Podsumowanie miesiąca – wrzesień 2025

Szanowni Państwo, 1 września rozpoczął się nowy rok szkolny, a wraz z nim kolejny etap kontaktu naszych dzieci z cywilizacją cyfrową. Czy jesteśmy gotowi, aby wspierać je w poznawaniu tego świata?

Zwróciłem na to uwagę w liście do społeczności szkolnej – rodziców, uczniów i nauczycieli. Nowy, dobrowolny przedmiot edukacja zdrowotna oraz obowiązkowa edukacja obywatelska obejmują w podstawach programowych także zagadnienia związane z ochroną danych osobowych, prywatnością i świadomym korzystaniem z nowych technologii – dotyczą one m.in. ryzyka uzależnień cyfrowych czy wyzwań związanych ze sztuczną inteligencją i wirtualną rzeczywistością. Chcemy wspierać tę edukację. Dlatego we wrześniu uruchomiliśmy w Urzędzie Ochrony Danych Osobowych kolejną edycję programu dla szkół „Twoje dane – Twoja sprawa”. Nabór trwa do 31 października. Zapraszamy!

Ochrona praw i bezpieczeństwa dzieci w świecie cyfrowym wymaga wielu działań:

Dlatego o sytuacji dzieci i młodzieży w kontekście cyberataków, odporności placówek oświatowych i organizacji społecznych na te zjawiska, ochrony danych osobowych, a także skali i rodzajów zagrożeń cyfrowych oraz związanych z nimi wyzwań organizacyjnych i legislacyjnych mówiłem 25 września przed sejmową Komisją ds. Dzieci i Młodzieży.

Zjawisko sharentingu, czyli publikowania w mediach społecznościowych zdjęć dzieci bez ograniczeń dostępu przez rodziców lub opiekunów prawnych, przybiera niestety coraz szersze kręgi. Takie działania mogą stać się źródłem materiałów do deepfake’ów, fotomontaży czy narazić dziecko na przemoc rówieśniczą. Wizerunek swoich dzieci upublicznia w sieci aż 40% rodziców. W tym zakresie staramy się prowadzić szerokie działania edukacyjne, także we współpracy z organami państwa i ekspertami. W pewnych jednak przypadkach – gdy promowanie sharentingu przybiera formy zinstytucjonalizowane – edukacja nie wystarcza. Dlatego poprosiłem Ministrę Rodziny, Pracy i Polityki Społecznej o interwencję w sprawie fundacji „Dzieci są z nami”, która promuje takie niepokojące praktyki. Ministra Rodziny sprawuje bowiem nadzór nad fundacją. Przy okazji chciałbym podkreślić, że Urząd Ochrony Danych Osobowych został doceniony na arenie międzynarodowej, otrzymując wyróżnienie w prestiżowym konkursie Global Privacy and Data Protection Awards 2025. Nagroda w kategorii Education and Awareness została przyznana za projekt „Wizerunek dziecka w internecie. Publikować czy nie?”, zrealizowany wspólnie z Fundacją Orange. Wszystkim, którzy przyczynili się do tego sukcesu, serdecznie dziękuję.

W ostatnim czasie poprosiłem Ministra Cyfryzacji, wicepremiera Krzysztofa Gawkowskiego, o rozważenie wprowadzenia krajowych przepisów odnoszących się bezpośrednio do rozpowszechniania szkodliwych treści w postaci deepfake’ów i scamu, które zapewnią ofiarom możliwość szybkiej i skutecznej ochrony swoich praw. Ta potrzeba staje się coraz wyraźniejsza. Podjąłem także współpracę z Irlandzką Komisją Ochrony Danych (Data Protection Commission) oraz jedną z największych platform mediów społecznościowych w celu opracowania rozwiązań zwalczających zjawisko celeb bait – oszustwa internetowego polegającego na wykorzystywaniu wizerunku znanych osób do wyłudzania danych osobowych, pieniędzy lub innych korzyści. Cieszę się, że podjęte przeze mnie działania w ubiegłym roku w sprawach indywidualnych przekuwają się we współpracy z partnerami instytucjonalnymi w poprawę systemową ochrony praw osób fizycznych.

Potrzeba doprecyzowania i dostosowania przepisów

We wrześniu zwróciłem ponownie uwagę Poczcie Polskiej na konieczność wzmocnienia zabezpieczeń przesyłek. Nadal zbyt często dochodzi do zaginięć paczek, wydania ich osobom nieuprawnionym lub doręczania uszkodzonych przesyłek. W ostatnim czasie takie problemy zasygnalizowały mi np. bezpośrednio sądy. Przedstawiłem również opinię dotyczącą tzw. deregulacji, w tym konkretnym przypadku propozycji rezygnacji z pisemnej formy upoważnień do przetwarzania danych osobowych wydawanych przez administratorów danych. Zaznaczyłem, że RODO nie wymaga sformalizowanej pisemnej formy takich upoważnień, a problemem są nadmiarowe wymagania krajowe. Zmiany mogą być wprowadzane, ale pod warunkiem przeprowadzenia testu prywatności, w tym oceny skutków dla ochrony danych.

W korespondencji z Ministrem Zdrowia wskazałem z kolei na konieczność zmiany modelu dostępu do danych osobowych osób objętych obowiązkiem wpisu do Rejestru Podmiotów Wykonujących Działalność Leczniczą. Zwróciłem uwagę, że w pełni publiczny dostęp do adresów domowych lekarzy może prowadzić do poważnych zagrożeń. Niedawne akty agresji wobec pracowników medycznych pokazują, że należą oni do grupy szczególnie narażonej na ryzyka. Stąd moje wystąpienie do Ministra Zdrowia o podjęcie działań w tym zakresie. Zmiany wymagają również przepisy dotyczące dokumentacji medycznej wykorzystywanej do badań naukowych. Z postulatem ich nowelizacji zwróciłem się do Ministra Zdrowia oraz Ministra Nauki i Szkolnictwa Wyższego.

Nowe regulacje unijne

We wrześniu weszło w życie ważne rozporządzenie, które wpłynie na życie nas wszystkich – Akt w sprawie danych, czyli unijne rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania. Od 12 września stosuje się ono bezpośrednio we wszystkich państwach członkowskich UE. Jest to kolejne, po Akcie w sprawie zarządzania danymi, unijne rozporządzenie realizujące Europejską strategię w zakresie danych, które nie wyłącza ani nie zastępuje RODO, lecz reguluje sprawiedliwy dostęp do danych i ich wykorzystywanie.

Decyzje PUODO i wyroki sądów

Chciałbym zwrócić Państwa uwagę na wyrok WSA w Warszawie, który oddalił skargę Toyota Bank Polska SA na decyzję Prezesa UODO o nałożeniu kary. Sąd zgodził się z oceną, że bank naruszył RODO, profilując dane klientów w celu określenia ich zdolności kredytowej, nie ujawniając tego w rejestrze czynności przetwarzania danych. Ponadto Inspektor Ochrony Danych w tym banku nie podlegał bezpośrednio najwyższemu kierownictwu. Podobnej kwestii dotyczyła sprawa spółki medycznej, w której funkcję IOD pełnił prezes. Jest to rozwiązanie sprzeczne z RODO, ponieważ nie gwarantuje niezależnego i obiektywnego wykonywania obowiązków związanych z ochroną danych. Kolejny istotny wyrok, tym razem NSA, dotyczył sędziego, który zgubił trzy pendrive’y z dokumentacją zawierającą dane osobowe. Naruszenie wynikało z braku odpowiednich zabezpieczeń i za to Prezes UODO nałożył karę. WSA ją uchylił, uznając, że naruszenie nie było poważne i wystarczyłoby upomnienie. NSA podtrzymał jednak merytoryczne stanowisko Prezesa UODO.

Informacja dla obywateli

Od kilku miesięcy publikujemy na naszej stronie odpowiedzi na najczęściej zadawane pytania, z jakimi obywatele zwracają się do naszej infolinii. We wrześniu – co nie dziwi – wiele pytań dotyczyło danych osobowych w szkołach, w tym zasad działania monitoringu, ale pojawiały się też inne zagadnienia.

Infolinia UODO czynna jest w dni robocze w godzinach 10:00–14:00 pod numerem telefonu 606 950 000. Zapraszamy do kontaktu.

Mirosław Wróblewski

Prezes UODO