Klient kupujący telefon komórkowy podał e-maila do osoby, która miała zbliżone dane osobowe. Choć szybko ostrzegł salon sprzedaży, to do tego czasu doszło już do wysyłki dokumentów z jego danymi, a zgłoszenie tego incydentu nie trafiło w ciągu doby do Urzędu Ochrony Danych Osobowych. Naczelny Sąd Administracyjny uznał jednak, że operator miał za mało informacji i niekoniecznie doszło do niedotrzymania tego bardzo krótkiego terminu. Uchylił więc decyzję o ćwierćmilionowej karze dla operatora.

Nagrywanie wizyty lekarskiej może być pomocnym narzędziem, choćby po to, by zapamiętać zalecenia lekarskie i szczegóły dotyczące diagnozy. Warto o tym uprzedzić, ale generalnie, dopóki pacjent nie chce nagrania upublicznić, nie łamie żadnych przepisów. Zwraca na to uwagę również rzecznik praw pacjenta. Zupełnie inaczej wygląda kwestia nagrywania z perspektywy osoby trzeciej albo ze strony lekarza. Stwarza to wówczas ryzyko naruszenia choćby tajemnicy lekarskiej czy RODO. Wyjaśniamy, co mówią w tym zakresie przepisy i jak wygląda praktyka.

Znany biznesmen Rafał Brzoska, który wraz z żoną, Omeną Mensah, stał się bohaterem fałszywych informacji wygenerowanych przy użyciu technologii deepfake - publikowanych na Facebooku i Instagramie, twierdzi, że odpowiedzialność za ich kolportaż ponosi spółka Meta, właściciel obu platform. Poinformował właśnie o korzystnym dla siebie orzeczeniu sądu.

Ze sklepu internetowego w wyniku ataku hakerskiego wyciekły dane klientów: imię i nazwisko, adres e-mail, numer telefonu, adres dostawy, zaszyfrowane hasło oraz historia zamówień. Firma uznała, że konsekwencją mogą być rozsyłane do klientów oszukańcze maile i SMS-y. Prawnicy uważają, że nie doszacowała ryzyka. I wyjaśniają, że RODO wymaga znacznie więcej, zwłaszcza jeszcze przetwarzane dane mogą mieć charakter wrażliwy.

Przechowywanie danych o osobach, pozyskanych w ramach kontroli operacyjnej różnych służb, nie jest w Polsce dobrze uregulowane, co pozwala nie tylko na ich gromadzenie, ale też użycie w dogodnym momencie. Konieczne jest wprowadzenie realnego mechanizmu informowania danej osoby o pozyskaniu jej danych, a także wykonanie wyroku ETPCz, który zarzucił Polsce istnienie w tym zakresie wady systemowej.

Podczas Zgromadzenia Ogólnego Sędziów Naczelnego Sądu Administracyjnego, które odbyło się 20 kwietnia 2026 r., podjęto uchwałę o nieopiniowaniu kandydatów do KRS. Taka informacja pojawiła się na stronach sądu. Wcześniej na ryzyko naruszenia m.in. RODO, w związku z przetwarzaniem danych opiniowanych sędziów, wskazywał w swojej opinii Inspektor Ochrony Danych NSA. Od 17 kwietnia br. w sądach trwają zgromadzenia i zebrania, w czasie których opiniowanych jest 60 kandydatów do Rady, zgłoszonych marszałkowi Sejmu. Mają zakończyć się 22 kwietnia.

Zdarza się, że dokonanie anonimizacji treści orzeczenia miałoby wyłącznie pozorny charakter. Tym samym jego udostępnienie przez prezesa sądu nie zawsze jest dopuszczalne. Wojewódzki Sąd Administracyjny w Gdańsku przypomniał, że sama treść każdego orzeczenia sądu jest klasyczną informacją publiczną, natomiast prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej.

Ministerstwo Zdrowia chce móc zbierać dane o wynagrodzeniach medyków, by mieć pełniejszą wiedzę, ile ci rzeczywiście zarabiają. Według resortu pomoże to w kształtowaniu polityki płacowej. Eksperci sygnalizują jednak ryzyko niewłaściwego wykorzystania tych informacji.

Rejestr klauzul niedozwolonych mógł działać tylko do 17 kwietnia 2026 r. Wynika to z przepisów uchwalonych 11 lat temu, których ustawodawca, mimo apeli, nie zmienił. Zgodnie z przewidywaniami, 18 kwietnia 2026 r. rejestr jest już oficjalnie niedostępny. Urząd Ochrony Konkurencji i Konsumentów pracuje natomiast nad przywróceniem go w formie zanonimizowanej.

Mimo apeli ustawodawca nie zdecydował się na przedłużenie działania rejestru klauzul niedozwolonych. To oznacza, że przestanie on działać po 17 kwietnia 2026 r. Prawnicy pośpiesznie archiwizują plik z treścią rejestru, nim zniknie on z internetu. Reaguje tymczasem Urząd Ochrony Konkurencji i Konsumentów, który zapowiada dalsze udostępnianie bazy - z tym, że w wersji zanonimizowanej. Pojawiają się jednak pytania o dalszą funkcjonalność tego zbioru i zgodność z prawem przetwarzania zawartych w nim danych osobowych.

Wyciek danych osobowych to sytuacja stresująca zarówno dla przedsiębiorstwa, jak i dla osób, których dotyczy. O ile wykrycie i zablokowanie samego incydentu to wyzwanie techniczne, o tyle prawdziwy problem zaczyna się w momencie, gdy trzeba o nim poinformować – pisze Klaudia Szwarczyńska, radca prawny. Jak podkreśla, zgodnie z RODO, administrator danych ma obowiązek zgłoszenia naruszenia organowi nadzorczemu oraz - odrębnie - przygotowania i przekazania komunikatu dla osób, których dane zostały naruszone.

17 kwietnia 2026 r. odbędzie się konferencja „Projektowanie ochrony danych w zamówieniach publicznych. Wyzwania w świetle rozwoju nowych technologii”. Prelegenci szczególną uwagę poświęcą odpowiedzialności uczestników rynku. Wydarzenie będzie miało formułę hybrydową; zapisy na udział stacjonarny już się rozpoczęły.

Stosowanie AI do generowania haseł to poważne zagrożenie dla danych gromadzonych przez instytucje publiczne i firmy. Takie hasła na pierwszy rzut oka wyglądają na mocne, jednak są przewidywalne. Przestępcy mogą je łatwo złamać i wykraść poufne informacje. Dla administratorów danych oraz podmiotów z sektora IT, używanie haseł z AI to ryzyko naruszenia wymogów należytej staranności oraz groźba dotkliwych sankcji przewidzianych w RODO.

Przetwarzanie danych osobowych pacjentów w celu kierowania do nich zaproszeń na badania przesiewowe jest związane z profilaktyką zdrowotną, dlatego takie działanie jest uzasadnione na podstawie art. 9 ust. 2 lit. h RODO. Takie stanowisko w odpowiedzi na pojawiające się pytania przedstawił właśnie Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. Jak wyjaśnił, zgodnie z tym przepisem dane szczególnych kategorii mogą być przetwarzane bez zgody pacjenta, jeśli jest to niezbędne do celów profilaktyki, diagnozy lub organizacji systemu opieki zdrowotnej. Nie jest to jednak bezwarunkowe.

Pierwszy wniosek o udzielenie dostępu do danych osobowych złożony przez osobę, której dane dotyczą, można uznać za „nadmierny” i go odrzucić, jeśli został złożony z zamiarem nadużycia, takim jak zamiar sztucznego stworzenia warunków wymaganych do uzyskania odszkodowania – wynika z wyroku Trybunału Sprawiedliwości UE w sprawie C‑526/24.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Polskiego Radia – Regionalnej Rozgłośni w Szczecinie na decyzję prezesa Urzędu Ochrony Danych Osobowych, dotyczącą kary za brak procedur chroniących prawa bohaterów publikacji. Urząd przypomina przy tej okazji, że odpowiednie zabezpieczanie danych osobowych osób fizycznych i poszanowanie ich prawa do prywatności jest konieczne także w działalności dziennikarskiej.

Ministerstwo Zdrowia pracuje nad nowelizacją ustawy o Krajowej Sieci Onkologicznej, wycofało się jednak ze zmian dotyczących dostępu do danych osobowych pacjentów, po uwagach zgłoszonych m.in. przez Rządowe Centrum Legislacji i resort cyfryzacji. Wcześniej projekt przewidywał, że do danych medycznych będzie miał dostęp szeroko rozumiany krąg osób wykonujących czynności pomocnicze w placówce leczniczej.

Bezprawne pozyskiwanie zdjęć dowodów tożsamości użytkowników aplikacji zarzuca platformie Glovo Prezes Urzędu Ochrony Danych Osobowych. Platforma dostała za to karę pieniężną w wysokości prawie sześciu milionów złotych.

Operatorzy telekomunikacyjni gromadzą dane o ruchu i lokalizacji użytkowników: numery telefonów, identyfikatory kart i urządzeń, adresy IP, daty, czas połączeń, czas ich trwania oraz inne informacje. Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, uważa, że są to dane osobowe, ponieważ w połączeniu z innymi informacjami pozwalają na identyfikację konkretnej osoby. A jeśli tak, ich przechowywanie wymaga uregulowania zgodnego ze standardem europejskim i konstytucyjnym.

Ponad 11,4 mln zł kary ma zapłacić firma kurierska DPD Polska po tym, jak Urząd Ochrony Danych Osobowych dopatrzył się w jej działaniu dwóch naruszeń RODO. Decyzja wywołała dyskusję wśród praktyków na temat podejścia organu nadzorczego do kwestii umowy powierzenia przetwarzania danych osobowych oraz rozumienia pojęcia „osób upoważnionych do przetwarzania danych”. Urząd na prośbę Prawo.pl sprecyzował te kwestie, nie rozwiał jednak wszystkich wątpliwości.