RODO aktualności – 18.11.2025 r. 

Komisja Europejska planuje opublikować 19 listopada 2025 r. tzw. „Pakiet Cyfrowy dotyczący uproszczeń” (Digital Omnibus), mający na celu uproszczenie i ujednolicenie przepisów cyfrowych Unii Europejskiej. Opiera się on przede wszystkim na zmianach w RODO, ePrivacy oraz Akcie o danych, a także obejmuje regulacje dotyczące sztucznej inteligencji (AI Act).

• Jeden punkt raportowania naruszeń: Wprowadzenie zasady "report once, share many" – jedno zgłoszenie miałoby spełniać obowiązki pod różnymi aktami prawnymi (RODO, NIS, DORA, CER). Zgłoszenia będą dotyczyły tylko incydentów stwarzających wysokie ryzyko, a czas na ich zgłoszenie wydłuży się do 96 godzin.
• Zmiany dotyczące prawa dostępu w sprawach pracowniczych: Organizacje będą mogły odrzucić nadużycia prawa dostępu do danych (DSAR) lub pobrać opłatę w przypadku podejrzenia wykorzystania tego prawa w celach pozadanych – np. w sporach pracowniczych.
• Reforma zasad dot. ciasteczek:
  • Możliwość używania ciasteczek bez zgody w celach statystycznych i bezpieczeństwa.
  • Kiedy cookies służą do przetwarzania danych osobowych – stosowany będzie RODO, nie ePrivacy.
  • W przyszłości obowiązkowe będą ustawienia globalne (universal settings), np. przez przeglądarki, wyrażające zgodę lub sprzeciw użytkownika.
• Ocena skutków dla ochrony danych (DPIA): EDPB opracuje jednolitą listę przypadków, kiedy DPIA jest potrzebna, z uniwersalnym szablonem i metodologią.
• Nowa definicja danych szczególnych: Dane będą uznawane za "szczególne" tylko wtedy, gdy bezpośrednio ujawniają wrażliwe informacje. Dodatkowe wyjątki dla ich przetwarzania, np. w kontekście AI i biometrii na urządzeniu użytkownika.
• Szkolenie modeli AI: Przetwarzanie danych osobowych na potrzeby trenowania systemów AI będzie możliwe na podstawie uzasadnionego interesu, przy obowiązku przeprowadzenia testu równowagi.
• Obowiązek informacyjny: Administrator nie będzie musiał powiadamiać osoby o przetwarzaniu danych, jeśli osoba zna podstawowe informacje (jak tożsamość administratora lub cel przetwarzania), o ile nie zachodzą określone wyjątki (np. przekazywanie danych poza UE).
• Automatyczne podejmowanie decyzji (ADM): Wskazano, że zautomatyzowana decyzja może być dopuściła, nawet jeśli możliwa byłaby decyzja ręczna. ADM możliwe będzie m.in. dla wykonania umowy.
• Uściślenie pojęcia danych osobowych: Dane są osobowe tylko, gdy dany administrator jest w stanie zidentyfikować osobę przy użyciu racjonalnych środków, które ma do dyspozycji.
• Akt o danych (Data Act) – kluczowe zmiany:
  • Wyłączenie z obowiązków zmiany dostawcy usług chmurowych dla firm MŚP i usług custom-made (dotyczy tylko umów sprzed września 2025 r.).
  • Możliwość odmowy udostępnienia danych, jeśli istnieje wysokie ryzyko ujawnienia tajemnicy przedsiębiorstwa w państwach trzecich.
  • Likwidacja DGA i przepisów o swobodnym przepływie danych nieosobowych – przepisy zostaną włączone do Data Act i dyrektywy o otwartych danych

Kontekst: Artykuł omawia wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie dotyczącej przetwarzania danych osobowych przez Bank, który korzystał z danych osób prowadzących działalność gospodarczą opublikowanych w rejestrze CEIDG. Sprawa ta dotyczy oceny legalności przetwarzania danych w dwóch różnych sytuacjach i oceny decyzji Prezesa UODO.

• Sąd uznał, że Bank miał prawo korzystać z danych kontaktowych z publicznego rejestru CEIDG (adres e-mail, numer telefonu) w celu nawiązania wstępnego kontaktu i ustalenia, czy osoba prowadząca działalność jest zainteresowana ofertą.
• Nie każde wykorzystanie danych do kontaktu stanowi marketing bezpośredni. W ocenie Sądu, zapytanie o możliwość przedstawienia oferty nie może być traktowane jako marketing wymagający uprzedniej zgody według ustawy Prawo telekomunikacyjne.
• WSA uchylił upomnienie wydane przez Prezesa UODO wobec Banku, uznając, że organ nadzorczy zbyt szeroko zinterpretował pojęcie „marketingu bezpośredniego”, przez co błędnie ocenił sytuację przetwarzania danych.
• Jednocześnie Sąd uznał, że Bank nie wykazał legalności przetwarzania danych osobowych Skarżącego na etapie postępowania prowadzonego przed UODO – np. nie przedstawił konkretnych roszczeń, które uzasadniałyby dalsze przetwarzanie danych w ramach obrony interesów prawnych.
• Sąd podkreślił, że samo toczące się postępowanie przed UODO nie stanowi podstawy prawnej do przetwarzania danych osobowych. Gdyby uznać inaczej, oznaczałoby to iluzoryczną ochronę danych osobowych skarżących.
• Sąd wskazał na obowiązek Banku aktualizacji danych przetwarzanych z rejestru CEIDG. Jeśli dane przestają być publicznie dostępne, ich dalsze przechowywanie i wykorzystywanie nie znajduje już podstawy prawnej.
• Wyrok pokazuje złożoność interpretacji przepisów RODO i Prawa telekomunikacyjnego, a także rozbieżność między stanowiskiem organu nadzorczego a oceną sądu w określonych kontekstach.

• Kontekst: Artykuł opisuje sprawę naruszenia ochrony danych osobowych w jednej z placówek medycznych oraz konsekwencje prawne wynikające z niedopełnienia obowiązków informacyjnych przez administratora danych osobowych wobec pacjentów.
• Naczelny Sąd Administracyjny (NSA) podtrzymał karę pieniężną w wysokości 85.588 zł nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) na przychodnię medyczną.
• Przychodnia podejrzewała, że odchodzący z pracy lekarz skopiował dane osobowe pacjentów w celu marketingu własnych usług. Skopiowane dane obejmowały m.in. numery PESEL, imiona i nazwiska, adresy zamieszkania i numery telefonów.
• Mimo wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą, przychodnia nie poinformowała pacjentów o incydencie w przewidziany przepisami sposób.
• Prezes UODO nakazał powiadomienie wszystkich osób, których dane mogły zostać naruszone, w ciągu trzech dni, jednak przychodnia nie wykonała tego obowiązku w pełnym zakresie.
• Placówka argumentowała, że nie jest w stanie określić, których konkretnie pacjentów dotyczyło naruszenie, wobec czego zawiadomiła jedynie niektóre osoby — początkowo tylko 10, a później 37 pacjentów.
• UODO uznał, że zawiadomienia były niekompletne i wysłane niezgodnie z przepisami (zamiast listów poleconych użyto zwykłych przesyłek). Zawiadomienia nie zawierały także wymaganych informacji, np. opisu naruszenia czy działań podjętych przez administratora.
• NSA potwierdził, że przychodnia nie wykonała obowiązku zawiadomienia osób zgodnie z art. 34 ust. 1 i 2 RODO, co uzasadniało nałożenie kary finansowej.
• Mimo że przychodnia ostatecznie wysłała poprawione zawiadomienia listami poleconymi, zrobiła to dopiero po wydaniu decyzji o karze, co nie mogło wpłynąć na jej anulowanie.
• Wyrok podkreśla obowiązek rzetelnego i terminowego informowania o naruszeniach danych osobowych oraz surowe konsekwencje za zaniechania w tym zakresie.

• Cel dokumentu: Wytyczne przygotowane przez Europejskiego Inspektora Ochrony Danych (EDPS) mają wspierać instytucje, organy i agencje UE w identyfikacji i ograniczaniu ryzyk dla praw i wolności osób fizycznych związanych z wykorzystywaniem sztucznej inteligencji (AI) i przetwarzaniem danych osobowych.
• Zakres:
  • Uzupełnia wcześniejsze wytyczne EDPS dotyczące Generatywnej AI (2024, 2025).
  • Opiera się na normie zarządzania ryzykiem ISO 31000:2018.
  • Skupia się na technicznych środkach zaradczych, a nie aspektach prawnych.
  • Nie stanowi zbioru reguł zgodności, lecz narzędzie do systematycznej oceny ryzyka.
• Struktura i metodologia:
  • Ryzyka analizowane w kontekście całego cyklu życia systemu AI: planowanie, projektowanie, pozyskiwanie danych, trenowanie, testowanie, wdrażanie, monitorowanie, rekontrola.
  • Szczególny nacisk na fazę zamówień publicznych jako krytyczną dla późniejszych zagrożeń.
  • Interpretowalność (explainability) uznana za kluczowy warunek zgodności z przepisami ochrony danych.
• Pięć zasad ochrony danych według EUDPR i powiązane ryzyka:
  • Rzetelność (Fairness): ryzyka związane z uprzedzeniami w danych i brakiem transparentności; proponowane środki to m.in. audyty algorytmiczne, analiza danych treningowych, dokumentacja logiki działania.
  • Dokładność (Accuracy): zarówno prawna (zgodność danych), jak i techniczna (precyzja modelu); zalecane działania to walidacja danych, monitoring dokładności, umowy z dostawcami AI zapewniające dostęp do metryk.
  • Minimalizacja danych: unikanie nadmiernego gromadzenia danych osobowych; środki to m.in. preselekcja, sampling, anonimizacja, weryfikacja zasadności danych.
  • Bezpieczeństwo: ochrona przed specyficznymi zagrożeniami AI (np. odtworzenie danych z modelu, wycieki przez API); wymagane testy, szyfrowanie, monitoring, filtrowanie danych wyjściowych.
  • Prawa osób: ryzyko niemożności sprostowania/usunięcia danych; środki to m.in. approximate unlearning, dokumentacja źródeł danych, procedury obsługi żądań osób fizycznych.
• Załączniki do wytycznych:
  • Metryki oceny modeli AI (np. BLEU, F1-score, MAE).
  • Macierz ryzyk i technicznych środków zaradczych.
  • Checklisty praktyczne na etapie rozwoju i zamówień publicznych (w tym pytania dot. oceny ryzyka, dostawcy, dokumentacji).
• Wnioski końcowe:
  • Ocena ryzyk związanych z AI powinna być procesem ciągłym, nie jednorazowym.
  • Potrzebna jest trwała kultura odpowiedzialności i transparentności.
  • Wdrożenie zasad ochrony danych (EUDPR) w systemach AI to nie tylko obowiązek prawny, ale też element budowania zaufania społecznego.

• Kontekst: Artykuł dotyczy decyzji Prezesa UODO w sprawie naruszenia przepisów RODO przez szkołę, która korzystała z darmowej poczty e-mail – na skutek włamania doszło do wycieku danych osobowych, w tym numerów PESEL i adresów.
• Zdarzenie: Na skrzynce e-mail szkoły przechowywane były dane osobowe uczniów – imiona, nazwiska, adresy i numery PESEL – które zostały ujawnione po włamaniu.
• Nieprawidłowości stwierdzone przez UODO:
  • Brak analizy ryzyka dla procesu przetwarzania danych przy użyciu poczty e-mail.
  • Brak testowania i monitorowania skuteczności zabezpieczeń.
  • Niepodpisanie wymaganej umowy powierzenia przetwarzania danych z dostawcą usługi pocztowej.
  • Brak weryfikacji dostawcy usługi jako podmiotu przetwarzającego dane.
• Decyzja Prezesa UODO: Pomimo licznych uchybień, szkoła otrzymała jedynie upomnienie, a nie karę finansową.
• Uzasadnienie łagodnej decyzji:
  • Administrator wdrożył środki naprawcze mające na celu dostosowanie działań do przepisów RODO.
  • Nie wykazano, by osoby poszkodowane faktycznie poniosły szkodę.
• Wnioski: Sprawa może sugerować bardziej wyrozumiałe podejście UODO w sytuacjach, gdy administrator działa w dobrej wierze i naprawia błędy, choć nie wiadomo, czy to nowy trend, czy tylko wyjątkowy przypadek.

• Kontekst: Prezes Urzędu Ochrony Danych Osobowych (UODO) przedstawił stanowisko w odpowiedzi na pytania ze strony Kancelarii Prezesa Rady Ministrów, dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 4 września 2025 r. w sprawie C-655/23 Quirin Privatbank AG, który dotyczy kwestii ochrony danych osobowych w kontekście przepisów RODO.
• Wyrok TSUE nie wymaga zmian w polskim prawie, ale wpływa na sposób interpretacji art. 82 ust. 1 RODO, dotyczącego odpowiedzialności administratora danych i definicji szkody niemajątkowej.
• TSUE stwierdził, że RODO nie gwarantuje prawa do sądowego zakazu przyszłego, niezgodnego z prawem przetwarzania danych, jeśli osoba nie żąda usunięcia danych. Jednak państwa członkowskie UE mogą wprowadzić takie środki ochronne na poziomie krajowym.
• Art. 82 ust. 1 RODO obejmuje szkody niemajątkowe, takie jak negatywne uczucia (np. stres, poczucie naruszenia prywatności), ale osoba poszkodowana musi wykazać ich wystąpienie i skutki.
• Stopień winy administratora danych nie wpływa na wysokość odszkodowania – istotny jest sam fakt naruszenia i powstania szkody.
• Środek zapobiegawczy (np. sądowy nakaz zaniechania przetwarzania danych) nie zastępuje prawa do odszkodowania za szkodę niemajątkową – pełni funkcję prewencyjną, a nie rekompensacyjną.
• Prezes UODO przypomina, że celem RODO jest jak najwyższy poziom ochrony danych osobowych, a przepisy unijne nie wykluczają możliwości wprowadzenia dodatkowych, krajowych środków ochronnych, takich jak powództwo o zaniechanie naruszeń w przyszłości.