RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 28.04.2026 r. 

  RODO aktualności

Naruszanie należy zgłaszać bez zbędnej zwłoki – kara dla wspólnoty mieszkaniowej » Tylko administrator danych osobowych może wnioskować o uprzednie konsultacje » Naprawdę dobrze dopracowany atak na właścicieli stron na Facebooku » Czy Polska powinna wykluczyć amerykańskie chmury z przetargów? » Polska ma wątpliwości co do zmiany unijnej definicji danych osobowych i portfeli biznesowych » Prezes UODO z nowymi kompetencjami – ustawa o zarządzaniu danymi podpisana przez Prezydenta » Wietnam wdraża system ochrony danych osobowych » Dlaczego przesłanki zwalniające z obowiązku zgłoszenia naruszenia do PUODO, opisane w art. 31 RODO, to fikcja?

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

Naruszanie należy zgłaszać bez zbędnej zwłoki - kara dla wspólnoty mieszkaniowej

  • Kontekst: Prezes UODO Mirosław Wróblewski stwierdził naruszenie przepisów RODO przez wspólnotę mieszkaniową i nałożył karę 5 tys. zł za niezgłoszenie naruszenia ochrony danych bez zbędnej zwłoki, najpóźniej w ciągu 72 godzin od jego stwierdzenia.
  • Na czym polegało naruszenie: doszło do błędnego udostępnienia dokumentu osobie nieuprawnionej (pomyłkowo wysłana korespondencja) – przekazano „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych”.
  • Jakie dane ujawniono: w dokumencie znajdowały się m.in.:
    • imię i nazwisko członka wspólnoty,
    • adres oraz numer lokalu,
    • kwoty rozliczeń opłat za lokal,
    • numery liczników i ich odczyty,
    • numer rachunku bankowego do wpłat.
  • Źródło błędu: do nieprawidłowego udostępnienia doszło przy realizacji umowy administrowania nieruchomością wykonywanej przez spółkę na rzecz wspólnoty.
  • Stanowisko spółki: spółka twierdziła, że nie doszło do naruszenia, ponieważ obie osoby widniejące na dokumencie są właścicielami lokali i – jej zdaniem – mają prawo wglądu do dokumentów wspólnoty.
  • Stanowisko wspólnoty (administratora danych): wspólnota nie zgłosiła naruszenia do UODO, uzasadniając to tym, że chodziło o „dane zwykłe” oraz dotyczyło to tylko jednej osoby.
  • Ocena Prezesa UODO: organ uznał, że doszło do bezpodstawnego udostępnienia danych osobowych osobie nieuprawnionej, a więc do naruszenia ochrony danych osobowych.
  • Ważny wniosek dot. prawa właścicieli: przepisy ustawy o własności lokali nie uprawniają do dowolnego udostępniania danych osobowych innych członków wspólnoty – zwłaszcza gdy odbywa się to wbrew ich woli i w wyniku pomyłki w korespondencji.
  • Obowiązek zgłoszenia naruszenia (RODO): zgodnie z art. 33 RODO administrator ma obowiązek zgłosić naruszenie organowi nadzorczemu bez zbędnej zwłoki (w miarę możliwości do 72 godzin), chyba że jest mało prawdopodobne („unlikely”), by naruszenie skutkowało naruszeniem praw lub wolności osoby.
  • Jak rozumieć „mało prawdopodobne”: to sytuacja, w której przesłanki wskazują, że naruszenie praw lub wolności w ogóle się nie urzeczywistni; nie jest wymagane, aby negatywne skutki faktycznie już wystąpiły.
  • Po co są zgłoszenia do UODO: zgłaszanie naruszeń pomaga:
    • organowi nadzorczemu odpowiednio zareagować i ograniczyć skutki,
    • ocenić poziom ryzyka oraz to, czy osoby poszkodowane powinny zostać poinformowane,
    • sprawdzić skuteczność zabezpieczeń i wdrożyć usprawnienia, aby zapobiegać podobnym zdarzeniom w przyszłości.
  • Istotny fakt w tej sprawie: osoba, która otrzymała cudze dane, nie wnioskowała o ich przekazanie; udostępnienie nie było związane z celami określonymi w ustawie o własności lokali.
  • Kluczowa teza decyzji: nie można pomijać rzetelnej analizy ryzyka ani obowiązku zgłoszenia naruszenia tylko dlatego, że dotyczy ono jednej osoby lub obejmuje tzw. „zwykłe” dane.
  • Konkluzja: uchylenie się od zgłoszenia naruszenia nie ma podstaw w RODO i jest sprzeczne z jego celem – ochroną praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
Źródło

Tylko administrator danych osobowych może wnioskować o uprzednie konsultacje

  • Kontekst sprawy: Prezes Zarządu Stowarzyszenia „Prawnicy dla Polski”, dr Łukasz Piebiak, zawiadomił Prezesa UODO o możliwym naruszeniu zasad ochrony danych osobowych przez prezesów sądów powszechnych przy organizacji zgromadzeń ogólnych w sądach. Zwrócił się też o uprzednie konsultacje w trybie art. 36 RODO, ale Prezes UODO Mirosław Wróblewski odmówił, wskazując, że o takie konsultacje może wnioskować wyłącznie administrator danych.
  • Data wpływu pisma do UODO: 10 kwietnia 2026 r.
  • Powód, dla którego temat jest istotny teraz: Sprawa wiąże się ze zbliżającym się wyborem sędziowskiej części Krajowej Rady Sądownictwa (KRS). W związku z zapowiedziami rządu, że Sejm wybierze kandydatów wskazanych przez środowisko sędziowskie, prezesi sądów okręgowych i apelacyjnych zwołują zgromadzenia ogólne w celu wyłonienia tych kandydatów.
  • Stanowisko wnioskodawcy (Ł. Piebiaka):
    • Zgromadzenia ogólne są organami samorządu sędziowskiego o kompetencjach ściśle określonych w ustawach.
    • Według wnioskodawcy brakuje podstaw prawnych, aby zgromadzenia ogólne (a w praktyce prezesi sądów organizujący te zgromadzenia) zajmowały się opiniowaniem/wybieraniem kandydatów do KRS, skoro przepisy nie przewidują ich roli w tej procedurze.
    • W konsekwencji – jego zdaniem – może dochodzić do bezprawnego przetwarzania danych osobowych kandydatów, a także potencjalnie ich pełnomocników i sędziów udzielających poparcia.
    • W piśmie wskazano również na możliwość przetwarzania danych wrażliwych, np. informacji o przynależności sędziów do stowarzyszeń.
  • Czego domagał się wnioskodawca: przeprowadzenia uprzednich konsultacji z UODO na podstawie art. 36 RODO, dotyczących dopuszczalności takiego przetwarzania danych.
  • Odpowiedź Prezesa UODO (M. Wróblewskiego):
    • Uprzednie konsultacje z art. 36 RODO są mechanizmem przewidzianym dla administratora danych i mogą być uruchomione wyłącznie z jego inicjatywy.
    • Procedura ta dotyczy sytuacji, gdy administrator planuje przetwarzanie, które po ocenie skutków dla ochrony danych (DPIA) może powodować wysokie ryzyko, którego nie da się ograniczyć odpowiednimi środkami.
    • Warunkiem złożenia takiego wniosku jest, aby składał go administrator, który wcześniej wykonał ocenę skutków dla ochrony danych. UODO uznał, że ani Stowarzyszenie „Prawnicy dla Polski”, ani jego prezes nie są w tej sprawie administratorem danych sędziów.
    • Prezes UODO podkreślił też, że nie jest organem uprawnionym do wydawania opinii prawnych; ocena zgodności działań z przepisami o ochronie danych odbywa się w ramach procedur przewidzianych prawem, w szczególności w toku postępowań administracyjnych.
  • Najważniejszy wniosek praktyczny: UODO nie uruchomił uprzednich konsultacji, ponieważ wniosek złożył podmiot, który – w ocenie UODO – nie ma w tej sytuacji statusu administratora danych, a sam mechanizm art. 36 RODO służy wyłącznie administratorowi planującemu przetwarzanie po przeprowadzeniu oceny skutków.
Źródło

Naprawdę dobrze dopracowany atak na właścicieli stron na Facebooku

  • Kontekst: artykuł opisuje nowy, bardzo wiarygodny atak phishingowy wymierzony w administratorów fanpage’y na Facebooku, wykorzystujący prawdziwe e-maile wysyłane przez Metę (Facebooka).
  • Dlaczego to wygląda wiarygodnie:
    • Wiadomość przychodzi z prawdziwego adresu Mety/Facebooka.
    • Nie wpada do spamu.
    • Trafia na niepubliczny adres e-mail przypisany do danego fanpage’a (atakujący nie musi go znać).
    • Dotyczy rzekomej blokady strony w ciągu 24 godzin, co wywołuje presję czasu.
  • Na czym polega przekręt: atakujący wykorzystuje mechanizm, w którym Facebook wysyła e-maile, gdy ktoś prosi o dostęp do czyjegoś Business Portfolio.
  • Kluczowa luka/cecha mechanizmu: w treść takiego e-maila da się wpleść fragmenty tekstu kontrolowane przez osobę wnioskującą o dostęp, a Facebook nie oznacza jednoznacznie, które fragmenty są dodane przez wnioskującego.
  • Problem dla odbiorcy: trudno samodzielnie rozpoznać, które części e-maila są „standardowe” od Facebooka, a które zostały podstawione przez atakującego.
  • Co się dzieje po kliknięciu linku:
    • Link prowadzi na stronę udającą serwisy Mety.
    • Strona zawiera formularz wyłudzający dane osobowe oraz login i hasło.
    • Podanie danych kończy się przejęciem konta (ofiara traci dostęp).
  • Dodatkowe informacje techniczne z artykułu: domena użyta w ataku została założona tego samego dnia i jest ukryta za usługą Cloudflare.
  • Najważniejszy wniosek: nawet e-mail wyglądający na w pełni autentyczny i wysłany z prawdziwej domeny Facebooka może być elementem oszustwa, jeśli zawiera link prowadzący do fałszywej strony logowania.
  • Rekomendowane działanie: ostrzec współpracowników z zespołów social media oraz wszystkich znajomych, którzy prowadzą fanpage’e na Facebooku, żeby zachowali szczególną ostrożność wobec takich wiadomości.
Źródło

Czy Polska powinna wykluczyć amerykańskie chmury z przetargów?

  • Kontekst: Obowiązujące prawo może pozwalać polskiej administracji wykluczać amerykańskie firmy z przetargów na usługi chmurowe, ponieważ przepisy RODO wymagają realnej ochrony danych obywateli przed dostępem organów państw trzecich.
  • Kluczowy problem: Zgodnie z amerykańskim prawem CLOUD Act organy ścigania USA mogą uzyskać dostęp do danych przechowywanych przez amerykańskie firmy niezależnie od tego, gdzie fizycznie znajdują się serwery/dyski.
  • Potwierdzenie w dyskusji publicznej: Podczas premiery raportu Instytutu Poznańskiego o suwerenności cyfrowej wskazał to także przedstawiciel Google Cloud na region Europy Środkowo‑Wschodniej.
  • Skutki dla polskich instytucji: Jeśli polska administracja, służby lub ochrona zdrowia korzystają z amerykańskiej chmury, potencjalnie amerykańskie służby mogą mieć dostęp do dokumentów przechowywanych w tych systemach.
  • Zakres danych, których to może dotyczyć: W praktyce może chodzić o szeroki katalog informacji, m.in.:
    • wnioski administracyjne (np. rejestracja pojazdów),
    • dane o świadczeniach socjalnych i wypłatach,
    • dokumentację medyczną,
    • materiały ze śledztw i postępowań (policja, prokuratura, sądy),
    • korespondencję służbową urzędników.
  • Brak konieczności informowania: Dostęp do danych (w ramach CLOUD Act) nie musi wymagać wiedzy ani zgody osoby czy firmy, których dane dotyczą.
  • Obowiązki polskiej administracji: Instytucje publiczne mają obowiązek dbać o bezpieczeństwo i poufność danych obywateli, w tym chronić je przed nieuprawnionym dostępem podmiotów z państw trzecich.
  • Wniosek prawników: Według opinii prawnej kancelarii WKB Lawyers istnieje podstawa, by polska administracja wykluczała amerykańskie firmy technologiczne z przetargów na rozwiązania chmurowe ze względu na ryzyko wynikające z CLOUD Act.
  • Prawo zamówień publicznych: Co do zasady wykonawcy z USA powinni być traktowani równo, ale zamawiający może wprowadzić ograniczenia udziału w przetargu, jeśli są one proporcjonalne i niezbędne do realizacji uzasadnionych potrzeb (np. poufność danych, cyberbezpieczeństwo).
  • RODO i ocena ryzyka: Przy wyborze dostawcy chmury podmiot publiczny jako administrator danych powinien analizować m.in. powiązania kapitałowe dostawcy i ryzyko udostępnienia danych organom obcego państwa (także wtedy, gdy europejska spółka jest powiązana z podmiotem spoza UE).
  • Konkluzja: Skoro CLOUD Act tworzy trwałe ryzyko dostępu do danych przez organy USA, to polska administracja może już dziś legalnie ograniczać lub wykluczać amerykańskich dostawców usług chmurowych w przetargach — bez konieczności zmiany przepisów, a w świetle innych regulacji może to być wręcz obowiązek.
Źródło

Polska ma wątpliwości co do zmiany unijnej definicji danych osobowych i portfeli biznesowych

  • Kontekst: Rząd omawia w Sejmie propozycję Komisji Europejskiej tzw. Cyfrowego Omnibusa – pakietu zmian, który ma uprościć i ujednolicić unijne przepisy dotyczące danych i cyberbezpieczeństwa (m.in. RODO, NIS2, akt o AI, akt o danych, akt o zarządzaniu danymi).
  • Ogólna ocena Polski: wiceminister cyfryzacji Rafał Rosiński wskazał, że rząd pozytywnie ocenia kierunek zwiększenia spójności prawa cyfrowego, redukcji obciążeń i uproszczeń, ale stawia warunek: utrzymanie wysokich standardów ochrony danych osobowych i praw użytkowników internetu.
  • Największe zastrzeżenia: Polska ma zastrzeżenia wobec:
    • zmiany definicji danych osobowych w RODO,
    • zmian w przepisach dotyczących cookies – jako kluczowych dla ochrony prywatności.
  • Co miałoby się zmienić w definicji danych osobowych: dziś dane osobowe to informacje o osobie zidentyfikowanej lub możliwej do zidentyfikowania; Cyfrowy Omnibus zakłada, że dane nie byłyby uznawane za osobowe z perspektywy administratora, jeśli ten nie ma realnych środków, by zidentyfikować konkretną osobę.
  • Cookies – kierunek propozycji KE: Komisja proponuje, aby nie trzeba było za każdym razem akceptować cookies na stronach, tylko ustawiać preferencje np. w przeglądarce; KE argumentuje, że obecne „pop-upy zgód” są uciążliwe i generują koszty dla firm.
  • Europejska „unia danych” dla rozwoju AI: elementem pakietu jest strategia zwiększenia dostępu do danych na potrzeby rozwoju sztucznej inteligencji, aby wzmocnić konkurencyjność UE.
  • Stanowisko Polski wobec udostępniania danych: Polska popiera podejście KE, wskazując, że dane stały się strategicznym zasobem, a w UE wciąż brakuje dostępu do wysokiej jakości danych dla AI (wiele danych jest rozproszonych i niewykorzystywanych, podczas gdy globalni konkurenci działają szybciej).
  • Postulat ujednolicenia przepisów o danych: rząd chce, by regulacje były spójne, jednolite, przejrzyste i łatwe w stosowaniu dla przedsiębiorców, obywateli i administracji.
  • Transfery danych poza UE: Polska popiera wypracowanie przez UE wspólnych zasad międzynarodowych transferów danych oraz działań „przywracających równowagę” w tym obszarze.
  • AI – równowaga innowacji i bezpieczeństwa: w negocjacjach w Radzie UE Polska podkreśla potrzebę równowagi między innowacyjnością a bezpieczeństwem, szczególnie przy przetwarzaniu danych wrażliwych przez systemy AI.
  • Terminy i spójność wdrożenia: rząd akcentuje konieczność jasnych, przewidywalnych terminów wprowadzania przepisów w całej UE oraz ich harmonizacji z innymi aktami prawa UE.
  • Co Polska chce doprecyzować w dalszych pracach:
    • przepisy dotyczące danych wrażliwych,
    • jasne określenie roli biura UE ds. AI,
    • utrzymanie silnej pozycji organów krajowych,
    • realne ułatwienia dla MŚP,
    • proporcjonalność obciążeń dla dostawców systemów generatywnej AI.
  • Europejskie portfele biznesowe: równolegle KE proponuje rozporządzenie tworzące europejskie portfele dla firm – jedno narzędzie do ułatwienia kontaktów przedsiębiorstw w całej UE.
  • Co mają umożliwiać portfele: dzięki unikalnemu identyfikatorowi firma mogłaby m.in. cyfrowo weryfikować tożsamość, podpisywać dokumenty, stosować znacznik czasu i wymieniać zweryfikowane informacje transgranicznie w jednym rozwiązaniu.
  • Warunek Polski dot. portfeli: narzędzie nie powinno dublować rozwiązań krajowych (np. doręczeń elektronicznych) i musi współdziałać z istniejącymi systemami; rząd sprzeciwia się wymuszaniu budowy równoległej infrastruktury.
  • Dobrowolność dla władz: korzystanie z portfeli przez administrację powinno być dobrowolne, proporcjonalne i ograniczone do potrzeb transgranicznych.
Źródło

Prezes UODO z nowymi kompetencjami - ustawa o zarządzaniu danymi podpisana przez Prezydenta

  • Kontekst: Prezydent RP Karol Nawrocki podpisał ustawę o zarządzaniu danymi, która wdraża unijne rozporządzenie DGA (Data Governance Act). Ustawa ma uporządkować zasady udostępniania i ponownego wykorzystania wybranych danych oraz zwiększyć zaufanie do rynku usług związanych z danymi.
  • Nowe kompetencje Prezesa UODO: urząd otrzymuje dodatkowe uprawnienia w trzech obszarach:
    • sprawy pośrednictwa danych,
    • rejestracja organizacji altruizmu danych,
    • nadzór nad przekazywaniem danych nieosobowych do państw trzecich.
  • „Dane chronione” w sektorze publicznym: przepisy określają zasady ponownego wykorzystywania niektórych kategorii danych będących w posiadaniu podmiotów publicznych, jeśli podlegają one ochronie praw osób trzecich (np. tajemnice prawnie chronione).
  • Pośrednictwo danych – ramy prawne i większe zaufanie: ustawa ustanawia zasady działania dostawców usług pośrednictwa danych, aby zwiększyć bezpieczeństwo i zaufanie między tymi, którzy dane udostępniają, a tymi, którzy z nich korzystają.
  • Altruizm danych jako formalny model: powstanie rejestr organizacji altruizmu danych – to ma umożliwiać ustrukturyzowane, zgodne z prawem udostępnianie danych np. na cele społeczne, badawcze czy publiczne.
  • Zmiana roli UODO: w ocenie prof. Grzegorza Sibigi nowe przepisy w praktyce poszerzają rolę UODO – organ ma zajmować się nie tylko danymi osobowymi, ale także danymi nieosobowymi w kontekście DGA.
  • Terminy: ustawa wejdzie w życie po 3 miesiącach od ogłoszenia (to oznacza krótki czas na przygotowanie się podmiotów, których dotyczy).
  • Kary i compliance: podmioty działające jako pośrednicy danych powinny przygotować się na obowiązki zgodności z przepisami oraz ryzyko kar finansowych (wskazywane jako potencjalnie dotkliwe).
  • Nie tylko UODO: oprócz UODO nowe zadania dostaje także GUS (Główny Urząd Statystyczny).
  • Znaczenie dla rynku: według prezesa UODO Mirosława Wróblewskiego ustawa może być impulsem rozwojowym dla gospodarki i sfery społecznej, bo otwiera nowe, uporządkowane prawnie modele korzystania z danych.
  • Wniosek praktyczny dla biznesu: firmy rozważające modele oparte o pośrednictwo danych lub altruizm danych powinny już teraz przeanalizować wymagania wynikające z DGA i przygotować plan wdrożenia (procedury, role, dokumentacja, ryzyka).

Źródło

Wietnam wdraża system ochrony danych osobowych

  • Kontekst: Wietnam dąży do zbliżenia do globalnych standardów ochrony danych. Od początku 2026 r. obowiązują przepisy wykonawcze do Personal Data Protection Law (PDPL), które kończą okres przejściowy i wprowadzają pełny, kompleksowy system regulacyjny.
  • Co zmienia PDPL: przepisy porządkują kluczowe obszary przetwarzania danych i precyzują obowiązki po stronie organizacji.
  • Prawa osób fizycznych: wprowadzono katalog praw osób, których dane dotyczą, m.in. prawo dostępu do danych, sprostowania oraz usunięcia.
  • Zgoda na przetwarzanie: zaostrzono wymagania dotyczące pozyskiwania i dokumentowania zgody.
  • Obowiązki organizacyjne: administratorzy i podmioty przetwarzające muszą spełnić konkretne wymogi organizacyjne (compliance), a nie tylko deklaratywne zasady.
  • Mechanizmy wdrożeniowe: przepisy przewidują praktyczne narzędzia i procedury, m.in. klasyfikację danych (w tym wyodrębnienie danych wrażliwych), obowiązek oceny skutków przetwarzania oraz szczegółowe zasady obsługi żądań osób fizycznych.
  • Transfery danych: pojawiają się wymagania dotyczące przekazywania danych, obejmujące nie tylko zabezpieczenia umowne, ale też oceny ryzyka oraz obowiązki rejestracyjne wobec lokalnych organów.
  • Naruszenia ochrony danych: wprowadzono ściśle określone terminy zgłaszania naruszeń — w wielu przypadkach do 72 godzin od wykrycia.
  • Egzekwowanie i kary: sankcje mają być odczuwalne; w części przypadków mogą być liczone jako wielokrotność uzyskanych korzyści lub powiązane z przychodem organizacji.
  • Szerszy ekosystem regulacji: PDPL jest elementem większego pakietu – równolegle rozwijane są m.in. ustawa o danych, regulacje dla sektora technologii cyfrowych oraz przepisy dotyczące AI (obowiązujące od marca 2026 r.).
  • Model „wielowarstwowy”: Wietnam buduje system łączący ochronę danych, bezpieczeństwo, rozwój technologii i nadzór państwowy; widać inspiracje innymi jurysdykcjami, ale z większym naciskiem na kontrolę administracyjną.
  • Wniosek praktyczny: Wietnam przestaje być „egzotyczny” regulacyjnie — organizacje muszą przygotować konkretne, lokalnie dopasowane podejście do zgodności (compliance).
  • Co warto obserwować: jak Wietnam będzie równoważył ochronę danych, rozwój AI oraz interes państwa w kolejnych etapach wdrażania i egzekwowania przepisów.
Źródło

Dlaczego przesłanki zwalniające z obowiązku zgłoszenia naruszenia do PUODO, opisane w art. 31 RODO, to fikcja?

  • Kontekst: Art. 33 ust. 1 RODO przewiduje, że naruszenie ochrony danych zgłasza się do UODO, chyba że jest mało prawdopodobne, aby skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Artykuł pokazuje, że w praktyce ta „furtka” jest interpretowana bardzo wąsko.
  • Przykład z decyzji UODO: Decyzja UODO DKN.5131.16.2025 z 7 kwietnia 2026 r. (na 20.04.2026 r. nieprawomocna) dotyczy pomyłkowego wysłania jednej osobie rozliczenia opłat innego członka wspólnoty mieszkaniowej.
  • Zakres ujawnionych danych: imię i nazwisko, adres, numer lokalu, kwoty za media, numery liczników, numer rachunku bankowego; brak danych wrażliwych i brak „wycieku do Internetu”.
  • Ocena administratora: administrator uznał, że nie ma podstaw do zgłoszenia (dane „zwykłe”, pojedynczy przypadek, a odbiorca jako członek wspólnoty ma ustawowe prawo wglądu do dokumentów).
  • Stanowisko UODO: mimo powyższych argumentów UODO nałożył karę za niezgłoszenie naruszenia, co pokazuje, jak restrykcyjnie organ podchodzi do wyjątku z art. 33 ust. 1 RODO.
  • Dlaczego wyjątek jest w praktyce bardzo trudny do zastosowania:
    • Znaczenie „mało prawdopodobne”: UODO wskazuje, że angielskie „unlikely” ma mocniejsze znaczenie niż polskie sformułowanie — chodzi o sytuacje wątpliwe lub niemal niemożliwe.
    • Wytyczne EROD 9/2022: wyjątek ma zastosowanie tylko wtedy, gdy „małe prawdopodobieństwo” jest oczywiste.
    • Wyrok NSA z 1.10.2025 (III OSK 1830/22): administrator ma wykazać nie brak naruszenia, ale brak (małe prawdopodobieństwo) ryzyka naruszenia praw lub wolności; ryzyko nie musi się zmaterializować — wystarczy, że jest realne.
    • Ciężar dowodu po stronie administratora: aby skorzystać z wyjątku, trzeba to udokumentować i wykazać na obiektywnych kryteriach; samo przekonanie, że „nic się nie stanie”, nie wystarcza.
  • Wniosek praktyczny z interpretacji organu: każde nieuprawnione ujawnienie danych (nawet pojedyncze, nawet „zwykłych”, nawet przez pomyłkę w korespondencji) tworzy co najmniej pewne ryzyko dla osoby, której dane dotyczą (np. utrata kontroli nad danymi, możliwość wtórnego wykorzystania, dyskomfort – zgodnie z motywem 85 RODO).
  • Kiedy wyjątek może realnie zadziałać: w bardzo wąskich przypadkach, gdy ryzyko dla osoby jest faktycznie zerowe, np. utrata zaszyfrowanego nośnika bez możliwości odszyfrowania albo sytuacje techniczne, w których nie doszło do dostępu osób trzecich.
  • Rekomendacja autora: traktować art. 33 ust. 1 RODO w praktyce jak obowiązek niemal bezwzględny — zgłaszać do UODO w 72 godziny każde nieuprawnione ujawnienie danych oraz zawsze dokumentować ocenę ryzyka (niezależnie od jej wyniku), bo to jest bezpieczniejsze i może ograniczać koszty oraz ryzyko kary.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry