Posumowanie miesiąca – luty 2025

Szanowni Państwo, w lutym w Urzędzie Ochrony Danych Osobowych wiele się działo. Szczególną Państwa uwagę chciałbym zwrócić na nową, zaktualizowaną wersję poradnika dla administratorów, jak należy się zachować w przypadku stwierdzenia naruszenia ochrony danych osobowych.

Nowa wersja „Poradnika dotyczącego naruszeń ochrony danych osobowych” uwzględnia najnowsze interpretacje przepisów, orzecznictwo oraz praktyczne wskazówki, które ułatwią administratorom podejmowanie właściwych decyzji w przypadku wystąpienia naruszenia ochrony danych osobowych. Ważną rolę w jego przygotowaniu odegrał Społeczny Zespół Ekspertów przy Prezesie Urzędu Ochrony Danych Osobowych, który wspierał doradczo Urząd w tworzeniu dokumentu.

W lutym Prezes UODO przyznał też po raz ósmy doroczną Nagrodę im. Michała Serzyckiego za działania na rzecz ochrony danych osobowych i prawa do prywatności. Miałem zaszczyt wyróżnić:

• Katarzynę Szymielewicz, prezeskę Fundacji Panoptykon i samą Fundację za wieloletnie działania na rzecz ochrony prywatności i wolności w erze cyfrowej,
• dr. Konrada Ciesiołkiewicza za wkład w ochronę przed niebezpieczeństwami czyhającym w sieci,
• Helsińską Fundację Praw Człowieka – za działania na rzecz ochrony praw człowieka, demokracji i praworządności w Polsce oraz Europie Środkowo-Wschodniej, jak również za eksperckie podejście do ochrony osób, których prawa zostały naruszone, oraz wspieranie rozwoju społeczeństwa obywatelskiego.
  

Wyzwania dla ochrony danych

UODO był współorganizatorem konferencji, podczas której zajmowaliśmy się wyzwaniami związanymi z ochroną danych osobowych i prawem do prywatności osób transpłciowych w związku z zatrudnieniem.

17 lutego spotkałem się z przedstawicielami ambasadorów państw Unii Europejskiej. Była to okazja do nawiązania relacji, których celem jest zwiększenie ochrony danych osobowych obywateli UE. Jednym z problemów, z jakimi w Europie się mierzymy, jest technologia generatywnej sztucznej inteligencji, wykorzystywana teraz także przez chiński, a więc niepodlegający unijnym regulacjom, chatbot DeepSeek. Biorąc pod uwagę informacje zamieszczone przez dostawcę tej usługi w jego polityce prywatności, zaleciliśmy daleko idącą ostrożność w korzystaniu z tej aplikacji oraz innych usług. Byliśmy pierwszym organem w Europie, który opublikował takie ostrzeżenie. Kontaktowaliśmy się też z innymi instytucjami i korzystały one z naszego komunikatu.

Nowe prawo

Jak co miesiąc przygotowaliśmy opinie i analizy do przygotowywanych przez rząd aktów prawnych. Jest wśród nich stanowisko PUODO w sprawie kamer nasobnych ratowników medycznych. Po głośnej sprawie zabójstwa ratownika, który został ugodzony nożem, kiedy udzielał pomocy, pojawił się pomysł, by poprawić bezpieczeństwo ratowników dzięki kamerom nasobnym rejestrującym zdarzenia. PUODO musi jednak zwrócić uwagę, że takie kamery rejestrowałyby mnóstwo informacji i danych osobowych, więc zasady ich użycia muszą być opisane w ustawie przygotowanej także na podstawie analizy ryzyka dla danych osobowych. Zgłosiliśmy uwagi do projektu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025–2029 oraz do monitoringu wizyjnego w placówkach medycznych.

W sądach

W lutym zapadły ważne dla ochrony danych osobowych wyroki sądowe. NSA podtrzymał stanowisko PUODO w sprawie statusu ksiąg wieczystych jako zawierających dane osobowe, oddalając skargę kasacyjną Głównego Geodety Kraju. NSA w kolejnym wyroku podtrzymał zaś decyzję Prezesa UODO o nałożeniu 100 tys. zł kary pieniężnej w związku z uniemożliwianiem przez GGK przeprowadzenia kontroli przez pracowników UODO. WSA w Warszawie podtrzymał też decyzję Prezesa UODO w sprawie dotyczącej przekazania bez podstawy prawnej danych naukowców z bazy POL-on Ministerstwu Zdrowia do analiz stopnia zaszczepienia przeciw COVID-19 na uczelniach. NSA podtrzymał także stanowisko PUODO ws. kary dla SGGW. Sprawa dotyczyła naruszenia przez uczelnię obowiązków wynikających z przepisów o ochronie danych osobowych, w którego efekcie doszło do incydentu: dane osobowe kandydatów na studia zostały wyeksportowane na prywatny komputer pracownika, zaś na skutek kradzieży tego urządzenia została naruszona ich poufność. NSA potwierdził również nasze stanowisko, że bank nie może przetwarzać danych osoby, której odmówił kredytu.

W końcu NSA zgodził się z Prezesem UODO, że wypytywanie pasażera autobusu o nazwisko to przetwarzanie danych. Sprawę zainicjowała skarga pasażera autobusu na to, że kierowca zażądał od niego podania na głos imienia i nazwiska. Nie wystarczyło mu pokazanie elektronicznego biletu. W ten sposób dane pasażera poznały inne osoby w autobusie, a nie było do tego podstaw. WSA w Warszawie stanął tu na stanowisku, że sytuacja ta może naruszać dobra osobiste pasażera (więc może on złożyć pozew cywilny), jednak nie doszło do przetwarzania danych. NSA nie zgodził się z tym stanowiskiem WSA i przyznał rację Prezesowi UODO. Złożyliśmy też do NSA skargę kasacyjną w niezwykle ważnej dla ochrony danych osobowych sprawie. Dotyczy ona naruszenia danych osobowych w wyniku dostarczenia uszkodzonej i niekompletnej przesyłki sądowej przez operatora pocztowego. WSA w Warszawie uznał, że jest to problem z zakresu sprawowania wymiaru sprawiedliwości, co oznacza, że nie może jej oceniać PUODO. W skardze kasacyjnej podtrzymujemy stanowisko: pozostawienie w obrocie prawnym tego wyroku WSA może doprowadzić do sytuacji, że osoby objęte podobnym naruszeniem danych pozostaną bez ochrony prawnej, zagwarantowanej m.in. przepisami Konstytucji RP.

***

Na końcu jak zwykle muszę Państwa poinformować o karach nakładanych przez PUODO. Robimy to tylko w sytuacjach, gdy jest to konieczne i niezbędne. Tym razem chodziło o opisywaną w mediach sprawę oddziału neonatologiczego, w którym zamontowano zegary z ukrytymi kamerami. A następnie zapis z tych kamer, rejestrujący wizerunki rodziców i dzieci, a także rozmowy rodziców, przepadł bez wieści. Po zbadaniu sprawy PUODO uznał, że ten monitoring wizyjny został wprowadzony niezgodnie z obowiązującymi przepisami, ponadto miał charakter niejawny – o prowadzonej rejestracji obrazu nie zostali poinformowani ani pacjenci, ani pracownicy placówki. Dwie nałożone w tej sprawie kary wyniosły łącznie 1 145 891,25 zł.

Mirosław Wróblewski

Prezes UODO