RODO aktualności – 23.12.2025 r. 

• Kontekst sprawy: Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną Banku Millennium, dotyczącą nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) kary pieniężnej za naruszenie przepisów o ochronie danych osobowych.
• Przyczyna nałożenia kary: Bank Millennium nie zgłosił naruszenia ochrony danych osobowych do UODO i nie poinformował osób, których dane dotyczyły, mimo że doszło do zagubienia przesyłki z danymi klientów przez firmę kurierską.
• Rodzaj ujawnionych danych: Zgubiona korespondencja zawierała m.in. imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych oraz identyfikatory klientów.
• Stanowisko banku: Bank uznał, że incydent nie wymagał zgłoszenia, ponieważ ocenił ryzyko jako średnie. Twierdził również, że administratorem danych była firma kurierska, która w momencie zagubienia przesyłki miała nad nią kontrolę.
• Decyzja Prezesa UODO: Uznał, że bank jako administrator nie dopełnił obowiązku zgłoszenia naruszenia do organu nadzorczego (art. 33 RODO) oraz nie powiadomił osób, których dane dotyczą (art. 34 RODO). Nałożył karę administracyjną w wysokości ponad 350 tys. zł.
• Orzeczenie Wojewódzkiego Sądu Administracyjnego (WSA): Podtrzymał decyzję Prezesa UODO, uznając, że bank był administratorem i powinien zgłosić incydent, nawet przy średnim poziomie ryzyka dla osób, których dane dotyczą.
• Skarga kasacyjna banku: Bank Millennium złożył skargę do NSA, zarzucając m.in. błędną interpretację prawa przez WSA i brak analizy skuteczności oraz proporcjonalności nałożonej kary.
• Wyrok NSA: NSA oddalił skargę banku, podtrzymując wcześniejsze orzeczenia i uznając, że odpowiedzialność za przetwarzanie danych oraz obowiązki wynikające z RODO spoczywały na banku (sygn. III OSK 2416/22).

Kontekst: Artykuł dotyczy naruszenia przepisów o ochronie danych osobowych przez dwóch polityków – posła Michała Wosia i europosła Waldemara Budę – oraz ich braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych (UODO) w toku prowadzonego postępowania wyjaśniającego.

• W kampanii prezydenckiej Michał Woś i Waldemar Buda ujawnili dane osobowe osób niepełniących funkcji publicznych w kontekście sprawy eksmisyjnej.
• Upublicznienie takich danych podlega przepisom RODO i może mieć miejsce tylko w przypadku istnienia odpowiedniej podstawy prawnej.
• Prezes UODO, Mirosław Wróblewski, wezwał polityków do złożenia wyjaśnień – jego pisma zostały jednak zignorowane, mimo właściwego doręczenia.
• Brak odpowiedzi na wezwania UODO stanowi naruszenie obowiązków administratora danych wynikających z RODO i może skutkować nałożeniem kar finansowych.
• W związku z brakiem współpracy z organem nadzorczym UODO wszczął postępowania administracyjne wobec obu polityków.
• Nieodbieranie urzędowej korespondencji, mimo posiadania biur poselskich, uznane zostało za poważny problem utrudniający prowadzenie postępowań i skuteczną ochronę danych.
• UODO podkreśla, że nieudzielanie informacji może skutkować rozstrzygnięciem sprawy na niekorzyść administratora, na podstawie dostępnych dowodów.
• Organ przypomina o potrzebie odpowiedzialnego odbierania korespondencji urzędowej i wskazuje, że taktyka unikania kontaktu z UODO nie eliminuje obowiązków administratora danych.
• Wprowadzenie systemu e-doręczeń ma na celu poprawę skuteczności i szybkości doręczeń – część instytucji zostanie zobowiązana do korzystania z elektronicznych skrzynek pocztowych.

• Kontekst: Artykuł porusza temat dopuszczalności monitoringu w przestrzeniach wspólnych oraz granic pomiędzy ochroną mienia a nadmierną ingerencją w prywatność mieszkańców. Sprawa ta została podniesiona na nowo w wyniku decyzji belgijskiego organu ochrony danych (APD) dotyczącej domu studenckiego, w którym zastosowano nieproporcjonalny system monitoringu CCTV.
• Zakres sprawy: Jeden z lokatorów złożył skargę na monitoring obejmujący kuchnię, taras, wejście do budynku i przestrzeń publiczną. Kamery nagrywały bez przerwy od 2018 roku.
• Stanowisko właściciela: Właściciel tłumaczył montaż kamer koniecznością zapewnienia bezpieczeństwa, utrzymania porządku i reagowania na naruszenia regulaminu oraz incydenty w otoczeniu.
• Wnioski APD: Organ uznał argumenty właściciela za niewystarczające – szeroki zakres monitoringu był nieproporcjonalny do celów oraz nieoparty na ważnej podstawie prawnej, co naruszało przepisy RODO.
• Naruszenie zasad RODO:
  • Brak odpowiedniej podstawy prawnej dla przetwarzania danych (art. 5 ust. 1 lit. a i art. 6 ust. 1 RODO).
  • Naruszenie zasady minimalizacji danych – kamery obejmowały także przestrzeń publiczną i sąsiednie posesje.
  • Brak rejestru czynności przetwarzania dla wszystkich kamer.
• Brak działań naprawczych: Właściciel nie podjął żadnych środków ograniczających zasięg monitoringu ani nie wdrożył zabezpieczeń technicznych czy organizacyjnych.
• Konsekwencje: Na właściciela nałożono karę administracyjną w wysokości 9 700 euro. Decyzja ta podkreśla konieczność stosowania monitoringu wyłącznie w sposób proporcjonalny, uzasadniony i zgodny z RODO.
• Wnioski praktyczne: Organizacje stosujące monitoring muszą:
  • Określić i regularnie weryfikować potrzeby stosowania kamer.
  • Ograniczyć zakres nagrywania do niezbędnego minimum.
  • Dokumentować procesy przetwarzania danych i zapewniać środki ograniczające ingerencję w prywatność.

• Kontekst: Artykuł dotyczy realizacji prawa do usunięcia danych osobowych zgodnie z art. 17 RODO oraz obowiązków administratorów w zakresie usuwania danych także z kopii zapasowych systemów informatycznych.
• Administrator danych osobowych nie może odmówić realizacji żądania usunięcia danych, jeżeli spełnione są przesłanki określone w przepisach RODO.
• Usuwanie danych osobowych powinno obejmować również kopie zapasowe, a brak możliwości technicznej nie jest uzasadnieniem do odmowy realizacji żądania.
• Systemy do tworzenia kopii zapasowych muszą być projektowane w zgodzie z RODO, zgodnie z zasadą ochrony danych w fazie projektowania (privacy by design), by umożliwić m.in. usuwanie danych.
• Przechowywanie danych w kopii zapasowej też jest formą ich przetwarzania, więc podlega tym samym obowiązkom co inne formy przetwarzania danych.
• Administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby wykazać zgodność z przepisami RODO – dotyczy to także zarządzania kopiami zapasowymi.
• Brak możliwości usunięcia pojedynczych danych z kopii zapasowej nie jest przesłanką do odmowy ich usunięcia – jeśli trzeba, administrator może odtworzyć kopię, usunąć dane i wykonać nowy backup.
• UODO podkreśla, że jedynie wskazane w art. 17 ust. 3 RODO przesłanki mogą usprawiedliwiać brak realizacji żądania usunięcia danych (m.in. interes publiczny, prawo do wolności wypowiedzi, cele naukowe czy dochodzenie roszczeń).
• Stanowisko UODO jest spójne z wcześniejszymi zaleceniami Ministerstwa Cyfryzacji zawartymi w dokumencie „RODO – Informator”.

• Kontekst sprawy: Artykuł omawia wyrok Naczelnego Sądu Administracyjnego (NSA) dotyczący przetwarzania danych osobowych przez spółdzielnię mieszkaniową w odniesieniu do właściciela lokalu, który nie jest jej członkiem.
• Obowiązki właścicieli niemieszkających w spółdzielni: Również osoby niebędące członkami spółdzielni mieszkaniowych mają obowiązek ponoszenia opłat związanych z eksploatacją i utrzymaniem lokali oraz nieruchomości wspólnej.
• Podstawa przetwarzania danych: Spółdzielnie mieszkaniowe mają prawo do przetwarzania danych osobowych właścicieli lokali na podstawie ustawy o spółdzielniach mieszkaniowych oraz zgodnie z art. 6 ust. 1 lit. c) RODO, czyli gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych.
• Zakres przetwarzania danych: Do prowadzenia ewidencji opłat oraz rozliczeń niezbędne są dane takie jak imię, nazwisko oraz adres lokalu – i ich przetwarzanie jest zgodne z prawem.
• Naruszenie ochrony danych: Spółdzielnia bezprawnie udostępniła dane właściciela pozostałym mieszkańcom, wrzucając do skrzynek pismo z informacją o zaległościach płatniczych. Takie działanie naruszyło przepisy o ochronie danych osobowych.
• Ocena UODO: Urząd Ochrony Danych Osobowych (UODO) uznał, że przetwarzanie danych w rejestrze spółdzielni było legalne, ale nie znalazł podstawy prawnej do ich udostępnienia innym członkom bez zgody zainteresowanej osoby.
• Wyrok NSA: NSA potwierdził, że spółdzielnia mieszkaniowa miała prawo przetwarzać dane osobowe w związku ze zobowiązaniami finansowymi właściciela lokalu. Wyrok jest prawomocny (sygnatura akt: III OSK 2495/22).

• Kontekst: W grudniu, w okresie wzmożonej aktywności online – od zakupów prezentów po planowanie podróży – szczególnie ważna staje się umiejętność bezpiecznego i świadomego korzystania z technologii.
• Cyfrowa uważność: To podejście, które polega na zatrzymaniu się i świadomym podejmowaniu decyzji dotyczących korzystania z urządzeń i internetu – pomaga chronić dane i uniknąć oszustw.
• Korzyści cyfrowej uważności:
  • Unikanie impulsywnego korzystania z technologii
  • Krytyczne podejście do treści i ofert napotykanych w sieci
  • Rozpoznawanie prób manipulacji, np. w fałszywych wiadomościach
  • Naturalne dbanie o cyfrowe bezpieczeństwo
• Cyberhigiena – podstawowe zasady, które warto stosować:
  • Aktualizacje oprogramowania: Regularne aktualizacje systemu i aplikacji chronią przed znanymi zagrożeniami.
  • Silne, unikalne hasła: Każde konto powinno mieć inne, trudne do odgadnięcia hasło, najlepiej zarządzane przez menedżer haseł.
  • Dwuskładnikowe uwierzytelnianie (2FA): Dodatkowa warstwa zabezpieczeń chroni konta nawet w przypadku wycieku haseł.
  • Ostrożność wobec pilnych wiadomości i linków: W święta szczególnie częste są próby oszustw (np. fałszywe informacje o paczkach).
  • Regularne kopie zapasowe: Tworzenie backupów chroni przed utratą ważnych danych w razie awarii lub ataku.
• Świąteczna równowaga cyfrowa: Świadome korzystanie z technologii i troska o bezpieczeństwo w sieci pozwalają zachować spokój i skupić się na tym, co najważniejsze — bliskich relacjach i odpoczynku.

• Kontekst: Artykuł dotyczy sankcji nałożonej przez francuski organ ochrony danych osobowych (CNIL) na spółkę AMERICAN EXPRESS CARTE FRANCE za naruszenia związane z wykorzystywaniem plików cookie.
• Wysokość kary: CNIL nałożył grzywnę w wysokości 1,5 miliona euro w listopadzie 2025 roku.
• Powód kary: Naruszenie zasad dotyczących zgody użytkowników na stosowanie plików cookie, zgodnie z artykułem 82 francuskiej ustawy o ochronie danych osobowych.
• Zakres naruszeń:
  • Umieszczanie plików cookie na urządzeniach użytkowników bez ich uprzedniej zgody – już przy wejściu na stronę.
  • Umieszczanie plików cookie w celach reklamowych mimo wyraźnej odmowy wyrażenia zgody przez użytkownika.
  • Czytanie wcześniej zapisanych plików cookie mimo późniejszego wycofania zgody przez użytkownika.
• Dodatkowe czynniki wpływające na wysokość kary:
  • Jasność i długoletnia znajomość przepisów dotyczących plików cookie, promowanych przez CNIL.
  • Fakt, że firma dostosowała się do wymagań w trakcie postępowania.
• Informacje o firmie: AMERICAN EXPRESS CARTE FRANCE to francuska filia Grupy AMERICAN EXPRESS, jednej z największych instytucji finansowych na świecie.

Kontekst: Artykuł omawia orzeczenie Sądu Administracyjnego w Wiesbaden (sprawa 6 K 996/22.WI), które dotyczyło przetwarzania danych osobowych przez firmę paydirekt GmbH – dostawcę usług płatniczych – w kontekście płatności za zakupy w aptece internetowej i internetowym sex shopie. Orzeczenie odnosi się do interpretacji przepisów RODO, w szczególności uzasadnionego interesu oraz ochrony danych wrażliwych.

• Sąd zakwestionował praktykę przechowywania szczegółowych danych o zawartości koszyka zakupowego (w tym nazw produktów) jako potencjalnie niezgodną z RODO.
• Podkreślono, że uzasadniony interes biznesowy (np. ograniczenie porzucania transakcji) nie zawsze przeważa nad prawem użytkowników do prywatności i ochrony danych.
• Wskazano, że istnieją mniej inwazyjne środki osiągnięcia tych samych celów, np. użycie ogólnych identyfikatorów produktów zamiast ich pełnych nazw.
• Sąd wyraził zastrzeżenia wobec decyzji Heskiego organu nadzorczego (Hessian DPA) o wykluczeniu zastosowania art. 9 RODO, który dotyczy danych wrażliwych, takich jak informacje zdrowotne lub dotyczące życia seksualnego.
• Orzeczono, że zakupy w aptece internetowej lub sex shopie mogą potencjalnie ujawniać wrażliwe informacje, co oznacza, że art. 9 RODO może mieć zastosowanie.
• Sąd stwierdził, że organ nadzorczy nie przeanalizował wystarczająco, czy istnieją mniej inwazyjne sposoby zapobiegania oszustwom niż dostęp do pełnych informacji o produktach.
• Ostatecznie uznano, że gdyby sprawa nie stała się bezprzedmiotowa (firma zaprzestała działalności i usunęła dane), skarżący miałby szanse na korzystną decyzję, dlatego nakazano organowi nadzorczemu pokrycie kosztów postępowania.
• Wyrok sądu oznacza odejście od restrykcyjnego podejścia Heskiego DPA wobec ochrony danych wrażliwych wynikających z treści koszyka zakupowego.