RODO aktualności – 28.10.2025 r. 

• Kontekst: Artykuł dotyczy roli i niezależności Inspektora Ochrony Danych (IOD) w organizacjach zgodnie z przepisami RODO. Podkreśla, że inspektor nie może być zależny od innych działów i musi działać bezstronnie. Naruszenie tej zasady może skutkować wysokimi karami finansowymi i utratą zaufania do firmy.
• Kluczowe obowiązki administratora danych osobowych:
  • Zagwarantowanie IOD faktycznej niezależności – niepodporządkowanie innym działom (np. IT, HR, bezpieczeństwa).
  • Bezpośrednia podległość IOD pod najwyższe kierownictwo (np. zarząd, dyrektor szkoły, właściciel firmy).
  • Zapewnienie środków i wsparcia do wykonywania zadań – czas, budżet, zasoby, dostęp do informacji.
  • Angażowanie IOD we wszystkie sprawy związane z ochroną danych – np. oceny skutków przetwarzania.
  • Zakaz wydawania poleceń dotyczących realizacji obowiązków IOD.
• Nieprawidłowości i kary:
  • Toyota Bank Polska: kara 261 918 zł za podporządkowanie IOD departamentowi bezpieczeństwa IT.
  • Spółka medyczna: kara 11 365 zł za pełnienie funkcji IOD przez prezesa zarządu (konflikt interesów).
• Typowe błędy w organizacjach:
  • Fikcyjna niezależność – formalna podległość IOD zarządowi, ale brak realnego wpływu i komunikacji.
  • Łączenie funkcji IOD z rolami decyzyjnymi – np. kierowanie działem IT czy bycie członkiem zarządu.
  • Brak wewnętrznych zasad odnośnie konfliktu interesów i współpracy z IOD.
• Zalecenia dla organizacji:
  • Wskazać stanowiska wykluczające pełnienie funkcji IOD.
  • Wprowadzić politykę niezależności i regularnie audytować rolę IOD.
  • Rozważyć outsourcing funkcji IOD – zwiększa obiektywizm i niezależność.
  • Zapewnić, że IOD nie uczestniczy w zgłaszaniu naruszeń w imieniu administratora – pełni jedynie rolę doradczą i nadzorczą.
• Konsekwencje naruszenia niezależności IOD:
  • Sankcje administracyjne – nawet do 10 mln euro lub 2% globalnego obrotu rocznego firmy.
  • Ryzyko reputacyjne – utrata zaufania klientów i partnerów.
• Podsumowanie:
  • Niezależność IOD jest kluczowym elementem skutecznej ochrony danych osobowych i zgodności z RODO.
  • Administratorzy muszą zadbać o odpowiednie usytuowanie i wsparcie dla IOD oraz unikać sytuacji prowadzących do konfliktu interesów.
  • Niewłaściwe podejście do roli IOD może nie tylko skutkować karami finansowymi, ale i podważyć wiarygodność firmy.

• Kontekst: Artykuł dotyczy nadużyć w zakresie prywatności danych w aplikacji Flo Health – popularnej aplikacji śledzącej cykl menstruacyjny i zdrowie reprodukcyjne, z której korzysta ponad 100 milionów kobiet na całym świecie.
• Aplikacja Flo deklarowała pełne poszanowanie prywatności użytkowniczek, lecz śledztwo Amerykańskiej Federalnej Komisji Handlu (FTC) wykazało, że dane były przekazywane zewnętrznym firmom technologicznym, takim jak Facebook i Google.
• Udostępniane informacje dotyczyły m.in. cyklu menstruacyjnego oraz potencjalnej ciąży, co mogło wpływać na natychmiastowe wyświetlanie użytkowniczkom odpowiednio dopasowanych reklam.
• W wyniku pozwu zbiorowego (Frasco v. Flo Health) sąd federalny w USA uznał, że Flo i Google przetwarzały dane w sposób nieuprawniony.
• Sprawa zakończyła się ugodą sądową, na mocy której wypłacono łącznie 56 milionów dolarów odszkodowania.
• Dla wielu kobiet kluczowe było nie odszkodowanie, lecz poczucie naruszenia prywatności i utratę zaufania do aplikacji.
• Artykuł porusza szerszy problem: czy firmy technologiczne są gotowe naprawdę respektować prywatność użytkowników, czy też nadal reagują dopiero po wybuchu kontrowersji i presji prawnej.

• Kontekst: Urząd Ochrony Danych Osobowych (UODO) prowadzi badanie ankietowe mające na celu rozpoznanie potrzeb związanych z wykorzystaniem sztucznej inteligencji (SI) oraz ochroną danych osobowych w tym kontekście.
• Ankieta skierowana jest do instytucji publicznych, przedsiębiorców (w tym MŚP), organizacji pozarządowych, a także sektora edukacyjnego, medycznego, naukowego i kultury.
• Celem badania jest opracowanie działań edukacyjnych i wspierających odpowiedzialne, zgodne z prawem wdrażanie technologii SI.
• Ankieta powstała we współpracy ze Społecznym Zespołem Ekspertów przy Prezesie UODO oraz Grupą roboczą ds. Sztucznej Inteligencji.
• Zebrane dane posłużą do stworzenia poradników, wytycznych i programów edukacyjnych dostosowanych do konkretnych potrzeb różnych grup podmiotów.
• Wypełnienie ankiety zajmuje około 10 minut i umożliwia zgłoszenie chęci współpracy z Grupą roboczą ds. SI.
• Termin wypełnienia ankiety online upływa 15 listopada 2025 r.
• Prezes UODO, Mirosław Wróblewski, zachęca do aktywnego udziału wszystkich zainteresowanych.

​​Kontekst: 18 lipca 2025 r., austriacki Federalny Sąd Administracyjny wydał orzeczenie (sygn. W292 2235791-1) w sprawie dotyczącej prawa dostępu do informacji o odbiorcach danych osobowych na podstawie art. 15 ust. 1 lit. c) RODO (#GDPR). Spór dotyczył skargi osoby, która twierdziła, że administrator nie wskazał konkretnych odbiorców jej danych w odpowiedzi na wniosek dostępu.

• Trybunał oparł się na orzecznictwie TSUE, w szczególności sprawie C-154/21 (Österreichische Post), według którego osoby mają prawo poznać konkretnych odbiorców danych, ale nie jest to prawo bezwzględne.
• Jeśli identyfikacja konkretnych odbiorców jest niemożliwa lub nieproporcjonalna, administrator może ograniczyć się do wskazania kategorii odbiorców.
• W analizowanej sprawie administrator podał listę potencjalnych podmiotów przetwarzających oraz kategorii odbiorców wraz z celami ich przetwarzania, co sąd uznał za wystarczające.
• Nie istnieje obowiązek prowadzenia rejestrów, które umożliwiają późniejsze śledzenie każdego konkretnego odbiorcy danych osobowych.
• Sąd uznał podejście administratora za zgodne z art. 12 i 15 RODO, ponieważ opierało się ono na dostępnych, rozsądnie możliwych do uzyskania informacjach.
• Argument urzędu ochrony danych (DSB), że administrator musi znać wszystkich odbiorców z powodów rozliczeniowych, został odrzucony jako nieoparty na faktach.
• Sąd wskazał również na błędy proceduralne po stronie DSB, w tym przekroczenie kompetencji i ponowne rozpatrzenie prawomocnych elementów sprawy.
• W efekcie decyzja DSB została uchylona, a skarga uznana za bezzasadną.

Wniosek: Administratorzy nie są zobowiązani do ujawnienia konkretnych odbiorców danych osobowych, jeśli ich identyfikacja nie jest możliwa lub byłaby nieproporcjonalna. W takich przypadkach wystarczające jest wskazanie kategorii odbiorców i celów przetwarzania. Orzeczenie podkreśla potrzebę wyważenia między prawami jednostek a praktyczną wykonalnością przepisów RODO.

Kontekst: Wyrok Naczelnego Sądu Administracyjnego (NSA) dotyczy sporu prawnego wokół uznania takich identyfikatorów jak adres IP oraz identyfikator z plików cookies za dane osobowe w rozumieniu RODO. Sprawa rozpoczęła się w 2021 r. skargą użytkownika internetu dotyczącą nieprawidłowości w przetwarzaniu jego danych przez pewną spółkę internetową.

• NSA nie rozstrzygnął jednoznacznie, że adres IP i identyfikator z cookies zawsze stanowią dane osobowe – wskazał, że wymaga to każdorazowej analizy w konkretnych okolicznościach.
• Wcześniejsza decyzja Prezesa UODO została uchylona przez WSA, ponieważ nie przeprowadzono wystarczającego postępowania wyjaśniającego dotyczącego możliwości identyfikacji użytkownika.
• Kluczowe znaczenie ma stopień prawdopodobieństwa, że administrator danych lub inna osoba może wykorzystać dane (jak IP lub cookie ID) do zidentyfikowania osoby fizycznej – zgodnie z motywem 26 RODO.
• Analiza powinna obejmować techniczne i organizacyjne możliwości identyfikacji (np. dostępność technologii, koszty, czas, dostępne dane).
• W sprawie analizowanej przez NSA nie ustalono, czy adres IP był stały czy dynamiczny, co jest istotne dla oceny możliwości identyfikacji użytkownika.
• Operator strony internetowej może być uznany za administratora danych osobowych, nawet jeśli dostęp do danych ma jedynie dostawca oprogramowania zewnętrznego umieszczonego w witrynie.
• NSA wskazał, że sam fakt wykorzystania plików cookies analitycznych i zapytań o cookie ID nie oznacza, że dane te automatycznie mają charakter danych osobowych.
• W ponownym postępowaniu PUODO ma dokładnie ocenić, czy Spółka miała faktyczną możliwość identyfikacji użytkownika na podstawie adresu IP i cookie ID podczas odwiedzin strony.
• Fakt podania danych osobowych przez użytkownika w późniejszym etapie (np. imienia i nazwiska) nie wpływa na ocenę, czy przetwarzane wcześniej dane miały charakter danych osobowych – analizę należy dokonywać na moment przetwarzania.

Wnioski:

• Wyrok NSA ma znaczenie dla praktyki stosowania RODO, szczególnie w zakresie kwalifikacji danych technicznych (jak IP, cookies) jako danych osobowych.
• Organy administracyjne muszą szczegółowo uzasadniać swoje decyzje, wykazując faktyczną możliwość (lub jej brak) zidentyfikowania osoby na podstawie przetwarzanych danych.
• Przetwarzanie danych w środowisku cyfrowym podlega RODO, ale zakres odpowiedzialności podmiotów przetwarzających musi być oceniany indywidualnie – w zależności od ich realnych możliwości identyfikacyjnych.
• Temat pozostaje otwarty i może być przedmiotem dalszych interpretacji i rozstrzygnięć sądowych.

• Kontekst: Europejska Rada Ochrony Danych (EROD) zaopiniowała projekty decyzji Komisji Europejskiej dotyczące przedłużenia do grudnia 2031 roku uznania Wielkiej Brytanii za kraj zapewniający odpowiedni poziom ochrony danych osobowych, co umożliwia dalszy swobodny przepływ danych między UE a Wielką Brytanią bez dodatkowych zabezpieczeń prawnych.
• EROD oceniła, że brytyjski system ochrony danych pozostaje w dużej mierze zgodny ze standardami UE, mimo reform legislacyjnych w Wielkiej Brytanii.
• Główne zastrzeżenia dotyczą:
  • ustawy o uchyleniu i reformie prawa UE (REUL) z 2023 r., która ogranicza pierwszeństwo prawa UE w Wielkiej Brytanii,
  • nowych uprawnień brytyjskiego ministra do wprowadzania zmian regulacyjnych bez pełnego nadzoru parlamentu,
  • ryzyka związanego z przekazywaniem danych osobowych z Wielkiej Brytanii do państw trzecich,
  • potencjalnego wykorzystania przez rząd narzędzi technicznych, które mogą zagrozić bezpieczeństwu danych (np. poprzez osłabienie szyfrowania).
• Pozytywnie oceniono:
  • działania brytyjskiego urzędu ds. ochrony danych (ICO) w zakresie przejrzystości i publikowania danych o egzekwowaniu przepisów,
  • utrzymanie zgodności przepisów dotyczących praw osób, danych wrażliwych i przejrzystości z unijnym RODO.
• W zakresie ochrony danych w sprawach karnych (dyrektywa LED), EROD zaapelowała o dokładne monitorowanie:
  • stosowania wyjątków uzasadnianych bezpieczeństwem narodowym,
  • stosowania zautomatyzowanego podejmowania decyzji przez brytyjskie organy ścigania, ze szczególnym uwzględnieniem potrzeby nadzoru ludzkiego,
  • skuteczności nadzoru i mechanizmów skargowych dla obywateli.
• Ostateczna decyzja należy do Komisji Europejskiej – jeśli zostanie przyjęta, nowe decyzje zastąpią obowiązujące obecnie orzeczenia z 2021 roku i przedłużą status uznania Wielkiej Brytanii jako kraju zapewniającego odpowiedni poziom ochrony danych do 2031 roku.