Co zmieniło RODO i dlaczego dziś ta rozmowa jest trudniejsza niż w 2018 r.?28 stycznia obchodzimy Europejski Dzień Ochrony Danych Osobowych – datę nieprzypadkową. To rocznica otwarcia do podpisu Konwencji nr 108 Rady Europy (pierwszego wiążącego instrumentu międzynarodowego poświęconego ochronie danych). W 2026 r. to święto ma inny ciężar gatunkowy niż kilka lat temu: nie chodzi już o to „czy RODO dotyczy mojej organizacji?”, tylko o to, czy potrafimy zarządzać danymi w świecie, w którym przetwarzanie jest stałe, wielokanałowe i coraz częściej zautomatyzowane? RODO: jeden akt, ale kilka epok wdrożeniowych RODO zaczęło być stosowane w krajach członkowskich  25 maja 2018 […]

Europejska Rada Ochrony Danych (European Data Protection Board – EDPB) stanowi kluczowy element systemu ochrony danych osobowych w Unii Europejskiej. Jej zadaniem jest zapewnianie jednolitej interpretacji i stosowania rozporządzenia ogólnego o ochronie danych osobowych (RODO) we wszystkich państwach członkowskich oraz podejmowanie wiążących decyzji w ramach tzw. mechanizmu spójności. Europejski Inspektor Ochrony Danych (European Data Protection Supervisor – EDPS) to niezależny organ nadzoru Unii Europejskiej, którego głównym zadaniem jest zagwarantowanie, że instytucje i organy europejskie respektują prawo do prywatności i ochrony danych osobowych. 20 stycznia 2026 r. Europejska Rada Ochrony Danych oraz Europejski Inspektor Ochrony Danych przyjęli wspólne stanowisko dotyczące propozycji […]

8 stycznia 2026 r. Urząd Ochrony Danych Osobowych opublikował plan kontroli sektorowych na rok 2026. UODO zapowiada kontrole m.in. w obszarach, w których w ostatnim roku odnotowywano incydenty, a także tam, gdzie do Urzędu napływały skargi i zgłoszenia naruszeń. Zakres kontroli sektorowych UODO na 2026 r. Zgodnie z komunikatem UODO, plan kontroli sektorowych na 2026 r. obejmuje: 1. Organy przetwarzające dane osobowe w Wielkoskalowych Systemach UE, w tym SIS/VIS – kontynuacja kontroli z 2025 r. 2. Podmioty lecznicze – przetwarzanie danych osobowych przy wykorzystaniu monitoringu wizyjnego, w szczególności danych dzieci (m.in. oddziały dziecięce, przychodnie/poradnie dla dzieci). 3. Podmioty prowadzące BIP – sposób […]

Wchodząc w 2026 r., warto mieć z tyłu głowy jedną rzecz: RODO nie „kończy się” ani nie zostaje automatycznie poluzowane z Nowym Rokiem. To, co dziś bywa nazywane „deregulacją”, jest w praktyce zbiorem projektów zmian na poziomie UE, które dopiero przechodzą normalną ścieżkę legislacyjną. Oznacza to, że w 2026 r. najpewniej zobaczymy przede wszystkim negocjacje, poprawki i doprecyzowania, a nie jednorazową rewolucję. Najbardziej konkretna i „przyziemna” propozycja dotyczy obszaru, który wiele organizacji odczuwa jako uciążliwy w codziennym compliance, czyli obowiązków dokumentacyjnych. Komisja Europejska w ramach tzw. czwartego pakietu uproszczeń (Omnibus IV) zaproponowała zmianę art. 30 ust. 5 RODO, czyli przepisu […]

8 grudnia 2025 r. Urząd Ochrony Danych Osobowych opublikował komunikat o sprawie, w której prywatny monitoring wizyjny (wraz z nagrywaniem dźwięku) obejmował nie tylko teren właściciela, ale też drogę publiczną i sąsiednie posesje. Prezes UODO – w decyzji DS.523.6546.2024 – nakazał zaprzestanie takiego przetwarzania danych w terminie 7 dni od doręczenia decyzji. To rozstrzygnięcie jest dobrym pretekstem, by uporządkować dwa często mylone pojęcia: „monitoring domowy” jako element ochrony nieruchomości oraz tzw. wyjątek domowy w RODO, który bywa błędnie traktowany jak „przepustka” na nagrywanie wszystkiego, co w zasięgu obiektywu. Co wydarzyło się w tej sprawie i co nakazał PUODO? Z decyzji […]

Dyrektywa NIS 2 (UE) 2022/2555 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.) wprowadza na poziomie unijnym nowy, znacznie szerszy niż dotychczas, model regulacji cyberbezpieczeństwa. Celem jest osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informacyjnych w państwach członkowskich. Polska realizuje ten obowiązek poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, nad którą prace sejmowe są w toku (projekt trafił do Sejmu 7 listopada 2025). Projekt ustawy przewiduje daleko idące […]

W realiach, gdzie komunikacja biznesowa niemal w całości przeniosła się do przestrzeni cyfrowej, e-mail stał się podstawowym narzędziem nawiązywania relacji handlowych. Prosta wiadomość potrafi otworzyć nowe możliwości współpracy, rozpocząć relację z klientem lub doprowadzić do podpisania umowy. Jednak to, co z perspektywy marketingu wygląda jak szybki sposób na pozyskanie klientów, z punktu widzenia prawa wiąże się z konkretnymi ograniczeniami. Gdy weźmiemy pod uwagę obowiązujące regulacje, okazuje się, że kontakt handlowy może prowadzić do poważnych konsekwencji. W artykule omawiamy kluczowe ramy prawne, które wyznaczają granice dopuszczalności działań w środowisku cyfrowym. Gdzie kończy się marketing, a zaczyna naruszenie Od listopada 2024 roku […]

Obowiązek informowania osób o naruszeniu danych ma jeden zasadniczy cel — dać im realną szansę zareagować, zanim pojawią się szkody. Nie chodzi o formalność, lecz o uczciwe uprzedzenie, że coś poszło nie tak i co można z tym zrobić. Najnowsze orzeczenia w sprawie „pomyłkowego e-maila” pokazują, jak tę zasadę stosować w praktyce, gdy w grę wchodzi choćby numer PESEL. O co poszło w tej sprawie Sprawa zaczęła się od wysłania niezaszyfrowanego załącznika z danymi osobowymi do niewłaściwego adresata. Prezes UODO uznał, że administrator powinien zgłosić naruszenie do organu oraz zawiadomić osobę, której dane dotyczą, i nałożył karę pieniężną. WSA uchylił […]

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 4 września 2025 r. w sprawie C-413/23 dokonał istotnych rozstrzygnięć dotyczących charakteru danych pseudonimizowanych oraz obowiązków związanych z ich udostępnianiem. Sprawa dotyczyła praktyki Jednolitej Rady ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), która przekazywała spseudonimizowane dane w ramach procedury odszkodowawczej dla akcjonariuszy i wierzycieli. Europejski Inspektor Ochrony Danych zakwestionował zgodność takiego działania z przepisami o ochronie danych osobowych, uznając, że przekazane informacje zachowały charakter danych osobowych. Pseudonimizacja to nie anonimizacja Trybunał potwierdził, że pseudonimizacja nie jest równoznaczna z anonimizacją. Usunięcie lub zastąpienie bezpośrednich identyfikatorów nie powoduje automatycznie utraty charakteru danych osobowych, jeżeli istnieje […]

W dynamicznie rozwijającej się gospodarce cyfrowej rola danych nieustannie rośnie — stają się one kluczowym zasobem zarówno dla przedsiębiorstw, jak i instytucji publicznych czy środowiska naukowego. Po omówieniu założeń Data Act przez mec. Aleksandrę Ziętek, dziś skupiamy się na Data Governance Act (DGA) – Rozporządzeniu (UE) 2022/868 w sprawie zarządzania danymi, które od 24 września 2023 r. jest bezpośrednio stosowane w państwach członkowskich UE. DGA wprowadza ramy prawne budujące zaufanie i umożliwiające bezpieczne oraz skuteczne udostępnianie i ponowne wykorzystanie danych. Razem z Data Act tworzy spójny system regulacyjny sprzyjający innowacjom, chroniący interesy jednostek i ułatwiający dostęp do danych. W dalszej […]