Podsumowanie miesiąca – luty 2026
Szanowni Państwo, podsumowując nasze prace w lutym 2026 r., chciałbym zwrócić uwagę na jedną ważną sprawę. W mediach pojawiły się ostatnio informacje, że planowane przez Prezesa UODO sektorowe kontrole, które w tym roku obejmą podmioty prowadzące Biuletyn Informacji Publicznej, mogą się skończyć wysokimi karami administracyjnymi i godzić w przejrzystość działania organów samorządu terytorialnego. Kontrole PUODO nie są równoznaczne z karami. Prowadzimy je po to, by poprawić ochronę danych osobowych. Z naszych rocznych sprawozdań jasno wynika, że na BIP-ach ujawniane są dane osobowe – na ogół przez pomyłkę albo z pośpiechu, bowiem dokumenty tam publikowane nie są odpowiednio anonimizowane. Wiele samorządów opracowało i wdrożyło odpowiednie polityki ochrony danych, zaczęło dokonywać ich systematycznych przeglądów. Jednak nie dzieje się tak wszędzie i praca UODO ma pomóc w przeprowadzeniu takich zmian. Prezes UODO sięga po kary tylko w wyjątkowych sytuacjach. Naszym celem jest zapobieganie incydentom z danymi. Mamy do tego wiele narzędzi, a kara finansowa jako sposób na wymuszenie zmian na przyszłość jest ostatecznością.
Edukacja i legislacja
Staramy się przede wszystkim podkreślać, jak zmiany technologiczne wymuszają na nas wszystkich bardziej staranne podejście do problemu danych osobowych. Nie tylko w administracji. Chodzi o wiedzę, procedury i praktyki organizacyjne. Przykładem takich naszych działań niech będzie ostatnie webinarium o deepfake’ach, dezinformacji i ochronie danych w dobie Al. Zorganizowaliśmy je dla uczestników programu „Twoje dane – Twoja sprawa”. Temat deepfake’ów był również jednym z ważnych wątków poruszanych podczas Kongresu Ochrony Danych Osobowych i Nowych Technologii w styczniu. Zagadnienie to omawiano m.in. w ramach paneli poświęconych wyzwaniom prawnym, społecznym i technologicznym, a ja sam moderowałem jeden z paneli. Wykład „Deepfake – ochrona danych w kontekście nowych technologii” wygłosiłem też podczas XII Dnia Otwartego Urzędu Ochrony Danych Osobowych, który odbył się 6 lutego 2026 r. w Akademii WSB w Dąbrowie Górniczej
Innym ważnym działaniem uprzedzającym jest takie przygotowywanie prawa, by tworzyło dla nas wszystkich, a zwłaszcza dla młodych pokoleń, bezpieczne ramy korzystania z nowych technologii. W lutym analizowaliśmy w UODO m.in. projekt podstawy programowej wychowania przedszkolnego oraz kształcenia ogólnego dla szkoły podstawowej. Zgłosiliśmy do niego uwagi. Temat walki z deepfake’ami oraz ochrony dzieci i młodzieży w cyberprzestrzeni, Prezes UODO poruszył też w piśmie do Ministerstwa Cyfryzacji, zawierającym uwagi do projektu nowelizacji ustawy o świadczeniu usług drogą elektroniczną. W porównaniu z poprzednią podstawą programową, która jedynie ogólnie odnosiła się do korzystania przez uczniów z technologii, w nowym projekcie zdecydowano się na wprowadzenie konkretnych rozwiązań dotyczących higieny cyfrowej oraz bezpieczeństwa danych. To dobra zmiana. Odnieśliśmy się do kilku ważnych kwestii, w tym do tego, w jaki sposób można by w szkołach wprowadzać zakazy korzystania z telefonów komórkowych. Naszym zdaniem takich regulacji nie można wprowadzać rozporządzeniem, lecz ustawą – mówimy bowiem o korzystaniu z konstytucyjnych wolności i praw. Mogą one podlegać ograniczeniu, ale jeśli są wprowadzane ustawą.
Ważne rozstrzygnięcia
Pragnę zwrócić Państwa uwagę na cztery ważne rozstrzygnięcia:
·Po pierwsze – PUODO nałożył administracyjne kary pieniężne na Fundację Lumus po stwierdzeniu dokonania szeregu naruszeń przepisów o ochronie danych osobowych. Sprawa ta i ustalone w jej toku naruszenia wskazują na szerszy, systemowy charakter problemów organizacji pozarządowych, z którymi spotykają się w obszarze przestrzegania przepisów o ochronie danych osobowych osób fizycznych.
·Po drugie, PUODO nałożył karę finansową na firmę kurierską. Tu wykryte problemy były tak duże, że nie można było postąpić inaczej. Okazało się, że firma używała zewnętrznych pośredników do transportowania przesyłek. Nie miała z nimi umów na przetwarzanie danych – więc w transporcie i przy załadunku nie było odpowiednich procedur bezpieczeństwa dla danych. Sposób nadawania pracownikom spółki uprawnień do przetwarzania danych też wzbudził poważne wątpliwości. Takie uprawnienie dostawało się od systemu informatycznego po zaliczeniu testu kończącego e-szkolenie. Tymczasem uprawnienia musi nadawać człowiek – bo tylko tak można zadbać o bezpieczeństwo procesu przetwarzania danych. Maszynowe upoważnienie nie jest prawdziwym upoważnieniem do przetwarzania danych. Ujawnione w spółce problemy stanowiły bardzo poważne naruszenie przepisów RODO i rodziły ryzyko dla osób, których dane spółka przetwarzała – a były to dane nadawców i odbiorców przesyłek.
·Po trzecie, WSA podtrzymał decyzję PUODO, który ukarał Komendanta Głównego Policji karą finansową za ujawnienie na konferencji prasowej danych osobowych, w tym danych dotyczących zdrowia. Wcześniej media opisały sprawę pewnej kobiety i pokazały, jak potraktowali ją policjanci. Komendant zwołał konferencję prasową, by bronić podwładnych. I ujawnił dane tej osoby. Nie miał do tego podstawy, a ujawnienie danych stanowiło poważne naruszenie prywatności poszkodowanej. Sprawa ta sięga 2023 r. Po zbadaniu postępowania Komendanta Głównego Policji sprawdziliśmy, jak dane osobowe pokrzywdzonej trafiły do niego z Komendy Miejskiej. To postepowanie też zakończyło się decyzją o nałożeniu kary. PUODO ustalił bowiem, że dane kobiety trafiły do komunikatu prasowego w Komendzie Miejskiej z wewnętrznego systemu Policji, ponieważ Komenda nie zanalizowała ryzyka ani nie przygotowała wynikających z takiej analizy procedur administracyjnych i technicznych, które chroniłyby dane osobowe przed nieuprawnionym ujawnieniem.
·Po czwarte, NSA oddalił skargę kasacyjną właściciela kliniki stomatologicznej na decyzję Prezesa UODO. W tej sprawie chodziło o to, że właściciel kliniki zbywał PUODO, który chciał się upewnić, że zrobiono wszystko, by ochronić prawa osób, których dane skopiował pracownik kliniki do prywatnych celów. Skończyło się to karą dla przedsiębiorcy. Miała ona taki skutek, że przedsiębiorca przedstawił następnie PUODO dowody należycie wykonanego obowiązku poinformowania zainteresowanych o incydencie. Teraz NSA potwierdził prawidłowość działania PUODO.
Uwaga, e-doręczenia
Na koniec chciałbym wskazać na to, że uwzględniliśmy już nowe przepisy o e-doręczeniach w wymogach akredytacji podmiotów monitorujących kodeksy postępowania oraz dodatkowych wymogach akredytacji podmiotów certyfikujących. Zmiany dotyczą wymaganej formy kontaktu z Urzędem Ochrony Danych Osobowych. Skrzynki elektroniczne, które stanowiły formę kontaktu we wcześniejszych wersjach wymogów, zostały wycofane z użycia i zastąpione skrzynkami do e-doręczeń. Zmiany były konsultowane z Europejską Radą Ochrony Danych.
