Od 26 marca 2025 r. obowiązuje rozporządzenie o Europejskiej Przestrzeni Danych dotyczących Zdrowia (EPDZ), które wprowadza nowe prawa pacjentów do ich danych, jednolite standardy wymiany dokumentacji medycznej na teranie UE oraz rozbudowaną infrastrukturę cyfrową. To kluczowy krok w budowie cyfrowej, transgranicznej współpracy w opiece zdrowotnej i badaniach, wspierający rozwój silnej Europejskiej Unii Zdrowotnej.

Prezes UODO zatwierdził Kodeks postępowania dotyczący przetwarzania danych osobowych przez prywatne agencje badawcze. Dokument doprecyzowuje zasady ochrony danych uczestników badań opinii, w tym pozyskiwanie zgody i profilowanie, a także wprowadza jednolite standardy dla całej branży.

Na listopadowym 49. posiedzeniu Komitetu Konwencji nr 108 Rady Europy eksperci omówili najnowsze działania dotyczące transgranicznych transferów danych, wytycznych dla dużych modeli językowych oraz neuronauki i neurotechnologii. Wydarzenie potwierdza rosnące znaczenie międzynarodowych standardów w ochronie danych osobowych.

Omyłkowe udostępnienie danych pacjentów niewłaściwej osobie to naruszenie ochrony danych osobowych, które wymaga zgłoszenia do organu nadzorczego. Niedopełnienie obowiązków RODO w tym zakresie skutkuje karami finansowymi, o czym przekonała się jedna z placówek medycznych.

Nowelizacja Prawa o ruchu drogowym wprowadza w pełni elektroniczny wniosek o rejestrację pojazdu i system automatycznej wymiany danych między urzędami w UE. Według resortu cyfryzacji to ważny krok w kierunku uproszczenia procedur i podniesienia poziomu bezpieczeństwa danych pojazdów i ich właścicieli.

Prezes UODO zwraca uwagę na ryzyka związane z zakresem danych gromadzonych w ramach ewidencji „Badanie kompetencji ruchowych uczniów”. Organ wskazuje na konieczność weryfikacji proporcjonalności, celowości i podstaw prawnych przetwarzania danych dzieci.

Prezes UODO nałożył na spółkę Gyncentrum karę finansową w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych pacjentki. Jednocześnie wystosował upomnienie za brak bezzwłocznego zawiadomienia osób, których dane dotyczyły. Sprawa stanowi ważne przypomnienie o obowiązkach administratorów w przypadku incydentów bezpieczeństwa danych, szczególnie w sektorze medycznym.

Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdził, że administrator danych osobowych musi zawiadomić osobę o naruszeniu, jeśli zachodzi wysokie ryzyko dla jej praw lub wolności. Decyzja dotyczy sprawy sopockiego ubezpieczyciela Ergo Hestia SA, który za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej otrzymał karę w wysokości 159 176 zł.

Prezes UODO Mirosław Wróblewski poinformował, że Prezesi Sądów Apelacyjnych pozytywnie ocenili propozycje dotyczące sposobów przekazywania informacji o postępowaniach związanych z roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych. Uzgodnione rozwiązania mają usprawnić komunikację między sądami a organem nadzorczym oraz zwiększyć przejrzystość działań w tym zakresie.

NSA potwierdził stanowisko Prezesa UODO: banki i Biuro Informacji Kredytowej nie mogą przetwarzać danych osób, które złożyły wniosek kredytowy, lecz nie zawarły umowy. Oznacza to, że dane tzw. niedoszłych klientów nie mogą być dalej wykorzystywane ani przechowywane przez instytucje finansowe po zakończeniu procesu oceny zdolności kredytowej.

Od 10 października 2025 r. weszły w życie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/900 dotyczące przejrzystości i targetowania reklamy politycznej w przestrzeni cyfrowej. Nowe regulacje uzupełniają RODO i wprowadzają istotne obowiązki dla administratorów danych oraz podmiotów zaangażowanych w publikowanie i finansowanie politycznych przekazów reklamowych online.

Od 12 października 2025 r. zacznie działać System Wjazdu/Wyjazdu (EES) – unijny rejestr danych podróżnych z państw trzecich. Zastąpi on stemplowanie paszportów i wprowadzi obowiązek rejestracji danych osobowych i biometrycznych w strefie Schengen. Sprawdzamy, jakie prawa mają osoby, których dane będą przetwarzane, oraz jakie obowiązki czekają administratorów danych.

Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Ministra Spraw Wewnętrznych i Administracji o pilną nowelizację ustawy z 14 grudnia 2018 r. dotyczącej przetwarzania danych w związku z zapobieganiem i zwalczaniem przestępczości. UODO wskazuje na niezgodność przepisów dotyczących inspektorów ochrony danych w służbach takich jak np. policja, straż miejska, straż graniczna z unijną dyrektywą 2016/680 oraz zagrożenie dla niezależności IOD.

UODO wraz z DPC oraz platformami internetowymi, w tym Meta, wdraża skuteczne narzędzia walki z fałszywymi reklamami „celeb bait” i deepfake. Poznaj zasady działania systemu, nowe mechanizmy ochrony oraz sposoby zgłaszania naruszeń na platformach społecznościowych.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 30 stycznia 2024 r. kwestionuje obecne zasady przechowywania danych osobowych w Krajowym Systemie Informacyjnym Policji. Prezes UODO wezwał Ministra Spraw Wewnętrznych i Administracji do wprowadzenia zmian w prawie, aby zapewnić zgodność przetwarzania danych w KSIP z dyrektywą 2016/680 oraz Kartą Praw Podstawowych.

Projekt centralnej elektronicznej rejestracji pacjentów został zmodyfikowany zgodnie z zaleceniami Prezesa UODO. Zmiany dotyczą m.in. zasad przetwarzania danych zdrowotnych i biometrycznych w związku z wykorzystaniem asystenta głosowego. Sprawdź, jakie uwagi pozostały aktualne i co oznacza to dla ochrony danych osobowych.

UODO nałożył ponad 11 tys. zł kary na spółkę medyczną, w której prezes zarządu pełnił funkcję inspektora ochrony danych osobowych. Decyzja podkreśla, że IOD musi działać niezależnie, a łączenie tej roli z kierowniczą funkcją w firmie jest sprzeczne z RODO.

Prezes UODO Mirosław Wróblewski zwrócił się do wicepremiera i ministra cyfryzacji o pilne prace nad przepisami chroniącymi obywateli przed zagrożeniami wynikającymi z technologii deepfake. Obecne regulacje nie zapewniają skutecznej ochrony danych osobowych, wizerunku i prywatności ofiar fałszywych treści tworzonych przez sztuczną inteligencję.

Zasady udostępniania dokumentacji medycznej wymagają zmian w krajowym prawie – wskazuje Prezes UODO. Obecne przepisy ograniczają możliwość udostępniania danych medycznych wyłącznie w formie zanonimizowanej, podczas gdy regulacje unijne przewidują także ich pseudonimizację w celach naukowych. Wdrożenie europejskich standardów ochrony danych zdrowotnych staje się koniecznością.

Od 12 września 2025 r. we wszystkich państwach członkowskich UE obowiązuje Akt w sprawie danych (Data Act), czyli rozporządzenie (UE) 2023/2854 dotyczące sprawiedliwego dostępu do danych i ich wykorzystania. Jego celem jest ułatwienie wymiany danych w obszarze B2B, B2C oraz w relacji między przedsiębiorstwami a administracją publiczną.