RODO aktualności – 24.06.2025 r. 

• Sprawa dotyczy incydentu z 2018 r., gdy dokumenty zawierające dane osobowe 158 klientów banku S. S.A. ujawniono w miejscu publicznym.
• Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na bank w marcu 2024 r. administracyjną karę pieniężną w wysokości 1 440 549 zł.
• Kara została nałożona za niezrealizowanie obowiązków z art. 33 i 34 RODO:
  • niedokonanie zgłoszenia naruszenia ochrony danych osobowych do UODO w wymaganym terminie (72 godziny),
  • niezawiadomienie osób, których dane dotyczyły naruszenie, bez zbędnej zwłoki.
• WSA w Warszawie potwierdził, że wystąpiło naruszenie ochrony danych osobowych oraz że bank był zobowiązany do powiadomienia organu i osób, których dane dotyczą.
• Zdaniem Sądu ryzyko naruszenia praw i wolności osób fizycznych było wysokie ze względu na:
  • zakres danych osobowych (m.in. PESEL, dane kontaktowe, finansowe i identyfikacyjne),
  • fakt ich udostępnienia w miejscu publicznym, co oznaczało utratę kontroli nad nimi.
• Sąd uznał jednak, że Prezes UODO nie miał prawa nałożyć kary w marcu 2024 r., gdyż minął pięcioletni termin przedawnienia określony w art. 189g k.p.a.
• Za moment naruszenia przyjęto koniec terminu do zgłoszenia incydentu, czyli 27 listopada 2018 r., a termin do wydania decyzji z karą minął 27 listopada 2023 r.
• W konsekwencji Sąd uchylił część decyzji UODO dotyczącą kary pieniężnej jako wydaną po terminie, uznając naruszenie przepisów kpa.

Podsumowanie: WSA w Warszawie zgodził się z Prezesem UODO co do faktu naruszenia ochrony danych osobowych oraz konieczności poinformowania o tym właściwych podmiotów, jednak uchylił decyzję w zakresie nałożonej sankcji finansowej ze względu na upływ terminu przedawnienia.

Od 10 listopada 2024 r. obowiązuje nowa ustawa – Prawo komunikacji elektronicznej (PKE), która zastępuje dotychczasowe prawo telekomunikacyjne. PKE wprowadza jednoznaczne regulacje dotyczące marketingu bezpośredniego, w tym pozyskiwania i przetwarzania danych osobowych w kampaniach telemarketingowych.

• Każda forma marketingu bezpośredniego wymaga wyraźnej zgody użytkownika końcowego. To oznacza, że nie można już prowadzić działań typu cold calling czy cold mailing bez uprzedniego uzyskania zgody.
• Marketing bezpośredni obejmuje każdy komunikat promocyjny kierowany do konkretnej osoby. Dotyczy to zarówno wiadomości e-mail, SMS/MMS, rozmów telefonicznych, jak i komunikatorów internetowych.
• Nowe przepisy eliminują możliwość pozyskania zgody "na początku rozmowy". Nawet samo zapytanie o taką zgodę może być uznane za działanie marketingowe, wymagające wcześniejszej zgody.
• Osobna zgoda jest potrzebna dla każdego kanału kontaktu: e-mail, telefon, SMS – każdy kanał musi być potwierdzony osobnym checkboxem. Zgody muszą być jasno udokumentowane i możliwe do wycofania w dowolnym momencie.
• Naruszenie przepisów PKE może skutkować wysokimi karami: do 3% rocznego przychodu firmy lub 1 miliona złotych – w zależności od tego, która kwota jest wyższa. Złamanie zasad może być też traktowane jako czyn nieuczciwej konkurencji.
• Przepisy RODO również mają zastosowanie do działań marketingowych. Przetwarzanie danych osobowych bez odpowiedniej podstawy prawnej (w tym zgody) może skutkować karami do 20 mln euro lub 4% globalnego obrotu firmy.
• Web scraping a ochrona danych: pobieranie danych kontaktowych ze stron internetowych może być nielegalne, jeżeli nie spełniono obowiązków informacyjnych ani nie uzyskano wymaganych zgód na działania marketingowe.
• Nowa rzeczywistość prawna wymaga zmian w organizacji działań marketingowo-sprzedażowych: Audyt wewnętrznych procedur, aktualizacja dokumentacji, prowadzenie rejestrów zgód oraz szkolenia dla pracowników to niezbędne kroki.
• Transparentność to fundament legalnego marketingu: Użytkownik musi wiedzieć, kto i w jakim celu przetwarza jego dane oraz że może w każdej chwili cofnąć zgodę. To podstawowy element budowy zaufania klientów.

• Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, zwrócił się do Ministerstwa Sprawiedliwości z pytaniem o postęp prac nad zwiększeniem ochrony danych osobowych w elektronicznych księgach wieczystych.
• Resort sprawiedliwości zapowiedział takie działania w sierpniu 2024 r., jednak do tej pory UODO nie otrzymało projektu przepisów.
• W październiku 2024 r. Prezes UODO poparł odejście od anonimowego, powszechnego dostępu do tych danych na rzecz rozwiązania wymagającego uwierzytelniania użytkowników systemu.
• UODO zadeklarowało gotowość do wsparcia resortu sprawiedliwości wiedzą ekspercką w zakresie ochrony danych osobowych.
• Mirosław Wróblewski podkreślił, że nieuprawniony dostęp do danych z ksiąg wieczystych budzi niepokój i jest tematem istotnym dla wielu instytucji i obywateli.

Podsumowanie: Prezes UODO domaga się wyjaśnień w sprawie opóźnień prac legislacyjnych mających na celu podniesienie poziomu ochrony danych osobowych w elektronicznych księgach wieczystych. Podtrzymuje swoje poparcie dla zmian oraz gotowość do współpracy z Ministerstwem Sprawiedliwości.

• Kontekst: AI Act to unijne rozporządzenie (2024/1689) regulujące sztuczną inteligencję w UE. Choć pełne przepisy zaczną obowiązywać w 2026 r., niektóre – w tym dotyczące nadzoru rynkowego (AI governance) – wejdą w życie już 2 sierpnia 2025 r.
• Obowiązki państw członkowskich do 2 sierpnia 2025 r.:
  • Wskazanie co najmniej jednego organu nadzorującego rynek AI.
  • Określenie procedur kontroli, składania skarg oraz nakładania kar.
  • Ustanowienie kar za nieprzestrzeganie m.in. obowiązku tzw. AI literacy (kompetencji w zakresie AI).
• Stan przygotowań w Polsce:
  • Projekt ustawy o systemach sztucznej inteligencji został ujawniony w październiku 2023 r., ale nadal jest w fazie konsultacji.
  • Brakuje ostatecznych ustaleń co do brzmienia ustawy, tytułu aktu prawnego i struktury instytucji nadzorującej.
  • Ryzyko niedotrzymania terminu oraz możliwy brak krajowego nadzoru po 2 sierpnia 2025 r.
• Potencjalne konsekwencje braku ustawy krajowej:
  • Utrudnione stosowanie przepisów AI Act.
  • Niepewność prawna dla firm rozwijających i korzystających z AI.
  • Groźba kar finansowych nałożonych przez Komisję Europejską.
• Projektowany organ nadzorczy – KRiBSI:
  • Ma być nowo utworzonym ciałem składającym się z przewodniczącego, dwóch zastępców i siedmiu członków.
  • Krytyka sposobu finansowania – środki z nałożonych kar mają stanowić przychód KRiBSI, co może budzić wątpliwości etyczne i prawne.
  • Ryzyko braku bezstronności oraz konfliktu interesów.
• Modele AI ogólnego przeznaczenia (np. ChatGPT, Gemini):
  • Od 2 sierpnia 2025 r. obowiązywać będą przepisy regulujące te modele.
  • Głównym organem nadzoru będzie unijne AI Office, ale jego współpraca z krajami członkowskimi może być utrudniona bez krajowych przepisów.
  • Polska zaproponowała przesunięcie tego terminu w ramach prezydencji w UE.
  • Dostawcy modeli otrzymają 2 lata na dostosowanie się do nowych wymagań dzięki przepisom przejściowym.
• Wnioski końcowe:
  • Polska jest opóźniona w tworzeniu kluczowych regulacji krajowych wymaganych przez AI Act.
  • Brak ustawy może osłabić skuteczne egzekwowanie przepisów europejskich i ograniczyć ochronę użytkowników oraz rynku.
  • Wątpliwości co do struktury i finansowania KRiBSI wymagają pilnego rozwiązania na etapie prac legislacyjnych.

• Francuski organ ochrony danych (CNIL) opublikował projekt wytycznych wyjaśniających obowiązki wynikające z RODO oraz francuskiej wersji dyrektywy o prywatności i łączności elektronicznej w kontekście używania tracking pixels w e-mailach.
• CNIL uznaje, że umieszczanie pikseli śledzących w wiadomościach stanowi operację przechowywania informacji na urządzeniu użytkownika, co wymaga uzyskania jego zgody – poza ściśle określonymi wyjątkami.
• Nadawcy wiadomości zawierających piksele śledzące są uznawani za administratorów danych, nawet jeśli korzystają z zewnętrznych usług do wysyłki.
• Dostawcy usług wysyłki e-mail zazwyczaj są podmiotami przetwarzającymi, ale mogą zostać uznani za współadministratorów, jeśli wykorzystują dane z pikseli do własnych celów.
• Wymagana jest wyraźna zgoda użytkownika w przypadkach śledzenia indywidualnych działań, takich jak:
  • pomiar współczynnika otwarć,
  • personalizacja treści,
  • segmentacja użytkowników,
  • wykrywanie oszustw.
• Wyjątki od obowiązku uzyskania zgody dotyczą jedynie śledzenia realizującego konkretne funkcje bezpieczeństwa (np. weryfikacja resetowania hasła) lub zbierania zbiorczych danych bez możliwości identyfikacji użytkownika.
• CNIL przypomina, że zgoda musi być:
  • dobrowolna,
  • konkretna,
  • świadoma,
  • jednoznaczna.
  Powinna być zbierana przy pozyskiwaniu adresu e-mail lub przez e-mail bez elementów śledzących.
• Piksel śledzący wymaga zgody nawet w wiadomościach, które same w sobie nie wymagają zgody do przesłania (np. e-maile transakcyjne). Każda warstwa śledzenia musi być uzasadniona niezależnie.
• Projekt wytycznych jest otwarty na publiczne konsultacje. CNIL sygnalizuje jasne stanowisko w sprawie ochrony prywatności w komunikacji e-mailowej.

Europejska Rada Ochrony Danych (EROD) podczas 106. posiedzenia plenarnego w dniach 3–4 czerwca br. przyjęła nowe wytyczne i przedstawiła projekty dotyczące ochrony danych w kontekście przekazywania ich do państw trzecich oraz sztucznej inteligencji. Opublikowano także istotne materiały szkoleniowe, a także omówiono propozycję uproszczenia obowiązków dokumentacyjnych dla mniejszych organizacji objętych RODO.

• Nowe wytyczne EROD dot. przekazywania danych do organów państw trzecich:
  • Ostateczna wersja wytycznych w odniesieniu do art. 48 RODO została przyjęta po konsultacjach publicznych.
  • EROD przypomina, że decyzje organów spoza UE nie mogą być automatycznie uznawane w Europie – wymagane są międzynarodowe umowy lub inne podstawy prawne.
  • Dodano wyjaśnienia m.in. dotyczące przekazywania danych przez spółki zależne do spółek matek w państwach trzecich oraz roli podmiotów przetwarzających.
• Materiały szkoleniowe EROD i grupy SPE dotyczące AI i ochrony danych:
  • Przedstawiono dwa raporty: jeden dla prawników i inspektorów ochrony danych, drugi dla specjalistów technicznych.
  • Celem jest przeciwdziałanie niedoborowi kompetencji w zakresie bezpiecznego wdrażania AI przy zachowaniu ochrony danych.
  • Dokumenty dostępne są w formacie PDF oraz będą współtworzone w repozytorium Git w modelu wspólnotowym (licencja Creative Commons).
• Planowane uproszczenie obowiązku prowadzenia dokumentacji na mocy RODO:
  • EROD analizuje wniosek Komisji Europejskiej dot. uproszczenia art. 30 ust. 5 RODO dla MŚP i organizacji poniżej 750 pracowników.
  • Wspólna opinia EROD i Europejskiego Inspektora Ochrony Danych ma zostać wydana w ciągu ośmiu tygodni.