Proste RODO

NSA po stronie Play. Kara 250 tys. zł uchylona

Naczelny Sąd Administracyjny uznał, że operator nie musi odpowiadać za niedotrzymanie 48-godzinnego terminu zgłoszenia naruszenia danych, jeśli wcześniej nie miał wystarczających informacji, by jednoznacznie stwierdzić, że do incydentu faktycznie doszło.

Sprawa dotyczyła klienta, który podczas zawierania umowy podał błędny adres e-mail, należący do osoby o bardzo podobnych danych osobowych. Na ten adres trafiły dokumenty zawierające m.in. PESEL i numer dowodu. Gdy klient zauważył pomyłkę, wrócił do salonu Play i poprosił o usunięcie adresu.

UODO uznał, że już wtedy operator powinien zgłosić naruszenie danych. Play tłumaczył jednak, że sama informacja o błędnym e-mailu nie oznacza jeszcze pewności, że dane trafiły do nieuprawnionej osoby.

NSA przyznał rację operatorowi. Sąd podkreślił, że:
✔️ samo podejrzenie naruszenia to za mało,
✔️ administrator musi mieć wystarczające informacje potwierdzające incydent,
✔️ wątpliwości nie mogą być interpretowane na niekorzyść firmy.

Wyrok może mieć duże znaczenie dla wszystkich administratorów danych, szczególnie w kontekście interpretacji momentu „wykrycia naruszenia” i obowiązków wynikających z przepisów o ochronie danych osobowych.

📌 Wyrok NSA z 7 maja 2026 r., sygn. III OSK 1397/24

Czy to narusza RODO? Praktyczne przykłady z życia:

1.

📸 Wrzucasz screen rozmowy z klientem na stories.
Widać imię, zdjęcie profilowe i fragment wiadomości.

❌ TAK — to może naruszać RODO.

Dane osobowe pozwalają zidentyfikować osobę.
Potrzebujesz zgody albo anonimizacji.

2.

📧 Wysyłasz newsletter do klientów,
ale wszyscy odbiorcy są wpisani w „DW”.

❌ TAK — poważny błąd.

Każdy widzi adresy mailowe innych osób.
Używaj „UDW” lub profesjonalnych narzędzi mailingowych.

3.

💻 Były pracownik nadal ma dostęp
do dysku Google i plików klientów.

❌ TAK — to ryzyko naruszenia bezpieczeństwa danych.

Dostępy powinny być odbierane od razu po zakończeniu współpracy.

4.

📄 Klient wysłał Ci dane do faktury na maila.
Przechowujesz fakturę w księgowości.

✅ NIE — to normalne i legalne.

Masz podstawę prawną do przetwarzania danych
w celu realizacji obowiązków księgowych.

📌 RODO to często codzienne drobiazgi.
Większość naruszeń wynika z pośpiechu, nie złej woli.

Spotkanie ZPF i UODO: ruszają prace nad kodeksem postępowania

Przedstawiciele Związku Przedsiębiorstw Finansowych spotkali się z ekspertami UODO, żeby porozmawiać o stworzeniu kodeksu postępowania dla branży zarządzania wierzytelnościami.

W trakcie spotkania omówiono m.in.:
- jaki ma być cel kodeksu
- kogo ma obejmować
- kto będzie go przygotowywał

Podkreślono, że taki kodeks - po zatwierdzeniu przez Prezesa UODO - nie jest tylko formalnością, ale praktycznym narzędziem. Ma pomagać firmom stosować RODO w codziennej działalności i będzie brany pod uwagę np. przy kontrolach czy rozpatrywaniu skarg.

Zwrócono też uwagę, że kodeks nie może być powtórzeniem przepisów. Powinien uwzględniać specyfikę branży, jej doświadczenia oraz zawierać konkretne rozwiązania i przykłady.

UODO zaznaczyło, że wspiera proces tworzenia kodeksów i służy wskazówkami, ale nie uczestniczy bezpośrednio w ich pisaniu - odpowiedzialność za stworzenie treści leży po stronie branży.

Ważnym elementem prac nad kodeksem są także:
- określenie zasad przetwarzania danych (pozyskiwanie, przechowywanie, udostępnianie)
- wyznaczenie niezależnego podmiotu monitorującego
- przeprowadzenie konsultacji publicznych

Na dziś Prezes UODO zatwierdził trzy kodeksy postępowania.

To kolejny krok w kierunku bardziej praktycznego podejścia do stosowania RODO w konkretnych sektorach.

🚨 Wyciek danych w e-commerce – czy Twoja firma dobrze ocenia ryzyko?

Wyobraź sobie: dochodzi do ataku hakerskiego, a z Twojego sklepu internetowego wyciekają dane klientów – imiona, nazwiska, adresy, telefony, historia zamówień… Brzmi jak koszmar? To realny przypadek z Polski.

Firma zareagowała szybko:
✔️ usunęła źródło incydentu
✔️ zgłosiła naruszenie do UODO
✔️ powiadomiła klientów

Ale… to nie wystarczy.

👉 Gdzie pojawił się problem?
Sklep ograniczył komunikację do ostrzeżenia przed phishingiem (fałszywe SMS-y i maile). Tymczasem RODO wymaga znacznie szerszej analizy ryzyka.

👉 Co należało wziąć pod uwagę?
Wyciek obejmował nie tylko dane kontaktowe, ale też:

adresy dostawy (często = adres zamieszkania)
historię zakupów (np. soczewki, okulary)

To oznacza realne ryzyka, takie jak:
⚠️ kradzież tożsamości
⚠️ oszustwa „na adres”
⚠️ włamania (np. gdy ktoś zna Twój adres i zwyczaje zakupowe)
⚠️ naruszenie prywatności lub zdrowia (wnioski o wadzie wzroku)

👉 RODO mówi jasno:
Nie wystarczy zgłosić incydent. Trzeba:
🔍 przeprowadzić rzetelną analizę ryzyka
📢 poinformować klientów w sposób pełny i adekwatny
🛡️ wdrożyć środki ograniczające skutki naruszenia

👉 Ważny wniosek dla MŚP:
Dane, które „na pierwszy rzut oka” wydają się zwykłe, mogą w praktyce być danymi wrażliwymi (np. pośrednio ujawniać stan zdrowia). To automatycznie podnosi poziom odpowiedzialności.

💡 Lekcja:
W RODO nie chodzi tylko o reakcję na incydent – chodzi o zrozumienie jego konsekwencji.

Jeśli Twoja analiza ryzyka kończy się na „mogą dostać phishing” – to bardzo możliwe, że… jest niewystarczająca.

Zgoda na wszystko? Nie tak działa RODO w branży medycznej.

Im dłużej pracuję z przedsiębiorcami, tym częściej widzę, że RODO nadal bywa źle rozumiane… nawet tam, gdzie naprawdę nie powinno.

Ostatnio byłam w jednej z warszawskich prywatnych klinik – miejscu, które świadczy usługi medyczne na bardzo wysokim poziomie. I co? W dokumentach poproszono mnie o zgodę na przetwarzanie danych osobowych w celu udzielania świadczeń zdrowotnych.

Tylko że… taka zgoda w tym przypadku nie jest właściwą podstawą prawną.

👉 W sektorze medycznym przetwarzanie danych pacjenta (w tym danych wrażliwych) odbywa się przede wszystkim na podstawie:

- obowiązku prawnego,

w celu realizacji świadczeń zdrowotnych.

Zgoda pacjenta? Owszem – ale tylko w określonych sytuacjach, nie jako „uniwersalne zabezpieczenie”.

Dlaczego to problem?
❌ zgoda może zostać wycofana w dowolnym momencie
❌ błędna podstawa = ryzyko naruszenia przepisów
❌ pokazuje brak realnego wdrożenia RODO, a jedynie „papierologię”

RODO to nie checklisty i kopiuj-wklej dokumentów.
To przede wszystkim zrozumienie, kiedy i na jakiej podstawie przetwarzamy dane.

Jeśli nawet placówki medyczne popełniają takie błędy, to znak, że edukacja w tym zakresie wciąż jest bardzo potrzebna.

⚖️ E-commerce pod lupą: co AI może wykryć na Twojej stronie?

UOKiK wdrożył system oparty na sztucznej inteligencji, który ma tropić tzw. dark patterns – czyli sprytne, ale często nieuczciwe sztuczki stosowane przez e-sklepy.

👉 O co chodzi?
To m.in.:
– ukryte koszty pojawiające się dopiero przy płatności
– fałszywe liczniki „kończącej się promocji”
– utrudnione rezygnowanie z usług
– mylące komunikaty wpływające na decyzje zakupowe

🤖 Jak działa system?
To sieć „wirtualnych detektywów”, którzy analizują strony internetowe jednocześnie:
✔ sprawdzają widoczność kluczowych przycisków
✔ wykrywają sztucznie generowany „ruch” lub zainteresowanie produktem
✔ analizują kod strony i ścieżkę zakupową
✔ wychwytują ukryte opłaty

📊 Co ważne – AI nie wydaje wyroków.
Każde podejrzenie musi być poparte dowodem (np. fragmentem kodu lub zrzutem ekranu), a ostateczną decyzję podejmuje człowiek.

⚖️ Eksperci podkreślają: to krok w dobrą stronę, ale bezrefleksyjne zaufanie technologii może być ryzykowne. AI też się myli – dlatego jej ustalenia są zawsze weryfikowane.

💡 Co to oznacza dla firm?
Najpierw „miękkie” działania – wezwanie do zmiany praktyk. Dopiero później możliwe są poważniejsze konsekwencje.

📌 Jedno jest pewne: transparentność w sprzedaży online przestaje być opcją – staje się standardem.

👉 RODO w małej firmie – od czego zacząć?

Większość osób odkłada RODO, bo myśli, że to skomplikowane.

A prawda jest taka:
👉 możesz ogarnąć podstawy w kilku krokach

Krok 1: sprawdź, jakie dane zbierasz
(np. imię, email, telefon)

Krok 2: odpowiedz sobie – po co je zbierasz
👉 kontakt? sprzedaż? newsletter?

Krok 3: przygotuj podstawowe dokumenty
✔️ polityka prywatności
✔️ klauzule informacyjne

Krok 4: zadbaj o bezpieczeństwo
👉 dostęp do danych
👉 hasła
👉 porządek w plikach

I tyle.

👉 RODO to nie papierologia
👉 tylko logika

Największy błąd?
👉 „zrobię to kiedyś”

👉 „Skopiuję politykę prywatności z internetu i będzie OK”

Brzmi znajomo?

To jeden z najczęstszych błędów, jakie się spotyka.

👉 MIT: wystarczy skopiować politykę prywatności
👉 RZECZYWISTOŚĆ: to może narobić Ci problemów

Dlaczego?

Każdy biznes jest inny.

Masz:
✔️ inne dane (np. tylko email albo też telefon)
✔️ inne cele (sprzedaż, kontakt, newsletter)
✔️ inne narzędzia (np. Google Analytics, formularz, CRM)

👉 Polityka prywatności musi to odzwierciedlać

Kopiuj-wklej oznacza często:
❌ błędne informacje
❌ brak ważnych elementów
❌ zapisy, które Ciebie w ogóle nie dotyczą

A to = ryzyko przy kontroli albo zgłoszeniu

Nie chodzi o to, żeby było „ładnie napisane”
👉 tylko żeby było DOPASOWANE do Twojej działalności

👉 Lepiej mieć prosty, ale poprawny dokument, niż skopiowany i błędny.

🚨 Naruszenie danych osobowych? To nie teoria – jest kara.

W sprawie opisanej w komunikacie UODO na wspólnotę mieszkaniową nałożono karę w wysokości 5 000 zł za brak zgłoszenia naruszenia ochrony danych osobowych.

📌 Co się wydarzyło?
Doszło do naruszenia, które mogło powodować ryzyko dla osób fizycznych… ale nie zostało zgłoszone do UODO.

💸 Efekt?
➡️ konkretna kara finansowa – nawet dla niewielkiego podmiotu

📢 Wniosek:
👉 Nie trzeba mieć pewności szkody – wystarczy ryzyko
👉 Obowiązek zgłoszenia dotyczy także wspólnot mieszkaniowych
👉 Brak reakcji = realne konsekwencje finansowe

❗ RODO działa w praktyce – również wobec mniejszych organizacji.

🔐 Analizuj incydenty i reaguj na czas.