Naczelny Sąd Administracyjny wyrokiem z 5 listopada 2025 r. oddalił skargę kasacyjną na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zaskarżona decyzja nakładała karę finansową na właścicielkę kliniki stomatologicznej za niewykonanie nakazu orzeczonego prawomocną decyzją. Sprawa ma pokazać wszystkim administratorom danych osobowych, jak prawidłowo komunikować się w przypadku naruszenia ochrony danych osobowych, aby nie popełnić błędów, które wpłynęły na wysokość kary finansowej.

Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.

Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dobiegł końca. Dlatego też warto zebrać w jednym miejscu, w formie listy sprawdzającej, obowiązki kierowników niektórych podmiotów, np. członka zarządu, wspólnika, dyrektora SP ZOZ, na których nowelizacja nałożyła szereg nowych obowiązków.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa implementująca dyrektywę NIS 2 wprowadza istotne zmiany w zarządzaniu incydentami cyberbezpieczeństwa, porządkując odpowiedzialność podmiotów kluczowych i ważnych, operatorów usług kluczowych oraz wzmacniając rolę zespołów CSIRT. Reagowanie na incydenty cyberbezpieczeństwa staje się integralnym elementem formalnego systemu bezpieczeństwa państwa, z jasno zdefiniowanymi kompetencjami, obowiązkami raportowania i kanałami współpracy zgodnymi z wymogami NIS 2.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, ma wzmacniać odporność cyfrową państwa poprzez doprecyzowanie obowiązków podmiotów kluczowych i ważnych, w tym wymagań dotyczących sprzętu oraz infrastruktury teleinformatycznej. Zmiany będą miały istotne znaczenie dla wielu przedsiębiorstw w Polsce.

Krajowy System e-Faktur (KSeF) to centralna, elektroniczna platforma, która stopniowo wchodzi w praktyczne użytkowanie przez podatników i ich pełnomocników. System ma przede wszystkim usprawniać wystawianie, przesyłanie i archiwizowanie faktur VAT, jednak jednocześnie powoduje konieczność zachowania szczególnej uwagi w obszarze ochrony danych. Oznacza to, że każda organizacja korzystająca z KSeF musi nie tylko przestrzegać przepisów podatkowych, ale również zasad ochrony danych osobowych. W tym artykule znajdziesz informacje o tym, w jaki sposób IOD powinien nadzorować role użytkowników, bezpieczeństwo i reagowanie na incydenty.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, przekazana Prezydentowi RP do podpisu pod koniec stycznia 2026 r., stanowi kluczowy etap dostosowywania polskiego porządku prawnego do wymogów dyrektywy NIS 2 (dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555). Choć w debacie publicznej najwięcej uwagi poświęca się obowiązkom w zakresie zarządzania ryzykiem, raportowania incydentów czy sankcjom, fundamentalną kwestią pozostaje katalog podmiotów objętych systemem, czyli po prostu ustalenie, kto podlega wskazanym obowiązkom.

Z perspektywy inspektora ochrony danych przetwarzanie danych osobowych w ramach KSeF należy traktować jako obligatoryjny proces przetwarzania danych osobowych, silnie osadzony w przepisach prawa podatkowego. Obowiązki informacyjne pozostają aktualne, choć ich zakres powinien uwzględniać specyfikę przetwarzania ustawowego. DPIA nie jest co do zasady wymagane, ale w określonych konfiguracjach organizacyjnych może stanowić rozsądne narzędzie zarządzania ryzykiem.

Sztuczna inteligencja (AI) pozwala osiągać zdumiewająco dobre wyniki przy rekrutacji nowych pracowników. Rozwiązanie to potrafi w szybkim czasie przejrzeć tysiące zgłoszonych aplikacji i wybrać najbardziej obiecujących kandydatów według podanych przez rekrutującego parametrów. Jednak zastosowanie takiego procesu powinno przebiegać zgodnie z prawem, gdyż bezrefleksyjna akceptacja systemu AI może naruszać obowiązujące przepisy.