RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 26.05.2025 r. 

  RODO aktualności

Belgia: Wyrok sądu podważa mechanizm, na którym opierają się internetowe reklamy śledzące » UODO: Problemem nie są przepisy RODO, ale stosowanie ich w praktyce » Dostęp do informacji publicznej a ochrona danych osobowych » Gdy AI rejestruje do lekarza. Czy bezpieczeństwo danych osobowych jest zagrożone? » Włochy: Sankcje za Chatbota Replika » PUODO zwrócił się do PZPN ws. zgód na przetwarzanie wizerunków dzieci » Komisja Europejska przedstawiła propozycje zmian w RODO

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Belgia: Wyrok sądu podważa mechanizm, na którym opierają się internetowe reklamy śledzące

Kontekst: Belgijski sąd apelacyjny uznał, że mechanizm stosowany przez branżę reklamową online do zbierania zgód na śledzenie aktywności użytkowników (Transparency and Consent Framework – TCF), opracowany przez IAB Europe, narusza przepisy RODO. Wyrok może oznaczać poważne zmiany dla reklamy internetowej w Europie.

  • Mechanizm TCF, wykorzystywany na około 80% stron internetowych w Europie, nie spełnia wymagań RODO w zakresie przejrzystości i legalności przetwarzania danych osobowych użytkowników.
  • Belgijski sąd potwierdził, że tzw. TC String (dane o preferencjach użytkowników) stanowią dane osobowe, a IAB Europe pełni rolę współadministratora tych danych.
  • Mimo uchylenia decyzji belgijskiego Urzędu Ochrony Danych (APD) z powodów proceduralnych, sąd podtrzymał nałożone na IAB Europe sankcje, w tym grzywnę 250 tys. euro.
  • System reklamy w czasie rzeczywistym (RTB), do którego wykorzystuje się dane z TCF, przesyła dane milionów użytkowników bez odpowiedniego zabezpieczenia i zgody, co jest niezgodne z RODO.
  • IAB Europe twierdzi, że nowsza wersja mechanizmu (TCF 2.2) jest zgodna z wymaganiami RODO – m.in. zwiększono transparentność i ograniczono powoływanie się na uzasadniony interes. Jednak APD dopiero przeanalizuje tę wersję.
  • Eksperci wskazują, że nawet nowa wersja TCF może nie zapewniać pełnej transparentności i świadomości użytkowników co do sposobu przetwarzania ich danych.
  • Krytycy systemu, w tym fundacja Panoptykon, domagają się odejścia od obecnego modelu RTB i przejścia na reklamy kontekstowe lub spersonalizowane za wyraźną zgodą użytkownika.
  • Wyrok może wymusić przebudowę całego ekosystemu reklamy behawioralnej w UE oraz większą zgodność reklamy online z regulacjami o ochronie danych.
  • Eksperci przewidują, że reklama internetowa nie zniknie, ale będzie musiała działać w sposób bardziej przejrzysty i zgodny z prawami użytkowników.

Podsumowanie: Wyrok belgijskiego sądu oznacza przełom w egzekwowaniu przepisów RODO wobec branży reklamowej. Otwiera drogę do bardziej etycznych i przejrzystych praktyk przetwarzania danych w internecie. W najbliższych miesiącach możliwe są dalsze zmiany w funkcjonowaniu mechanizmów wyświetlających użytkownikom tzw. „okienka zgody”.

Źródło

UODO: Problemem nie są przepisy RODO, ale stosowanie ich w praktyce

  • Organizacje pozarządowe często przetwarzają duże ilości danych osobowych, w tym danych wrażliwych, które wymagają szczególnej ochrony prawnej.
  • RODO przewiduje podejście oparte na analizie ryzyka, co daje NGO pewną swobodę w doborze odpowiednich środków ochrony danych, ale jednocześnie wymaga odpowiedzialnego podejścia.
  • 13 maja 2025 r. podczas posiedzenia Rady Działalności Pożytku Publicznego odbyła się debata „RODO w organizacjach pozarządowych? Może czas na uproszczenia?”, z udziałem przedstawicieli UODO.
  • Dyskutowano o możliwościach uproszczenia obowiązków wynikających z RODO w odniesieniu do NGO oraz ewentualnych zmianach w przepisach.
  • Monika Krasińska z UODO podkreśliła, że głównym problemem nie są same regulacje RODO, ale trudności organizacji w ich prawidłowym zastosowaniu – często występuje nadmierny formalizm i nadinterpretacja.
  • NGO, choć często niewielkie, mogą generować istotne ryzyka dla prywatności, zwłaszcza przetwarzając dane szczególnych kategorii (np. zdrowotne, dotyczące przekonań religijnych czy światopoglądowych).
  • W Komisji Europejskiej trwają prace nad uproszczeniem obowiązków dokumentacyjnych wynikających z RODO, ale nadal kluczowe jest podejście oparte na ryzyku.
  • Nie oceniano dotąd zgodności przepisów regulujących funkcjonowanie NGO (np. Ustawy o fundacjach) z RODO, co może wymagać rewizji i dostosowań systemowych.
  • Proponowanym rozwiązaniem wspieranym przez UODO jest kodeks postępowania dla NGO – dokument wskazujący, jak w praktyce stosować RODO w tej grupie podmiotów.
  • Kodeks pomaga unikać błędnej interpretacji przepisów i niepotrzebnej dokumentacji, a jednocześnie chronić dane z poszanowaniem przepisów.
  • UODO podkreśla znaczenie ciągłej edukacji w zakresie ochrony danych osobowych i zapowiada kontynuację działań szkoleniowo-informacyjnych dla NGO.

Wniosek: Organizacje pozarządowe potrzebują klarownych, praktycznych narzędzi i edukacji w zakresie RODO. Kodeks postępowania oraz uproszczenia dokumentacyjne mogą stanowić wsparcie, ale kluczowe pozostaje indywidualne podejście do oceny ryzyka przetwarzania danych.


Źródło

Dostęp do informacji publicznej a ochrona danych osobowych

Prezes Urzędu Ochrony Danych Osobowych (UODO) wystosował pismo do sekretarza stanu w Ministerstwie ds. Unii Europejskiej w związku z potrzebą doprecyzowania przepisów dotyczących przetwarzania danych osobowych podczas udostępniania informacji publicznej. Jest to reakcja na wyrok Trybunału Sprawiedliwości UE z 4 kwietnia 2025 r. (sprawa C-710/23), dotyczący równowagi między jawnością życia publicznego a ochroną prywatności.

  • Prezes UODO wskazuje, że polskie przepisy nie precyzują wystarczająco zasad udostępniania informacji publicznej z poszanowaniem danych osobowych.
  • Szczególne zastrzeżenia budzi art. 5 ust. 2 ustawy o dostępie do informacji publicznej, który dotyczy ograniczenia prawa do informacji ze względu na prywatność osoby fizycznej.
  • Przepis ten nie określa jasno, według jakich kryteriów należy oceniać, czy ujawnienie danych nie naruszy prawa do prywatności – ani w jakim trybie zapewnić osobie kontrolę nad jej danymi.
  • Przy wdrażaniu RODO do prawa krajowego nie dokonano zmian w tym przepisie, co według UODO powoduje luki w ochronie danych osobowych.
  • W orzecznictwie sądów administracyjnych panuje niejednolitość – część wyroków wskazuje, że osoba, której dane mają być ujawnione, powinna mieć zapewnioną możliwość decydowania o ich ujawnieniu, inne zaś pozostawiają to uznaniu organów udostępniających informacje.
  • Obecny brak jasnych regulacji powoduje, że administratorzy danych muszą samodzielnie rozstrzygać konflikty między jawnością a prywatnością, co stwarza ryzyko błędów i odpowiedzialności prawnej.

Wniosek:
Prezes UODO apeluje o nowelizację ustawy o dostępie do informacji publicznej, tak aby lepiej chroniła prywatność osób fizycznych i była zgodna z przepisami RODO oraz orzecznictwem unijnym.


Źródło

Gdy AI rejestruje do lekarza. Czy bezpieczeństwo danych osobowych jest zagrożone?

Kontekst: Ministerstwo Zdrowia planuje wprowadzenie centralnego systemu rejestracji pacjentów do lekarzy i na badania finansowane przez NFZ z wykorzystaniem sztucznej inteligencji (AI), zwłaszcza voicebotów. Celem projektu ma być uproszczenie i przyspieszenie procesu umawiania się na wizyty, jednak budzi on wątpliwości w zakresie ochrony danych osobowych.

  • Ministerstwo Zdrowia zaproponowało nowelizację ustawy, której celem jest umożliwienie rejestracji pacjentów przez voiceboty – systemy AI odbierające i obsługujące połączenia telefoniczne.
  • Celem jest usprawnienie i automatyzacja rejestracji do lekarza oraz umożliwienie łatwiejszego sprawdzania dostępnych terminów w ramach NFZ.
  • Prezes Urzędu Ochrony Danych Osobowych (PUODO) wyraża wątpliwości, szczególnie w kontekście przetwarzania danych osobowych, w tym danych biometrycznych.
  • Głos osoby dzwoniącej może być uznany za daną biometryczną – umożliwia identyfikację oraz zawiera informacje o stanie emocjonalnym, wieku, płci czy nawet potencjalnych chorobach.
  • PUODO wskazuje na ryzyko naruszenia praw i wolności osób fizycznych w wyniku potencjalnego nagrywania i analizowania głosu przez AI.
  • W projekcie ustawy nie określono precyzyjnie, jakie kategorie danych będą przetwarzane przez system oparty na AI – może to skutkować zbieraniem zbyt dużej ilości informacji.
  • Przetwarzanie danych dotyczących zdrowia i danych biometrycznych wymaga spełnienia rygorystycznych warunków wynikających z RODO – musi być konieczne i realizować konkretny cel z korzyścią dla społeczeństwa.
  • Ministerstwo powinno również uwzględnić przepisy unijnego Aktu o sztucznej inteligencji, który wprowadza ograniczenia w stosowaniu zdalnej identyfikacji biometrycznej poza przypadkami ścigania przestępstw.
  • PUODO przypomina, że w przeszłości inne kraje unijne zakazywały wykorzystywania biometrii do zdalnej identyfikacji w celach innych niż bezpieczeństwo publiczne.

Źródło

Włochy: Sankcje za Chatbota Replika

  • Kontekst: Luka Inc. to firma technologiczna oferująca aplikację opartą na sztucznej inteligencji, w której użytkownicy mogą nawiązywać „relacje romantyczne” z wirtualnym partnerem. Sprawa wzbudziła szczególne zaniepokojenie ze względu na potencjalny dostęp dzieci do tej usługi.

Główne zastrzeżenia włoskiego regulatora:

  • Brak skutecznej weryfikacji wieku użytkowników – aplikacja była dostępna także dla dzieci poniżej 13 roku życia, mimo że formalnie miała być przeznaczona wyłącznie dla dorosłych.
  • Potencjalne szkody psychiczne – korzystanie z aplikacji mogło wprowadzać dzieci w błąd co do charakteru relacji międzyludzkich oraz negatywnie wpływać na ich rozwój emocjonalny.
  • Brak analizy ryzyka (DPIA) dedykowanej dzieciom – Luka Inc. nie uwzględniła w ocenie skutków przetwarzania danych szczególnych zagrożeń dotyczących tej wrażliwej grupy użytkowników.

Wnioski i znaczenie decyzji:

  • Organ uznał, że umożliwienie dzieciom korzystania z aplikacji w obecnym kształcie narusza przepisy RODO (art. 8) oraz wytyczne Europejskiej Rady Ochrony Danych (EROD) dotyczące ochrony dzieci w środowisku cyfrowym.
  • Decyzja ta stanowi ważne ostrzeżenie dla firm technologicznych, że innowacje oparte na AI muszą respektować prawa dzieci, w tym prawa do prywatności, bezpieczeństwa i ochrony emocjonalnej.
  • Firmy oferujące podobne usługi powinny traktować dobro dzieci jako kluczowy aspekt projektowania i działania aplikacji, nie tylko z perspektywy prawnej, ale także etycznej.

Źródło

PUODO zwrócił się do PZPN ws. zgód na przetwarzanie wizerunków dzieci

Kontekst: Artykuł dotyczy interwencji Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie zasad uczestnictwa dzieci w turnieju piłkarskim "Puchar Tymbarku", organizowanym przez Polski Związek Piłki Nożnej (PZPN). W mediach pojawiły się informacje, że udział w turnieju jest uzależniony od zgody na wykorzystanie wizerunku dziecka.

  • Prezes UODO, Mirosław Wróblewski, zwrócił się do PZPN o wyjaśnienia w związku z podejrzeniem naruszenia przepisów o ochronie danych osobowych.
  • Zastrzeżenia dotyczą warunku udziału dzieci w turnieju piłkarskim – konieczności wyrażenia zgody na wykorzystanie ich wizerunku przez rodziców lub opiekunów.
  • UODO poprosił o wskazanie podstawy prawnej, która uzasadnia taki wymóg ze strony organizatora turnieju.
  • Wątpliwości budzi, czy zgoda na przetwarzanie wizerunku dziecka jest dobrowolna, konkretna, świadoma i jednoznaczna – co stanowi wymóg zgodny z RODO.
  • Prezes UODO oczekuje również informacji, do jakich celów statutowych PZPN niezbędne jest przetwarzanie wizerunków dzieci.
  • Urząd poprosił PZPN o przesłanie treści formularzy zgody, które rodzice już podpisali.
  • Działania Prezesa UODO są prowadzone w ramach uprawnień nadanych przez RODO, konkretnie art. 58 ust. 1 lit. a) i e).

Podsumowanie: UODO chce ustalić, czy PZPN nie narusza przepisów o ochronie danych osobowych, nakładając na rodziców obowiązek wyrażenia zgody na wykorzystanie wizerunku dziecka jako warunku udziału w turnieju sportowym. Sprawa dotyczy zasad wolności wyrażania zgody na przetwarzanie danych osobowych dzieci i może mieć istotne znaczenie dla praktyki organizacji sportowych.

Źródło

Komisja Europejska przedstawiła propozycje zmian w RODO

Kontekst: Celem planowanych zmian w RODO jest rozszerzenie dostępnych obecnie środków łagodzących dla mikro-, małych i średnich przedsiębiorstw (MŚP) także na małe spółki o średniej kapitalizacji (SMC), a także wprowadzenie dalszych uproszczeń w zakresie stosowania przepisów o ochronie danych osobowych.

  • Nowe definicje (Art. 4 RODO):
    • Dodano definicję mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
    • Wprowadzono definicję małych spółek o średniej kapitalizacji (SMC).
  • Obowiązek prowadzenia rejestru czynności przetwarzania (Art. 30 ust. 5 RODO):
    • Firmy i organizacje zatrudniające mniej niż 750 osób będą musiały prowadzić rejestr czynności przetwarzania tylko wtedy, gdy wiąże się ono z wysokim ryzykiem dla praw lub wolności osób (zgodnie z art. 35 RODO).
    • Zakres tego odstępstwa zostanie rozszerzony także na małe spółki o średniej kapitalizacji (SMC).
    • Motyw 10 wyjaśnia, że przetwarzanie danych w kontekście prawa pracy, zabezpieczenia społecznego i ochrony socjalnej nie musi samo w sobie wymagać prowadzenia rejestru.
  • Kodeksy postępowania (Art. 40 ust. 1 RODO):
    • Planowane jest promowanie opracowywania kodeksów postępowania uwzględniających potrzeby zarówno mikro-, małych i średnich przedsiębiorstw, jak i małych spółek o średniej kapitalizacji.
  • Certyfikacja (Art. 42 ust. 1 RODO):
    • Przewiduje się wspieranie mechanizmów certyfikacji oraz znaków jakości w zakresie ochrony danych osobowych również z myślą o MŚP i SMC.

Podsumowanie: Zmiany w RODO zmierzają do uproszczenia obowiązków dla mniejszych podmiotów gospodarczych i uwzględniają również małe spółki o średniej kapitalizacji. Główne obszary zmian to: definicje, obowiązki rejestrowania przetwarzania danych, kodeksy postępowania oraz certyfikacja, które mają być dostosowane do możliwości i potrzeb mniejszych firm.



Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry