RODO aktualności – 20.01.2026 r. 

• Kontekst: Urząd Ochrony Danych Osobowych (UODO) zapowiedział kontrole sektorowe na 2026 r., koncentrując się na obszarach związanych z bezpieczeństwem danych osobowych, szczególnie tam, gdzie wcześniej odnotowano incydenty lub zgłaszane były skargi.
• Placówki medyczne: Szczególną uwagę UODO zwraca na stosowanie monitoringu wizyjnego w podmiotach leczniczych, zwłaszcza w oddziałach dziecięcych oraz poradniach dla dzieci. Sprawdzane będzie m.in., jak chronione są dane osobowe dzieci rejestrowane przez kamery.
• Internetowe platformy dostaw: Kontrole obejmą również aplikacje pośredniczące w sprzedaży towarów i usług (np. platformy zakupowe), gdzie analizowane będzie przetwarzanie danych osobowych użytkowników, w tym sposób ich zabezpieczania i udostępniania.
• Systemy unijne: UODO będzie kontynuować kontrole organów przetwarzających dane osobowe w ramach unijnych systemów informacyjnych SIS/VIS (System Informacyjny Schengen i Wizowy System Informacyjny).
• Biuletyn Informacji Publicznej (BIP): Sprawdzane będą działania instytucji publicznych pod kątem przetwarzania danych osobowych przy prowadzeniu BIP, m.in. w zakresie anonimizacji danych i udostępniania nagrań sesji rad gmin.
• Marketing danych osobowych: Podmioty marketingowe zostaną poddane kontroli pod kątem legalności przetwarzania danych osobowych w celach promocyjnych – czy działania są zgodne z przepisami RODO.

• Kontekst sprawy: Sprawa dotyczy naruszenia ochrony danych osobowych przez przedsiębiorstwo pogrzebowe, które zgubiło w transporcie dokumenty zawierające dane klientów.
• Decyzja Prezesa UODO: Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył karę łączną w wysokości 33 tys. zł na przedsiębiorcę za niewystarczające zabezpieczenia danych oraz niezgłoszenie incydentu zgodnie z obowiązkiem prawnym.
• Opis incydentu: Dokumenty z danymi osobowymi spadły z otwartego samochodu w trakcie transportu. Pudła z dokumentami były przewożone na tzw. odkrytej pace. Pracownik nie zauważył ich utraty, ponieważ nie przeliczył ich wcześniej.
• Nieprawidłowe przechowywanie dokumentów: Przed transportem dokumenty były składowane w niezamykanym pomieszczeniu pod schodami, niezgodnie ze stosowanymi procedurami wewnętrznymi.
• Błędy w analizie ryzyka: Przedstawiona analiza ryzyka nie uwzględniała zagrożeń związanych z transportem dokumentacji. UODO uznał, że właściwa analiza mogłaby zapobiec incydentowi.
• Brak właściwych procedur: Pracownik transportujący dokumenty (zatrudniony jako żałobnik) nie był formalnie uprawniony do ich przetwarzania. Z kolei zalecane procedury (np. przechowywanie w zamkniętej szafie) nie były w praktyce stosowane.
• Stanowisko WSA: Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezesa UODO. Sąd uznał, że organ nadzorczy właściwie ocenił ryzyko i nałożył karę zgodnie z obowiązującym prawem.
• Wniosek: Sprawa podkreśla potrzebę stosowania adekwatnych środków technicznych i organizacyjnych przy przetwarzaniu i transporcie danych osobowych – nawet w sektorze usługowym, takim jak branża pogrzebowa

Podsumowanie sprawy dotyczącej naruszenia ochrony danych osobowych przez Komendanta Miejskiego Policji w Krakowie:

• Sprawa dotyczy ujawnienia wrażliwych danych osobowych kobiety, którą w 2023 r. Policja próbowała nakłonić do ujawnienia informacji o aborcji.
• Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na Komendanta Miejskiego Policji w Krakowie karę w wysokości 78 tys. zł.
• Ukarany został również Komendant Główny Policji w odrębnym postępowaniu dotyczącym tej samej sprawy.

Najważniejsze ustalenia Prezesa UODO:

• Policja opublikowała komunikat prasowy, w którym znalazły się dane osobowe kobiety, m.in. informacje o stanie zdrowia psychicznego, leczeniu psychiatrycznym, zażywanych środkach medycznych i zdrowiu reprodukcyjnym.
• Komunikat zmodyfikowano po godzinie, jednak nadal zawierał dane w ograniczonym zakresie.
• Dane zostały pozyskane z wewnętrznego systemu Policji (System Wspomagania Dowodzenia) i wykorzystane poza ustawowym celem.
• Komendant przyznał, że do incydentu doszło z powodu „pośpiechu i nieuwagi pracowników”.
• Zgłoszenia naruszenia dokonał sam Komendant – zgodnie z procedurą RODO.

Wnioski Prezesa UODO:

• Policja nie może tłumaczyć naruszenia danych wyłącznie posiadanym prawem do ich pozyskiwania.
• Zespół prasowy nie przeprowadził analizy ryzyka, co doprowadziło do ujawnienia nadmiarowych i szczególnie wrażliwych danych osobowych.
• Stosowane przez Policję środki organizacyjne i techniczne nie były odpowiednio testowane, aktualizowane ani oceniane pod kątem skuteczności.
• Ujawnienie danych w komunikacie nie było konieczne do wykonania zadań Policji i naruszyło prawo do prywatności kobiety.

Podsumowanie:

• Do incydentu mogłoby nie dojść, gdyby Komendant wdrożył właściwe procedury ochrony danych osobowych.
• Sprawa pokazuje, jak ważne jest przestrzeganie zasad przetwarzania danych osobowych, zwłaszcza tych o charakterze szczególnie wrażliwym.
• Ujawnienie informacji przez Policję w nadmiarowym zakresie i bez analizy ryzyka może zagrażać bezpieczeństwu i prawom osób fizycznych.

• Kontekst: W grudniu 2024 r. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na jeden z banków karę ponad 576 000 zł za trzy naruszenia przepisów RODO.
• Jedno z kluczowych naruszeń: Bank prowadził rejestr czynności przetwarzania danych osobowych w sposób nieprawidłowy – nie uwzględnił w nim istotnej czynności, jaką jest profilowanie danych klientów.
• Profilowanie: Jest to zautomatyzowane przetwarzanie danych mające na celu ocenę sytuacji ekonomicznej osoby fizycznej. W przypadku banku – jest to standardowy krok przy udzielaniu kredytu.
• Stanowisko banku: Bank argumentował, że profilowanie zostało ujęte pośrednio, ponieważ rejestr obejmował produkty, w których ono występuje.
• Stanowisko UODO: Rejestr czynności przetwarzania musi być konkretny i przejrzysty; opis czynności takich jak profilowanie powinien być jednoznacznie wskazany i szczegółowo opisany, ponieważ niesie potencjalne ryzyko naruszenia praw osób fizycznych.
• Ryzyka: Niewłaściwe udokumentowanie profilowania może prowadzić do stygmatyzacji, dyskryminacji oraz nieuprawnionego ujawnienia informacji o sytuacji majątkowej klientów.
• Wyrok WSA w Warszawie: Wojewódzki Sąd Administracyjny oddalił skargę banku, podkreślając, że profilowanie powinno być wyraźnie i szczegółowo uwzględnione w rejestrze przetwarzania – nawet jeśli dla banku wydaje się oczywiste.
• Dodatkowe naruszenie: Bank nie przeprowadził wymaganej oceny skutków dla ochrony danych (DPIA) w związku z profilowaniem, co stanowi naruszenie art. 35 ust. 1 i 7 RODO.
• Znaczenie decyzji: Sprawa podkreśla konieczność rzetelnego i dokładnego prowadzenia rejestru czynności przetwarzania danych oraz uwzględniania w nim szczególnie wrażliwych procesów, takich jak profilowanie, aby umożliwić realną kontrolę organowi nadzorczemu i chronić prawa osób, których dane są przetwarzane.

• Kontekst: Wyrok Naczelnego Sądu Administracyjnego (NSA) dotyczy przechowywania danych osobowych związanych z aplikacją "Kwarantanna domowa" używaną podczas pandemii COVID-19.
• Sprawa rozpoczęła się od skargi osoby, której dane były przetwarzane w aplikacji i która po zakończeniu kwarantanny zażądała ich usunięcia na podstawie art. 17 RODO (prawo do bycia zapomnianym).
• Minister ds. Cyfryzacji odmówił usunięcia danych, twierdząc, że należy je przechowywać przez sześć lat na wypadek potencjalnych roszczeń cywilnych.
• UODO nakazał usunięcie danych, argumentując, że cel zdrowotny przetwarzania wygasł, a hipotetyczne roszczenia nie stanowią podstawy do dalszego przetwarzania danych.
• Sąd Administracyjny w Warszawie oraz następnie NSA podtrzymały decyzję organu ochrony danych, uznając, że dane mogły być przetwarzane tylko w czasie trwania kwarantanny.
• NSA uznała, że po zakończeniu celu przetwarzania (monitorowania kwarantanny) nie można legalnie przechowywać danych bez nowej, wyraźnej podstawy prawnej zgodnej z RODO.
• Artykuł 9(2)(f) RODO (przetwarzanie dla potrzeb dochodzenia roszczeń) nie może być stosowany abstrakcyjnie – musi istnieć konkretna możliwość postępowania sądowego, a nie jedynie ogólny lęk przed potencjalnym pozwem.
• Sąd podkreślił znaczenie zasady ograniczenia celu (art. 5(1)(b) RODO) – po wygaśnięciu celu pierwotnego nie można opierać przetwarzania danych na domysłach lub wewnętrznych regulacjach aplikacji.
• NSA odrzuciła także argument, że dane powinny być zachowane dla zapewnienia państwu prawa do obrony – prawa podstawowe nie dopuszczają przechowywania wrażliwych danych na zapas.
• Najważniejszy wniosek: Po zakończeniu celu przetwarzania danych (np. po kwarantannie), dalsze ich przechowywanie musi opierać się na nowej, konkretnej podstawie prawnej. Przechowywanie danych "na wszelki wypadek" jest niezgodne z RODO i stanowi zagrożenie dla praw obywatelskich.

• Kontekst: Artykuł dotyczy nieprawidłowości w zakresie ochrony danych osobowych w Sądzie Rejonowym Lublin-Zachód, ujawnionych po incydencie związanym z udostępnieniem informacji publicznej.
• W wyniku realizacji wniosku o dostęp do informacji publicznej sąd udostępnił wnioskodawcy plik zawierający nadmiarowe dane osobowe sędziów, lekarzy i psychologów.
• Naruszenie polegało na udostępnieniu danych takich jak: miejsce pracy sędziego, numer PESEL, adres zamieszkania/pobytu, data urodzenia i data powołania na stanowisko.
• Zgłoszenie incydentu do Prezesa Urzędu Ochrony Danych Osobowych (UODO) stało się podstawą do przeprowadzenia kontroli i rozpoczęcia postępowania administracyjnego w sądzie.
• Kontrola UODO wykazała liczne nieprawidłowości, m.in.:
  • brak regularnego testowania, mierzenia i oceniania środków bezpieczeństwa danych,
  • niewdrożenie polityki ochrony danych zgodnej z przepisami RODO,
  • opóźnione i nieskuteczne przeprowadzanie analizy ryzyka przetwarzania danych,
  • brak właściwej procedury anonimizacji danych przekazywanych w ramach dostępu do informacji publicznej.
• Dopiero przed zakończeniem postępowania wdrożono politykę ochrony danych spełniającą wymogi RODO.
• Prezes UODO nakazał prezesowi i dyrektorowi sądu:
  • dostosowanie procedur przetwarzania danych do wymogów prawnych,
  • przeprowadzanie prawidłowej analizy ryzyka,
  • regularne testowanie i ocenianie środków bezpieczeństwa przetwarzania danych.
• Ze względu na podjęte działania naprawcze, UODO uznał, że wystarczającą sankcją dla prezesa i dyrektora sądu będzie udzielenie im upomnień.

Kontekst: Dynamiczny rozwój nowych technologii, w szczególności sztucznej inteligencji (AI), stawia sektor finansowy przed wyzwaniami związanymi z bezpieczeństwem danych i tożsamości klientów. W obliczu coraz bardziej zaawansowanych technologii fałszowania dokumentów, rośnie presja na banki, by pogodzić obowiązki wynikające z RODO (ogólnego rozporządzenia o ochronie danych) oraz ustawy AML (przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu).

• Decyzja Prezesa UODO z 23 lipca 2025 r. uznała praktykę kopiowania dokumentów tożsamości przez banki za nadmiarową, wskazując na konieczność oceny każdorazowej niezbędności danych zgodnie z RODO.
• Decyzja ta nie uwzględnia specyfiki i ryzyk sektora finansowego, zwłaszcza w kontekście rosnących zagrożeń związanych z cyfrową przestępczością i wykorzystaniem AI.
• Zaawansowane narzędzia technologiczne umożliwiają generowanie realistycznych, trudnych do wykrycia podróbek dokumentów, co podważa skuteczność zdalnych metod weryfikacji tożsamości.
• Raport SOCTA 2025 wskazuje na rosnące wykorzystanie przez grupy przestępcze technologii takich jak AI, drony, systemy GPS czy druk 3D – co zwiększa skalę i skuteczność cyberprzestępstw.
• Strategia „store now, decrypt later” polegająca na gromadzeniu i późniejszym odszyfrowywaniu danych przez przestępców przy użyciu komputerów kwantowych stanowi nowe, istotne ryzyko.
• Banki są prawnie zobowiązane (na mocy ustawy AML) do identyfikacji klientów oraz dokumentowania zastosowanych środków bezpieczeństwa, co wymaga przetwarzania danych z dokumentów tożsamości.
• Brakuje zharmonizowanego podejścia między UODO a GIIF (Generalny Inspektor Informacji Finansowej), co powoduje konflikt między regulacyjnymi obowiązkami a praktyką operacyjną banków.
• Sektor bankowy sygnalizuje potrzebę stworzenia wspólnych, sektorowych standardów, które umożliwią pogodzenie ochrony danych z bezpieczeństwem finansowym.
• Stan prawny wymaga doprecyzowania – przepis art. 112b Prawa bankowego zezwala bankom na przetwarzanie danych z dokumentów tożsamości, ale w świetle RODO potrzebna jest większa klarowność interpretacyjna.
• Postuluje się reinterpretację pojęcia „niezbędności” przetwarzanych danych oraz opracowanie nowych ram regulacyjnych dostosowanych do realiów technologicznych i zagrożeń cyfrowych.

Wniosek: Rozwój nowych technologii podważa obowiązujące mechanizmy ochrony danych i weryfikacji tożsamości. Aby zapewnić bezpieczeństwo klientów i stabilność sektora bankowego, konieczna jest zmiana podejścia regulacyjnego, która uwzględni aktualne ryzyka i realia rynkowe.