Podsumowanie miesiąca – październik 2025
Szanowni Państwo, w październiku miałem okazję spotkać się z wieloma z Was – dzięki naszej akcji „UODO rusza w kraj” o problemach związanych z ochroną danych osobowych miałem zaszczyt rozmawiać z mieszkańcami, samorządowcami, przedsiębiorcami, inspektorami ochrony danych i naukowcami w województwach warmińsko-mazurskim i lubuskim.
Program „UODO rusza w kraj” jest częścią niezwykle ważnej dla nas działalności edukacyjnej w zakresie ochrony danych. Regularnie informujemy o niej na naszej stronie internetowej i w mediach społecznościowych. Jest dla nas niezwykle ważne, że w trakcie różnych spotkań możemy się z Państwem dzielić wiedzą z zakresu ochrony prywatności i danych osobowych, słuchać Państwa obserwacji, notować i odpowiadać na pytania. To pozwala nam lepiej diagnozować problemy, z którymi wszyscy się borykamy, i szukać dla nich rozwiązań. Te problemy wiążą się przede wszystkim ze stale postępującymi zmianami technologicznymi i prawnymi.
Przetwarzanie danych w systemach państwowych
Naszym październikowym sukcesem jest to, że rząd uwzględnił uwagi Prezesa UODO do projektu systemu e-rejestracji do lekarzy. System ułatwi życie pacjentom i nie pozwoli na marnowanie wysiłku w ochronie zdrowia. Trzeba jednak pamiętać, że będzie przetwarzał dane osobowe, i powinien to robić tak, by chronić prywatność i nie narażać pacjentów na niepotrzebne ryzyko związane z przetwarzaniem danych.
Nadal prowadzę korespondencję z MSWiA na temat przetwarzania danych osobowych w systemach policyjnych. Problem dotyczy nie tylko Polski, a chodzi o to, że służby policyjne niechętnie usuwają ze swych wewnętrznych rejestrów dane osobowe. Jeśli ktoś raz tam trafi, w praktyce zawsze może pozostawać w „kręgu podejrzanych”, nawet jeśli kara za przestępstwo dawno się zatarła. Trybunał Sprawiedliwości Unii Europejskiej w odpowiedziach na pytania prejudycjalne od sądów z krajów UE stale wskazuje, że należy zmienić przepisy krajowe tak, by dane w policyjnych rejestrach nie były przechowywane w nieskończoność. Nawet jeśli dany wyrok nie dotyczy Polski, ma dla nas znaczenie, bo pokazuje, w jaki sposób Unia Europejska chce chronić prywatność swoich obywateli. Dlatego regularnie zwracamy uwagę na ten problem. Poszanowanie prywatności buduje bowiem zaufanie do państwa i jego służb. Elementem systemu ochrony prywatności jest też właściwe umiejscowienie inspektorów ochrony danych w strukturze organizacji. Policja nadal ma z tym kłopot ze względu na wadliwość przepisów. Zwróciłem na to po raz kolejny uwagę MSWiA.
Kiedy należy powiadomić Prezesa UODO o incydencie
Ważnym problemem, którym zajmowaliśmy się w październiku, jest kwestia, kiedy administrator danych powinien powiadomić Prezesa UODO oraz osobę, której dane dotyczą, o incydencie. W dwóch sprawach administratorzy – błędnie naszym zdaniem – uznali incydent za rodzący ryzyko „mało prawdopodobne”. Administratorzy dochodzili do takiego wniosku tylko dlatego, że chodziło o jednorazowe pomylenie adresatów korespondencji (chodzi tu o wygraną przed NSA sprawę dotyczącą danych finansowych i o decyzję Prezesa UODO o karze w sprawie danych zdrowotnych). Naszą argumentację przedstawiliśmy w decyzji. NSA zaś w uzasadnieniu wyroku w drugiej sprawie przedstawił argumenty prawne na poparcie sposobu rozumowania Prezesa UODO. Sprawy te pokazują, jak właściwie szacować ryzyko i kiedy można mówić o ryzyku minimalnym. Gorąco zachęcam Państwa do zapoznania się z argumentacją prawną, którą zreferowaliśmy w komunikatach na naszej stronie internetowej.
Prawo banków do danych niedoszłych klientów
W dwóch kolejnych sprawach udało nam się przed NSA potwierdzić nasze stanowisko, że banki i Biuro informacji Kredytowej nie mogą przetwarzać danych osób, które wystąpiły z wnioskiem kredytowym, ale ostatecznie nie zawarły umowy. Sprawdzanie zdolności kredytowej upoważnia do przetwarzania danych, ale tylko w trakcie tego procesu, a nie po nim.
Pozostałe ważne decyzje Prezesa UODO i wyroki
W głośnej sprawie monitoringu wizyjnego na oddziale neonatologii w Centrum Zdrowia Ujastek Wojewódzki Sąd Administracyjny podtrzymał decyzję Prezesa UODO ze stycznia tego roku o karze dla administratora. Chodzi o monitoring ukryty w zegarach na oddziale – rejestrował on bez wiedzy zainteresowanych wszystko, co działo się w salach, w tym rozmowy rodziców, karmienie i pielęgnację dzieci. Monitoring miał pomóc w zwalczaniu zakażeń w placówce. Został jednak wprowadzony niezgodnie z przepisami, a cała sprawa wyszła na jaw dopiero wtedy, gdy zaginęły karty pamięci z zapisem nagrań z ukrytych kamer.
Współpraca z sądami
Wspólnie z sądami doprecyzowujemy mechanizmy powiadamiania Prezesa UODO o sprawach o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych. Obowiązek taki nakłada na sądy art. 94 ust. 1 ustawy o ochronie danych osobowych. Dotyczy to spraw określonych w art. 79 lub art. 82 ogólnego rozporządzenia o ochronie danych (RODO). W zgłaszaniu tych spraw pomocne mogą być formularze, które sami opracowaliśmy, a po uwagach prezesów sądów apelacyjnych zmodyfikowaliśmy. 6 listopada organizujemy w UODO seminarium poświęcone tym zagadnieniom. Tego dnia zostaną też opublikowane formularze do komunikacji sądów z Prezesem UODO.
Z innych ważnych spraw chciałbym zwrócić Państwa uwagę na to, że od 10 października 2025 r. stosuje się bezpośrednio przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/900 ws. przejrzystości i targetowania reklamy politycznej. Ma ono pomóc obywatelom w dokonywaniu świadomych wyborów, ułatwiając rozpoznawanie reklamy politycznej oraz zrozumienie, kto za nią stoi i czy jest to reklama targetowana.
Rozporządzenie wprowadza m.in.:
•obowiązek ujawniania finansowania reklam politycznych ze wskazaniem, kto za nimi stoi i kto je finansuje;
•obowiązek ich oznaczania w taki sposób, by odbiorca nie miał wątpliwości, z jakim rodzajem przekazu ma do czynienia;
•ograniczenie targetowania sprowadzające się głównie do zakazu profilowania użytkowników na podstawie danych szczególnej kategorii;
•mechanizmy mające przeciwdziałać dezinformacji i jej rozpowszechnianiu w przestrzeni cyfrowej;
•obowiązek prowadzenia rejestrów i europejskiego repozytorium politycznych materiałów reklamowych;
•zakaz ingerencji państw trzecich w wybory.
Mirosław Wróblewski
Prezes UODO
