Wchodząc w 2026 r., warto mieć z tyłu głowy jedną rzecz: RODO nie „kończy się” ani nie zostaje automatycznie poluzowane z Nowym Rokiem. To, co dziś bywa nazywane „deregulacją”, jest w praktyce zbiorem projektów zmian na poziomie UE, które dopiero przechodzą normalną ścieżkę legislacyjną. Oznacza to, że w 2026 r. najpewniej zobaczymy przede wszystkim negocjacje, poprawki i doprecyzowania, a nie jednorazową rewolucję. Najbardziej konkretna i „przyziemna” propozycja dotyczy obszaru, który wiele organizacji odczuwa jako uciążliwy w codziennym compliance, czyli obowiązków dokumentacyjnych. Komisja Europejska w ramach tzw. czwartego pakietu uproszczeń (Omnibus IV) zaproponowała zmianę art. 30 ust. 5 RODO, czyli przepisu […]

8 grudnia 2025 r. Urząd Ochrony Danych Osobowych opublikował komunikat o sprawie, w której prywatny monitoring wizyjny (wraz z nagrywaniem dźwięku) obejmował nie tylko teren właściciela, ale też drogę publiczną i sąsiednie posesje. Prezes UODO – w decyzji DS.523.6546.2024 – nakazał zaprzestanie takiego przetwarzania danych w terminie 7 dni od doręczenia decyzji. To rozstrzygnięcie jest dobrym pretekstem, by uporządkować dwa często mylone pojęcia: „monitoring domowy” jako element ochrony nieruchomości oraz tzw. wyjątek domowy w RODO, który bywa błędnie traktowany jak „przepustka” na nagrywanie wszystkiego, co w zasięgu obiektywu. Co wydarzyło się w tej sprawie i co nakazał PUODO? Z decyzji […]

Dyrektywa NIS 2 (UE) 2022/2555 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.) wprowadza na poziomie unijnym nowy, znacznie szerszy niż dotychczas, model regulacji cyberbezpieczeństwa. Celem jest osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informacyjnych w państwach członkowskich. Polska realizuje ten obowiązek poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, nad którą prace sejmowe są w toku (projekt trafił do Sejmu 7 listopada 2025). Projekt ustawy przewiduje daleko idące […]

Obowiązek informowania osób o naruszeniu danych ma jeden zasadniczy cel — dać im realną szansę zareagować, zanim pojawią się szkody. Nie chodzi o formalność, lecz o uczciwe uprzedzenie, że coś poszło nie tak i co można z tym zrobić. Najnowsze orzeczenia w sprawie „pomyłkowego e-maila” pokazują, jak tę zasadę stosować w praktyce, gdy w grę wchodzi choćby numer PESEL. O co poszło w tej sprawie Sprawa zaczęła się od wysłania niezaszyfrowanego załącznika z danymi osobowymi do niewłaściwego adresata. Prezes UODO uznał, że administrator powinien zgłosić naruszenie do organu oraz zawiadomić osobę, której dane dotyczą, i nałożył karę pieniężną. WSA uchylił […]

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 4 września 2025 r. w sprawie C-413/23 dokonał istotnych rozstrzygnięć dotyczących charakteru danych pseudonimizowanych oraz obowiązków związanych z ich udostępnianiem. Sprawa dotyczyła praktyki Jednolitej Rady ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), która przekazywała spseudonimizowane dane w ramach procedury odszkodowawczej dla akcjonariuszy i wierzycieli. Europejski Inspektor Ochrony Danych zakwestionował zgodność takiego działania z przepisami o ochronie danych osobowych, uznając, że przekazane informacje zachowały charakter danych osobowych. Pseudonimizacja to nie anonimizacja Trybunał potwierdził, że pseudonimizacja nie jest równoznaczna z anonimizacją. Usunięcie lub zastąpienie bezpośrednich identyfikatorów nie powoduje automatycznie utraty charakteru danych osobowych, jeżeli istnieje […]

Unijny Data Act (akt w sprawie danych, rozporządzenie UE 2023/2854 z 13 grudnia 2023 r.) wszedł w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać od 12 września 2025 r. Jego celem jest stworzenie ram dla wymiany danych w ramach gospodarki cyfrowej — pomiędzy przedsiębiorstwami, konsumentami oraz administracją publiczną. Konieczna jest zharmonizowanie przepisów krajowych. Co to jest Data Act ? Data Act, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854, to kluczowy element unijnej strategii cyfrowej. Jego celem jest zapewnienie sprawiedliwego dostępu do danych i ułatwienie ich wykorzystywania zarówno przez konsumentów, przedsiębiorstwa, jak i administrację publiczną. Akt wprowadza […]

Przetwarzanie danych osobowych w kontekście obrony przed roszczeniami to temat, który budzi kontrowersje i wywołuje różne interpretacje – zarówno w orzecznictwie, jak i w praktyce stosowania RODO. Z jednej strony mamy przepisy pozwalające na przetwarzanie danych w oparciu o uzasadniony interes administratora, z drugiej – silny nacisk na zasadę minimalizacji i ograniczenia celu. UODO i stanowisko restrykcyjne wobec banków Urząd Ochrony Danych Osobowych (UODO) w kilku decyzjach zakwestionował długoterminowe przechowywanie danych klientów przez banki po wygaśnięciu relacji umownej. W ocenie organu, samo potencjalne ryzyko wystąpienia roszczeń nie wystarcza, by uzasadnić dalsze przetwarzanie danych. Naczelny Sąd Administracyjny w wyroku z dnia […]

Ustawa z 12 lipca 2024 r. Prawo komunikacji elektronicznej (pke) została opracowana w odpowiedzi na wymagania określone w Europejskim Kodeksie Łączności Elektronicznej (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r.). Akt ten stanowi fundament prawny regulujący zasady przetwarzania danych osobowych w sektorze usług komunikacyjnych. Artykuły 386–405 pke tworzą szczegółowe ramy prawne, które uzupełniają ogólne przepisy RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.), uwzględniając specyfikę telekomunikacji. Regulacje PKE zastąpiła dotychczasowe z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) oraz przepisów Prawa telekomunikacyjnego, które obowiązywały w tym zakresie do 10 listopada […]

Urząd Ochrony Danych Osobowych poinformował o wszczęciu z urzędu postępowania administracyjnego wobec posła Przemysława Czarnka. Powodem jest podejrzenie naruszenia przepisów RODO w związku z ujawnieniem danych osobowych podczas konferencji prasowej. To kolejny przypadek, w którym osoba pełniąca funkcję publiczną staje się przedmiotem postępowania o naruszenie prawa do prywatności. Na naszym blogu pisaliśmy już o analogicznej sytuacji z udziałem byłego ministra zdrowia, który ujawnił dane pacjenta podczas publicznego wystąpienia – co zakończyło się nałożeniem administracyjnej kary pieniężnej (link). Najnowsza sprawa pokazuje, że problem nieprzestrzegania zasad ochrony danych osobowych przez osoby publiczne wciąż pozostaje aktualny. Ujawnienie danych na konferencji – co wiadomo? […]

W dobie cyfrowych zagrożeń tradycyjne metody ochrony kont, oparte wyłącznie na haśle, stają się niewystarczające. W odpowiedzi na nowe ryzyka CNIL – francuska Krajowa Komisja Informatyki i Wolności – opublikowała w marcu 2025 roku nowe zalecenia dotyczące uwierzytelniania wieloskładnikowego (MFA- Multi-Factor Authentication). Dokument ten stanowi kompleksowy przewodnik dla firm, instytucji publicznych oraz dostawców usług, jak poprawnie i zgodnie z RODO wdrażać MFA. Czym jest uwierzytelnianie wieloskładnikowe? MFA polega na weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych czynników spośród trzech kategorii: Czynnik wiedzy (coś, co użytkownik wie) – np. hasło lub PIN, Czynnik posiadania (coś, co użytkownik posiada) – […]