Podsumowanie miesiąca – marzec 2026

Szanowni Państwo – jedną z istotnych kwestii, którą zajmował się Urząd Ochrony Danych Osobowych w marcu, jest sprawa retencji danych osobowych przez polskie firmy telekomunikacyjne. Prawo telekomunikacji elektronicznej nakłada na operatorów obowiązek przechowywania ogromnej ilości danych na potrzeby policji i służb. Operatorzy muszą przechowywać je przez 12 miesięcy – niezależnie od tego czy użytkownicy są o cokolwiek podejrzewani. Takie rozwiązanie stoi w sprzeczności ze standardami UE, zgodnie z którymi dane można zbierać i przechowywać tylko w uzasadnionych konkretną sytuacją przypadkach.

Trybunał Sprawiedliwości UE wielokrotnie podkreślał, że gromadzenie danych przez operatorów telekomunikacyjnych może być dopuszczalne jedynie w zakresie ściśle niezbędnym i proporcjonalnym – np. w celu zwalczania poważnej przestępczości lub ochrony bezpieczeństwa państwa. Z kolei Europejski Trybunał Praw Człowieka w wyroku z 28 czerwca 2024 r. stwierdził, że polskie przepisy dotyczące kontroli operacyjnej i dostępu do danych komunikacyjnych nie zapewniają wystarczających gwarancji ochrony prawa do prywatności. Z uwagi na orzeczenia TSUE i ETPC  dotyczące tego zagadnienia skierowałem już wcześniej do rządu wystąpienia wskazujące na konieczność zmiany polskich przepisów. W marcu przedstawiłem Sądowi Okręgowemu, zgodnie z ustawą o ochronie danych osobowych, istotny pogląd w sprawie dotyczącej obywateli, którzy wnieśli, by ich dane były przetwarzane przez firmy telekomunikacyjne zgodnie z prawem. Istotne poglądy Prezesa UODO to ekspertyzy, które mogą sądom pomóc rozstrzygnąć te sprawy. W stanowisku skierowanym do sądu zwróciłem szczególną uwagę na brak zgodności krajowych regulacji dotyczących retencji danych telekomunikacyjnych z Konstytucją RP, Europejską Konwencją Praw Człowieka oraz prawem UE.

Sądy administracyjne w sprawie decyzji Prezesa UODO

W marcu sądy administracyjne potwierdziły decyzje Prezesa UODO w kilku ważnych sprawach, w jednej – decyzja została uchylona. Ta ostatnia to bardzo poważna sprawa – dotycząca tzw. wyborów korespondencyjnych, które miały odbyć się w 2020 r. Prezes UODO nałożył na Pocztę Polską karę za to, że przetwarzała dane 30 mln polskich wyborców pobrane z bazy PESEL bez podstawy prawnej. Ustawa, która by na to zezwoliła, nie weszła wtedy w życie, a Poczta działała tylko na podstawie decyzji premiera, która nie miała podstawy ustawowej. Potwierdził to potem NSA uznając tę decyzję za nieważną. Badając sprawę Poczty WSA uznał jednak, że spółka była zobowiązana wykonać decyzję premiera, gdyż w owym czasie (w kwietniu 2020 r.) nie została ona jeszcze zakwestionowana, a Poczta nie mogła oceniać ważności decyzji premiera. W sprawie tej rozważamy złożenie skargi kasacyjnej do NSA. W grę wchodzi bezpieczeństwo danych 30 mln polskich obywateli.

Inaczej wygląda sprawa ujawnienia przez Ministra Zdrowia danych lekarzy. Tu WSA nakazał Prezesowi UODO ponownie zająć się tą sprawą, a to dlatego, że toczy się tu także sprawa karna i należy uwzględnić wyrok karny zapadły dwa lata po wydaniu decyzji organu nadzorczego. Sprawa miała swój początek w grudniu 2023 r., gdy  Prezes UODO nałożył karę na Ministra Zdrowia za ujawnienie danych lekarza, w tym dotyczących zdrowia. Po przeprowadzeniu postępowania administracyjnego Prezes UODO stwierdził, że dane zostały ujawnione bez podstawy prawnej. WSA wskazał jednak w marcu, że pełniący wówczas funkcję Ministra Zdrowia Adam Niedzielski został prawomocnie skazany we wrześniu 2025 r. za przekroczenie uprawnień właśnie poprzez ujawnienie danych lekarza. Zdaniem WSA wyrok w sprawie karnej wpływa na postrzeganie stanu faktycznego opisanego w decyzji Prezesa UODO z grudnia 2023 r. Trzeba więc ją uchylić, by sprawę jeszcze raz ocenić.

WSA podtrzymał decyzję Prezesa UODO w sprawie kary dla Radia Szczecin. Sąd oddalił skargę radia. Nałożyłem na stację karę za to, że nie miała procedur chroniących bohaterów materiałów prasowych przed naruszeniem ich prywatności. To uchybienie mogło przyczynić się w 2022 r. do ujawnienia danych młodej osoby będącej ofiarą bardzo poważnego przestępstwa. Niestety dane osobowe zawarte w materiale prasowym w sposób jednoznaczny pozwalały na jej zidentyfikowanie. Następstwem całej sytuacji było samobójstwo nastolatka.

NSA podtrzymał z kolei decyzję Prezesa UODO o karze na Santander Bank Polska S.A. Sąd przyznał rację Prezesowi UODO, że przez zaniechanie właściwego powiadomienia osób o naruszeniu ochrony ich danych osobowych bank naruszył przepisy RODO. Incydent, który Santander Bank Polska S.A. zgłosił do UODO, polegał na tym, iż byłemu pracownikowi nie odebrano dostępu do Platformy Usług Elektronicznych ZUS. W efekcie, nawet po zakończeniu pracy w banku, miał on dostęp do danych innych pracowników z PUE ZUS na profilu płatnika firmy. Co więcej, pięciokrotnie logował się on do platformy po wygaśnięciu umowy o pracę. Bank tymczasem uznał, że ryzyko incydentu nie było wysokie i nie powiadomił o tym osób, których dane dotyczyły.

NSA podzielił też stanowisko Prezesa UODO uchylając decyzję WSA sprawie naruszenia przepisów o ochronie danych osobowych przez Fortum Marketing and Sales S.A. i Pika Sp. z o.o. NSA zgodził się z PUODO, że za proces przetwarzania danych osobowych odpowiada administrator oraz podmiot przetwarzający. Sprawa sięga kwietnia 2020 r., kiedy Fortum zgłosiło organowi nadzorczemu naruszenie ochrony danych osobowych. Naruszenie było związane z wprowadzeniem zmian w cyfrowym archiwum.  W odpowiedzi na sygnalizowane przez Fortum problemy z wydajnością systemu podmiot przetwarzający – spółka Pika –utworzyła dodatkową bazę danych i zasiliła je danymi klientów administratora. Jednak nowo utworzoną bazę udostępniono w sposób nieprawidłowy, co umożliwiło osobom nieuprawnionym dostęp do danych klientów oraz ich kopiowanie. Sprawa trafiła do ponownego rozpatrzenia.

W marcu wydałem też kilka istotnych decyzji administracyjnych

Ukarałem Komitet wyborczy Karola Nawrockiego za naruszenie przepisów RODO przez publiczne udostępnienie danych osobowych. Przedstawiciele Komitetu Wyborczego pokazali niezanonimizowane dokumenty dotyczące transakcji nabycia nieruchomości. Ujawnili w ten sposób dane nie tylko właściciela mieszkania, ale i członków jego rodziny oraz małżonki kandydata na prezydenta. Tymczasem dokumenty można było pokazać nie naruszając prawa do prywatności osób nie pełniących funkcji publicznych.

Nałożyłem administracyjną karę pieniężną na Glovo w wysokości blisko 6 mln złotych za kopiowanie dokumentów bez podstawy prawnej. Spółka pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji mobilnej, służącej m.in. do zamawiania posiłków. Sprawa była następstwem kontroli obejmującej sposób przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”. W decyzji wskazałem, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa.

W tym miesiącu podjęliśmy też kilka ważnych kwestii prawnych:

• Sprawę kamer nasobnych kontrolorów biletów. Zwróciłem się do Ministra Infrastruktury o doprowadzenie do skutecznego stosowania przepisów o ochronie danych osobowych, bo monitoring za pomocą urządzeń rejestrujących dźwięk lub obraz jest inwazyjną formą przetwarzania danych osobowych i stwarza zagrożenie w zakresie praw i wolności osób fizycznych.
• Sprawę badań przesiewowych. RODO daje podstawę prawną do kierowania zaproszeń na badania przesiewowe – takie wyjaśnienie przekazałem prof. Mariuszowi Bidzińskiemu z Narodowego Instytutu Onkologii im. Marii Skłodowskiej-Curie. Dane szczególnych kategorii mogą być przetwarzane bez zgody pacjenta, jeśli jest to niezbędne do celów profilaktyki, diagnozy lub organizacji systemu opieki zdrowotnej. Przetwarzanie takich danych musi jednak odbywać się pod nadzorem osób zobowiązanych do zachowania tajemnicy zawodowej. UODO stale wzmacnia poziom ochrona danych osobowych poprzez edukację i wzrost świadomości społecznej.

Przedstawiciele Urzędu biorą udział z licznych spotkaniach i konferencjach, na który omawiają zagadnienia związane z tą dziedziną. Oto przykłady:

• Przetwarzaniem danych na potrzeby targetowania reklamy politycznej omawialiśmy na spotkaniu w IAB Polska
• O tym, jak chronić dzieci na platformach cyfrowych mówiłem podczas Forum Cyfrowego Obywatelstwa
• O ochronie danych osobowych w epoce deepfake’ów, sztucznej inteligencji i , rozpowszechnianie wizerunku małoletnich mówiłem w ramach wydarzenia „Dzień Ochrony Danych Osobowych z Vizją”.
• Problem bezpieczeństwa seniorów w kontekście danych wrażliwych poruszyliśmy na posiedzeniu sejmowej Komisji Polityki Senioralnej.
• Praktycznym interakcjom między RODO a Aktem w usługach cyfrowych (DSA) poświęcone było moje wystąpienie na konferencji w Brukseli  „Międzyregulacyjne oddziaływanie i współpraca w UE: perspektywa ochrony danych osobowych” (ang. „cross-regulatory cooperation in the EU”)
• Zorganizowaliśmy szkolenie dla medyków z warszawskiej Okręgowej Izby Lekarskiej pt. „Sektor medyczny – współczesne wyzwania dla ochrony danych osobowych”.
• W Monasterze Zwiastowania Najświętszej Maryi Panny w Supraślu odbyło się szkolenie dotyczące ochrony danych osobowych oraz bezpieczeństwa dzieci i młodzieży w internecie.
• Zorganizowaliśmy, wspólnie z Wydziałem Prawa i Administracji Uniwersytetu Warszawskiego oraz Instytutem Nauk Prawnych Polskiej Akademii Nauk, międzynarodową konferencję „Europejska przestrzeń danych dotyczących zdrowia – wtórne przetwarzanie danych osobowych oraz prawa osób fizycznych”. 

Jak zwykle braliśmy udział w pracach Europejskiej Rady Ochrony Danych (EROD), która m.in. zaczyna koordynować egzekwowanie prawa w zakresie przejrzystości i informacji wynikających z RODO. Rozporządzenie gwarantuje, że osoby fizyczne są informowane o przetwarzaniu ich danych (zgodnie z art. 12, 13 i 14). Prawo do informacji jest podstawowym elementem przejrzystości oraz zapewnia osobom fizycznym większą kontrolę nad ich danymi. Warto też zauważyć, że EROD przyjęła sprawozdanie dotyczące działań w ramach Skoordynowanego Egzekwowania Prawa (CEF) dotyczących prawa do usunięcia danych (art. 17 RODO).  Jest to jedno z najczęściej wykorzystywanych praw wynikających z RODO, na które organy nadzorcze często otrzymują skargi od osób prywatnych.

Do zapisana w kalendarzu:

Serdecznie zapraszam 17 kwietnia na konferencję pt. „Projektowanie ochrony danych w zamówieniach publicznych. Wyzwania w świetle rozwoju nowych technologii”.

Polecam też gorąco udział w webinarium poświęconym analizie ryzyka. Podczas spotkania online omówione zostaną punkty analizy opisane w styczniowym numerze Biuletynu UODO w materiale „Jak przeprowadzić analizę ryzyka zgodnie z zasadą rozliczalności?”. Wydarzenie odbędzie się 9 kwietnia 2026 r. Polecam śledzenie strony internetowej UODO, gdzie dokładnie opisujemy na bieżąco nasze działania.

Mirosław Wróblewski Prezes UODO