Judykatura.pl

28/04/2026

W 35 odcinku podcastu Judykatura.pl zająłem się Digital Omnibus w zakresie zmian dotyczących RODO.

W odcinku krok po kroku przechodzę, przez 14 kluczowych propozycji Komisji Europejskiej mówię o:

- tym, co widzę jako realną zaletę dla wszystkich stron – nie tylko administratorów (m. in. nowa definicja danych osobowych, zmiana podejścia do naruszeń, koniec „plagi” cookie banerów);

- co budzi mój sprzeciw (brak zmiany definicji danych dotyczących zdrowia, utrzymywanie przy życiu ePrivacy);

- jak projektowane przepisy próbują uregulować przetwarzanie danych osobowych w celu rozwoju i działanie systemów AI – także w kontekście nowych podstaw przetwarzania danych szczególnych kategorii.

Jeśli chcesz wiedzieć, jak te zmiany mogą realnie wpłynąć na pracę inspektorów ochrony danych, prawników, compliance i biznesu – oraz gdzie w projekcie widzę największe ryzyka i niewykorzystane szanse – ten odcinek jest właśnie dla Ciebie.

Dla zapisanych na newsletter czeka kod rabatowy -15% (ważny do 15.12.2025!).

I to tutaj zaczyna się opowieść 35 odcinka Podcastu Judykatura.pl

Podcasty Judykatura.pl możesz słuchać przez:
➡️ Naszą stronę: https://judykatura.pl/podcast/digital-omnibus-w-praktyce-projektowane-zmiany-i-ich-konsekwencje/
➡️ Apple Podcast: https://podcasts.apple.com/us/podcast/judykatura-pl/id1585795176
➡️ Spotify: https://open.spotify.com/show/4tWdRw4hqjikZWTKwNkFuX
➡️ Youtube: https://www.youtube.com//podcasts
➡️ RSS: https://judykatura.pl/feed/podcast/

27/04/2026

NSA wyrokiem z 15 kwietnia 2026 r. uchylił wyrok WSA w Warszawie oraz decyzję Prezesa UODO w sprawie dotyczącej przetwarzania numeru telefonu.

Istota rozstrzygnięcia sprowadza się do jednej, bardzo praktycznej tezy: sam numer telefonu nie zawsze stanowi daną osobową w rozumieniu art. 4 pkt 1 RODO.

NSA nie przyjął automatyzmu, zgodnie z którym możliwość wykonania połączenia telefonicznego oznacza możliwość identyfikacji osoby fizycznej. Sąd wskazał, że decydujące znaczenie ma konkretny kontekst oraz realna możliwość powiązania numeru telefonu z dodatkowymi informacjami identyfikującymi daną osobę.

W uzasadnieniu podkreślono, że spółka dysponowała wyłącznie numerem telefonu i nie posiadała innych informacji pozwalających przypisać go do konkretnej osoby. NSA stwierdził wprost, że „sama możliwość wykonania połączenia telefonicznego nie stanowi o możliwości identyfikacji właściciela numeru telefonu”.

To istotne rozstrzygnięcie dla praktyki stosowania RODO. Numer telefonu może być daną osobową, jeżeli jest powiązany z imieniem, nazwiskiem, kontem klienta, umową, historią kontaktu albo innymi informacjami identyfikującymi. Nie wynika to jednak automatycznie z samego faktu posiadania numeru.

Wyrok przypomina, że szeroka definicja danych osobowych nie oznacza definicji nieograniczonej. Organ nadzorczy, chcąc stwierdzić naruszenie RODO, musi wykazać konkretny mechanizm identyfikacji osoby fizycznej, a nie poprzestać na ogólnym założeniu, że numer telefonu „dotyczy człowieka”.

Wyszukiwarka orzecznictwa związanego z Ochroną Danych Osobowych (RODO). Unikatowa platforma łączy orzecznictwa sądów administracyjnych, powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

24/04/2026

🎧 Zyskaj przewagę dzięki wiedzy:
Podcasty to Twoje niezawodne źródło najświeższych informacji o orzeczeniach i decyzjach związanych z RODO – zawsze na bieżąco!

🧠 Eksperci w zasięgu ręki:
Słuchaj analiz i opinii autora Judykatura.pl, uznanego specjalisty w dziedzinie ochrony danych osobowych.

💡 Wskazówki na wagę złota:
Dowiedz się, jak skutecznie stosować przepisy RODO w codziennej pracy – praktyczne porady czekają na Ciebie.

W ubiegłym miesiącu zgłębialiśmy trzy kluczowe zagadnienia, które każdy specjalista ds. RODO powinien znać.

Nie przegap szansy na rozwój i aktualną wiedzę – włącz podcast i bądź na bieżąco!

Odcinek 28
Powództwo przedstawicielskie w RODO
https://judykatura.pl/podcast/powodztwo-przedstawicielskie-w-rodo/

Odcinek 29:
NSA o interpretacji zasady minimalizacji danych
https://judykatura.pl/podcast/nsa-o-interpretacji-zasady-minimalizacji-danych/

Odcinek 30:
TSUE: Czy koniecznym jest udostępnianie algorytmów profilujących
https://judykatura.pl/podcast/tsue-czy-koniecznym-jest-udostepnianie-algorytmow-profilujacych/

Odcinki podcastu dostępne są na stronie https://judykatura.pl/podcast oraz w popularnych aplikacjach do podcastów.

Nie czekaj - posłuchaj już dziś!

Podcasty Judykatura.pl możesz słuchać w:
➡️ Apple Podcasts: https://podcasts.apple.com/us/podcast/judykatura-pl/id1585795176
➡️ Spotify: https://open.spotify.com/show/4tWdRw4hqjikZWTKwNkFuX
➡️ Youtube: https://www.youtube.com//podcasts
➡️ RSS: https://judykatura.pl/feed/podcast/

21/04/2026

Odkryj najpełniejsze źródło wiedzy o orzeczeniach RODO w Polsce! Na Judykatura.pl znajdziesz ponad 3000 orzeczeń, wytycznych i decyzji administracyjnych, dostępnych w unikalnym i kompleksowym zakresie.

Nasza nowoczesna wyszukiwarka łączy orzecznictwo z różnorodnych źródeł: sądów administracyjnych, powszechnych, trybunałów oraz organów nadzorczych, zapewniając pełną perspektywę prawną.

Nie przegap żadnego ważnego orzeczenia – bądź zawsze na bieżąco z kluczowymi regulacjami!

Załóż konto i wykup subskrypcję online z łatwymi płatnościami elektronicznymi. Preferujesz przelew tradycyjny i fakturę? Złóż zamówienie mailowo – to równie proste!

Judykatura.pl to jedyny taki serwis, który wspiera Ciebie i Twoją organizację w zgłębianiu prawa RODO. Nie czekaj – dołącz już dziś!wytyczne RODO!

Wyszukiwarka orzecznictwa związanego z Ochroną Danych Osobowych (RODO). Unikatowa platforma łączy orzecznictwa sądów administracyjnych, powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

20/04/2026

To nie jest kolejny wyrok, w którym NSA po prostu „nie zgodził się” z WSA. To znacznie ciekawsza sprawa.

Wyrokiem z 13 marca 2026 r. Naczelny Sąd Administracyjny uchylił wyrok WSA w Warszawie dotyczący upomnienia nałożonego w sprawie przetwarzania danych osobowych przez podmiot przetwarzający działający w modelu windykacyjnym. I zrobił to z powodu, który dla praktyki RODO ma znaczenie pierwszorzędne: sąd I instancji nie wyjaśnił w sposób wystarczający podstawy prawnej swojego rozstrzygnięcia, a jego uzasadnienie zawierało oceny, których nie dało się ze sobą pogodzić.

W centrum sprawy znalazło się pytanie o granice odpowiedzialności procesora. Prezes UODO przyjął, że administrator naruszył art. 14 RODO, a administrator i procesor odpowiadają za bezpodstawne przetwarzanie danych na gruncie art. 5 ust. 1 lit. a i d oraz art. 6 ust. 1 w zw. z art. 28 RODO. WSA oddalił skargę procesora, ale zrobił to w sposób, który nie przetrwał kontroli kasacyjnej.

NSA zwrócił uwagę na coś naprawdę istotnego. Z jednej strony WSA przyjął, że procesor co do zasady działa na podstawie art. 28 ust. 3 RODO i że to administrator odpowiada za przestrzeganie zasad przetwarzania. Z drugiej strony przypisał temu samemu procesorowi odpowiedzialność za naruszenie zasady prawidłowości danych z art. 5 ust. 1 lit. d RODO, nie wyjaśniając przekonująco, dlaczego taką odpowiedzialność mu przypisuje.

To jednak nie wszystko. NSA podkreślił również, że WSA zbyt lakonicznie potraktował samo rozumienie pojęcia „dłużnika” oraz „danych dłużnika”. A właśnie to mogło mieć zasadnicze znaczenie dla oceny całej sprawy.

To orzeczenie trzeba przeczytać uważnie, bo nie daje prostych odpowiedzi, lecz pokazuje, gdzie kończy się skrót myślowy, a zaczyna realny problem wykładni art. 5, 6 i 28 RODO.

Na Judykatura.pl omawiamy ten wyrok dokładnie, z cytatami i z pokazaniem, co NSA rzeczywiście powiedział, a czego jeszcze nie przesądził. Jeżeli zawodowo zajmujesz się RODO, compliance albo odpowiedzialnością administratora i procesora, tego wpisu nie warto pomijać.

Wyszukiwarka orzecznictwa związanego z Ochroną Danych Osobowych (RODO). Unikatowa platforma łączy orzecznictwa sądów administracyjnych, powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

17/04/2026

Były pracownik banku przez ponad 7 miesięcy po zakończeniu zatrudnienia zachował dostęp do konta PUE ZUS swojego byłego pracodawcy.

W tym czasie kilkukrotnie logował się do systemu. Sprawa trafiła do Prezesa UODO, a następnie do sądów administracyjnych. Zarówno organ, jak i WSA w Warszawie oraz NSA przyjęły zgodnie, że w takiej sytuacji bank miał obowiązek zawiadomić osoby, których dane dotyczyły, o naruszeniu ochrony danych osobowych.

Sedno sprawy dotyczyło art. 34 RODO.

Przepis ten nakazuje zawiadomić osobę fizyczną o naruszeniu ochrony danych osobowych wtedy, gdy naruszenie może powodować wysokie ryzyko dla jej praw lub wolności. W praktyce chodzi o sytuacje, w których osoba, której dane dotyczą, powinna otrzymać informację o incydencie, aby móc sama ocenić zagrożenie i podjąć działania ochronne.

Prezes UODO w decyzji ze stycznia 2022 r. uznał, że bank naruszył ten obowiązek. Organ stwierdził, że bank nie zawiadomił bez zbędnej zwłoki osób, których dane były objęte incydentem, i nałożył administracyjną karę pieniężną w wysokości 545 748 zł. Chodziło o dane pracowników przetwarzane na Platformie Usług Elektronicznych ZUS, obejmujące imiona i nazwiska, adresy zamieszkania lub pobytu, numery PESEL oraz informacje o zwolnieniach lekarskich, a więc również dane dotyczące zdrowia.

W uzasadnieniu organ bardzo wyraźnie podkreślił, że obowiązek zawiadomienia nie zależy od tego, czy szkoda już wystąpiła. Kluczowe jest samo ryzyko. Prezes UODO wskazał, że zawiadomienie osoby fizycznej ma dać jej możliwość oceny sytuacji i pozwolić na reakcję, zanim dojdzie do dalszych negatywnych skutków. To ważna teza, bo w praktyce administratorzy często próbują bronić się argumentem, że nikt nie udowodnił jeszcze realnego wykorzystania danych.

WSA w Warszawie w listopadzie 2022 r. oddalił skargę banku. Sąd uznał, że organ prawidłowo ocenił sprawę. Za szczególnie istotne uznano trzy elementy. Po pierwsze, zakres danych był szeroki i obejmował także informacje zdrowotne. Po drugie, problem dotyczył aż 10 500 osób.

NSA w marcu 2026 r. potwierdził ten kierunek wykładni. NSA wyraźnie zaznaczył, że w tej sprawie nie było konieczne ustalenie, z jakimi konkretnie danymi były pracownik rzeczywiście się zapoznał.

Nie trzeba też było wykazywać, że dane zostały faktycznie wykorzystane.

NSA odniósł się także do charakteru danych z elektronicznych zwolnień lekarskich. Nie podzielił stanowiska, że nie są to dane dotyczące zdrowia. Przeciwnie, wskazał, że sam fakt uzyskania zwolnienia lekarskiego ujawnia informację o stanie zdrowia osoby fizycznej, a więc mamy do czynienia z danymi szczególnie chronionymi.

Wyszukiwarka orzecznictwa związanego z Ochroną Danych Osobowych (RODO). Unikatowa platforma łączy orzecznictwa sądów administracyjnych, powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

15/04/2026

TSUE: państwa członkowskie mogą określać krajowe terminy przedawnienia

Trybunał Sprawiedliwości Unii Europejskiej uznał, że prawo Unii nie sprzeciwia się temu, aby prawo krajowe przewidywało termin przedawnienia wynoszący trzy lata dla ścigania naruszenia oraz pięć lat dla nałożenia kary. Jednocześnie Trybunał wyraźnie wskazał, że państwo członkowskie nie może uzależniać ukarania osoby prawnej od tego, aby wcześniej konkretna osoba fizyczna uzyskała formalny status podejrzanego.

Sprawa dotyczyła postępowania prowadzonego w Austrii. Tamtejszy organ nadzoru nad rynkami finansowymi nałożył na Steiermärkische Bank und Sparkassen AG karę za naruszenie obowiązków należytej staranności w zakresie przeciwdziałania praniu pieniędzy. Na tle tej sprawy austriacki sąd zwrócił się do TSUE z pytaniem, czy prawo Unii dopuszcza krajowe przepisy, które z jednej strony przewidują określone terminy przedawnienia, a z drugiej uzależniają odpowiedzialność osoby prawnej od uprzedniego przypisania naruszenia konkretnej osobie fizycznej.

W odniesieniu do tej drugiej kwestii TSUE zajął stanowisko jednoznaczne.

Uznał, że przepisy dyrektywy 2015/849 stoją na przeszkodzie takim regulacjom krajowym, które wymagają, aby przed ukaraniem osoby prawnej osoba fizyczna została formalnie uznana za podejrzaną, a sama decyzja sankcyjna wskazywała ją imiennie i stwierdzała, że dopuściła się bezprawnego i zawinionego naruszenia przypisywanego następnie osobie prawnej.

Inaczej Trybunał ocenił kwestię terminów przedawnienia.

Przypomniał, że w braku szczegółowych unijnych regulacji państwa członkowskie zachowują kompetencję do określania własnych zasad proceduralnych, o ile respektują zasady równoważności i skuteczności. TSUE podkreślił również, że rozsądne terminy przedawnienia służą pewności prawa. Z tego względu uznał, że termin trzech lat dla ścigania naruszenia oraz pięciu lat dla nałożenia kary co do zasady pozostaje zgodny z prawem Unii.

W rezultacie wyrok TSUE prowadzi do dwóch podstawowych wniosków.

Po pierwsze, państwa członkowskie mogą ustanawiać krajowe terminy przedawnienia tego rodzaju naruszeń.

Po drugie, nie mogą konstruować odpowiedzialności osoby prawnej w taki sposób, aby jej ukaranie było uzależnione od wcześniejszego formalnego postawienia zarzutów konkretnej osobie fizycznej i od imiennego przypisania jej zawinionego naruszenia w decyzji sankcyjnej.

Wyszukiwarka orzecznictwa związanego z Ochroną Danych Osobowych (RODO). Unikatowa platforma łączy orzecznictwa sądów administracyjnych, powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

08/04/2026

NSA uchyla wyrok WSA w sprawie kary blisko 5 mln zł za brak nadzoru nad podmiotem przetwarzającym

Prezes UODO decyzją ze stycznia 2022 r. nałożył na administratora administracyjną karę pieniężną w wysokości 4 911 732 zł, stwierdzając naruszenie art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 RODO.

Podstawą rozstrzygnięcia było ustalenie, że administrator nie sprawował należytego nadzoru nad podmiotem przetwarzającym. To właśnie ten podmiot miał dopuścić do błędnej konfiguracji serwera wirtualnego, co w konsekwencji doprowadziło do naruszenia zasady poufności danych osobowych.

Wyrokiem z października 2022 r. WSA w Warszawie uchylił decyzję Prezesa UODO. Sąd I instancji uznał, że organ nie ustalił w sposób należyty stanu faktycznego sprawy, naruszając tym samym art. 107 § 3 k.p.a. W ocenie WSA organ poprzestał na przytoczeniu oświadczeń stron, nie dokonując ich oceny z punktu widzenia wiarygodności i mocy dowodowej.

Sąd wskazał także, że nie została jednoznacznie rozstrzygnięta kwestia kluczowa z perspektywy art. 83 RODO, a mianowicie, czy doszło do rzeczywistego wycieku danych osobowych, czy jedynie do krótkotrwałej możliwości uzyskania do nich nieuprawnionego dostępu.

NSA w lutym 2026 r. ocenił to stanowisko jako błędne. W uzasadnieniu wyroku wskazał, że organ zgromadził kompletny materiał dowodowy, obejmujący m. in. zgłoszenie naruszenia ochrony danych osobowych, dokumenty oraz wyjaśnienia stron, a następnie poddał go wszechstronnej ocenie zgodnie z zasadą swobodnej oceny dowodów.

Za niezrozumiałe NSA uznał stanowisko WSA, jakoby w sprawie brakowało ustaleń odnoszących się zarówno do zakresu nadzoru sprawowanego przez administratora nad podmiotem przetwarzającym, jak i do skutków samego naruszenia.

W konsekwencji NSA uchylił wyrok WSA i przekazał sprawę temu sądowi do ponownego rozpoznania formułując przy tym wiążącą ocenę, że kompletność ustaleń faktycznych poczynionych przez organ nie budzi wątpliwości.

Wyszukiwarka orzecznictwa związanego z Ochroną Danych Osobowych (RODO). Unikatowa platforma łączy orzecznictwa sądów administracyjnych, powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.