W te wakacje Prezes UODO nie pozostawał bezczynny. Po głośnych, rekordowych sprawach z ubiegłych miesięcy (Poczta Polska – kara 27 mln zł; Minister Cyfryzacji – kara 100 tys. zł, czyli maksymalna kwota dla sektora publicznego) widzimy ciąg dalszy: decyzje dotyczące ujawnień w social media, ataków ransomware oraz zbyt szerokiego kopiowania dokumentów tożsamości. Czy mają jakiś wspólny mianownik?
Kary pojawiają się, gdy praktyka nie jest zgodna z przepisami dotyczącymi ochrony danych osobowych.
Przeanalizowaliśmy cztery nakładające kary decyzje, aby ustalić precyzyjnie oczekiwania UODO wobec rynku. Wskazujemy również konkretne działania, jakie należy podjąć, aby nie narazić się na sankcje regulatora.
Najczęstsze błędy, które widzimy w praktyce ochrony danych osobowych
1. Bezpieczeństwo „na papierze”: organizacje deklarują wykonywanie testów bezpieczeństwa, ale „powyższe działania nie były archiwizowane, nie tworzono kopii raportów z wykonywanych działań”.
UODO wymaga dowodów, nie deklaracji. Częste problemy to:
- brak dokumentacji z testów odtwarzania,
- procedury backupu bez weryfikacji skuteczności,
- analizy ryzyka skopiowane z szablonów bez dostosowania do specyfiki organizacji,
- środki bezpieczeństwa wdrożone „na wszelki wypadek” bez oceny proporcjonalności.
2. Błędne rozumienie podstaw prawnych: publikacja danych „nie była zamierzona, nie służyła realizacji żadnego konkretnego, określonego przez Administratora celu, jak również nie dążono do oparcia działań na którejkolwiek z przesłanek dopuszczalności przetwarzania danych osobowych”.
Organizacje często:
- mylą „interes publiczny” z podstawą prawną,
- zakładają, że inne regulacje (AML, bezpieczeństwo) automatycznie legalizują przetwarzanie w RODO,
- nie różnicują sytuacji wymagających różnych podstaw prawnych,
- zbierają dane „na wszelki wypadek” bez konkretnego celu.
3. Chaos w zarządzaniu incydentami: szpital przyznał, że przed naruszeniem „nie oceniał skuteczności środków uwierzytelniania (w tym haseł) osób administrujących domeną w kontekście ryzyka udostępnienia nieuprawnionym osobom trzecim dostępu do zasobów administrowanych przez te osoby”.
Typowe problemy:
- brak osoby decyzyjnej po godzinach,
- procedury zgłaszania incydentów tylko „w teorii”,
- szablony zawiadomień nieprzystosowane do różnych typów naruszeń,
- brak testowania procedur awaryjnych.
4. Social media i PR bez kontroli: „publikacja miała zostać dokonana po anonimizacji tych danych. Wskutek błędu osoby publikującej i pośpiechu implementacja tego pomysłu kampanijnego została przeprowadzona nieprawidłowo”.
Częste błędy:
- brak procedur weryfikacji przed publikacją,
- jedna osoba odpowiedzialna za publikację bez nadzoru prawnego,
- brak szablonów dla sytuacji kryzysowych,
- publikowanie „prawdziwych dowodów” tam, gdzie wystarczyłaby anonimizacja.
5. Procesorzy i podwykonawcy „w ciemno”: audyt wykazał „brak narzędzi umożliwiających scentralizowany wgląd w bezpieczeństwo infrastruktury IT oraz brak regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków bezpieczeństwa przez Szpital”.
Problemy:
- umowy powierzenia bez realnego nadzoru,
- brak audytów u procesorów,
- nieznajomość podwykonawców procesora,
- brak procedur kontroli przed wdrożeniem nowych systemów.
Czytaj dalej, aby dowiedzieć się jakie kroki należy podjąć, aby uniknąć błędów.
CASE 1 | Social media: publikacja danych osoby prywatnej
Sygnatura: DKN.5131.9.2025
Co się wydarzyło: w poście opublikowanym 13 maja 2025 r. na oficjalnym profilu kandydata na prezydenta w mediach społecznościowych zamieszczono fotografię niezanonimizowanego dokumentu zawierającego dane osobowe w postaci imienia, nazwiska i informacji o miejscu zamieszkania osoby niepełniącej funkcji publicznej.
Dlaczego to ważne: sztab nie pozyskał zgody dysponenta danych na ich przetwarzanie, zaś publikacja miała zostać dokonana po anonimizacji tych danych. Wskutek błędu osoby publikującej i pośpiechu ten pomysł kampanijny został zrealizowany nieprawidłowo. Dzielenie się „kontrą” lub „dowodem” w mediach społecznościowych nie zwalnia z legalności przetwarzania i minimalizacji danych.
O czym należy pamiętać:
1 Sprawdzenie przed publikacją (10 minut): zanim opublikujesz informacje, sprawdź: czy dane osobowe są w komunikacie konieczne? czy da się je zanonimizować? czy to osoba prywatna czy publiczna?
2 Jeden właściciel procesu: wskażmy jedną osobę, która przy treściach z danymi zawsze dzwoni do prawnika/IOD w celu weryfikacji zgodności procesu z przepisami.
3 Procedura w przypadku zarządzania kryzysem: gotowy wzorzec komunikatu uprzednio skonsultowany z prawnikiem/IOD oraz tryb natychmiastowego usuwania treści.
Jak możemy pomóc:
- Przygotowanie checklisty „red flagów” dla publikacji w social mediach
- Przygotowanie matrycy decyzyjnej „publikujemy/anonimizujemy/nie publikujemy”
- Szkolenie zespołu PR/marketingu (warsztat praktyczny)
- Opracowanie procedury awaryjnego usuwania treści, w tym komunikatów naprawczych
- Audyt obecnych publikacji pod kątem ryzyka RODO
- Opracowanie polityki prywatności dla działań marketingowych
- Przegląd umów z agencjami PR pod kątem odpowiedzialności za RODO
- Utworzenie hotline’u prawnego dla pilnych decyzji publikacyjnych
CASE 2 | Ransomware + słaba dyscyplina operacyjna
Sygnatura: DKN.5131.48.2022
Co się wydarzyło: atak ransomware w szpitalu dotknął około 2000 osób. Złamano zabezpieczenia systemów IT i zainfekowano je złośliwym oprogramowaniem ransomware, co skutkowało naruszeniem poufności i dostępności danych osobowych. UODO nałożył karę w wysokości ponad 66 tys. zł oraz nakazał dostosowanie operacji przetwarzania do wymogów RODO w ciągu 60 dni. UODO zwraca uwagę na brak dowodów, że środki bezpieczeństwa działały i były testowane.
Dlaczego to ważne: Szpital informował, że „wykonywał testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych”, ale nie poparł tych twierdzeń dowodami, jednocześnie wskazując, że „powyższe działania nie były archiwizowane, nie tworzono kopii raportów z wykonywanych działań”. „Mamy backupy” to za mało, jeśli nigdy nie sprawdzono, czy da się z nich odtworzyć system.
Co należy zrobić:
1 Jedna próba odtworzenia na wybranym systemie. Jeden serwer/aplikacja wystarczy, by wykryć błędy.
2 Ćwiczenie „incydent w 60 minut”: krótka symulacja: kto zgłasza, kto podpisuje zawiadomienie, co wysyłamy klientom.
3 Lista braków po ćwiczeniu: 3–5 rzeczy do poprawy (np. brak szablonu zawiadomienia, brak telefonu do osoby decyzyjnej po godzinach).
Jak możemy pomóc:
- Opracowanie procedury zgłaszania incydentów do UODO (72h)
- Przygotowanie szablonów zawiadomień dla osób fizycznych
- Audyt analizy ryzyka pod kątem zgodności z RODO
- Wdrożenie systemu dokumentowania testów bezpieczeństwa
- Przegląd polityki haseł i uwierzytelniania
- Opracowanie planu ciągłości działania po incydencie
- Szkolenie zespołu IT w zakresie obowiązków RODO
- Przygotowanie matrycy eskalacji incydentów
- Audyt zgodności z wymogami art. 32 RODO
CASE 3 | Sektor bankowy: nadmierne zbieranie danych pod pretekstem AML
Sygnatura: DKN.5112.6.2020
Co się wydarzyło: bank otrzymał karę w wysokości 18,4 mln zł za „hurtowe” skanowanie dokumentów tożsamości bez podstawy – doskonały materiał na „nadmierne zbieranie danych pod pretekstem innych regulacji”. Bank nie różnicował sytuacji, gdzie stosowanie środków bezpieczeństwa finansowego byłoby uzasadnione, od tych, gdzie nie. Po prostu przyjął, że w każdym przypadku należy zrobić skan dokumentu.
Dlaczego to ważne: katalog przesłanek legalności przetwarzania danych osobowych wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Powołanie się na inne regulacje (AML, bezpieczeństwo) nie usprawiedliwia nadmiernego zbierania danych.
Co należy zrobić:
1 Minimum dla procedur: przegląd instrukcji – czy różnicujemy sytuacje wymagające dodatkowych danych od tych standardowych.
2 Test proporcjonalności: sprawdzamy losowo 10 przypadków z ostatniego miesiąca – czy rzeczywiście potrzebowaliśmy wszystkich zebranych danych.
3 Krótka instrukcja dla personelu: jedna kartka: kiedy skanujemy dokumenty, kiedy wystarczy okazanie, co robimy z kopiami.
Jak możemy pomóc:
- Audyt procedur identyfikacji klientów pod kątem minimalizacji danych
- Opracowanie matrycy „kiedy skanować, kiedy nie” dla różnych sytuacji
- Przegląd zgodności procedur AML z wymogami RODO
- Szkolenie personelu w zakresie proporcjonalności zbierania danych
- Wdrożenie systemu okresowego przeglądu konieczności przetwarzania
- Opracowanie procedur usuwania nadmiarowych kopii dokumentów
- Audyt podstaw prawnych dla różnych kategorii przetwarzania
- Przygotowanie instrukcji obsługi klienta zgodnej z RODO
- Wdrożenie kontroli jakości procesów identyfikacji
- Opracowanie polityki retencji dla dokumentów tożsamości
CASE 4 | Kampanie i debata publiczna: „interes publiczny” nie zastępuje podstawy prawnej
Sygnatura: DKN.5131.9.2025
Co się wydarzyło: UODO stwierdził naruszenie art. 6(1) RODO przez Komitet Wyborczy Kandydata na Prezydenta polegające na bezprawnym przetwarzaniu danych osobowych osoby fizycznej niepełniącej funkcji publicznej w postaci imienia, nazwiska i informacji o miejscu zamieszkania, poprzez publikację tych informacji w poście opublikowanym na oficjalnym profilu kandydata w mediach społecznościowych.
Dlaczego to ważne: ocena tego, co „niezbędne” obejmuje ustalenie, czy w praktyce uzasadnione interesy przetwarzania danych osobowych nie mogą być racjonalnie osiągnięte równie skutecznie za pomocą innych środków, które w znacząco mniejszym stopniu ograniczają prawa lub wolności osób fizycznych. Nawet jeżeli temat jest w naszym interesie, to dane konkretnej osoby trzeba przetwarzać legalnie.
Co należy zrobić:
1 Szablon decyzji „publikujemy/nie publikujemy”: krótka tabela z trzema scenariuszami i przykładem, kiedy retusz lub anonimizacja wystarczą.
2 Dwa szkolenia po 30 minut: dla sztabu i dla agencji zewnętrznej – te same zasady weryfikacji.
3 Kontakt awaryjny: jeden numer do osoby, która ma prawo „zatrzymać publikację” na godzinę, żeby sprawdzić jej legalność.
Jak możemy pomóc:
- Opracowanie procedur przetwarzania danych w kampaniach wyborczych
- Szkolenie sztabów w zakresie RODO w działaniach politycznych
- Audyt materiałów kampanijnych pod kątem ryzyka naruszenia prywatności
- Opracowanie polityki prywatności dla działań wyborczych
- Przygotowanie checklisty zgodności dla publikacji kampanijnych
- Wdrożenie procedur weryfikacji podstaw prawnych przed publikacją
- Opracowanie szablonów zgód na przetwarzanie danych w kampanii
- Przegląd umów z wykonawcami kampanii pod kątem RODO
- Utworzenie systemu monitoringu zgodności działań kampanijnych
Kontakt:
Anna Matusiak-Wekiera – radczyni prawna | Counsel, Head of Data Protection & Compliance
Krzysztof Brant – radca prawny | Senior Associate, Data Protection & Compliance