RODO aktualności – 18.03.2025 r. 

• Kontekst: Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał nową edycję poradnika dotyczącego naruszeń ochrony danych osobowych, która wprowadza restrykcyjne podejście do roli inspektora ochrony danych (IOD).​
• Nowe podejście: IOD według UODO mają pełnić jedynie funkcję doradczą, nie mogą natomiast wykonywać czynności zastrzeżonych dla administratorów.​
  Czego nie może robić IOD:​
  • Nie może zgłaszać naruszeń ochrony danych osobowych do UODO.​
  • Nie może informować osób, których dane dotyczą, o naruszeniach.​
  • Nie może dokumentować naruszeń ochrony danych w imieniu administratora.​
  • Nie może podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania danych.​
  • Nie może działać na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych.​
• Co może robić IOD:​
  • Udzielać wskazówek dotyczących zabezpieczania danych i reagowania na naruszenia.​
  • Doradzać w zakresie przygotowywania dokumentacji związanej z naruszeniami.​
  • Pomagać w zapobieganiu naruszeniom poprzez szkolenia i rekomendacje.​
  • Przekazywać dodatkowe informacje organowi nadzorczemu o naruszeniach.
• Kontrowersje i opinie ekspertów:​
  • Prawnicy uznają stanowisko UODO za nadmiernie rygorystyczne, co może utrudnić zarządzanie naruszeniami danych w organizacjach.​
  • Zdaniem prof. Grzegorza Sibigi, podejście UODO znacząco ogranicza rolę IOD, sprowadzając ją jedynie do roli obserwatora i doradcy.​
  • UODO argumentuje, że ograniczenia wynikają z konieczności uniknięcia konfliktu interesów.​
• Wnioski: Nowe wytyczne UODO mogą spowodować zwiększenie liczby zgłoszeń naruszeń, a także konieczność angażowania dodatkowych działów w ich obsługę. Eksperci podkreślają, że tak rygorystyczne podejście do roli IOD jest niespotykane w innych krajach.

Źródło: https://www.prawo.pl/biznes/iod-a-naruszenie-danych-osobowych-uodo-zmienia-stanowisko,531724.html

• Obowiązek informacyjny wobec osób, których dane są przetwarzane, spoczywa na administratorze danych.​
• Podmiot przetwarzający może wspierać administratora w realizacji tego obowiązku, ale tylko na wyraźne polecenie i zgodnie z instrukcjami administratora.​
• Administrator musi mieć pełną kontrolę nad treścią oraz zakresem obowiązku informacyjnego.​
• Przepisy RODO (art. 13 i 14) wskazują, że tylko administrator jest właściwy do udzielania informacji o przetwarzaniu danych osobowych.​
• Wykładnia językowa przepisów również wskazuje, że spełnienie obowiązku informacyjnego należy wyłącznie do administratora.​
• Obowiązki podmiotu przetwarzającego określone w art. 28 ust. 3 RODO nie obejmują realizacji praw osób, których dane dotyczą, w tym przekazywania klauzul informacyjnych.​
• Wytyczne Grupy Roboczej art. 29 dotyczące obowiązku informacyjnego również wskazują administratora jako podmiot odpowiedzialny za jego realizację.​
• Podmiot przetwarzający może przekazywać treść obowiązku informacyjnego osobom, których dane dotyczą, ale tylko zgodnie z instrukcjami administratora.​

​

Źródło: https://media.licdn.com/dms/document/media/v2/D4D1FAQFsuyzonG6n8g/feedshare-document-pdf-analyzed/B4DZVbsh6tG8AY-/0/1741000178642?e=1741824000&v=beta&t=51wREedaKN7Ep1ErU8SWuj7QpBgYN4ZNFqpkgAGc32Y ​

• Rada Gminy opublikowała w Biuletynie Informacji Publicznej (BIP) dokument zawierający imię, nazwisko i adres zamieszkania jednej z mieszkanek.​
• Dane te znalazły się w załączniku do uchwały dotyczącej odpowiedzi na skargę obywatelki do Wojewódzkiego Sądu Administracyjnego.​
• Osoba, której dane ujawniono, natychmiast złożyła skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), domagając się ich usunięcia.​
• Dokument został usunięty z BIP trzy minuty przed oficjalnym otrzymaniem pisma skarżącej, a wójt poinformował ją o naruszeniu i usunięciu danych zgodnie z przepisami RODO.​
• Prezes UODO stwierdził naruszenie przepisów o ochronie danych osobowych i udzielił Wójtowi upomnienia jako adekwatnej reakcji na sytuację.​
• Sygnatura sprawy: DS.523.4742.2023.​

​

Źródło: https://media.licdn.com/dms/document/media/v2/D4D1FAQFsuyzonG6n8g/feedshare-document-pdf-analyzed/B4DZVbsh6tG8AY-/0/1741000178642?e=1741824000&v=beta&t=51wREedaKN7Ep1ErU8SWuj7QpBgYN4ZNFqpkgAGc32Y ​

• TSUE wydał istotny wyrok w sprawie interpretacji prawa dostępu do danych osobowych w kontekście zautomatyzowanego podejmowania decyzji.​
• Sprawa dotyczyła operatora telefonii komórkowej, który odmówił zawarcia umowy z klientką (CK) na podstawie oceny kredytowej dokonanej automatycznie przez spółkę D & B.​
• CK zwróciła się do austriackiego organu ochrony danych o dostęp do informacji na temat zasad tej oceny.​
• Spółka D & B odmówiła pełnego ujawnienia informacji, powołując się na ochronę tajemnicy przedsiębiorstwa.​
• Sąd administracyjny w Austrii uznał, że spółka naruszyła przepisy RODO, nie dostarczając wystarczających informacji.​
• TSUE podkreślił, że zgodnie z RODO osoby, których dane dotyczą, mają prawo uzyskać szczegółowe informacje o zasadach zautomatyzowanego przetwarzania ich danych.​
• TSUE stwierdził, że pojęcie „istotnych informacji” obejmuje nie tylko podstawowe wyjaśnienia, ale także jasne i zrozumiałe informacje o procedurze i zasadach stosowanych do oceny danych.​
• Jeżeli administrator danych uważa, że ujawnienie informacji narusza tajemnicę przedsiębiorstwa lub ochronę danych osób trzecich, zobowiązany jest przedstawić te informacje właściwemu organowi nadzorczemu lub sądowi.​
• Organ nadzorczy lub sąd oceni, jakie informacje mogą zostać udostępnione osobie, której dane dotyczą, zachowując jednocześnie równowagę między ochroną prywatności a interesami przedsiębiorstwa.​
• Wniosek: Wyrok TSUE doprecyzowuje obowiązki administratorów danych dotyczące transparentności działań związanych z automatycznym podejmowaniem decyzji, wzmacniając prawa obywateli do informacji o przetwarzaniu ich danych osobowych.​

Źródło: https://judykatura.pl/tsue-interpretuje-prawo-dostepu-do-danych-oraz-zadanie-organu-nadzorczego-lub-sadu/ ​

• Europejska Rada Ochrony Danych (EROD) przyjęła oświadczenie dotyczące metod zapewnienia wieku, aby chronić dzieci przed nieodpowiednimi treściami przy jednoczesnym poszanowaniu zasad ochrony danych.​
• Oświadczenie zawiera dziesięć zasad, które mają pomóc w ocenie wieku użytkowników w sposób zgodny z prawem.​
• EROD współpracuje z Komisją Europejską nad metodami weryfikacji wieku w ramach aktu o usługach cyfrowych (DSA).​
• Podjęto decyzję o utworzeniu Grupy zadaniowej ds. egzekwowania prawa AI, mającej koordynować działania organów nadzorczych w zakresie przepisów dotyczących sztucznej inteligencji.​
• Planowane jest utworzenie zespołu szybkiego reagowania, który ma zająć się pilnymi kwestiami związanymi z ochroną danych.​
• EROD wydała także zalecenia dla Światowej Agencji Antydopingowej (WADA) dotyczące Światowego Kodeksu Antydopingowego na 2027 rok.​
• Zalecenia podkreślają konieczność zgodności kodeksu ze standardami RODO, szczególnie w zakresie ochrony wrażliwych danych sportowców.​
• Podstawowe zasady ochrony danych, takie jak jasne podstawy prawne przetwarzania i przejrzystość w informowaniu osób, muszą być zapewnione podczas działań antydopingowych.​
• Działania EROD mają na celu zwiększenie ochrony prywatności, zwłaszcza w obszarach związanych z nowymi technologiami i danymi wrażliwymi.​

​

Źródło: https://uodo.gov.pl/pl/138/3568 ​

• Kontekst: Hiszpański organ ochrony danych (AEPD) nałożył karę w wysokości 1 miliona euro na La Liga za naruszenia związane z przetwarzaniem danych biometrycznych kibiców.​
• Stosowany system: Kibice musieli podać dane biometryczne (np. odcisk palca lub rozpoznanie twarzy) w celu wejścia na stadion.​
• Sposób działania: Tożsamość kibiców weryfikowano na podstawie porównania ich twarzy lub odcisku palca z danymi zapisanymi w systemie.​
• Brak alternatywy: Bilety były imienne i niezbywalne, a brak zgody na skan biometryczny oznaczał brak możliwości wejścia na mecz.​
• Decyzja organu (AEPD):​
  • Uznano, że przetwarzanie danych biometrycznych nie było zgodne z RODO.​
  • Agencja zakwestionowała dobrowolność zgody kibiców – jedyną alternatywą był brak wstępu na stadion.​
  • La Liga nie przeprowadziła wymaganej oceny skutków dla ochrony danych (naruszenie art. 35 RODO).​
  • Nie podjęto wystarczających środków minimalizujących ryzyko związane z przetwarzaniem danych biometrycznych.​
• Konsekwencje: Kara finansowa oraz konieczność dostosowania systemu do wymogów regulacji o ochronie danych.​

​

Źródło: https://www.linkedin.com/posts/activity-7303770498549637121-6SBh?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 ​

• Kontekst sprawy: NSA w lutym 2025 r. oddalił skargę kasacyjną administratora danych dotyczącą przetwarzania danych osobowych po zakończeniu umowy najmu samochodu.​
• Stan faktyczny:​
  • Skarga obywatela na niezgodne z prawem przetwarzanie jego danych osobowych przez firmę wynajmującą samochody.​
  • Pozyskane dane obejmowały m.in. imię, nazwisko, adres i numery dokumentów tożsamości.​
  • Prezes UODO nakazał usunięcie tych danych, uznając ich dalsze przechowywanie za bezpodstawne.​
• Argumenty sądów:​
  • WSA: Przetwarzanie nie było zgodne z art. 6 ust. 1 lit. f RODO, ponieważ nie było to konieczne do obrony przed roszczeniami.​
  • NSA: Przetwarzanie było zgodne z RODO, ale tylko w krótkim okresie po zakończeniu umowy, gdy mogły ujawnić się ewentualne szkody.​
• Kluczowe wnioski:​
  • Po zakończeniu umowy najmu dane mogą być przetwarzane tylko przez krótki czas – do momentu, gdy potwierdzono brak roszczeń.​
  • Brak roszczeń oznacza brak podstawy do dalszego przechowywania danych osobowych.​
  • Nie można powoływać się na możliwość ewentualnych przyszłych roszczeń jako uzasadnienie przetwarzania danych.​
  • NSA podkreślił, że w razie wykrycia szkód przetwarzanie może być uzasadnione do momentu dochodzenia roszczeń.
• Wnioski praktyczne dla administratorów:​
  • Administratorzy powinni dokładnie określać moment, w którym tracą podstawę do przetwarzania danych.​
  • Przechowywanie danych „na wszelki wypadek” nie jest zgodne z RODO.​
  • Konieczne jest precyzyjne dokumentowanie podstaw przetwarzania danych, aby uniknąć podobnych spraw.​

Źródło: https://judykatura.pl/nsa-mozna-przetwarzac-dane-osobowe-po-wykonaniu-umowy-na-prawnie-uzasadnionym-interesie/ ​

• Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO z stycznia 2024 r., która nakładała upomnienie na spółkę za opóźnienie w udzieleniu odpowiedzi na wniosek dotyczący przetwarzania danych osobowych.​
• Sprawa dotyczyła wniosku obywatela złożonego w listopadzie 2022 r., na który spółka odpowiedziała w lutym 2023 r., wskazując, że nie jest administratorem jego danych i że właściwy podmiot to G.I.​
• Prezes UODO uznał, że spółka naruszyła przepisy RODO, odpowiadając po terminie i nie informując wnioskodawcy o przyczynach opóźnienia oraz prawie do złożenia skargi.​
• Spółka wniosła skargę na decyzję UODO, argumentując, że nie była administratorem danych osobowych wnioskodawcy w rozumieniu art. 4 pkt 7 RODO, a obowiązki wynikające z art. 12 i 15 RODO dotyczą wyłącznie administratora.​
• WSA przyznał rację spółce i uchylił decyzję UODO, podkreślając, że obowiązki wynikające z RODO spoczywają na administratorze danych, a spółka takim administratorem nie była w odniesieniu do danych objętych wnioskiem.​
• Sąd wskazał, że przyjęcie odmiennej wykładni prowadziłoby do nadmiernej ingerencji w obowiązki podmiotów, które nie są administratorami danych w rozumieniu RODO.​
• Orzeczenie WSA potwierdza, że przed nałożeniem sankcji organ nadzorczy musi najpierw ustalić, czy dany podmiot faktycznie pełnił funkcję administratora danych w zakresie objętym skargą.​

​

Źródło: https://judykatura.pl/wsa-uchylajac-upomnienie-prezesa-uodo-wskazuje-jaki-podmiot-wykonuje-prawo-kopii-danych/ ​

• Kontekst sprawy:​
  • Trybunał Sprawiedliwości Unii Europejskiej (TSUE) rozpatruje pytania prejudycjalne węgierskiego sądu dotyczące interpretacji artykułu 16 RODO w kontekście sprostowania danych osobowych dotyczących płci.​
  • Sprawa dotyczy irańskiego uchodźcy na Węgrzech, który jest osobą transpłciową i wnosi o zmianę wpisu dotyczącego płci w rejestrze spraw o udzielenie azylu.​
• Główne pytania prejudycjalne:​
  • Czy organy prowadzące rejestry są obowiązane do dokonania sprostowania danych osobowych o płci zgodnie z art. 16 RODO?​
  • Czy osoba wnioskująca o korektę danych dotyczących płci musi przedstawić dowody uzasadniające swoje żądanie?​
  • Jeśli tak, to czy jednym z wymaganych dowodów musi być operacja korekty płci?​
• Stan faktyczny:​
  • Uchodźca pierwotnie został wpisany do rejestru jako kobieta, jednak w 2022 r. złożył wniosek o zmianę rejestracji na mężczyznę.​
  • Wniosek został oddalony, ponieważ wnioskodawca nie przedstawił dowodu przejścia operacji korekty płci, mimo iż dostarczył zaświadczenia specjalistów potwierdzające jego transpłciowość.​
• Kwestie prawne:​
  • Węgierskie prawo azylowe nie reguluje szczegółowo procedury zmiany płci i nazwiska osób niebędących obywatelami Węgier.
  • Węgierski Trybunał Konstytucyjny oraz Europejski Trybunał Praw Człowieka (ETPC) wskazywały już na naruszenia praw człowieka w podobnych sytuacjach, jednak nadal brak jest stosownych przepisów krajowych.​
  • Obecnie również obywatele Węgier nie mogą zgodnie z prawem formalnie uznać zmiany płci.​
• Znaczenie sprawy:​
  • Wyrok TSUE może doprecyzować obowiązki administracyjne w zakresie zmiany danych osobowych dotyczących płci.​
  • Orzeczenie mogłoby wpłynąć nie tylko na prawo węgierskie, ale również na praktykę stosowania RODO w innych krajach UE.​

Źródło: https://judykatura.pl/wegierki-sad-pyta-tsue-o-zakres-stosowania-prawa-do-sprostowania-danych/ ​

• Nowe przepisy dotyczące danych medycznych: W Dzienniku Urzędowym UE opublikowano rozporządzenie dotyczące Europejskiej Przestrzeni Danych o Zdrowiu (EHDS), które wprowadza istotne zmiany w przetwarzaniu i udostępnianiu danych medycznych pacjentów.​
• Termin wejścia w życie: Rozporządzenie formalnie wejdzie w życie 26 marca 2024 r., ale jego pełne wdrożenie nastąpi stopniowo.​
• Łatwy i bezpieczny dostęp do dokumentacji: EHDS zapewni pacjentom w całej UE szybki i bezpieczny dostęp do swojej dokumentacji medycznej – zarówno w kraju, jak i za granicą.​
• Kontrola pacjentów nad danymi: Pacjenci będą mogli samodzielnie decydować, kto i w jakim zakresie ma dostęp do ich elektronicznej dokumentacji medycznej.​
• Korzyści dla systemu ochrony zdrowia: Lekarze będą mogli (za zgodą pacjenta) szybko uzyskać dostęp do kluczowych informacji, takich jak wyniki badań czy historia leczenia, co poprawi bezpieczeństwo i skuteczność leczenia.​
• Wsparcie dla nauki i polityki zdrowotnej: Dane zdrowotne w formie anonimowej będą wykorzystywane do badań naukowych, monitorowania zdrowia społeczeństwa i opracowywania strategii zdrowotnych.​
• Interoperacyjność systemów: Elektroniczna dokumentacja medyczna w różnych krajach UE będzie zharmonizowana, co umożliwi lekarzom czytanie dokumentacji pacjenta niezależnie od kraju jej wystawienia.​
• Proces wdrażania:​
  • Podstawowe przepisy zaczną obowiązywać od 26 marca 2025 r.
  • Pełne wdrożenie systemów oraz ustanowienie instytucji zarządzających nastąpi do 26 marca 2027 r.​
  • Konieczne będą zmiany w krajowym prawodawstwie dostosowujące systemy krajowe do nowych regulacji UE.​
• Spotkanie na wysokim szczeblu: 18 marca 2024 r. podczas polskiej prezydencji w Radzie UE odbędzie się spotkanie europejskich ministrów zdrowia, nauki i cyfryzacji, poświęcone EHDS.​

Źródło: https://www.prawo.pl/zdrowie/rozporzadzenie-ehds-opublikowane-w-dzienniku-urzedowym-ue,531844.html​

• Problem: W Radiu Szczecin doszło do naruszenia prywatności poprzez umożliwienie identyfikacji ofiary przestępstwa w materiale prasowym.​
• Konsekwencja: Osoba ta popełniła samobójstwo, a sprawę badała prokuratura.​
• Reakcja UODO: Prezes Urzędu Ochrony Danych Osobowych (UODO) wszczął kontrolę, aby ocenić systemowe ryzyko naruszania prywatności.​
• Wyniki kontroli UODO:​
  • Radio nie przeprowadziło analizy ryzyka związanego z przetwarzaniem danych osobowych.​
  • Brakowało procedur weryfikujących materiały prasowe przed publikacją pod kątem ochrony danych osobowych.​
  • Nie zabezpieczono nośników zawierających dane osobowe (np. brak szyfrowania).​
  • Nie wdrożono odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych.​
• Decyzja UODO:​
  • Polskie Radio Szczecin ma 60 dni na wdrożenie poprawek w zakresie ochrony danych osobowych.​
  • Nałożono karę administracyjną w wysokości 56 824 zł.​
  • Podkreślono, że redakcje prasowe muszą wdrażać środki ochrony danych, nawet jeśli w części ich działalność nie podlega RODO.​
  • Przypomnienie przepisów: Prawo prasowe zabrania publikowania danych osobowych oraz informacji z prywatnej sfery życia bez zgody zainteresowanej osoby, jeśli nie pełni ona funkcji publicznej.
• Wnioski UODO: W radiu brakowało transparentnych procedur zapewniających zgodność publikacji z prawem, co stwarza ryzyko powtarzania się podobnych przypadków.​
• Wnioski końcowe: Nałożona kara ma skłonić media do większej odpowiedzialności za ochronę danych osobowych. Prezes UODO podkreśla, że także w działalności dziennikarskiej konieczne jest przestrzeganie zasad bezpieczeństwa i poszanowanie prywatności osób fizycznych.​

Źródło: https://uodo.gov.pl/pl/138/3585 ​

• Kontekst: Jedyną powszechnie dostępną podstawą prawną do przetwarzania danych osobowych w celu trenowania modeli AI jest tzw. uzasadniony interes administratora danych.​
• Trzyetapowy test uzasadnionego interesu:​
  • Czy istnieje uzasadniony interes w przetwarzaniu danych na potrzeby trenowania modeli AI?​
  • Czy przetwarzanie danych jest niezbędne do realizacji tego interesu?​
  • Czy uzasadniony interes przeważa nad prawami i wolnościami osób, których dane dotyczą?​
• Kluczowy problem: Aby uzasadniony interes mógł stanowić podstawę przetwarzania, musi być jasno i precyzyjnie zakomunikowany osobom, których dane są przetwarzane.​
• Rozróżnienie od innych podstaw prawnych: W przypadku np. realizacji umowy brak poinformowania osoby o przetwarzaniu danych skutkuje naruszeniem regulacji RODO, ale samo przetwarzanie jest dopuszczalne. Natomiast w przypadku uzasadnionego interesu – brak poinformowania uniemożliwia przetwarzanie.​
• Polski przykład: Decyzja Prezesa UODO z 20 września 2023 r. potwierdza, że poinformowanie osób jest koniecznym warunkiem uzasadnionego interesu.​
• Konsekwencje dla AI: Jeśli nie poinformuje się jasno i precyzyjnie osób, których dane zamierza się wykorzystywać do trenowania modeli AI, przetwarzanie tych danych jest niedozwolone.
• Forma komunikacji: Umieszczenie informacji np. w regulaminie (T&C) nie jest wystarczające – informacja musi być przekazana w sposób przejrzysty.​
• Podobieństwo do zgody: Osoba, która nie została skutecznie poinformowana, nie może skutecznie wyrazić zgody na przetwarzanie jej danych.​

Źródło: https://www.linkedin.com/posts/pawe%C5%82-litwi%C5%84ski_ai-llm-rodo-activity-7304861786795597825-d64W?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 ​