapłacona.
  • Status wyroku z 5 marca 2026 r.: Wyrok WSA uchylający decyzję UODO wobec Poczty Polskiej jest nieprawomocny; Prezes UODO może wnieść skargę kasacyjną do NSA.
Źródło

Meta sprzedała miliony par okularów AI. Podwykonawcy w Kenii oglądali nagrania użytkowników

  • Kontekst: Meta sprzedała miliony okularów Ray-Ban Meta z funkcjami AI, reklamowanych hasłem „designed for privacy, controlled by you”. Artykuł opisuje zarzuty, że prywatność użytkowników może być w praktyce słabsza, niż sugeruje marketing.
  • Ustalenia dziennikarskie: szwedzkie dziennikarki śledcze podały, że pracownicy firmy Sama (podwykonawcy Meta w Kenii) ręcznie przeglądają i opisują nagrania pochodzące z okularów użytkowników (etykietowanie/katalogowanie materiałów).
  • Co mogło trafiać do oceny: według opisu w materiale pracownicy mogli widzieć bardzo wrażliwe treści, m.in. nagość, sceny seksu oraz dane finansowe (np. numery kart płatniczych) utrwalone w kadrze.
  • Stanowisko Meta: firma ma twierdzić, że media pozostają na urządzeniu, chyba że użytkownik sam je udostępni.
  • Kluczowy problem wskazany w artykule: użycie funkcji AI w okularach ma powodować automatyczne przesyłanie danych do chmury. To tworzy ścieżkę, w której materiały mogą następnie trafić do ręcznej weryfikacji przez podwykonawców.
  • Rozmywanie twarzy: Meta ma deklarować, że twarze są automatycznie rozmywane, ale według relacji pracowników skuteczność tego mechanizmu bywa niewystarczająca („działa tak sobie”).
  • Skutki prawne: w związku ze sprawą ma zostać złożony pozew zbiorowy.
  • Główna teza/wniosek: spór nie dotyczy wyłącznie tego, czy użytkownik „zaakceptował regulamin”, ale tego, że architektura produktu może wymuszać udostępnianie danych do chmury jako warunek działania kluczowych funkcji AI.
Źródło

Retencja danych telekomunikacyjnych wymaga dostosowania do standardów UE – istotny pogląd PUODO

  • Kontekst: Prezes UODO Mirosław Wróblewski przedstawił stanowisko dotyczące obowiązku retencji (przechowywania) danych telekomunikacyjnych przez operatorów komórkowych. Wskazał na poważne wątpliwości co do zgodności polskich przepisów z Konstytucją RP oraz prawem Unii Europejskiej.
  • Cel stanowiska UODO: pogląd przedstawiono w sprawie o sygn. I C 1281/25, aby wesprzeć sąd w interpretacji i stosowaniu przepisów o ochronie danych osobowych w kontekście retencji danych.
  • Czego dotyczy retencja: operatorzy gromadzą m.in. dane o ruchu i lokalizacji (np. numery telefonów, identyfikatory kart SIM i urządzeń, adresy IP, daty i godziny połączeń, czas trwania, inne informacje techniczne).
  • Dlaczego to są dane osobowe: zdaniem Prezesa UODO takie informacje, zwłaszcza połączone z innymi danymi, mogą umożliwiać identyfikację konkretnej osoby.
  • Skala ingerencji w prywatność: długotrwała analiza danych o ruchu i lokalizacji może pozwolić odtworzyć szczegółowy obraz życia użytkownika (codzienne zachowania, relacje społeczne, styl życia).
  • Jak działa obecny model w Polsce: przepisy nakazują operatorom przechowywać dane przez 12 miesięcy  niezależnie od tego, czy dana osoba jest podejrzewana o przestępstwo. Dane mogą być udostępniane uprawnionym służbom, a po okresie retencji powinny zostać zniszczone.
  • Główna krytyka UODO: obecny model ma charakter ogólny i prewencyjny (obejmuje wszystkich), co – według Prezesa UODO – budzi istotne zastrzeżenia w świetle standardów europejskich.
  • Prawo UE i TSUE: Prezes UODO powołuje się na orzecznictwo Trybunału Sprawiedliwości UE, zgodnie z którym ogólna i niezróżnicowana retencja danych jest sprzeczna z prawem UE. Dopuszczalne może być jedynie przetwarzanie ściśle niezbędne i proporcjonalne, np. w celu zwalczania poważnej przestępczości lub ochrony bezpieczeństwa państwa.
  • Rola sądu krajowego: sąd rozpoznający sprawę powinien ocenić zgodność przepisów krajowych z prawem UE i uwzględniać wykładnię TSUE.
  • ETPCz o polskich regulacjach: wskazano także wyrok Europejskiego Trybunału Praw Człowieka z 28 czerwca 2024 r., w którym stwierdzono, że polskie przepisy o kontroli operacyjnej i dostępie do danych komunikacyjnych nie zapewniają wystarczających gwarancji ochrony prawa do prywatności.
  • Konstytucja RP – jakie prawa są naruszane: retencja danych ingeruje w prawo do prywatności (art. 47), tajemnicę komunikowania się (art. 49) oraz autonomię informacyjną (art. 51). Ograniczenia tych praw mogą być wprowadzane tylko ustawą i tylko, gdy są niezbędne w demokratycznym państwie prawnym.
  • Wymóg kontroli i niszczenia danych: w tle przywołano kierunek orzecznictwa Trybunału Konstytucyjnego podkreślający potrzebę mechanizmów kontroli dostępu służb do danych oraz niezwłocznego niszczenia informacji nieistotnych dla postępowań.
  • Charakter stanowiska UODO: nie jest to rozstrzygnięcie indywidualnej sprawy ani wiążąca interpretacja prawa, ale istotny głos o granicach ingerencji państwa w prywatność obywateli.
  • Impuls do zajęcia stanowiska: Sąd Okręgowy w Gdańsku skierował pytanie prejudycjalne do TSUE (sprawa C-741/25 Ranerski) dotyczące interpretacji art. 15 ust. 1 dyrektywy 2002/58/WE w związku z prawami z Karty Praw Podstawowych UE.
  • Dlaczego to ważne: odpowiedź TSUE może mieć skutki nie tylko prawne, ale też ustrojowe – dotyczące relacji między bezpieczeństwem publicznym a prawem do prywatności oraz granic ingerencji państwa.
  • RODO – podstawa legalności: każda operacja przetwarzania danych musi opierać się na jednej z przesłanek z art. 6 ust. 1 RODO. Przy przetwarzaniu opartym na obowiązku prawnym lub interesie publicznym podstawą musi być prawo UE lub państwa członkowskiego.
  • RODO – zasady przetwarzania: Prezes UODO podkreślił znaczenie zasad z art. 5 RODO (m.in. legalność, przejrzystość, minimalizacja, ograniczenie celu i czasu przechowywania, integralność i poufność). Regulacje przewidujące masowe przetwarzanie powinny być oceniane właśnie przez pryzmat tych zasad.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry