RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 27.01.2026 r. 

  RODO aktualności

UODO: Trzeba doprecyzować przepisy dotyczące rozwiązywania stosunku pracy z IOD » Francja: kara 1,7 mln euro za brak odpowiedniej ochrony danych » PUODO składa zażalenie na postanowienie o umorzeniu dochodzenia w sprawie monitoringu w szpitalu » Hiszpański organ (AEPD) wypowiedział się w sprawie ochrony danych przy wykonywaniu transkrypcji AI » Fala włamań na konta nauczycieli w e-dziennikach różnych szkół na terenie całej Polski » Francuski organ (CNIL) publikuje checklistę dot. tworzenia i trenowania systemów AI

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

UODO: Trzeba doprecyzować przepisy dotyczące rozwiązywania stosunku pracy z IOD

  • Kontekst: Artykuł dotyczy potrzeby wzmocnienia ochrony inspektorów ochrony danych (IOD) w polskim systemie prawnym, w nawiązaniu do wyroku Trybunału EFTA z 16 grudnia 2025 r. w sprawie Silbernagl przeciwko Uniwersytetowi Liechtensteinu.
  • Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski wskazuje na konieczność wprowadzenia przepisów krajowych, które wyraźnie określałyby zasady ochrony IOD przed odwołaniem z powodów niezwiązanych z ich obowiązkami.
  • W polskim prawie brakuje szczegółowych regulacji chroniących IOD – obecnie jedyną podstawą są przepisy ogólnego rozporządzenia o ochronie danych (RODO), których interpretacja budzi w praktyce trudności.
  • Trybunał EFTA orzekł, że możliwe jest odwołanie IOD z uzasadnionej przyczyny, o ile nie zagraża to realizacji celów RODO, lub – bez uzasadnionej przyczyny – jeśli nie jest to związane z wykonywaniem obowiązków IOD.
  • Wyrok potwierdza, że państwa członkowskie mogą wprowadzać krajowe regulacje, które precyzyjnie określają dopuszczalne podstawy rozwiązania stosunku pracy z IOD.
  • Minister Spraw Zagranicznych zwrócił się do Prezesa UODO o analizę skutków tego orzeczenia dla polskiego prawa.
  • Prezes UODO podkreśla, że stabilność zatrudnienia IOD jest kluczowa dla jego niezależności, co z kolei przekłada się na skuteczniejszą ochronę danych osobowych i realizację celów RODO.
Źródło

Francja: kara 1,7 mln euro za brak odpowiedniej ochrony danych

  • Kontekst: Francuska firma NEXPUBLICA FRANCE (wcześniej INETUM SOFTWARE FRANCE) rozwijała system PCRM wspierający pracę instytucji opieki społecznej, takich jak domy pomocy społecznej dla osób z niepełnosprawnością.
  • Pod koniec 2022 r. wykryto incydenty bezpieczeństwa – użytkownicy portalu mieli dostęp do dokumentów innych osób, co ujawniło poważne braki w zabezpieczeniach systemu.
  • System umożliwiał nieuprawniony dostęp do szczególnie wrażliwych danych, takich jak informacje o stanie zdrowia i niepełnosprawności.
  • Problemy z bezpieczeństwem były znane spółce już wcześniej – wskazywały na nie wcześniejsze raporty audytowe, jednak mimo wiedzy, firma nie usunęła usterek przed wystąpieniem incydentów.
  • CNIL (francuski organ ochrony danych) ocenił, że brak odpowiednich środków technicznych i organizacyjnych naruszał art. 32 RODO, który wymaga wdrożenia zabezpieczeń adekwatnych do ryzyka.
  • NEXPUBLICA jako dostawca rozwiązań IT dla sektora publicznego miała obowiązek stosować wyższe standardy bezpieczeństwa, czego nie spełniła – podkreślono, że jej specjalistyczny profil zwiększa wymagania dotyczące ochrony danych.
  • W rezultacie CNIL nałożył karę administracyjną w wysokości 1,7 mln euro, biorąc pod uwagę skalę naruszeń, ich wpływ na wiele osób oraz wrażliwy charakter danych.
  • Choć nie wydano dodatkowego nakazu naprawczego, decyzja stanowi wyraźne ostrzeżenie dla podmiotów dostarczających systemy przetwarzające dane wrażliwe – nieprzestrzeganie podstawowych standardów bezpieczeństwa będzie skutkować poważnymi konsekwencjami.
Źródło

PUODO składa zażalenie na postanowienie o umorzeniu dochodzenia w sprawie monitoringu w szpitalu

  • Kontekst sprawy: Artykuł dotyczy kontrowersji wokół zainstalowanego monitoringu w sali reanimacyjnej Szpitalnego Oddziału Ratunkowego (SOR) w Przemyślu bez zgody i wiedzy dyrekcji szpitala.
  • Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, złożył zażalenie na decyzję prokuratury, która umorzyła dochodzenie w tej sprawie.
  • Prokuratura umorzyła sprawę, twierdząc, że brak zachowanych nagrań i utylizacja kamery uniemożliwiają dalsze postępowanie oraz identyfikację osoby odpowiedzialnej za montaż urządzenia.
  • Prezes UODO uznał taką ocenę za błędną, podkreślając, że z materiału dowodowego wynika, iż monitoring zamontował informatyk szpitalny z inicjatywy pielęgniarki oddziałowej, w celu identyfikacji potencjalnej kradzieży leków.
  • Monitoring najprawdopodobniej rejestrował zarówno pacjentów, jak i personel szpitala, co oznacza, że dochodziło do przetwarzania danych osobowych, w tym danych wrażliwych o zdrowiu.
  • Prezes UODO zaznacza, że nawet bez fizycznych dowodów (nagrania, kamera), zebrany materiał pozwala stwierdzić, że dane były przetwarzane, co czyni prokuratorskie wnioski nieuzasadnionymi.
  • Rejestracja obrazu w sali reanimacyjnej mogła naruszyć przepisy o ochronie danych osobowych, gdyż odbywała się bez podstawy prawnej i odpowiedniego nadzoru.
  • W związku z tym Prezes UODO złożył zawiadomienie o podejrzeniu popełnienia przestępstwa z art. 107 Ustawy o ochronie danych osobowych.
  • Zdaniem Prezesa UODO, sprawa ta powinna zostać zweryfikowana przez niezależny sąd powszechny, a nie zakończona na etapie postępowania prokuratorskiego.
Źródło

Hiszpański organ (AEPD) wypowiedział się w sprawie ochrony danych przy wykonywaniu transkrypcji AI

  • Kontekst: Narzędzia do transkrypcji głosu zyskują popularność w organizacjach jako rozwiązania zwiększające efektywność (np. tworzenie protokołów ze spotkań), ale ich stosowanie wiąże się z poważnymi wyzwaniami prawnymi i etycznymi w kontekście RODO (GDPR).
  • Hiszpański organ ochrony danych (AEPD) uznaje głos za dane osobowe, jeżeli można zidentyfikować osobę mówiącą – zwłaszcza w powiązaniu z innymi danymi (np. numerem telefonu, adresem IP czy ciasteczkami).
  • W praktyce głos niemal zawsze staje się daną osobową, ze względu na dostępność technologii i danych pomocniczych.
  • AEPD rozróżnia dwa typy przetwarzania:
    • Transkrypcja głosu do wewnętrznych celów organizacyjnych (np. dokumentacja spotkań).
    • Ponowne wykorzystanie nagrań do trenowania lub ulepszania modeli sztucznej inteligencji przez dostawcę – co wymaga oddzielnej podstawy prawnej.
  • Drugie z tych zastosowań może wiązać się z odsłuchiwaniem nagrań przez ludzi, co zwiększa ryzyko przetwarzania oraz obowiązki związane z przejrzystością wobec osób, których dane dotyczą.
  • Organizacje powinny wykazać należytą staranność przed wdrożeniem transkrypcji:
    • Sprawdzenie jakie dodatkowe przetwarzanie wykonuje dostawca.
    • Gdzie i jak długo przechowywane są dane.
    • Jakie zabezpieczenia stosuje się dla ochrony danych.
    • Czy usługa wykorzystuje dane do analiz emocji lub innych danych specjalnych – co może wymagać spełnienia rygorystycznych wymogów RODO lub podlegać ograniczeniom w ustawie o AI.
  • Legalność przetwarzania zależy od kontekstu – może być uzasadniona umową, uzasadnionym interesem lub zgodą. Zgoda nie może być domyślna, wymuszona ani połączona z innym celem, co ma szczególne znaczenie w kontekście pracowniczym i administracji publicznej.
  • Jeśli podstawą przetwarzania jest uzasadniony interes, konieczne jest przeprowadzenie testu równowagi, uwzględniającego inwazyjny charakter nagrywania głosu.
  • Należy zapewnić pełną przejrzystość:
    • Informowanie uczestników o nagrywaniu i transkrypcji.
    • Wyjaśnienie możliwego ponownego użycia danych do treningu AI czy udziału pracowników w przetwarzaniu.
    • Wskazanie związanych z tym ryzyk oraz przysługujących osobom praw – m.in. prawa do sprostowania lub usunięcia danych.
  • Podsumowanie: Choć automatyczna transkrypcja głosu może wspierać efektywność organizacji, jej niewłaściwe wdrożenie może naruszać przepisy o ochronie danych, prawa pracowników oraz zasady zgodne z nowymi regulacjami dotyczącymi sztucznej inteligencji.
Źródło

Fala włamań na konta nauczycieli w e-dziennikach różnych szkół na terenie całej Polski

  • Kontekst: W ostatnich dniach miały miejsce włamania do dzienników elektronicznych w szkołach, m.in. w Otwocku, co wzbudziło obawy o bezpieczeństwo danych uczniów i nauczycieli.
  • Minister edukacji Barbara Nowacka potwierdziła trzy przypadki włamań i zaznaczyła, że resort edukacji nie odpowiada za obecnie funkcjonujące e-dzienniki, ponieważ są one tworzone i zarządzane przez prywatne firmy.
  • W przypadku szkoły w Otwocku nieuprawniona osoba przejęła konto nauczyciela w systemie Librus i wystawiła uczniom jedynki oraz rozsyłała wulgarne wiadomości.
  • Sprawa została zgłoszona na policję. Za tego typu przestępstwo grozi grzywna, ograniczenie wolności lub kara do 2 lat więzienia.
  • Librus wyjaśnił, że nie doszło do złamania zabezpieczeń technicznych systemu, a przejęcie konta było możliwe przez nieostrożność użytkownika (np. słabe hasło lub brak uwierzytelniania dwuskładnikowego).
  • Firma przypomniała o możliwości włączenia obowiązkowego uwierzytelniania dwuskładnikowego (2FA), co znacznie zmniejsza ryzyko włamań – taka decyzja zależy od dyrekcji szkoły i jej administratorów.
  • Wiceministra edukacji Katarzyna Lubnauer podkreśliła, że informacje znajdujące się w e-dziennikach to dane wrażliwe, a obecne systemy są prywatne i w różnym stopniu dbają o bezpieczeństwo.
  • Ministerstwo edukacji wraz z resortem cyfryzacji pracuje nad stworzeniem centralnego, państwowego dziennika elektronicznego, z planowanym uruchomieniem pierwszej fazy od 1 września 2027 r. i integracją z aplikacją mObywatel.
  • Nowy, państwowy system ma zapewnić większe bezpieczeństwo danych oraz być bezpłatny i bardziej dostępny dla nauczycieli, szkół i rodziców.
Źródło

Francuski organ (CNIL) publikuje checklistę dot. tworzenia i trenowania systemów AI

  • Kontekst: W obliczu rosnącej liczby projektów wykorzystujących sztuczną inteligencję (AI), organizacje wciąż mają trudności z praktycznym łączeniem zasad RODO z procesem tworzenia i treningu modeli AI.
  • Inicjatywa CNIL: Francuski organ ochrony danych (CNIL) opublikował praktyczne narzędzia – zestaw instrukcji („how-to sheets”) oraz checklistę – które wspierają zgodne z RODO rozwijanie systemów AI.
  • Zakres wytycznych CNIL:
    • Określenie podstawy prawnej do przetwarzania danych osobowych już na etapie projektowania AI
    • Jasne zdefiniowanie celu systemu oraz przypisanie ról i odpowiedzialności (administrator, współadministrator, podmiot przetwarzający)
    • Ocena możliwości ponownego użycia danych oraz ich zgodność z przepisami
    • Planowanie i przeprowadzanie Oceny Skutków dla Ochrony Danych (DPIA), gdzie to wymagane
    • Zapewnienie bezpieczeństwa systemu oraz danych na każdym etapie rozwoju
    • Sprawdzenie, czy model „zapamiętuje” dane i tym samym podlega pod przepisy RODO
  • Checklisty operacyjne: CNIL udostępnia również praktyczną listę kontrolną „Development of AI Systems: What should be checked?”, która pomaga organizacjom weryfikować zgodność projektów AI z ochroną danych osobowych.
  • Znaczenie dla Polski:
    • RODO nadal obowiązuje także wobec systemów AI – niezależnie od trwających prac nad unijnym AI Act
    • Wdrożenie RODO w AI wymaga podejścia „privacy by design” – od samego początku procesu tworzenia systemu
    • Wytyczne CNIL mogą stanowić przydatny wzorzec dla innych krajów, w tym Polski, zanim pojawią się ogólnoeuropejskie standardy
  • Wniosek: Organizacje powinny już teraz planować i wdrażać AI z uwzględnieniem ochrony danych – łącząc np. DPIA z dokumentacją faz rozwoju i mechanizmami ochrony praw użytkowników.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry