RODO aktualności – 29.07.2025 r. 

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył wysokie kary finansowe na McDonald’s Polska oraz firmę 24/7 Communication za naruszenia przepisów RODO związane z ujawnieniem danych osobowych pracowników. Do incydentu doszło podczas zarządzania grafikami pracy.

• Wysokość kar: McDonald’s Polska ukarany łącznie na kwotę ponad 16,9 mln zł, a 24/7 Communication na kwotę blisko 184 tys. zł.
• Zakres ujawnionych danych: Imiona, nazwiska, PESEL, numery paszportów, dane dot. czasu pracy i stanowisk pracowników McDonald’s oraz franczyzobiorców.
• Główna przyczyna naruszenia: Nieprawidłowa konfiguracja serwera powodująca możliwość podglądu bazy danych z wyżej wymienionymi informacjami.
• Brak analizy ryzyka: Ani McDonald’s, ani podmiot przetwarzający nie przeprowadziły analizy ryzyka ani nie wdrożyły wystarczających środków technicznych i organizacyjnych.
• Błędy w zarządzaniu podmiotem przetwarzającym:
  • Brak nadzoru ze strony McDonald’s nad firmą 24/7 Communication, mimo zawarcia umowy powierzenia danych.
  • Oparcie się na doświadczeniu z działań PR, bez weryfikacji kompetencji w ochronie danych osobowych.
• Brak zawarcia umowy dalszego powierzenia: 24/7 Communication skorzystało z usług podwykonawcy bez podpisania odpowiedniej umowy, co naruszyło przepisy RODO.
• Pominięcie Inspektora Ochrony Danych (IOD): IOD nie uczestniczył w analizie ryzyka ani w procesie wyboru podmiotu przetwarzającego.
• Nieprawidłowe zawiadomienie osób dotkniętych naruszeniem: Byłym pracownikom dane zostały przekazane jedynie poprzez komunikaty prasowe – UODO uznał taką formę za niewystarczającą.
• Brak minimalizacji danych: W module grafików znalazły się dane ponad potrzebne (m.in. PESEL, paszport), a dopiero po incydencie wdrożono oznaczenia identyfikacyjne zamiast danych wrażliwych.
• McDonald’s uznany za administratora danych również pracowników franczyzobiorców:
  • Firma definiowała cele i sposoby przetwarzania oraz zarządzała całym systemem grafików.
  • MCDonald’s decydował o wyborze podmiotu przetwarzającego i przekazywał dane wszystkim restauracjom, także prowadzonym przez franczyzobiorców.
• Wnioski UODO:
  • Powierzenie danych nie zwalnia administratora z odpowiedzialności.
  • Obowiązek zapewnienia bezpieczeństwa danych i nadzoru nad podmiotem przetwarzającym należy realizować aktywnie i na bieżąco.
  • Umowy powierzenia muszą być kompletne, przestrzegane i odpowiednio dokumentowane (w tym podpowierzenia).

Artykuł dotyczy kontrowersji wokół działań banku i towarzystwa ubezpieczeniowego, które – według doniesień – żądały od klientów wyników badań medycznych, w tym testów na HIV, jako warunku zawarcia umowy kredytowej z ubezpieczeniem na życie. Sprawą zajmuje się Rzecznik Praw Obywatelskich.

• Rzecznik Praw Obywatelskich (RPO) otrzymał skargi od klientów mBanku Hipotecznego oraz towarzystwa ubezpieczeniowego Compensa Vienna Insurance Group.
• Klienci twierdzili, że w ramach procesu zawierania kredytu hipotecznego z ubezpieczeniem na życie wymagano od nich wyników badań laboratoryjnych, radiologicznych oraz testów na HIV.
• Zdaniem RPO takie działania mogą naruszać:
  • tajemnicę lekarską,
  • zakaz dyskryminacji z powodu stanu zdrowia (zawarty w Konstytucji RP),
  • prawo do ochrony danych osobowych (RODO),
  • prawo pacjenta do wyrażenia zgody na badania (w tym testy na HIV i badania radiologiczne).
• RPO zwrócił się z pytaniami do Rzecznika Finansowego i Urzędu Ochrony Danych Osobowych (UODO). UODO poinformował, że analizuje sprawę.
• mBank zapewnia, że kredyt był przyznawany niezależnie od przystąpienia do ubezpieczenia, które było dobrowolne. Dodał, że nie wymagał badań medycznych na żadnym etapie procedury.
• Bank zaznaczył, że ankietę zdrowotną przygotowywało wyłącznie towarzystwo ubezpieczeniowe, które mogło kierować na dodatkowe badania w określonych przypadkach.
• Compensa Vienna Insurance Group wyjaśniła, że obowiązek badań wynikał z wymogów reasekuratorów w przypadku wysokich sum ubezpieczenia – dotyczyło to produktów sprzed kilkunastu lat, które dziś nie są już oferowane.
• Według ubezpieczyciela, przeprowadzanie badań to część prawnie wymaganej oceny ryzyka, mającej na celu zapewnienie uczciwych i zrównoważonych warunków dla wszystkich klientów.
• W zaktualizowanym komunikacie RPO usunął konkretne nazwy banku i towarzystwa ubezpieczeniowego.

Podsumowanie: Sprawa wzbudziła wątpliwości co do legalności praktyk związanych z oceną ryzyka ubezpieczeniowego przy kredytach hipotecznych. Rzecznik Praw Obywatelskich zbada, czy wymagane badania nie naruszały prawa pacjenta, tajemnicy lekarskiej, zasad RODO oraz zakazów dyskryminacji. Bank i ubezpieczyciel zapewniają, że proces był zgodny z obowiązującymi wtedy procedurami. Obecnie stosowane standardy mają być bardziej uproszczone.

Naczelny Sąd Administracyjny (NSA) rozpatrzył dwie skargi kasacyjne złożone przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawach dotyczących przetwarzania danych osobowych byłych i niedoszłych klientów banków.

• NSA poparł stanowisko Prezesa UODO – w obu sprawach sąd uznał, że przetwarzanie danych nie miało podstaw prawnych.
• Brak ważnego celu przetwarzania danych byłego klienta banku (sprawa Santander Consumer Bank):
  • Bank nie może powoływać się na uzasadniony interes polegający na ewentualnych przyszłych roszczeniach byłego klienta.
  • NSA potwierdził, że niepewne i hipotetyczne roszczenia nie stanowią wystarczającej podstawy do dalszego przetwarzania danych osobowych.
  • Zalecenie: Dane byłego klienta powinny zostać usunięte.
• Przetwarzanie danych z niezakończonych zapytań kredytowych jest niedopuszczalne (sprawa ING Bank Śląski i BIK):
  • NSA uznał, że dane osób, które nie zawarły umowy kredytowej z bankiem, nie mogą być dalej przetwarzane.
  • Powodem jest brak celu przetwarzania, jakim pierwotnie było badanie zdolności kredytowej.
  • NSA podkreślił, że art. 105a Prawa bankowego nie może być podstawą przetwarzania danych w przypadku braku zawarcia umowy kredytowej.

Wnioski:

• Banki oraz instytucje, takie jak Biuro Informacji Kredytowej (BIK), muszą dokładnie analizować, czy mają podstawy prawne do dalszego przetwarzania danych osobowych.
• NSA wyznaczył jasne granice dla wykorzystywania danych byłych i potencjalnych klientów — nieuzasadnione przetwarzanie powinno zostać zakończone.
• Wyroki te wzmacniają pozycję Prezesa UODO jako organu skutecznie egzekwującego przestrzeganie przepisów RODO i prawa bankowego.

Artykuł opisuje tragiczny w skutkach cyberatak na brytyjską firmę transportową KNP. Jedna luka w bezpieczeństwie – słabe hasło – umożliwiła hakerom dostęp do systemów firmy, co doprowadziło do jej bankructwa i utraty pracy przez 700 osób. Przypadek ten jest przykładem rosnącego zagrożenia cyberprzestępczością dla firm każdej wielkości.

• Firma KNP, działająca od 158 lat, upadła po tym, jak hakerzy odgadli hasło jednego z pracowników.
• Cyberprzestępcy z grupy Akira zaszyfrowali dane i zablokowali system IT firmy, żądając okupu szacowanego na 5 mln funtów.
• KNP nie miała środków finansowych, aby zapłacić okup – w efekcie firma utraciła wszystkie dane i zbankrutowała.
• Dyrektor KNP nie poinformował pracownika o jego potencjalnym udziale w incydencie, zastanawiając się, czy byłoby to etyczne.
• KNP posiadała ubezpieczenie cybernetyczne i deklarowała spełnienie standardów IT, jednak okazało się to niewystarczające.
• W ostatnim czasie celem podobnych ataków padły także znane marki: M&S, Co-op i Harrods. W ich wyniku skradziono dane milionów klientów.
• Według brytyjskich służb cyberbezpieczeństwa (NCSC), ransomware - typ złośliwego oprogramowania, które wymusza okup - stanowi obecnie jedno z największych zagrożeń cybernetycznych na świecie.
• Eksperci alarmują, że nowa generacja hakerów zdobywa wiedzę poprzez gry komputerowe i wykorzystuje ją do zdobycia dostępu do systemów firm.
• W Wielkiej Brytanii odnotowano w ciągu roku około 19 tys. ataków ransomware, jednak wiele z nich nie jest zgłaszanych oficjalnie.
• Typowe żądanie okupu w Wielkiej Brytanii osiąga obecnie wartość około 4 mln funtów; około jedna trzecia firm decyduje się zapłacić przestępcom.
• Eksperci apelują do firm o inwestowanie w silniejsze praktyki cyberbezpieczeństwa i lepsze szkolenia dla pracowników.

• Kontekst: Artykuł porusza problematykę przewlekłości postępowań skargowych w Urzędzie Ochrony Danych Osobowych (UODO), wynikającą z rosnącej liczby skarg oraz ograniczonych zasobów kadrowych.
• Wzrost liczby skarg: W 2024 r. liczba skarg wzrosła o 15% w porównaniu z rokiem poprzednim (z 6962 do 8056), a w pierwszym półroczu 2025 r. odnotowano wzrost o ponad 40% rok do roku.
• Niezmienny poziom zatrudnienia: Pomimo rosnącej liczby spraw, liczba etatów w departamentach zajmujących się skargami nie uległa zwiększeniu od 2018 r.
• Organizacyjne usprawnienia: W 2025 r. utworzono nowy departament do wstępnej kontroli skarg, co znacząco przyspieszyło rozpatrywanie spraw.
• Efekty usprawnień: W 2024 r. zakończono o 5% więcej postępowań niż w 2023 r. (6179 wobec 5898), a liczba decyzji ma przekroczyć 2 tysiące w 2025 r.
• Przyczyny opóźnień niezależne od UODO: Utrudnienia wynikają m.in. z niekompletnych lub błędnie wypełnionych skarg, niestarannego działania skarżących i administratorów danych oraz opóźnień w doręczeniach tradycyjną pocztą.
• Skargi zagraniczne: Coraz więcej spraw dotyczy administratorów danych z zagranicy, co komplikuje i wydłuża postępowania ze względu na brak współpracy i problemy z doręczeniami.
• Wysoka jakość decyzji: Efekty pracy UODO potwierdzają orzeczenia sądów administracyjnych oddalające skargi na decyzje organu.
• Edukacja obywateli: UODO prowadzi intensywne działania edukacyjne, w tym poprzez infolinię i nowe narzędzia (np. wyszukiwarkę orzeczeń), by poprawić jakość składanych skarg i przyspieszyć ich rozpatrywanie.
• Język komunikacji: UODO upraszcza język pism urzędowych, by były bardziej zrozumiałe dla obywateli niemających wykształcenia prawniczego.
• Potrzeba zmian legislacyjnych: Dalsze usprawnienia mogą być osiągnięte tylko poprzez zmiany w prawie, w tym uproszczenie procedur administracyjnych. UODO aktywnie bierze udział w opiniowaniu przepisów prawa z perspektywy ochrony danych.

Sprawa dotyczy praktyk stosowanych przez portal internetowy i ma potencjalnie szerszy wpływ na projektowanie komunikatów o cookies w całej UE, w tym w Polsce.

• Sąd administracyjny w Hanowerze orzekł, że baner cookies musi już w pierwszej warstwie zawierać równorzędną możliwość odrzucenia i zaakceptowania zgód.
• Brak przycisku „Odrzuć wszystkie zgody” narusza niemieckie prawo oraz RODO (Rozporządzenie Ogólne o Ochronie Danych).
• Przedmiotem sprawy był portal Neue Osnabrücker Zeitung, którego baner uznano za manipulacyjny – przycisk akceptacji był bardziej widoczny, a odrzucenie wymagało dodatkowych kliknięć.
• Sąd uznał, że taka konstrukcja nie zapewnia użytkownikowi dobrowolnej, świadomej i jednoznacznej zgody.
• Wyrok potwierdza, że układ graficzny i struktura informacji nie mogą wpływać na decyzje użytkownika – wybór musi być rzeczywisty, a nie pozorny.
• Orzeczenie to może wpłynąć na zmiany w projektowaniu banerów cookies w całej Unii Europejskiej, w tym w Polsce.
• Polskie strony internetowe często utrudniają odrzucanie zgód, dlatego wyrok z Niemiec może być ważnym sygnałem także dla krajowych organów ochrony danych.

Artykuł dotyczy cyberataku przeprowadzonego przez chińskich hakerów na system SharePoint instalowany lokalnie (on-premise), a nie w chmurze. W ataku wykorzystano znane podatności i celem padły m.in. kluczowe instytucje rządowe USA. Tło wydarzenia wpisuje się w szerszy kontekst globalnej rywalizacji technologicznej i szpiegostwa między mocarstwami.

• Chińska grupa hakerska, najprawdopodobniej powiązana z rządem Chin, przeprowadziła zaawansowany atak na system SharePoint wykorzystywany przez instytucje rządowe.
• Celem ataku padły m.in. amerykańska Narodowa Administracja Bezpieczeństwa Jądrowego oraz Departament Edukacji USA.
• Atak dotyczył wersji SharePointa instalowanej lokalnie, a nie wersji chmurowej Microsoft365.
• Chiny oficjalnie zaprzeczają jakimkolwiek związkom z atakiem i odcinają się od działań szpiegowskich.
• Cyberatak jest kolejnym elementem w geopolitycznej rywalizacji między Chinami a USA, obejmującej szpiegostwo i dominację technologiczną.
• Również niektóre rządy europejskie mogły zostać ofiarami tego ataku, choć brak jest jeszcze szczegółowych informacji publicznych.
• W odpowiedzi na rosnące zagrożenia UE wdraża inicjatywy regulacyjne jak NIS2 czy Cyber Resilience Act, jednak tempo tych działań jest stosunkowo wolne.
• Brakuje europejskich dostawców rozwiązań cyberbezpieczeństwa – większość firm w tym sektorze pochodzi spoza Unii Europejskiej, co dodatkowo osłabia bezpieczeństwo technologiczne regionu.

Wniosek: Ataki takie jak ten na SharePoint uwidaczniają, jak istotne jest zwiększanie świadomości cyberzagrożeń, przyspieszenie regulacji oraz strategiczne inwestycje w europejskie technologie bezpieczeństwa informatycznego.

W kwietniu 2025 roku włoski organ nadzoru nad ochroną danych osobowych – Garante – zakończył postępowanie wobec firmy energetycznej Acea Energia oraz kilku innych podmiotów, ujawniając poważne naruszenia RODO związane z nielegalnymi praktykami telemarketingowymi. Poniżej znajduje się podsumowanie najważniejszych faktów i wniosków z tej sprawy:

• Call center współpracujące z Acea Energia korzystały z baz danych osób, które niedawno zmieniły dostawcę energii – dane te pochodziły z niejasnych i niezweryfikowanych źródeł.
• Podczas rozmów telefonicznych konsultanci powoływali się na fikcyjne problemy techniczne, by skłonić klientów do ponownego wyboru konkretnej firmy energetycznej.
• Acea Energia była świadoma stosowanych praktyk i utrzymywała kontakt z podmiotami realizującymi kampanie – co według Garante potwierdziło jej współodpowiedzialność.
• Garante nałożył na Acea Energia karę w wysokości 3 milionów euro oraz na pięć innych firm łączną karę 850 tysięcy euro.
• Spółka została zobowiązana do poinformowania wszystkich osób, których dane dotyczyły naruszenia, oraz do przeprowadzenia przeglądu współpracy z podmiotami przetwarzającymi dane w jej imieniu.
• Mimo że Acea Energia zerwała współpracę z nielegalnie działającymi firmami po kontroli, zdaniem regulatora działania te były spóźnione i niewystarczające.
• Regulator zauważył, że Acea Energia nie wdrożyła skutecznych mechanizmów nadzoru nad zgodnością przetwarzania danych z RODO.

Wnioski dla firm:

• Firmy zlecające działania marketingowe zewnętrznym podmiotom są współodpowiedzialne za przestrzeganie przepisów RODO.
• Zgodność z RODO wymaga aktywnego monitorowania i dokumentowania źródeł danych oraz działań podejmowanych przez podwykonawców.
• Przed rozpoczęciem współpracy należy zweryfikować źródła danych oraz zawrzeć formalne umowy powierzenia przetwarzania danych osobowych.
• Nieprzestrzeganie zasad legalności i przejrzystości może skutkować dotkliwymi sankcjami finansowymi i wizerunkowymi.
• RODO powinno być traktowane jako strategiczny element zarządzania ryzykiem, nie tylko jako obowiązek prawny.