Omyłkowe udostępnienie danych pacjentów niewłaściwej osobie to naruszenie ochrony danych osobowych, które wymaga zgłoszenia do organu nadzorczego. Niedopełnienie obowiązków RODO w tym zakresie skutkuje karami finansowymi, o czym przekonała się jedna z placówek medycznych.

Nowelizacja Prawa o ruchu drogowym wprowadza w pełni elektroniczny wniosek o rejestrację pojazdu i system automatycznej wymiany danych między urzędami w UE. Według resortu cyfryzacji to ważny krok w kierunku uproszczenia procedur i podniesienia poziomu bezpieczeństwa danych pojazdów i ich właścicieli.

Prezes UODO zwraca uwagę na ryzyka związane z zakresem danych gromadzonych w ramach ewidencji „Badanie kompetencji ruchowych uczniów”. Organ wskazuje na konieczność weryfikacji proporcjonalności, celowości i podstaw prawnych przetwarzania danych dzieci.

Prezes UODO nałożył na spółkę Gyncentrum karę finansową w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych pacjentki. Jednocześnie wystosował upomnienie za brak bezzwłocznego zawiadomienia osób, których dane dotyczyły. Sprawa stanowi ważne przypomnienie o obowiązkach administratorów w przypadku incydentów bezpieczeństwa danych, szczególnie w sektorze medycznym.

Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdził, że administrator danych osobowych musi zawiadomić osobę o naruszeniu, jeśli zachodzi wysokie ryzyko dla jej praw lub wolności. Decyzja dotyczy sprawy sopockiego ubezpieczyciela Ergo Hestia SA, który za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej otrzymał karę w wysokości 159 176 zł.

Prezes UODO Mirosław Wróblewski poinformował, że Prezesi Sądów Apelacyjnych pozytywnie ocenili propozycje dotyczące sposobów przekazywania informacji o postępowaniach związanych z roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych. Uzgodnione rozwiązania mają usprawnić komunikację między sądami a organem nadzorczym oraz zwiększyć przejrzystość działań w tym zakresie.

NSA potwierdził stanowisko Prezesa UODO: banki i Biuro Informacji Kredytowej nie mogą przetwarzać danych osób, które złożyły wniosek kredytowy, lecz nie zawarły umowy. Oznacza to, że dane tzw. niedoszłych klientów nie mogą być dalej wykorzystywane ani przechowywane przez instytucje finansowe po zakończeniu procesu oceny zdolności kredytowej.

Od 10 października 2025 r. weszły w życie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/900 dotyczące przejrzystości i targetowania reklamy politycznej w przestrzeni cyfrowej. Nowe regulacje uzupełniają RODO i wprowadzają istotne obowiązki dla administratorów danych oraz podmiotów zaangażowanych w publikowanie i finansowanie politycznych przekazów reklamowych online.

Od 12 października 2025 r. zacznie działać System Wjazdu/Wyjazdu (EES) – unijny rejestr danych podróżnych z państw trzecich. Zastąpi on stemplowanie paszportów i wprowadzi obowiązek rejestracji danych osobowych i biometrycznych w strefie Schengen. Sprawdzamy, jakie prawa mają osoby, których dane będą przetwarzane, oraz jakie obowiązki czekają administratorów danych.

Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Ministra Spraw Wewnętrznych i Administracji o pilną nowelizację ustawy z 14 grudnia 2018 r. dotyczącej przetwarzania danych w związku z zapobieganiem i zwalczaniem przestępczości. UODO wskazuje na niezgodność przepisów dotyczących inspektorów ochrony danych w służbach takich jak np. policja, straż miejska, straż graniczna z unijną dyrektywą 2016/680 oraz zagrożenie dla niezależności IOD.

UODO wraz z DPC oraz platformami internetowymi, w tym Meta, wdraża skuteczne narzędzia walki z fałszywymi reklamami „celeb bait” i deepfake. Poznaj zasady działania systemu, nowe mechanizmy ochrony oraz sposoby zgłaszania naruszeń na platformach społecznościowych.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 30 stycznia 2024 r. kwestionuje obecne zasady przechowywania danych osobowych w Krajowym Systemie Informacyjnym Policji. Prezes UODO wezwał Ministra Spraw Wewnętrznych i Administracji do wprowadzenia zmian w prawie, aby zapewnić zgodność przetwarzania danych w KSIP z dyrektywą 2016/680 oraz Kartą Praw Podstawowych.

Projekt centralnej elektronicznej rejestracji pacjentów został zmodyfikowany zgodnie z zaleceniami Prezesa UODO. Zmiany dotyczą m.in. zasad przetwarzania danych zdrowotnych i biometrycznych w związku z wykorzystaniem asystenta głosowego. Sprawdź, jakie uwagi pozostały aktualne i co oznacza to dla ochrony danych osobowych.

UODO nałożył ponad 11 tys. zł kary na spółkę medyczną, w której prezes zarządu pełnił funkcję inspektora ochrony danych osobowych. Decyzja podkreśla, że IOD musi działać niezależnie, a łączenie tej roli z kierowniczą funkcją w firmie jest sprzeczne z RODO.

Prezes UODO Mirosław Wróblewski zwrócił się do wicepremiera i ministra cyfryzacji o pilne prace nad przepisami chroniącymi obywateli przed zagrożeniami wynikającymi z technologii deepfake. Obecne regulacje nie zapewniają skutecznej ochrony danych osobowych, wizerunku i prywatności ofiar fałszywych treści tworzonych przez sztuczną inteligencję.

Zasady udostępniania dokumentacji medycznej wymagają zmian w krajowym prawie – wskazuje Prezes UODO. Obecne przepisy ograniczają możliwość udostępniania danych medycznych wyłącznie w formie zanonimizowanej, podczas gdy regulacje unijne przewidują także ich pseudonimizację w celach naukowych. Wdrożenie europejskich standardów ochrony danych zdrowotnych staje się koniecznością.

Od 12 września 2025 r. we wszystkich państwach członkowskich UE obowiązuje Akt w sprawie danych (Data Act), czyli rozporządzenie (UE) 2023/2854 dotyczące sprawiedliwego dostępu do danych i ich wykorzystania. Jego celem jest ułatwienie wymiany danych w obszarze B2B, B2C oraz w relacji między przedsiębiorstwami a administracją publiczną.

Naczelny Sąd Administracyjny oddalił skargę kasacyjną w sprawie kary nałożonej przez Prezesa UODO za naruszenie RODO polegające na zagubieniu nośników danych zawierających informacje osobowe. Sąd potwierdził, że nałożona sankcja w wysokości 30 tys. zł była skuteczna, proporcjonalna i odstraszająca.

Prezes UODO wskazuje, że obecne przepisy Prawa komunikacji elektronicznej nie spełniają standardów unijnych dotyczących ochrony prywatności i danych osobowych. Wyrok TSUE z 30 kwietnia 2024 r. w sprawie C-470/21 La Quadrature du Net potwierdza konieczność wprowadzenia zmian, które zapewnią odpowiednią kontrolę nad dostępem organów ścigania do danych objętych tajemnicą komunikacji elektronicznej.

Prezes UODO wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego w sprawie ujawnienia danych osobowych osoby pokrzywdzonej podczas konferencji prasowej Prokuratury Krajowej. UODO podkreśla, że naruszenie dotyczyło szczególnych kategorii danych chronionych na mocy RODO.