W te wakacje Prezes UODO nie pozostawał bezczynny. Po głośnych, rekordowych sprawach z ubiegłych miesięcy (Poczta Polska – kara 27 mln zł; Minister Cyfryzacji – kara 100 tys. zł, czyli maksymalna kwota dla sektora publicznego) widzimy ciąg dalszy: decyzje dotyczące ujawnień w social media, ataków ransomware oraz zbyt szerokiego kopiowania dokumentów tożsamości. Czy mają jakiś wspólny mianownik?

Przeanalizowaliśmy cztery nakładające kary decyzje, aby ustalić precyzyjnie oczekiwania UODO wobec rynku. Wskazujemy również konkretne działania, jakie należy podjąć, aby nie narazić się na sankcje regulatora.

Najczęstsze błędy, które widzimy w praktyce ochrony danych osobowych

1. Bezpieczeństwo „na papierze”: organizacje deklarują wykonywanie testów bezpieczeństwa, ale „powyższe działania nie były archiwizowane, nie tworzono kopii raportów z wykonywanych działań”.

UODO wymaga dowodów, nie deklaracji. Częste problemy to:

2. Błędne rozumienie podstaw prawnych: publikacja danych „nie była zamierzona, nie służyła realizacji żadnego konkretnego, określonego przez Administratora celu, jak również nie dążono do oparcia działań na którejkolwiek z przesłanek dopuszczalności przetwarzania danych osobowych”.

Organizacje często:

3. Chaos w zarządzaniu incydentami: szpital przyznał, że przed naruszeniem „nie oceniał skuteczności środków uwierzytelniania (w tym haseł) osób administrujących domeną w kontekście ryzyka udostępnienia nieuprawnionym osobom trzecim dostępu do zasobów administrowanych przez te osoby”.

Typowe problemy:

4. Social media i PR bez kontroli: „publikacja miała zostać dokonana po anonimizacji tych danych. Wskutek błędu osoby publikującej i pośpiechu implementacja tego pomysłu kampanijnego została przeprowadzona nieprawidłowo”.

Częste błędy:

5. Procesorzy i podwykonawcy „w ciemno”: audyt wykazał „brak narzędzi umożliwiających scentralizowany wgląd w bezpieczeństwo infrastruktury IT oraz brak regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków bezpieczeństwa przez Szpital”.

Problemy:

Czytaj dalej, aby dowiedzieć się jakie kroki należy podjąć, aby uniknąć błędów.


CASE 1 | Social media: publikacja danych osoby prywatnej

Sygnatura: DKN.5131.9.2025

Co się wydarzyło: w poście opublikowanym 13 maja 2025 r. na oficjalnym profilu kandydata na prezydenta w mediach społecznościowych zamieszczono fotografię niezanonimizowanego dokumentu zawierającego dane osobowe w postaci imienia, nazwiska i informacji o miejscu zamieszkania osoby niepełniącej funkcji publicznej.

O czym należy pamiętać:

1 Sprawdzenie przed publikacją (10 minut): zanim opublikujesz informacje, sprawdź: czy dane osobowe są w komunikacie konieczne? czy da się je zanonimizować? czy to osoba prywatna czy publiczna?

2 Jeden właściciel procesu: wskażmy jedną osobę, która przy treściach z danymi zawsze dzwoni do prawnika/IOD w celu weryfikacji zgodności procesu z przepisami.

3 Procedura w przypadku zarządzania kryzysem: gotowy wzorzec komunikatu uprzednio skonsultowany z prawnikiem/IOD oraz tryb natychmiastowego usuwania treści.

Jak możemy pomóc:

 

CASE 2 | Ransomware + słaba dyscyplina operacyjna

Sygnatura: DKN.5131.48.2022

Co się wydarzyło: atak ransomware w szpitalu dotknął około 2000 osób. Złamano zabezpieczenia systemów IT i zainfekowano je złośliwym oprogramowaniem ransomware, co skutkowało naruszeniem poufności i dostępności danych osobowych. UODO nałożył karę w wysokości ponad 66 tys. zł oraz nakazał dostosowanie operacji przetwarzania do wymogów RODO w ciągu 60 dni. UODO zwraca uwagę na brak dowodów, że środki bezpieczeństwa działały i były testowane.

Co należy zrobić:

1 Jedna próba odtworzenia na wybranym systemie. Jeden serwer/aplikacja wystarczy, by wykryć błędy.

2 Ćwiczenie „incydent w 60 minut”: krótka symulacja: kto zgłasza, kto podpisuje zawiadomienie, co wysyłamy klientom.

3 Lista braków po ćwiczeniu: 3–5 rzeczy do poprawy (np. brak szablonu zawiadomienia, brak telefonu do osoby decyzyjnej po godzinach).

Jak możemy pomóc:

 

CASE 3 | Sektor bankowy: nadmierne zbieranie danych pod pretekstem AML

Sygnatura: DKN.5112.6.2020

Co się wydarzyło: bank otrzymał karę w wysokości 18,4 mln zł za „hurtowe” skanowanie dokumentów tożsamości bez podstawy – doskonały materiał na „nadmierne zbieranie danych pod pretekstem innych regulacji”. Bank nie różnicował sytuacji, gdzie stosowanie środków bezpieczeństwa finansowego byłoby uzasadnione, od tych, gdzie nie. Po prostu przyjął, że w każdym przypadku należy zrobić skan dokumentu.

Co należy zrobić:

1 Minimum dla procedur: przegląd instrukcji – czy różnicujemy sytuacje wymagające dodatkowych danych od tych standardowych.

2 Test proporcjonalności: sprawdzamy losowo 10 przypadków z ostatniego miesiąca – czy rzeczywiście potrzebowaliśmy wszystkich zebranych danych.

3 Krótka instrukcja dla personelu: jedna kartka: kiedy skanujemy dokumenty, kiedy wystarczy okazanie, co robimy z kopiami.

Jak możemy pomóc:

 

CASE 4 | Kampanie i debata publiczna: „interes publiczny” nie zastępuje podstawy prawnej

Sygnatura: DKN.5131.9.2025

Co się wydarzyło: UODO stwierdził naruszenie art. 6(1) RODO przez Komitet Wyborczy Kandydata na Prezydenta polegające na bezprawnym przetwarzaniu danych osobowych osoby fizycznej niepełniącej funkcji publicznej w postaci imienia, nazwiska i informacji o miejscu zamieszkania, poprzez publikację tych informacji w poście opublikowanym na oficjalnym profilu kandydata w mediach społecznościowych.

Co należy zrobić:

1 Szablon decyzji „publikujemy/nie publikujemy”: krótka tabela z trzema scenariuszami i przykładem, kiedy retusz lub anonimizacja wystarczą.

2 Dwa szkolenia po 30 minut: dla sztabu i dla agencji zewnętrznej – te same zasady weryfikacji.

3 Kontakt awaryjny: jeden numer do osoby, która ma prawo „zatrzymać publikację” na godzinę, żeby sprawdzić jej legalność.

Jak możemy pomóc:


przycisk pobierz newsletter


Kontakt:

Anna Matusiak-Wekiera – radczyni prawna | Counsel, Head of Data Protection & Compliance

Krzysztof Brant – radca prawny | Senior Associate, Data Protection & Compliance