Disney zapłaci 10 mln dolarów kary za nielegalne zbieranie danych dzieci na YouTubie»Dane w przesyłkach pocztowych wymagają lepszej ochrony»NSA: obowiązek prawny i prawnie uzasadniony interes nie występują bez zawarcia umowy z Bankiem»Palo Alto Networks ujawnia incydent cyberbezpieczeństwa»Sprawa Izby Kontroli Nadzwyczajnej SN – jest wyrok TSUE»NSA oddalił skargę kasacyjną Sądu Rejonowego w Szczecinie – w tle kara pieniężna »Niemcy idą na wojnę z X – menedżerowie social media przed sądem za sposób przekazywania danych»Chiny oskarżają oddział Diora w Szanghaju o nielegalny transfer danych»
⬇️ Pobierz W PDF
Praktyczny poradnik o wdrażaniu RODO
Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: SprawdźDisney zapłaci 10 mln dolarów kary za nielegalne zbieranie danych dzieci na YouTubie
- Federalna Komisja Handlu (FTC) nałożyła karę na Disneya za naruszenie przepisów dotyczących prywatności dzieci w internecie.
- Disney zapłaci 10 milionów dolarów w ramach ugody z FTC i zrezygnuje z odwołania od decyzji.
- FTC zarzuciła Disneyowi, że nie oznaczał filmów publikowanych na YouTube jako „przeznaczone dla dzieci”, co umożliwiło zbieranie danych od dzieci poniżej 13. roku życia bez wymaganej zgody rodziców.
- Zebrane dane były następnie wykorzystywane do wyświetlania spersonalizowanych reklam, co naruszało ustawę Children’s Online Privacy Protection Act (COPPA).
- Disney zobowiązał się do zmiany dotychczasowej praktyki i zapewnił, że dostosuje swoje działania do obowiązujących przepisów.
- Firma podkreśliła, że sprawa dotyczy jedynie wybranych treści dystrybuowanych na platformie YouTube, a nie jej własnych cyfrowych kanałów.
- Disney zadeklarował dalsze inwestycje w narzędzia wspierające zgodność z przepisami dotyczącymi prywatności dzieci w sieci.
- W 2019 roku YouTube również został ukarany przez FTC grzywną w wysokości 170 milionów dolarów za analogiczne naruszenia i wprowadził obowiązek oznaczania treści jako przeznaczonych dla dzieci lub dorosłych.
- Mimo że YouTube informował Disneya o błędnym oznaczaniu ok. 300 filmów, koncern nie wprowadził skutecznych zmian, co doprowadziło do obecnej kary.
Dane w przesyłkach pocztowych wymagają lepszej ochrony
- Poczta Polska została wezwana przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) do poprawy zabezpieczeń przesyłek ze względu na liczne zgłoszenia dotyczące naruszeń ochrony danych osobowych.
- Prezes UODO, Mirosław Wróblewski, skierował pismo do Prezesa Zarządu Poczty Polskiej, Sebastiana Mikosza, z uwagi na utrzymujące się problemy z bezpieczeństwem korespondencji pocztowej.
- Pomimo wcześniejszych działań Poczty Polskiej, takich jak aktualizacja analizy ryzyka i opisanie procesów związanych z e-Doręczeniami, skala naruszeń nadal pozostaje wysoka.
- Do UODO wciąż napływają zgłoszenia od administratorów danych z różnych sektorów (publicznych, prywatnych oraz sądów) o:
- zagubieniu przesyłek,
- dostarczaniu korespondencji do nieuprawnionych osób,
- przesyłkach uszkodzonych lub otwartych, z wypadającą zawartością.
- Takie sytuacje mogą prowadzić do poważnych naruszeń prywatności, gdyż przesyłki mogą zawierać dane wrażliwe (np. dotyczące zdrowia lub wyroków sądowych), objęte przepisami RODO.
- Istnieje również ryzyko negatywnych konsekwencji w postępowaniach sądowych w przypadku zagubienia nieodtwarzalnych dokumentów (np. oryginałów pism procesowych).
- Prezes UODO zwrócił się do Poczty Polskiej o:
- informację, czy monitoruje skuteczność wprowadzonych wcześniej środków bezpieczeństwa,
- wyjaśnienie, czy planowane są dodatkowe działania zabezpieczające, i jeśli tak, to jakie i w jakich terminach zostaną wdrożone.
- UODO zapowiedział dalszy monitoring działań Poczty Polskiej pod kątem poprawy bezpieczeństwa przesyłek i ochrony danych osobowych.
NSA: obowiązek prawny i prawnie uzasadniony interes nie występują bez zawarcia umowy z Bankiem
- Naczelny Sąd Administracyjny (NSA) wydał ważne orzeczenie dotyczące interpretacji podstaw prawnych przetwarzania danych osobowych zgodnie z RODO – m.in. obowiązku prawnego wynikającego z przepisów prawa oraz przesłanki prawnie uzasadnionego interesu.
- Sprawa dotyczyła mężczyzny, którego dane osobowe zostały przetworzone w związku z zapytaniem kredytowym, mimo że ostatecznie nie zawarto umowy kredytowej z bankiem.
- Prezes UODO nakazał bankowi oraz BIK usunięcie danych osobowych tej osoby, lecz Wojewódzki Sąd Administracyjny (WSA) w Warszawie uchylił tę decyzję, dopuszczając możliwość przetwarzania danych m.in. w celach oceny ryzyka kredytowego.
- NSA nie zgodził się z WSA i uznał, że:
- Obowiązek prawny przetwarzania danych osobowych (art. 6 ust. 1 lit. c RODO) istnieje tylko wtedy, gdy wynika on z wyraźnych przepisów prawa (ustawy lub aktu wykonawczego).
- Prawo bankowe nie przewiduje możliwości przetwarzania danych osób, z którymi nie nawiązano relacji zobowiązaniowej (nie zawarto umowy), więc brak jest podstawy do przetwarzania danych takich osób przez bank lub BIK.
- NSA odrzucił również możliwość przetwarzania danych na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), podkreślając, że taki interes musi wynikać z konkretnego przepisu prawa, a nie być jedynie interesem zgodnym z prawem.
- Szerokie rozumienie „prawnie uzasadnionego interesu”, jakie przyjął WSA, mogłoby prowadzić do nadmiernego ograniczenia prawa do prywatności i stanowić naruszenie Konstytucji RP.
- NSA wyraził krytykę wobec stanowiska WSA, które sugerowało, że Prezes UODO powinien współdziałać z KNF w zakresie wykładni przepisów – NSA wyjaśnił, że wykładnia prawa jest wyłączną kompetencją sądu lub organu stosującego prawo.
Palo Alto Networks ujawnia incydent cyberbezpieczeństwa
- Palo Alto Networks, globalny lider w dziedzinie IT i cyberbezpieczeństwa, poinformował o incydencie naruszenia bezpieczeństwa związanym z zewnętrzną aplikacją połączoną z usługą Salesforce.
- Incydent wynikał z kradzieży tokenów OAuth powiązanych z aplikacją Salesloft Drift – narzędziem do automatyzacji sprzedaży, które integruje się z bazą danych Salesforce.
- Kampania cyberataków, której ofiarą padło Palo Alto Networks, objęła setki organizacji korzystających z tego typu integracji.
- Firma szybko zareagowała, odłączając zagrożoną aplikację, aby zablokować nieautoryzowany dostęp.
- Palo Alto Networks poinformowała swoich klientów o incydencie drogą mailową i zapewniła, że ich produkty oraz usługi pozostają bezpieczne i w pełni funkcjonalne.
- W wyniku incydentu mogły zostać ujawnione dane klientów, takie jak: imię, nazwisko, dane kontaktowe, informacje o firmie oraz dane powiązane ze zgłoszeniami do pomocy technicznej.
- W przypadku firm, których dane handlowe mogły zostać naruszone, firma kontaktuje się indywidualnie.
- Zespół ds. bezpieczeństwa Palo Alto Networks – Unit 42 – prowadzi monitoring systemów oraz dark webu pod kątem wykrycia ewentualnych prób nieuprawnionego wykorzystania danych.
Sprawa Izby Kontroli Nadzwyczajnej SN - jest wyrok TSUE
- Artykuł dotyczy orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE), które jest kolejnym elementem w sporze dotyczącym niezależności sądownictwa w Polsce. W centrum sprawy znajduje się Izba Kontroli Nadzwyczajnej i Spraw Publicznych w Sądzie Najwyższym.
- TSUE orzekł, że sądy w Polsce mają prawo pomijać orzeczenia Izby Kontroli Nadzwyczajnej i Spraw Publicznych, jeśli sprawa dotyczy prawa unijnego.
- Trybunał uznał, że Izba Kontroli nie spełnia standardów niezależności, bezstronności i ustanowienia na mocy prawa, wymaganych przez prawo UE.
- Izba ta została utworzona w 2018 roku przez rząd PiS i obsadzona wyłącznie przez tak zwanych „neo-sędziów”, powołanych przez upolitycznioną Krajową Radę Sądownictwa.
- TSUE już wcześniej, m.in. w wyroku z 21 grudnia 2023 r., odmówił Izbie prawa do kierowania pytań prejudycjalnych i uznał, że nie jest niezależnym sądem.
- W wyroku z 4 września 2025 r. TSUE stwierdził, że obecność choćby jednego wadliwie powołanego sędziego w składzie orzekającym Izby pozbawia ją statusu niezawisłego sądu.
- Sąd krajowy niższej instancji musi sam ocenić, czy skład Izby spełnia wymogi niezależności; jeśli nie – orzeczenie należy uznać za niebyłe w sprawach dotyczących prawa UE.
- Wyrok TSUE został wydany na podstawie pytania prejudycjalnego zadanego przez Sąd Apelacyjny w Krakowie, który rozpatrywał sprawę dotyczącą nieuczciwej konkurencji na rynku czasopism z krzyżówkami.
- Orzeczenie TSUE jest kontynuacją wcześniejszej linii orzeczniczej wspierającej potrzebę reformy Sądu Najwyższego oraz rozliczenia procesu powoływania „neo-sędziów”.
- Ministerstwo Sprawiedliwości przygotowuje nowy projekt ustawy dotyczący statusu wadliwie powołanych sędziów, który może przewidywać likwidację Izby Kontroli.
- Choć uchwalenie nowego projektu przez Sejm jest możliwe, jego podpisanie przez prezydenta uznawane jest za mało prawdopodobne.
NSA oddalił skargę kasacyjną Sądu Rejonowego w Szczecinie - w tle kara pieniężna
- Sprawa dotyczy naruszenia przepisów RODO przez sędziego Sądu Rejonowego Szczecin-Centrum, który zgubił trzy pendrive’y zawierające dane osobowe nieustalonej liczby osób.
- Spośród trzech zgubionych nośników jeden był szyfrowany i służbowy, a dwa prywatne i nieszyfrowane – zwiększało to ryzyko nieuprawnionego dostępu do danych.
- Prezes Urzędu Ochrony Danych Osobowych (UODO) uznał, że doszło do naruszenia przepisów RODO, w tym:
- niewdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych,
- niewystarczającego zapewnienia poufności danych.
- W związku z naruszeniem, Prezes UODO nałożył na Sąd Rejonowy karę pieniężną w wysokości 30 tys. zł.
- Sąd Rejonowy zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego (WSA), kwestionując wysokość kary i postulując udzielenie upomnienia.
- WSA utrzymał decyzję Prezesa UODO, uznając karę za skuteczną, proporcjonalną i odstraszającą – zgodnie z art. 83 ust. 1 RODO.
- Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną Sądu Rejonowego i w całości poparł stanowisko Prezesa UODO oraz WSA.
- NSA podkreślił, że:
- naruszenie miało poważny charakter,
- nieustalona liczba osób mogła zostać poszkodowana,
- dane obejmowały potencjalnie informacje wrażliwe, np. dotyczące zdrowia,
- zagubione nośniki do dziś nie zostały odnalezione, co podtrzymuje ryzyko niewłaściwego wykorzystania danych,
- można było uniknąć naruszenia – istniał dostęp do oprogramowania blokującego użycie nieautoryzowanych urządzeń USB.
- Sąd uznał, że kara została nałożona na podstawie przepisów i nie miała charakteru dowolnego – UODO należycie uzasadnił swoją decyzję.
Niemcy idą na wojnę z X - menedżerowie social media przed sądem za sposób przekazywania danych
- W Niemczech wszczęto postępowanie karne przeciwko trzem menedżerom firmy X (dawniej Twitter), oskarżając ich o utrudnianie prowadzenia postępowań związanych z wypowiedziami użytkowników w internecie.
- O co chodzi: Niemieccy śledczy zarzucają menedżerom, że nie przekazywali danych użytkowników bezpośrednio, lecz kierowali wszystkie wnioski do Stanów Zjednoczonych w ramach międzynarodowego traktatu, co opóźniało lub uniemożliwiało działania prokuratury.
- Skutki dla śledztw: Brak dostępu do danych doprowadził do umorzenia wielu spraw, w tym dotyczących mowy nienawiści i symboli zakazanych (np. swastyki). Firma X ograniczyła zasięg treści w Niemczech, ale odmówiła ujawnienia tożsamości autorów kontrowersyjnych wpisów.
- Wątek polityczny: Posłanka Partii Zielonych Anna Lührmann uznała sytuację za skandal, domagając się, by niemieckie instytucje zrezygnowały z używania platformy X. Zarzuciła firmie destabilizację debaty publicznej i brak przejrzystości.
- Krytyka ze strony USA: Amerykańskie media (program „60 Minutes”) i politycy (m.in. wiceprezydent J.D. Vance) krytykują niemieckie działania jako zagrożenie dla wolności słowa i wartości transatlantyckich.
- Spór sądowy: Firma X skarży się w sądach na niemieckie wymagania, powołując się na prawo USA i ochronę prywatności. W lutym 2024 r. złożyła pozew o ocenę zgodności niemieckich przepisów z konstytucją, co może zakończyć się precedensowym wyrokiem.
- Możliwe konsekwencje: To pierwsza taka sprawa w Niemczech, gdzie reprezentanci globalnej platformy mogą zostać pociągnięci do odpowiedzialności karnej za sposób przekazywania danych. Ewentualne wyroki mogą wpłynąć na przyszłe relacje między krajami UE a firmami technologicznymi.
Chiny oskarżają oddział Diora w Szanghaju o nielegalny transfer danych
- W artykule poruszono kwestię naruszenia przepisów ochrony danych osobowych przez markę Dior w Chinach. Sprawa dotyczy nielegalnego przekazywania danych osobowych klientów z oddziału firmy w Szanghaju do centrali we Francji.
- Dior przekazał dane osobowe klientów z Szanghaju do Francji bez wymaganych ocen bezpieczeństwa.
- Według informacji chińskich władz bezpieczeństwa publicznego, dane nie zostały zaszyfrowane ani nie poinformowano o ich transferze użytkowników, co narusza lokalne przepisy.
- Nieprawidłowe działania firmy doprowadziły do wycieku danych w maju.
- Lokalne władze nałożyły na Diora karę administracyjną w związku z nieprzestrzeganiem przepisów o ochronie danych.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.