RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 24.02.2026 r. 

  RODO aktualności

Norwegia: 25 000 euro kary za odmówienie byłym pracownikom dostępu do danych»NSA o niezbędności monitoringu wizyjnego»Nie ma takiego numeru – Prezes UOKiK stawia zarzuty spółce zarządzającej platformami Facebook i Instagram»Prof. Grzegorz Sibiga: Mamy lukę w prawie. Ustawa o ochronie ludności poza RODO»UK: MediaLab ukarany grzywną za naruszenia dotyczące prywatności dzieci»Atak hakerski na Uniwersytecie Warszawskim. Jest potwierdzenie»Nie będzie kamer nasobnych dla ratowników medycznych»Tworzenie agentów AI w organizacji – czy to już zautomatyzowane przetwarzanie?»

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Norwegia: 25 000 euro kary za odmówienie byłym pracownikom dostępu do danych

  • Kontekst: Norweski Urząd Ochrony Danych (DPA) nałożył na Timegrip AS grzywnę 250 000 NOK (ok. 25 000 euro) za to, że po bankructwie pracodawcy bezprawnie odmówił byłym pracownikom dostępu do rejestrów czasu pracy oraz błędnie przedstawiał swoją rolę jako wyłącznie „podmiot przetwarzający”, mimo że w praktyce kontrolował dane.
  • Czego dotyczyły dane: Timegrip obsługiwał cyfrowy system rejestracji wejść i wyjść (karty czasu pracy) wykorzystywany do rozliczeń płacowych w sieci detalicznej.
  • Co się stało po upadłości: Po ogłoszeniu upadłości firmy detalicznej w marcu 2020 r. ok. 80 pracowników potrzebowało kopii kart czasu pracy, aby udokumentować roszczenia o niewypłacone wynagrodzenia wobec masy upadłościowej.
  • Wnioski o dostęp do danych: Zarówno syndyk/masa upadłości, jak i pracownicy złożyli wnioski o dostęp w oparciu o art. 15 RODO (prawo dostępu do danych i kopii danych).
  • Stanowisko Timegrip (odmowa): Firma argumentowała, że:
    • umowa powierzenia przetwarzania „skończyła się” wraz z bankructwem,
    • nie ma już „administratora” (kontrolera), który mógłby wydawać instrukcje,
    • w związku z tym Timegrip nie ma prawa ani obowiązku ujawniać danych, chyba że zostanie zawarta nowa, płatna umowa,
    • przygotowanie arkuszy/kart czasu pracy to coś więcej niż udostępnienie „surowych danych” i miałoby rzekomo nielegalnie zmieniać jego rolę na administratora.
  • Ocena urzędu (kluczowy wniosek): DPA odrzucił tę interpretację jako sprzeczną z logiką RODO, podkreślając, że każde przetwarzanie musi mieć podmiot odpowiedzialny (administratora).
  • Dlaczego Timegrip został uznany za administratora: Urząd wskazał, że gdy podmiot przetwarzający działa bez instrukcji lub poza umową, to zgodnie z art. 28 ust. 10 RODO może stać się administratorem dla danego przetwarzania. W praktyce po upadłości Timegrip był jedynym podmiotem mającym techniczną i faktyczną kontrolę nad danymi z rejestru czasu pracy.
  • Nowe cele i interes handlowy: DPA zauważył, że uzależnienie udostępnienia danych od płatności i nowej umowy oznaczało, że Timegrip realizował cele związane z własnym interesem biznesowym, a nie działał wyłącznie „w imieniu” innego podmiotu.
  • Skutek prawny: Jako administrator Timegrip był zobowiązany stosować art. 15 ust. 1 i 15 ust. 3 RODO, w tym wydać kopię danych osobowych bezpłatnie. Odmowa została uznana za naruszenie praw osób, których dane dotyczą.
  • Dlaczego kara była istotna: Naruszenie dotknęło ok. 80 osób w trudnej sytuacji (spór o wypłaty po upadłości), a urząd uznał je za na tyle poważne, że uzasadniało administracyjną grzywnę, mimo długiego czasu trwania postępowania.
Źródło

NSA o niezbędności monitoringu wizyjnego

  • Kontekst sprawy: Naczelny Sąd Administracyjny (NSA) oceniał legalność monitoringu wideo prowadzonego przez firmę zarządzającą poborem wody, gdy kamery ustawione na dzierżawionych terenach leśnych obejmowały także prywatną posesję sąsiadów.
  • Wyrok: 6 lutego 2026 r. (III OSK 2014/24) NSA oddalił skargę firmy na decyzję polskiego organu ochrony danych (DPA/UODO), który nakazał zaprzestanie przetwarzania danych osobowych w tym zakresie oraz udzielił upomnienia.
  • Co uruchomiło postępowanie: Skargi złożyli właściciele sąsiednich działek oraz osoby regularnie przebywające w okolicy (teren żwirowni w tym rejonie).
  • Ustalenia organu (DPA/UODO) o działaniu systemu:
    • monitoring umożliwiał ciągłe nagrywanie,
    • nagrania były przechowywane przez 10 dni,
    • rejestrowano wizerunki umożliwiające identyfikację osób przebywających na monitorowanym terenie,
    • brakowało jakichkolwiek informacji/oznakowań o monitoringu, a osoby nie zostały poinformowane.
  • Stanowisko firmy: Spółka twierdziła, że monitoring był potrzebny wyłącznie do ochrony ujęcia wody i strefy ochronnej przed zanieczyszczeniem.
  • Najważniejsze naruszenia wskazane przez organ:
    • brak ważnej podstawy prawnej przetwarzania (art. 6 ust. 1 RODO),
    • naruszenie zasad: legalności i przejrzystości oraz ograniczenia celu (art. 5 ust. 1 lit. a i b RODO),
    • niespełnienie zasady rozliczalności (art. 5 ust. 2 RODO),
    • naruszenie obowiązków informacyjnych (art. 13 RODO).
  • Decyzja organu: nakaz zaprzestania przetwarzania dotyczącego zidentyfikowanych osób (w praktyce – w tej formie monitoringu) oraz upomnienie na podstawie art. 58 ust. 2 lit. b i d RODO.
  • Etapy sądowe: Wojewódzki Sąd Administracyjny utrzymał decyzję, a następnie NSA odrzucił skargę kasacyjną firmy.
  • Dlaczego NSA nie przyjął argumentów spółki:
    • nie potwierdził zarzucanych błędów proceduralnych ani wad w ustaleniach faktycznych,
    • uznał, że nakaz zaprzestania monitoringu był konkretny i możliwy do wykonania,
    • nie zgodził się z interpretacją spółki dotyczącą „uzasadnionego interesu” (art. 6 ust. 1 lit. f RODO).
  • Kluczowa teza o „uzasadnionym interesie” (art. 6 ust. 1 lit. f RODO): aby się na niego powołać, trzeba ściśle wykazać konieczność przetwarzania i przeprowadzić realne ważenie interesów (interes firmy vs. prawa osób).
  • Jak NSA rozumie „konieczność”: jako niezbędność – jeżeli cel da się osiągnąć mniej ingerującymi metodami, to warunek nie jest spełniony.
  • Co podważyło „niezbędność” monitoringu: istnienie ustawowych środków ochrony ujęcia wody oraz możliwych alternatywnych rozwiązań technicznych sprawiło, że nagrywanie sąsiednich prywatnych terenów nie było uznane za konieczne.
  • Wizerunek jako dane osobowe: NSA potwierdził, że obraz osoby jest daną osobową, gdy możliwa jest identyfikacja.
  • Ocena ingerencji w prywatność: systematyczny nadzór wideo został uznany za jedną z najbardziej inwazyjnych form ingerencji w prawa jednostki.
  • Ważny element uzasadnienia: NSA ujął ocenę w kategoriach konstytucyjnych (art. 47 i 51 Konstytucji RP) oraz odwołał się do koncepcji samostanowienia informacyjnego.
  • Wniosek końcowy: w tych okolicznościach interesy ekonomiczne i środowiskowe firmy nie przeważyły nad prawami osób do prywatności i autonomii informacyjnej, dlatego zakwestionowany monitoring nie mógł być oparty na „uzasadnionym interesie”.
Źródło

Nie ma takiego numeru – Prezes UOKiK stawia zarzuty spółce zarządzającej platformami Facebook i Instagram

  • Kontekst: Facebook i Instagram są dla wielu osób codziennym narzędziem do komunikacji, tworzenia społeczności, dzielenia się treściami, sprzedaży i rozrywki. Założenie konta i korzystanie z platformy oznacza zawarcie umowy z jej właścicielem. Gdy pojawia się problem (np. przejęcie konta, spór o płatność, utrata dostępu), naturalne jest oczekiwanie szybkiego i bezpośredniego kontaktu z platformą.
  • Problem opisany w artykule: konsumenci w praktyce często mają możliwość kontaktu z serwisami społecznościowymi głównie przez formularze online, co utrudnia skuteczną komunikację i szybkie rozwiązanie sprawy.
  • Co mówi prawo: przedsiębiorca zawierający z konsumentem umowę na odległość ma obowiązek najpóźniej w chwili zawierania umowy jasno i zrozumiale poinformować o skutecznych kanałach kontaktu, w tym o adresie e-mail i numerze telefonu (art. 12 ust. 1 pkt 3 ustawy o prawach konsumenta).
  • Stanowisko UOKiK: jeśli firma zarabia na użytkownikach (np. z reklam albo z płatnej wersji bez reklam), powinna zapewnić im realną możliwość kontaktu, aby można było szybko:
    • wyjaśnić problem,
    • złożyć reklamację,
    • zgłosić naruszenie,
    • zgłosić pilną sprawę dotyczącą bezpieczeństwa konta.
  • Wątpliwości dotyczące spółki Meta: Prezes UOKiK wskazuje, że istnieją poważne wątpliwości, czy Meta spełnia obowiązek podania jasnych i skutecznych kanałów kontaktu dla użytkowników Facebooka i Instagrama.
  • Jak wygląda kontakt według regulaminów: regulaminy Facebooka i Instagrama (będące częścią umowy z konsumentami) nie podają adresu e-mail ani numeru telefonu przeznaczonych do kontaktu. Zamiast tego użytkownicy są kierowani do centrum pomocy i formularzy zgłoszeniowych.
  • Dlaczego formularze mogą nie wystarczać: według opisu:
    • formularze obejmują tylko część możliwych sytuacji,
    • często nie umożliwiają realnego dialogu i skutecznej interwencji,
    • konsumenci nieraz nie dostają kopii zgłoszenia na e-mail, co utrudnia udowodnienie treści i terminu zgłoszenia,
    • odpowiedź może nie nadejść lub być niewystarczająca,
    • mogą występować ograniczenia dotyczące załączników (liczba, rozmiar, format).
  • Nawet specjalne formularze nie rozwiązują całości: istnienie dedykowanych zgłoszeń (np. przy przejęciu konta) nie eliminuje problemu braku jasno wskazanych, szybkich kanałów kontaktu (e-mail/telefon).
  • Skargi konsumentów: do UOKiK trafiają zgłoszenia, w których konsumenci opisują m.in. brak możliwości znalezienia telefonu i e-maila do kontaktu oraz sytuacje, gdy po przejęciu konta nie mają jak szybko uzyskać pomocy, mimo ryzyka naruszenia prywatności i bezpieczeństwa.
  • Działania UOKiK: urząd analizuje nie tylko Metę, ale szerzej sektor e-commerce, sprawdzając, czy dostawcy usług udostępniają e-mail i telefon umożliwiające łatwy i szybki kontakt, szczególnie gdy świadczą globalne usługi dla polskich konsumentów.
  • Możliwe konsekwencje: jeśli zarzuty się potwierdzą, spółce Meta może grozić kara finansowa do 10% rocznego obrotu.
  • Co może zrobić konsument: jeśli na stronie przedsiębiorcy nie ma danych do szybkiego kontaktu, UOKiK zachęca do zgłoszenia tego na adres: uokik@uokik.gov.pl.
Źródło

Prof. Grzegorz Sibiga: Mamy lukę w prawie. Ustawa o ochronie ludności poza RODO

  • Kontekst: Od 2025 r. obowiązuje ustawa o ochronie ludności i obronie cywilnej. Ma ona zapewniać bezpieczeństwo ludności i infrastruktury (np. w czasie klęski żywiołowej lub wojny). Zdaniem prof. Grzegorza Sibigi w przepisach powstała poważna luka: w wielu przypadkach nie wiadomo, jakie zasady ochrony danych osobowych mają zastosowanie, bo RODO się tu nie stosuje. Potrzebna jest pilna nowelizacja.
  • Dlaczego RODO nie ma zastosowania: RODO nie obejmuje działań pozostających poza zakresem prawa UE, a w jego motywach wskazano, że dotyczy to m.in. bezpieczeństwa narodowego. Ustawa o ochronie ludności i obronie cywilnej jest traktowana jako element bezpieczeństwa państwa, więc ma być poza zakresem RODO.
  • Dodatkowy podział danych: Część danych w ewidencjach ma otrzymywać klauzulę „zastrzeżone” (wg przepisów o informacjach niejawnych). Wtedy stosuje się reżim ustawy o ochronie informacji niejawnych, a nie standardowe przepisy o ochronie danych osobowych.
  • Skutek: „dualizm” i luka prawna:
    • dane z klauzulą – chronione w reżimie informacji niejawnych,
    • pozostałe dane osobowe (bez klauzuli), przetwarzane do realizacji zadań ustawy – bez jasnych, kompleksowych reguł ochrony, bo RODO nie obowiązuje, a ustawa nie wprowadza pełnego systemu alternatywnego.
  • Skala danych jest duża: Ustawa przewiduje szeroki katalog działań, które wymagają gromadzenia danych (m.in. ewidencje, działania ratunkowe, szkolenia, ćwiczenia, pomoc w klęskach, utrzymanie gotowości). Zbiory danych powstają na wielu poziomach administracji – od gmin po administrację centralną.
  • Co to może oznaczać dla obywateli: W tym obszarze mogą nie obowiązywać kluczowe mechanizmy znane z RODO, m.in.:
    • podstawowe zasady przetwarzania (np. minimalizacja danych, rzetelność, poufność),
    • uprawnienia osób, których dane dotyczą (np. prawo do sprostowania),
    • pełny system obowiązków administratora, w tym dobór i ciągłe doskonalenie zabezpieczeń w oparciu o analizę ryzyka.
  • Ograniczona rola UODO: Skoro RODO się nie stosuje, to prezes UODO może nie mieć podstaw do kontroli i wydania decyzji naprawczych. Skarga obywatela może okazać się nieskuteczna z powodu braku jasnej podstawy prawnej do jej rozpoznania.
  • Kto „nie zauważył” problemu: Według prof. Sibigi luka nie została dostrzeżona w pracach nad ustawą ani przez prezesa UODO (opiniującego projekty), ani przez ministra cyfryzacji (odpowiedzialnego za politykę ochrony danych osobowych państwa).
  • To nie jest odosobniony przypadek: Podobne spory o zakres stosowania RODO pojawiają się także w innych obszarach (przykład: dyskusje dot. przetwarzania danych przez IPN). Mimo tego wciąż powstają akty prawne wymagające przetwarzania danych, a jednocześnie wypadające poza RODO.
  • Problem systemowy w Polsce: Polska nie ma uniwersalnych krajowych przepisów, które kompleksowo chroniłyby dane w obszarach wyłączonych spod prawa UE (a więc i spod RODO). Oparcie się jedynie o art. 51 Konstytucji i rozproszone przepisy jest – w ocenie autora – niewystarczające.
  • Co należałoby zrobić (proponowane kierunki zmian):
    • Opcja 1: stworzyć autonomiczne, krajowe przepisy o ochronie danych dla obszarów wyłączonych spod RODO – spójne z Konstytucją i podstawowymi standardami ochrony.
    • Opcja 2: przynajmniej częściowo rozszerzyć stosowanie kluczowych zasad RODO na działania poza prawem UE (jak w niektórych państwach, np. Szwecji i Finlandii), a tylko tam, gdzie to konieczne, wprowadzać ograniczenia ze względu na bezpieczeństwo narodowe.
  • Najważniejszy wniosek: Nie powinno się pozostawiać przetwarzania danych w „szarej strefie”, gdzie RODO nie obowiązuje, a jednocześnie brakuje innych jasnych i kompleksowych reguł ochrony – dlatego potrzebne są pilne zmiany legislacyjne.
Źródło

UK: MediaLab ukarany grzywną za naruszenia dotyczące prywatności dzieci

  • Kontekst: brytyjski regulator ochrony danych (ICO) zakończył śledztwo dotyczące tego, czy platforma Imgur (należąca do MediaLab) odpowiednio chroni dane osobowe dzieci i spełnia wymogi prawa o ochronie danych.
  • Decyzja i kara: na MediaLab.AI, Inc. (właściciela Imgur) nałożono grzywnę £247,590 za nielegalne wykorzystywanie/przetwarzanie danych osobowych dzieci.
  • Co wykazało śledztwo: między wrześniem 2021 a wrześniem 2025 MediaLab przetwarzał dane dzieci korzystających z Imgur w sposób naruszający brytyjskie RODO.
  • Kluczowe zarzuty (najważniejsze naruszenia):
    • brak wdrożenia jakichkolwiek kontroli wieku użytkowników;
    • przetwarzanie danych dzieci poniżej 13 lat bez zgody rodziców/opiekunów lub innej podstawy prawnej przy świadczeniu usług online;
    • brak wykonania oceny wpływu na ochronę danych (DPIA), która miała zidentyfikować i ograniczyć ryzyka dla prywatności dzieci.
  • Dlaczego to było groźne: ponieważ Imgur nie ustalał wieku użytkowników, dzieci mogły być narażone na szkodliwe lub nieodpowiednie treści, m.in. związane z zaburzeniami odżywiania, homofobią, antysemityzmem oraz treściami o charakterze seksualnym lub przemocowym.
  • Wymogi prawa (w prostych słowach): jeśli z usługi online korzystają dzieci poniżej 13 roku życia, a podstawą przetwarzania ma być zgoda, to zgodę musi wyrazić rodzic lub opiekun.
  • Co było niespójne z regulaminem Imgur: warunki platformy wskazywały, że dzieci poniżej 13 lat mogą korzystać z serwisu tylko pod nadzorem rodziców, ale nie wdrożono mechanizmów, które by to realnie egzekwowały lub umożliwiały uzyskanie zgody rodziców.
  • Jak ustalono wysokość kary: regulator uwzględnił m.in. liczbę dzieci dotkniętych naruszeniem, potencjalną skalę szkody, czas trwania naruszeń oraz globalny obrót firmy.
  • Szerszy przekaz regulatora: kara jest elementem szerszych działań ICO na rzecz poprawy bezpieczeństwa danych dzieci w internecie; ignorowanie faktu, że dzieci korzystają z usług, przy jednoczesnym nielegalnym przetwarzaniu ich danych, ma skutkować kolejnymi działaniami egzekucyjnymi.
  • Co dalej: jeśli MediaLab wznowi przetwarzanie danych dzieci w Wielkiej Brytanii bez wymaganych zabezpieczeń, ICO może podjąć dalsze kroki regulacyjne.
  • Informacja o możliwych sankcjach (tło): maksymalne kary mogą sięgać 17,5 mln funtów lub 4% globalnego rocznego obrotu (zależnie od tego, która kwota jest wyższa).
  • Rola ICO i standardy dla usług dla dzieci: regulator podkreśla znaczenie „Kodeksu dla dzieci” (Age Appropriate Design Code), który przekłada prawo na praktyczne standardy projektowania usług online, m.in. z zasadą wysokiej prywatności domyślnej i stawiania interesu dzieci na pierwszym miejscu.
  • Wskazówki dotyczące weryfikacji wieku: narzędzia zapewnienia/weryfikacji wieku mają działać jak bariera (blokować dostęp do usług nie dla dzieci lub dostosować doświadczenie), a metoda weryfikacji powinna być dostosowana do poziomu ryzyka na danej platformie.
  • Praktyczna wskazówka dla firm: organizacje mogą albo stosować pełne zabezpieczenia z kodeksu dla dzieci wobec wszystkich użytkowników, albo używać narzędzi weryfikacji wieku, by różnicować poziom ochrony zależnie od wieku; jeśli dzieci poniżej danego wieku nie mogą korzystać z usługi, firma musi skutecznie zapobiegać dostępowi i egzekwować minimalny wiek.
Źródło

Atak hakerski na Uniwersytecie Warszawskim. Jest potwierdzenie

  • Kontekst: wykryto atak hakerski na część infrastruktury IT Uniwersytetu Warszawskiego; złośliwe oprogramowanie zidentyfikowano na jednej ze stacji roboczych uczelni (informacja ministra cyfryzacji Krzysztofa Gawkowskiego).
  • Uniwersytet Warszawski wydał komunikat, w którym potwierdził incydent cyberbezpieczeństwa związany z użyciem złośliwego oprogramowania typu ransomware (oprogramowanie wymuszające, często poprzez blokadę dostępu do systemów lub danych).
  • Według UW atak miał miejsce w styczniu; informatycy wskazali stację roboczą, z której złośliwe oprogramowanie zostało wprowadzone do środowiska uczelni.
  • Trwa analiza techniczna i prawna incydentu, aby ustalić zakres zdarzenia i konsekwencje.
  • UW informuje, że na tym etapie nic nie wskazuje na nieuprawniony dostęp do danych osobowych.
  • Minister cyfryzacji przekazał, że o incydencie powiadomiono służby państwa.
  • Podjęto działania mające na celu zapewnienie bezpieczeństwa i ograniczenie skutków naruszenia; prowadzone są też analizy ukierunkowane na wykrycie sprawców.
  • Minister podkreślił, że instytucje publiczne (w tym uczelnie) oraz firmy powinny stale wzmacniać zabezpieczenia dostępu do systemów i działać zgodnie z zasadami Krajowego Systemu Cyberbezpieczeństwa.
Źródło

Nie będzie kamer nasobnych dla ratowników medycznych

  • Kontekst: Ministerstwo Zdrowia (MZ) nie planuje wprowadzenia obowiązkowych kamer nasobnych dla ratowników medycznych, mimo apeli środowiska o takie rozwiązanie w związku z rosnącą agresją podczas interwencji.
  • Skąd wziął się pomysł: z interpelacji poselskiej Artura Łąckiego (Koalicja Obywatelska), który wskazywał, że kamery mogłyby realnie poprawić bezpieczeństwo ratowników i pacjentów oraz pomóc w dokumentowaniu zdarzeń.
  • Problem, który miałby rozwiązać monitoring: agresja wobec ratowników (wyzwiska, groźby, pobicia, a nawet śmiertelne ataki) przestała być incydentalna i bywa traktowana jako problem systemowy.
  • Zmiany w prawie już wprowadzone (od 2 stycznia):
    • Podwyższono kary za ataki fizyczne i agresję słowną wobec ratowników medycznych.
    • Za atak na ratownika grozi kara od 3 miesięcy do 5 lat więzienia.
    • Znieważenie ratownika podczas interwencji jest ścigane z urzędu (sprawą zajmuje się prokurator), a nie jak wcześniej tylko na wniosek prywatny.
    • Za agresywne zachowanie w miejscu publicznym (np. szpital, urząd) grozi areszt/ograniczenie wolności albo grzywna 1000–5000 zł (wcześniej 100–500 zł).
  • Ocena posła: samo zaostrzenie kar może nie wystarczyć; kamery mogłyby działać prewencyjnie i zapewnić materiał dowodowy (bo dziś sprawy bywają umarzane z braku dowodów).
  • Stanowisko MZ: wiceminister Katarzyna Kacperczyk poinformowała jednoznacznie, że obowiązkowych kamer nasobnych nie będzie.
  • Główne powody odmowy:
    • Ryzyko naruszenia tajemnicy lekarskiej i prywatności podczas nagrywania obrazu i dźwięku.
    • Konieczność uzyskania zgody pacjenta i osób obecnych na miejscu – w praktyce często trudna lub niemożliwa.
    • Świadoma zgoda nie jest możliwa m.in. u osób: nieprzytomnych, małoletnich, ubezwłasnowolnionych, z zaburzonym kontaktem logicznym.
    • Pobieranie zgody mogłoby opóźniać udzielenie pomocy oraz rodzić obawy pacjenta, że brak zgody oznacza gorszą lub żadną pomoc.
    • Użycie kamery może prowokować agresję ze strony pacjenta lub świadków.
    • Brak pełnej zgody w środowisku ratowników co do wprowadzenia takiego monitoringu.
  • Decyzja zapadła wcześniej: MZ wskazało, że już w maju poprzedniego roku zespół ds. zwiększenia bezpieczeństwa personelu medycznego podjął decyzję o odstąpieniu od kamer (w spotkaniu uczestniczyli przedstawiciele wielu organizacji ratowniczych i związkowych).
  • Stanowisko UODO: prezes Urzędu Ochrony Danych Osobowych podkreśla, że takie nagrywanie jest bardzo ingerujące i musi być wykazane, że jest niezbędne oraz że celu nie da się osiągnąć mniej inwazyjnymi metodami; w interwencjach medycznych w grę wchodzi też intymność pacjentów i wizerunek osób postronnych.
  • Istotny kontekst unijny (TSUE): wyrok z 18 grudnia 2025 r. (C-422/24) dotyczący kamer u kontrolerów biletów wskazał, że nagrywanie wizerunku i głosu kamerą nasobną to przetwarzanie danych osobowych, a obowiązek informacyjny musi być spełniony już w momencie nagrywania (informacja ma być niezwłoczna i kompletna, m.in. w formie widocznego komunikatu + dalsze informacje w łatwo dostępnym miejscu).
  • Wniosek praktyczny: zastosowanie kamer w ratownictwie mogłoby być organizacyjnie i prawnie trudne, bo wymagałoby natychmiastowego informowania i uwzględnienia szczególnie wrażliwego charakteru interwencji medycznych.
Źródło

Tworzenie agentów AI w organizacji - czy to już zautomatyzowane przetwarzanie?

  • Kontekst: Coraz częściej pracownicy po szkoleniach „zbuduj własnego agenta AI” przychodzą do firmy z gotowym rozwiązaniem (np. agent AI do rekrutacji) i chcą je szybko wdrożyć. To trend typu „Build Your Own Agentic”, który stawia przed organizacjami (w tym IOD) nowe wyzwania prawne i organizacyjne.
  • Kluczowe pytania, które podnosi tekst:
    • Jak sprawdzić, czy agent AI nie spowoduje problemów z RODO, zwłaszcza w obszarze art. 22 RODO (decyzje podejmowane wyłącznie automatycznie)?
    • Czy genAI (np. chatbot) to to samo co agentic AI (agent wykonujący działania)? Czy ryzyka są takie same?
  • Wskazane źródło wsparcia: Autor powołuje się na wytyczne hiszpańskiego organu ochrony danych AEPD (Agencia Española de Protección de Datos), które pomagają ocenić ryzyka agentów AI.
  • Najważniejsza zasada z wytycznych AEPD: To organizacja wdrażająca (nie sam twórca w firmie) odpowiada za:
    • ocenę i „skalibrowanie” poziomu autonomii agenta,
    • określenie roli agenta w procesach biznesowych.
  • 4 modele współpracy człowieka z agentem AI (poziomy autonomii):
    1. Agent proponuje, człowiek operuje – AI pomaga, ale decyzję i wykonanie finalnie robi pracownik.
    2. Agent i człowiek współpracują – zadania realizowane wspólnie, w pętli zwrotnej.
    3. Agent operuje, człowiek zatwierdza – AI robi większość działań, człowiek daje „zielone światło” w kluczowych punktach.
    4. Agent operuje, człowiek obserwuje – AI działa autonomicznie, człowiek głównie przegląda logi.
  • Wniosek prawny: Im bliżej poziomu 4 (pełna autonomia), tym większe ryzyko, że wchodzimy w obszar art. 22 RODO (wyłącznie zautomatyzowane podejmowanie decyzji wobec osób).
  • Kiedy według AEPD szczególnie potrzebna jest interwencja człowieka: gdy decyzje agenta mogą:
    • wpływać na zachowania lub wybory osób (np. automatyczna selekcja ofert),
    • mieć trwały wpływ na życie danej osoby,
    • prowadzić do wykluczenia lub dyskryminacji.
  • Co wyróżnia podejście AEPD (ważne dla osób nietechnicznych): Agent AI nie powinien być traktowany jako „czarna skrzynka”, tylko jako proces/łańcuch działań i decyzji. Organizacja (w tym IOD) może wymagać udokumentowania m.in.:
    • jakie dane agent pobiera z zewnątrz,
    • jak te dane przetwarza/transformuje,
    • gdzie i jak zapisuje informacje (np. w „pamięci długotrwałej”).
  • Rekomendacja dla „oddolnych” wdrożeń (pracownik przynosi własnego agenta): zastosować „regułę dwóch” (rule of 2):
    • Jeśli agent (1) ma dostęp do danych szczególnych i działa automatycznie, to (2) nie może działać bez skutecznego nadzoru człowieka.
  • Ryzyka szersze niż przy zwykłych chatbotach: Agent AI często ma uprawnienia do narzędzi (np. wysyłanie maili, dostęp do CRM, a nawet sterowanie kursorem). Zbyt szerokie uprawnienia mogą spowodować, że w razie błędu lub ataku agent:
    • udzieli zgód w imieniu użytkownika bez jego wiedzy,
    • zatwierdzi umowy,
    • trwale usunie dane osobowe z baz.
    To ryzyko w wytycznych AEPD opisano jako „nieuprawnione działanie w imieniu administratora”.
  • Końcowy wniosek praktyczny: Organizacje powinny przygotować zasady oceny i nadzoru nad agentami AI „przynoszonymi” przez pracowników, zanim zostaną użyte w realnych procesach (np. rekrutacji), bo skala autonomii i uprawnień może szybko wygenerować poważne ryzyka RODO i operacyjne.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry