Podsumowanie miesiąca – grudzień 2025-styczeń 2026

Szanowni Państwo, dwa lata temu objąłem stanowisko Prezesa UODO. Rozliczam się z tych dwóch lat w wywiadzie, który znajdą Państwo w tym Biuletynie. Prawdziwym podsumowaniem półmetka kadencji – i postawieniem sobie zadań na następne dwa lata był jednak Kongres Ochrony Danych i Nowych Technologii, który 28 stycznia odbył się w Muzeum Historii Polski.

Współorganizowaliśmy go wraz z Krajową Izbą Radców Prawnych w 20. Europejskim Dniu Ochrony Danych Osobowych. Na wydarzenie to przyjęło zaproszenie wielu specjalistów od sztucznej inteligencji, nowych technologii, ekspertów od unijnych regulacji cyfrowych, środowiska i instytucje współtworzące bezpieczną przestrzeń ochrony danych w Polsce. Wystąpienia i panele dotyczyły przyszłości RODO, przyszłości regulacyjnej sztucznej inteligencji, nowych technologie w zatrudnieniu, ochrony małoletnich w internecie, deepfake’ów, cyberprzestępczości, technologii kwantowych, nowych technologii w medycynie czy unijnego pakietu Omnibus. Wydarzenie to cieszyło się ogromnym zainteresowaniem i było doskonałą okazją do dyskusji, wymiany poglądów. Dla wielu osób okazało się inspiracją do kolejnych działań naukowych czy edukacyjnych.

W styczniu Urząd Ochrony Danych Osobowych przedstawił plan kontroli sektorowych na ten rok. Obejmie on organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii, podmioty lecznicze (monitoring wizyjny), podmioty prowadzące Biuletyn Informacji Publicznej (anonimizacja danych), podmioty marketingowe (przetwarzania danych osobowych w celach marketingowych), internetowe platformy dostaw.

Ważne sprawy

·Prokuratura w styczniu przyjęła nasze argumenty i zajęła się sprawą naruszenia praw dziewczynki, której szkolni koledzy wygenerowali nagie zdjęcie i rozsyłali je sobie. Sprawą zajmujemy się od połowy 2025 r. Wcześniej organy ścigania odmówiły wszczęcia śledztwa, argumentując, że przecież nie doszło do nagiej sesji fotograficznej z udziałem nieletniej. Moim zdaniem wykorzystanie wizerunku młodej dziewczyny drastycznie naruszyło jej prywatność oraz zagroziło naruszeniem jej elementarnych interesów życiowych w przyszłości. Dlatego państwo powinno stanąć w obronie jej praw.

•  W styczniu wydałem decyzję w sprawie z 2023 r., gdy Policja ujawniła na konferencji prasowej dane kobiety, w tym dane dotyczące jej stanu zdrowia. W sprawie tej nałożyłem w 2025 r. karę na Komendanta Głównego Policji, której prawidłowość potwierdził w styczniu tego roku Wojewódzki Sąd Administracyjny. W dalszym postępowaniu badaliśmy, jak mogło dojść do takiego naruszenia prywatności. Okazało się, że Komendant Miejski Policji w Krakowie nie sporządził analizy ryzyka, więc też nie wprowadził odpowiednich zabezpieczeń dla danych. Policja zbiera dane o obywatelach w Systemie Wspomagania Dowodzenia Policji (SWD). Komendant Miejski przyznał również, że naruszenie ochrony danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. W krakowskiej komendzie nie było jednak reguł gwarantujących, że dane osobowe z tej bazy nie zostaną użyte – jak w tym przypadku – w komunikacie zespołu prasowego. To, że dane kobiety zostały upublicznione, nie jest skutkiem incydentu czy błędu jednostki, ale systemowym zaniechaniem.

•  W styczniu nałożyłem także karę na Pocztę Polską za wadliwe organizacyjne umiejscowienie IOD, że nie miał on gwarancji niezależności i szansy na dobre wykonywanie zadań. IOD jednocześnie pracował na stanowisku kierowniczym bezpośredniego związanym z przetwarzaniem danych osobowych. IOD może pełnić też inne funkcje w organizacji. Należy jednak wcześniej – i to na piśmie – zanalizować ryzyko i ustalić reguły pracy, które wykluczą konflikt interesów oraz zapewnią, że IOD będzie miał czas na wykonywanie swoich zadań.

•  Prezes UODO upomniał Sąd Rejonowy w Lublinie. Sąd nie przeprowadził właściwej analizy ryzyka. Skończyło się to incydentem w postaci ujawnienia danych w odpowiedzi na wniosek o dostęp do informacji publicznej. Wnioskodawca dostał plik z danymi razem z ukrytymi w nim kolumnami z danymi osobowymi.

•  WSA podtrzymał decyzję Prezesa UODO o nałożeniu kary na przedsiębiorstwo pogrzebowe. Chodziło o sprawę zagubienia dokumentacji z nazwiskami członków rodzin zmarłych w czasie transportu (spadła z niezabezpieczonej naczepy i znalazła ją w rowie policja). PUODO wskazał, że incydentowi zapobiegłaby prawidłowo przeprowadzona analiza ryzyka. WSA podzielił ten pogląd.

Prezes UODO złożył także zażalenie na postanowienie o umorzeniu dochodzenia w sprawie monitoringu w szpitalu w Przemyślu. Monitoring był założony bez zgody dyrekcji, a więc nie objęty został  zabezpieczeniami chroniącymi dane osobowe. Pracownicy szpitala chcieli po prostu ustalić, kto „podbiera” leki z szafki. Prokuratura uznała, że nie jest w stanie ustalić sprawcy, więc umorzyła postępowanie. Prezes UODO wskazał jej błędy w rozumowaniu i wskazał, dlaczego sprawa ta wymaga jednak wyjaśnienia.

Legislacja

W styczniu zgłosiłem uwagi m.in. do projektu ustawy o sprawiedliwym dostępie do danych, do projektu ustawy pozwalającej badać trzeźwość parlamentarzystów (jego konsekwencją będzie przetwarzanie danych) oraz do projektu ustawy o osobistych kontach inwestycyjnych. Przedstawiliśmy też analizę konsekwencji wyroku Trybunał EFTA w sprawie E-5/25 Silbernagl dotyczącej zasad rozwiązywania stosunku pracy z IOD. Wyrok ten dotyczył przepisów Księstwa Luksemburg. Polska takich regulacji nie ma – opiera się wyłącznie na dyspozycjach RODO. Jednak należałoby sprecyzować zasady rozwiązywania stosunków pracy z osobami pełniącymi funkcję IOD.

UODO w Polsce

W styczniu kontynuowaliśmy akcję „UODO rusza w kraj” – tym razem 23 stycznia spotkaliśmy się z mieszkańcami, IOD-am i administratorami z Suwałk i województwa podlaskiego. W ramach naszej akcji promującej wiedzę o prawie do prywatności i danych osobowych odwiedziliśmy już Kraków, Tarnów, Katowice, Rzeszów, Kwidzyn, Gdynię i Gdańsk, Płock, Poznań, Olsztyn oraz Gorzów Wielkopolski.

Mirosław Wróblewski

Prezes UODO