Prezes UODO w piśmie skierowanym do minister edukacji zaprezentował uwagi do projektu nowelizacji prawa oświatowego, którego celem jest wprowadzenie zakazu korzystania z telefonów komórkowych przez uczniów. Jego zdaniem, należy wprowadzić rozwiązania ograniczające korzystanie z telefonów komórkowych i innych urządzeń elektronicznych w trakcie pobytu uczniów w placówkach szkolnych. Jednocześnie zwraca uwagę na kwestie, które powinny zostać uwzględnione lub doprecyzowane.

Rząd przyjął we wtorek projekt nowelizacji ustawy o Krajowej Sieci Onkologicznej. Wcześniej resort zdrowia wycofał się jednak ze zmian dotyczących dostępu do danych osobowych pacjentów, po uwagach zgłoszonych m.in. przez Rządowe Centrum Legislacji i resort cyfryzacji. W poprzedniej wersji projekt przewidywał, że do danych medycznych będzie miał dostęp szeroko rozumiany krąg osób wykonujących czynności pomocnicze w placówce leczniczej.

Gdy dane klientów firmy Fortum Marketing and Sales S.A. stały się dostępne dla osób nieuprawnionych, prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenia RODO oraz nałożył na spółkę blisko 5 mln zł kary. Ponad 250 tys. zł kary otrzymała zaś spółka Pika, działająca jako podmiot przetwarzający. Decyzję tę nieprawomocnie uchylił Wojewódzki Sąd Administracyjny, ale po ponownym rozpoznaniu sprawy zmienił stanowisko i potwierdził słuszność stanowiska organu.

Publikacja w Biuletynie Informacji Publicznej niezanonimizowanej petycji z danymi 749 osób zakończyła się karą administracyjną. Prezes UODO uznał, że burmistrz Myślenic naruszył przepisy RODO, m.in. nie zgłaszając incydentu ochrony danych, mimo obowiązku. Organ podkreślił też, że nawet brak wysokiego ryzyka dla praw osób fizycznych nie zwalnia administratora z obowiązku analizy i odpowiedniej reakcji na incydent.

Rejestr klauzul niedozwolonych mógł działać w znanej od lat formie tylko do 17 kwietnia 2026 r. Wynika to z przepisów uchwalonych 11 lat temu, których ustawodawca, mimo apeli, nie zmienił. Urząd Ochrony Konkurencji i Konsumentów wyszedł natomiast na przeciw oczekiwaniom praktyków i rejestr przywrócił - w wersji zanonimizowanej.

Składając do Krajowego Rejestru Sądowego pismo zawierające dane osobowe lub inne dane chronione, koniecznie będzie też załączenie zanonimizowanego wyciągu, by zdjąć z sądów obowiązek ich samodzielnej anonimizacji. Mimo krytyki, Ministerstwo Sprawiedliwości nie wycofało się z tego pomysłu, który został zawarty w projekcie… deregulacyjnym.

Klient kupujący telefon komórkowy podał e-maila do osoby, która miała zbliżone dane osobowe. Choć szybko ostrzegł salon sprzedaży, to do tego czasu doszło już do wysyłki dokumentów z jego danymi, a zgłoszenie tego incydentu nie trafiło w ciągu doby do Urzędu Ochrony Danych Osobowych. Naczelny Sąd Administracyjny uznał jednak, że operator miał za mało informacji i niekoniecznie doszło do niedotrzymania tego bardzo krótkiego terminu. Uchylił więc decyzję o ćwierćmilionowej karze dla operatora.

Nagrywanie wizyty lekarskiej może być pomocnym narzędziem, choćby po to, by zapamiętać zalecenia lekarskie i szczegóły dotyczące diagnozy. Warto o tym uprzedzić, ale generalnie, dopóki pacjent nie chce nagrania upublicznić, nie łamie żadnych przepisów. Zwraca na to uwagę również rzecznik praw pacjenta. Zupełnie inaczej wygląda kwestia nagrywania z perspektywy osoby trzeciej albo ze strony lekarza. Stwarza to wówczas ryzyko naruszenia choćby tajemnicy lekarskiej czy RODO. Wyjaśniamy, co mówią w tym zakresie przepisy i jak wygląda praktyka.

Znany biznesmen Rafał Brzoska, który wraz z żoną, Omeną Mensah, stał się bohaterem fałszywych informacji wygenerowanych przy użyciu technologii deepfake - publikowanych na Facebooku i Instagramie, twierdzi, że odpowiedzialność za ich kolportaż ponosi spółka Meta, właściciel obu platform. Poinformował właśnie o korzystnym dla siebie orzeczeniu sądu.

Ze sklepu internetowego w wyniku ataku hakerskiego wyciekły dane klientów: imię i nazwisko, adres e-mail, numer telefonu, adres dostawy, zaszyfrowane hasło oraz historia zamówień. Firma uznała, że konsekwencją mogą być rozsyłane do klientów oszukańcze maile i SMS-y. Prawnicy uważają, że nie doszacowała ryzyka. I wyjaśniają, że RODO wymaga znacznie więcej, zwłaszcza jeszcze przetwarzane dane mogą mieć charakter wrażliwy.

Przechowywanie danych o osobach, pozyskanych w ramach kontroli operacyjnej różnych służb, nie jest w Polsce dobrze uregulowane, co pozwala nie tylko na ich gromadzenie, ale też użycie w dogodnym momencie. Konieczne jest wprowadzenie realnego mechanizmu informowania danej osoby o pozyskaniu jej danych, a także wykonanie wyroku ETPCz, który zarzucił Polsce istnienie w tym zakresie wady systemowej.

Podczas Zgromadzenia Ogólnego Sędziów Naczelnego Sądu Administracyjnego, które odbyło się 20 kwietnia 2026 r., podjęto uchwałę o nieopiniowaniu kandydatów do KRS. Taka informacja pojawiła się na stronach sądu. Wcześniej na ryzyko naruszenia m.in. RODO, w związku z przetwarzaniem danych opiniowanych sędziów, wskazywał w swojej opinii Inspektor Ochrony Danych NSA. Od 17 kwietnia br. w sądach trwają zgromadzenia i zebrania, w czasie których opiniowanych jest 60 kandydatów do Rady, zgłoszonych marszałkowi Sejmu. Mają zakończyć się 22 kwietnia.

Zdarza się, że dokonanie anonimizacji treści orzeczenia miałoby wyłącznie pozorny charakter. Tym samym jego udostępnienie przez prezesa sądu nie zawsze jest dopuszczalne. Wojewódzki Sąd Administracyjny w Gdańsku przypomniał, że sama treść każdego orzeczenia sądu jest klasyczną informacją publiczną, natomiast prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej.

Ministerstwo Zdrowia chce móc zbierać dane o wynagrodzeniach medyków, by mieć pełniejszą wiedzę, ile ci rzeczywiście zarabiają. Według resortu pomoże to w kształtowaniu polityki płacowej. Eksperci sygnalizują jednak ryzyko niewłaściwego wykorzystania tych informacji.

Mimo apeli ustawodawca nie zdecydował się na przedłużenie działania rejestru klauzul niedozwolonych. To oznacza, że przestanie on działać po 17 kwietnia 2026 r. Prawnicy pośpiesznie archiwizują plik z treścią rejestru, nim zniknie on z internetu. Reaguje tymczasem Urząd Ochrony Konkurencji i Konsumentów, który zapowiada dalsze udostępnianie bazy - z tym, że w wersji zanonimizowanej. Pojawiają się jednak pytania o dalszą funkcjonalność tego zbioru i zgodność z prawem przetwarzania zawartych w nim danych osobowych.

Wyciek danych osobowych to sytuacja stresująca zarówno dla przedsiębiorstwa, jak i dla osób, których dotyczy. O ile wykrycie i zablokowanie samego incydentu to wyzwanie techniczne, o tyle prawdziwy problem zaczyna się w momencie, gdy trzeba o nim poinformować – pisze Klaudia Szwarczyńska, radca prawny. Jak podkreśla, zgodnie z RODO, administrator danych ma obowiązek zgłoszenia naruszenia organowi nadzorczemu oraz - odrębnie - przygotowania i przekazania komunikatu dla osób, których dane zostały naruszone.

17 kwietnia 2026 r. odbędzie się konferencja „Projektowanie ochrony danych w zamówieniach publicznych. Wyzwania w świetle rozwoju nowych technologii”. Prelegenci szczególną uwagę poświęcą odpowiedzialności uczestników rynku. Wydarzenie będzie miało formułę hybrydową; zapisy na udział stacjonarny już się rozpoczęły.

Stosowanie AI do generowania haseł to poważne zagrożenie dla danych gromadzonych przez instytucje publiczne i firmy. Takie hasła na pierwszy rzut oka wyglądają na mocne, jednak są przewidywalne. Przestępcy mogą je łatwo złamać i wykraść poufne informacje. Dla administratorów danych oraz podmiotów z sektora IT, używanie haseł z AI to ryzyko naruszenia wymogów należytej staranności oraz groźba dotkliwych sankcji przewidzianych w RODO.

Przetwarzanie danych osobowych pacjentów w celu kierowania do nich zaproszeń na badania przesiewowe jest związane z profilaktyką zdrowotną, dlatego takie działanie jest uzasadnione na podstawie art. 9 ust. 2 lit. h RODO. Takie stanowisko w odpowiedzi na pojawiające się pytania przedstawił właśnie Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. Jak wyjaśnił, zgodnie z tym przepisem dane szczególnych kategorii mogą być przetwarzane bez zgody pacjenta, jeśli jest to niezbędne do celów profilaktyki, diagnozy lub organizacji systemu opieki zdrowotnej. Nie jest to jednak bezwarunkowe.

Pierwszy wniosek o udzielenie dostępu do danych osobowych złożony przez osobę, której dane dotyczą, można uznać za „nadmierny” i go odrzucić, jeśli został złożony z zamiarem nadużycia, takim jak zamiar sztucznego stworzenia warunków wymaganych do uzyskania odszkodowania – wynika z wyroku Trybunału Sprawiedliwości UE w sprawie C‑526/24.