Podsumowanie miesiąca lipiec – sierpień 2025 r.

2025-08-01

Szanowni Państwo, lipiec i sierpień to naturalny czas wakacji, ale nie znaczy to, że Urząd Ochrony Danych Osobowych pracował w tych miesiącach na zwolnionych obrotach. Wręcz przeciwnie – z kilku powodów był to dla nas okres wyjątkowo intensywny.

Przede wszystkim od lipca Urząd Ochrony Danych Osobowych pracuje w nowej siedzibie – przy ul. Moniuszki 1A w Warszawie. Precyzyjnie zaplanowaliśmy i przeprowadziliśmy operację przeprowadzki tak, by jakość i tempo naszej pracy na tym nie ucierpiały.

Jeśli chodzi o sprawy merytoryczne, to w ostatnich dwóch miesiącach udało nam się przekonać do swoich argumentów sądy w następujących kwestiach:

•Naczelny Sąd Administracyjny potwierdził, że ewentualne przyszłe roszczenia byłego klienta banku nie uzasadniają przetwarzania jego danych osobowych;
•Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę firmy Panek SA na decyzję o nałożeniu na nią kary. W tej sprawie chodziło o naruszenie przepisów o ochronie danych osobowych w trakcie uruchamiania nowej witryny internetowej tej firmy;
•I również WSA w Warszawie potwierdził moją decyzję, która nakładała administracyjną karę pieniężną na spółkę Delta za brak informatycznej analizy ryzyka i niewdrożenie odpowiednich do tego ryzyka środków zabezpieczających;
•Do NSA złożyłem skargę kasacyjną w sprawie, w której prokuratura podczas konferencji prasowej ujawniła dane osoby pokrzywdzonej. We wrześniu 2024 r. nałożyłem na Prokuraturę Krajową karę pieniężną, jednak Wojewódzki Sąd Administracyjny w Warszawie uchylił ją, stąd skarga kasacyjna. Spór dotyczy tego, czy prokuratura miała podstawy prawne, by ujawnić dane osoby pokrzywdzonej napaścią i powód tej napaści, mimo że ofiara nie jest osobą publiczną i ma prawo do ochrony swej prywatności.

W lipcu i sierpniu starałem się wskazywać władzom publicznym na problemy prawne i organizacyjne, które pojawiają się w związku z rozwojem możliwości wykorzystywania danych osobowych:

•Do Pierwszego Prezesa Sądu Najwyższego wystąpiłem z prośbą o wyjaśnienie, dlaczego Sąd publikuje niekoniecznie skutecznie zanonimizowane pisma. Chodzi m.in. o protesty wyborcze, które Sąd publikował co prawda po usunięciu imienia i nazwiska obywatela, ale ujawniając jego odręczne pismo, przez które też można zidentyfikować osobę;

•W sprawie CEIDG skierowałem wystąpienie do Ministra Finansów. Model powszechnej jawności danych osobowych przedsiębiorców podlegających wpisowi do Centralnej Ewidencji i Informacji o Działalności Gospodarczej wymaga rewizji. Jest tam dużo łatwo dostępnych danych, w tym adres, pod którym prowadzona jest działalność, który często jest tożsamy z miejscem zamieszkania, co ingeruje w prywatność takich osób;

•Ministrowi Zdrowia zasugerowałem, że warto zachęcać podmioty medyczne do stosowania bardziej profesjonalnych metod ochrony danych. Jedną z nich jest przyjmowanie przez te podmioty kodeksów postępowania albo uzyskiwanie certyfikatów na wszystkie procedury w zakresie ochrony danych. A świadczeniodawcy, którzy stosują takie zasady, powinni uzyskiwać dodatkowe punkty przy kontraktowaniu usług z Narodowego Funduszu Zdrowia. To ważne, bo w ostatnim czasie zmuszony byłem wielokrotnie do nałożenia kar pieniężnych na placówki medyczne za niewdrożenie odpowiednich środków organizacyjnych i technicznych chroniących dane osobowe pacjentów i pracowników. Tymczasem kodeksy mogą wesprzeć podmioty medyczne, wskazując im, co jest poprawne, legalne i etyczne w działaniach związanych z przetwarzaniem danych.

•Z kolei Ministrowi Cyfryzacji przedstawiłem – po dyskusji z członkami Społecznego Zespołu Ekspertów oraz grupy ds. sztucznej inteligencji przy Prezesie UODO – uwagi do projektu „Polityki rozwoju sztucznej inteligencji w Polsce do 2030 roku”. Podkreśliłem m.in. to, że w dokumencie brakuje podejścia sektorowego dla poszczególnych obszarów funkcjonowania państwa. Projekt nie przewiduje też konieczności przejrzenia aktów prawnych już obowiązujących pod kątem przetwarzania danych. A niewątpliwie należałoby to zrobić;

•Ministrowi Cyfryzacji doradziłem też, że warto zmienić przepisy ustawy o ewidencji ludności w celu umożliwienia rodzicom i opiekunom prawnym zastrzegania numeru PESEL osoby małoletniej. Cieszę się na wstępną pozytywną reakcję Ministra Cyfryzacji – już wkrótce podejmiemy z ministerstwem roboczą współpracę, by wypracować konkretne rozwiązania w tym zakresie;

•Także do Ministra Cyfryzacji skierowałem pismo z wnioskiem dotyczącym wyroku TSUE w sprawie C-470/21. Moim zdaniem powinien on doprowadzić do zmiany polskich przepisów co do przetwarzania danych osobowych chronionych tajemnicą komunikacji elektronicznej. Zmiany powinny objąć zasady dostępu organów ścigania do danych objętych tajemnicą komunikacji elektronicznej uregulowane w Prawie komunikacji elektronicznej;

•Do Ministra Sprawiedliwości zwróciłem się z prośbą o zmianę przepisów o niepodjętych depozytach w aresztach śledczych i zakładach karnych. Ponieważ brakuje szczegółowych przepisów, zakłady penitencjarne posługują się przepisami ogólnymi i ogłaszają w Biuletynie Informacji Publicznej listę osób, które nie podjęły depozytów. Co oczywiście ujawnia fakt pozbawienia wolności w przypadku tych osób;

•Ministrę Edukacji poprosiłem o wyniki analiz dotyczących stosowania monitoringu wizyjnego w placówkach oświatowych prowadzonego na podstawie przepisów Prawa oświatowego. Dzięki temu chciałbym się upewnić, czy analiza ta uwzględnia także aspekty związane z przetwarzaniem i ochroną danych osobowych;

•Wniosłem również o zmianę przepisów o ochronie środowiska, tak aby wyeliminować wątpliwości dotyczące zakresu przetwarzanych danych osobowych przy pracach nad programami ochrony powietrza;

•Do Ministra Spraw Wewnętrznych i Administracji napisałem w sprawie ważnego wyroku TSUE w sprawie kontroli policyjnej. Trybunał ocenił niemieckie przepisy, ale zastosowanie uwag TSUE w polskich przepisach pozwoli lepiej chronić prawa polskich obywateli. Chodzi o sytuację, kiedy policja przejmuje komuś telefon i próbuje go sprawdzić. To, kiedy jest to dopuszczalne, powinno być precyzyjnie zdefiniowane;

•Ponownie wystąpiłem też do szefowej Służby Cywilnej ponawiając wniosek o zmianę rozporządzenia Prezesa Rady Ministrów o stanowiskach w służbie cywilnej, które nie określają jako osobnego stanowiska Inspektora Ochrony Danych. Uzupełnienie wykazu stanowisk urzędniczych o stanowisko IOD jest potrzebne, aby inspektorzy mogli dobrze i skutecznie wykonywać swoje zadania;

•Z Ministerstwa Sprawiedliwości otrzymałem informację, że niebawem ruszą rządowe prace nad zmianą ustawy o księgach wieczystych. Ministerialna wersja projektu już jest. Chodzi o lepszą ochronę danych osobowych obywateli przy dostępie do ksiąg, co od początku mojej kadencji postuluję.

W czasie wakacji byłem zmuszony nałożyć kilka kar finansowych. Do takiego środka uciekam się rzadko, w sytuacjach, gdy nie ma już innego wyjścia:

•Nałożyłem karę pieniężną w wysokości 18 tysięcy złotych na przedsiębiorcę prowadzącego działalność gastronomiczną, który nie odpowiedział na wezwania Prezesa UODO i nie udzielił informacji na temat okoliczności sprawy, w której być może naruszył przepisy o ochronie danych osobowych;

•Karę w łącznej wysokości blisko 17 milionów złotych nałożyłem też na McDonald’s Polska. Spółka powierzyła przetwarzanie danych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych – to wszystko doprowadziło do ujawnienia danych w publicznie dostępnym katalogu;

•Karę w wysokości 32 tysięcy złotych nałożyłem na przychodnię, która nie uwzględniła wszystkich ryzyk dla danych pacjentów, kiedy lekarz zabiera dokumentację na wizyty domowe. Doszło do kradzieży samochodu lekarza i dane dotyczące zdrowia trafiły w niewiadome ręce. Nasze postępowanie wykazało, że takiego zagrożenia nie brano pod uwagę, więc nie próbowano się przed nim zabezpieczyć. A można np. używać teczek na dokumentację z szyfrowanym zamkiem;

•Na ING Bank Śląski nałożyłem karę w wysokości ponad 18 milionów złotych za to, że nadmiernie skanował dowody osobiste klientów i potencjalnych klientów nawet wtedy, gdy ci składali np. reklamacje. Tymczasem przetwarzanie danych osobowych pozyskiwanych poprzez kopiowanie (skanowanie) dokumentów tożsamości przez bank musi być poprzedzone analizą celowości, tj. zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna;

•Udzieliłem też upomnienia komitetom wyborczym: Rafała Trzaskowskiego oraz Karola Nawrockiego, za ujawnienie danych i miejsca pobytu osoby, której mieszkanie kupił Karol Nawrocki. Zbadałem obie sprawy w toku dwóch oddzielnych postępowań administracyjnych i wydałem dwie decyzje administracyjne.

W środku wakacji, na przełomie lipca i sierpnia, byliśmy – podobnie zresztą jak rok temu – na festiwalu Pol’and’Rock. To dobre miejsce do tego, aby przede wszystkim młodym ludziom przekazywać wiedzę o tym, jak chronić dane w świecie cyfrowym. W strefie UODO przez cztery dni eksperci Urzędu odbyli setki spotkań i rozmów z uczestnikami festiwalu. Poza tym Urząd zorganizował na festiwalu liczne spotkania, prelekcje, wykłady i debaty, m.in. przy współpracy ekspertów Społecznego Zespołu przy Prezesie UODO. Im oraz pracownikom Urzędu Ochrony Danych Osobowych bardzo za to dziękuję. Dziękuję wszystkim za odwiedzenie namiotu UODO. Do zobaczenia, mam nadzieję, w Czaplinku także za rok.

Mirosław Wróblewski

Prezes UODO

Pobierz PDF

Zobacz również

Podsumowanie miesiąca – grudzień 2024-styczeń 2025

Podsumowanie miesiąca – kwiecień 2024 r.

Podsumowanie miesiąca lipiec – sierpień 2024 r.