Podsumowanie miesiąca – czerwiec 2025 r.

Szanowni Państwo, 4 czerwca obchodziliśmy Dzień Wolności i Praw Obywatelskich, upamiętniający pierwsze po II wojnie światowej wolne wybory parlamentarne w Polsce. To symboliczna data, przypominająca o fundamentalnym znaczeniu wolności i praw obywatelskich w demokratycznym państwie prawa. Warto pamiętać, że ich ochrona stanowi również istotny element misji Urzędu  Ochrony Danych Osobowych.

W związku z otrzymanym zawiadomieniem o możliwych nieprawidłowościach w procesie przetwarzania danych w trakcie wyborów prezydenckich w 2025 r., zwróciłem się z pytaniami do Stowarzyszenia Ruch Kontroli Wyborów (RKW) z prośbą o wyjaśnienia. Zgłoszenie dotyczyło informacji, jakoby członkowie obwodowych komisji wyborczych mieli możliwość weryfikowania uprawnień wyborców głosujących na podstawie zaświadczeń o prawie do głosowania poza miejscem zamieszkania – przy wykorzystaniu aplikacji mobilnej RKW. Aplikacja ta, według posiadanych informacji, nie została autoryzowana przez Krajowe Biuro Wyborcze. W trosce o przejrzystość procesu wyborczego oraz poszanowanie zasad ochrony danych osobowych, wyjaśnienie sytuacji jest niezbędne.

Interweniowałem również ws. uczniów podstawówki, którzy wygenerowali w aplikacji nagie zdjęcie koleżanki i zachęcali na Instagramie innych do wykorzystywania jej wizerunków. Zawiadomiłem Policję o możliwości popełnienia przestępstwa. Było to działanie konieczne, zwłaszcza, że chodziło o ochronę dóbr osobistych małoletniej osoby pokrzywdzonej. Osoby najmłodsze są najmniej świadome zagrożeń związanych z korzystaniem z usług cyfrowych i najbardziej bezbronne. Z tego względu przekazałem Ministerstwu Cyfryzacji uwagi do projektu ustawy o ochronie małoletnich przed dostępem do treści szkodliwych w internecie. Choć inicjatywa ta jest niewątpliwie potrzebna, projekt zawiera rozwiązania budzące wątpliwości z punktu widzenia prawa do ochrony danych osobowych i prawa do prywatności.

Zwróciłem się również do Ministerstwa Sprawiedliwości z pytaniem o aktualny stan prac nad zapowiedzianą w sierpniu ubiegłego roku inicjatywą legislacyjną, mającą na celu zwiększenie poziomu ochrony danych osobowych znajdujących się w elektronicznych księgach wieczystych. Problem bezprawnego pobierania i wykorzystywania tych danych od dawna jest przedmiotem zainteresowania wielu podmiotów.

W czerwcu przedstawiłem także opinię legislacyjną dla Sejmu co do projektowanych rozwiązań dotyczących możliwości instalowania liczników pokazujących rzeczywiste zużycie paliw gazowych przez odbiorcę i rzeczywisty czas korzystania z gazu. Projekt nie rozstrzyga jednak, kto miałby mieć dostęp do danych z licznika – czy wyłącznie odbiorca, czy również operator systemu dystrybucyjnego lub inne podmioty. Zgłosiłem ponadto uwagi do projektu ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz ustawy o podatku od towarów i usług. Nie kwestionując zasadności zmian służących poprawie warunków prowadzenia działalności gospodarczej, wskazałem na potrzebę doprecyzowania zasad dostępu do systemu teleinformatycznego oraz zakresu informacji  przekazywanej za jego pośrednictwem.

Za nami liczne wydarzenia:

•Rocznica Społecznego Zespołu Ekspertów i powołanie podgrupy ds. sztucznej inteligencji – dziękuję wszystkim członkom Zespołu za ich czas, zaangażowanie i nieocenione wsparcie prac Urzędu, które zaowocowało licznymi, wartościowymi inicjatywami w minionym roku.

•Seminarium ws. Europejskich Ram Cyfrowej Tożsamości – spotkanie pozwoliło nam na wskazanie kierunków, które wyznacza rozporządzenie Unii Europejskiej, jeśli chodzi o zwiększenie bezpieczeństwa w zakresie identyfikacji elektronicznej. Dzięki niemu świeżym okiem spojrzeliśmy na korzyści i potencjał rozwoju eIDAS2 dla biznesu i sektora publicznego.

•Wykład ekspercki z cyklu „Ochrona danych i technologia” – ukłony dla Tomasza Izydorczyka, członka SZE, który przybliżył temat operacji na danych osobowych w systemach sztucznej inteligencji z perspektyw podmiotu stosującego, zgodnie z RODO i AI Act.

•Konferencja „Technologie kwantowe: zagrożenia, wyzwania i szanse dla cyberbezpieczeństwa i ochrony danych osobowych” – to międzynarodowe wydarzenie zorganizowaliśmy wspólnie z Uniwersytetem Jagiellońskim. Przedstawiliśmy na nim podstawowe zasady działania technologii kwantowych oraz ramy prawne, w jakich te rozwiązania mogą znaleźć bezpieczne zastosowanie z poszanowaniem zasad ochrony danych osobowych i prywatności.

•23. Spotkanie Grupy organów ochrony danych Europy Środkowo-Wschodniej, podczas którego wraz z przedstawicielami organów nadzorczych z Europy Środkowo-Wschodniej podpisaliśmy deklarację w sprawie wzmocnienia organów ochrony danych, zapewnienia równowagi regulacyjnej oraz wsparcia dla małych i średnich przedsiębiorstw i organizacji pozarządowych.

•Seminarium UODO i ZUS – „Wyzwania w udzieleniu informacji publicznej” – to kolejne wydarzenie z cyklu wspólnych przedsięwzięć naszych instytucji, dzięki którym przybliżamy tematykę ochrony danych osobowych w administracji publicznej.

•Rozstrzygnięcie konkursu dla studentów na esej. Komisja konkursowa uhonorowała najlepsze prace studentów, którzy zmierzyli się z kwestiami związanymi z ochroną prywatności studentów w przypadku korzystania przez nich z prywatnych urządzeń elektronicznych podczas zdawania egzaminów na uczelni. Wszystkim wyróżnionym serdecznie gratuluję.

Czerwiec był również czasem spotkań z przedstawicielami branży medycznej. Podczas jednego z nich dyskutowaliśmy o możliwościach stworzenia kodeksu postępowania dla branży wyrobów medycznych. Zależy nam również na poprawie bezpieczeństwa lekarzy i wprowadzeniu systemowych rozwiązań, które by się do tego przyczyniły. By omówić te kwestie spotkałem się po raz kolejny z Prezesem Naczelnej Rady Lekarskiej.

Złożyłem skargę kasacyjną do Naczelnego Sądu Administracyjnego od wyroku WSA w Warszawie, który uwzględnił skargę Santander Bank Polska SA dotyczącą nałożenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości 1 440 549 zł. Przypominam, że bank nie poinformował Prezesa UODO o incydencie naruszenia ochrony danych osobowych ani nie zawiadomił o tym osób, których dane dotyczą. Sprawa dotyczy zdarzenia z 2018 r., kiedy to dokumenty bankowe zawierające dane osobowe zostały skradzione, a następnie porzucone na śmietniku.

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury, która kwestionowała nałożoną przez Prezesa UODO administracyjną karę pieniężną w wysokości 100 tys. zł za naruszenie przepisów o ochronie danych osobowych. NSA nie tylko nie dopatrzył się uchybień w zakresie podstaw nałożenia kary, ale również uznał jej wysokość za w pełni uzasadnioną. Co istotne, Sąd podkreślił, że przy takiej skali naruszeń – leżących po stronie administratora – w przypadku podmiotu prywatnego sankcja byłaby zdecydowanie wyższa.

Przekazałem stanowisko dotyczące udziału Rzeczypospolitej Polskiej w postępowaniu przed Trybunałem EFTA w sprawie E-5/25 Silbernagl, dotyczącym przesłanek odwołania inspektora ochrony danych. Rozstrzygnięcie to może okazać się kluczowe nie tylko dla stosowania art. 38 ust. 3 zd. 2 RODO, lecz także dla dalszego doprecyzowania krajowych regulacji w zakresie odwoływania IOD.

Mam również przyjemność poinformować, że Maria Jęda, Główna Koordynatorka ds. Wielkoskalowych Systemów Informacyjnych UE w UODO została wybrana na Zastępczynię Przewodniczącej Grupy ds. koordynacji nadzoru nad Eurodac. Przypomnę, że EURODAC to unijna baza odcisków palców osób ubiegających się o azyl oraz osób zatrzymanych spoza UE i EOG. O swoich obowiązkach Maria Jęda opowiada w niniejszym wydaniu Biuletynu.

Inną pozytywną wiadomością jest to, że 16 czerwca 2025 r. Parlament Europejski, Rada UE – kierowana przez polską prezydencję – i Komisja Europejska wypracowali porozumienie w sprawie rozporządzenia ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania RODO. Akt ten uprości współpracę krajowych organów ochrony danych podczas stosowania i egzekwowania RODO w sprawach o charakterze transgranicznym.

Z mniej przyjemnych, ale niestety potrzebnych decyzji, muszę wspomnieć o karze, jaką nałożyłem na Gminny Ośrodek Pomocy Społecznej oraz wójta gminy. Tymczasowej utraty danych w GOPS-ie można było uniknąć, gdyby analiza ryzyka została przeprowadzona rzetelnie.

Podobnie, wobec szpitala w Białymstoku zdecydowałem o sankcji za niewdrożenie odpowiednich środków technicznych i organizacyjnych. W wyniku ataku został zablokowany dostęp do systemów informatycznych, co skutkowało naruszeniem poufności i dostępności danych osobowych około 2000 pracowników, w tym możliwością uzyskania do nich nieuprawnionego dostępu.

Na koniec przypominam, że to ostatnie chwile UODO w budynku Intraco. Od lipca Urząd przenosi się do nowej siedziby na ul. Moniuszki 1A w Warszawie. Dokładamy starań, by proces relokacji nie zakłócił bieżącej pracy Urzędu.

Mirosław Wróblewski

Prezes UODO