Zapraszamy do lektury podwójnego wydania Biuletynu UODO z przełomu lat

Drodzy Czytelnicy, tradycyjnie początek roku zbiega się z Europejskim Dniem Ochrony Danych Osobowych, przypadającym na 28 stycznia. To wyjątkowo intensywny w Urzędzie czas podsumowań, a jednocześnie wyznaczania kolejnych zadań. To również moment wzmożonej aktywności przedstawicieli UODO w mediach, termin licznych spotkań, konferencji i webinariów, których celem jest oczywiście upowszechnianie w społeczeństwie wiedzy o tym jak ważne są dane osobowe i o tym jak należy je chronić.

W tym numerze zdecydowaliśmy się zastąpić tradycyjny wywiad z ekspertem zestawem krótkich pytań i odpowiedzi kilku reprezentantów UODO. Pozwalają one przyjrzeć się jak poszczególne osoby oceniają ostatni rok – niektóre refleksje oczywiście się ze sobą pokrywają, inne unaoczniają jak z różnymi wyzwaniami mierzą się poszczególne departamenty.

W tym numerze m.in. rozstrzygamy wątpliwości obywatela, co do dopuszczalności przetwarzania jego danych osobowych przez organ administracji publicznej. Zdaniem UODO udzielenie przez osobę prywatną informacji istotnych dla prowadzonego postępowania administracyjnego może być wystarczającym uzasadnieniem dla podania jej danych osobowych w treści wydanego w sprawie postanowienia. Kodeks postępowania mógłby ułatwić jednostkom samorządu terytorialnego właściwe wdrożenie zasad ochrony danych osobowych. Obecnie miewają one z tym problemy m.in. ze względu na nieprecyzyjne przepisy prawa czy różny poziom świadomości w zakresie realizacji obowiązków w związku z przetwarzaniem danych osobowych. Dlatego UODO zachęca przedstawicieli samorządu do podjęcia wysiłku w tym zakresie i deklaruje eksperckie wsparcie.

WSA w Warszawie podtrzymał decyzję PUODO, oddalając skargę C. Sp. z o.o. Na spółkę poskarżył się były pracownik: zarzucił jej, że przetwarza jego dane w zakresie adresu e-mail zawierającego pierwszą literę imienia oraz nazwisko, bez podstawy prawnej. Okazało się, że spółka korzystała z tego adresu do kontaktów z potencjalnymi klientami i nie chciała go kasować. Jak dokumentować naruszenia ochrony danych osobowych? W podwójnym wydaniu „Biuletynu UODO” przedstawiamy rolę rejestru naruszeń ochrony danych osobowych oraz wskazówki dotyczące jego prowadzenia.

Przybliżamy również przewidywania na podstawie wniosków z najnowszego raportu TechSonar 2025. To inicjatywa Europejskiego Inspektora Ochrony Danych (EIOD), która identyfikuje najważniejsze trendy technologiczne w kontekście ochrony danych osobowych. Raport ma na celu przewidywanie kierunków rozwoju technologii i ich wpływu na prywatność, umożliwiając podejmowanie działań prewencyjnych, zanim ryzyka związane z nowymi technologiami staną się realnym zagrożeniem. UODO dołącza do gratulacji dla hiszpańskiego organu ochrony danych (AEPD). Stworzony przez niego system weryfikacji wieku w celu ochrony dzieci i młodzieży w internecie został wyróżniony dwiema z pięciu nagród przyznanych podczas 46. Global Privacy Assembly, które zrzesza organy ochrony danych i prywatności na całym świecie. Hiszpański regulator może się również pochwalić zatwierdzeniem „Kodeksu postępowania w zakresie rozstrzygania sporów dotyczących ochrony danych w sektorze łączności elektronicznej”, opracowanego przez operatorów telefonicznych należących do grup Orange, Telefónica, Vodafone i MásMóvil.

Zatwierdzony został też trzeci kodeks europejski, w tym drugi zatwierdzony przez francuski organ ochrony danych, po przyjętym w 2021 roku kodeksie CISPE (w zakresie przetwarzania w chmurze). Nowy kodeks uzyskał poparcie Federacji EUCROF, która podjęła inicjatywę jego opracowania w odpowiedzi na kwestie ochrony danych zidentyfikowane przez sektor. Kodeks ten skierowany jest do dostawców usług badań klinicznych, którzy działają jako podwykonawcy w imieniu sponsorów. Piszemy o licznych karach norweskiego organu ochrony danych: na Uniwersytet w Agder, na gminę Eidskog, a także Urząd Pracy i Opieki Społecznej.

Z kolei irlandzki organ ochrony danych (DPC) ogłosił ostateczną decyzję po zakończeniu postępowania wyjaśniającego wobec LinkedIn Ireland Unlimited Company. Komisja wszczęła formalne postępowanie w celu oceny, czy Temu mogło naruszyć Akt o usługach cyfrowych (DSA) w obszarach związanych ze sprzedażą nielegalnych produktów, potencjalnie uzależniającą konstrukcją usługi, systemami wykorzystywanymi do rekomendowania zakupów użytkownikom, a także dostępem do danych dla badaczy. Opisujemy także ciekawe postępowania prowadzone przez organy na Słowenii, we Francji i w Finlandii, a także działania Komisji Europejskiej, Europejskiej Rady Ochrony Danych, oraz podsumowanie projektu ARC II. 2025 rok zaczął się równie intensywnie co poprzedni. Pewien pogląd na to, daje podwójne wydanie „Biuletynu UODO”, które stanowi zapowiedź tego, co czeka nas w nadchodzących miesiącach. Przypominamy też, że w grudniu 2024 r. wszedł w życie akt o cyberodporności.

Karol Witowski

 Rzecznik Prasowy UODO