Podsumowanie miesiąca – marzec 2025 r.

Szanowni Państwo, w marcu podjąłem kilka decyzji ważnych dla bezpieczeństwa naszych danych osobowych. Były to też decyzje o karach dla organów władzy publicznej. Organ nadzorczy właściwy do spraw ochrony danych osobowych musi bowiem jednoznacznie sprzeciwić się sytuacjom, w których przedstawiciele państwa bez uzasadnienia przetwarzają lub ujawniają dane obywateli i je wykorzystują.

Dlatego zdecydowałem się złożyć do Prokuratury Rejonowej Warszawa-Śródmieście zawiadomienie o uzasadnionym podejrzeniu popełnienia przestępstwa polegającego na przetwarzaniu danych osobowych, choć ich przetwarzanie nie jest dopuszczalne. Chodzi o wpisy w portalu X, w których kilku użytkowników opublikowało dane z kwestionariuszy paszportowych prokurator Ewy Wrzosek, byłego ministra, a obecnie posła do Parlamentu Europejskiego Mariusza Kamińskiego, posła na Sejm X kadencji Marka Jakubiaka, a także matki Mariusza Kamińskiego oraz matki obecnego ministra sprawiedliwości Adama Bodnara. Najważniejsza decyzja o pieniężnej karze administracyjnej dotyczyła Poczty Polskiej i Ministra Cyfryzacji, którzy w kwietniu i maju 2020 r. bez podstawy prawnej przetwarzali dane 30 mln polskich obywateli z bazy PESEL. Sprawa ta dotknęła 80 procent obywateli Rzeczypospolitej. Stąd wysokość obu kar – przy czym wymiar kary dla Poczty Polskiej został znacząco obniżony ze względu na trudną sytuację spółki świadczącej ważne usługi publiczne. Niektórzy twierdzą, że średnio 80 groszy za naruszenie danych jednej osoby to rażąco niska kara, jednak moim zdaniem kara musi być nie tylko skuteczna i odstraszająca, ale także proporcjonalna.

W marcu nałożyłem także karę na Komendanta Głównego Policji za ujawnienie na konferencji prasowej danych kobiety, która poddała się aborcji farmakologicznej. Komendant zrobił to bez podstawy prawnej, na konferencji prasowej bronił swoich podkomendnych przed zarzutem brutalnego i okrutnego potraktowania kobiety, która poprosiła pogotowie o pomoc, ujawniając, że jej złe samopoczucie może mieć związek z dokonaną aborcją. Ujawnienie danych o stanie zdrowia stanowiło bardzo poważne naruszenie przepisów o ochronie danych, dlatego kara była konieczna. Nałożyłem również karę pieniężną na Polskie Radio Szczecin – za to, że nie miało procedur uniemożliwiających bezprawne ujawnianie danych osobowych w serwisie stacji. Kontrola w radiu została przeprowadzona w wyniku doniesień dotyczących sprawy ujawnienia danych dziecka, które miało paść ofiarą pedofila. Sprawa miała tragiczny finał, dziecko popełniło samobójstwo. Okazało się, że mamy do czynienia z wieloletnimi systemowymi zaniedbaniami w ochronie danych, co spowodowało konieczność nałożenia wspomnianej kary.

Chciałbym też zwrócić Państwa uwagę na pismo skierowane do Prokuratora Krajowego. Poprosiłem w nim o uczulenie prokuratorów, że dane medyczne pobrane w gabinecie lekarskim nie mogą tak po prostu służyć do oskarżania lekarza. Pismo to powstało na kanwie sprawy lekarki, którą prokuratura oskarżyła o pomoc w aborcjach na podstawie danych o pacjentkach, zebranych w czasie przeszukania gabinetu. Chodzi tu o dane zdrowotne – ich wykorzystanie ze względu na ich wagę podlega szczególnym obostrzeniom. Prokuratura nie spełniła tu warunków pozwalających jej na korzystanie z tych danych.

Uczymy się znaczenia danych osobowych

Jak co miesiąc Prezes UODO angażuje się w szerzenie wiedzy o roli danych osobowych we współczesnym świecie i ich znaczeniu dla ludzi. Uczymy się wspólnie, jak rozumieć nowe regulacje i jak wdrażać nowoczesne techniki zarządcze, w tym analizę ryzyka dla danych. Dlatego m.in. promowaliśmy nasz najnowszy poradnik dla administratorów i IOD dotyczący naruszeń danych osobowych.

W marcu w ramach „UODO rusza w kraj” byliśmy w Rzeszowie. Kolejna odsłona naszej akcji potwierdziła słuszność założeń i pokazała, jak ważne są spotkania z różnymi środowiskami, nie tylko na szczeblu centralnym. Zarówno konferencja, jak i pozostałe spotkania cieszyły się dużym zainteresowaniem i udowodniły, jak potrzebne są nasze wyjazdy. Następnym razem odwiedzimy województwo wielkopolskie. 

Angażowaliśmy się także w ochronę praw dzieci jako szczególnie narażonych na niebezpieczeństwa w sieci. Polecam Państwa uwadze ważny raport „Internet dzieci”, który pokazuje m.in., skąd dzieci czerpią informacje w sieci i jak się po niej poruszają. W żaden sposób nie przypomina to doświadczeń dzisiejszych dorosłych. Wiedząc o tym, jak wielkie są dziś różnice pokoleniowe w wyszukiwaniu informacji, poprosiłem Minister Edukacji Narodowej, by rozporządzenie o edukacji zdrowotnej uwzględniało podstawy wiedzy o znaczeniu danych o zdrowiu.  Wiedza dzieci o tym, jak chronić swoje dane osobowe, informacje prywatne – często odnoszące się do stanu zdrowia fizycznego i psychicznego – a także o zagrożeniach, jakie wiążą się z naruszeniem bezpieczeństwa tych danych – jest niezbędna do tego, aby bezpiecznie poruszać się w świecie rozwijających się technologii. Z satysfakcją odnotowuję, że takie treści o ochronie danych znalazły się w nowych przepisach. Pragnę za to serdecznie podziękować Pani Minister i całemu Ministerstwu Edukacji Narodowej.

26 marca, w dniu wejścia w życie rozporządzenia unijnego o Europejskiej Przestrzeni Danych Dotyczących Zdrowia (EHDS), zorganizowaliśmy wraz z Wydziałem Prawa i Administracji Uniwersytetu Warszawskiego, Wydziałem Medycznym UW, Instytutem Nauk Prawnych Polskiej Akademii Nauk oraz Naczelną Izbą Lekarską konferencję naukową na temat EHDS, wdrażania rozwiązań w erze AI, Big Data i medycyny spersonalizowanej. Tego dnia podpisałem też porozumienie o współpracy z Naczelną Izbą Lekarską. 

W miesiącu, w którym działo się tak wiele, warto wspomnieć jeszcze o:

• upomnieniu nałożonym na jedną z uczelni (z opóźnieniem wprowadziła regulacje gwarantujące spełnienie wymogów RODO dotyczących zasad współpracy administratora z inspektorem ochrony danych).
• fakcie, że Meta Platforms Ireland Limited cofnęła skargi na postanowienia Prezesa Urzędu Ochrony Danych Osobowych z 5 sierpnia 2024 r. w sprawie Państwa Rafała Brzoski oraz Ammy Omeny Mensah.
• potwierdzeniu przez NSA naszej interpretacji art. 105a ust. 3 Prawa bankowego, że kiedy umowa kredytowa wygasa, bank może przetwarzać dane klienta zalegającego ze spłatą, o ile wcześniej skutecznie powiadomi go o tym zamiarze i odczeka 30 dni.
• interwencji u Ministra Rozwoju i Technologii, w której poprosiłem o zmianę przepisów tak, by numery z ksiąg wieczystych nie były podawane we wnioskach o ustalenie lokalizacji inwestycji oraz w podejmowanych w tych sprawach uchwałach rady gminy. Bo w ten sposób są one następnie publicznie ujawniane na BIP gminy.

I na koniec istotna wiadomość: w lipcu 2025 r. UODO zmienia siedzibę. Wyprowadzamy się z biurowca Intraco przy ul. Stawki 2, który zostanie poddany remontowi. Przeprowadzamy się do budynku przy ul. Moniuszki w Warszawie, w pobliżu Placu Powstańców.

Mirosław Wróblewski

Prezes UODO