RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 25.11.2025 r. 

  RODO aktualności

Komisja Europejska publikuje pakiet Omnibus – zmiany w RODO » TSUE: przepisy RODO nie mają zastosowania do wysyłania niezamówionego komunikatu marketingowego » Procesory graficzne NVIDIA polecą w kosmos. Serwery na orbicie dają wielkie możliwości, ale są też wyzwania » Nowa Zelandia zdecydowała się rozszerzyć zakres obowiązku informacyjnego » Ministerstwo Cyfryzacji opublikowało projekt Ustawy o sprawiedliwym dostępie do danych i ich wykorzystaniu » Chorwacja: Kara 4.500.000 euro za transfer danych do państw trzecich bez odpowiednich zabezpieczeń » Niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki – kara dla komornika sądowego » Wnioski z raportu UODO: świadomość rośnie, ale praktyka kuleje

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Komisja Europejska publikuje pakiet Omnibus – zmiany w RODO

  • Kontekst: Komisja Europejska zaproponowała zmiany w przepisach RODO w ramach Pakietu Omnibus 2025. Celem jest uproszczenie, doprecyzowanie regulacji oraz dostosowanie ich do rozwoju technologii, w tym sztucznej inteligencji.
  • Definicje (art. 4): Sprecyzowano, kiedy informacje nie są danymi osobowymi – jeśli niemożliwa jest identyfikacja osoby przez dany podmiot. Dodano także nowe definicje, m.in. „sprzęt terminalowy” czy „przeglądarka internetowa”.
  • Cel przetwarzania danych (art. 5): Umożliwiono przetwarzanie danych w celach archiwalnych, naukowych lub statystycznych, nawet jeśli różnią się one od pierwotnego celu, bez dodatkowych wymagań.
  • Dane wrażliwe (art. 9): Dodano wyjątki umożliwiające przetwarzanie szczególnych kategorii danych, np. w ramach systemów AI, pod warunkiem odpowiednich zabezpieczeń i kontroli przez osobę, której dane dotyczą.
  • Obowiązki informacyjne (art. 12 i 13): Zmniejszono wymagania informacyjne przy operacjach o niskim wpływie na prywatność lub przy badaniach naukowych, jeśli pełne informowanie byłoby nieproporcjonalne.
  • Decyzje automatyczne (art. 22): Umożliwiono podejmowanie decyzji opartych wyłącznie na automatycznym przetwarzaniu w określonych przypadkach, np. za zgodą osoby lub przy zawieraniu umowy.
  • Zgłaszanie naruszeń (art. 33): Termin zgłoszenia naruszeń danych do organu nadzorczego został wydłużony do 96 godzin. Opóźniona notyfikacja musi zawierać uzasadnienie.
  • Ocena skutków (DPIA, art. 35): Określono listy operacji przetwarzania wymagających lub niewymagających oceny ryzyka. Europejska Rada Ochrony Danych będzie odpowiadać za opracowanie szablonów i metodologii.
  • Pseudonimizacja danych (art. 41a): KE uzyskała możliwość przyjmowania aktów wykonawczych określających kryteria oceny, czy dane po pseudonimizacji nadal stanowią dane osobowe.
  • Dane w urządzeniach końcowych (art. 88a i 88b): Przepisy dotyczące pozyskiwania danych z urządzeń (jak telefony czy komputery) będą wymagały zgody użytkownika, z poszanowaniem jego wyborów wyrażonych w sposób automatyczny i odczytywalny maszynowo.
  • Cel zmian: Zwiększenie przejrzystości zasad przetwarzania danych, lepsze dostosowanie przepisów do nowych technologii oraz ułatwienie ich stosowania przez mniejsze firmy i organizacje.

Źródło

TSUE: przepisy RODO nie mają zastosowania do wysyłania niezamówionego komunikatu marketingowego

  • Kontekst: Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok dotyczący zastosowania przepisów RODO oraz dyrektywy o prywatności i łączności elektronicznej w kontekście wysyłania niezamówionych komunikatów marketingowych drogą elektroniczną.
  • Wyrok zapadł na tle sprawy rumuńskiej firmy Inteligo Media, wydawcy portalu avocatnet.ro, która wysyłała subskrybentom biuletyny informacyjne wraz z ofertą odpłatnego dostępu do pełnej treści serwisu.
  • Rumuński organ nadzorczy ANSPDCP nałożył na spółkę grzywnę za przetwarzanie danych osobowych bez wyraźnej zgody oraz niezgodnie z pierwotnym celem ich zbierania.
  • Kluczowe pytanie brzmiało: czy wysyłanie takiego biuletynu stanowi „marketing bezpośredni” i czy wymaga zgody w rozumieniu RODO i dyrektywy 2002/58.
  • TSUE stwierdził, że pojęcie „marketingu bezpośredniego” obejmuje również komunikaty zawierające informacje handlowe, nawet jeśli mają one częściowo charakter informacyjny.
  • Wyrok wyjaśnia, że:
    • RODO nie ma zastosowania do warunków legalności wysyłki niezamówionych komunikatów marketingowych e-mailem w przypadkach objętych art. 13 ust. 2 dyrektywy 2002/58.
    • Dopuszczalność takiej komunikacji zależy od spełnienia określonych warunków z dyrektywy 2002/58, m.in.:
      • adres e-mail musi być pozyskany „w kontekście sprzedaży produktu lub usługi”,
      • komunikacja musi dotyczyć podobnych produktów lub usług,
      • odbiorcy muszą być poinformowani o możliwości łatwego i bezpłatnego sprzeciwu.
  • Wyrok ma istotne znaczenie dla sektora marketingowego, ponieważ rozdziela obowiązki wynikające z RODO i dyrektywy 2002/58 oraz precyzuje, kiedy można legalnie wysyłać niezamówione komunikaty marketingowe.
Źródło

Procesory graficzne NVIDIA polecą w kosmos. Serwery na orbicie dają wielkie możliwości, ale są też wyzwania

  • Kontekst: Artykuł omawia innowacyjny projekt wykorzystania procesorów graficznych NVIDIA w przestrzeni kosmicznej, w ramach budowy centrów danych AI na orbicie. Rozwiązanie to przedstawiane jest jako bardziej efektywne energetycznie i ekologiczne niż ich odpowiedniki naziemne.
  • Start misji: Amerykańska firma Starcloud (wcześniej Lumen Orbit) planuje w listopadzie 2025 roku wystrzelenie w kosmos satelity Starcloud-1 z procesorami NVIDIA na pokładzie.
  • Specyfikacja techniczna: Satelita Starcloud-1 waży około 59 kg i rozmiarami przypomina lodówkę.
  • Wydajność: Procesory graficzne NVIDIA mają zapewnić moc obliczeniową nawet 100 razy większą niż dotychczasowa dostępna w przestrzeni kosmicznej.
  • Korzyści technologiczne i środowiskowe:
    • Stały dostęp do efektywnego i odnawialnego źródła energii słonecznej, bez wpływu atmosfery, chmur i cyklu dzień-noc.
    • Próżnia w kosmosie umożliwia skuteczne chłodzenie bez potrzeby użycia wody, co redukuje zużycie zasobów naturalnych.
    • Znaczne zmniejszenie kosztów i emisji CO2 w porównaniu do naziemnych centrów danych – nawet dziesięciokrotnie niższe koszty eksploatacji.
  • Planowane kroki: Starcloud planuje wystrzelenie większego satelity – Starcloud-2 – w 2026 roku, który ma być pierwszym komercyjnym systemem tego typu.
  • Rosnące zapotrzebowanie: Do 2030 roku zapotrzebowanie na energię dla centrów danych może wzrosnąć o 165%, co zwiększa zainteresowanie alternatywnymi i skalowalnymi rozwiązaniami, takimi jak infrastruktura kosmiczna.
  • Wyzwania i zagrożenia:
    • Zagrożenia ze strony zjawisk takich jak rozbłyski słoneczne.
    • Ryzyko kolizji z kosmicznymi śmieciami.
    • Pytania o bezpieczeństwo i potencjalne zagrożenia geopolityczne związane z wykorzystaniem przestrzeni kosmicznej.
  • Przewidywana przyszłość: Starcloud zakłada, że w ciągu 10 lat większość nowych centrów danych będzie budowana w przestrzeni kosmicznej, co ma znacząco obniżyć ich wpływ na środowisko i zwiększyć efektywność energetyczną.
Źródło

Nowa Zelandia zdecydowała się rozszerzyć zakres obowiązku informacyjnego

  • Kontekst: Nowa Zelandia wprowadza nowe przepisy dotyczące ochrony danych osobowych, zbliżone do standardów obowiązujących w Unii Europejskiej i Australii. Zmiany mają na celu zwiększenie przejrzystości w informowaniu osób o źródłach pozyskania ich danych.
  • Nowe regulacje wynikają z ustawy Privacy Amendment Act 2025, podpisanej 23 września, która wejdzie w życie 1 maja 2026 roku.
  • Firmy i instytucje będą zobowiązane informować osoby, których dane pozyskują z innych źródeł niż bezpośrednio od nich – np. od innych podmiotów lub instytucji.
  • Obowiązek informacyjny nie będzie dotyczyć sytuacji, gdy dane są przekazywane przez podmiot trzeci działający jako usługodawca – w takim przypadku uznaje się je za zebrane „bezpośrednio”.
  • Ustawa przewiduje szereg wyjątków – np. brak obowiązku informowania wystąpi wtedy, gdy osoba już wie o zbieraniu danych, dane są anonimowe, pochodzą ze źródeł publicznych, nie będzie kontaktu możliwego lub gdy powiadomienie mogłoby zakłócić dochodzenie naruszeń prawa lub bezpieczeństwo publiczne.
  • Nowość: Regulator oczekuje konkretnych informacji – ogólne sformułowania w politykach prywatności typu „możemy pozyskiwać dane od stron trzecich” nie będą wystarczające. Trzeba wskazać konkretnie, od kogo dane pochodzą i poinformować o tym możliwie szybko.
  • Firmy będą musiały precyzyjnie analizować i dokumentować swoje procesy zbierania danych, a także stosować indywidualne powiadomienia dla każdej nowej osoby, której dane wejdą do systemu.
  • Choć w UE i Australii takie obowiązki obowiązują od lat, Nowa Zelandia wprowadza je z większą szczegółowością i naciskiem na aktywne działania informacyjne wobec osób fizycznych.
  • Nowe podejście może wpłynąć na oczekiwania regulatorów w innych krajach i w przyszłości wymusić podobny poziom szczegółowości w informowaniu o danych osobowych.
Źródło

Ministerstwo Cyfryzacji opublikowało projekt Ustawy o sprawiedliwym dostępie do danych i ich wykorzystaniu

  • Polskie Ministerstwo Cyfryzacji opublikowało projekt ustawy o Sprawiedliwym Dostępie do Danych i Ich Wykorzystania, który przekłada przepisy unijnego Data Act na krajowe regulacje. Celem jest uregulowanie dostępu i udostępniania danych generowanych przez urządzenia połączone i usług powiązanych.
  • Prezes Urzędu Komunikacji Elektronicznej (UKE) zostaje wyznaczony jako główny organ odpowiedzialny za nadzór nad przestrzeganiem przepisów, rozstrzyganie sporów, rozpatrywanie skarg i nakładanie kar administracyjnych za naruszenia ustawy.
  • Projekt ustawy wprowadza przejrzysty system składania skarg, który umożliwi użytkownikom, posiadaczom danych oraz stronom trzecim zgłaszanie naruszeń, takich jak nieuzasadnione ograniczenia umowne czy odmowy dostępu do danych.
  • Skargi będą wszczynały formalne postępowania administracyjne przed UKE, który ma obowiązek poinformowania stron o rezultacie w ciągu 2 miesięcy (z możliwością przedłużenia do 4 miesięcy).
  • Przewidziano też specjalne procedury dla organów publicznych, które w wyjątkowych sytuacjach potrzebują dostępu do danych. UKE oceni zasadność takich żądań oraz ustali ewentualne wynagrodzenie dla posiadaczy danych.
  • Nowe regulacje zakładają możliwość uzyskiwania opinii eksperckich przez dostawców usług chmurowych i brzegowych, szczególnie w zakresie interoperacyjności i przenośności danych. Wnioski będą przesyłane przez UKE do odpowiednich organów UE.
  • Projekt nie jest precyzyjny w kwestii podziału kompetencji między UKE i UODO: UKE będzie nadzorować stosowanie ustawy o danych, natomiast ochrona danych osobowych pozostaje w gestii UODO.
  • Ministerstwo Cyfryzacji oraz GUS będą wspólnie informować Komisję Europejską o krajowych przepisach wpływających na sprzedaż danych na potrzeby statystyki publicznej, zapewniając przejrzystość w relacjach z UE.
Źródło

Chorwacja: Kara 4.500.000 euro za transfer danych do państw trzecich bez odpowiednich zabezpieczeń

  • Kontekst: Artykuł dotyczy naruszenia przepisów RODO przez teleoperatora, który bez odpowiednich zabezpieczeń przekazywał dane osobowe do kraju spoza Europejskiego Obszaru Gospodarczego (EOG) – Republiki Serbii, oraz nadmiernie przetwarzał dane pracowników, ignorując przy tym zalecenia Inspektora Ochrony Danych (IOD).
  • Na teleoperatora nałożono grzywnę w wysokości 4.500.000 EUR przez Agencję Ochrony Danych Osobowych.
  • W latach 2020–2022 dane użytkowników były przekazywane do spółki w Serbii na podstawie standardowych klauzul umownych. Po 27 grudnia 2022 r. przekazywanie odbywało się jednak bez odpowiednich zabezpieczeń, co stanowi naruszenie RODO.
  • Podmiot w Serbii miał pełny, nieograniczony dostęp do bazy danych SAP CRM zawierającej dane ponad 847 tys. użytkowników, w tym: imię, nazwisko, numer identyfikacyjny, adres, numer telefonu, dane bankowe, informacje o usługach.
  • Administrator nie przeprowadził oceny ryzyka dla transferu danych do kraju trzeciego oraz nie poinformował klientów o przekazywaniu ich danych poza EOG, co jest naruszeniem przepisów RODO (art. 13 ust. 1 lit. f i art. 44 w związku z art. 46).
  • Polityka prywatności była niejednoznaczna – nie informowała wprost o przekazywaniu danych poza UE, co narusza zasadę przejrzystości (art. 12 ust. 1 RODO).
  • Administrator nadmiernie przetwarzał dane osobowe pracowników – przechowywał kopie dowodów osobistych oraz zaświadczenia o postępowaniu innym niż karne, bez podstawy prawnej, co naruszało zasady minimalizacji i celowości przetwarzania danych.
  • Zignorowano opinię Inspektora Ochrony Danych, który wskazywał na nadmiarowość przetwarzania dokumentów tożsamości pracowników.
  • Współpracujący podmiot przetwarzający (dot. sprzedaży telefonicznej) nie miał wdrożonych nawet podstawowych zabezpieczeń, a administrator nie przeprowadził wymaganej kontroli przed jego zatrudnieniem (naruszenie art. 28 ust. 1 RODO).
  • Kluczowy wniosek: Przekazywanie danych osobowych do państw trzecich wymaga właściwych podstaw prawnych i zabezpieczeń, a ignorowanie rekomendacji IOD oraz brak transparentnych informacji dla osób, których dane dotyczą, może skutkować poważnymi karami finansowymi.
Źródło

Niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki – kara dla komornika sądowego

  • Kontekst: Artykuł dotyczy interpretacji przez Prezesa UODO pojęcia „mało prawdopodobne ryzyko” w świetle przepisów RODO oraz konsekwencji niewłaściwej reakcji na naruszenie ochrony danych osobowych przez komornika sądowego.
  • Prezes Urzędu Ochrony Danych Osobowych (UODO) ukarał komornika grzywną w wysokości prawie 21 tys. zł za naruszenie obowiązków wynikających z RODO.
  • Kara obejmuje:
    • 7700 zł za niezgłoszenie naruszenia do UODO bez zbędnej zwłoki,
    • 13 200 zł za niezawiadomienie osoby, której dane dotyczyły.
  • Przedmiotem sprawy była omyłkowo wysłana korespondencja, zawierająca dane osobowe (imię i nazwisko, PESEL, adres, kwota zajęcia komorniczego), do niewłaściwego odbiorcy.
  • Komornik samodzielnie uznał, że ryzyko naruszenia jest „mało prawdopodobne” i nie przeprowadził formalnej analizy ryzyka, co zostało negatywnie ocenione przez Prezesa UODO.
  • Prezes podkreślił, że:
    • Ocena ryzyka musi być przeprowadzona przed podjęciem decyzji o niezgłaszaniu naruszenia,
    • Obowiązek zgłoszenia dotyczy wszystkich przypadków, poza takimi, gdzie realnie nie ma szans na materializację skutków dla osoby, której dane dotyczą.
  • Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EROD), „mało prawdopodobne ryzyko” oznacza brak realnych szans na wystąpienie skutków, a nie tylko ich niskie prawdopodobieństwo.
  • Wydarzenie należy traktować jako poważne – ryzyko wycieku danych takich jak PESEL może skutkować wyłudzeniami kredytów, co potwierdzają dane z raportów infoDOK:
    • W 2024 r. odnotowano ponad 12 tys. prób wyłudzeń kredytów na ponad 324 mln zł.
  • Administrator danych (komornik) powinien był powiadomić zarówno UODO, jak i osobę, której dane dotyczyły, o naruszeniu.
  • Zgłaszanie naruszeń pozwala osobom, których dane wyciekły, na podjęcie działań zaradczych (np. zastrzeżenie dokumentów, ostrożność w kontaktach finansowych).
  • Ocena ryzyka powinna skupiać się na potencjalnym wpływie na osobę, której dane dotyczą, a nie na interesach administratora.
  • Rzetelna informacja od administratora może pomóc osobie poszkodowanej w skutecznej ochronie jej danych.
  • Prezes UODO przypomina o konieczności stosowania wytycznych EROD przy ocenie i zgłaszaniu naruszeń danych osobowych.
Źródło

Wnioski z raportu UODO: świadomość rośnie, ale praktyka kuleje

  • Kontekst: Artykuł omawia, jak Polacy przestrzegają unijnego rozporządzenia RODO i jak wygląda aktualna sytuacja w zakresie ochrony danych osobowych na podstawie sprawozdania prezesa Urzędu Ochrony Danych Osobowych (PUODO) zaprezentowanego sejmowej Komisji Sprawiedliwości i Praw Człowieka w październiku 2024 r.
  • Rosnąca świadomość RODO: Zauważalny wzrost świadomości zarówno wśród osób fizycznych, jak i administratorów danych. Administratorzy coraz lepiej znają swoje obowiązki i częściej wdrażają polityki ochrony danych oraz obowiązki informacyjne.
  • Wzrost liczby zgłoszeń i skarg:
    • Liczba zgłoszonych naruszeń wzrosła o ponad 15% w porównaniu do 2022 r. (z 12 772 do 14 842 w 2024 r.).
    • Liczba skarg również wzrosła – z 6 995 w 2022 r. do 8 056 w 2024 r.
  • Najczęstsze problemy w ochronie danych:
    • Przetwarzanie danych bez podstawy prawnej.
    • Udostępnianie danych osobom nieuprawnionym.
    • Nieuprawnione działania marketingowe.
    • Niespełnienie obowiązku informacyjnego zgodnie z RODO.
    • Odmowy przekazania kopii danych, błędy przy sprostowaniu, usunięciu danych lub w odpowiedzi na sprzeciw.
  • Najwięcej skarg dotyczyło:
    • Sektora publicznego – np. publikacja danych w BIP, obrady JST, zgłoszenia samowoli budowlanych.
    • Sektora finansowego – umowy z klientami, błędy korespondencyjne.
    • Sektora zdrowia – błędne wystawianie recept, nieuprawniony dostęp do danych w PUE ZUS.
  • Wzrost kar nakładanych przez PUODO:
    • W 2023 r. kary wyniosły łącznie niemal 14 mln zł.
    • W 2024 r. trzy najwyższe kary łącznie przekroczyły 62 mln zł.
    • Najwyższa pojedyncza kara w 2024 r. wyniosła ponad 4 mln zł.
  • Najczęstsze błędy administratorów i zalecenia PUODO:
    • Błędy w wysyłce: Błędne adresowanie, nieweryfikowanie adresatów, brak szyfrowania i nieprawidłowe stosowanie funkcji UDW.
    • Dostęp do baz danych: Brak analizy uprawnień użytkowników, niewykonywanie testów bezpieczeństwa.
    • Złośliwe oprogramowanie: Brak aktualizacji zabezpieczeń, brak kopii zapasowych, niska skuteczność środków technicznych.
    • Błędy w aplikacjach: Ujawnianie wrażliwych odniesień do danych w interfejsie użytkownika (np. podatności IDOR).
    • Kradzieże i zgubienia urządzeń: Brak szyfrowania i możliwości zdalnego usuwania danych, niejasne zasady użycia nośników.
  • Problemy ze zgłaszaniem naruszeń: Znaczna część skarg wynika z nieporozumień – osoby zgłaszające błędnie identyfikują naruszenia podlegające kompetencjom PUODO (np. mylą ochronę danych z tajemnicą korespondencji lub domagają się odszkodowania).
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry