Inspektorzy ODO

Inspektorzy ODO INSPEKTORZY ODO SP. Z O. O. to przeszło 20 specjalistów posiadających fachową wiedzę w zakresie ochrony danych osobowych oraz wewnętrzny dział prawny.

Mało prawdopodobne ryzyko naruszenia praw i wolności w świetle decyzji DKN.5131.16.2025 z 7 kwietnia 2026 r.Przedmiotem ...
30/04/2026

Mało prawdopodobne ryzyko naruszenia praw i wolności w świetle decyzji DKN.5131.16.2025 z 7 kwietnia 2026 r.

Przedmiotem postępowania było ustalenie, czy administrator naruszył art. 33 ust. 1 RODO poprzez niezgłoszenie naruszenia ochrony danych osobowych w wymaganym terminie. Naruszenie polegało na ujawnieniu danych osobowych członka wspólnoty mieszkaniowej w wyniku błędnego doręczenia korespondencji zawierającej m.in. dane identyfikacyjne, adresowe oraz informacje dotyczące rozliczenia mediów. Pomimo zaistnienia naruszenia administrator uznał, że nie wiąże się ono z ryzykiem naruszenia praw lub wolności osoby fizycznej, w konsekwencji nie dokonał zgłoszenia do organu nadzorczego.

Najważniejsze tezy decyzji:
👉 nie jest wystarczające ustalenie, że ryzyko ma charakter niski, hipotetyczny lub ograniczony. W świetle przyjętej przez PUODO wykładni konieczne jest wykazanie, że naruszenie nie wiąże się z jakimkolwiek ryzykiem naruszenia praw lub wolności, aby skorzystać z wyjątku przewidzianego w art. 33 ust. 1 RODO i odstąpić od obowiązku zgłoszenia naruszenia,

👉 administrator jest więc zobowiązany do dokonania zgłoszenia zawsze wtedy, gdy naruszenie może potencjalnie prowadzić do naruszenia praw lub wolności osób fizycznych, niezależnie od stopnia tego ryzyka,

👉 co ważne, ujawnienie danych umożliwiających identyfikację osoby fizycznej, co do zasady wiąże się z ryzykiem naruszenia jej praw lub wolności,

👉 nie ma znaczenia w świetle art. 33 ust. 1 RODO skala naruszenia. Nawet jeśli incydent dotyczący jednej osoby może rodzić obowiązek zgłoszenia, jeżeli wiąże się z ryzykiem naruszenia jej praw lub wolności,

👉 analogicznie, brak materializacji szkody nie wyłącza obowiązku zgłoszenia. Decydujące znaczenie ma potencjalna możliwość wystąpienia negatywnych konsekwencji, oceniana na moment stwierdzenia naruszenia.

W wyniku błędnej oceny ryzyka naruszenia praw i wolności, a następnie utrzymywania stanowiska o braku obowiązku zgłoszenia, PUODO uznał, że po stronie administratora doszło do działania o charakterze umyślnym, co skutkowało nałożeniem administracyjnej kary pieniężnej w wysokości 4 852 zł.
Link: https://lnkd.in/dGFkfd6S

Z analizy decyzji PUODO i późniejszych rozstrzygnięć sądów administracyjnych wynika dość spójna linia:👉 administrator ni...
21/04/2026

Z analizy decyzji PUODO i późniejszych rozstrzygnięć sądów administracyjnych wynika dość spójna linia:

👉 administrator nie może poprzestać na zawarciu umowy i zleceniu usługi na zewnątrz. Musi zweryfikować podmiot przetwarzający przed powierzeniem, a potem realnie nadzorować sposób przetwarzania, w tym korzystać z prawa do audytu i inspekcji. PUODO podkreślał, że korzystanie z usług procesora „nie zwalnia administratora” z obowiązków z art. 24, 28 i 32 RODO, a brak weryfikacji zmian wdrażanych przez procesora i brak audytów obciąża właśnie administratora.

W orzecznictwie sądów administracyjnych ten kierunek został utrzymany. W orzecznictwie wskazuje się, że samo powierzenie zewnętrznemu podmiotowi usługi nie jest wystarczające, jeżeli administrator nie zapewnił środków służących weryfikacji działań procesora. Sądy akcentują też, że niezależnie od relacji kontraktowej to na administratorze spoczywa obowiązek rzetelnej analizy ryzyka. Na przykład jednej z spraw WSA wprost przyjął, że skoro administrator zdecydował o usunięciu kopii bazy, to jego obowiązkiem było sprawdzenie, czy rzeczywiście to wykonano

👉 procesor również może ponosić własną odpowiedzialność za swoje naruszenia, ale to nie znosi odpowiedzialności administratora za jego własne zaniedbania. Podkreśla się wręcz, że nie ma podstaw do „solidarnego” rozmywania odpowiedzialności procesora za zaniedbania administratora i odwrotnie, każdy odpowiada za własny zakres obowiązków wynikający z RODO.

DOŁĄCZAMY DO ZFODO — kolejny krok w naszym rozwojuDołączenie do ZFODO traktujemy jako element konsekwentnego budowania k...
16/04/2026

DOŁĄCZAMY DO ZFODO — kolejny krok w naszym rozwoju

Dołączenie do ZFODO traktujemy jako element konsekwentnego budowania kompetencji oraz udziału w dyskusji o kierunkach interpretacji i stosowania przepisów w praktyce.

Wierzymy że współpraca w środowisku ekspertów pozwoli nam jeszcze skuteczniej odpowiadać na rosnące wymagania regulacyjne oraz realne potrzeby naszych partnerów.

ISTNIENIE INTERESU NIE PRZESĄDZA JESZCZE O LEGALNOŚCI PRZETWARZANIA. W wyroku NSA z 2024 r. (III OSK 147/23), sąd w spos...
09/04/2026

ISTNIENIE INTERESU NIE PRZESĄDZA JESZCZE O LEGALNOŚCI PRZETWARZANIA.

W wyroku NSA z 2024 r. (III OSK 147/23), sąd w sposób uporządkowany i rygorystyczny wyznacza standard stosowania art. 6 ust. 1 lit. f RODO w praktyce.

Stan faktyczny
Sprawa dotyczyła spółdzielni mieszkaniowej, która zainstalowała monitoring w altanach śmietnikowych w celu identyfikacji osób naruszających zasady segregacji odpadów i ograniczenia kosztów ich wywozu. Monitoring umożliwiał rejestrację wizerunku i przypisanie zachowań konkretnym mieszkańcom. Legalność tego działania została zakwestionowana, co doprowadziło do postępowania przed organem nadzorczym i sądami administracyjnymi.

Rozstrzygnięcie
👉 NSA potwierdził, że interes administratora, w tym przypadku obejmujący ograniczenie kosztów oraz zapewnienie prawidłowego funkcjonowania systemu gospodarki odpadami, może zostać zakwalifikowany jako prawnie uzasadniony. Jednocześnie wskazano, że samo istnienie interesu nie przesądza o dopuszczalności przetwarzania danych i wymaga oceny w świetle pozostałych przesłanek z art. 6 ust. 1 lit. f RODO.

👉 W wyroku precyzyjnie zdefiniowano pojęcie celu przetwarzania, wskazując, że należy przez niego rozumieć określony stan rzeczy, do którego dąży administrator poprzez przetwarzanie danych osobowych. Takie ujęcie przesuwa punkt ciężkości analizy z samego działania na jego rezultat oraz wymusza jednoznaczne określenie, co zamierzamy osiągnąć.

👉 Na tym tle NSA dokonał ścisłej wykładni przesłanki „niezbędności”. Sąd wskazał, że sprowadza się ona do ustalenia, czy bez danego przetwarzania realizacja przyjętego celu jest w ogóle możliwa. Innymi słowy, konieczne jest wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a osiągnięciem zamierzonego stanu rzeczy.

👉 NSA odróżnił sytuację, w której przetwarzanie danych osobowych jedynie zwiększa efektywność realizacji celu, od sytuacji, w której stanowi warunek jego osiągnięcia. Wyłącznie w tym drugim przypadku można mówić o spełnieniu przesłanki niezbędności w rozumieniu RODO.

👉 Podkreślono obowiązek wykazania, że brak jest rozwiązań alternatywnych, mniej ingerujących w prawa i wolności osób, które pozwalałyby osiągnąć porównywalny efekt. Analiza ta powinna mieć charakter rzeczywisty i weryfikowalny, a nie jedynie deklaratywny.

👉 W wyroku zaakcentowano również, że stosowanie monitoringu wizyjnego, jako środka ingerującego w sposób bezpośredni i ciągły w sferę prywatności, wymaga szczególnie rygorystycznej oceny proporcjonalności. Im wyższy poziom ingerencji, tym wyższy standard uzasadnienia dopuszczalności przetwarzania.

Wyrok prowadzi do wniosku, że zastosowanie art. 6 ust. 1 lit. f RODO wymaga przeprowadzenia realnego, udokumentowanego testu, obejmującego nie tylko identyfikację interesu, lecz przede wszystkim wykazanie niezbędności oraz rzetelne wyważenie kolidujących wartości.

Brak współpracy z Organem to naruszenie ale to późniejsza postawa będzie decydowała o karze.Postępowanie dotyczyło narus...
02/04/2026

Brak współpracy z Organem to naruszenie ale to późniejsza postawa będzie decydowała o karze.

Postępowanie dotyczyło naruszenia obowiązku współpracy z organem nadzorczym oraz obowiązku zapewnienia dostępu do informacji (art. 31 i art. 58 ust. 1 RODO).

Spółka, mimo prawidłowego doręczenia wezwań, nie udzieliła wyjaśnień, co uniemożliwiło terminowe rozpoznanie sprawy. Prezes UODO wszczął postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej za naruszenie obowiązku współpracy oraz obowiązku zapewnienia dostępu do informacji.

Spółka w toku postępowania przedstawiła wyjaśnienia braku udzielenia informacji oraz podjęła współpracę z organem, usuwając wcześniejsze naruszenie i umożliwiając dalsze prowadzenie sprawy.

Organ uznał, że naruszenie miało charakter odwracalny, zostało usunięte w toku postępowania, a jego skutki nie były trwałe. Nie stwierdzono działania w złej wierze ani celowego utrudniania postępowania, natomiast samo wszczęcie postępowania sankcyjnego zostało ocenione jako wystarczająco dyscyplinujące, uzasadniające odstąpienie od nałożenia kary pieniężnej na rzecz zastosowania upomnienia.
Link: https://orzeczenia.uodo.gov.pl/document/urn:ndoc:gov:pl:uodo:2025:dke_561_7/content?query=

Kontrolerzy z kamerami? Prawo jeszcze nie nadąża.Z odpowiedzi Ministra Infrastruktury na wystąpienie UODO jasno wynika, ...
26/03/2026

Kontrolerzy z kamerami? Prawo jeszcze nie nadąża.

Z odpowiedzi Ministra Infrastruktury na wystąpienie UODO jasno wynika, że obowiązujące przepisy nie dają podstaw do stosowania kamer nasobnych przez kontrolerów biletów. Wprowadzenie takiego rozwiązania wymagałoby wyraźnej regulacji ustawowej oraz uprzedniej oceny spełnienia wymogów proporcjonalności i niezbędności ingerencji w prywatność osób kontrolowanych oraz innych pasażerów.

Ministerstwo przypomina, że organizatorzy publicznego transportu zbiorowego, jako podmioty publiczne, działają wyłącznie na podstawie i w granicach prawa. Stanowi to wyraźny sygnał, że stosowanie takiego rozwiązania przez Organizatorów jest obecnie niezgodne z obowiązującym prawem.

Co istotne, obecnie nie są prowadzone prace legislacyjne w tym zakresie.

Link: https://lnkd.in/gwhPsSqb

Bonifraterskie Centrum Medyczne opublikowało zawiadomienie o w wyniku :https://bcmbonifratrzy.pl/aktualnosci/zawiad...
18/03/2026

Bonifraterskie Centrum Medyczne opublikowało zawiadomienie o w wyniku :

https://bcmbonifratrzy.pl/aktualnosci/zawiadomienie-o-naruszeniu-ochrony-danych-osobowych-w-bonifraterskim-centrum-medycznym-sp-z-o-o/

Zdarzenie obejmuje:
• naruszenie dostępności danych (szyfrowanie),
• istnieje wysokie ryzyko naruszenia poufności (potencjalna eksfiltracja),

O czym warto pamiętać:
• przy ocenie ryzyka, atak typu ransomware należy traktować jako scenariusz bazowy, nie incydentalny,
• przy doborze środków technicznych i organizacyjnych należy uwzględnić ich realny wpływ na zagrożenie (np. backup offline, segmentacja i monitoring sieci, antywirus). Przyjęcie dokumentacji nie wpłynie na zmniejszenie ryzyka,
• brak dowodów eksfiltracji danych nie równa się braku naruszenia poufności,
• czas reakcji i jakość pierwszej analizy incydentu mają kluczowe znaczenie dla ograniczenia skutków zdarzenia. Dlatego niezbędne jest zapewnienie sprawnych i przećwiczonych procedur zgłaszania naruszeń, opracowanie procedur w przedmiocie zapewnienia ciągłości działania oraz regularne testowanie przyjętych rozwiązań i scenariuszy incydentowych.

W sprawozdaniu Prezesa UODO za 2024 rok wskazano, że wśród analizowanych spraw pojawiały się również skargi dotyczące ni...
29/11/2025

W sprawozdaniu Prezesa UODO za 2024 rok wskazano, że wśród analizowanych spraw pojawiały się również skargi dotyczące nieprawidłowego wykonania obowiązku sprostowania danych oraz problemów z aktualizacją lub usuwaniem informacji na żądanie osób, których dane dotyczą.

UODO podkreśla, że zgodnie z zasadą prawidłowości (art. 5 ust. 1 lit. d RODO) administrator ma obowiązek dbać o to, by dane osobowe były dokładne i aktualne, a proces wprowadzania zmian – skuteczny.

To oznacza, że administrator powinien wdrożyć procedury zapewniające:

• szybkie wprowadzenie zgłoszonych zmian,
• regularne przeglądy danych,
• właściwą komunikację między działami odpowiedzialnymi za np. obsługę klienta, księgowością i windykacją.

Brak aktualizacji danych lub opóźnienia w realizacji żądania sprostowania mogą prowadzić do naruszenia praw osób, których dane dotyczą – w tym prawa wynikającego z art. 16 i art. 17 RODO.
W praktyce jest to obszar, który wciąż wymaga uważności, zwłaszcza w małych firmach, gdzie procesy aktualizacji często nie są sformalizowane.

Potrzebujesz wsparcia w uporządkowaniu procedur? Skontaktuj się z nami:

📞 https://inspektorzyodo.pl

Wdrażanie RODO to proces, który wymaga analizy realnych działań firmy, a nie tylko przygotowania dokumentów. W praktyce ...
28/11/2025

Wdrażanie RODO to proces, który wymaga analizy realnych działań firmy, a nie tylko przygotowania dokumentów. W praktyce wiele błędów wynika z pośpiechu i braku dopasowania rozwiązań do specyfiki działalności. 💼

Najczęściej spotykane nieprawidłowości:

– brak inwentaryzacji procesów przetwarzania danych, przez co dokumentacja nie odzwierciedla faktycznych czynności,
– stosowanie uniwersalnych wzorów polityk i klauzul, bez uwzględnienia charakteru działalności,
– brak aktualizacji rejestrów i procedur, mimo zmian organizacyjnych lub nowych usług,
– niedostateczne zabezpieczenia techniczne i organizacyjne, np. brak kontroli dostępu lub kopii zapasowych,
– pomijanie szkoleń pracowników, co skutkuje błędami ludzkimi i brakiem świadomości obowiązków.

Prawidłowo wdrożone RODO to nie zbiór dokumentów, lecz spójny system działań, który chroni dane i minimalizuje ryzyko naruszeń.

W sprawozdaniu Prezesa UODO za 2024 rok podkreślono, że najwięcej zgłoszeń dotyczyło nieprawidłowego zaadresowania kores...
28/11/2025

W sprawozdaniu Prezesa UODO za 2024 rok podkreślono, że najwięcej zgłoszeń dotyczyło nieprawidłowego zaadresowania korespondencji – zarówno papierowej, jak i e-mail.

Skutek był zawsze ten sam: ujawnienie danych osobom nieuprawnionym.
Najczęstsze przyczyny to:

• pomyłka pracownika,
• brak weryfikacji adresu,
• błędne dane podane już na etapie gromadzenia informacji,
• wysyłka masowych e-maili bez użycia pola UDW.

UODO zwraca uwagę, że to często jednorazowe incydenty, ale mimo tego podlegają zgłoszeniu jako naruszenie RODO. Aby ograniczyć ryzyko, administratorzy najczęściej wdrażają:

• krótkie szkolenia dla pracowników,
• aktualizację baz danych,
• szyfrowanie wiadomości,
• wymuszenie podwójnego wpisania adresu w formularzach,
• procedurę usuwania danych przez omyłkowych odbiorców.

👉 Dla małych firm to ważna wskazówka: nawet jeden źle wpisany adres lub brak UDW może stać się naruszeniem, którego łatwo uniknąć dzięki prostym procedurom.

Adres

Zdzisława Mączeńskiego 2
Warsaw
02-829

Godziny Otwarcia

Poniedziałek 10:00 - 18:00
Wtorek 10:00 - 18:00
Środa 10:00 - 18:00
Czwartek 10:00 - 18:00
Piątek 10:00 - 18:00

Strona Internetowa

Ostrzeżenia

Bądź na bieżąco i daj nam wysłać e-mail, gdy Inspektorzy ODO umieści wiadomości i promocje. Twój adres e-mail nie zostanie wykorzystany do żadnego innego celu i możesz zrezygnować z subskrypcji w dowolnym momencie.

Skróty

Udostępnij

Kategoria