Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS 2, została podpisana przez Prezydenta – ale jednocześnie skierowana do Trybunału Konstytucyjnego w trybie kontroli następczej. To ważny komunikat dla biznesu: to nie jest już „projekt, który kiedyś wejdzie”, tylko akt, którego wejście w życie – co do zasady – jest kwestią publikacji w Dzienniku Ustaw i upływu vacatio legis. Z perspektywy terminów najważniejsze jest jedno zdanie: ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia. Dopóki nie ma ogłoszenia – „zegary” ustawowe jeszcze nie startują. Ale przygotowania warto zacząć wcześniej, bo w wielu organizacjach sama kwalifikacja („czy […]

Co zmieniło RODO i dlaczego dziś ta rozmowa jest trudniejsza niż w 2018 r.?28 stycznia obchodzimy Europejski Dzień Ochrony Danych Osobowych – datę nieprzypadkową. To rocznica otwarcia do podpisu Konwencji nr 108 Rady Europy (pierwszego wiążącego instrumentu międzynarodowego poświęconego ochronie danych). W 2026 r. to święto ma inny ciężar gatunkowy niż kilka lat temu: nie chodzi już o to „czy RODO dotyczy mojej organizacji?”, tylko o to, czy potrafimy zarządzać danymi w świecie, w którym przetwarzanie jest stałe, wielokanałowe i coraz częściej zautomatyzowane? RODO: jeden akt, ale kilka epok wdrożeniowych RODO zaczęło być stosowane w krajach członkowskich  25 maja 2018 […]

Wchodząc w 2026 r., warto mieć z tyłu głowy jedną rzecz: RODO nie „kończy się” ani nie zostaje automatycznie poluzowane z Nowym Rokiem. To, co dziś bywa nazywane „deregulacją”, jest w praktyce zbiorem projektów zmian na poziomie UE, które dopiero przechodzą normalną ścieżkę legislacyjną. Oznacza to, że w 2026 r. najpewniej zobaczymy przede wszystkim negocjacje, poprawki i doprecyzowania, a nie jednorazową rewolucję. Najbardziej konkretna i „przyziemna” propozycja dotyczy obszaru, który wiele organizacji odczuwa jako uciążliwy w codziennym compliance, czyli obowiązków dokumentacyjnych. Komisja Europejska w ramach tzw. czwartego pakietu uproszczeń (Omnibus IV) zaproponowała zmianę art. 30 ust. 5 RODO, czyli przepisu […]

8 grudnia 2025 r. Urząd Ochrony Danych Osobowych opublikował komunikat o sprawie, w której prywatny monitoring wizyjny (wraz z nagrywaniem dźwięku) obejmował nie tylko teren właściciela, ale też drogę publiczną i sąsiednie posesje. Prezes UODO – w decyzji DS.523.6546.2024 – nakazał zaprzestanie takiego przetwarzania danych w terminie 7 dni od doręczenia decyzji. To rozstrzygnięcie jest dobrym pretekstem, by uporządkować dwa często mylone pojęcia: „monitoring domowy” jako element ochrony nieruchomości oraz tzw. wyjątek domowy w RODO, który bywa błędnie traktowany jak „przepustka” na nagrywanie wszystkiego, co w zasięgu obiektywu. Co wydarzyło się w tej sprawie i co nakazał PUODO? Z decyzji […]

Dyrektywa NIS 2 (UE) 2022/2555 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.) wprowadza na poziomie unijnym nowy, znacznie szerszy niż dotychczas, model regulacji cyberbezpieczeństwa. Celem jest osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informacyjnych w państwach członkowskich. Polska realizuje ten obowiązek poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, nad którą prace sejmowe są w toku (projekt trafił do Sejmu 7 listopada 2025). Projekt ustawy przewiduje daleko idące […]

Obowiązek informowania osób o naruszeniu danych ma jeden zasadniczy cel — dać im realną szansę zareagować, zanim pojawią się szkody. Nie chodzi o formalność, lecz o uczciwe uprzedzenie, że coś poszło nie tak i co można z tym zrobić. Najnowsze orzeczenia w sprawie „pomyłkowego e-maila” pokazują, jak tę zasadę stosować w praktyce, gdy w grę wchodzi choćby numer PESEL. O co poszło w tej sprawie Sprawa zaczęła się od wysłania niezaszyfrowanego załącznika z danymi osobowymi do niewłaściwego adresata. Prezes UODO uznał, że administrator powinien zgłosić naruszenie do organu oraz zawiadomić osobę, której dane dotyczą, i nałożył karę pieniężną. WSA uchylił […]

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 4 września 2025 r. w sprawie C-413/23 dokonał istotnych rozstrzygnięć dotyczących charakteru danych pseudonimizowanych oraz obowiązków związanych z ich udostępnianiem. Sprawa dotyczyła praktyki Jednolitej Rady ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), która przekazywała spseudonimizowane dane w ramach procedury odszkodowawczej dla akcjonariuszy i wierzycieli. Europejski Inspektor Ochrony Danych zakwestionował zgodność takiego działania z przepisami o ochronie danych osobowych, uznając, że przekazane informacje zachowały charakter danych osobowych. Pseudonimizacja to nie anonimizacja Trybunał potwierdził, że pseudonimizacja nie jest równoznaczna z anonimizacją. Usunięcie lub zastąpienie bezpośrednich identyfikatorów nie powoduje automatycznie utraty charakteru danych osobowych, jeżeli istnieje […]

Unijny Data Act (akt w sprawie danych, rozporządzenie UE 2023/2854 z 13 grudnia 2023 r.) wszedł w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać od 12 września 2025 r. Jego celem jest stworzenie ram dla wymiany danych w ramach gospodarki cyfrowej — pomiędzy przedsiębiorstwami, konsumentami oraz administracją publiczną. Konieczna jest zharmonizowanie przepisów krajowych. Co to jest Data Act ? Data Act, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854, to kluczowy element unijnej strategii cyfrowej. Jego celem jest zapewnienie sprawiedliwego dostępu do danych i ułatwienie ich wykorzystywania zarówno przez konsumentów, przedsiębiorstwa, jak i administrację publiczną. Akt wprowadza […]

Przetwarzanie danych osobowych w kontekście obrony przed roszczeniami to temat, który budzi kontrowersje i wywołuje różne interpretacje – zarówno w orzecznictwie, jak i w praktyce stosowania RODO. Z jednej strony mamy przepisy pozwalające na przetwarzanie danych w oparciu o uzasadniony interes administratora, z drugiej – silny nacisk na zasadę minimalizacji i ograniczenia celu. UODO i stanowisko restrykcyjne wobec banków Urząd Ochrony Danych Osobowych (UODO) w kilku decyzjach zakwestionował długoterminowe przechowywanie danych klientów przez banki po wygaśnięciu relacji umownej. W ocenie organu, samo potencjalne ryzyko wystąpienia roszczeń nie wystarcza, by uzasadnić dalsze przetwarzanie danych. Naczelny Sąd Administracyjny w wyroku z dnia […]

Ustawa z 12 lipca 2024 r. Prawo komunikacji elektronicznej (pke) została opracowana w odpowiedzi na wymagania określone w Europejskim Kodeksie Łączności Elektronicznej (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r.). Akt ten stanowi fundament prawny regulujący zasady przetwarzania danych osobowych w sektorze usług komunikacyjnych. Artykuły 386–405 pke tworzą szczegółowe ramy prawne, które uzupełniają ogólne przepisy RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.), uwzględniając specyfikę telekomunikacji. Regulacje PKE zastąpiła dotychczasowe z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) oraz przepisów Prawa telekomunikacyjnego, które obowiązywały w tym zakresie do 10 listopada […]