RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 20.05.2025 r. 

  RODO aktualności

Dziki Zachód w ochronie danych — RODO a szkolenie AI. » Polska zabiega o przyjęcie rozporządzenia w sprawie egzekwowania RODO.​ » WSA: organ poprawnie upomniał za błędnie przesłany komunikat marketingowy.​ » NSA: Prezes UODO nie może nakazać udostępnienia danych osobowych związkowi zawodowemu.​ » Prezes UODO reaguje na bezpodstawne ujawnianie danych przez polityków​.

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Dziki Zachód w ochronie danych — RODO a szkolenie AI

  • Meta planuje rozpocząć szkolenie AI na treściach (posty, zdjęcia, komentarze) publikowanych przez osoby pełnoletnie na Facebooku i Instagramie od końca maja 2025 r.
  • Jedynym sposobem uniknięcia przetwarzania danych jest złożenie sprzeciwu przez specjalny formularz – najpóźniej do 27 maja. Sprzeciw późniejszy nie zadziała retroaktywnie.
  • To drugie podejście Mety do tego działania – wcześniejsza próba w 2023 r. została zatrzymana po krytyce i interwencji irlandzkiego organu ochrony danych (DPC).
  • Meta powołuje się na tzw. prawnie uzasadniony interes (PUI), aby legalnie przetwarzać dane do celów AI – eksperci wskazują, że podejście to nadal narusza RODO.
  • Niejasny jest zakres i cel gromadzenia danych: użytkownicy nie wiedzą, do jakich narzędzi i przez kogo ich dane będą wykorzystywane.
  • Dane szczególnych kategorii (np. zdrowie, orientacja seksualna, poglądy polityczne) także mogą trafić do AI – mimo że ich przetwarzanie wymaga wyraźnej zgody.
  • Meta nie daje możliwości sprzeciwu osobom, które straciły dostęp do konta przez np. przejęcie przez oszusta.
  • Sprzeciw złożony przez użytkownika nie obejmuje danych, które mogą zostać zidentyfikowane poprzez aktywność innych użytkowników, którzy nie złożyli sprzeciwu.
  • Europejska Rada Ochrony Danych wskazuje, że PUI jako podstawa przetwarzania wymaga spełnienia trzech warunków: celowości, niezbędności oraz równowagi interesów – co w przypadku Mety budzi poważne wątpliwości.
  • Organizacje konsumenckie w Niemczech i Austrii grożą pozwem przeciwko Metcie, zarzucając brak zgodności działań z europejskim prawem.
  • Nie tylko Meta – inne big techy też sięgają po dane Europejczyków, m.in. Google i platforma X (dawny Twitter). Praktyki te również są badane pod kątem zgodności z RODO przez irlandzki DPC.
  • Eksperci komentują, że podejście big techów to taktyka: „najpierw działaj, potem ewentualnie przepraszaj”, ponieważ potencjalne sankcje są niewielkie w porównaniu do zysków płynących z przetwarzania danych.

Wnioski:

  • Użytkownicy powinni mieć pełną świadomość, że ich aktywność w mediach społecznościowych może służyć do trenowania AI.
  • Konieczne jest podjęcie decyzji do 27 maja, jeśli ktoś chce się sprzeciwić przetwarzaniu danych przez Meta.
  • Podejście Mety może naruszać europejskie przepisy o ochronie danych (RODO), szczególnie w kontekście danych wrażliwych.
  • Potrzebna jest większa transparentność i kontrola nad tym, jak nasze dane są wykorzystywane przez firmy rozwijające AI.
  • Europejskie instytucje i organizacje konsumenckie muszą aktywnie reagować na praktyki big techów, by chronić
Źródło

Polska zabiega o przyjęcie rozporządzenia w sprawie egzekwowania RODO

  • Kontekst: Polska chce zakończyć negocjacje nad nowym unijnym rozporządzeniem dotyczącym egzekwowania RODO jeszcze w czasie swojej prezydencji w Radzie UE.
  • Egzekwowanie RODO:
    • Celem jest usprawnienie i ujednolicenie rozpatrywania spraw transgranicznych w zakresie ochrony danych osobowych w całej UE.
    • Różne procedury stosowane przez krajowe organy ochrony danych utrudniają skuteczne egzekwowanie RODO – nowe przepisy mają to zmienić.
  • CSAM – ochrona dzieci w internecie:
    • Trwają prace nad rozporządzeniem ws. zwalczania niegodziwego traktowania dzieci w sieci (CSAM).
    • Polska opowiada się za kompromisem, który połączy skuteczną ochronę dzieci z poszanowaniem prywatności użytkowników.
    • Polska sprzeciwia się tzw. masowemu skanowaniu prywatnej komunikacji.
  • Uproszczenie unijnego prawa:
    • Polska i KE są zgodne, że należy uprościć prawo UE, szczególnie z myślą o MŚP – działania wpisują się w tzw. „pakiet uproszczeniowy” Omnibus.
    • Minister Gawkowski zaznaczył konieczność zintegrowania RODO z przepisami dotyczącymi sztucznej inteligencji (AI Act).
    • Podkreślono potrzebę jasnych wytycznych Komisji Europejskiej, lepszej koordynacji między organami oraz rozwoju „piaskownic regulacyjnych” dla AI.
Źródło

WSA: organ poprawnie upomniał za błędnie przesłany komunikat marketingowy

Kontekst: Sprawa dotyczyła skargi obywatela na nieprawidłowe przetwarzanie jego danych osobowych – w tym w celach marketingowych – przez P. S.A. mimo wycofania zgody i wielokrotnych próśb o usunięcie danych. Orzeczenie WSA jest istotne, ponieważ porusza szereg zagadnień związanych z podstawami przetwarzania danych, informacjami handlowymi oraz uzasadnionym interesem administratora.

  • Spółka P. S.A. zawarła z obywatelem pięć umów pożyczkowych i przetwarzała jego dane osobowe, mimo żądań ich usunięcia.
  • Uczestnik wyraźnie cofnął zgodę na kontakt marketingowy już w 2019 r., a mimo to w 2023 r. otrzymał ofertę pożyczki mailowo.
  • Spółka tłumaczyła wysłanie oferty błędem technicznym, jednak sąd uznał, że takie działania nadal naruszają przepisy RODO.
  • Prezes UODO w czerwcu 2024 r. nakazał usunięcie danych dotyczących umów i wniosków pożyczkowych, które zakończyły się przed 2016 r., oraz udzielił spółce upomnienia za bezprawne przesłanie informacji handlowej w styczniu 2023 r.
  • WSA uchylił decyzję UODO tylko w zakresie nakazu usunięcia danych – sąd uznał, że dane mogą być przetwarzane zgodnie z ustawą AML (o przeciwdziałaniu praniu pieniędzy), która umożliwia przechowywanie dokumentów do 5 lat od zakończenia ostatniego stosunku gospodarczo-finansowego.
  • Sąd uznał, że relacja klienta z instytucją (np. poprzez zawarte umowy) stanowi jeden stosunek gospodarczy, a nie kilka osobnych – co wydłuża okres przechowywania danych.
  • Podzielono stanowisko, że email z ofertą wysłany w styczniu 2023 r. miał charakter marketingowy – jego celem było zachęcenie do skorzystania z usług spółki, co wymagało uprzedniej zgody osoby, której dane dotyczą.
  • Sąd podkreślił, że naruszenie RODO nastąpiło niezależnie od tego, czy wiadomość została wysłana przez omyłkę lub na skutek błędu technicznego – administrator danych odpowiada za zgodność procesu przetwarzania z prawem.

Wnioski:

  • Administrator danych osobowych musi zachować pełną kontrolę nad procesem przetwarzania i zapewnić jego zgodność z obowiązującym prawem.
  • Brak zgody na kontakt marketingowy obowiązuje bezwzględnie – nawet jednorazowe naruszenie (nawet przez przypadek) podlega odpowiedzialności.
  • Przechowywanie danych osobowych w instytucjach finansowych jest dopuszczalne przez 5 lat liczonych od końca ostatniego stosunku gospodarczo-finansowego z klientem – a nie od zakończenia poszczególnych umów.
Źródło

NSA: Prezes UODO nie może nakazać udostępnienia danych osobowych związkowi zawodowemu

Najważniejsze ustalenia i fakty:

  • Związek zawodowy działający w spółce J. S.A. zwrócił się do pracodawcy o udostępnienie danych pracowników niezbędnych do przeprowadzenia referendum strajkowego.
  • Pracodawca przekazał jedynie wykaz numerów SAP (identyfikatorów wewnętrznych), odmawiając przekazania danych osobowych w żądanej formie.
  • W sierpniu 2019 r. Prezes UODO wydał decyzję nakazującą spółce udostępnienie danych osobowych pracowników związkowi zawodowemu.
  • Decyzja została następnie unieważniona przez samego Prezesa UODO we wrześniu 2020 r., jako wydana z przekroczeniem kompetencji wynikających z RODO, w szczególności art. 58 ust. 2.
  • Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że Prezes UODO nie miał prawa do unieważnienia własnej decyzji z sierpnia 2019 r. w sytuacji, gdy toczyło się już postępowanie sądowe dotyczące tej decyzji.
  • NSA oddalił skargę kasacyjną związku zawodowego, podtrzymując stanowisko, że Prezes UODO nie miał podstawy prawnej do wydania decyzji nakazującej udostępnienie danych osobowych związkowi zawodowemu.

Kluczowe wnioski z orzeczenia NSA:

  • Art. 58 ust. 2 lit. d RODO służy realizacji celu RODO – ochronie danych osobowych – i nie może być podstawą do nakazania udostępnienia danych osobowych osobom trzecim.
  • Decyzja Prezesa UODO z 2019 r. była sprzeczna z celem RODO i nie miała podstawy prawnej w przepisach unijnych.
  • Prezes UODO nie może prowadzić postępowania z urzędu w sytuacji, gdy sprawa toczy się już przed sądem administracyjnym.
  • Związek zawodowy nie może być uznany za "osobę, której dane dotyczą" w rozumieniu RODO, dlatego jego skarga nie była właściwa do rozpoznania przez UODO.

Podsumowując, sądy administracyjne (WSA i NSA) podważyły decyzję Prezesa UODO z 2019 roku, uznając, że przekroczył on swoje kompetencje wynikające z RODO, a uprawnienia przyznane mu na mocy tego rozporządzenia nie umożliwiają nakazywania udostępniania danych osobowych osobom trzecim – nawet w celach związanych z działalnością związkową.

Źródło

Prezes UODO reaguje na bezpodstawne ujawnianie danych przez polityków

  • Prezes UODO Mirosław Wróblewski wystosował apel do polityków, aby nie naruszali przepisów dotyczących ochrony danych osobowych, zwłaszcza w okresie kampanii wyborczych.
  • UODO przypomina, że ujawnianie danych osobowych — imienia, nazwiska, adresu czy numeru PESEL — może prowadzić do poważnych naruszeń prywatności i dóbr osobistych obywateli.
  • Prezes UODO zdecydował się na interwencję w sprawie ujawnienia danych osobowych obywatela przez:
    • Rafała Trzaskowskiego – podał imię i nazwisko tej osoby.
    • Karola Nawrockiego – ujawnił imię, nazwisko i adres przebywania obywatela.
  • W obu przypadkach dane ujawnione publicznie zostały szeroko rozpowszechnione w mediach i internecie, co zdaniem UODO tworzy wyjątkowe okoliczności wymagające działania z urzędu.
  • Prezes UODO podejmuje też działania wobec posła Przemysława Czarnka, który podczas konferencji prasowej ujawnił dane dwóch osób, w tym:
    • Imiona, nazwiska, imiona rodziców
    • PESEL, numer i seria dowodu osobistego, NIP
    • Adres zamieszkania
  • Poseł Czarnek został wezwany przez Prezesa UODO do złożenia wyjaśnień pismem z dnia 9 maja br.
  • UODO przypomina, że każdy, kto upublicznia dane osobowe innych osób (np. w internecie lub podczas wystąpień), może naruszać ich dobra osobiste, co podlega ochronie na podstawie Kodeksu cywilnego.
  • Na zakończenie kampanii wyborczej, UODO planuje zaproponować Marszałkowi Sejmu organizację szkoleń z ochrony danych osobowych dla biur poselskich i klubów parlamentarnych.
  • Podobne szkolenia zostaną również zaproponowane Krajowemu Biuru Wyborczemu w ramach istniejącej współpracy.
  • UODO pozytywnie ocenia fakt, że większość dziennikarzy dba o anonimizację danych przekazywanych przez polityków, wykazując odpowiedzialność w ochronie prywatności obywateli.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry