Każdy ADO jest zobowiązany do zapewnienia należytego stopnia ochrony przetwarzanych danych osobowych. Aby było to możliwe, należy przede wszystkim ustalić, jakie dane podlegają ochronie i przed jakimi zagrożeniami muszą być one zabezpieczone. Służą temu mechanizmy analizy ryzyka oraz DPIA. Kiedy trzeba je przeprowadzić i na czym polegają? Czy zawsze są niezbędne?

Prezes Urzędu Ochrony Danych Osobowych 26 listopada 2024 r. decyzję dotyczącą naruszenia przepisów RODO przez placówkę medyczną (sygn. DKN.5131.6.2024). Sprawa dotyczy nieprawidłowego postępowania szpitala powiatowego we Wrześni w zakresie zgłaszania i obsługi naruszenia ochrony danych osobowych pacjenta. Jest to jedno z pierwszych tak kompleksowych rozstrzygnięć pokazujących, jak organ nadzorczy ocenia proces zgłaszania naruszeń w sektorze medycznym.

Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 października 2024 r. (DKN.5131.7.2024) nałożył na jednostkę administracji publicznej karę pieniężną w wysokości 25 000 złotych za wieloletnie naruszenie przepisów RODO dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych. Rozstrzygnięcie to ma ważne znaczenie dla interpretacji przepisów o obowiązku powołania IOD i konsekwencji zaniedbań w tym zakresie.

Naczelny Sąd Administracyjny wydał ważne dla ochrony prywatności w mediach społecznościowych orzeczenie, rozstrzygając sprawę publicznego udostępnienia wyroku sądowego zawierającego dane osobowe na portalu Facebook. Wyrok z 16 października 2024 r. (sygn. akt III OSK 4984/21) ma fundamentalne znaczenie dla interpretacji przepisów RODO w kontekście prywatnych publikacji w internecie.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

Duża część dyskusji w zakresie ochrony danych osobowych krąży wokół tego czy jakieś konkretne dane można uznać za dane osobowe czy nie. Czasami granica jest bardzo cienka. Przykładowo czy sam numer telefonu – bez imienia i nazwiska – może stanowić daną osobową. Wyrok Wojewódzkiego Sądu Administracyjnego we Wrocławiu z 27 marca 2024 r. (II SA/Wa 1378/23) rzuca nowe światło na tę problematykę, jednocześnie poruszając kluczowe aspekty odpowiedzialności administratorów danych osobowych.

Jednym z ciekawszych przypadków wykorzystania danych szczególnej kategorii jest wykorzystanie danych biometrycznych uczniów, które mimo swojej efektywności, budzi istotne wątpliwości prawne. Właśnie tej problematyki dotyczy przełomowy wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (sygn. akt III OSK 4984), który w fundamentalny sposób wpłynął na interpretację przepisów o ochronie danych osobowych w kontekście autonomii woli wyrażonej w zgodzie na przetwarzanie danych.

Administrator danych osobowych prowadząc przedsiębiorstwo, organizację non-profit (NGO) lub też działając jako organ publiczny rzadko kiedy jest w stanie zrealizować wszystkie swoje cele bez udziału lub pomocy podmiotów trzecich. Taką sytuację, w której administrator chce zrealizować swój cel z pomocą innego podmiotu nazywamy powierzeniem przetwarzania danych osobowych.

W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.