RODO aktualności – 26.08.2025 r. 

W 2024 r. organ ochrony danych w Bremie zbadał przypadki naruszeń prywatności w sektorze nieruchomości – zarówno w związku z publikacją zdjęć nieruchomości w ofertach internetowych, jak i planami instalacji inteligentnych czujników dymu w mieszkaniach.

• Oferty nieruchomości online:
  • Skarga dotyczyła sytuacji, gdy nieruchomość sąsiada – niezwiązana z ofertą – została uwzględniona na zdjęciu online, umożliwiając jej identyfikację.
  • Organ ochrony danych uznał, że pośrednik działał bez ważnej podstawy prawnej, łamiąc art. 7 RODO – nie uzyskano zgody i nie zastosowano żadnych środków ochronnych (np. pikselizacji).
  • Zaleca się, aby pośrednicy zawsze uzyskiwali pisemną zgodę mieszkańców na publikację zdjęć zamieszkałych lub sąsiednich nieruchomości.
  • Chociaż sąd we Frankenthal w jednym przypadku uznał milczącą zgodę za wystarczającą, organ ochrony danych w Bremie ostrzega przed poleganiem na takich wyjątkach – wymagania RODO pozostają rygorystyczne.
• Inteligentne czujniki dymu:
  • Planowane przez ogólnokrajową spółkę mieszkaniową czujniki mogą monitorować nie tylko dym, ale także klimat, obecność mieszkańców i ich nawyki.
  • Urządzenia te mogą opracowywać profile ruchowe i codziennej aktywności lokatorów, co stanowi poważną ingerencję w prywatność.
  • Brak odpowiednich zabezpieczeń technicznych i prawnych zwiększa ryzyko nieautoryzowanego dostępu do danych przez osoby trzecie.
  • Chociaż instalacje nie są jeszcze planowane w Bremie, tamtejszy urząd bierze udział w ogólnokrajowych pracach nad uregulowaniem tego problemu.
  • Organ przestrzega: bez wyraźnych podstaw prawnych i solidnych zabezpieczeń wdrażanie inteligentnych czujników dymu jest niezgodne z RODO.

Sprawa tocząca się przed Trybunałem Sprawiedliwości UE (sprawa C-222/25) dotyczy zakresu stosowania przepisów RODO i dyrektywy policyjnej 2016/680 przez jednostki analityki finansowej. Ma ona duże znaczenie także dla Polski i interpretacji przepisów dotyczących przeciwdziałania praniu pieniędzy oraz ochrony danych osobowych.

• Prezes UODO, Mirosław Wróblewski, uważa, że Polska powinna przystąpić do postępowania przed TSUE w estońskiej sprawie Rahapesu Andmebüroo.
• Sprawa dotyczy obywatela Estonii, któremu odmówiono informacji na temat przetwarzania jego danych przez estońską jednostkę analityki finansowej RAB.
• Estoński organ ochrony danych (AKI) uznał, że obywatel ma prawo do tych informacji zgodnie z przepisami RODO.
• RAB konsekwentnie odmawiał ujawnienia danych, powołując się na konieczność zachowania tajemnicy w walce z praniem pieniędzy i finansowaniem terroryzmu.
• Estoński sąd skierował pytania prejudycjalne do TSUE dotyczące stosowania RODO i dyrektywy policyjnej w działalności jednostek analityki finansowej.
• Prezes UODO podkreśla, że wyrok TSUE może doprecyzować, które przepisy – RODO czy dyrektywy policyjnej – mają zastosowanie w polskich realiach.
• Obecne brzmienie polskiej ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1 marca 2018 r. nie precyzuje, według jakich przepisów (RODO czy dyrektywy policyjnej) osoby mogą dochodzić prawa dostępu do danych.
• RODO (art. 15) przewiduje prawo dostępu do danych osobowych, ale art. 23 dopuszcza jego ograniczenie ze względu na interes publiczny lub bezpieczeństwo.
• Motyw 41 RODO wskazuje, że "podstawa prawna" nie zawsze musi oznaczać ustawę parlamentarną — ważne są jasne i szczegółowe regulacje określające m.in. kto i w jakim zakresie przetwarza dane.

Wniosek: Polska, wspierając stanowisko UODO, powinna wziąć udział w postępowaniu przed TSUE, by wpływać na jasne określenie ram prawnych dotyczących przetwarzania danych przez instytucje walczące z praniem pieniędzy, co może mieć duże znaczenie dla interpretacji krajowych przepisów.

Artykuł dotyczy problemu przechowywania odcisków palców obywateli w państwowych bazach danych po wydaniu dowodu osobistego. Urząd Ochrony Danych Osobowych (UODO) potwierdza swoje wcześniejsze stanowisko w tej sprawie, które jest spójne z najnowszym orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (TSUE).

• UODO uważa, że odciski palców i fotografie obywateli powinny być usuwane z centralnego rejestru po wydaniu dowodu osobistego.
• Stanowisko to opiera się na wyroku TSUE z 21 marca 2024 r. (sprawa C-61/22), który uznał, że dane biometryczne (wizerunek twarzy i odciski palców) są szczególnie wrażliwe i mogą być przetwarzane tylko na potrzeby wydania dokumentu tożsamości.
• TSUE stwierdził, że po wydaniu dowodu osobistego dane biometryczne powinny zostać skasowane z systemów informatycznych państwa.
• Polskie przepisy – szczególnie artykuł 55 i 56 ust. 2 ustawy o dowodach osobistych – nadal przewidują przechowywanie tych danych w centralnym rejestrze, co według UODO jest niezgodne z orzeczeniem TSUE.
• UODO zgłosił swoje zastrzeżenia do ministra ds. Unii Europejskiej i wskazał na potrzebę zmiany przepisów prawa krajowego w celu ich dostosowania do prawa unijnego.
• Sprawą zainteresował się również rzecznik praw obywatelskich, który prowadzi postępowanie na wniosek obywatela, skarżącego się na nieusunięcie jego danych biometrycznych z państwowej bazy.
• W odpowiedzi na pytania RPO UODO potwierdził, że jego stanowisko nie uległo zmianie i nadal zaleca wycofywanie danych biometrycznych po wyrobieniu dowodu.

Konflikt między berlińskim urzędem ochrony danych a firmą Google dotyczący chińskiej aplikacji DeepSeek ujawnia napięcia między europejskimi standardami prywatności a globalnymi interesami dużych firm technologicznych.

• Berliński urząd ochrony danych w czerwcu wezwał Google i Apple do usunięcia chińskiej aplikacji DeepSeek z ich sklepów z powodu potencjalnego naruszenia unijnych przepisów o ochronie danych.
• Google oficjalnie odmówiło wycofania aplikacji, a Apple do sierpnia nie udzieliło odpowiedzi na wezwanie regulatora.
• Aplikacja DeepSeek została opracowana przez chińską firmę i budzi obawy o bezpieczeństwo danych użytkowników z UE, gdyż chińskie prawo nakłada na firmy obowiązek współpracy z rządem w zakresie bezpieczeństwa.
• Podstawą działań niemieckiego organu jest Akt o usługach cyfrowych (DSA), ale mechanizmy egzekwowania prawa są ograniczone – regulatorzy mogą jedynie rekomendować działania, a nie je nakazywać.
• Unia Europejska nie uznaje chińskich przepisów dotyczących ochrony danych za równoważne standardom unijnym zgodnie z RODO – oznacza to ryzyko, że dane użytkowników mogą trafić do chińskich władz bez odpowiednich gwarancji.
• Pomimo prób nawiązania dialogu oraz żądań usunięcia aplikacji, DeepSeek pozostaje dostępny w sklepach Google i Apple, co świadczy o ograniczonej skuteczności obecnych narzędzi prawnych UE.
• DeepSeek jako produkt technologiczny wzbudził zainteresowanie dzięki niskim kosztom trenowania dużych modeli językowych, ale niejasne źródła danych treningowych zwiększają niepokój co do przestrzegania europejskich standardów prywatności.
• Spór ma także wymiar geopolityczny – rozwój chińskich technologii sztucznej inteligencji budzi niepokój wśród europejskich instytucji w kontekście bezpieczeństwa narodowego i suwerenności cyfrowej.
• Obecna sytuacja rodzi pytania o rolę prywatnych firm technologicznych w decydowaniu o legalności i dostępności aplikacji w UE – to one w praktyce pełnią rolę arbitra prawa, a nie państwowi regulatorzy.
• Przypadek DeepSeek wskazuje na poważne wyzwania dla przyszłości regulacji dotyczących AI oraz skuteczności obecnych europejskich standardów ochrony danych wobec firm spoza UE.

• Sprawa dotyczy ujawnienia danych osobowych (w tym imienia, nazwiska oraz informacji o stanie zdrowia i światopoglądzie) osoby pokrzywdzonej podczas konferencji prasowej Prokuratury Krajowej 2 sierpnia 2023 r., związanej z decyzjami personalnymi w prokuraturze – a nie bezpośrednio z prowadzonym śledztwem.
• Konferencja z udziałem ówczesnego ministra sprawiedliwości Zbigniewa Ziobry oraz prokuratora Tomasza Szafrańskiego dotyczyła sprawy napaści na kobietę noszącą torbę z symbolem środowiska LGBT.
• Prezes UODO Mirosław Wróblewski w decyzji z września 2024 r. uznał, że doszło do bezprawnego ujawnienia danych szczególnej kategorii, co stanowi naruszenie art. 9 ust. 1 RODO, i nałożył na Prokuraturę Krajową karę w wysokości 85 tys. zł.
• Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję UODO, uznając, że ujawnienie danych osobowych odbyło się w ramach realizacji zadań prokuratury i nie naruszało RODO.
• Prezes UODO złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, wskazując, że celem konferencji nie było przedstawienie informacji o działaniach prokuratury związanych bezpośrednio z postępowaniem karnym, lecz komunikowanie decyzji kadrowych – a więc nie są to działania objęte wyłączeniami z RODO.
• UODO zwraca również uwagę, że w dniu konferencji prokuratura nie miała uprawnień do rozpatrywania naruszeń ochrony danych osobowych, dlatego jej działania nie mogą być uznane za legalne na tej podstawie.
• Zarówno Prezes UODO, jak i – paradoksalnie – sam WSA uznali, że udostępnienie danych nie miało podstawy prawnej, jednak sąd stwierdził, że miało ono miejsce w ramach uprawnień informacyjnych prokuratury.

Wniosek: Sprawa toczy się dalej w NSA i jest istotna z punktu widzenia granic uprawnień prokuratury w zakresie publicznego udostępniania danych osobowych oraz ochrony danych osób pokrzywdzonych w postępowaniach karnych.

Ministerstwo Cyfryzacji przygotowuje projekt ustawy wdrażającej unijny Akt o danych (Data Act – DA), który zacznie obowiązywać w UE od 12 września 2024 r. Polska ustawa wdrożeniowa zostanie uchwalona z opóźnieniem.

• Data Act to unijna regulacja mająca na celu ułatwienie wymiany danych między firmami, konsumentami oraz administracją publiczną.
• Nowe przepisy mają zwiększyć dostęp do tzw. danych przemysłowych generowanych przez urządzenia podłączone do internetu (np. inteligentne sprzęty AGD, samochody). Smartfony i komputery nie są objęte regulacją.
• Regulacja umożliwi m.in. łatwiejszy dostęp do danych dla użytkowników i ograniczy monopol dostawców na usługi naprawcze czy chmurowe.
• Wdrożenie Aktu o danych w Polsce wymaga krajowej ustawy – projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu (UC114) wskazuje prezesa Urzędu Komunikacji Elektronicznej (UKE) jako organ odpowiedzialny.
• UKE będzie odpowiadać za:
  • Koordynację działań związanych z wdrażaniem i stosowaniem aktu o danych.
  • Rozpatrywanie skarg, prowadzenie postępowań oraz nakładanie kar w przypadku naruszeń.
  • Zbieranie informacji o ograniczeniach w dostępie do danych przez posiadaczy informacji.
  • Pośredniczenie w sprawach udostępniania danych na żądanie organów spoza UE, jeśli dane przechowywane są na terenie Unii.
  • Monitorowanie rozwoju technologicznego oraz edukacja w zakresie wykorzystania danych zgodnie z nowymi przepisami.
  • Coroczne raportowanie do Komisji Europejskiej przypadków ograniczenia dostępu do danych przez posiadaczy danych.
• Rządowy projekt ustawy planowany jest do przyjęcia w IV kwartale 2025 r.

W następstwie przełomowego wyroku Trybunału Sprawiedliwości UE (TSUE) z lutego 2025 r. (sygn. C-203/22) dotyczącego prawa do wyjaśnień i prawa dostępu na podstawie RODO, austriacki Federalny Sąd Administracyjny rozpatrzył sprawę dotyczącą skargi na agencję informacji kredytowej. Sprawa dotyczyła braku wystarczających informacji udzielonych przez firmę w odpowiedzi na wniosek osoby fizycznej o dostęp do danych i wyjaśnienie zasad zautomatyzowanego oceniania zdolności kredytowej.

• Sąd potwierdził naruszenie prawa dostępu z art. 15 RODO – firma nie zastosowała się do obowiązku udzielenia jasnych i szczegółowych informacji na temat celów przetwarzania danych oraz logiki zautomatyzowanego podejmowania decyzji.
• Brak rozróżnienia celów przetwarzania danych – przedsiębiorstwo nie wyjaśniło, które dane były użyte do oceny kredytowej, a które w innych celach (np. marketingowych), co narusza zasadę celowości przetwarzania danych.
• Niewystarczające wyjaśnienia dotyczące automatycznego podejmowania decyzji – zgodnie z orzeczeniem TSUE, osoba, której dane są przetwarzane, ma prawo do zrozumienia, jakie dane zostały użyte, jak wpłynęły na wynik oraz dlaczego uzyskała konkretną ocenę.
• Odwołanie się do tajemnicy handlowej nie uzasadnia odmowy udzielenia informacji – sąd stwierdził, że tego typu wyjątek musi zostać zbadany indywidualnie i nie może stanowić ogólnej podstawy do odmowy dostępu do danych.
• Skutek wyroku – sąd częściowo uznał skargę i nakazał firmie w ciągu czterech tygodni dostarczyć szczegółowych informacji na temat celów przetwarzania oraz zasad działania systemu scoringowego.

Decyzja sądu podkreśla znaczenie przejrzystości w przypadku podejmowania decyzji opartych na algorytmach oraz odpowiedzialność firm za realne umożliwienie użytkownikom zrozumienia procesów, którym podlegają ich dane osobowe.

Artykuł dotyczy naruszenia ochrony danych osobowych uczestniczek holenderskiego programu badań przesiewowych w kierunku raka szyjki macicy. Naruszenie miało miejsce w laboratorium Clinical Diagnostics NMDL, które analizowało wymazy i autotesty kobiet na zlecenie Population Screening Netherlands.

• Ponad 405 000 kobiet biorących udział w programie badań przesiewowych otrzyma list z informacją o naruszeniu danych osobowych.
• Listy zostaną wysłane dzisiaj lub w środę przez Holenderskie Badanie Przesiewowe Populacji.
• Dane uczestniczek trafiły do pliku zawierającego informacje ponad 485 000 ofiar naruszenia poufności danych w Clinical Diagnostics NMDL.
• Naruszenie nastąpiło po ataku hakerskim na systemy laboratorium NMDL.
• Dane około 80 000 ofiar z pliku są nadal porównywane z danymi uczestniczek programu badań przesiewowych – potrzebne są dodatkowe informacje od laboratorium, aby dokończyć ten proces.
• Przewodnicząca Rady Dyrektorów Population Screening Netherlands, Elza den Hertog, podkreśliła znaczenie jak najszybszego poinformowania wszystkich zaangażowanych kobiet.
• W liście zalecono zachowanie czujności wobec możliwych prób oszustw wykorzystujących skradzione dane osobowe.
• Na stronie rządowej dostępne są szczegółowe zalecenia, jak postępować w przypadku podejrzenia o nadużycie danych.
• Obecne i przyszłe badania odbywają się już w nowym laboratorium, niezależnym od NMDL.
• Naruszenie nie ma wpływu na wyniki badań przesiewowych, które kobiety już otrzymały lub otrzymają.