RODO aktualności – 18.02.2025 r. 

• Kontekst: Doszło do wycieku danych osobowych pracowników i funkcjonariuszy Krajowej Administracji Skarbowej (KAS) ze spółki EuroCert.​
• Reakcja UODO: Urząd Ochrony Danych Osobowych (UODO) przypomina o wcześniejszym wystąpieniu swojego Prezesa, Mirosława Wróblewskiego, skierowanym do Ministerstwa Cyfryzacji.​
• Numer PESEL: Prezes UODO zwraca uwagę, że dostawcy usług zaufania publicznego (np. kwalifikowanego podpisu elektronicznego) pozyskują numery PESEL, które następnie mogą być upubliczniane.​
• Przepisy prawne: W rozporządzeniu eIDAS (UE 910/2014) oraz polskiej ustawie o usługach zaufania (2016) nie ma wymogu używania numeru PESEL w kodach identyfikacyjnych certyfikatów – wystarczy numer umożliwiający jednoznaczną identyfikację osoby.​
• Wsparcie UODO: Prezes UODO zadeklarował gotowość do wspierania prac nad przepisami, które poprawią ochronę danych osobowych.​
• Znaczenie apelu: Apel Prezesa UODO zyskał szczególne znaczenie w obliczu wycieku danych ze spółki EuroCert.​
• Więcej informacji: Szczegóły można znaleźć w komunikacie na stronie UODO: https://uodo.gov.pl/pl/138/3515 ​

Źródło: https://uodo.gov.pl/pl/138/3541 ​

• Kontekst sprawy: Centrum Medyczne Ujastek Sp. z o.o. w Krakowie na oddziale neonatologii wprowadziło monitoring wizyjny, który rejestrował intymne czynności matek i noworodków. Ustanowiony monitoring był niezgodny z przepisami RODO.​
• Natury naruszeń:​
  • Monitoring był prowadzony niejawnie – pacjenci ani pracownicy nie zostali poinformowani o rejestracji obrazu.​
  • Obrazy były gromadzone w sposób naruszający zasady ochrony danych osobowych (brak odpowiednich zabezpieczeń technicznych i organizacyjnych).​
• Szczegóły związane z zagubieniem danych:​
  • Centrum Medyczne zgłosiło incydent polegający na zagubieniu lub kradzieży kart pamięci z urządzeń monitorujących.​
  • Karty pamięci nie były zaszyfrowane, a urządzenia monitorujące nie spełniały wymaganych standardów bezpieczeństwa.​
  • Przeprowadzona analiza ryzyka była niekompletna i nie przewidziała zagrożeń związanych z incydentem.​
• Kary: Prezes UODO nałożył dwie kary na Centrum Medyczne o łącznej wysokości 1 145 891,25 zł:​
  • 687 534,75 zł za niezgodne z prawem wprowadzenie monitoringu.​
  • 458 356,50 zł za brak odpowiednich środków bezpieczeństwa związanych z przechowywaniem i przetwarzaniem danych.​

​

Źródło: https://uodo.gov.pl/pl/138/3543 ​

• Kontekst: Sprawa dotyczy decyzji Prezesa UODO z 2020 r., dotyczącej przetwarzania danych osobowych wnioskodawczyni przez Bank w bazie Biura Informacji Kredytowej (BIK S.A.), wskutek czego Naczelny Sąd Administracyjny (NSA) zajął się kwestią spełnienia obowiązku poinformowania klienta przez Bank zgodnie z art. 105a ust. 3 Prawa bankowego.​
• Główne wątpliwości prawne skupiły się na wykładni pojęcia „poinformowanie” klienta przez Bank o zamiarze przetwarzania danych osobowych bez jego zgody.​
• Bank wskazywał, że wysłanie listów poleconych na prawidłowy adres klientki, bez zwrotu tych przesyłek, potwierdza spełnienie obowiązku poinformowania zgodnie z przepisami.​
• Wojewódzki Sąd Administracyjny (WSA) w Warszawie w 2021 roku zgodził się z argumentacją Banku, uznając dowody w postaci potwierdzeń nadania przesyłek za wystarczające do spełnienia obowiązku.​
• Jednak Naczelny Sąd Administracyjny w swoim stanowisku z 2024 roku przyjął, że wysłanie korespondencji nie oznacza automatycznie prawidłowego poinformowania klienta. Poinformowanie wymaga udowodnienia faktycznego odbioru informacji przez adresata.​
• NSA podkreślił, że sposób poinformowania klienta powinien umożliwiać jednoznaczne zweryfikowanie, że adresat miał możliwość zapoznania się z treścią informacji, np. poprzez potwierdzenie odbioru.​
• Sąd zwrócił uwagę, że niedostateczne spełnienie obowiązku przez Bank nie może prowadzić do skutków prawnych wobec klienta, mających charakter publicznoprawny.​
• Ostatecznie NSA uznał, że Prezes UODO prawidłowo ocenił sytuację, a potwierdzenie nadania korespondencji nie jest wystarczające jako dowód spełnienia obowiązku informacyjnego Banku.​

Źródło: https://judykatura.pl/nsa-uchylajac-wyrok-wsa-i-oddalajac-skarge-wskazuje-na-interpretacje-poinformowania/ ​

• Kontekst: Sprawa dotyczy sporu pomiędzy Irlandzkim organem nadzorczym ds. ochrony danych (Data Protection Commission, DPC) a Europejską Radą Ochrony Danych (EROD) w sprawie przetwarzania danych użytkowników portali społecznościowych Facebook, Instagram i WhatsApp należących do Mety.​
• Skargi DPC: DPC złożył trzy skargi, w których kwestionował decyzje EROD (z grudnia 2022 r.) nakładające obowiązek przeprowadzenia nowych dochodzeń dotyczących przetwarzania danych użytkowników przez aplikacje Meta oraz wydania nowych projektów decyzji w tej sprawie.​
• Przedmiot zarzutów: W skargach zarzucono możliwe naruszenia przepisów rozporządzenia o ochronie danych osobowych (RODO), w tym dotyczących przetwarzania szczególnych kategorii danych (m.in. danych ujawniających wyznanie, pochodzenie rasowe, stan zdrowia itp., zgodnie z art. 9 RODO).​
• Decyzje EROD: EROD zobowiązała DPC m.in. do:​
  • Przeprowadzenia bardziej szczegółowych dochodzeń w sprawie przetwarzania danych przez aplikacje Mety.​
  • Ustalania, czy dane osobowe użytkowników (również szczególne kategorie danych) są wykorzystywane do celów reklam, marketingu czy współdzielenia z podmiotami trzecimi.​
  • Wydania nowych projektów decyzji w oparciu o wyniki tych dochodzeń.​
• Stanowisko TSUE: Trybunał Sprawiedliwości Unii Europejskiej (TSUE) oddalił skargi Irlandzkiego organu nadzorczego, zaznaczając:​
  • EROD posiada prawo nakładania na organy nadzorcze wymagania przeprowadzenia dodatkowych dochodzeń, jeśli wcześniejsze analizy były niewystarczające.
  • Mechanizm współpracy i kontroli między organami nadzorczymi przewidziany w RODO jest zgodny z unijnymi zasadami niezależności tych organów.​
  • Decyzje EROD nie podważają zdolności organów krajowych do ustalania priorytetów swoich działań ani ich niezależności.​
• Wnioski: TSUE uznał, że działania EROD, w tym wydane wiążące decyzje, są zgodne z prawem Unii Europejskiej i służą wzmocnieniu mechanizmu ochrony danych osobowych w ramach RODO.​

Źródło: https://judykatura.pl/tsue-erod-ma-uprawnienia-do-nakazania-organowi-nadzorczemu-przeprowadzenia-nowego-dochodzenia/ ​

• Włochy zdecydowały o zablokowaniu dostępu do chińskiej sztucznej inteligencji DeepSeek ze względu na obawy o ochronę danych osobowych swoich obywateli.​
• Decyzję podjął Włoski Urząd Ochrony Danych Osobowych, argumentując, że firmy odpowiedzialne za DeepSeek nie dostarczyły wystarczających informacji na temat przetwarzania i przechowywania danych. ​
• Blokada dotyczy dwóch chińskich firm: Hangzhou DeepSeek Artificial Intelligence oraz Beijing DeepSeek Artificial Intelligence, które rozwijają i oferują usługi chatbotowe.​
• Włoski organ działał na podstawie skargi złożonej przez organizację Euroconsumers, zwracającej uwagę na potencjalne naruszenia europejskiego RODO (Rozporządzenia o Ochronie Danych Osobowych).​
• Włoski urząd ostrzegł, że brak transparentności w działaniach DeepSeek może zagrażać danym milionów włoskich obywateli.​
• Władze Włoch podkreślają, że ochrona prywatności użytkowników ma charakter priorytetowy, a wszelkie niejasności w kwestiach zarządzania danymi nie będą tolerowane.​
• Wbrew ustaleniom Urzędu, Hangzhou DeepSeek Artificial Intelligence Co., Ltd., and Beijing DeepSeek Artificial Intelligence Co., Ltd., oświadczyły, że nie prowadzą działalności we Włoszech i że RODO nie ma do nich zastosowania.​
• Urząd, oprócz nakazania ograniczenia przetwarzania, jednocześnie wszczął dochodzenie.​

​

Źródło: https://businessinsider.com.pl/wiadomosci/wloski-urzad-blokuje-deepseek-brak-transparentnosci-o-danych/kx7pv92 ​

• Kontekst sprawy: W październiku 2019 roku Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na pewien podmiot karę finansową w wysokości ponad 200 000 zł oraz nakazał dostosowanie procesów przetwarzania danych osobowych do wymogów RODO. Sprawa dotyczyła naruszeń związanych z mechanizmem odwoływania zgód na przetwarzanie danych oraz brakiem podstaw prawnych do ich dalszego przechowywania.​
• Opis problemu:​
  • Spółka wymagała od użytkowników podania przyczyny odwołania zgody, co nie miało żadnej podstawy prawnej i utrudniało proces odwoływania zgody.​
  • Osoby, które nie podały przyczyny, nie mogły skutecznie odwołać zgody, mimo informacji sugerujących, że proces został zakończony pomyślnie.​
  • Mechanizm odwoływania zgód działał nieskutecznie, generując tzw. „puste e-maile” i uniemożliwiając realizację praw osób, których dane dotyczyły.​
• Wnioski po kontroli:​
  • Sąd stwierdził, że działania spółki naruszają zasady zgodności z prawem, przejrzystości i rzetelności przetwarzania danych osobowych, określone w art. 5 ust. 1 lit. a rozporządzenia RODO.​
  • Proces odwołania zgody powinien być łatwy, nieskomplikowany i przebiegać tym samym kanałem, którym zgoda została udzielona (np. drogą internetową).
  • Spółka przetwarzała dane osobowe 2 190 689 osób w celach marketingowych, gromadząc je w sposób, który mógł wprowadzać użytkowników w błąd.​
  • Brak odpowiedzi na żądanie usunięcia danych przez osoby, które nie były klientami spółki, również uznano za naruszenie przepisów RODO.​
• Orzeczenie sądowe:​
  • Wojewódzki Sąd Administracyjny (WSA) oraz Naczelny Sąd Administracyjny (NSA) potwierdziły, że działania spółki były niezgodne z przepisami RODO.​
  • Sąd stwierdził, że brak możliwości skutecznego odwołania zgody wpłynął na ponad 2 miliony osób, co świadczy o znaczącej skali naruszeń.​
  • Wysokość nałożonej kary została oceniona jako proporcjonalna do charakteru i skali popełnionych naruszeń.​
• Podsumowanie: Sprawa pokazuje, jak istotne jest przestrzeganie zasad RODO w procesach przetwarzania danych osobowych. Naruszenie zasad przejrzystości i rzetelności oraz utrudnianie realizacji praw osób, których dane dotyczą, może skutkować nie tylko karami finansowymi, ale również poważnymi konsekwencjami prawnymi i reputacyjnymi dla podmiotów zbierających dane.​

Źródło: https://judykatura.pl/nsa-organ-nadzorczy-prawidlowo-nalozyl-ponad-200-000-zl-za-utrudnienie-wycofania-zgody/ ​

• Robert Makłowicz padł ofiarą kradzieży wizerunku:​
  • Na platformach X oraz TikTok pojawiły się fałszywe konta podszywające się pod Roberta Makłowicza.​
  • Konta te nie są fanowskie – ich właściciele wykorzystują je do propagowania treści, głównie o charakterze politycznym.​
  • Makłowicz kategorycznie odcina się od publikowanych tam treści i podkreśla, że nie ma z nimi nic wspólnego.​
• Poprosił fanów o pomoc:​
  • Sam zgłasza fałszywe konta administratorom platform, jednak pojedyncze zgłoszenia często pozostają bezskuteczne.​
  • Zaapelował do swoich fanów, aby masowo zgłaszali fałszywe profile, co może zwiększyć szanse na ich usunięcie.​
  • Wyraził wdzięczność za wsparcie i podkreślił, że działanie społeczności może pomóc w eliminacji oszustwa.​
• Dalsze działania i kroki prawne:​
  • Makłowicz obecnie przebywa poza granicami Polski, ale zapowiedział, że po powrocie podejmie kroki prawne przeciwko osobom podszywającym się pod niego.​
  • Jego celem jest ochrona swojego wizerunku oraz zapobieganie rozpowszechnianiu fałszywych treści.​

​

Źródło: https://jastrzabpost.pl/robert-maklowicz-w-potrzebie-poprosil-fanow-o-pomoc-to-przestepstwo,7121883062717248a ​

https://dziendobry.tvn.pl/gwiazdy/robert-maklowicz-prosi-o-pomoc-kradna-moj-dorobek-st8292716 ​

• Sprawa dotyczyła zwolnienia dyscyplinarnego pracownicy A.L., która pozwała byłego pracodawcę, G. Sp. z o.o., o odszkodowanie.​
• Główna kwestia sporna dotyczyła przesyłania danych ze służbowej skrzynki e-mail na prywatny adres e-mail przez powódkę.​
• Powódka argumentowała, że była to powszechna praktyka w firmie, jednak sąd ustalił, że dotyczyło to jedynie sytuacji związanych bezpośrednio z pracą.​
• Powódka przesłała poufne dane (bazy klientów, plany sprzedażowe, strategie marketingowe) na swoją prywatną skrzynkę podczas urlopu wypoczynkowego w okresie wypowiedzenia.​
• Sąd Najwyższy odmówił rozpoznania skargi kasacyjnej, uzasadniając, że nie spełnia ona wymogów formalnych i nie wykazuje istotnego naruszenia prawa.​
• Orzecznictwo wskazuje, że przesyłanie danych służbowych poza firmę może być traktowane jako naruszenie obowiązków pracowniczych i czyn nieuczciwej konkurencji.​
• Jeśli dane mają wartość gospodarczą, ich wyniesienie poza firmę może stanowić zagrożenie dla jej interesów i uzasadniać zwolnienie dyscyplinarne.​
• Wnioski:​
  • Przesyłanie danych na prywatną skrzynkę e-mail może być dozwolone tylko w przypadkach związanych z wykonywaniem obowiązków służbowych.
  • Kluczowe jest to, czy firma ma formalny zakaz takiego działania oraz jaka jest powszechna praktyka.​
  • W tej sprawie sąd uznał, że działanie powódki godziło w interesy pracodawcy i było podstawą do zwolnienia dyscyplinarnego.​

Źródło: https://www.linkedin.com/posts/dominika-dorre-kolasa_ochronadanych-rozwiafbzanieumowy-miesiafbafdzrodo-activity-7293167593270476800-7EqM?utm_source=share&utm_medium=member_desktop ​

• Podsumowanie opinii rzecznika generalnego TSUE w sprawie odpowiedzialności operatora platformy handlowej:​
• Kontekst sprawy: Rzecznik TSUE Maciej Szpunar przeanalizował obowiązki operatora internetowej platformy handlowej na podstawie dyrektywy o handlu elektronicznym oraz RODO.​
  • Opinia została wydana w sprawie C-492/23, dotyczącej pozwu osoby fizycznej X przeciw spółce Russmedia, operatorowi strony Publi24.ro.​
  • W 2018 r. na platformie opublikowano bez zgody X ogłoszenie sugerujące, że oferuje ona usługi seksualne; mimo szybkiego usunięcia treść rozprzestrzeniła się na inne strony.​
• Kluczowe wnioski:​
  • Operator platformy handlowej może nie ponosić odpowiedzialności za treści użytkowników, jeśli jego rola jest neutralna i czysto techniczna.​
  • Ochrona ta nie obejmuje sytuacji, gdy operator aktywnie zarządza treściami, modyfikuje je lub promuje.​
  • W kontekście RODO operator działa na dwóch poziomach odpowiedzialności:​
• Jako podmiot przetwarzający dane osobowe w ogłoszeniach – nie musi kontrolować treści przed publikacją, ale powinien zabezpieczać dane.​
• Jako administrator danych osobowych użytkowników – jest zobowiązany do weryfikacji ich tożsamości.​
  • Opinia rzecznika TSUE wskazuje na istotne granice odpowiedzialności platform za treści publikowane przez użytkowników oraz podkreśla obowiązki związane z ochroną danych osobowych.​

Źródło: https://www.prawo.pl/biznes/czy-serwis-z-ogloszeniami-musi-weryfikowac-uzytkownikow,531367.html ​

• Sprawa dotyczy incydentu, w którym uszkodzona i niekompletna przesyłka sądowa, doręczona przez operatora pocztowego, doprowadziła do naruszenia ochrony danych osobowych.​
• Prezes UODO uznał, że doszło do naruszenia RODO i nałożył na Sąd Okręgowy karę administracyjną oraz nakaz zawiadomienia osób dotkniętych incydentem.​
• WSA w Warszawie uchylił decyzję Prezesa UODO i umorzył sprawę, uznając, że doręczanie korespondencji sądowej mieści się w zakresie „sprawowania wymiaru sprawiedliwości”, co wyłącza kompetencje UODO.​
• Prezes UODO nie zgadza się z tym stanowiskiem i złożył skargę kasacyjną do NSA, argumentując, że nadzór nad bezpieczeństwem danych osobowych nie ingeruje w niezawisłość sądów.​
• Obawy UODO: jeśli to orzeczenie pozostanie w obrocie prawnym, w przyszłości osoby dotknięte podobnym naruszeniem danych mogą zostać pozbawione ochrony prawnej.​
• Prezes UODO wnioskuje o skierowanie przez NSA pytań prejudycjalnych do TSUE w celu wyjaśnienia, czy takie sprawy powinny podlegać nadzorowi organu ochrony danych.​
• Zdaniem UODO doręczanie korespondencji sądowej ma charakter administracyjny i nie powinno być traktowane jako element wymiaru sprawiedliwości.​
• Brak nadzoru nad naruszeniami danych osobowych w sądach może skutkować zagrożeniami dla osób, których dane zostały ujawnione, zarówno materialnymi (np. ryzyko oszustw), jak i niematerialnymi (np. stres, dyskryminacja).
• UODO podkreśla, że sądy odpowiadają za dane zawarte w korespondencji do momentu ich skutecznego doręczenia i powinny podejmować działania zgodnie z przepisami RODO.​
• Przyszłe rozstrzygnięcie NSA może mieć istotne znaczenie dla ochrony danych i praw osób, których dane są przetwarzane przez sądy i ich partnerów (np. pocztę).​

Źródło: https://uodo.gov.pl/pl/138/3552 ​

• Urząd Ochrony Danych Osobowych (UODO) analizuje działanie DeepSeek R1 w kontekście zgodności z przepisami UE dotyczącymi przetwarzania danych osobowych.​
• DeepSeek to chatbot oparty na generatywnej sztucznej inteligencji, udostępniony globalnie w styczniu 2025 r. przez chińskie firmy.​
• W ciągu dwóch pierwszych tygodni aplikacja została pobrana przez 3,6 mln użytkowników na całym świecie.​
• Prezes UODO zaleca ostrożność w korzystaniu z aplikacji DeepSeek ze względu na sposób przechowywania danych użytkowników.​
• Dane mogą być przechowywane na serwerach w Chinach, które nie posiadają decyzji Komisji Europejskiej potwierdzającej odpowiedni stopień ochrony.​
• Chińskie regulacje prawne umożliwiają tamtejszym władzom szeroki dostęp do danych użytkowników bez ochrony zgodnej z prawem UE.​
• Generatywna sztuczna inteligencja opiera się na dużych zbiorach danych, co może prowadzić do wykorzystywania informacji do celów nieintencjonalnych, np. trenowania modeli AI czy zastosowań marketingowych.​
• UODO monitoruje sytuację we współpracy z Europejską Radą Ochrony Danych i organami nadzorczymi innych państw członkowskich UE.​

​

Źródło: https://uodo.gov.pl/pl/138/3550 ​

• Zwolnienie pracownika na podstawie danych z urządzenia GPS jest dopuszczalne, ale nie bezwarunkowo.​
• Kontekst sprawy:​
  • Pracodawcy mogą monitorować samochody służbowe, ale nie bez ograniczeń.​
  • Monitoring pojazdu w czasie rzeczywistym oznacza także przetwarzanie danych osobowych kierowcy.​
  • Europejski Trybunał Praw Człowieka (ETPCz) orzekł, że w konkretnym przypadku nie doszło do naruszenia prawa (art. 8 Konwencji o ochronie praw człowieka).​
• Stan faktyczny:​
  • Przedstawiciel medyczny był zobowiązany do rejestrowania swojej pracy w systemie CRM.​
  • Samochody służbowe zostały wyposażone w system GPS, rejestrujący m.in. czas użytkowania, przejechane odległości, godziny ruchu oraz prędkość.​
  • System GPS działał przez całą dobę – pracownicy nie mogli go dezaktywować.​
• Przyczyna zwolnienia:​
  • Nieścisłości pomiędzy danymi GPS a danymi wprowadzonymi przez pracownika do systemu CRM.​
  • Pracownik celowo zwiększał odległości przejechane służbowo, aby ograniczyć podróże prywatne i uniknąć zwrotu kosztów.
• Kluczowe kwestie:​
  • Pracownik został poinformowany o monitoringu i podpisał stosowny dokument.​
  • Wskazano możliwość postępowania dyscyplinarnego w razie rozbieżności danych.​
  • Dostęp do danych GPS miały tylko osoby odpowiedzialne za zatwierdzanie wizyt i wydatków.​
  • Sprawa: Florindo de Almeida Vasconcelos Gramaxo v. Portugal – 26968/16 (wyrok: 13.12.2022).​

Źródło: https://www.linkedin.com/posts/dominika-dorre-kolasa_zwolnienie-pracownika-na-podstawie-danych-activity-7294639477736562689-KDS9?utm_source=share&utm_medium=member_desktop ​

• Sprawa dotyczyła tego, czy dane pseudonimizowane dla jednego podmiotu (A) mogą być uznane za nie-osobowe dla innego podmiotu (B) po ich przekazaniu.​
• Europejski Inspektor Ochrony Danych (EIOD) przyjmował restrykcyjne stanowisko – uznawał, że dla odbiorcy danych (B) co do zasady są one danymi osobowymi.​
• Rzecznik generalny przedstawił inne podejście – każda sytuacja wymaga indywidualnej analizy.​
• Zdaniem Rzecznika:​
• Argumenty EIOD i Europejskiej Rady Ochrony Danych o konieczności szerokiej interpretacji pojęcia danych osobowych nie są przekonujące.​
• Ochrona danych osobowych nie powinna obejmować przypadków, gdy podmiot nie jest w stanie z uzasadnionym prawdopodobieństwem zidentyfikować osoby.​
• Podmioty, które nie mogą identyfikować osób, nie powinny być obciążane obowiązkami wynikającymi z regulacji dotyczących ochrony danych.​
• W odniesieniu do przekazanych danych Deloitte, kluczowe było ustalenie, czy poziom ich pseudonimizacji uniemożliwiał identyfikację osób.​
• Jeżeli Deloitte posiadało środki pozwalające na identyfikację, to można było uznać, że przetwarza dane osobowe.​
• Ostateczna decyzja Trybunału Sprawiedliwości będzie miała istotne konsekwencje dla trenowania algorytmów i rozwoju AI.​

Źródło: https://www.linkedin.com/posts/miros%C5%82aw-gumularz-ph-d-newtechlaw_language-of-document-activity-7293233637309734912-TniK?utm_source=share&utm_medium=member_desktop ​

• Wyciek danych z EuroCert: 12 stycznia 2025 r. doszło do ataku hakerskiego na firmę EuroCert, dostawcę systemów podpisu kwalifikowanego.​
• Zakres naruszenia: Skradziono dane osobowe, w tym PESEL, adres e-mail, numery dokumentów tożsamości i dane kontaktowe.​
• Wątpliwości wokół bezpieczeństwa KAS: Pracownicy Krajowej Administracji Skarbowej (KAS) od lat zmuszeni są do korzystania z prywatnych kont ePUAP do celów służbowych.​
• Brak przejrzystych działań Ministerstwa Finansów: Opinia publiczna nie ma jasnych informacji o skali naruszenia oraz działaniach podejmowanych w celu ochrony poszkodowanych.​
• Wątpliwości ekspertów: Prof. Hubert Izdebski oraz dr Ireneusz Nowak krytykują praktykę wykorzystywania prywatnych kont pracowników do celów służbowych i wskazują na poważne ryzyko związane z tym procederem.​
• Problem z numerem PESEL: Numer PESEL wciąż jest używany jako element identyfikacyjny w podpisie kwalifikowanym, choć eksperci sugerują zmianę tej praktyki.​
• Brak precyzyjnych informacji ze strony urzędów: Zarówno Ministerstwo Finansów, jak i inne instytucje, unikają przekazywania konkretnych informacji o liczbie poszkodowanych oraz zabezpieczeniach wdrażanych po incydencie.​
• Wnioski:​
  • Wyciek danych może mieć poważne konsekwencje dla pracowników KAS, w tym ryzyko kradzieży tożsamości.​
  • Obecna praktyka korzystania z prywatnych kont ePUAP do celów służbowych jest niebezpieczna i powinna zostać pilnie zweryfikowana.
  • Należy rozważyć ingerencję w przepisy dotyczące identyfikacji użytkowników podpisów kwalifikowanych, aby ograniczyć ekspozycję wrażliwych danych – np. numeru PESEL.​
  • Artykuł podkreśla konieczność większej transparentności w działaniu urzędów oraz pilnych zmian w zakresie cyberbezpieczeństwa administracji państwowej.​

Źródło: https://www.prawo.pl/kadry/wyciek-danych-kas-czy-pesel-musi-identyfikowac-podpis-kwalifikowany,531424.html ​

• Ministerstwo Zdrowia otrzymało dane z bazy POL-on w celu przeprowadzenia analizy szczepień studentów, doktorantów i pracowników uczelni.​
• Baza POL-on zawiera dane osobowe naukowców, w tym numery PESEL oraz informacje o ich statusie na uczelni.​
• Centrum e-Zdrowia porównało te dane z systemem P1 (Elektroniczna Platforma Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych) i przygotowało zestawienie statystyczne.​
• Opracowanie zawierało dane o poziomie zaszczepienia w różnych grupach na poszczególnych uczelniach i zostało przekazane resortowi edukacji.​
• Ośrodek Przetwarzania Informacji opublikował wyniki na swojej stronie internetowej.​
• Przekazanie danych odbyło się bez podstawy prawnej – dane osobowe zostały użyte do innych celów, niż te, dla których zostały pierwotnie zgromadzone.​
• Prezes Urzędu Ochrony Danych Osobowych (PUODO) zbadał sprawę po skardze jednego z naukowców i udzielił upomnień czterem instytucjom:​
• Ministrowi Zdrowia i podległemu mu Centrum e-Zdrowia​
• Ministrowi Edukacji i Nauki oraz nadzorowanemu przez niego Ośrodkowi Przetwarzania Informacji – Państwowemu Instytutowi Badawczemu​
• Centrum e-Zdrowia odwołało się od decyzji PUODO do Wojewódzkiego Sądu Administracyjnego (WSA).​
• WSA 14 stycznia 2025 r. podtrzymał decyzję PUODO, jednak uzasadnienie wyroku nie jest jeszcze znane.​

Źródło: https://uodo.gov.pl/pl/138/3554 ​