RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 21.04.2026 r. 

  RODO aktualności

USA: Meta i Youtube przegrywają w sądzie » Projekt unijnego rozporządzenia FIDA a ochrona praw konsumentów. Jakie wyzwania stoją przed sektorem finansowym? » Incydent bezpieczeństwa w WordPress – przejęto pakiet darmowych wtyczek » Tryb Incognito w Perplexity ukrywa historię rozmów tylko przed tobą. Meta i Google – nadal wiedzą o co pytałeś » TSUE: państwa członkowskie mogą określać krajowe terminy przedawnienia » NSA po stronie UODO i WSA: były pracownik z dostępem do PUE ZUS oznaczał wysokie ryzyko » NSA uchyla wyrok WSA w sprawie upomnienia dla podmiotu przetwarzającego » EROD przyjmuje szablon DPIA

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

USA: Meta i Youtube przegrywają w sądzie

  • Kontekst: w Los Angeles ława przysięgłych uznała, że Meta i Google (YouTube) ponoszą winę za zaniedbania w projektowaniu platform, które miały negatywnie wpłynąć na zdrowie psychiczne młodej użytkowniczki. Zasądzono 6 mln USD odszkodowania.
  • Co było kluczowe w tej sprawie: zamiast skupiać się na tym, że firmy nie usuwały szkodliwych treści, prawnicy powódki zaatakowali sam projekt produktu — kod, architekturę i decyzje algorytmiczne stojące za działaniem platform.
  • Nowe podejście prawne: sąd przyjął argument, że decyzje projektowe w algorytmach to intencjonalne działania twórców, a platformy można traktować jak inne produkty rynkowe, które mogą mieć niebezpieczne „wady konstrukcyjne”.
  • Jakie mechanizmy uznano za potencjalnie szkodliwe/uzależniające:
    • nieskończone przewijanie treści (infinite scroll),
    • automatyczne odtwarzanie kolejnych materiałów,
    • system „nieprzewidywalnych nagród” (np. polubienia, reakcje),
    • filtry upiększające.
  • Główna teza dotycząca tych funkcji: są projektowane tak, by maksymalizować zaangażowanie i mogą wykorzystywać mechanizmy psychologiczne (np. „pętle dopaminowe”), działając na nastolatków podobnie jak mechanizmy znane z hazardu.
  • Czy wyrok zmieni zachowanie Big Techów? Autor/ka jest sceptyczny/a i wskazuje, że zmiana może być ograniczona, m.in. dlatego że:
  • 1) Poufne ugody: firmy często wolą szybko zawierać poufne porozumienia finansowe, by uniknąć ujawniania dokumentów wewnętrznych i ryzyka nakazu sądowego ingerującego w algorytmy/kod.
  • 2) Działania „pozorne” (wizerunkowe): rozwiązania typu tryb nocny, przypomnienia o przerwie czy liczniki czasu mogą przenosić odpowiedzialność na użytkownika („macie narzędzia, reszta zależy od was”).
  • 3) Trudność dowodowa: w praktyce bardzo trudno jednoznacznie wykazać w sądzie, że konkretne funkcje (np. scrollowanie) są bezpośrednią przyczyną zaburzeń psychicznych, po wykluczeniu innych czynników (środowiskowych, genetycznych).
  • 4) Ekonomia: nawet wielomilionowe odszkodowania mogą być dla takich korporacji tańsze niż zmiana mechaniki aplikacji, która obniżyłaby zaangażowanie i mogłaby uderzyć w wyniki finansowe.
  • Możliwy scenariusz zmian: zamiast przebudowy algorytmów bardziej prawdopodobne są ostrzeżenia, pop-upy i etykietowanie ryzyk, co może wzmacniać narrację o „świadomym konsumencie”.
  • Konkluzja autora/ki: dopóki „gospodarka uwagi” generuje miliardowe zyski, firmy mogą traktować odszkodowania jako koszt operacyjny, a nie powód do głębokiej zmiany architektury platform.
Źródło

Projekt unijnego rozporządzenia FIDA a ochrona praw konsumentów. Jakie wyzwania stoją przed sektorem finansowym?

  • Kontekst: Projekt unijnego rozporządzenia FIDA ma przenieść model „otwartej bankowości” (znany z PSD2) na szeroką kategorię danych finansowych – od kredytów i inwestycji po kryptoaktywa i wybrane ubezpieczenia. Instytucje finansowe jako „posiadacze danych” będą musiały udostępniać dane klientom bezpłatnie, a za ich zgodą także odpłatnie podmiotom świadczącym usługi oparte na danych. To może dać konsumentom nowe usługi, ale rodzi też ryzyka dla prywatności i bezpieczeństwa danych.
  • FIDA nawiązuje do PSD2: tak jak PSD2 wymusiło współpracę banków z fintechami (np. agregacja kont, inicjowanie płatności), tak FIDA ma rozszerzyć podobny mechanizm na inne obszary finansów.
  • Etap prac i harmonogram: projekt jest w trakcie negocjacji trójstronnych w UE; ostateczne brzmienie może się zmienić. Planowane przyjęcie: 2026 r.
  • Kogo dotyczy system: projekt rozróżnia m.in. klientów, posiadaczy danych (instytucje finansowe) oraz użytkowników danych (podmioty wykorzystujące dane do świadczenia usług, w tym dostawcy usług informacji finansowej).
  • Jakie dane obejmie FIDA: m.in. dane z umów kredytu/pożyczki, oszczędności i inwestycji (instrumenty finansowe), ubezpieczeniowych produktów inwestycyjnych, kryptoaktywów, danych dotyczących nieruchomości oraz ubezpieczeń innych niż na życie oraz chorobowe/zdrowotne.
  • Główny cel gospodarczy: wsparcie rozwoju gospodarki opartej na danych; UE chce, aby do 2030 r. jej udział w tym obszarze co najmniej odpowiadał znaczeniu gospodarczemu Unii.
  • Korzyści dla konsumentów: potencjalny dostęp do bardziej spersonalizowanych usług finansowych, łatwiejsze zarządzanie finansami i porównywanie ofert dzięki przenoszeniu/udostępnianiu danych między usługodawcami.
  • Skutki dla instytucji finansowych: nowe obowiązki w zakresie udostępniania danych, budowy rozwiązań technicznych i „przebudowy” relacji z fintechami oraz innymi użytkownikami danych.
  • Bezpieczeństwo i RODO: użytkownicy danych mają wdrożyć środki techniczne, prawne i organizacyjne zapewniające zgodność z RODO, a posiadacz danych odpowiada za bezpieczeństwo procesu udostępnienia danych.
  • Ograniczenie przechowywania danych: użytkownik danych ma usuwać dane bez zbędnej zwłoki, gdy nie są już potrzebne do celu zgody albo gdy klient cofnie zgodę i nie potwierdzi jej ponownie w ciągu 48 godzin.
  • Ryzyko nadużyć: szczególnie problematyczne są scenariusze monetyzacji danych (np. wykorzystywanie ich w interesie podmiotów trzecich) oraz nakłanianie do zgód przez zwodnicze interfejsy (dark patterns).
  • Zakazy w projekcie: co do zasady ma być zakazane przetwarzanie danych klienta w celach innych niż wykonanie usługi wyraźnie przez klienta zleconej; użycie danych do reklamy ma być ograniczone (wyjątki jedynie w granicach dopuszczalnego prawem marketingu bezpośredniego).
  • Ochrona firm (klientów biznesowych): użytkownik danych ma zachować poufność tajemnicy przedsiębiorstwa klienta i respektować jego prawa własności intelektualnej.
  • Standard „najlepszego interesu klienta” (propozycje Rady UE): użytkownik danych ma działać profesjonalnie, w najlepszym interesie klienta i umieć wykazać, że sposób użycia danych temu interesowi służy; zgody nie mogą być formułowane tak, by ograniczać swobodną i świadomą decyzję klienta.
  • Panele do zarządzania zgodami: posiadacze danych mają stworzyć narzędzia (panele) ułatwiające udzielanie i cofanie zezwoleń wobec konkretnych użytkowników danych.
  • Wymogi dla paneli: mają być łatwe do znalezienia w interfejsie elektronicznym, a informacje w nich – przejrzyste, dokładne i zrozumiałe.
  • Bez opłat za zarządzanie zgodą: konsumenci mają móc bezpłatnie udzielać i wycofywać zgody w dowolnym momencie.
  • Ryzyko wzmocnienia dominacji big tech: otwarte finanse mogą niechcący pogłębić oligopol na rynku danych (obecnie zdominowany m.in. przez Meta/Alphabet/Amazon), jeśli takie podmioty uzyskałyby jeszcze szerszy dostęp do danych finansowych.
  • Gatekeeperzy (strażnicy dostępu): Rada UE proponuje procedurę oceny, czy gatekeeper może być użytkownikiem danych; Komisja Europejska (czerwiec 2025) rekomenduje dalej idące rozwiązanie – wykluczenie gatekeeperów z dostępu do danych na podstawie FIDA.
  • Spójność z Data Act: wskazano, że gatekeeperzy są już wyłączeni z pewnych mechanizmów dostępu do danych w Data Act, co wspiera argument za podobnym podejściem w FIDA.
  • Wdrożenie będzie zależało od IT: FIDA wymusi tworzenie nowych rozwiązań informatycznych i interfejsów – a jakość tych narzędzi (panele zgód, interfejsy usług) w dużej mierze przesądzi o skuteczności regulacji i realnej ochronie konsumenta.
  • Warunek sukcesu po stronie użytkownika: aby konsumenci chcieli korzystać z usług opartych na danych, muszą one być intuicyjne, przemyślane i bezpieczne.
  • Wnioski ogólne: FIDA może przynieść innowacje i korzyści rynkowe, ale jednocześnie zwiększa skalę wymiany danych i ekspozycję na ryzyka (w tym cyberbezpieczeństwa).
  • Lekcja z RODO: artykuł podnosi, że oparcie ochrony głównie na ogólnych klauzulach może być niewystarczające; część analiz skuteczności RODO sugeruje potrzebę bardziej precyzyjnych wytycznych (cele przetwarzania, praktyki postępowania z danymi, okresy przechowywania) – podobny postulat można kierować do projektu FIDA.
Źródło

Incydent bezpieczeństwa w WordPress - przejęto pakiet darmowych wtyczek

  • Kontekst: artykuł opisuje głośny incydent bezpieczeństwa w ekosystemie WordPressa, w którym przejęto popularny pakiet darmowych wtyczek i dodano do nich „tylne wejście” (backdoor). Skutkiem mogły być masowe infekcje stron bez wiedzy właścicieli.
  • Kogo dotyczy: użytkowników WordPressa, którzy mają zainstalowane wtyczki od wydawcy Essential Plugin (ok. 30+ darmowych wtyczek, setki tysięcy aktywnych instalacji).
  • Jakie wtyczki mogą być wśród zagrożonych: m.in. Countdown Timer, Popup Anything, WP Testimonial, FAQ, Team Showcase (i inne z pakietu Essential Plugin).
  • Co się stało biznesowo: zespół z Indii rozwijał wtyczki od 2015 r., ale pod koniec 2024 r. przychody spadły o 35–45%, więc właściciel wystawił całą firmę na sprzedaż na Flippie.
  • Kto kupił: nabywca występował jako „Kris”; w artykule wskazano tło powiązane z SEO, krypto i marketingiem hazardowym. Flippa miała nawet opublikować case study o tej transakcji.
  • Najważniejszy fakt techniczny: pierwszy commit nowego właściciela miał dodać kompatybilność, ale w praktyce wprowadził backdoor (m.in. nieautoryzowany endpoint REST API i możliwość zdalnego uruchamiania funkcji na serwerze ofiary).
  • Kiedy to wprowadzono: w sierpniu 2025 r. (wersja 2.6.7) – w changelogu zapisano niewinnie „Check compatibility with WordPress version 6.8.2.”, a realnie dodano podejrzany kod (ok. 191 linii).
  • Strategia ataku: backdoor „czekał” około 8 miesięcy, a następnie 6 kwietnia 2026 r. zaczął aktywnie pobierać kolejne elementy złośliwego kodu.
  • Jak wyglądała infekcja: moduł wpos-analytics w każdej wtyczce łączył się z serwerem atakującego, pobierał plik o nazwie podobnej do systemowego WordPressa (np. wp-comments-posts.php) i wstrzykiwał payload do pliku wp-config.php.
  • Cel ataku: przede wszystkim SEO spam (linki, przekierowania, fałszywe strony), zaprojektowany tak, by był widoczny głównie dla Googlebota – właściciel strony mógł nie widzieć nic podejrzanego.
  • Dlaczego utrudniało to blokadę: domena serwera sterującego (C2) nie była wpisana „na sztywno” – złośliwy kod ustalał ją przez smart kontrakt na Ethereum (zapytania do publicznych RPC). To umożliwia szybkie „przestawienie” infrastruktury, nawet gdy domena zostanie zdjęta.
  • Reakcja WordPress.org: dzień po aktywacji ataku zamknięto 25+ wtyczek jednego dnia oraz wymuszono auto-aktualizacje do wersji, która neutralizowała backdoor (w praktyce przez wstawienie return; przed złośliwym fragmentem).
  • Kluczowy problem po aktualizacji: WordPress.org nie usuwał zmian już wprowadzonych do wp-config.php. Jeśli payload został tam dopisany, mógł pozostać na stronie mimo aktualizacji wtyczki.
  • To nie pierwszy taki schemat: artykuł przywołuje przypadek z 2017 r., gdy kupiono popularną wtyczkę Display Widgets (ok. 200 tys. instalacji) i również wstrzyknięto spam, a potem powtórzono to na kolejnych wtyczkach.
  • Wniosek systemowy: WordPress.org ma mieć lukę procesową: brak mechanizmu weryfikacji zmiany właściciela wtyczki, brak „alarmu” dla użytkowników o zmianie kontroli oraz brak dodatkowego przeglądu kodu, gdy pojawia się nowy committer.
  • Co zrobić, jeśli masz WordPressa (rekomendacje z treści):
    • Przejrzyj listę zainstalowanych wtyczek i wyszukaj te powiązane z Essential Plugin.
    • Sprawdź plik wp-config.php pod kątem dopisanego obcego fragmentu kodu (payload miał być doklejany w tej samej linii co require_once, co łatwo przeoczyć).
    • Zwróć uwagę na rozmiar wp-config.php – jeśli jest podejrzanie większy (np. o ok. 6 KB), może to wskazywać na dopisany złośliwy kod.
Źródło

Tryb Incognito w Perplexity ukrywa historię rozmów tylko przed tobą. Meta i Google - nadal wiedzą o co pytałeś

  • Kontekst: artykuł opisuje zarzuty z pozwu, według których Tryb Incognito w Perplexity nie chroni prywatności tak, jak sugeruje nazwa — nie zapisuje rozmów w historii użytkownika, ale nie zatrzymuje przekazywania danych do firm reklamowych (m.in. Meta i Google).
  • O co chodzi z Perplexity: Perplexity AI to „wyszukiwarka nowej generacji”, która działa jak rozmowa z ekspertem (odpowiedzi z kontekstem, źródłami i sugerowanymi dodatkowymi pytaniami), co zachęca do wpisywania także bardzo osobistych tematów (zdrowie, finanse, sprawy prawne).
  • Główne oskarżenie: według pozwu, w momencie wpisywania zapytania (promptu) jego kopia ma trafiać do podmiotów trzecich jeszcze zanim użytkownik zobaczy odpowiedź.
  • Jakie narzędzia śledzące mają być użyte: w kodzie strony mają być osadzone m.in. Meta Pixel, Google Ads, Google DoubleClick oraz Firebase Analytics, co ma umożliwiać przesyłanie danych o zachowaniu użytkownika i treści zapytań.
  • Jakie dane mogą być przekazywane (wg pozwu):
    • treść wpisywanych zapytań (promptów),
    • identyfikatory z plików cookie, które mogą łączyć użytkownika z kontem (np. Facebook ID),
    • dla zalogowanych użytkowników: fragmenty promptów (np. pierwsze 70–100 znaków) oraz kliknięcia w sugerowane pytania follow-up,
    • w niektórych scenariuszach również dane, które pozwalają powiązać aktywność z adresem e-mail.
  • Tryb Incognito nazwany „pozornym”: pozew ma określać go jako „ściemę”, ponieważ ma on jedynie ukrywać rozmowę w historii po stronie użytkownika, ale nie wyłączać mechanizmów śledzenia i udostępniania danych do Mety/Google.
  • Uwaga na użytkowników niezalogowanych: w treści pojawia się zarzut, że w trybie „guest” transkrypty rozmów mogły być dostępne pod adresem URL, do którego dostęp mogą mieć podmioty trzecie.
  • Istotny element techniczny: Meta Conversions API (CAPI):
    • to mechanizm przesyłania danych po stronie serwera (z serwerów Perplexity do Mety),
    • w przeciwieństwie do piksela, użytkownik nie widzi go łatwo w przeglądarce i nie zablokuje typowym adblockerem,
    • Meta ma rekomendować używanie CAPI równolegle z Pixelem, aby ograniczyć możliwość omijania trackingu przez bardziej świadomych użytkowników.
  • Polityka prywatności: artykuł twierdzi, że na stronie głównej ma brakować łatwo widocznego linku do polityki prywatności, a użytkownik nie musi jej aktywnie akceptować; według opisu, znalezienie jej ma wymagać dodatkowych kroków.
  • Skala sprawy prawnej (wg tekstu): mowa o pozwie zbiorowym (class action), obejmującym okres od grudnia 2022 do lutego 2026, z 8 zarzutami prawnymi i potencjalnymi karami rzędu ponad 5000 USD za naruszenie.
  • Sprzeczność z deklaracjami firmy (wg pozwu): Perplexity ma deklarować w polityce prywatności, że nie „sprzedaje” ani nie „udostępnia” wrażliwych danych do reklamy behawioralnej, a pozew ma twierdzić, że w praktyce było inaczej.
  • Wniosek praktyczny dla użytkowników: jeśli używasz narzędzi AI do tematów wrażliwych (zdrowie, finanse, prawo), warto założyć, że „Incognito” może nie oznaczać braku śledzenia i sprawdzić, kto może otrzymywać dane o Twoich zapytaniach.
Źródło

TSUE: państwa członkowskie mogą określać krajowe terminy przedawnienia

  • Kontekst sprawy: austriacki Federalny Sąd Administracyjny zwrócił się do TSUE o wyjaśnienie, czy przepisy UE (dyrektywa AML 2015/849 dotycząca przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu) oraz zasada skuteczności prawa UE (effet utile) pozwalają:
    • ustanowić w prawie krajowym krótkie terminy przedawnienia (3 lata na wszczęcie ścigania i 5 lat na nałożenie kary),
    • uzależniać ukaranie firmy od wcześniejszego formalnego „wskazania winnej osoby fizycznej” w postępowaniu.
  • Spór w Austrii: organ nadzoru finansowego FMA nałożył 29 lutego 2024 r. karę na Steiermärkische Bank und Sparkassen AG za naruszenie obowiązków należytej staranności AML (na podstawie § 35 ust. 1–2 ustawy o przeciwdziałaniu praniu pieniędzy). Bank zaskarżył decyzję.
  • Problem w prawie austriackim: sąd wskazał, że austriackie „prawo karne administracyjne” historycznie nie przewidywało odpowiedzialności karnej osób prawnych, a § 35 należy do pierwszych przepisów, które ją wprowadzają – ale z dodatkowymi warunkami.
  • Dodatkowe warunki (kwestionowane): według austriackiej praktyki, aby ukarać osobę prawną, zwykle trzeba:
    • najpierw nadać konkretnej osobie fizycznej formalny status podejrzanego (strony postępowania, a nie tylko świadka),
    • w decyzji wymienić tę osobę z nazwiska i stwierdzić jej bezprawne oraz zawinione działanie,
    • dopiero potem przypisać to działanie osobie prawnej (np. bankowi).
    Sąd krajowy miał wątpliwości, czy takie wymogi nie osłabiają unijnych reguł skutecznego karania naruszeń AML.
  • Wymóg skuteczności sankcji w UE: dyrektywa AML zakłada, że kary i środki administracyjne mają być „skuteczne, proporcjonalne i odstraszające”. Sąd wskazywał też praktyczny problem: sprawy AML bywają złożone, a fakty często długo pozostają nieznane organom.
  • Nawiązanie do wcześniejszego orzecznictwa: sąd odsyłający brał pod uwagę m.in. wyrok TSUE z 5 grudnia 2023 r. (Deutsche Wohnen), gdzie Trybunał uznał za niedopuszczalne uzależnianie ukarania osoby prawnej od wcześniejszego przypisania naruszenia zidentyfikowanej osobie fizycznej (w tamtej sprawie na gruncie RODO).
  • Stanowisko TSUE o przedawnieniu (zasady ogólne): gdy UE nie reguluje terminów proceduralnych, państwa członkowskie mogą je ustalać, ale muszą przestrzegać:
    • zasady równoważności (reguły nie mogą być mniej korzystne niż w podobnych sprawach czysto krajowych),
    • zasady skuteczności (nie mogą czynić stosowania prawa UE praktycznie niemożliwym lub nadmiernie utrudnionym).
    TSUE podkreślił, że „rozsądne” terminy przedawnienia co do zasady służą pewności prawa i mogą być zgodne z prawem UE.
  • Kluczowy wniosek TSUE – odpowiedzialność osoby prawnej: przepisy dyrektywy AML (w świetle zasady skuteczności) sprzeciwiają się przepisom krajowym, które:
    • wymagają, aby przed ukaraniem osoby prawnej najpierw formalnie nadano osobie fizycznej status podejrzanego,
    • nakazują, by decyzja o ukaraniu firmy imiennie wskazywała osobę fizyczną i stwierdzała jej bezprawne i zawinione naruszenie, które można przypisać firmie.
    Innymi słowy: państwo nie powinno uzależniać ukarania firmy od spełnienia tak „sztywnych” warunków dotyczących wcześniejszego ustalenia i opisania odpowiedzialności konkretnej osoby fizycznej.
  • Kluczowy wniosek TSUE – przedawnienie: te same przepisy dyrektywy AML nie sprzeciwiają się krajowym terminom przedawnienia wynoszącym:
    • 3 lata od popełnienia naruszenia na potrzeby ścigania,
    • 5 lat od popełnienia naruszenia na potrzeby nałożenia kary,
    o ile w praktyce nie podważają one skutecznego stosowania prawa UE (co do zasady TSUE uznał je za akceptowalne).
  • Znaczenie praktyczne: wyrok wzmacnia możliwość nakładania sankcji na instytucje (np. banki) za naruszenia AML bez konieczności uprzedniego „procesowego” zidentyfikowania i formalnego postawienia w roli podejrzanego konkretnej osoby fizycznej, natomiast pozostawia państwom pewną swobodę w ustawianiu terminów przedawnienia (jeśli są rozsądne i nie utrudniają egzekwowania prawa UE).
Źródło

NSA po stronie UODO i WSA: były pracownik z dostępem do PUE ZUS oznaczał wysokie ryzyko

  • Kontekst sprawy: administrator danych (Bank) sam stwierdził naruszenie ochrony danych osobowych, ponieważ były pracownik przez ponad 7 miesięcy po rozwiązaniu umowy nadal miał dostęp do konta PUE ZUS byłego pracodawcy i kilkukrotnie się na nie logował.
  • Jakie dane były zagrożone: dostęp obejmował dane pracowników, m.in. imię i nazwisko, adres zamieszkania/pobytu, PESEL, a także informacje ze zwolnień lekarskich (e-ZLA), czyli dane zaliczane do danych dotyczących zdrowia.
  • Skala potencjalnego naruszenia: sprawa dotyczyła danych nawet 10 500 osób.
  • Stanowisko Prezesa UODO (decyzja ze stycznia 2022 r.): organ uznał, że Bank naruszył art. 34 RODO, bo nie zawiadomił bez zbędnej zwłoki osób, których dane mogły zostać naruszone, mimo że istniało wysokie ryzyko dla ich praw i wolności.
  • Kara: Prezes UODO nałożył na Bank 545 748 zł administracyjnej kary pieniężnej.
  • Dlaczego UODO oczekiwał zawiadomienia osób: zawiadomienie ma umożliwić osobom poszkodowanym poznanie ryzyka oraz podjęcie działań ochronnych; obowiązek informowania nie zależy od tego, czy szkoda faktycznie wystąpiła, tylko od tego, czy mogła wystąpić.
  • Spór o ocenę ryzyka: Bank twierdził, że ryzyko było niskie (a więc nie trzeba zawiadamiać osób). Prezes UODO wezwał Bank do wskazania podstaw tej oceny i przedstawienia analizy ryzyka.
  • Wyrok WSA w Warszawie (listopad 2022 r.): sąd oddalił skargę Banku i potwierdził, że:
    • sam fakt, że były pracownik miał możliwość nieograniczonego dostępu do bardzo wrażliwych danych, oznacza wysokie ryzyko;
    • na ocenę wysokiego ryzyka wpływał zakres danych, długi czas utrzymywania dostępu oraz liczba osób objętych zdarzeniem;
    • dla naruszenia art. 34 RODO nie trzeba wykazywać „zamiaru” – wystarczy ustalenie, że administrator nie zawiadomił osób, nawet jeśli błędnie uznał, że nie ma wysokiego ryzyka.
  • Wyrok NSA (marzec 2026 r.): NSA podzielił podejście WSA i UODO, wskazując m.in., że:
    • nie było konieczne dokładne ustalenie, do jakich konkretnie danych konkretnych osób były pracownik faktycznie zajrzał;
    • decydujące było to, że miał on możliwość dostępu do danych w takim samym zakresie jak pracownik Banku;
    • dla oceny naruszenia i obowiązku zawiadomienia kluczowe jest ryzyko (prawdopodobieństwo negatywnych skutków), a nie udowodnienie, że doszło do realnego wykorzystania danych;
    • wnioskowane przez Bank dowody (np. zeznania świadka) nie mogły zmienić rozstrzygnięcia, bo dotyczyły okoliczności nieistotnych z punktu widzenia art. 34 RODO.
  • Dane o zwolnieniach lekarskich jako dane o zdrowiu: NSA uznał, że informacje wynikające z e-ZLA stanowią dane dotyczące zdrowia, bo sam fakt uzyskania zwolnienia lekarskiego ujawnia informację o stanie zdrowia (stan wymagający zwolnienia z pracy). To miało znaczenie dla oceny wagi naruszenia.
  • Najważniejszy wniosek praktyczny: jeśli osoba nieuprawniona ma dostęp (nawet tylko potencjalny) do danych – szczególnie wrażliwych i dotyczących dużej liczby osób – administrator może mieć obowiązek powiadomienia osób o naruszeniu; nie trzeba udowadniać, że dane zostały rzeczywiście odczytane lub wykorzystane.
Źródło

NSA uchyla wyrok WSA w sprawie upomnienia dla podmiotu przetwarzającego

  • Kontekst sprawy i sens wyroku NSA (13.03.2026): Naczelny Sąd Administracyjny uchylił wyrok WSA w Warszawie z 30.11.2022 i przekazał sprawę do ponownego rozpoznania. NSA nie rozstrzygnął jeszcze merytorycznie sporu o to, jak w tej konkretnej sytuacji należy rozumieć relację i odpowiedzialność administratora oraz podmiotu przetwarzającego (procesora) na gruncie art. 5, 6 i 28 RODO. Powodem uchylenia było przede wszystkim wadliwe, niespójne uzasadnienie WSA, które nie pozwalało na pełną kontrolę instancyjną.
  • O co chodziło w sprawie (tło faktyczne): Po skardze osoby fizycznej Prezes UODO badał działania windykacyjne prowadzone przez procesora na zlecenie administratora. Do skarżącej kierowano SMS-y, telefony i e-maile dotyczące zadłużenia spółki będącej dłużnikiem administratora, choć skarżąca twierdziła, że:
    • nie jest dłużnikiem,
    • nie odpowiada za zobowiązania tej spółki,
    • nie jest nawet jej pracownikiem.
  • Zarzuty skarżącej:
    • bezpodstawne przetwarzanie danych osobowych (wobec administratora i procesora),
    • niewykonanie obowiązku informacyjnego wobec niej (art. 14 RODO).
  • Decyzja Prezesa UODO (11.08.2021) – dwa elementy:
    • Upomnienie dla administratora za naruszenie art. 14 ust. 1 i 2 RODO (brak spełnienia obowiązku informacyjnego wobec skarżącej).
    • Upomnienie dla administratora i procesora za naruszenie art. 5 ust. 1 lit. a i d oraz art. 6 ust. 1 w związku z art. 28 RODO – tj. przetwarzanie danych bez podstawy prawnej.
  • Ważne rozróżnienie UODO w zakresie art. 14 RODO: Organ wyraźnie wskazał, że obowiązek informacyjny z art. 14 RODO obciążał administratora, a nie procesora. W uzasadnieniu podkreślono, że skoro dany podmiot był procesorem w rozumieniu art. 28 RODO, to nie ciążył na nim obowiązek z art. 14 RODO.
  • Co zrobił WSA (30.11.2022): WSA oddalił skargę procesora, uznając, że:
    • skarżąca nie była dłużnikiem ani reprezentantem dłużnika,
    • wobec tego nie zachodziła żadna przesłanka legalizująca przetwarzanie z art. 6 ust. 1 RODO,
    • procesor wykroczył poza zakres umowy powierzenia (miał przetwarzać dane dłużników, a przetwarzał dane osoby, która – zdaniem sądu – dłużnikiem nie była),
    • doszło też do naruszenia zasad z art. 5 RODO, w tym:
      • prawidłowości danych (art. 5 ust. 1 lit. d) – niewykazanie rozsądnych działań, by skorygować/usunąć nieprawidłowe dane,
      • rzetelności (art. 5 ust. 1 lit. a) – brak wykazania, że procesor zweryfikował dane (np. z danymi osób uprawnionych do reprezentacji dłużnika).
  • Dlaczego NSA uchylił wyrok WSA (klucz): NSA uznał, że WSA:
    • nie wyjaśnił należycie podstawy prawnej i motywów rozstrzygnięcia,
    • przedstawił uzasadnienie zawierające sprzeczne i wzajemnie wykluczające się oceny,
    • przez to uzasadnienie nie pozwalało na pełną kontrolę instancyjną (czyli nie dało się rzetelnie sprawdzić toku rozumowania sądu).
  • Główna sprzeczność wskazana przez NSA: WSA z jednej strony sugerował, że „co do zasady” procesor działa na podstawie art. 28 ust. 3 RODO (umowa powierzenia i instrukcje administratora), a za zgodność z zasadami odpowiada administrator (art. 5 ust. 2 RODO). Z drugiej strony WSA przypisał procesorowi odpowiedzialność m.in. za naruszenie zasady prawidłowości danych (art. 5 ust. 1 lit. d), nie wyjaśniając spójnie, z czego ta odpowiedzialność wynika w tej konfiguracji ról.
  • Wątek „czy procesor stał się administratorem?” (sygnał NSA): NSA zauważył, że rozumowanie WSA mogłoby sugerować potraktowanie procesora jak administratora w pewnym zakresie, ale WSA nie wyjaśnił, na jakiej podstawie i dlaczego dokonałby takiej kwalifikacji. To – zdaniem NSA – mogło istotnie wpływać na wynik sprawy.
  • Brak wyjaśnienia kluczowych pojęć (zarzut NSA): NSA wskazał, że WSA powinien był dokładniej wyjaśnić:
    • co w tej sprawie oznacza pojęcie „dłużnik”,
    • co obejmują „dane dłużnika”,
    • jak oceniać służbowe dane kontaktowe osób powiązanych ze strukturą dłużnika (np. numery, e-maile używane w kontekście działalności spółki).
    NSA uznał, że bez takich ustaleń nie da się prawidłowo ocenić działań organu i legalności przetwarzania.
  • NSA celowo ograniczył zakres wypowiedzi: Po stwierdzeniu naruszeń dotyczących sposobu sporządzenia uzasadnienia (art. 141 § 4 p.p.s.a.), NSA wskazał, że przedwczesne byłoby zajmowanie stanowiska co do pozostałych zarzutów merytorycznych. To oznacza, że wyrok NSA nie przesądza, kto ostatecznie ma rację w sporze o zastosowanie art. 5, 6 i 28 RODO w tej sprawie.
  • Co dalej: Sprawa wraca do WSA, który ma ją ponownie rozpoznać i:
    • usunąć sprzeczności,
    • jasno wskazać podstawę prawną wniosków,
    • dokładnie ustalić i wyjaśnić znaczenie kluczowych pojęć (dłużnik, dane dłużnika, rola służbowych danych kontaktowych),
    • dopiero potem ocenić konsekwencje na gruncie art. 5, 6 i 28 RODO.
  • Najważniejsze praktyczne wnioski z orzeczenia NSA:
    • W sprawach RODO nie wystarczy „intuicyjnie słuszny” wynik – sąd musi precyzyjnie pokazać drogę od faktów do wniosków prawnych.
    • Przy sporach administrator–procesor kluczowe jest spójne wyjaśnienie odpowiedzialności każdej ze stron (w tym relacji art. 5, 6 i 28 RODO oraz znaczenia art. 5 ust. 2 RODO).
    • Nie można poprzestać na stwierdzeniu, że ktoś „nie był dłużnikiem” – trzeba wyjaśnić, jak rozumieć dane wykorzystywane w windykacji i czy (oraz kiedy) kontakt do osoby powiązanej ze spółką może mieścić się w „danych dłużnika”.
Źródło

EROD przyjmuje szablon DPIA

  • Kontekst: Europejska Rada Ochrony Danych (EDPB) – w ramach tzw. Oświadczenia Helsińskiego, którego celem jest ułatwienie zgodności z RODO i większa spójność podejścia w Europie – przyjęła nowy szablon oceny skutków dla ochrony danych (DPIA).
  • Po co powstał szablon: ma pomóc organizacjom uporządkować, ujednolicić i udokumentować proces przygotowania DPIA oraz raportowania wyników w bardziej jednolity sposób.
  • Czym jest DPIA (dla kogo i kiedy): DPIA to wymagana przez RODO analiza, którą należy przeprowadzać, gdy planowane przetwarzanie danych osobowych prawdopodobnie wiąże się z wysokim ryzykiem dla osób, których dane dotyczą.
  • Co obejmuje DPIA: opisuje się, jak dane będą przetwarzane, ocenia się konieczność i adekwatność przetwarzania oraz identyfikuje i ogranicza ryzyka dla praw i wolności osób.
  • Jak działa szablon EDPB: jest zaprojektowany jako wsparcie krok po kroku – prowadzi przez elementy, które powinny znaleźć się w DPIA.
  • Dodatkowy materiał: do szablonu dołączono dokument wyjaśniający, który prostym językiem tłumaczy kluczowe pojęcia i pomaga odpowiedzieć na typowe pytania oraz uzupełnić luki w wiedzy.
  • Elastyczność dla organizacji: administratorzy (kontrolerzy) mogą nadal prowadzić analizę ryzyka i zarządzanie nim według własnej metodologii – szablon ma wspierać, a nie narzucać jedno podejście.
  • Czy użycie jest obowiązkowe: korzystanie z szablonu EDPB nie jest obowiązkowe, ale ułatwia przygotowanie pełnej dokumentacji dzięki wcześniej zdefiniowanym polom i strukturze.
  • Korzyści praktyczne: szablon ma pomóc zminimalizować ryzyko pominięć i błędów oraz oszczędzić czas, bo wymusza kompletne i uporządkowane odpowiedzi.
  • Konsultacje publiczne: szablon jest poddany konsultacjom publicznym do 9 czerwca – zainteresowane strony mogą zgłaszać uwagi i opinie.
  • Co dalej po konsultacjach: po ich zakończeniu organy ochrony danych w Europie mają podjąć działania, aby wdrożyć szablon jako jedyny standard lub jako „meta-szablon”, do którego będą dostosowywane szablony krajowe.
  • Rekomendacja na teraz: organizacje są zachęcane, by już teraz korzystać z wzorca i przekazywać opinie w ramach konsultacji.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry