RODO aktualności – 17.06.2025 r. 

• Sprawa dotyczy incydentu z lipca 2023 r., w którym pracownik administratora zgubił pendrive'a z danymi osobowymi – część danych była niezaszyfrowana.
• Administrator zgłosił incydent do Prezesa UODO, przekazując dokumentację m.in. analizę ryzyka i opis zastosowanych środków technicznych i organizacyjnych.
• W kwietniu 2024 r. Prezes UODO uznał, że administrator naruszył przepisy RODO i nałożył na niego karę pieniężną w wysokości 238 345 zł oraz nakazał dostosowanie operacji przetwarzania danych.
• Według UODO doszło do:
  • niezastosowania odpowiednich środków technicznych i organizacyjnych chroniących dane,
  • braku regularnego testowania skuteczności tych środków,
  • naruszenia zasady integralności, poufności (art. 5 ust. 1 lit. f) oraz rozliczalności (art. 5 ust. 2 RODO).
• WSA w Warszawie uchylił decyzję UODO w całości, wskazując liczne uchybienia merytoryczne i proceduralne w działaniach organu.
• Sąd uznał, że:
  • Przeprowadzona analiza ryzyka obejmowała przypadek zgubienia pendrive’a – mimo niewskazania go wprost, skutki dla danych były tożsame z tymi, które wynikają z kradzieży czy włamania.
  • Administrator miał wdrożone odpowiednie środki organizacyjne i techniczne, takie jak szyfrowanie danych, zakaz wynoszenia nośników bez zgody, czy przechowywanie ich w zabezpieczonych miejscach.
  • Regularne testy i audyty bezpieczeństwa były prowadzone, a ich wyniki udokumentowane w „Listach kontrolnych RODO”.
  • Nie ma podstaw, aby twierdzić, że administrator nie kontrolował przestrzegania procedur – przeciwnie, działania były dokumentowane i zgodne z obowiązującymi Instrukcjami.
  • Zdarzenie zostało poważnie potraktowane przez administratora, który wdrożył monitoring w celu ochrony osoby, której dane znajdowały się na pendrive’ie.
• WSA wskazał, że incydent był wynikiem nieumyślnego błędu pracownika, który złamał procedury – nie oznacza to jednak, że administrator nie zapewnił odpowiednich środków ochrony.
• Sąd ocenił, że kara finansowa była nieproporcjonalna – naruszenie dotyczyło jednej osoby, nie wyrządziło szkody i zostało właściwie zgłoszone oraz obsłużone przez administratora.

Wniosek: Wyrok WSA potwierdza, że kluczowe dla zgodnego z RODO przetwarzania danych jest nie tylko wdrożenie odpowiednich procedur, ale także ich rzetelna dokumentacja, testowanie i stosowanie w praktyce. Jednocześnie pokazuje, że nie każdy incydent oznacza automatyczne naruszenie przepisów, jeśli administrator działa zgodnie z obowiązującym standardem bezpieczeństwa.

Wojewódzki Sąd Administracyjny (WSA) w Warszawie rozpatrywał skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) dotyczącą przetwarzania danych osobowych przedsiębiorcy przez spółkę, która pozyskała te dane z publicznego rejestru (CEIDG) i udostępniła je podmiotom trzecim. Prezes UODO nakazał w części zaprzestanie tego przetwarzania, co WSA częściowo uchylił, przedstawiając istotne interpretacje w zakresie tzw. prawnie uzasadnionego interesu jako podstawy przetwarzania danych osobowych.

• Sprawa została wszczęta w wyniku skargi przedsiębiorcy, który otrzymywał wiele telefonów marketingowych i domagał się usunięcia swoich danych.
• Spółka pozyskała dane przedsiębiorcy z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) i podała, że przekazała je sześciu innym podmiotom jako odrębnym administratorom danych.
• Prezes UODO uznał, że dane były przetwarzane zgodnie z art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes – w zakresie udostępniania informacji gospodarczych wynikających z działalności spółki.
• Jednakże Prezes UODO uznał za niedopuszczalne dalsze przetwarzanie danych w celu ochrony przed ewentualnymi, niepewnymi roszczeniami ze strony przedsiębiorcy, wskazując, że taka praktyka nie znajduje podstawy prawnej w RODO.
• WSA w Warszawie uchylił decyzję UODO w zakresie zakazu przetwarzania danych w celach obrony przed roszczeniami, wskazując, że sama możliwość istnienia przyszłych roszczeń nie wyklucza automatycznie możliwości przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO.
• Sąd podkreślił, że legalność przetwarzania danych powinna być oceniana z uwzględnieniem charakteru relacji między administratorem a osobą, której dane dotyczą – jeżeli relacja ta potencjalnie dopuszcza powstanie roszczeń, przetwarzanie może być zgodne z prawem.
• Ostateczna decyzja WSA wskazuje na bardziej elastyczne podejście do interpretacji prawnie uzasadnionego interesu, uwzględniające kontekst i potencjalne relacje prawne między stronami.

Wnioski praktyczne:

• Pozyskanie danych z publicznych rejestrów, takich jak CEIDG, może być uzasadnione prawnie, jeżeli mieści się w zakresie prawnie uzasadnionego interesu administratora.
• Nie każde przetwarzanie danych w celu zabezpieczenia przed przyszłymi roszczeniami jest automatycznie niedozwolone – zależy to od charakteru i kontekstu relacji między stronami.
• Administratorzy danych powinni rzetelnie analizować, czy istnieje rzeczywisty związek między ich interesem a potrzebą dalszego przetwarzania danych osobowych.

Rząd wprowadza nowe przepisy mające na celu zwiększenie ochrony obywateli przed wykorzystaniem ich danych osobowych do nielegalnego zawierania umów obowiązkowego ubezpieczenia OC pojazdów mechanicznych.

• Rada Ministrów przyjęła projekt ustawy zmieniającej przepisy dotyczące obowiązkowego ubezpieczenia OC oraz ewidencji ludności.
• Celem zmian jest przeciwdziałanie przestępstwom związanym z kradzieżą tożsamości i wykorzystywaniem cudzych danych do zawierania fikcyjnych umów ubezpieczenia.
• Obecnie zakłady ubezpieczeniowe nie mają dostępu do rejestru zastrzeżonych numerów PESEL, co utrudnia weryfikację danych i wykrywanie prób oszustwa.
• Po wejściu w życie nowych przepisów, firmy ubezpieczeniowe oraz Ubezpieczeniowy Fundusz Gwarancyjny uzyskają prawo dostępu do informacji o zastrzeżeniu numeru PESEL.
• Zmiana umożliwi szybsze wykrywanie i blokowanie prób zawarcia nielegalnej umowy OC na skradzione dane osobowe.
• Nowe przepisy przygotowane przez Ministerstwo Finansów wpisują się w rządowe działania deregulacyjne.
• Wejście w życie rozwiązań nastąpi po trzech miesiącach od publikacji ustawy w Dzienniku Ustaw.

Podsumowanie: Nowe przepisy mają zwiększyć bezpieczeństwo obywateli poprzez lepszą ochronę przed kradzieżą tożsamości przy zawieraniu umów OC. Firmy ubezpieczeniowe będą mogły weryfikować dane w rejestrze PESEL, co pozwoli na szybsze wykrywanie i blokowanie prób oszustwa.

Artykuł dotyczy sporu o zgodność polskich przepisów dotyczących przechowywania danych telekomunikacyjnych (billingów i danych lokalizacyjnych) z prawem Unii Europejskiej. Polskie prawo obliguje operatorów do retencji danych, co Trybunał Sprawiedliwości UE (TSUE) wielokrotnie uznawał za nielegalne.

• Prezes Urzędu Ochrony Danych Osobowych (UODO) ma ocenić legalność przechowywania danych telekomunikacyjnych przez operatorów na potrzeby służb.
• Fundacja Panoptykon złożyła skargi na operatorów, którzy odmówili usunięcia danych osobowych aktywistów – powołując się na RODO i prawo do bycia zapomnianym.
• TSUE już od 2014 roku stwierdza, że masowa retencja danych jest niezgodna z prawem UE (m.in. sprawy: C-203/15, C-698/15, C-511/18, C-512/18).
• W przeciwieństwie do wielu krajów, Polska dotąd nie zmieniła prawa w odpowiedzi na wyroki TSUE – operatorzy nadal muszą przechowywać dane przez rok i przekazywać je służbom.
• Obecne regulacje umożliwiają 10 różnym służbom pobieranie danych bez obowiązku uzasadniania i bez jakiejkolwiek kontroli zewnętrznej.
• Prezes UODO sygnalizował już wcześniej, że polskie przepisy mogą być sprzeczne z prawem unijnym, jednak nie oznacza to automatycznego uwzględnienia skarg aktywistów.
• Spór najpewniej trafi do sądu administracyjnego, a następnie możliwe, że do Naczelnego Sądu Administracyjnego, który może skierować pytania do TSUE.
• Panoptykon podkreśla, że nie chce blokować dostępu służb do danych, lecz wprowadzić procedury i kontrolę nad ich wykorzystaniem.
• W 2023 roku służby sięgały po dane telekomunikacyjne prawie 2 miliony razy, co zdaniem fundacji pokazuje skalę inwigilacji.

Podsumowanie: Fundacja Panoptykon kwestionuje zgodność polskiego prawa nakazującego retencję danych z przepisami UE. Sprawa może doprowadzić do interwencji TSUE, co wymusiłoby na Polsce dostosowanie prawa do unijnych standardów. Główne postulaty aktywistów koncentrują się na potrzebie kontroli nad wykorzystaniem danych przez służby, a nie całkowitym zakazie ich uzyskiwania.

Trwają prace nad nowym kodeksem postępowania dotyczącym ochrony danych osobowych w badaniach klinicznych i innych działaniach sektora farmaceutycznego. Dokument przygotowuje Związek Pracodawców Innowacyjnych Firm Farmaceutycznych INFARMA. Jego celem jest ułatwienie zgodnego z RODO przetwarzania danych oraz wsparcie systemowych rozwiązań w ochronie zdrowia.

• INFARMA opracowała projekt kodeksu postępowania zgodnego z art. 40 RODO, skierowanego do firm z sektora farmaceutycznego.
• Kodeks ma usprawnić prowadzenie badań klinicznych i analiz w celu tworzenia innowacyjnych leków, a także wspomóc rozwiązania poprawiające jakość leczenia i dostępność terapii w Polsce.
• Dokument koncentruje się na zgodnym z RODO przetwarzaniu danych osobowych pacjentów i innych uczestników procesów badawczych.
• Uwagi do projektu można zgłaszać do 18 sierpnia 2025 r. za pomocą formularza dostępnego na stronie INFARMA, wysyłając go na adres: biuro@infarma.pl.
• Projekt wymaga zatwierdzenia przez Prezesa Urzędu Ochrony Danych Osobowych (UODO).
• Sygnatariusze zatwierdzonego kodeksu mogą liczyć na łagodniejsze podejście organu nadzorczego w przypadku ewentualnych kar pieniężnych – UODO uwzględni stosowanie kodeksu przy ocenie naruszeń.
• Dotychczas zatwierdzono w Polsce dwa kodeksy postępowania zgodne z RODO, oba dla sektora medycznego:
  • dla małych placówek medycznych (autorstwa Porozumienia Zielonogórskiego, zatwierdzony 14 grudnia 2022 r.),
  • dla całego sektora ochrony zdrowia (autorstwa Polskiej Federacji Szpitali, zatwierdzony 11 grudnia 2023 r.).

Artykuł opisuje przypadek kobiety, która padła ofiarą cyberoszustwa. Cyberprzestępcy, wykorzystując wyłudzone dane osobowe, zawarli w jej imieniu umowę pożyczki. Mimo że nie była stroną tej umowy, została pozwana o zwrot długu, a sąd wydał nakaz zapłaty. Rzecznik Praw Obywatelskich podjął interwencję w jej sprawie.

• W 2023 r. kobieta odpowiedziała na ogłoszenie o pracę zdalną, które okazało się fałszywe. Przekazała swoje dane osobowe, w tym skan dowodu osobistego.
• Oszust wykorzystał te dane do otwarcia konta bankowego i zaciągnięcia pożyczki bez wiedzy i zgody kobiety.
• Cała procedura odbyła się elektronicznie – nie wymagano podpisu ani fizycznej obecności.
• Sąd Rejonowy w 2024 r. wydał wobec pozwanej nakaz zapłaty w elektronicznym postępowaniu upominawczym na 2474,09 zł plus odsetki i koszty.
• Nakaz nie został jej skutecznie doręczony – przesyłka sądowa została zwrócona przez pocztę. Mimo to sąd uznał ją za doręczoną.
• Komornik rozpoczął postępowanie egzekucyjne i wyegzekwował należność od pokrzywdzonej.
• Kobieta zgłosiła sprawę do prokuratury – śledztwo zakończyło się umorzeniem, sprawców nie wykryto.
• Sąd odrzucił jej sprzeciw i wniosek o przywrócenie terminu, uznając nakaz za prawomocny.
• Pokrzywdzona zwróciła się o pomoc do Rzecznika Praw Obywatelskich (RPO).
• RPO wniósł o wznowienie postępowania, uchylenie nakazu i oddalenie powództwa, wskazując, że umowa pożyczki została podrobiona.
• RPO argumentuje, że doszło do cyfrowego podrobienia dokumentu – użyto danych osobowych bez wiedzy zainteresowanej.
• W świetle prawa, umowa zawarta na podstawie podrobionych danych nie rodzi skutków prawnych – jest nieważna lub nieistniejąca.
• RPO podkreśla brak oświadczenia woli po stronie pozwanej oraz brak podstawy faktycznej i prawnej roszczenia.
• Wniosek RPO opiera się na art. 403 § 1 pkt 1 k.p.c., który pozwala na wznowienie postępowania w przypadku wydania orzeczenia na podstawie podrobionego dokumentu.

Podsumowanie: Kobieta została niesłusznie obciążona obowiązkiem spłaty pożyczki, której nie zaciągała. Rzecznik Praw Obywatelskich wystąpił do sądu o uchylenie nakazu zapłaty i oddalenie powództwa, powołując się na fakt, że umowa została zawarta przez oszusta przy użyciu jej danych osobowych bez jej wiedzy i zgody. Zdaniem RPO, umowa nie rodzi skutków prawnych, a pozwana nie powinna być stroną postępowania.

• RODO (unijne rozporządzenie o ochronie danych) nie zawiera przepisów dotyczących przedawnienia administracyjnych kar pieniężnych.
• Polska ustawa o ochronie danych osobowych odsyła do Kodeksu postępowania administracyjnego (KPA), z wyłączeniem niektórych przepisów – ale nie wyłącza art. 189g KPA, który mówi o 5-letnim terminie przedawnienia.
• Dotychczas powszechnie przyjmowano, że obowiązuje 5-letni termin przedawnienia dla nałożenia kary administracyjnej za naruszenie przepisów o ochronie danych osobowych.
• Prezes UODO w nowej skardze twierdzi jednak, że art. 189g KPA nie powinien mieć zastosowania do kar wynikających z RODO.
• Argument Prezesa UODO opiera się na zasadach prawa unijnego: pierwszeństwa, skuteczności i jednolitości stosowania rozporządzenia RODO.
• Trybunał Sprawiedliwości UE wielokrotnie orzekał, że państwa członkowskie mogą wprowadzać krajowe terminy przedawnienia dla egzekwowania prawa UE, o ile nie naruszają one skuteczności tego prawa.
• Przykłady orzeczeń TSUE (sprawy Palmisani, Santex, Lin) wskazują, że długość terminu przedawnienia może podlegać ocenie, ale sama możliwość jego wprowadzenia przez państwo członkowskie jest dopuszczalna.
• 5-letni termin jest wystarczająco długi, biorąc pod uwagę, że RODO zakłada załatwienie sprawy przez organ nadzorczy w ciągu 3 miesięcy.
• W innych krajach UE terminy przedawnienia mogą być krótsze – na przykład na Litwie wynosi on tylko 2 lata.
• Spór trafi teraz do Naczelnego Sądu Administracyjnego, którego rozstrzygnięcie może zapaść za około 3 lata.
• Ciekawostka: W innej sprawie dotyczącej Poczty Polskiej (tzw. wybory kopertowe), sam Prezes UODO w uzasadnieniu decyzji odwoływał się do art. 189g KPA, uznając go za mający zastosowanie.

Wniosek: Istnieje spór interpretacyjny co do możliwości stosowania krajowych przepisów o przedawnieniu do administracyjnych kar pieniężnych wynikających z RODO. Dotychczas przyjmowane było, że obowiązuje 5-letni termin, ale Prezes UODO kwestionuje obecnie jego zastosowanie w świetle prawa UE. Sprawa zostanie ostatecznie rozstrzygnięta przez NSA.