Dyrektywa NIS 2 (UE) 2022/2555 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.) wprowadza na poziomie unijnym nowy, znacznie szerszy niż dotychczas, model regulacji cyberbezpieczeństwa. Celem jest osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informacyjnych w państwach członkowskich. Polska realizuje ten obowiązek poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, nad którą prace sejmowe są w toku (projekt trafił do Sejmu 7 listopada 2025). Projekt ustawy przewiduje daleko idące […]

Obowiązek informowania osób o naruszeniu danych ma jeden zasadniczy cel — dać im realną szansę zareagować, zanim pojawią się szkody. Nie chodzi o formalność, lecz o uczciwe uprzedzenie, że coś poszło nie tak i co można z tym zrobić. Najnowsze orzeczenia w sprawie „pomyłkowego e-maila” pokazują, jak tę zasadę stosować w praktyce, gdy w grę wchodzi choćby numer PESEL. O co poszło w tej sprawie Sprawa zaczęła się od wysłania niezaszyfrowanego załącznika z danymi osobowymi do niewłaściwego adresata. Prezes UODO uznał, że administrator powinien zgłosić naruszenie do organu oraz zawiadomić osobę, której dane dotyczą, i nałożył karę pieniężną. WSA uchylił […]

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 4 września 2025 r. w sprawie C-413/23 dokonał istotnych rozstrzygnięć dotyczących charakteru danych pseudonimizowanych oraz obowiązków związanych z ich udostępnianiem. Sprawa dotyczyła praktyki Jednolitej Rady ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), która przekazywała spseudonimizowane dane w ramach procedury odszkodowawczej dla akcjonariuszy i wierzycieli. Europejski Inspektor Ochrony Danych zakwestionował zgodność takiego działania z przepisami o ochronie danych osobowych, uznając, że przekazane informacje zachowały charakter danych osobowych. Pseudonimizacja to nie anonimizacja Trybunał potwierdził, że pseudonimizacja nie jest równoznaczna z anonimizacją. Usunięcie lub zastąpienie bezpośrednich identyfikatorów nie powoduje automatycznie utraty charakteru danych osobowych, jeżeli istnieje […]

Unijny Data Act (akt w sprawie danych, rozporządzenie UE 2023/2854 z 13 grudnia 2023 r.) wszedł w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać od 12 września 2025 r. Jego celem jest stworzenie ram dla wymiany danych w ramach gospodarki cyfrowej — pomiędzy przedsiębiorstwami, konsumentami oraz administracją publiczną. Konieczna jest zharmonizowanie przepisów krajowych. Co to jest Data Act ? Data Act, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854, to kluczowy element unijnej strategii cyfrowej. Jego celem jest zapewnienie sprawiedliwego dostępu do danych i ułatwienie ich wykorzystywania zarówno przez konsumentów, przedsiębiorstwa, jak i administrację publiczną. Akt wprowadza […]

Przetwarzanie danych osobowych w kontekście obrony przed roszczeniami to temat, który budzi kontrowersje i wywołuje różne interpretacje – zarówno w orzecznictwie, jak i w praktyce stosowania RODO. Z jednej strony mamy przepisy pozwalające na przetwarzanie danych w oparciu o uzasadniony interes administratora, z drugiej – silny nacisk na zasadę minimalizacji i ograniczenia celu. UODO i stanowisko restrykcyjne wobec banków Urząd Ochrony Danych Osobowych (UODO) w kilku decyzjach zakwestionował długoterminowe przechowywanie danych klientów przez banki po wygaśnięciu relacji umownej. W ocenie organu, samo potencjalne ryzyko wystąpienia roszczeń nie wystarcza, by uzasadnić dalsze przetwarzanie danych. Naczelny Sąd Administracyjny w wyroku z dnia […]

Ustawa z 12 lipca 2024 r. Prawo komunikacji elektronicznej (pke) została opracowana w odpowiedzi na wymagania określone w Europejskim Kodeksie Łączności Elektronicznej (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r.). Akt ten stanowi fundament prawny regulujący zasady przetwarzania danych osobowych w sektorze usług komunikacyjnych. Artykuły 386–405 pke tworzą szczegółowe ramy prawne, które uzupełniają ogólne przepisy RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.), uwzględniając specyfikę telekomunikacji. Regulacje PKE zastąpiła dotychczasowe z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) oraz przepisów Prawa telekomunikacyjnego, które obowiązywały w tym zakresie do 10 listopada […]

Urząd Ochrony Danych Osobowych poinformował o wszczęciu z urzędu postępowania administracyjnego wobec posła Przemysława Czarnka. Powodem jest podejrzenie naruszenia przepisów RODO w związku z ujawnieniem danych osobowych podczas konferencji prasowej. To kolejny przypadek, w którym osoba pełniąca funkcję publiczną staje się przedmiotem postępowania o naruszenie prawa do prywatności. Na naszym blogu pisaliśmy już o analogicznej sytuacji z udziałem byłego ministra zdrowia, który ujawnił dane pacjenta podczas publicznego wystąpienia – co zakończyło się nałożeniem administracyjnej kary pieniężnej (link). Najnowsza sprawa pokazuje, że problem nieprzestrzegania zasad ochrony danych osobowych przez osoby publiczne wciąż pozostaje aktualny. Ujawnienie danych na konferencji – co wiadomo? […]

W dobie cyfrowych zagrożeń tradycyjne metody ochrony kont, oparte wyłącznie na haśle, stają się niewystarczające. W odpowiedzi na nowe ryzyka CNIL – francuska Krajowa Komisja Informatyki i Wolności – opublikowała w marcu 2025 roku nowe zalecenia dotyczące uwierzytelniania wieloskładnikowego (MFA- Multi-Factor Authentication). Dokument ten stanowi kompleksowy przewodnik dla firm, instytucji publicznych oraz dostawców usług, jak poprawnie i zgodnie z RODO wdrażać MFA. Czym jest uwierzytelnianie wieloskładnikowe? MFA polega na weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych czynników spośród trzech kategorii: Czynnik wiedzy (coś, co użytkownik wie) – np. hasło lub PIN, Czynnik posiadania (coś, co użytkownik posiada) – […]

Decyzja UODO: Kary dla Poczty Polskiej i Ministra Cyfryzacji za naruszenie RODO w wyborach korespondencyjnych 2020 W jednym z naszych wcześniejszych wpisów („Wybory korespondencyjne, Poczta Polska a RODO”) szczegółowo omówiliśmy kontrowersje związane z przekazaniem danych obywateli w ramach organizacji wyborów korespondencyjnych w 2020 roku. Dziś możemy już przeanalizować decyzję UODO, która potwierdza, że doszło do poważnego naruszenia przepisów o ochronie danych osobowych i nakłada na Pocztę Polską oraz Ministra Cyfryzacji surowe kary finansowe Decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) z 17 marca 2025 r. (DKN.5131.1.2025) dotyczy naruszenia przepisów RODO przez Pocztę Polską oraz Ministra Cyfryzacji w związku z organizacją […]

2 lutego 2025 roku w życie weszły pierwsze przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r., znanego jako Akt w sprawie sztucznej inteligencji (AI Act). Nowe regulacje mają na celu zapewnienie bezpiecznego i etycznego wykorzystania systemów sztucznej inteligencji w Unii Europejskiej. Ogólnie rzecz ujmując obowiązujące już przepisy wprowadzają zakazy dotyczące niebezpiecznych technologii oraz obowiązek podnoszenia kwalifikacji użytkowników AI. Zakazane praktyki – czego nie wolno? Od lutego 2025 r. obowiązuje zakaz stosowania i wprowadzania na rynek systemów AI uznanych za szczególnie ryzykowne. Obejmuje on m.in.: Manipulacja ludźmi:Regulacja ta zakazuje wykorzystywania sztucznej inteligencji do manipulacji użytkownikami, […]