Akt w sprawie danych już obowiązuje » Wzajemne zależności między DSA a RODO: EROD przyjmuje wytyczne » Wenecja ukarana za naruszenie RODO związane z podatkiem turystycznym » Poważny wyciek danych logowania Polaków » Wyłudzenia kodów BLIK – aresztowano liderów grupy » Cyfrowy Polsat uniknie kary ws. danych osobowych? Kolejna wygrana w sądzie » Prezes UODO wystąpił do Minister Zdrowia o zmiany w zasadach jawności dostępu danych w RPWDL
⬇️ Pobierz W PDF
Praktyczny poradnik o wdrażaniu RODO
Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: SprawdźAkt w sprawie danych już obowiązuje
- Od 12 września 2025 r. zacznie być bezpośrednio stosowany we wszystkich państwach Unii Europejskiej Akt w sprawie danych (Rozporządzenie (UE) 2023/2854). To element realizacji Europejskiej strategii w zakresie danych i kolejny krok po Akcie w sprawie zarządzania danymi.
- Akt w sprawie danych ma na celu zapewnienie sprawiedliwego dostępu do danych i ich wykorzystywania, przy jednoczesnym zachowaniu ochrony danych osobowych.
- Regulacja dotyczy głównie danych generowanych przez użytkowników podczas korzystania z urządzeń (np. internet rzeczy) i usług (np. chmurowych).
- Wprowadza ramy prawne umożliwiające wymianę danych:
- między przedsiębiorstwami,
- między przedsiębiorstwami a konsumentami,
- między przedsiębiorstwami a administracją publiczną.
- Ułatwia zmianę dostawcy usług chmurowych oraz wprowadza standardy interoperacyjności międzyplatformowej.
- Akt nie zastępuje ani nie wyłącza RODO – pozostaje z nim spójny i komplementarny. RODO nadal obowiązuje w przypadku przetwarzania danych osobowych.
- W przypadku sprzeczności pomiędzy Aktem a RODO lub krajowymi przepisami dotyczącymi prywatności i ochrony danych – pierwszeństwo mają przepisy o ochronie danych osobowych.
- Użytkownicy będący osobami, których dane dotyczą, otrzymują dodatkowe prawa wynikające z Aktu – uzupełniające względem praw gwarantowanych przez RODO (np. prawo dostępu i prawo do przenoszenia danych).
- Każde państwo członkowskie musi wdrożyć krajowe przepisy, by zapewnić pełną skuteczność Aktu – w Polsce trwają prace legislacyjne nad odpowiednią ustawą.
- Prezes UODO zadeklarował gotowość do opiniowania projektu ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu jako organ nadzorujący ochronę danych osobowych w Polsce.
- Organy ochrony danych osobowych (np. UODO) będą odpowiedzialne za monitorowanie stosowania Aktu w zakresie ochrony danych osobowych.
- Komisja Europejska opublikowała odpowiedzi na najczęściej zadawane pytania dotyczące rozporządzenia, aby ułatwić jego zrozumienie i wdrożenie.
Wzajemne zależności między DSA a RODO: EROD przyjmuje wytyczne
- Europejska Rada Ochrony Danych (EROD) opublikowała wytyczne dotyczące relacji między rozporządzeniem o ochronie danych osobowych (RODO) a aktem o usługach cyfrowych (DSA), które mają zapewnić spójność tych regulacji w Unii Europejskiej.
- Cel nowych wytycznych: Zapewnienie spójnego stosowania RODO i DSA, szczególnie w obszarach wspólnych, takich jak przetwarzanie danych osobowych przez platformy internetowe.
- O DSA: Akt o usługach cyfrowych ma na celu zwiększenie ochrony praw podstawowych użytkowników w internecie, w tym wolności wypowiedzi, oraz regulację działalności pośredników internetowych, takich jak platformy i wyszukiwarki.
- Zakres wspólnych regulacji: Wytyczne skupiają się m.in. na:
- systemach zgłaszania nielegalnych treści,
- systemach rekomendacji treści na platformach,
- zasadach dotyczących ochrony prywatności i bezpieczeństwa małoletnich,
- zakazie reklamy profilowanej wobec dzieci i wykorzystującej szczególne kategorie danych,
- przejrzystości reklam internetowych.
- Współpraca między organami: EROD udziela praktycznych wskazówek dotyczących koordynacji działań między organami regulacyjnymi, by ułatwić egzekwowanie przepisów i zwiększyć pewność prawną dla podmiotów świadczących usługi online.
- Konsultacje publiczne: Wytyczne zostaną poddane konsultacjom publicznym, co umożliwi zainteresowanym stronom wniesienie własnych uwag.
- Kolejne działania: EROD pracuje nad wytycznymi dotyczącymi relacji między RODO a innymi unijnymi regulacjami cyfrowymi, takimi jak akt o rynkach cyfrowych (DMA) i akt o sztucznej inteligencji (AI Act).
- Znaczenie wytycznych: Stanowią istotny krok w stronę stworzenia spójnego systemu regulacji cyfrowych w Unii Europejskiej, służącego lepszej ochronie praw podstawowych obywateli.
Wenecja ukarana za naruszenie RODO związane z podatkiem turystycznym
- Artykuł dotyczy oceny legalności przetwarzania danych osobowych związanych z systemem poboru tzw. "contributo d’accesso" (opłat za dostęp do Wenecji) przez Władze Miasta Wenecji, w świetle przepisów RODO oraz włoskiego kodeksu ochrony danych osobowych.
- W 2019 r. Wenecja uchwaliła regulamin wprowadzający obowiązek wniesienia opłaty za dostęp do miasta, alternatywny wobec podatku turystycznego.
- Wprowadzono wyjątki i zwolnienia z opłaty, m.in. dla mieszkańców, studentów, pracowników, osób z niepełnosprawnościami, uczestników wydarzeń kulturalnych i sportowych, odwiedzających krewnych czy osoby korzystające z noclegu w obiektach zarejestrowanych w systemie.
- W celu potwierdzenia uprawnień do zwolnienia, użytkownik musiał dokonać prerejestracji w portalu internetowym i otrzymać QR-code.
- Gwarant Ochrony Danych Osobowych (Garante Privacy) przeprowadził dogłębną kontrolę prawną i techniczną, analizując zgodność systemu z RODO.
- Stwierdzono szereg naruszeń zasad RODO, m.in.:
- brak proporcjonalności przetwarzania danych w stosunku do celów (zbieranie danych osób zwolnionych z opłaty, mimo że ich dokumenty mogłyby zostać okazane tylko w razie kontroli);
- niewystarczająca podstawa prawna przetwarzania, zwłaszcza przy braku rzeczywistego wykorzystania danych do regulacji ruchu turystycznego;
- zbyt długi i nieproporcjonalny czas przechowywania danych;
- niewystarczające zabezpieczenia systemów totemów (punkty rejestracji publicznej), co mogło prowadzić do wycieku danych;
- ryzyko nieuprawnionej identyfikacji osób na podstawie nieanonimizowanych (pseudonimizowanych) danych na QR-code.
- Choć miasto wprowadziło w trakcie kontroli część modyfikacji (np. kategorie „inne zwolnienia”, skrócenie przechowywania danych, poprawki bezpieczeństwa totemów), nie były one wystarczające do całkowitego usunięcia naruszeń.
- Gwarant uznał przetwarzanie danych osobowych przez Miasto Wenecja za niezgodne z RODO i nakazał:
- wprowadzenie dalszych zmian w systemie prerejestracji i zbierania danych,
- minimalizację zbieranych danych,
- suspensję zbierania danych gości zaproszonych przez mieszkańców,
- precyzyjne wskazanie zasad i danych wykorzystywanych w ewentualnych kontrolach następczych.
- Wydano nakaz dostosowania systemu do przepisów w ciągu 30 dni.
- Nałożono administracyjną karę pieniężną w wysokości 10.000 euro na Miasto Wenecję.
- Nałożono obowiązek publikacji decyzji na stronie internetowej Gwaranta.
Poważny wyciek danych logowania Polaków
- Na jednym z popularnych forów hakerskich opublikowano plik zawierający dane logowania ponad 140 tys. użytkowników z Polski, w tym także adresy e-mail z domeny
gov.pl. - Plik zawiera ponad 200 tys. linijek danych – każda linijka składa się z adresu URL strony, loginu lub adresu e-mail oraz hasła zapisanego w formie jawnej (tekstowej).
- Źródłem wycieku prawdopodobnie jest złośliwe oprogramowanie tzw. infostealer, które kradnie dane logowania z komputerów ofiar.
- Wśród ujawnionych loginów są adresy do mediów społecznościowych, kont e-mail i innych popularnych serwisów, co zwiększa ryzyko dalszych przejęć kont.
- Wyciek jest szczególnie niebezpieczny dla osób używających tych samych haseł w wielu serwisach – jedno przejęte konto może umożliwić dostęp do innych usług.
- Część danych jest stosunkowo świeża – wiele haseł zawiera końcówki z lat 2022–2025, co sugeruje, że pochodzą z niedawnych wycieków.
- Zalecenia bezpieczeństwa: używanie silnych i unikalnych haseł dla każdego konta oraz aktywacja dwuetapowego uwierzytelniania znacząco zmniejsza ryzyko przejęcia konta.
Wyłudzenia kodów BLIK - aresztowano liderów grupy
- Przestępstwa związane z wyłudzaniem kodów płatności BLIK to jedno z najczęściej występujących oszustw internetowych w Polsce. Ofiary często przekazują pieniądze, będąc zmanipulowane przez przestępców podszywających się pod znajomych lub sprzedających w mediach społecznościowych.
- Zatrzymania: Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) zatrzymało dwóch mężczyzn podejrzanych o kierowanie zorganizowaną grupą przestępczą wyłudzającą kody BLIK.
- Skala przestępstwa: Podejrzewa się, że ofiarą oszustów mogło paść kilka tysięcy osób z całej Polski, a straty mogą sięgać kilku milionów złotych.
- Metoda działania: Przestępcy przejmowali konta w mediach społecznościowych, by podszywać się pod znajomych ofiar i prosić o przelanie pieniędzy przy użyciu kodu BLIK.
- Zakres działań organów ścigania: Dochodzenie prowadził Zarząd CBZC w Białymstoku, jednak działania objęły również inne miasta, m.in. Szczecin. Współpraca przebiegała pod nadzorem Prokuratury Rejonowej w Hajnówce.
- Dowody i zabezpieczenia: Policja zabezpieczyła różne środki finansowe, pojazdy, sprzęt wykorzystywany w przestępstwie oraz sztabki złota.
- Areszt tymczasowy: Zatrzymani mężczyźni decyzją sądu zostali tymczasowo aresztowani na 3 miesiące.
- Stan śledztwa: Postępowanie ma charakter rozwojowy i możliwe są kolejne zatrzymania.
Cyfrowy Polsat uniknie kary ws. danych osobowych? Kolejna wygrana w sądzie
- Sprawa dotyczy grzywny nałożonej na Cyfrowy Polsat przez prezesa Urzędu Ochrony Danych Osobowych (UODO) w związku z naruszeniami ochrony danych osobowych.
- W 2021 roku UODO nałożył na Cyfrowy Polsat karę w wysokości 1,13 mln zł za niedostateczne zabezpieczenie danych osobowych przekazywanych klientom drogą korespondencyjną.
- Naruszenia dotyczyły m.in. przypadków zgubienia przesyłek przez firmę kurierską oraz dostarczania ich niewłaściwym adresatom. W przesyłkach znajdowały się dane takie jak numer umowy, ID kontraktu i numery faktur.
- UODO uznał, że Cyfrowy Polsat jako administrator danych nie wdrożył odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec takim incydentom i umożliwić ich szybsze wykrycie.
- Wskazano, że osoby, których dane wyciekły, nie zostały odpowiednio poinformowane, przez co mogły nie być świadome ryzyka np. kradzieży tożsamości.
- Cyfrowy Polsat zaskarżył decyzję, twierdząc, że UODO nie wykazał wystarczająco, iż spółka nie zapewniła odpowiednich zabezpieczeń.
- Wojewódzki Sąd Administracyjny uchylił decyzję UODO, argumentując, że nie wyjaśniono wszystkich okoliczności sprawy i nie udowodniono, że spółka naruszyła przepisy RODO.
- UODO wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA), jednak NSA oddalił skargę, uznając, że kara została nałożona bez wystarczającego uzasadnienia.
- NSA podkreślił, że UODO nie wskazał podstaw uznania firmy za odpowiedzialną z art. 32 ust. 1 i 2 RODO za dane klientów, których dotyczyły naruszenia.
Prezes UODO wystąpił do Minister Zdrowia o zmiany w zasadach jawności dostępu danych w RPWDL
- Prezesa Urzędu Ochrony Danych Osobowych (UODO) apeluje do Ministra Zdrowia o zmianę przepisów regulujących jawność danych osobowych zawartych w Rejestrze Podmiotów Wykonujących Działalność Leczniczą (RPWDL).
- Prezes UODO, Mirosław Wróblewski, postuluje ograniczenie pełnej jawności danych osób wpisanych do RPWDL w celu zapewnienia większej ochrony prywatności i bezpieczeństwa.
- Postulat związany jest z obawami dotyczącymi bezpieczeństwa lekarzy i innych osób wykonujących zawody medyczne, których dane – w tym imię, nazwisko, adres zamieszkania i miejsce udzielania świadczeń – są publicznie dostępne.
- UODO zauważa, że obecna jawność danych w rejestrze może prowadzić do poważnych zagrożeń, takich jak nękanie, kradzieże, niechciany marketing, a nawet przemoc.
- Organ nadzorczy podkreśla, że cele kontroli społecznej i transparentności powinny być zrównoważone z prawem jednostki do prywatności i ochrony danych osobowych zgodnie z RODO i Konstytucją RP.
- Propozycje zmian obejmują m.in.:
- Wprowadzenie możliwości ukrycia danych adresowych i kontaktowych przez osoby wpisane do RPWDL.
- Ograniczenie publicznego dostępu tylko do niezbędnych danych – np. numeru prawa wykonywania zawodu.
- Udostępnianie pozostałych informacji tylko na wniosek i przy wykazaniu uzasadnionego interesu prawnego.
- Rozważenie sankcji za nieuprawnione wykorzystanie danych z RPWDL.
- Prezes UODO zwrócił uwagę, że obowiązujące przepisy RPWDL nie były aktualizowane od ponad 9 lat, mimo pojawienia się nowych zagrożeń cyfrowych i zmieniających się warunków społecznych.
- UODO deklaruje gotowość do udziału w pracach legislacyjnych i oferuje wsparcie eksperckie.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.