RODO aktualności – 19.08.2025 r. 

Artykuł dotyczy zasad publikowania danych osobowych przedsiębiorców wpisanych do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Model powszechnej jawności tych danych, funkcjonujący od 2011 roku, jest coraz częściej krytykowany ze względu na możliwe naruszenia prywatności i potencjalne zagrożenia dla bezpieczeństwa osób prowadzących działalność gospodarczą, szczególnie gdy adres firmy jest jednocześnie adresem zamieszkania.

• W CEIDG publicznie udostępniane są dane takie jak: imię i nazwisko, REGON, NIP, adres do doręczeń i adres prowadzenia działalności, często będący adresem zamieszkania.
• Postęp technologiczny i rozwój metod przetwarzania danych zwiększają ryzyko naruszenia praw i wolności osób fizycznych.
• Osoby wykonujące zawody takie jak lekarze, terapeuci, dziennikarze czy mediatory mogą być szczególnie narażone na nadużycia związane z pełną dostępnością ich danych.
• Potencjalne zagrożenia to m.in. natarczywy marketing, rozpowszechnienie danych w Internecie, stalking, groźby oraz przemoc fizyczna.
• Prezes Urzędu Ochrony Danych Osobowych (UODO) wskazuje na potrzebę rewizji obecnego modelu jawności danych.
• Jednym z proponowanych rozwiązań jest umożliwienie przedsiębiorcom zastrzeżenia danych adresowych, zwłaszcza gdy są to dane ich miejsca zamieszkania.
• Rozważa się też wprowadzenie ograniczonego dostępu do danych tylko na wniosek uprawnionych podmiotów, szczególnie w przypadku określonych branż.
• Krytykowane jest również długie przechowywanie danych po zakończeniu działalności – obecnie aż przez 10 lat, mimo że pełna jawność nie zawsze jest w tym okresie konieczna.
• UODO podkreśla konieczność zrównoważenia interesu publicznego wynikającego z transparentności obrotu gospodarczego z prawem do prywatności przedsiębiorców.

Wnioski:

• Model pełnej jawności danych w CEIDG powinien zostać zrewidowany pod kątem ochrony danych osobowych.
• Potrzebna jest analiza ryzyk i uzasadnienie konieczności publicznego udostępniania konkretnych danych.
• UODO rekomenduje wprowadzenie ograniczeń w zakresie jawności adresów, szczególnie gdy są one tożsame z miejscem zamieszkania przedsiębiorcy.

Francuski operator telekomunikacyjny Bouygues Telecom poinformował o poważnym cyberataku, w wyniku którego naruszone zostały dane osobowe ponad 6,4 miliona klientów. Zdarzenie to rodzi potencjalne ryzyko m.in. dla bezpieczeństwa finansowego użytkowników.

• Cyberatak dotyczył Bouygues Telecom – jednego z największych francuskich operatorów telekomunikacyjnych.
• Sprawcy uzyskali nieautoryzowany dostęp do danych ponad 6,4 miliona klientów.
• Wśród danych, które mogły zostać naruszone, znajdują się:
  • dane kontaktowe,
  • informacje dotyczące umów,
  • stan cywilny lub dane firmowe,
  • numery IBAN (międzynarodowe numery kont bankowych).
• Numer IBAN sam w sobie nie pozwala na bezpośrednie kradzieże pieniędzy, ale może zostać wykorzystany do prób wyłudzenia środków poprzez podszywanie się pod instytucje.
• Dane takie jak numery kart kredytowych i hasła do kont nie zostały naruszone.
• Bouygues Telecom poinformował klientów o incydencie za pomocą e-maili i SMS-ów.
• Operator podjął natychmiastowe działania w celu zatrzymania ataku i wzmocnienia bezpieczeństwa systemów IT.
• Utworzono specjalną stronę internetową z informacjami dla poszkodowanych klientów.
• O sprawie poinformowano odpowiednie instytucje, w tym francuski organ ochrony danych osobowych (CNIL) oraz organy sądowe.

Wnioski: Atak uświadamia jak istotna jest ochrona danych osobowych i czujność wobec potencjalnych prób wyłudzeń. Klienci Bouygues Telecom powinni zachować szczególną ostrożność wobec podejrzanych wiadomości i kontaktów.

Artykuł omawia wyrok Wyższego Sądu Krajowego w Düsseldorfie z 10 lipca 2025 r. (sprawa 16 U 83/24), dotyczący odpowiedzialności administratora danych osobowych na gruncie RODO, w przypadku gdy podmiot przetwarzający i jego podprocesor nie usuną danych zgodnie z umową, co doprowadza do naruszenia ochrony danych.

• Sprawa dotyczyła platformy muzycznej, której izraelski procesor i amerykański podprocesor nie usunęli danych niemieckiego użytkownika po zakończeniu współpracy.
• Dane użytkownika wyciekły następnie do darknetu, co skłoniło go do żądania odszkodowania z art. 82 RODO z tytułu utraty kontroli nad danymi i stresu emocjonalnego.
• Administrator platformy twierdził, że zastosował odpowiednie środki bezpieczeństwa i nie może odpowiadać za działania swoich partnerów przetwarzających dane.
• Sąd orzekł, że samo poleganie na zapewnieniach o usunięciu danych to za mało – administrator musi aktywnie weryfikować i dokumentować spełnienie obowiązków przez podmioty przetwarzające.
• Zaniechanie takiej weryfikacji oznacza brak wdrożenia odpowiednich środków organizacyjnych, wymaganych w art. 24 ust. 1 RODO.
• Ograniczenia odpowiedzialności administratora w kontekście grzywien (art. 83 RODO) nie mają zastosowania w przypadku roszczeń odszkodowawczych z art. 82 RODO.
• Sąd przyznał użytkownikowi łącznie 200 euro odszkodowania: 100 euro za utratę kontroli nad danymi i 100 euro za stres emocjonalny.
• Podkreślono, że administratorzy ponoszą odpowiedzialność za brak nadzoru nad podmiotami przetwarzającymi, nawet jeśli sami nie są bezpośrednimi sprawcami naruszenia.
• Sąd wskazał także na możliwość pojawienia się w przyszłości szkód materialnych, z uwagi na stałe ryzyko związane z wyciekiem danych.

Wniosek: Administratorzy danych muszą nie tylko zawierać umowy z podmiotami przetwarzającymi, ale także aktywnie kontrolować ich działania. Brak należytego nadzoru może skutkować odpowiedzialnością odszkodowawczą, nawet jeśli naruszenie wynika z działań dalszych podwykonawców.

• FRIA (Fundamental Rights Impact Assessment) to nowy obowiązek wynikający z art. 27 unijnego AI Act (AIA), dotyczący oceny wpływu systemów sztucznej inteligencji na prawa podstawowe.
• FRIA stanowi uzupełnienie dotychczas znanych ocen, takich jak DPIA (ocena skutków dla ochrony danych osobowych), TIA czy LIA, ale koncentruje się na szerszym zakresie praw zawartych w Karcie Praw Podstawowych UE.
• Cel FRIA:
  • Identyfikacja potencjalnych zagrożeń dla praw podstawowych osób fizycznych lub grup społecznych w konkretnym zastosowaniu AI,
  • Dobór odpowiednich środków minimalizujących te ryzyka,
  • Skuteczna ochrona praw podstawowych poprzez systematyczne zarządzanie ryzykiem.
• Zastosowanie FRIA:
  • Obowiązuje na etapie korzystania z systemów AI wysokiego ryzyka, a nie tylko podczas ich projektowania,
  • Uwzględnia specyfikę środowiska, w którym wykorzystywany jest dany system,
  • Uzupełnia ocenę ryzyka prowadzoną przez dostawcę, dzięki czemu prawa podstawowe są chronione na każdym etapie życia systemu.

Dalsze informacje w kolejnych częściach cyklu będą dotyczyć tego, kto, kiedy i jak ma przeprowadzać FRIA.

Irlandzki organ ochrony danych (DPC) nałożył karę finansową na Radę ds. Edukacji i Szkolenia Miasta Dublin (CDETB) za poważne naruszenia przepisów RODO związane z przetwarzaniem danych osobowych kandydatów do stypendiów.

• CDETB została ukarana grzywną w wysokości 125 000 euro za naruszenia ochrony danych osobowych około 13 tysięcy osób ubiegających się o stypendia.
• Wyciekły dane szczególnej kategorii, w tym informacje dotyczące pochodzenia rasowego lub etnicznego oraz stanu zdrowia kandydatów.
• Na serwerze CDETB wykryto złośliwe oprogramowanie, jednak instytucja nie poinformowała o incydencie ani organu nadzorczego, ani osób, których dane dotyczą, co stanowi naruszenie art. 33 i 34 RODO.
• DPC wykazał, że CDETB nie wdrożyła odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka przetwarzania danych osobowych.
• CDETB nie przeprowadziła wymaganej oceny ryzyka bezpieczeństwa danych, mimo oczywistych zagrożeń związanych z ich przetwarzaniem online.
• Po wykryciu naruszenia, CDETB nie zastosowała się do zaleceń DPC, w tym nie poinformowała poszkodowanych osób nawet po wyraźnym żądaniu organu nadzorczego.
• Oprócz kary finansowej, sąd irlandzki udzielił CDETB oficjalnej nagany i zobowiązał ją do dostosowania się do wymogów bezpieczeństwa określonych w RODO.

Federalny Komisarz Ochrony Danych i Wolności Informacji (BfDI) – niemiecki, federalny organ nadzorczy ds. ochrony danych osobowych – nałożył dwie wysokie kary finansowe na Vodafone GmbH, niemiecką spółkę jednej z największych firm telekomunikacyjnych na świecie. Sprawa dotyczy poważnych naruszeń zasad ochrony danych osobowych, wynikających m.in. ze współpracy z podmiotami przetwarzającymi i niewystarczających zabezpieczeń systemów informatycznych.

• Na Vodafone GmbH nałożono dwie kary o łącznej wysokości 45 milionów euro (ok. 191 mln zł).
• Pierwsza kara (15 mln euro) dotyczyła niewystarczającej weryfikacji podmiotów przetwarzających dane oraz braku należytej kontroli nad ich działaniami.
• W toku współpracy z partnerami handlowymi doszło do nadużyć, takich jak fikcyjne umowy czy zmiany umów na niekorzyść konsumentów.
• Kara została oparta na naruszeniu art. 28 RODO, który określa obowiązki administratora przy zlecaniu przetwarzania danych innym podmiotom.
• Druga kara (30 mln euro) została nałożona za poważne luki bezpieczeństwa w systemie MeinVodafone i linii pomocowej firmy.
• Stwierdzono, że osoby nieuprawnione mogły uzyskać dostęp do kont użytkowników, m.in. profili eSIM, przez niewystarczające mechanizmy identyfikacyjne.
• Regulator uznał, że zastosowane środki techniczne i organizacyjne były nieadekwatne do poziomu ryzyka związanego z przetwarzaniem danych.
• Mimo naruszeń, urząd nadzorczy pochwalił Vodafone za dobrą współpracę i szybkie wdrożenie ulepszeń w zakresie IT i bezpieczeństwa danych.

• Sprawa dotyczy skargi obywatela S. D. z września 2019 r. na przetwarzanie jego danych osobowych przez bank i przewlekłość postępowania prowadzonego przez Prezesa UODO.
• Postępowanie zostało formalnie wszczęte 27 września 2019 r., jednak ostateczna decyzja administracyjna została wydana dopiero w maju 2023 r.
• Wojewódzki Sąd Administracyjny (WSA) w Warszawie orzekł, że Prezes UODO dopuścił się bezczynności z rażącym naruszeniem prawa oraz przyznał skarżącemu 4 000 zł rekompensaty.
• NSA (Naczelny Sąd Administracyjny) w maju 2025 r. oddalił skargę kasacyjną Prezesa UODO, potwierdzając naruszenie prawa przez organ administracyjny.

Najważniejsze fakty i wnioski z orzeczenia:

• Postępowanie administracyjne trwało blisko 3 lata i 8 miesięcy, mimo że zgodnie z przepisami k.p.a. powinno zakończyć się w ciągu dwóch miesięcy.
• Po zgromadzeniu materiału dowodowego (wrzesień 2022) organ przez 7 miesięcy nie podejmował dalszych działań, bez wyjaśnienia przyczyn opóźnienia.
• Organ błędnie powoływał się na art. 78 ust. 2 RODO jako przepis szczególny względem k.p.a., usprawiedliwiający brak terminu rozpatrzenia skargi. Sądy nie zgodziły się z tą interpretacją.
• NSA potwierdził, że bezczynność organu trwała ok. 36 miesięcy, co stanowiło dwunastokrotne przekroczenie ustawowego terminu i miało rażący charakter.
• W ocenie sądu, przyznana suma pieniężna (4 000 zł) pełni funkcję kompensacyjną – łagodzi skutki długotrwałej bezczynności wobec obywatela.
• Stwierdzono również, że argumentacja organu dotycząca konieczności prowadzenia złożonego postępowania dowodowego była niewystarczająca i niewiarygodna.
• Sądy podkreśliły obowiązek działania administracji bez zbędnej zwłoki i zapewnienia skutecznych środków ochrony prawnej dla obywateli.

Artykuł dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu administracyjnej kary pieniężnej na przedsiębiorcę prowadzącego działalność gastronomiczną. Sprawa dotyczy zignorowania wezwań UODO w związku ze skargą obywatelki dotyczącą wykorzystywania odcisków palców przez pracodawcę.

• Obywatelka złożyła skargę do Prezesa UODO dotyczącą potencjalnego przetwarzania danych biometrycznych (odcisków palców) przez pracodawcę.
• Przedsiębiorca, którego skarga dotyczyła, nie współpracował z UODO – nie odbierał korespondencji i nie odpowiadał na wezwania organu.
• UODO uznał, że przedsiębiorca miał realną możliwość zapoznania się z pismami, a brak reakcji obciąża go bezpośrednio.
• Brak odpowiedzi przeszkodził w rzetelnym rozpatrzeniu sprawy, co stanowi naruszenie obowiązków wynikających z RODO (art. 58 ust. 1 lit. a i e).
• Opóźnienie postępowania administracyjnego z winy przedsiębiorcy naruszało m.in. zasadę szybkości i wnikliwości postępowania (art. 12 §1 k.p.a.).
• Nałożona kara pieniężna, choć niewielka (0,02% maksymalnej przewidzianej wysokości), ma charakter skuteczny i odstraszający.
• Prezes UODO uznał, że kara jest proporcjonalna do skali działalności i możliwości finansowych ukaranego przedsiębiorcy.
• Przedsiębiorca prowadzi rentowną działalność gastronomiczną o lokalnym zasięgu, figuruje jako „czynny podatnik VAT” i posiada źródła stałego przychodu.

Wnioski:

• Współpraca z UODO w toku prowadzonego postępowania jest obowiązkiem, a jej brak może skutkować karami niezależnie od tego, czy pierwotne zarzuty zostały udowodnione.
• Kara może zostać nałożona nie za przetwarzanie danych osobowych, lecz za utrudnianie działań kontrolnych organu nadzorczego.
• Wysokość kary jest ustalana indywidualnie i musi uwzględniać m.in. charakter, rozmiar działalności i możliwości finansowe przedsiębiorcy.
• Decyzja UODO ma charakter prewencyjny i sygnalizuje, że brak współpracy z organem nadzoru nie będzie tolerowany.