RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 31.03.2026 r. 

  RODO aktualności

TSUE: pierwszy wniosek o kopię danych może być nadmiarowy » WSA oddalił skargę na decyzję Prezesa UODO w sprawie kary dla Radia Szczecin » IOD w służbie cywilnej. Uwagi PUODO do projektu nowelizacji rozporządzenia o stanowiskach urzędników » Przedsiębiorcy a RODO: Rzecznik MŚP apeluje o ograniczenie obowiązków informacyjnych » Dane prawników publikowane w sieci bez ich zgody. Jest śledztwo prokuratury » Pozew przeciwko Grammarly. AI miała podszywać się pod ekspertów bez ich zgody » EROD rozpoczął działanie skoordynowanego egzekwowania prawa w zakresie przejrzystości » Naruszenie danych a roszczenia cywilne – o czym warto pamiętać? » To nie AI jest największym zagrożeniem. Czyli raport opisujący incydenty z 2025 roku » AstraZeneca padła ofiarą ataku hakerskiego

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

TSUE: pierwszy wniosek o kopię danych może być nadmiarowy

  • Kontekst: Wyrok TSUE z 19.03.2026 r. dotyczy stosowania RODO w dwóch obszarach: (1) kiedy administrator może odmówić realizacji prawa dostępu do danych, uznając żądanie za „nadmierne” (art. 12 ust. 5 RODO), oraz (2) jak rozumieć odpowiedzialność cywilną i odszkodowanie za naruszenia (art. 82 RODO). Wyrok miał pomóc Sądowi Rejonowemu w Arnsbergu w rozstrzygnięciu konkretnego sporu.
  • Jak doszło do sporu: Obywatel Austrii (TC) zapisał się do newslettera firmy optycznej, a po ok. 2 tygodniach zażądał kopii swoich danych osobowych (prawo dostępu z art. 15 RODO).
  • Stanowisko firmy (Brillen Rottler): Odmówiła, uznając wniosek za „nadmierny” w rozumieniu art. 12 ust. 5 RODO, i wezwała TC do wycofania żądania.
  • Roszczenie TC: Podtrzymał wniosek o dostęp i dodatkowo zażądał odszkodowania 1000 EUR na podstawie art. 82 RODO za odmowę dostępu.
  • Argument firmy o nadużyciu: Firma twierdziła, że TC działa schematycznie i nadużywa prawa: zapis do newslettera → wniosek o dostęp → żądanie odszkodowania, rzekomo głównie w celu uzyskiwania pieniędzy.
  • Spór trafił do sądu: Firma wniosła do sądu pozew o ustalenie, że TC nie należy się odszkodowanie; TC złożył powództwo wzajemne o zasądzenie co najmniej 1000 EUR.
  • Pytania sądu do TSUE: Sąd w Arnsbergu skierował pytania prejudycjalne m.in. o to:
    • czy pierwszy wniosek o dostęp może być w ogóle uznany za „nadmierny”,
    • czy administrator może odmówić dostępu, jeżeli osoba planuje dochodzić odszkodowania,
    • czy publiczne informacje o „powtarzalnym” dochodzeniu roszczeń przez daną osobę mogą uzasadniać odmowę,
    • czy sam wniosek o dostęp/odpowiedź na wniosek to „przetwarzanie” danych,
    • czy odszkodowanie z art. 82 wymaga szkody związanej z „przetwarzaniem” oraz czy naruszenie samego prawa dostępu może rodzić odpowiedzialność,
    • czy utrata kontroli lub niepewność co do przetwarzania danych może być szkodą niemajątkową.
  • Najważniejsze wskazówki TSUE dot. „nadmiernych żądań” (art. 12 ust. 5 RODO):
    • TSUE odwołał się do wcześniejszego orzecznictwa dotyczącego „nadmiernych żądań” i podkreślił ogólną zasadę prawa UE: nie wolno powoływać się na prawo Unii w sposób oszukańczy lub stanowiący nadużycie.
    • Aby uznać wniosek o dostęp za „nadmierny”, administrator musi wykazać (na podstawie wszystkich okoliczności sprawy) zamiar nadużycia po stronie osoby składającej wniosek.
    • Zamiar nadużycia można stwierdzić wtedy, gdy wniosek jest składany w innym celu niż:
      • zapoznanie się z tym, jak dane są przetwarzane,
      • sprawdzenie zgodności przetwarzania z prawem,
      • a następnie ewentualne skorzystanie z ochrony praw wynikających z RODO.
    • Przy ocenie należy brać pod uwagę m.in.: czy dana osoba podała dane dobrowolnie, cel ich podania, czas między podaniem danych a wnioskiem o dostęp oraz zachowanie osoby.
    • To sąd krajowy ma zbadać, czy w tej konkretnej sprawie firma rzeczywiście wykazała istnienie zamiaru nadużycia po stronie TC.
  • Najważniejsze wnioski TSUE dot. odszkodowania i szkody niemajątkowej (art. 82 RODO):
    • TSUE zwrócił uwagę, że związek przyczynowy między naruszeniem a szkodą może zostać przerwany, jeżeli zachowanie poszkodowanego było decydującą przyczyną szkody (np. gdy szkoda wynika głównie z jego własnej decyzji, która nie była mu narzucona).
    • TSUE przesądził, że szkoda niemajątkowa w rozumieniu art. 82 ust. 1 RODO może obejmować:
      • utratę kontroli nad własnymi danymi osobowymi lub
      • niepewność co do tego, czy dane były przetwarzane,
      pod warunkiem, że osoba wykaże, iż rzeczywiście poniosła taką szkodę oraz że jej własne zachowanie nie było decydującą przyczyną tej szkody.
  • Praktyczne znaczenie wyroku (dla nieprawników):
    • Administrator nie może automatycznie odrzucać wniosków o dostęp tylko dlatego, że podejrzewa „polowanie na odszkodowanie” — musi to udowodnić w realiach danej sprawy.
    • Odszkodowanie za naruszenia RODO może dotyczyć także szkód niemajątkowych (takich jak utrata kontroli czy niepewność), ale nie jest „z automatu” — trzeba wykazać realną szkodę i związek z naruszeniem.
    • Jeżeli szkoda wynika głównie z działań samej osoby, możliwe jest uznanie, że brak jest związku przyczynowego po stronie administratora.
Źródło

WSA oddalił skargę na decyzję Prezesa UODO w sprawie kary dla Radia Szczecin

  • Kontekst: Wojewódzki Sąd Administracyjny w Warszawie (wyrok z 18 marca 2026 r., sygn. II SA/Wa 807/25) oddalił skargę Polskiego Radia – Regionalnej Rozgłośni w Szczecinie na decyzję Prezesa UODO. Sąd potwierdził zasadność kary pieniężnej za brak procedur chroniących prawa bohaterów publikacji (osób, których dane pojawiają się w materiałach redakcyjnych).
  • Wysokość kary: Prezes UODO Mirosław Wróblewski nałożył na Polskie Radio Szczecin administracyjną karę pieniężną w wysokości 56 824 zł.
  • Dlaczego sąd oddalił skargę: WSA wskazał, że protokół kontroli (utrwalający ustalenia faktyczne) został podpisany bez zastrzeżeń przez osoby uprawnione, a sama kara została uznana za adekwatną i prawidłowo uzasadnioną.
  • Co wykazała kontrola UODO: Kontrola w Polskim Radiu Szczecin ujawniła szereg uchybień w przetwarzaniu danych osobowych w działalności redakcyjnej, w tym m.in.:
    • brak analizy ryzyka dla przetwarzania danych,
    • niestosowanie się do własnej polityki ochrony danych,
    • brak odpowiednich środków bezpieczeństwa zapewniających poufność, integralność, dostępność i odporność systemów oraz usług,
    • niewystarczające działania zapobiegające ryzyku naruszenia praw lub wolności osób, w tym w obszarze pseudonimizacji i szyfrowania.
  • Skutki ujawnionych zaniedbań (tło sprawy): Uchybienia miały przyczynić się w 2022 r. do publikacji materiału, z którego wynikało, że ofiarą przestępstwa był syn jednej z posłanek; dane w materiale pozwalały na jednoznaczną identyfikację nastolatka. Następstwem tej sytuacji było samobójstwo chłopca.
  • Stanowisko Prezesa UODO: W działalności dziennikarskiej konieczne jest odpowiednie zabezpieczanie danych osobowych i poszanowanie prawa do prywatności osób opisywanych.
  • Dodatkowe działania UODO:
    • UODO przypominał o obowiązkach w tym zakresie podczas konferencji „Dane osobowe na antenie” (relacja: https://uodo.gov.pl/pl/531/3973).
    • W 2025 r., po nałożeniu kary na Radio Szczecin, Prezes UODO skierował wystąpienia do szefów wszystkich spółek radiofonii publicznej (informacja: https://uodo.gov.pl/pl/138/3794).

Źródło

IOD w służbie cywilnej. Uwagi PUODO do projektu nowelizacji rozporządzenia o stanowiskach urzędników

  • Kontekst: Prezes Urzędu Ochrony Danych Osobowych (UODO) przekazał uwagi do projektu zmiany rozporządzenia dotyczącego stanowisk i wymagań w służbie cywilnej. Zwraca uwagę, że przepisy powinny lepiej uwzględniać rolę inspektora ochrony danych (IOD) i zapewniać zgodność z RODO.
  • Kluczowa zasada z RODO: niezależnie od struktury danej jednostki, IOD musi mieć zagwarantowaną niezależność, w tym:
    • bezpośrednią podległość najwyższemu kierownictwu,
    • włączanie go odpowiednio wcześnie we wszystkie sprawy dotyczące ochrony danych,
    • realne wsparcie w wykonywaniu zadań.
  • 1) Trzeba dodać stanowisko zastępcy IOD: w katalogu stanowisk urzędniczych powinno znaleźć się stanowisko zastępcy inspektora ochrony danych (analogicznie jak w przepisach dla samorządów). Możliwość wyznaczenia zastępcy wynika z ustawy o ochronie danych osobowych i ma zapewnić ciągłość wykonywania funkcji podczas nieobecności IOD.
  • 2) Właściwe miejsce IOD w strukturze: zdaniem Prezesa UODO IOD (i jego zastępca) powinni podlegać bezpośrednio najwyższemu kierownictwu jednostki. Umieszczenie IOD w grupie „stanowisk samodzielnych” może nie gwarantować spełnienia wymogu RODO. Proponowane jest stworzenie odrębnej grupy stanowisk bezpośrednio podlegających najwyższemu kierownictwu.
  • 3) Doprecyzowanie kwalifikacji IOD: projekt rozporządzenia wskazuje jedynie wymóg wyższego wykształcenia, co może być niewystarczające. RODO wymaga, aby IOD był wyznaczany na podstawie kwalifikacji, zwłaszcza fachowej wiedzy o prawie i praktykach ochrony danych oraz umiejętności realizacji zadań IOD. Postulat: wprost odesłać do wymagań wynikających z RODO (także dla zastępcy IOD).
  • 4) Problem „zgody” przy zmianie usytuowania IOD: projekt zakłada przeniesienie osób wykonujących zadania IOD na nowe stanowisko (podległe najwyższemu kierownictwu) tylko za ich zgodą. Prezes UODO wskazuje, że bezpośrednia podległość wynika z RODO i nie powinna zależeć od zgody pracownika, bo brak zgody mógłby utrwalać nieprawidłowe podporządkowanie (np. pod dyrektora departamentu lub naczelnika).
  • Wniosek ogólny: aby projekt rozporządzenia był spójny z RODO, należy jednoznacznie uregulować rolę IOD i zastępcy IOD, zapewnić im właściwe miejsce w strukturze (podległość najwyższemu kierownictwu) oraz doprecyzować wymagania kwalifikacyjne zgodnie z przepisami unijnymi.
Źródło

Przedsiębiorcy a RODO: Rzecznik MŚP apeluje o ograniczenie obowiązków informacyjnych

  • Kontekst: Rzecznik Małych i Średnich Przedsiębiorców (Rzecznik MŚP) zwrócił się do Ministra Cyfryzacji o możliwie szerokie wyłączenie firm z sektora MŚP z części obowiązków informacyjnych wynikających z RODO.
  • Cel wniosku: Rzecznik MŚP wnosi o podjęcie działań legislacyjnych, które ograniczą obowiązki z art. 13 i 14 RODO po stronie przedsiębiorców z sektora MŚP.
  • Co dziś nakazuje art. 13 RODO: gdy firma zbiera dane bezpośrednio od osoby, musi przekazać m.in. informacje o:
    • tożsamości administratora i danych kontaktowych,
    • celach przetwarzania danych,
    • okresie przechowywania danych,
    • tym, czy podanie danych jest wymagane oraz jaki ma to charakter.
  • Co dziś nakazuje art. 14 RODO: gdy dane są pozyskiwane pośrednio (np. od partnerów biznesowych lub z internetu), poza informacjami jak w art. 13 trzeba dodatkowo wskazać m.in.:
    • kategorie posiadanych danych,
    • źródła pochodzenia danych.
  • Uzasadnienie Rzecznika: według prac Zespołu Roboczego ds. RODO działającego przy Radzie Przedsiębiorców (przy Rzeczniku MŚP) obecne obowiązki tworzą bariery i utrudnienia dla najmniejszych firm w prowadzeniu działalności w Polsce.
  • Argument “unijny”: Rzecznik przypomina, że zbliża się termin przedstawienia przez Komisję Europejską oceny i przeglądu RODO, co – zdaniem Rzecznika – jest dobrą okazją do zaprezentowania na forum UE projektu:
    • całkowitego wyłączenia MŚP z tych obowiązków lub
    • co najmniej jak najszerszych wyłączeń.
  • Odwołanie do treści RODO: w komunikacie wskazano, że samo RODO zachęca instytucje UE i państwa członkowskie, by przy stosowaniu przepisów uwzględniały szczególne potrzeby mikro-, małych i średnich przedsiębiorstw.
  • Zasada proporcjonalności: podkreślono, że prawo do ochrony danych osobowych nie jest bezwzględne i powinno być wyważane z innymi prawami w myśl zasady proporcjonalności.
  • Proponowane uproszczenie: w ocenie Rzecznika część obowiązków informacyjnych mogłaby zostać ograniczona do:
    • wywieszenia informacji w widocznym miejscu w lokalu przedsiębiorstwa lub
    • udostępnienia jej na stronie internetowej.
Źródło

Dane prawników publikowane w sieci bez ich zgody. Jest śledztwo prokuratury

  • Kontekst: Prokuratura ma zająć się działalnością serwisu internetowego Lexspace, który prezentował dane tysięcy adwokatów i radców prawnych (pozyskane z publicznych rejestrów) i – według smorządów zawodowych – mógł sprawiać wrażenie oficjalnego rejestru oraz wprowadzać użytkowników w błąd co do tego, kto faktycznie udziela „pomocy prawnej”.
  • Wszczęcie śledztwa: Prezes Krajowej Rady Radców Prawnych (KRRP) Włodzimierz Chróścik poinformował, że Prokuratura Okręgowa w Krakowie wszczęła postępowanie po zawiadomieniu złożonym przez samorząd radców prawnych.
  • Główne zarzuty wobec Lexspace (wg KRRP):
    • serwis miał podszywać się pod oficjalny rejestr pełnomocników,
    • oferować rzekomo darmową pomoc prawną,
    • publikować dane prawników, które w wielu przypadkach były nieprawdziwe lub wprowadzające w błąd,
    • pojawiały się porady i dokumenty przypisywane konkretnym prawnikom bez ich wiedzy,
    • użytkownik mógł mieć wrażenie, że korzysta z pomocy konkretnego radcy prawnego/adwokata.
  • Apel o zgłoszenia: Chróścik poprosił o przekazywanie informacji o przypadkach, w których ktoś został wprowadzony w błąd co do tożsamości osoby udzielającej porady lub gdy osoby działające przez portal miały podszywać się pod konkretnych prawników. Zgłoszenia można kierować do Prokuratury Okręgowej w Krakowie z powołaniem się na sygn. akt 3017-2.Ds.5.2026.
  • Skala danych w serwisie: Według informacji przekazywanych wcześniej przez Lexspace serwis miał zawierać ponad 74 tys. danych adresowych kancelarii, w tym m.in. imiona i nazwiska, numery telefonów, adresy e-mail, a w opisach kancelarii często także dokładne adresy oraz czasem NIP i REGON.
  • Wcześniejsze ostrzeżenia: Już w marcu poprzedniego roku KRRP ostrzegała przed „fałszywymi serwisami prawnymi”, wskazując głównie na Lexspace.
  • Działania urzędów i samorządów:
    • KRRP złożyła skargi do UODO (dane osobowe) oraz UOKiK (możliwe wprowadzanie klientów w błąd i naruszenie zasad uczciwej konkurencji); oba urzędy miały potwierdzić, że badają zgłoszenia.
    • Interweniował także samorząd adwokatów: prezydium NRA zawiadomiło prokuraturę oraz zgłosiło sprawę do UOKiK (zbiorowe interesy konsumentów) i UODO (przetwarzanie danych).
  • Stanowisko Lexspace (wg korespondencji z UODO): Serwis wskazywał, że dane prawników pochodzą z publicznych źródeł (rejestry adwokatów i radców, KRS, CEIDG) oraz częściowo z dobrowolnego przekazania danych w celach reklamowych / publikacji wizytówki. Deklarował też spełnianie obowiązków informacyjnych, w tym poprzez politykę prywatności oraz możliwość usunięcia lub aktualizacji danych.
Źródło

Pozew przeciwko Grammarly. AI miała podszywać się pod ekspertów bez ich zgody

  • Kontekst: Pojawił się pozew zbiorowy przeciwko Grammarly. Sprawa dotyczy tego, że AI może „sklonować” czyjąś rozpoznawalną tożsamość zawodową (np. styl i autorytet znanego autora), nawet bez kopiowania jego tekstów.
  • Co wprowadziło Grammarly: W 2025 r. firma uruchomiła funkcję „Expert Review”, gdzie użytkownik mógł poprosić o ocenę tekstu przez „eksperta”. System generował sugestie inspirowane stylem lub podejściem konkretnej osoby, podpisanej imieniem i nazwiskiem (np. Stephen King).
  • Główny problem: Osoby, których nazwisk użyto jako „ekspertów”, nie wyraziły zgody na wykorzystanie ich tożsamości i reputacji w produkcie komercyjnym.
  • Nowe określenie zjawiska: Jedna z powódek nazwała to „Sloppergänger” – połączenie „sobowtóra” (doppelgänger) z „slopem” (niskiej jakości treściami generowanymi przez AI). Chodzi o „podróbkę” eksperta, która może wyglądać wiarygodnie, ale daje słabe wyniki.
  • Na czym opiera się pozew (2 filary):
    • Przywłaszczenie tożsamości / naruszenie prawa do wizerunku: użycie nazwiska i reputacji znanych osób bez zgody i wynagrodzenia w produkcie nastawionym na zysk.
    • Wprowadzenie w błąd: użytkownik mógł uwierzyć, że dany ekspert faktycznie udziela porad lub firmuje produkt. Dodatkowo słaba jakość sugestii AI mogła szkodzić reputacji tej osoby.
  • Reakcja Grammarly: po wybuchu krytyki firma najpierw zaproponowała mechanizm opt-out, potem wyłączyła funkcję, a CEO publicznie przeprosił, jednocześnie sugerując, że roszczenia są bezpodstawne.
  • Dlaczego to ważne (szersze wnioski):
    • To przykład specyficznego „deepfake’u”: nie chodzi o twarz czy głos, ale o tożsamość zawodową i „ekspercki styl”.
    • Sprawa dotyka problemu komercjalizacji stylu i możliwości jego klonowania bez zgody twórcy.
    • Powraca pytanie: gdzie jest granica między inspiracją a plagiatem w produktach opartych o AI?
    • Widać też tendencję do personifikowania AI i budowania wokół niej produktów, które „udają” udział konkretnych ludzi.
  • Tło prawne w USA: W prawie amerykańskim istnieje koncepcja right of publicity, która chroni przed komercyjnym wykorzystaniem elementów tożsamości (np. nazwiska, wizerunku, głosu) bez zgody. Sąd ma ocenić, czy tworzenie „syntetycznych person eksperckich” inspirowanych realnymi osobami jest legalne.
  • Możliwy skutek dla rynku: Wyrok może wyznaczyć kierunek na przyszłość – np. czy AI-owe „persony” inspirowane prawdziwymi ekspertami będą wymagały licencji.
  • A gdyby to było w UE: Europa nie ma jednego odpowiednika „right of publicity”, ale to nie oznacza, że taki produkt byłby dozwolony. Sprawa mogłaby być oceniana przez pryzmat m.in. dóbr osobistych, ochrony danych osobowych, prawa do wizerunku, praw autorskich, nieuczciwych praktyk rynkowych oraz potencjalnie AI Act (wątki deepfake’ów).
  • Najbardziej ogólny wniosek: W podobnych sporach kluczowe może się okazać to, że „zasobem” do licencjonowania stają się nie tylko dane czy treści, ale ludzie – ich nazwiska, reputacja i rozpoznawalny styl.
Źródło

EROD rozpoczął działanie skoordynowanego egzekwowania prawa w zakresie przejrzystości

  • Kontekst: Europejska Rada Ochrony Danych (EROD) uruchamia działania w ramach Skoordynowanego Egzekwowania Prawa (CEF) na 2026 r. Po całorocznych działaniach w 2025 r. dotyczących prawa do usunięcia danych, w 2026 r. CEF skupi się na przejrzystości przetwarzania danych i obowiązkach informacyjnych wynikających z RODO.
  • Co będzie sprawdzane: zgodność z wymogami RODO dotyczącymi informowania osób o przetwarzaniu ich danych (art. 12, 13 i 14 RODO), czyli m.in. czy przekazywane informacje są jasne, pełne i dostępne.
  • Dlaczego to ważne: prawo do informacji jest podstawą przejrzystości i ma zapewniać osobom fizycznym większą kontrolę nad ich danymi (np. świadomość, kto i w jakim celu przetwarza dane).
  • Skala inicjatywy: w 2026 r. weźmie w niej udział 25 organów ochrony danych z całej Europy.
  • Jak będą wyglądały działania: organy ochrony danych będą kontaktować się z administratorami danych z różnych sektorów w Europie, podejmując:
    • działania egzekwujące (np. w ramach kompetencji nadzorczych), lub
    • postępowania wyjaśniające; w razie potrzeby mogą pojawić się też dodatkowe działania następcze.
  • Wspólne podsumowanie wyników: w drugiej połowie 2026 r. uczestniczące organy podzielą się ustaleniami, aby zebrać wyniki działań krajowych i uzyskać pełniejszy obraz problemów i dobrych praktyk.
  • Efekt końcowy: powstanie skonsolidowane sprawozdanie, które zostanie przedłożone do przyjęcia przez EROD i ma umożliwić ukierunkowane działania następcze na poziomie krajowym i unijnym.
  • Czym jest CEF: to jedno z kluczowych działań EROD w strategii na lata 2024–2027, nastawione na poprawę egzekwowania przepisów i współpracy między organami ochrony danych.
  • Poprzednie tematy CEF (dla porównania):
    • 2023: korzystanie z usług chmurowych w sektorze publicznym (opublikowano sprawozdanie),
    • 2024: wyznaczanie i pozycja inspektorów ochrony danych (opublikowano sprawozdanie),
    • 2025: wdrażanie prawa dostępu (opublikowano sprawozdanie),
    • 2026: EROD przyjęła sprawozdanie z działania dotyczącego prawa do usunięcia danych (temat działań w 2025 r.).
  • Decyzja o temacie na 2026 r.: EROD wybrała temat przejrzystości i obowiązków informacyjnych podczas posiedzenia plenarnego w październiku 2025 r.
Źródło

Naruszenie danych a roszczenia cywilne - o czym warto pamiętać?

  • Kontekst: firma pada ofiarą ataku z zewnątrz (np. ransomware), traci dostęp do danych i walczy o przywrócenie działania. Równolegle trzeba zgłosić naruszenie do Prezesa UODO i często także poinformować osoby, których dane dotyczą.
  • Nawet jeśli sytuacja technicznie zostanie opanowana (np. dane odtworzone z backupów) i UODO nie wszczyna postępowania, to problem może wrócić w innej formie: pozwów cywilnych od osób, których dane zostały objęte naruszeniem.
  • Roszczenia mogą dotyczyć odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO (czyli niekoniecznie za realną stratę finansową).
  • Wyrok TSUE C-687/21: „szkoda niemajątkowa” może obejmować sytuację, gdy osoba ma uzasadnioną obawę, że jej dane mogą w przyszłości zostać ujawnione lub wykorzystane w sposób stanowiący nadużycie przez osoby trzecie.
  • Kluczowy wniosek: nie trzeba wykazywać klasycznej szkody (np. straty lub utraconych korzyści). Wystarczy, że obawa przed negatywnymi skutkami w przyszłości jest uzasadniona.
  • Rola sądu: to sąd krajowy ma sprawdzić, czy obawa danej osoby faktycznie jest uzasadniona, ale w praktyce może to być łatwe do wykazania w wielu przypadkach.
  • Stanowisko NSA (III OSK 1830/22): ujawnienie numeru PESEL wiąże się z istotnymi ryzykami i może prowadzić do poważnych konsekwencji — co wzmacnia argument, że sama obawa może być uznana za uzasadnioną.
  • Odpowiedzialność administratora: administrator danych może próbować wykazać brak winy, ale autor sugeruje, że bywa to trudne w praktyce (wskazując m.in. na sprawę Morele jako przykład).
  • Ogólna refleksja autora: istnieje wrażenie, że podejście do roszczeń za „szkodę niemajątkową” po naruszeniach RODO może iść bardzo daleko, co rodzi pytania o realne konsekwencje dla administratorów danych.
  • Dodatkowa informacja: temat roszczeń cywilnoprawnych związanych z naruszeniami RODO był omawiany podczas spotkania w ramach projektu edukacyjnego „Czas na RoDoOo – Chroń siebie i swoje dane osobowe” na WPiA UAM.
Źródło

To nie AI jest największym zagrożeniem. Czyli raport opisujący incydenty z 2025 roku

  • Kontekst: Mandiant opublikował coroczny raport M-Trends. Wbrew obawom, nie jest to raport o tym, że „AI przejmuje świat”. AI pomaga atakującym (głównie w socjotechnice i tworzeniu malware’u omijającego detekcję), ale większość udanych włamań nadal wynika z ludzkich i systemowych zaniedbań.
  • Najczęstszy wektor wejścia nadal ten sam: od 6 lat nr 1 są exploity (ok. 32%). W 2025 r. często wykorzystywano luki m.in. w SAP NetWeaver, Oracle E-Business Suite i Microsoft SharePoint.
  • Duża zmiana w socjotechnice: klasyczny phishing e-mailowy spadł (z ok. 14% do 6%), a na jego miejsce weszły ataki telefoniczne i przez komunikatory: vishing + komunikatory to ok. 11%.
  • Ryzyko rośnie przez łańcuch dostaw: na 3. miejscu znalazły się ataki przez dostawców / oprogramowanie firm trzecich (w tym SaaS) – ok. 10%.
  • Ataki przyspieszyły do poziomu sekund: grupy wyspecjalizowane w „pierwszym wejściu” (Initial Access Brokers) automatyzują infekcje (np. malvertising, fałszywe komunikaty w przeglądarce typu ClickFix/InstallFix, zachęcające do wklejenia komend do PowerShell).
  • Kluczowa statystyka: mediana czasu od infekcji do przekazania dostępu dalej spadła z 8 godzin (2022) do ok. 22 sekund (2025) – malware potrafi od razu doinstalować backdoora docelowej grupy (np. w scenariuszach prowadzących do ransomware).
  • Wniosek dla SOC/IT: alerty wyglądające na „mało ważne” (np. z przeglądarki) mogą być w praktyce incydentem krytycznym – napastnik może rozpocząć dalsze działania (np. ruch boczny) niemal natychmiast.
  • APT polują na urządzenia brzegowe: zaawansowane grupy wykorzystują luki (0-day i n-day) w urządzeniach sieciowych, potrafią zakładać konta, uruchamiać SSH na nietypowych portach i stosować sniffery do przechwytywania haseł przesyłanych jawnym tekstem.
  • Ransomware zmienił cel: „Recovery Denial” – nie chodzi już tylko o szyfrowanie plików, ale o uniemożliwienie odzysku poprzez atak na backup (kradzież poświadczeń, kasowanie lub szyfrowanie kopii zapasowych, ataki na NAS/chmurowe zasoby).
  • Ataki na domenę i masowe wdrożenia ransomware: napastnicy pozyskują dane uwierzytelniające (np. z ntds.dit), a następnie używają narzędzi administracyjnych (np. GPO, Microsoft Endpoint Manager) do uruchomienia ataku równocześnie na wiele stacji.
  • Hypervisory jako „kryjówka”: często celem są systemy bez agenta EDR (firewalle, routery, VPN, VMware ESXi/vCenter). Atakujący potrafią przejąć hypervisor i uruchomić „niewidzialną” maszynę (np. przez QEMU) do tunelowania ruchu i komunikacji z C2.
  • OAuth i tokeny ważniejsze niż hasła: przy MFA kluczowym problemem stają się tokeny (session cookies, refresh tokeny OAuth) oraz klucze API w kodzie. Ich kradzież może ominąć MFA.
  • Niebezpieczne integracje chmurowe: częsty problem to nadmierne uprawnienia aplikacji firm trzecich (np. aplikacja „tylko do odczytu” dostaje uprawnienia umożliwiające kasowanie zasobów).
  • Zagrożenie insiderowe: rośnie zjawisko zatrudniania się osób z KRLD pod fałszywą tożsamością; w 2025 r. to ok. 6% incydentów wewnętrznych, a mediana obecności w sieci wynosiła ok. 122 dni. Oprócz zarobku pojawiają się przypadki przekupywania pracowników/podwykonawców w celu uzyskania poświadczeń, kradzieży danych i prób wymuszeń.
  • Rekomendowany kierunek na 2026: „Active Resilience” – sama strategia „blokowania” to za mało; potrzeba przygotowania na włamanie, szybkiego wykrycia i ograniczania skutków.
  • Najważniejsze działania obronne (w skrócie):
    • Chronić Tier-0 oraz hypervisory; vCenter i backup nie powinny być w tym samym AD co reszta firmy, aby kompromitacja jednego konta nie „położyła” całego środowiska.
    • MFA wszędzie, ale też kontrola OAuth – ograniczyć możliwość dowolnego zatwierdzania aplikacji firm trzecich w MS365/Google Workspace; dla adminów stosować klucze FIDO2.
    • Logować i monitorować to, czego EDR nie obejmuje (vCenter, firewalle, switche) i analizować m.in. nowe role, snapshoty, nietypowe logowania SSH.
    • Reagować natychmiast na pozornie błahe alerty z przeglądarki – sprawdzać, czy nie doszło do połączenia zwrotnego (reverse shell) lub dalszych kroków atakującego.
Źródło

AstraZeneca padła ofiarą ataku hakerskiego

  • Kontekst: Ofiarą cyberataku padła AstraZeneca, szwedzko-brytyjski gigant farmaceutyczny. Hakerzy twierdzą, że uzyskali dostęp do kodu źródłowego firmy oraz danych uwierzytelniających do infrastruktury chmurowej (w tym kluczy Amazon Web Services – AWS).
  • Skala i znaczenie firmy: AstraZeneca zatrudnia ok. 90 000 pracowników (w tym 3000 w Polsce), ma zakłady produkcyjne w 18 krajach, a w 2025 r. osiągnęła przychód 58,7 mld USD. Rocznie przeznacza ok. 3 mld EUR na badania i jest notowana na giełdach w Nowym Jorku, Sztokholmie i Londynie.
  • Dlaczego to ważne: AstraZeneca była jedną z trzech pierwszych firm na świecie, które opracowały szczepionkę przeciw COVID-19, co podkreśla strategiczną wartość jej danych i projektów badawczych.
  • Kto stoi za atakiem (według deklaracji): Do incydentu przyznaje się grupa Lapsus$, która opublikowała wpisy o włamaniu na dwóch różnych platformach.
  • Co mogło zostać przejęte (wg hakerów):
    • pełny kod źródłowy,
    • baza danych pracowników,
    • dane użytkowników GitHub Enterprise,
    • wewnętrzne klucze API,
    • klucze AWS oraz konta usługowe MongoDB,
    • dane uwierzytelniające do MySQL.
  • Najważniejszy warunek: opisane informacje pochodzą z deklaracji hakerów; kluczowe jest, czy twierdzenia Lapsus$ zostaną potwierdzone.
  • Możliwe konsekwencje dla firmy (jeśli wyciek jest prawdziwy):
    • Ryzyko dalszych włamań: dostęp do kodu źródłowego może ułatwić wyszukiwanie luk i „głęboką” penetrację systemów.
    • Ryzyko utraty tajemnic biznesowych: ujawnienie informacji o projektach badawczo-rozwojowych (wartych miliardy i rozwijanych latami) może oznaczać bardzo wysokie koszty i osłabienie przewagi konkurencyjnej.
    • Ryzyko ataków na pracowników: osoby z wysokimi uprawnieniami mogą stać się celem kolejnych działań, np. prób wyłudzeń i ataków socjotechnicznych, jeśli ich dane zostały przejęte.
  • Tło o grupie: Lapsus$ miał wcześniej współpracować ze znanymi grupami zajmującymi się socjotechniką, m.in. ShinyHunters.
  • Ocena ekspertów: według raportu Resecurity z końca ubiegłego roku Lapsus$, Scattered Spider i ShinyHunters to trzy najbardziej znane, obecnie działające anglojęzyczne grupy cyberprzestępcze.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry