RODO aktualności – 23.07.2025 r. 

Francuski organ ds. ochrony danych (CNIL) odniósł się do kwestii wykorzystywania „ulepszonych” kamer bazujących na sztucznej inteligencji w sklepach tytoniowych. Celem tych urządzeń jest szacowanie wieku klientów na podstawie analizy twarzy, aby zapobiec sprzedaży wyrobów tytoniowych osobom niepełnoletnim.

• Kamerami tymi zarządza AI, która na podstawie skanowania twarzy ocenia, czy dana osoba osiągnęła określony wiek (np. 18 lub 21 lat), prezentując sygnał zielony lub czerwony.
• CNIL uznała, że tego typu przetwarzanie danych biometrycznych nie jest ani konieczne, ani proporcjonalne względem celu, jakim jest kontrola wieku klientów.
• Przypomniano, że obowiązek prawny sprzedawców polega na sprawdzeniu dokumentu tożsamości, a nie na korzystaniu z technologii oceniającej wiek na podstawie wyglądu.
• Analiza twarzy nie gwarantuje trafności i może prowadzić do błędów, co w efekcie zniechęca pracowników do wymagania dowodu tożsamości.
• CNIL wskazuje alternatywy, takie jak:
  • weryfikacja dokumentu tożsamości,
  • certyfikowane aplikacje do weryfikacji wieku.
• Nawet jeśli dane z kamer są przetwarzane lokalnie i nie są przechowywane, urządzenia te naruszają prawo do prywatności – skanują wszystkich w zasięgu, także osoby dorosłe, bez możliwości sprzeciwu.
• Stosowanie takich kamer w przestrzeni publicznej może prowadzić do normalizacji nadzoru opartego na algorytmach, co budzi poważne zastrzeżenia z perspektywy ochrony praw podstawowych.
• Podsumowanie stanowiska CNIL: obecne wykorzystanie AI do szacowania wieku przy pomocy kamer jest niezgodne z RODO z powodu:
  • braku konieczności stosowania tego rozwiązania,
  • niskiej skuteczności,
  • zagrożenia dla wolności osobistych,
  • i niespełnienia zasad proporcjonalności i przejrzystości.

Irlandzka Komisja Ochrony Danych (DPC), będąca głównym organem nadzorującym przestrzeganie przepisów o ochronie danych przez międzynarodowe firmy w UE, rozpoczęła kolejne postępowanie wobec TikToka. Dochodzenie dotyczy potencjalnego naruszenia przepisów RODO przez przechowywanie danych osobowych użytkowników z Unii Europejskiej na serwerach znajdujących się w Chinach.

• DPC sprawdza, czy TikTok nie naruszył przepisów RODO, przekazując dane osobowe użytkowników poza Europejski Obszar Gospodarczy (EOG), konkretnie do Chin.
• Zgodnie z RODO dane można przekazywać do państw spoza EOG tylko wtedy, gdy zapewniony jest poziom ochrony równoważny z unijnym. Chiny nie mają stosownej decyzji o adekwatności wydanej przez Komisję Europejską.
• TikTok poinformował w kwietniu 2025 r., że „ograniczona liczba” danych użytkowników z UE była fizycznie przechowywana w Chinach – co jest sprzeczne z wcześniejszymi deklaracjami firmy.
• Wcześniejsze zapewnienia TikToka mówiły o przetwarzaniu danych przez pracowników w Chinach, ale bez ich fizycznego przechowywania na tamtejszych serwerach.
• DPC obawia się, że TikTok wprowadzał urząd w błąd co do rzeczywistego sposobu przechowywania danych i traktuje sprawę „bardzo poważnie”.
• Europejska siedziba TikToka mieści się w Irlandii, co czyni DPC odpowiedzialną za kontrolę firmy na terenie całej Unii Europejskiej.
• To nie pierwsze postępowanie wobec TikToka – w maju 2025 roku DPC nałożyła na firmę ByteDance (właściciela TikToka) karę w wysokości 530 mln euro za niewystarczającą ochronę danych dzieci i młodzieży.

Wniosek: Nowe postępowanie DPC wskazuje na rosnące obawy dotyczące przechowywania i przetwarzania danych europejskich użytkowników przez TikToka poza granicami UE. Sprawa może prowadzić do kolejnych konsekwencji finansowych i regulacyjnych dla platformy społecznościowej.

Naruszenie ochrony danych osobowych nie zawsze jest efektem cyberataku – może wynikać z błędów proceduralnych, takich jak brak odpowiedniej anonimizacji dokumentów. Opisywane zdarzenie dotyczy publikacji dokumentu z nieukrytymi danymi na stronie Krajowego Biura Wyborczego (KBW).

• 1 lipca 2025 r. na stronie KBW opublikowano protokół z wyborów przeprowadzonych w Birmingham, zawierający niezanonimizowane dane osobowe trzech osób.
• W opublikowanym dokumencie znajdowały się imiona i nazwiska trzech osób oraz numery PESEL dwóch z nich.
• Naruszenie było wynikiem zautomatyzowanego procesu publikowania wielu dokumentów w krótkim czasie, co skutkowało przeoczeniem.
• Po otrzymaniu zgłoszenia dokument został usunięty już o godz. 8:15 następnego dnia i umieszczony ponownie po poprawnej anonimizacji.
• Oficjalny komunikat o incydencie został zamieszczony tego samego dnia o godz. 12:25.
• Podobne przypadki miały już miejsce, m.in.: ujawnienie danych osobowych polskich obywateli na rządowym portalu czy publikacja danych blisko 9500 funkcjonariuszy policji w Irlandii Północnej.
• Zdarzenie podkreśla, jak ważna jest staranna weryfikacja danych przed ich publikacją w Internecie.

Wniosek: Ochrona danych osobowych wymaga nie tylko zabezpieczeń cybernetycznych, ale również odpowiednich procedur obsługi dokumentów i ich rzetelnej anonimizacji przed publikacją. Nawet pojedyncze przeoczenie może prowadzić do poważnego naruszenia prywatności.

Artykuł dotyczy wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 lipca 2025 r. (sygn. akt II SA/Wa 2056/24), który oddalił skargi dwóch firm – Delta KTW Sp. z o.o. oraz InterSYS s.c. – dotyczące decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie naruszenia przepisów RODO. Decyzja UODO obejmowała nałożenie kar pieniężnych za niewłaściwe zabezpieczenie danych osobowych i brak realizacji obowiązków wynikających z RODO.

• Sąd uznał zasadność decyzji Prezesa UODO i oddalił skargi obu podmiotów, w pełni podzielając argumentację organu nadzorczego.
• Kary administracyjne:
• Delta KTW Sp. z o.o. (administrator danych): kara w wysokości 353 589 zł.
• Wspólnicy InterSYS s.c. (podmiot przetwarzający): kara w wysokości 9 822 zł.
• Brak analizy ryzyka: Administrator nie przeprowadził analizy ryzyka w związku z przetwarzaniem danych, co doprowadziło do naruszenia zasady poufności i rozliczalności danych osobowych (naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO).
• Niewłaściwe środki bezpieczeństwa: Wdrożone środki techniczne i organizacyjne nie były adekwatne do ryzyka – także te podjęte po incydencie (atak ransomware) nie były poparte analizą ryzyka.
• Naruszenie obowiązku informacyjnego: Administrator nie przekazał osobom, których dane dotyczą, pełnej informacji o możliwych konsekwencjach naruszenia ani wskazówek dotyczących środków zaradczych (naruszenie art. 34 ust. 2 RODO).
• Brak testów i nadzoru nad przetwarzaniem: Administrator nie testował i nie oceniał wdrożonych zabezpieczeń oraz nie przeprowadził audytu podmiotu przetwarzającego (InterSYS s.c.), mimo obowiązku zapewnienia nadzoru nad przetwarzaniem danych.
• Zaniechania po stronie podmiotu przetwarzającego: InterSYS s.c. miała wiedzę o podatnościach oprogramowania używanego do przetwarzania danych, ale nie poinformowała o tym administratora, naruszając obowiązek pomocy zgodny z art. 28 ust. 3 lit. f RODO.
• Proporcjonalność kar: Sąd uznał, że wysokość nałożonych kar była prawidłowo uzasadniona przez UODO – były one skuteczne, proporcjonalne i odstraszające, zgodnie z wymaganiami RODO.

Australia przygotowuje największą od lat reformę przepisów o ochronie danych osobowych. Artykuł porównuje australijskie regulacje z europejskim rozporządzeniem RODO, wskazując podobieństwa i kluczowe różnice.

• Australijska ustawa o ochronie prywatności (Privacy Act) pochodzi z 1988 roku i choć celami przypomina RODO, znacząco różni się w szczegółach.
• RODO wyraźnie rozróżnia administratora i podmiot przetwarzający dane, wymaga dokumentacji (np. rejestru czynności przetwarzania, DPIA, inspektora ochrony danych). W australijskim prawie stosowane jest ogólne pojęcie „APP entity” – dokumentacja nie jest obowiązkowa, choć zalecana.
• Prawa jednostki w RODO są szersze – obejmują m.in. prawo do bycia zapomnianym, sprzeciwu i przenoszenia danych. W australskiej ustawie nie są one wprost zapewnione.
• Obie regulacje określają warunki transferu danych za granicę, ale tylko Australia formalnie wyróżnia „bezpieczne kraje” w przepisach.
• Kary za naruszenia są surowsze w UE (do 4% globalnego obrotu firmy); w Australii maksymalna kara to 2,1 mln AUD – możliwa jest też odpowiedzialność cywilna.
• Mimo że Australia i UE dążą do podobnych celów (lepsza ochrona danych, większa odpowiedzialność firm, silniejsze uprawnienia osób), ich podejście regulacyjne się różni.
• Obecnie australijska ustawa przechodzi przegląd. Planowana druga transza reform nie ma jeszcze ustalonego terminu, ale może przynieść znaczące zmiany.

Artykuł dotyczy kontrowersyjnej sprawy naruszenia ochrony danych osobowych przez lekarza, który po odejściu z prywatnej placówki medycznej miał bez zgody pacjentów skopiować ich dane wrażliwe i wykorzystać je w celach marketingowych. Sprawa wywołała dyskusję o granicach etyki zawodowej lekarzy, ochronie prywatności pacjentów oraz roli samorządu lekarskiego.

• Dr hab. n. med. Łukasz P. miał skopiować dane medyczne ok. 11 tys. pacjentów z Centrum Flebologii w Warszawie, w którym wcześniej pracował.
• Dane miały trafić do lekarza, mimo że część z pacjentów nigdy nie była przez niego konsultowana czy leczona.
• Lekarz wysyłał następnie SMS-y do pacjentów, informując o swoim nowym miejscu pracy i przedstawiając się jako "lekarz prowadzący".
• Sprawa została oceniona przez sądy cywilne jako nieuczciwa konkurencja; wyroki zapadły w 2023 i 2024 roku i są prawomocne.
• Sąd uznał, że lekarz działał w swoim interesie, nie mając na uwadze dobra pacjentów i naruszył ich prywatność.
• Rzecznik Praw Pacjenta oraz eksperci prawni podkreślają, że dane pacjentów nie mogą być wykorzystywane w celach marketingowych bez ich wiedzy i zgody.
• Postępowanie karne w sprawie naruszeń ustawy o ochronie danych osobowych zostało umorzone ze względu na "znikomy stopień szkodliwości społecznej".
• Samorząd lekarski początkowo nie dopatrywał się naruszeń, jednak później Naczelna Izba Lekarska zapewniła, że jej stanowisko jest zgodne z wyrokiem sądu.
• Eksperci prawni i przedstawiciele Naczelnej Izby Lekarskiej wskazują na potrzebę wzmocnienia ochrony danych pacjentów i odbudowania zaufania do środowiska lekarskiego.
• Sprawa nadal toczy się w postępowaniu karnym dotyczącym nieuczciwej konkurencji; lekarz ma status oskarżonego.

Kluczowy wniosek: Sąd uznał działania lekarza za naruszenie prawa i etyki zawodowej. Sprawa pokazuje, jak ważne jest respektowanie prawa do prywatności pacjenta i ścisła ochrona danych medycznych, które nie mogą być traktowane jako element bazy marketingowej.

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, zaapelował do ministra cyfryzacji Krzysztofa Gawkowskiego o rozpoczęcie prac legislacyjnych nad zmianą ustawy o ewidencji ludności. Propozycja dotyczy umożliwienia rodzicom lub opiekunom prawnym zastrzegania numeru PESEL dzieci, aby lepiej chronić je przed kradzieżą tożsamości.

• Aktualnie tylko osoby pełnoletnie mogą samodzielnie zastrzec swój numer PESEL.
• Osoby małoletnie są pozbawione możliwości skorzystania z tego narzędzia ochrony danych osobowych.
• PESEL dzieci może być narażony na wykorzystanie do nielegalnych działań, mimo że niektóre czynności prawne mogą być prawnie dokonywane przez osoby niepełnoletnie.
• W przypadku osób pełnoletnich z ograniczoną zdolnością do czynności prawnych, możliwe jest zastrzeżenie numeru PESEL przez opiekuna lub pełnomocnika.
• Analogiczne rozwiązania – udział rodzica lub opiekuna – funkcjonują już w przypadku wnioskowania o paszport lub dowód osobisty dla dziecka, co może stanowić uzasadnienie dla podobnych regulacji w zakresie PESEL.
• Prezes UODO ocenia, że obecny stan prawny powoduje istotną lukę w ochronie danych najmłodszych obywateli.
• W dobie postępującej cyfryzacji i wzrostu przypadków kradzieży danych osobowych, konieczne jest zapewnienie dzieciom lepszych zabezpieczeń.
• UODO deklaruje gotowość do udzielenia wsparcia eksperckiego przy projektowaniu odpowiednich zmian legislacyjnych.

Naczelny Sąd Administracyjny (NSA) rozstrzygnął, czy publikowanie postów z danymi osobowymi na zamkniętej grupie w mediach społecznościowych można uznać za działanie o charakterze osobistym lub domowym, a więc wykluczone z obowiązków wynikających z RODO. Sprawa dotyczyła opublikowania przez jednego z użytkowników zdjęcia kodu QR certyfikatu szczepienia innej osoby, wraz z jej imieniem i nazwiskiem, na licznej grupie na Facebooku.

• NSA uznał, że publikowanie danych osobowych na zamkniętej grupie w mediach społecznościowych nie mieści się w zakresie czynności o charakterze osobistym lub domowym.
• Oznacza to, że tego rodzaju działania podlegają przepisom RODO, nawet jeśli grupa jest zamknięta i użytkownik nie jest jej administratorem.
• Sąd wskazał, że kluczowe znaczenie ma brak bezpośredniej relacji autora wpisu z pozostałymi członkami grupy oraz brak kontroli nad jej składem personalnym.
• Przedmiotowa sprawa dotyczyła wpisu opublikowanego na liczącej ponad 6 tys. osób grupie, w którym ujawniono dane osobowe wraz z kodem QR dotyczące szczepienia przeciwko COVID-19.
• Autor wpisu twierdził, że dane były wcześniej publicznie dostępne na stronie internetowej, jednak sąd uznał, że nie upoważniało go to do ich dalszego rozpowszechniania.
• Prezes UODO uznał, że doszło do nielegalnego przetwarzania danych osobowych – zarówno zwykłych (imię, nazwisko), jak i szczególnych (dane medyczne dotyczące szczepienia).
• NSA podkreślił, że zgoda na przetwarzanie danych musi być wyraźna, konkretna i udzielona osobie, która je przetwarza – nie można domniemywać zgody na dalsze udostępnianie lub przetwarzanie tych danych.
• Sąd zakwestionował także argument „upublicznienia” danych – wskazując, że nie istnieje taka przesłanka legalności przetwarzania w RODO.
• Wyrok kreuje wyraźną granicę pomiędzy aktywnością osobistą a działaniem w przestrzeni społecznej, nawet w zamkniętym gronie użytkowników.

Wnioski:

• Udostępnianie danych osobowych w mediach społecznościowych, nawet w grupach zamkniętych, może podlegać RODO.
• Brak uzyskania wyraźnej zgody od osoby, której dane dotyczą, wyklucza legalność ich przetwarzania.
• Fakt wcześniejszego upublicznienia danych przez inną osobę nie zwalnia kolejnych użytkowników z obowiązku przestrzegania RODO.
• Pojęcie „czynności o charakterze osobistym lub domowym” dotyczy wyłącznie ściśle prywatnych działań i nie obejmuje aktywności online realizowanej w większych społecznościach.