RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 29.04.2025 r. 

  RODO aktualności

Czy szyfrowanie danych zwalnia administratora z obowiązku zgłaszania naruszenia RODO do PUODO?​ » Bezpieczniej zgłosić naruszenie ochrony danych osobowych do UODO​ » TSUE o tajemnicy przedsiębiorstwa i decyzjach podjętych przez algorytm​ » Sąd UE ma się zająć sprawą 225 mln euro kary dla WhatsApp​ » Czy Koleje Mazowieckie dostaną dane gapowiczów z bazy PESEL? Wyrok NSA​ » TSUE: udostępnienie imienia i nazwiska osoby reprezentującej spółkę stanowi przetwarzaniem danych​ » NSA uchyla wyrok WSA, co do możliwości wykorzystania danych z GPS​ » Rzecznik TSUE: RODO nie ma zastosowania do przesyłania marketingu bezpośredniego​ » Centralna Ewidencja Pojazdów niczym kolejny rejestr skazanych​ » 4 miliony kary dla Telenor ASA w Norwegii​ » RODO szyte na miarę. Czy będzie deregulacja w sferze ochrony danych osobowych?​ » WSA oddala skargę wobec kary na ponad 117 000 zł za brak analizy ryzyka​ » UOKiK świętuje 35-lecie działalności​ » Model AI Muska nielegalnie korzysta z naszych danych? Irlandia wszczyna dochodzenie​ » Wysłanie przypomnienia o wygasającej umowie to przetwarzanie danych osobowych​ » Czy szyfrowanie danych zwalnia administratora z obowiązku zgłaszania naruszenia ochrony danych osobowych do PUODO?​ » EROD przyjął wytyczne w sprawie przetwarzania danych osobowych za pomocą technologii blockchain​ » Komisja Europejska ogłosiła skoordynowany plan ws. sztucznej inteligencji​ » AI Act to regulacja głównie systemów AI wysokiego ryzyka​ » Dobrze przeprowadzona analiza ryzyka mogłaby pozwolić uniknąć utraty danych​

⬇️ Pobierz W PDF


 

RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie.   Dowiedz się więcej o RODOLOGII:   Sprawdź  

Czy szyfrowanie danych zwalnia administratora z obowiązku zgłaszania naruszenia RODO do PUODO?

  • Temat zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego nadal wzbudza wiele emocji i wątpliwości – zarówno wśród profesjonalistów, jak i administratorów danych. Po publikacji zaktualizowanego poradnika przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) w lutym 2025 r., oraz webinarium zorganizowanym pod koniec marca 2025 r., nadal trwa dyskusja dotycząca m.in. szyfrowania jako środka ochrony danych.​
  • Najważniejsze wnioski:​
  • Szyfrowanie to technika zabezpieczająca dane tak, by dostęp do nich miały tylko osoby posiadające odpowiedni klucz – mimo że brak jej formalnej definicji w RODO.​
  • RODO wskazuje szyfrowanie jako jedno z zalecanych środków technicznych zwiększających bezpieczeństwo przetwarzania danych (art. 32).​
  • Jeśli dane zostały zaszyfrowane w sposób uniemożliwiający ich odczyt osobom nieupoważnionym, administrator może nie informować osoby o naruszeniu danych (art. 34 ust. 3 RODO).​
  • Szyfrowanie jest szczególnie zalecane w przypadku:​
    • wysyłania e-maili i załączników,​
    • przechowywania danych na dyskach, w chmurze i na urządzeniach mobilnych,​
    • przesyłu danych przez Internet (np. HTTPS),
    • ​ kopii zapasowych.
  • Zapewnienie ochrony danych to ciągły proces – należy stale monitorować zastosowane środki i dokumentować ich adekwatność do poziomu ryzyka.​
  • Praktyczne konsekwencje braku szyfrowania: decyzje Prezesa UODO pokazują, że brak wdrożenia zalecanych zabezpieczeń (jak szyfrowanie czy aktualne oprogramowanie) skutkuje wysokimi karami finansowymi.​
  • Szyfrowanie nie jest jedynym środkiem – równie ważne są: tworzenie kopii zapasowych, zarządzanie dostępem, bieżące monitorowanie i stosowanie uwierzytelniania wieloskładnikowego.​
  • Podsumowanie najważniejszych faktów:​
    • Szyfrowanie danych to skuteczna i zalecana metoda ochrony przed nieautoryzowanym dostępem.​
    • RODO promuje szyfrowanie jako sposób na zminimalizowanie skutków naruszenia danych.​
    • Niewdrożenie szyfrowania w przypadku identyfikacji takiej potrzeby może skutkować karami (np. 24 555 zł i 50 000 zł w opisanych decyzjach).​
    • Dobre praktyki bezpieczeństwa obejmują kompleksowe działania techniczne i organizacyjne – nie tylko szyfrowanie.
Źródło: https://www.linkedin.com/posts/piotrkantorowski_szyfrowanie-danych-ugcPost-7317794089914003457-mG5Z?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 https://prawodlabiznesu.eu/czy-szyfrowanie-danych-zwalnia-administratora-z-obowiazku-zglaszania-naruszenia-ochrony-danych-osobowych-do-puodo/ ​

Bezpieczniej zgłosić naruszenie ochrony danych osobowych do UODO

  • Zgłoszenie naruszenia ochrony danych osobowych nie oznacza automatycznego wszczęcia postępowania ani kary dla administratora – UODO nie nakłada kar za samo zdarzenie, ale za naruszenia RODO.​
  • Samo zgłoszenie naruszenia nie świadczy o winie administratora; może być działaniem prewencyjnym i zgodnym z wymogami prawa.​
  • Nowy poradnik UODO nie zaostrza stanowiska urzędu, lecz ujednolica i doprecyzowuje dotychczasowe wymagania wobec administratorów danych.​
  • RODO przewiduje obowiązek zgłoszenia, jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych – wyjątkiem są przypadki, gdy ryzyko „prawdopodobnie nie wystąpi”.​
  • UODO odrzuca określenie „niskie ryzyko” – liczy się brak realnych szans na wystąpienie ryzyka, a nie jego „niskość”.​
  • W przypadku wątpliwości i sytuacji granicznych (np. zgubiony telefon służbowy) zaleca się dokonanie zgłoszenia z ostrożności.​
  • Przykład: zgubienie telefonu z dostępem do danych osobowych może stanowić naruszenie, jeśli istnieje realna możliwość nieuprawnionego dostępu.​
  • Jeśli telefon zostanie odnaleziony bez śladów dostępu, decyzja o zgłoszeniu zależy od oceny administratora; jednak ryzyko pomyłki może skutkować odpowiedzialnością, jeśli naruszenie nie zostanie zgłoszone, a dane faktycznie wyciekną.​
  • W niektórych przypadkach nie da się jednoznacznie ocenić, czy doszło do nieuprawnionego dostępu – dlatego UODO zaleca podejście ostrożnościowe.​
  • Nawet staranna ocena ryzyka może okazać się błędna – jeśli ryzyko się zmaterializuje, UODO może interweniować, także poprzez nałożenie kary.​
  Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9766535,bezpieczniej-zglosic-naruszenie-ochrony-danych-osobowych-do-uodo.html ​

TSUE o tajemnicy przedsiębiorstwa i decyzjach podjętych przez algorytm

  • Kontekst: Artykuł omawia interpretację Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 27 lutego 2025 r. dotyczącą prawa dostępu do informacji przez osobę fizyczną (na podstawie art. 15 i 22 RODO) w związku z automatycznym podejmowaniem decyzji, np. scoringiem kredytowym, przy jednoczesnym poszanowaniu tajemnicy handlowej oraz innych praw i wolności.​
  • Prawo osoby fizycznej do informacji: Osoba fizyczna ma prawo do uzyskania istotnych i zrozumiałych informacji o zasadach funkcjonowania algorytmu podejmującego decyzje (tzw. zautomatyzowane decyzje), ale nie musi otrzymywać technicznego opisu działania tych algorytmów.​
  • Forma przekazywanych informacji: Informacje muszą być podane w formie zwięzłej, przejrzystej i zrozumiałej – sama prezentacja algorytmu lub kodu źródłowego nie spełnia tego wymogu.​
  • Ograniczenia w udostępnianiu informacji: Przedsiębiorca nie ma obowiązku ujawniania informacji, które stanowią tajemnicę handlową lub dane osobowe osób trzecich. W takich przypadkach informacje mogą zostać przekazane właściwemu organowi nadzorczemu lub sądowi.​
  • Rola sądu i organów nadzorczych: To na sądach i organach nadzorczych spoczywa obowiązek wyważenia interesów osoby fizycznej z prawami innych podmiotów oraz określenia zakresu informacji, które powinny zostać ujawnione.​
  • Ochrona tajemnicy przedsiębiorstwa: Informacje stanowią tajemnicę przedsiębiorstwa, jeśli: (1) są nieznane publicznie, (2) mają wartość handlową i (3) są chronione przez odpowiednie działania wewnętrzne.​
  • Dostęp organów do danych: Zgodnie z art. 58 RODO organ nadzorczy ma prawo żądać jedynie informacji niezbędnych do realizacji jego zadań – ochrona tajemnicy handlowej i prywatności innych osób nadal obowiązuje.​
  • Wpływ na organizacje i firmy: Firmy stosujące algorytmy powinny wdrożyć przemyślaną politykę informacyjną – zrozumiałą dla klientów, ale chroniącą know-how. Źle przygotowane praktyki informacyjne mogą skutkować postępowaniami administracyjnymi, sądowymi lub próbami pozyskania informacji przez podmioty konkurencyjne.​
  • Praktyczna wskazówka: Podmioty korzystające z algorytmów dostarczanych przez strony trzecie powinny zadbać o formalne prawo do uzyskania niezbędnych informacji o ich działaniu.
Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9768332,tsue-o-tajemnicy-przedsiebiorstwa-i-decyzjach-podjetych-przez-algorytm.html ​

Sąd UE ma się zająć sprawą 225 mln euro kary dla WhatsApp

  • Rzecznik generalna Trybunału Sprawiedliwości UE, Tamara Ćapeta, przedstawiła opinię ws. skargi WhatsApp na decyzję Europejskiej Rady Ochrony Danych (EROD).​
  • Rzecznik proponuje, aby Trybunał Sprawiedliwości UE uchylił wcześniejsze postanowienie sądu UE z 7 grudnia 2022 r., które odrzuciło skargę WhatsApp jako niedopuszczalną.​
  • Sprawa rozpoczęła się w 2018 r. po wejściu w życie RODO. Do irlandzkiego DPC wpłynęły skargi dotyczące przetwarzania danych przez WhatsApp.​
  • W 2021 r. EROD wydała decyzję wiążącą dla DPC, nakazując m.in. zwiększenie kar dla WhatsApp. DPC nałożył ostatecznie 225 mln euro kary na spółkę.​
  • WhatsApp zaskarżył decyzję DPC w Irlandii oraz decyzję EROD na poziomie sądu UE. Sąd UE uznał, że decyzja EROD nie dotyczy WhatsApp bezpośrednio, ale tylko poprzez działania DPC.​
  • Rzecznik generalna uznała, że decyzja EROD miała bezpośredni wpływ na sytuację WhatsApp, mimo że wymagała wdrożenia przez irlandzki organ.​
  • Podkreśliła, że DPC nie miał swobody oceny decyzji EROD – musiał zastosować wskazane tam metody i kwoty kar bez modyfikacji.​
  • W opinii rzecznika błąd sądu UE polegał m.in. na błędnym założeniu o istnieniu „zakresu uznania” po stronie DPC.​
  • Wniosek końcowy:​
  • Rzecznik generalna rekomenduje przekazanie sprawy do ponownego rozpatrzenia przez sąd UE i uznanie skargi WhatsApp za dopuszczalną, co może otworzyć drogę do oceny merytorycznej decyzji EROD przez unijny sąd.​
Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9768208,sad-ue-ma-sie-zajac-sprawa-225-mln-euro-kary-dla-whatsapp.html ​ (WPISZ TREŚĆ)

Czy Koleje Mazowieckie dostaną dane gapowiczów z bazy PESEL? Wyrok NSA

  • Spółka Koleje Mazowieckie wnioskowała o zdalny, bezpłatny dostęp do danych z rejestru PESEL, by skuteczniej dochodzić należności od tzw. pasażerów na gapę.​
  • Ministerstwo cyfryzacji odmówiło, powołując się na przepisy ustawy o ewidencji ludności – dostęp do bazy PESEL przysługuje tylko tym podmiotom, które realizują własne ustawowe zadania publiczne.​
  • Spółki komunalne, takie jak Koleje Mazowieckie, realizują zadania publiczne powierzone im przez inne jednostki (np. województwo), a nie własne – dlatego nie spełniają warunków ustawowych.​
  • Koleje Mazowieckie złożyły skargę, argumentując, że ich status prawny odpowiada samorządowemu zakładowi budżetowemu – są spółką użyteczności publicznej z 100% udziałem województwa.​
  • Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę, uznając, że zlecenie zadań przez umowę nie oznacza ich "przyjęcia" jako własnych zadań publicznych przez spółkę.​
  • NSA utrzymał wyrok w mocy – stwierdził, że nawet jeżeli dane z PESEL są przydatne, to spółka nie spełnia warunków do ich uzyskania w trybie teletransmisji danych.​
  • NSA zaznaczył, że przepisy regulujące dostęp do PESEL, uwzględniając również ochronę danych osobowych (RODO), muszą być interpretowane ściśle i z ograniczeniem do jednostek bezpośrednio realizujących zadania publiczne.​
  • Wyrok jest prawomocny i oznacza, że spółki takie jak Koleje Mazowieckie nie mogą uzyskać stałego dostępu do bazy PESEL.​
Źródło: https://www.rp.pl/samorzad/art42063531-czy-koleje-mazowieckie-dostana-dane-gapowiczow-z-bazy-pesel-wyrok-nsa ​

TSUE: udostępnienie imienia i nazwiska osoby reprezentującej spółkę stanowi przetwarzaniem danych

  • Kontekst sprawy:​
  • Sprawa dotyczy wniosku obywatela Czech o ujawnienie danych osobowych osób reprezentujących chińskiego producenta testów COVID-19 w certyfikatach zgodności. Celem było ustalenie tożsamości osoby podpisującej się pod dokumentami. Czeskie Ministerstwo Zdrowia odmówiło ujawnienia niektórych danych osobowych, powołując się na ochronę danych zgodnie z RODO. Sprawa trafiła do sądów czeskich, a następnie przed Trybunał Sprawiedliwości Unii Europejskiej (TSUE).​
  • Najważniejsze wnioski z orzeczenia TSUE:​
    • Informacje takie jak imię, nazwisko, podpis i dane kontaktowe osoby fizycznej reprezentującej osobę prawną są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO.​
    • Ujawnienie takich danych stanowi „przetwarzanie” danych osobowych zgodnie z art. 4 pkt 2 RODO — niezależnie od celu ujawnienia (np. identyfikacji przedstawiciela prawnego).​
    • TSUE potwierdził szeroką interpretację pojęcia danych osobowych przyjętą w dotychczasowym orzecznictwie.​
  • Wnioski w zakresie zgodności z RODO (art. 6 ust. 1 lit. c i e):​
    • Przetwarzanie danych w celu realizacji ustawowego obowiązku ujawniania informacji publicznych może być uznane za zgodne z RODO, jeśli realizowane jest w ramach interesu publicznego i na podstawie prawa (np. czeskiej ustawy o dostępie do informacji).​
    • RODO nie stoi na przeszkodzie krajowym przepisom/sądowemu orzecznictwu, które nakazują administratorowi danych publicznych poinformowanie osoby, której dane mają zostać ujawnione, oraz skonsultowanie się z nią przed ich udostępnieniem.​
    • Obowiązek konsultacji zapewnia zasady legalności, rzetelności i przejrzystości przetwarzania danych wobec danej osoby (art. 5 ust. 1 lit. a RODO) i ułatwia właściwe wyważenie interesu publicznego i prawa do prywatności (art. 86 RODO).​
  • Podsumowanie:​
    • Dane przedstawicieli osób prawnych mogą być kwalifikowane jako dane osobowe, nawet jeśli są ujawniane w kontekście zawodowym lub służbowym.​
    • Ujawnienie ich w ramach żądania dostępu do dokumentów publicznych musi być zgodne z zasadami RODO i może wymagać uprzedniego poinformowania danej osoby.​
    • TSUE podkreślił, że interes publiczny (transparentność działań organów, dostęp do informacji) musi być odpowiednio wyważony z prawem do prywatności jednostek.
Źródło: https://judykatura.pl/tsue-udostepnienie-imienia-i-nazwiska-osoby-reprezentujacej-spolke-stanowi-przetwarzaniem-danych/ ​

NSA uchyla wyrok WSA, co do możliwości wykorzystania danych z GPS

  • Sprawa dotyczy legalności wykorzystywania danych osobowych pracownika przez pracodawcę, w szczególności danych lokalizacyjnych z monitoringu GPS oraz prywatnego adresu e-mail. Istotna jest dla pracodawców planujących wykorzystanie takich danych m.in. jako podstawy wypowiedzenia umowy o pracę.​
  • Spór rozpoczął się od skargi pracownika do Prezesa UODO, dotyczącej nieuprawnionego przetwarzania jego danych osobowych (GPS i prywatny adres e-mail).​
  • Prezes UODO nakazał:​
    • usunięcie danych lokalizacyjnych zebranych z GPS,​
    • udzielił spółce upomnienia w związku z wykorzystaniem prywatnego adresu e-mail po zakończeniu zatrudnienia bez podstawy prawnej.​
  • WSA w Warszawie uchylił nakaz usunięcia danych GPS, argumentując, że były one zbierane epizodycznie i mogłyby być dowodem w sprawie sądowej.​
  • NSA uchylił wyrok WSA. Uznał, że:​
    • dane GPS zostały pozyskane nielegalnie,​
    • przetwarzanie danych na zapas nie spełnia przesłanki niezbędności z art. 17 ust. 3 lit. e RODO,​
    • spółka nie wykazała, że dane są niezbędne do obrony przed konkretnym roszczeniem​
    • brak legalnego pozyskania danych uniemożliwia ich dalsze wykorzystywanie, nawet w postępowaniu sądowym.​
    • NSA potwierdził, że Prezes UODO prawidłowo nakazał usunięcie danych, zgodnie z art. 58 ust. 2 lit. b i g oraz art. 17 ust. 1 lit. d RODO.​
  • NSA podkreślił, że:​
    • monitoring GPS to ingerencja w prywatność pracownika,​
    • pracodawca musi spełnić obowiązki informacyjne i przetwarzać dane zgodnie z przepisami,​
    • przyjęcie argumentacji WSA groziłoby nadużyciem uprawnień przez pracodawców — zbieraniem danych bez wiedzy pracowników z możliwością ich późniejszego wykorzystania.​
  • Kluczowe wnioski dla pracodawców:​
    • Przetwarzanie danych osobowych pracownika (np. lokalizacja, e-mail) musi być zgodne z przepisami RODO.​
    • Legalność pozyskiwania danych (np. z monitoringu GPS) wymaga uprzedniego poinformowania pracownika.​
    • Nie można przetwarzać danych osobowych „na zapas” – konieczna jest realna potrzeba oparta na konkretnej podstawie prawnej.​
    • W przypadku naruszenia przepisów, Prezes UODO może zobowiązać do usunięcia danych oraz udzielić upomnienia.​
    • Nieprzestrzeganie zasad RODO może uniemożliwić skuteczne wykorzystanie danych m.in. w sporach sądowych.​
    • Rekomendacja: Pracodawcy powinni dokładnie przestrzegać zasad RODO i prowadzić monitoring tylko po spełnieniu wszystkich obowiązków informacyjnych i prawnych, aby nie narazić się na sankcje ani ograniczenia w wykorzystaniu pozyskanych danych.
Źródło: https://judykatura.pl/nsa-uchyla-wyrok-wsa-co-do-mozliwosci-wykorzystania-danych-z-gps/ ​

Rzecznik TSUE: RODO nie ma zastosowania do przesyłania marketingu bezpośredniego

  • Kontekst sprawy:​
  • Opinia Rzecznika Generalnego Trybunału Sprawiedliwości Unii Europejskiej (TSUE) dotyczy przesyłania informacji handlowych drogą mailową i zgodności takich działań z przepisami RODO oraz dyrektywy 2002/58 (tzw. dyrektywy ePrivacy). Sprawa została skierowana przez Sąd Apelacyjny w Bukareszcie w związku z karą nałożoną na firmę Inteligo Media wydającą serwis informacyjny w Rumunii.​
  • Najważniejsze wnioski z opinii Rzecznika Generalnego TSUE:​
    • Przesyłanie codziennych biuletynów informacyjnych (e-maili zawierających podsumowanie i linki do artykułów) stanowi marketing bezpośredni, ponieważ ma na celu skłonienie użytkowników do wykupienia płatnej subskrypcji.​
    • Adres e‑mail użytkownika, uzyskany przy tworzeniu konta na stronie serwisu, został uzyskany "w związku ze sprzedażą usługi" – również gdy początkowo korzystanie z serwisu jest bezpłatne, jeśli służy promowaniu płatnych usług.​
    • W przypadku gdy spełnione są wszystkie warunki określone w art. 13 ust. 2 dyrektywy 2002/58 (np. możliwość łatwego sprzeciwu bez opłat), przesyłanie wiadomości marketingowych nie narusza przepisów RODO.​
    • W takiej sytuacji nie trzeba odwoływać się do art. 6 RODO (czyli do podstaw przetwarzania danych), ponieważ zastosowanie ma wyłącznie dyrektywa 2002/58.​
    • Firmy mogą więc wysyłać marketing bezpośredni drogą mailową bez wyraźnej zgody, jeśli spełniają wymogi art. 13 ust. 2 dyrektywy 2002/58, w tym zapewniają możliwość prostego sprzeciwu.​
  • Dodatkowe fakty:​
    • Inteligo Media została ukarana przez rumuński organ ochrony danych (ANSPDCP) na kwotę ok. 9000 EUR za przesyłanie newslettera bez wyraźnej zgody.​
    • Firma twierdziła, że działała zgodnie z przepisami dyrektywy 2002/58 – użytkownik mógł zrezygnować z newslettera przy rejestracji oraz w każdym przesłanym e-mailu.​
    • Rzecznik Generalny uznał, że w takich przypadkach dyrektywa ePrivacy reguluje całościowo warunki przetwarzania danych, a dodatkowe wymagania RODO nie mają zastosowania.​
  • Znaczenie dla praktyki:​
    • Opinia wskazuje, że zgoda nie jest konieczna na przesyłanie marketingu bezpośredniego, jeśli stosowane są mechanizmy wycofania i użytkownik został odpowiednio poinformowany na etapie pozyskiwania danych.​
    • To rozstrzygnięcie (jeśli zostanie potwierdzone przez wyrok TSUE) może ułatwić firmom prowadzenie kampanii marketingowych e-mailowych pod pewnymi warunkami.​
  • Uwaga: Opinia Rzecznika Generalnego nie jest ostatecznym wyrokiem, ale często wpływa na rozstrzygnięcie przyjmowane przez TSUE.
Źródło: https://judykatura.pl/rzecznik-tsue-rodo-nie-ma-zastosowania-do-przesylania-marketingu-bezposredniego/ ​

Centralna Ewidencja Pojazdów niczym kolejny rejestr skazanych

  • Ministerstwo Sprawiedliwości planuje rozszerzyć zakres danych gromadzonych w Centralnej Ewidencji Pojazdów (CEP) o informacje dotyczące wykorzystania pojazdów w przestępstwach (głównie nielegalnych wyścigach) oraz o tzw. „czasowe zawieszenie dopuszczenia pojazdu do ruchu”. Celem ma być poprawa bezpieczeństwa ruchu drogowego i ułatwienie zakładom ubezpieczeń oceny ryzyka. Propozycje budzą jednak poważne kontrowersje prawne i społeczne.​
  • Nowe dane w CEP:​
    • Informacja o wykorzystaniu pojazdu do przestępstw i wykroczeń drogowych (nielegalne wyścigi, tzw. dryft itp.).​
    • Dane o „czasowym zawieszeniu dopuszczenia pojazdu do ruchu” – pojęcie niejasne i nieistniejące w przepisach.​
    • Cel planowanych zmian: wykorzystanie danych przez zakłady ubezpieczeń do analizy ryzyka i taryfikacji składek OC.​
  • Krytyka UODO:​
    • Zmiany przekształcają CEP z rejestru administracyjnego w quasi-karny.​
    • Brak podstaw prawnych do gromadzenia niektórych informacji – naruszenie RODO (ograniczenie przechowywania danych, brak celu przetwarzania zgodnego z dyrektywą UE 2016/680).​
    • Informacje w rejestrze miałyby być trwałe – nawet po zatarciu skazania lub wykroczenia.​
  • Problemy praktyczne:​
    • Wpis dotyczący przeszłości pojazdu mógłby negatywnie wpływać na kolejnych właścicieli, niezwiązanych z przestępstwem.
    • Informacja o nielegalnym wykorzystywaniu pojazdu mogłaby działać jak „choroba zakaźna” – przechodząc na kolejnych nabywców auta.​
  • Stanowisko ekspertów:​
    • Dr hab. Agnieszka Grzelak z UODO: propozycje są nieproporcjonalne i naruszają prawo do ochrony danych osobowych.​
    • Dr Kazimierz J. Pawelec: zakłady ubezpieczeń już mają dostęp do danych poprzez uczestnictwo w postępowaniu karnym, ale z tego prawa nie korzystają.​
  • Niejasność przepisu:​
    • Brakuje definicji pojęcia „czasowe zawieszenie dopuszczenia pojazdu do ruchu” – nie istnieje w obowiązującym prawie.​
    • Może to prowadzić do nieczytelności i błędnej interpretacji projektowanych przepisów.​
  • Podsumowanie: Propozycje Ministerstwa Sprawiedliwości budzą poważne zastrzeżenia natury prawnej i praktycznej. Eksperci i UODO alarmują, że zmiany prowadzą do nieproporcjonalnego przetwarzania danych osobowych oraz niejasnych konsekwencji dla właścicieli pojazdów. Pojawia się również ryzyko trwałego naznaczenia pojazdów przez jedno zdarzenie z przeszłości, co może wpływać na prawa kolejnych właścicieli..
​ Źródło: https://www.prawo.pl/samorzad/kontrowersyjne-zmiany-w-cep,532313.html ​

4 miliony kary dla Telenor ASA w Norwegii

  • Norweski organ ochrony danych (Datatilsynet) nałożył na spółkę Telenor ASA karę 4 milionów koron norweskich za nieprawidłowości związane z organizacją funkcji IOD i brakiem kontroli wewnętrznej.​
  • Decyzja została wydana po międzynarodowym dochodzeniu z udziałem organów ze Szwecji i Danii.​
  • W toku postępowania wykazano istotne naruszenia:​
    • Brak jasności i dokumentacji odnośnie roli IOD.​
    • Brak niezależności IOD i ryzyko konfliktu interesów.​
    • IOD nie raportował bezpośrednio najwyższemu kierownictwu.​
    • Brak skutecznego nadzoru wewnętrznego nad przetwarzaniem danych.​
    • Reakcja spółki:​
    • Telenor ASA zlikwidował stanowisko IOD po otrzymaniu zawiadomienia o planowanej decyzji.​
    • Organ ochrony danych zobowiązał spółkę do:​
    • Ponownej oceny konieczności wyznaczenia IOD.​
    • Aktualizacji rejestru czynności przetwarzania danych.​
    • Wdrożenia odpowiednich rozwiązań organizacyjnych.​
  • Wnioski:​
    • IOD nie powinien pełnić roli symbolicznej – jego funkcja musi być realna i niezależna.​
    • Inspektor powinien mieć zapewniony dostęp do najwyższego kierownictwa oraz odpowiednie zasoby i wsparcie organizacyjne.​
    • To odpowiedni moment dla innych organizacji, by zweryfikować, jak wygląda rola IOD u nich i czy spełnia wymagania prawne.
Źródło: https://www.linkedin.com/posts/adam-szkur%C5%82at_4-miliony-nok-kary-dla-telenor-asa-w-norwegii-activity-7316053455926657025-AKx4?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 ​

RODO szyte na miarę. Czy będzie deregulacja w sferze ochrony danych osobowych?

  • „RODO dla małych firm”: Propozycja deregulacyjna zakłada ograniczenie obowiązków informacyjnych dla mikro- i małych przedsiębiorstw w relacjach z konsumentami.​
  • Przyczyny deregulacji: Obecne przepisy są uznawane za zbyt skomplikowane, kosztowne i nieproporcjonalne względem skali działalności najmniejszych firm, np. małych sklepów internetowych.​
  • Wsparcie ekspertów: Zwolennikami zmian są m.in. dr Mirosław Gumularz i dr Paweł Litwiński, którzy tłumaczą, że nadmiar obowiązków skutkuje formalnym, niewłaściwym wdrażaniem przepisów przez MŚP.​
  • Przepis umożliwiający zmiany: Art. 23 RODO pozwala na ograniczenie niektórych obowiązków, gdy leży to w interesie gospodarczym państwa członkowskiego.​
  • Zachowanie równowagi: Propozycja zakłada ograniczenie obowiązków jedynie tam, gdzie ryzyko dla prywatności jest minimalne – bez zmian w zakresie bezpieczeństwa danych czy danych wrażliwych.​
  • Debata na szczeblu UE: Komisja Europejska zapowiedziała pakiet uproszczeń dla MŚP, koncentrujący się na obowiązkach sprawozdawczych, przy zachowaniu głównych celów RODO.​
  • Stanowisko UODO: Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, uważa, że obecne przepisy są elastyczne i możliwe jest wspieranie MŚP w ich stosowaniu bez zmian legislacyjnych – np. przez dobre praktyki.​
  • Krytyka podejścia opartego wyłącznie na wielkości firmy: Eksperci wskazują, że istotniejsze od liczby pracowników jest to, ile i jakie dane firma przetwarza. Nawet mała firma może zarządzać ogromnymi zbiorami danych.​
  • Postulat zróżnicowania obowiązków: Europosłowie i eksperci ds. prywatności postulują różnicowanie obowiązków nie tylko ze względu na rozmiar, ale również model działania firmy (np. reklamodawcy bazujący na danych powinni mieć szersze obowiązki).​
  • Wniosek: Trwa europejska debata nad umożliwieniem mniejszym firmom łatwiejszego stosowania przepisów RODO, przy zachowaniu równowagi między ochroną danych a realiami małego biznesu. Propozycja zespołu Brzoski wpisuje się w te działania i może przyczynić się do zmniejszenia biurokratycznych barier dla MŚP.
Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9774339,rodo-szyte-na-miare-czy-bedzie-deregulacja-w-sferze-ochrony-danych-os.html ​

WSA oddala skargę wobec kary na ponad 117 000 zł za brak analizy ryzyka

  • WSA w Warszawie podtrzymał decyzję Prezesa UODO z listopada 2023 r. o nałożeniu kary pieniężnej w wysokości 117 900 zł na Spółkę.​
  • Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zgodnych z art. 32 ust. 1 i 2 RODO, co skutkowało utratą dostępności danych po incydencie pożarowym.​
  • Brak było m.in. procedur tworzenia i testowania kopii zapasowych, właściwej analizy ryzyka związanego z przetwarzaniem danych oraz działań umożliwiających szybkie przywrócenie danych.​
  • Prezes UODO ocenił przedstawioną przez Spółkę „analizę ryzyka” jako niewystarczającą i nietrafną względem wymogów RODO.​
  • Nałożona kara została uznana za proporcjonalną — to jedynie 0,25% maksymalnej możliwej kary (10 mln euro).​
  • Sąd uznał, że organ działał zgodnie z zasadami proporcjonalności, równego traktowania i bezstronności, a Spółka miała możliwość wypowiedzenia się i przedstawienia dowodów.​
  • Sąd podkreślił, że Spółka od 2018 do 2021 r. nie zapewniła odpowiedniego bezpieczeństwa danych osobowych, co miało wpływ na ocenę wagi naruszenia.​
  • W ocenie WSA nałożona kara spełnia cele określone w RODO (art. 83 ust. 1), tj. ma charakter skuteczny, proporcjonalny i odstraszający.​
  • Podsumowanie: Spółka zajmująca się pośrednictwem w świadczeniu usług medycznych została ukarana za niewystarczające zabezpieczenie danych osobowych. Brak kopii zapasowych i skutecznych procedur bezpieczeństwa doprowadził do poważnego naruszenia dostępności danych po pożarze serwerowni. WSA potwierdził zasadność decyzji Prezesa UODO, uznając nakazaną karę za proporcjonalną i zgodną z przepisami unijnymi.​
Źródło: https://judykatura.pl/wsa-oddala-skarge-wobec-kary-na-ponad-117-000-zl-za-brak-analizy-ryzyka/ ​

UOKiK świętuje 35-lecie działalności

  • UOKiK od 35 lat działa na rzecz konsumentów i uczciwej konkurencji – wywodzi się z Urzędu Antymonopolowego powołanego w 1990 r. po transformacji ustrojowej.​
  • Najważniejsze zmiany prawne:​
    • 2001 i 2007 r. – nowe ustawy o ochronie konkurencji i konsumentów, dostosowane do prawa UE.​
    • 2015 r. – wprowadzenie m.in. kar dla osób fizycznych i ostrzeżeń konsumenckich.​
    • 2023 r. – obowiązek informowania o najniższej cenie produktu z 30 dni przed promocją.​
    • Skala działań (2020–2024): ponad 4 800 decyzji, 62,4 tys. kontroli produktów i usług, 33 tys. zgłoszeń w ramach programu Sygnalista, a także ponad 224 tys. niebezpiecznych produktów wycofanych z rynku.​
  • Przełomowe decyzje ostatnich lat:​
    • KIA: zmowa cenowa – 408 mln zł kary dla 12 firm i 5 osób fizycznych (2024).​
    • Veolia & PGNiG: zmowa cenowa na rynku ciepła w Warszawie – 120 mln zł kar (2020).​
    • Jeronimo Martins (Biedronka): bezprawne rabaty od dostawców – potwierdzona przez sąd przewaga kontraktowa (2024).​
    • Rekomendacje dla influencerów: wytyczne dot. oznaczania treści reklamowych (2022) i "okrągły stół" z platformami społecznościowymi (2023).​
    • Zwalczanie oszustw internetowych: współpraca z sektorem bankowym i KNF, opracowanie katalogu ryzyk i dobrych praktyk (2024).​
  • Międzynarodowa aktywność: UOKiK współpracuje z UE oraz organizacjami takimi jak OECD i ICPEN, a jego prezes pełni funkcje doradcze w Komisji Europejskiej i OECD.​
  • Rola edukacyjna i informacyjna: UOKiK prowadzi kampanie społeczne, edukuje konsumentów i przedsiębiorców, udostępnia narzędzia online oraz realizuje projekty międzynarodowe wspierające rozwój rynku.​
  • Podsumowanie: Działania UOKiK miały realny wpływ na poprawę sytuacji konsumentów w Polsce, zapewnienie uczciwej konkurencji oraz rozwój rynku. Urząd planuje dalsze działania na rzecz bezpieczeństwa, przejrzystości rynku i edukacji społecznej.
Źródło: https://uokik.gov.pl/35-lat-uokik-wiecej-kompetencji-ochrony-praw ​

Model AI Muska nielegalnie korzysta z naszych danych? Irlandia wszczyna dochodzenie

  • Irlandzka Komisja Ochrony Danych Osobowych (DPC) wszczęła dochodzenie w sprawie wykorzystywania danych osobowych użytkowników UE przez modele sztucznej inteligencji (AI) xAI – znane jako Grok – należące do Elona Muska. Postępowanie prowadzone jest w oparciu o przepisy RODO.​
  • Od grudnia 2023 r. model AI Grok jest dostępny dla użytkowników platformy X (dawny Twitter), której właścicielem jest Elon Musk.​
  • Model Grok generuje m.in. biogramy osób posiadających konto na X, co budzi obawy o zgodność przetwarzania danych z przepisami UE.​
  • DPC bada, czy dane osobowe użytkowników z UE były legalnie wykorzystywane do trenowania modelu Grok oraz czy firma xAI przestrzegała wymogów przejrzystości wymaganych przez RODO.​
  • To już kolejne postępowanie w tej sprawie: w 2023 r. DPC zakończyła wcześniejsze dochodzenie po tym, jak firma X zobowiązała się zaprzestać przetwarzania danych użytkowników z UE oraz usunęła już zgromadzone dane.​
  • W sierpniu 2023 r. organizacje konsumenckie (m.in. Euroconsumers i Noyb) ponownie oskarżyły firmę X o naruszenia RODO i złożyły oficjalne skargi do DPC.​
  • Firma X Internet Unlimited Company (dawniej Twitter International), z siedzibą w Dublinie, jako administrator danych UE, może zostać ukarana grzywną do 4% swojego globalnego rocznego obrotu w przypadku stwierdzenia naruszeń.​
Źródło: https://www.euractiv.pl/section/nowe-technologie/news/model-ai-muska-nielegalnie-korzysta-z-naszych-danych-irlandia-wszczyna-dochodzenie/ ​

Wysłanie przypomnienia o wygasającej umowie to przetwarzanie danych osobowych

  • Wysłanie przypomnienia o wygasającej umowie to przetwarzanie danych osobowych – wymaga odpowiedniej podstawy prawnej zgodnie z RODO.​
  • Litewski organ nadzorczy uznał, że taką podstawą może być art. 6 ust. 1 lit. b RODO – czyli przetwarzanie niezbędne do wykonania umowy.​
  • Przypomnienie jest dopuszczalne, jeśli jego celem jest wyłącznie poinformowanie klienta o końcu umowy, np. w celu umożliwienia jej przedłużenia.​
  • Możliwe jest także dołączenie propozycji przedłużenia tej samej umowy – nawet na nowych warunkach – bez konieczności uzyskiwania zgody marketingowej.​
  • Uwaga: Jeżeli oprócz przypomnienia przesyłana jest oferta innych usług lub produktów, wówczas wchodzimy w obszar marketingu bezpośredniego.​
  • W takiej sytuacji wymagane jest uzyskanie uprzedniej zgody odbiorcy – zgodnie z przepisami ustawy Prawo komunikacji elektronicznej (art. 398).​
  • Praktyczne znaczenie:​
    • Branża automotive – np. przypomnienia o końcu leasingu czy przeglądach technicznych.​
    • Branża ubezpieczeniowa – np. przypomnienia o końcu ważności polisy OC.​
    • Branża telekomunikacyjna – np. kończące się umowy abonamentowe.​
    • Nawet usługi weterynaryjne – np. przypomnienia o szczepieniach lub kontrolach.​
  • W skrócie:​
    • Tak – Można przypomnieć o końcu konkretnej umowy bez zgody marketingowej.​
    • Nie – Jeśli do komunikatu dołączane są oferty innych usług – potrzebna jest zgoda marketingowa.​
Źródło: https://www.linkedin.com/posts/activity-7316361406981857280-LlF_?utm_source=share&utm_medium=member_desktop&rcm=ACoAAETcUUUBLlzLMFC01FENWMw0oL_z0rPX_x8 ​

EROD przyjął wytyczne w sprawie przetwarzania danych osobowych za pomocą technologii blockchain

1. Kluczowe wyzwania RODO a blockchain:​
    • Nieusuwalność danych – raz zapisane dane na blockchainie są praktycznie niemożliwe do usunięcia.​
    • Rozproszenie i brak centralnego podmiotu – utrudnia wskazanie administratora i egzekwowanie praw osób.​
    • Ryzyko niezgodności z zasadami RODO, zwłaszcza: przechowywania, minimalizacji, integralności i praw osób, których dane dotyczą.​
2. Zalecenia praktyczne EROD dla administratorów:​
    • Przed wdrożeniem:​
    • Dokonaj DPIA (oceny skutków) – obowiązkowo, jeżeli przetwarzanie danych osobowych ma mieć miejsce na blockchainie.​
    • Zastanów się, czy blockchain w ogóle jest konieczny – czy inne technologie nie pozwolą na osiągnięcie celu zgodnie z zasadą minimalizacji?​
    • Wybór typu blockchaina:​
    • Preferuj blockchainy prywatne z uprawnieniami – umożliwiają kontrolę dostępu i przypisanie ról.​
    • Publiczne, nieuprawnione blockchainy należy stosować wyłącznie, gdy jest to niezbędne i po pełnej analizie ryzyka.​
3. Przechowywanie danych:​
    • Unikaj przechowywania danych osobowych bezpośrednio w blockchainie.​
    • Jeśli to konieczne, stosuj:​
    • Szyfrowanie (z opcją „unieważnienia” przez zniszczenie klucza),​
    • Haszowanie (z solą/kluczem),​
    • Zobowiązania kryptograficzne jako formę dowodu istnienia danych bez ich ujawniania.​
    • Dane najlepiej przechowywać poza blockchainem (off-chain) – w systemach kontrolowanych przez administratora.​
4. Prawa osób, których dane dotyczą:​
    • Muszą być zapewnione mimo ograniczeń technicznych:​
    • Prawo do informacji i przejrzystości – wymagane jasne komunikaty, jak działa system.​
    • Prawo do usunięcia i sprostowania – trudne technicznie, ale EROD podkreśla: „brak możliwości technicznych nie usprawiedliwia niezgodności z RODO”.​
    • Prawo do sprzeciwu, dostępu, przenoszenia danych – powinny być dostępne za pośrednictwem interfejsów użytkownika lub off-chain.​
5. Role i odpowiedzialność:​
    • Określ jasno role administratora i podmiotu przetwarzającego w systemie blockchain.
    • Mechanizm zarządzania blockchainem (governance) powinien być udokumentowany i znany wszystkim uczestnikom.​
    • Jeżeli wiele węzłów ma wpływ na przetwarzanie – rozważ utworzenie formalnego konsorcjum jako administratora.​
6. Transfery danych:​
    • Międzynarodowy charakter blockchaina często oznacza transfer danych poza EOG.​
    • Musi być zgodny z Rozdziałem V RODO – np. SCC, decyzje stwierdzające odpowiedni poziom ochrony itp.​
7. Załącznik A – konkretne zalecenia:​
    • Wytyczne zawierają zwięzłą checklistę dla organizacji planujących wdrożenie blockchaina – warto ją wykorzystać jako element audytu lub dokumentacji wdrożeniowej.
Źródło: https://www.edpb.europa.eu/news/news/2025/edpb-adopts-guidelines-processing-personal-data-through-blockchains-and-ready_en ​

Komisja Europejska ogłosiła skoordynowany plan ws. sztucznej inteligencji

  • Komisja Europejska przedstawiła nową strategię rozwoju sztucznej inteligencji „Plan Działania dla Kontynentu AI”, której celem jest uczynienie Unii Europejskiej światowym liderem w odpowiedzialnym i innowacyjnym wykorzystaniu AI.​
  • 5 filarów strategii: inwestycje w infrastrukturę, dostęp do danych, wdrożenia sektorowe, rozwój kompetencji oraz uproszczenie regulacji.​
  • Wzmocnienie pozycji Europy: strategia ma zwiększyć konkurencyjność i suwerenność technologiczną UE oraz zapewnić wspólną odpowiedzialność państw członkowskich.​
  • Infrastruktura i superkomputery: plan zakłada powstanie sieci fabryk AI i gigafabryk z niskoemisyjnymi centrami danych. Przewidziano również wsparcie dla inwestycji prywatnych w chmurę i infrastrukturę brzegową.​
  • Więcej dostępnych danych: KE zapowiada nową Strategię Unii Danych i tworzenie laboratoriów danych przy fabrykach AI, które umożliwią efektywny dostęp do wysokiej jakości danych sektorowych.​
  • AI w gospodarce i administracji: powstanie Strategia Wdrażania AI wspierająca zastosowania w przemyśle i usługach publicznych. Centra Innowacji Cyfrowych zmienią się w Centra Doświadczeń AI.​
  • Rozwój kompetencji: powstaje Akademia Umiejętności AI, dostępne będą nowe studia, stypendia i staże. KE promuje także powrót europejskich specjalistów oraz uproszczenia migracyjne.​
  • Proste przepisy prawne: po wejściu w życie AI Act powstaną narzędzia wdrożeniowe (punkty kontaktowe, piaskownice regulacyjne, AI Pact), aby zapewnić jasne i przewidywalne regulacje dla firm.​
  • Współpraca z Polską: polska prezydencja w UE brała udział w opracowywaniu planu – priorytetem jest przyspieszenie rozwoju AI i współpraca z przedsiębiorcami, NGO-sami i nauką.
Źródło: https://www.gov.pl/web/cyfryzacja/komisja-europejska-oglosila-skoordynowany-plan-ws-sztucznej-inteligencji ​

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 16 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry