Prezes Urzędu Ochrony Danych Osobowych nałożył kary administracyjne na jednostki sektora prywatnego i publicznego, a także podmioty prowadzące działalność hybrydową, jak komornicy sądowi. W 2024 r. łączna kwota kar wyniosła ok. 13 ml zł i był one nakładane głównie na przedsiębiorstwa. Z kolei w 2023 r. łączna kwota kar wyniosła ok. 1 mln zł.
– Wysokie kary (w tym roku - red.) to wynik kończenia pewnych długo ciągnących się postępowań wobec dużych przedsiębiorców, w tym banków i Poczty Polskiej; to duże sprawy, gdzie naruszenia były potężne – poinformował prezes Urzędu Ochrony Danych Osobowych w rozmowie z PAP.
– Wydaje mi się, że kary są proporcjonalne i adekwatne do konkretnych przewinień – zaznaczył. Dodał, że w styczniu br. "udało mu się zreorganizować urząd", co usprawniło pracę UODO. Wskazał też, że wzrost łącznej kwoty kar rok do roku to "urealnienie", które wynika z dużego obrotu polskich przedsiębiorstw.
– To jest też trochę efekt naszego rozwoju gospodarczego, a z drugiej strony – zbliżenia się do standardów w Unii Europejskiej – mówił Wróblewski. Zauważył, że kary nakładane przez urzędy ochrony danych osobowych w Irlandii czy we Francji są wyższe niż w Polsce, w przeliczeniu na złotówki.
"Zamiatanie spraw pod dywan"
Prezes UODO wskazał, że ukarane naruszenia często dotyczyły nieprawidłowości związanych z analizą ryzyka, z jej błędnym przeprowadzeniem albo zupełnie nietrafną analizą, czyli "z brakiem refleksji okoliczności budowania systemu zapewniającego skuteczną ochronę danych na samym początku".
– Bardzo dużą rolę przykładamy też do zabezpieczeń technicznych, organizacyjnych, ich monitorowania, aktualizowania, audytowania po to, żeby bezpieczeństwo danych osobowych było zapewniane – mówił prezes urzędu.
Podał, że w br., karane było również niezgłaszanie incydentów cyberbezpieczeństwa do UODO, czyli "zamiatanie spraw pod dywan". Wróblewski zaznaczył, że nie warto tego robić, bo sprawy często i tak docierają do urzędu, m.in. na skutek skarg składanych przez osoby prywatne.
Podkreślił też, że w obecnych czasach "bardzo wielu" cyberataków bezpieczeństwo danych osobowych należy postrzegać w świetle bezpieczeństwa państwa.
– UODO razem z Europejską Radą Ochrony Danych Osobowych (EROD) i Europejskim Inspektorem Ochrony Danych (EIOD) rozpoczął prace nad wspólną opinią dotyczącą propozycji pakietu deregulacyjnego o nazwie Digital Omnibus (cyfrowy omnibus), opublikowanego przez Komisję Europejską w ubiegłym tygodniu – przekazał Wróblewski. Dodał, że EIOD ma osiem tygodni na przygotowanie tej opinii.
– Jest wiele wątpliwości i pytań dotyczących szczegółowych rozwiązań (propozycji KE - PAP), które muszą być wcześniej wyjaśnione, także w świetle orzecznictwa Trybunału Sprawiedliwości – zaznaczył.
Wyjaśnił, że wątpliwości budzą m.in. rozwiązania dotyczące trenowania algorytmów sztucznej inteligencji czy danych w obszarze zdrowia. Dodał, że popiera niektóre rozwiązania zawarte w Omnibusie, związane z ułatwieniami dla biznesu, m.in. ws. stworzenia jednego punktu kontaktowego do zgłaszania incydentów cyberbezpieczeństwa i ochrony danych.
Co z chat control?
– To rozwiązanie realizujemy już na poziomie krajowym. Jestem bardzo zadowolony, że udało nam się podpisać w ostatnim czasie z ministrem cyfryzacji, premierem Gawkowskim porozumienie dotyczącego tak zwanego systemu S46, czyli jednego punktu zgłoszeń – zaznaczył.
Wróblewski odniósł się też do propozycji Danii nazywanej chat control. Zakłada ona dobrowolne skanowanie wiadomości wysłanych przez użytkowników na komunikatorach internetowych w celu wykrywania materiałów przedstawiających wykorzystanie seksualne dzieci.
– Obecna propozycja jest daleko idąca i budzi wątpliwości co do poszanowania ochrony danych osobowych; co do możliwości kontrolowania treści przesyłanych przez komunikatory – ocenił Wróblewski.
– W moim przekonaniu to jest problem, który musi być rozwiązany na gruncie skutecznej weryfikacji atrybutu wieku, przy zachowaniu anonimowości użytkowników sieci, ale w taki sposób, żeby z treściami nielegalnymi, pornograficznymi, wiadomościami ze strony przestępców seksualnych, dzieci nie miały kontaktu – podkreślił prezes UODO.
Wskazał, że w przypadku kontroli osób dorosłych "należy znaleźć odpowiednie rozwiązania technologiczne", które pozwolą na ochronę danych osobowych przy jednoczesnym spełnieniu celu, jakim jest zapobieganie przestępstwom związanym z ochroną małoletnich.
– Dzisiaj propozycje prezydencji duńskiej wydają się tego celu jeszcze nie spełniać – ocenił.
Projekt uproszczenia przepisów
19 listopada Komisja Europejska przedstawiła projekt uproszczenia przepisów cyfrowych - Digital Omnibus. Zakłada on opóźnienie o co najmniej rok, nawet do grudnia 2027 r., obowiązywanie części przepisów unijnego aktu o sztucznej inteligencji, zmiany w przepisach RODO, dotyczących ochrony danych, uproszczenie regulacji dotyczących plików cookie oraz sprawozdawczości w zakresie cyberbezpieczeństwa.
17 listopada grupa robocza w Radzie Unii Europejskiej zaakceptowała propozycję Danii ws. zamiany unijnego rozporządzenia dot. walki z materiałami przedstawiającymi wykorzystywanie seksualne dzieci (CSAM). Propozycja zakłada, że państwa członkowskie UE będą mogły zastosować wobec usługodawców zasadę dobrowolnego skanowania wiadomości wysyłanych przez osoby prywatne w komunikatorach internetowych.
Dania, która sprawuje obecnie prezydencję w Radzie UE, stwierdziła, że to kompromis, który ma zażegnać spór wokół omawianej regulacji, nazywanej "chat control" (kontrola czatu). Eksperci cyberbezpieczeństwa wskazali jednak, że rozwiązanie może wprowadzać inwigilację "tylnymi drzwiami". Wicepremier i minister cyfryzacji zapowiedział w rozmowie z PAP, że "Polska nigdy nie zgodzi się na jakiekolwiek obowiązkowe skanowanie"; a ostateczne stanowisko polskiego rządu będzie zależało od tego, jak będzie wyglądał tekst rozporządzenia przygotowywanego podczas duńskiej prezydencji w Radzie Unii Europejskiej.
Kary dla banków
W 2025 r. prezes UODO m.in. ukarał Toyota Bank Polska kwotami ponad 314 tys. zł za profilowanie danych klientów bez uwzględnienia tego w odpowiednim rejestrze oraz prawie 262 tys. zł za nieodpowiednie usytuowanie inspektora ochrony danych osobowych. Z kolei na ING Bank Śląski została nałożona kara w wysokości 18,4 mln zł za skanowanie dokumentów tożsamości klientów. Bank zapowiedział zaskarżenie decyzji, wskazując jako powód pobierania skanów przepisy o przeciwdziałaniu praniu pieniędzy.
W marcu 2025 roku Prezes UODO podał, że zdecydował o nałożeniu kary na Pocztę Polską i ministra cyfryzacji w wysokości – odpowiednio – 27 mln zł i 100 tys. zł w związku z organizacją tzw. wyborów korespondencyjnych w 2020 r. W przypadku Poczty chodziło o przetwarzanie danych osobowych bez podstawy prawnej.
Z kolei w czerwcu br. Prezes UODO złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, zaskarżając wyrok WSA uwzględniający skargę Santander Bank Polska SA wobec nałożonej przez Prezesa UODO kary pieniężnej w wysokości 1 440 549 zł. Sprawa dotyczyła zdarzenia z 2018 r., kiedy dokumenty bankowe zawierające dane osobowe zostały skradzione, a potem porzucone na śmietniku; jak podał urząd, chodziło o naruszenie przepisów o ochronie danych osobowych i o niezgłoszenie Prezesowi UODO przez bank incydentu naruszenia ochrony danych osobowych.
Źródło: PAP
