3 kwietnia 2026 r. weszła w życie duża nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca w Polsce dyrektywę NIS2. I choć wiele organizacji kojarzy nowe przepisy głównie z „dużymi operatorami infrastruktury krytycznej”, w praktyce ustawa obejmuje dziś znacznie szerszą grupę podmiotów – również samorządy, spółki komunalne, instytucje kultury, dostawców IT czy średnie firmy świadczące usługi cyfrowe.

W ostatnich tygodniach bardzo często słyszę pytania:

• „Czy nas to już dotyczy?”,
• „Czy musimy się rejestrować?”,
• „Skąd mamy wiedzieć, czy jesteśmy podmiotem ważnym albo kluczowym?”,
• „Czy trzeba czekać na decyzję ministra?”,
• „Czy infrastruktura krytyczna to to samo co podmiot kluczowy?”.

Postaram się udzielić prostych odpowiedzi na te pytania. Najważniejsze brzmi:

Kiedy podmiot zostaje uznany za podmiot kluczowy lub podmiot ważny w rozumieniu ustawy KSC?

Nowelizacja odeszła od wcześniejszego modelu „operatorów usług kluczowych” i wprowadziła dwa nowe poziomy podmiotów, tzn. kluczowe i ważne. Obie grupy są częścią krajowego systemu cyberbezpieczeństwa (zgodnie z art. 4 ustawy KSC) i najprościej mówiąc:

• podmiot kluczowy to organizacja o największym znaczeniu dla państwa, gospodarki lub społeczeństwa,
• podmiot ważny to organizacja istotna, ale o nieco mniejszym znaczeniu systemowym.

W praktyce obie grupy mają bardzo podobne obowiązki dotyczące cyberbezpieczeństwa, zarządzania ryzykiem, zgłaszania incydentów, audytów bezpieczeństwa. Różnice dotyczą głównie poziomu nadzoru i potencjalnych konsekwencji.

Do ustalenia statusu organizacji kluczowe jest sprawdzenie warunków wskazanych w art. 5 ustawy, które określają warunki kwalifikacji.

Read More →

Jest 16:43. Kończę dzień, lista rzeczy „na jutro” już gotowa, jeszcze tylko szybkie spojrzenie na skrzynkę. I wtedy telefon: „Dzień dobry, chyba doszło do incydentu – wysłałem e-mail do kilku osób, ale jedna z nich nie była właściwym odbiorcą. Program podpowiedział…”. W tym momencie już wiem, że to nie będzie spokojne zamknięcie dnia. W głowie od razu pojawia się lista pytań: jakie dane zostały ujawnione, do ilu osób, czy odbiorcy się znają, czy ktoś już zdążył kliknąć „odpowiedz wszystkim”? Bo doświadczenie podpowiada jedno — problem bardzo rzadko kończy się na jednym błędzie.

Scenariusz jest zazwyczaj podobny. Ktoś wpisuje odbiorcę, system podpowiada adres, klik — pierwszy z listy. Albo wiadomość trafia do szerszej grupy w polu DW, bo „tak było szybciej”. Na tym etapie wydaje się, że to tylko drobna pomyłka.

Ale to dopiero początek.

Po chwili zaczynają pojawiać się odpowiedzi. Najpierw ktoś uprzejmie pisze, że to chyba nie do niego. Potem ktoś prosi o usunięcie z listy. A potem pojawia się klasyczne „odpowiedz wszystkim”. I w tym momencie sytuacja wymyka się spod kontroli — ujawnia się pełna lista adresów, w stopkach pojawiają się imiona, nazwiska, stanowiska, numery telefonów. Ktoś dorzuca dodatkowe informacje „przy okazji”, ktoś zadaje pytanie do całej grupy. Z jednego maila robi się chaotyczna, publiczna wymiana informacji.

Z perspektywy IOD to już nie jest pomyłka. To jest rozwijające się naruszenie.

Read More →

Realizacja praw osób, których dane dotyczą (art. 15–22 RODO), w teorii wydaje się prosta. W praktyce już na wstępie pojawia się problem – skąd mamy wiedzieć, że osoba, która pisze do nas z wnioskiem, to faktycznie ta osoba, której dane dotyczą? Poza tym jak przeprowadzić właściwą weryfikację tożsamości, aby zachować równowagę między bezpieczeństwem a proporcjonalnością.
Zgodnie z art. 12 ust. 6 RODO „Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej wniosek, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości.” Dwie rzeczy są tu kluczowe: „uzasadnione wątpliwości” – nie zawsze, nie automatycznie, a także to, że „niezbędnych” informacji – oznacza, że nie dowolnych, nie nadmiarowych.

Zatem weryfikacja tożsamości wnioskodawcy musi być:
• proporcjonalna,
• adekwatna do relacji z tą osobą,
• adekwatna do kategorii już przetwarzanych danych,
• adekwatna do ryzyka naruszenia praw i wolności.

Jak działa to w praktyce? Wyobraźmy sobie, że firma otrzymuje żądanie kopii danych od osoby, zapisanej do jej newslettera. W takiej sytuacji firma przetwarza jedynie adres e-mail i ewentualne informacje o sposobie i czasie wyrażenia zgody na otrzymywanie wiadomości.
Jeżeli wniosek przyszedł z adresu zapisanej skrzynki oraz brak znanych okoliczności wskazujących na przejęcie konta (np. publiczne informacje o takim zdarzeniu), można uznać to za wystarczającą weryfikację. Nie ma podstaw do żądania dodatkowych danych. Natomiast ważne jest, aby kopię danych wysłać na adres e-mail posiadany w bazie.
Natomiast jeżeli wniosek przyszedł z innego adresu, niezbędne jest zastosowanie dodatkowego mechanizmu weryfikacji, np. wysłanie linku weryfikacyjnego na zapisany adres.

W takim wypadku można poinformować wnioskodawcę o konieczności potwierdzenia tożsamości:
Otrzymaliśmy wniosek dotyczący realizacji prawa związanego z przetwarzaniem danych osobowych. W celu zapewnienia bezpieczeństwa danych oraz potwierdzenia tożsamości osoby składającej wniosek, wysłaliśmy wiadomość zawierającą link weryfikacyjny na adres e-mail znajdujący się w naszej bazie subskrybentów.

Read More →

Od dawna nie było tu nowego wpisu. Nie dlatego, że zabrakło tematów – wręcz przeciwnie. W ciągu kilku ostatnich miesięcy zmarło kilka bardzo bliskich mi osób. To był czas, w którym musiałam na chwilę zwolnić, złapać oddech i poukładać swoje sprawy. Wracam jednak z tematem trudnym, ale niezwykle potrzebnym. Tematem, który pokazuje, że RODO nie jest przepisem „przeciwko ludziom”, lecz – w określonych sytuacjach – dla ochrony życia i zdrowia.

Historia, która nie powinna się wydarzyć

Ostatnio usłyszałam historię, która nie daje mi spokoju.

Dziewczyna nie przyszła do pracy. Pracowała tam od kilkunastu lat. Nigdy wcześniej nie zdarzyło się, by nie przyszła bez uprzedzenia. Nigdy nie było problemu z kontaktem. Tym razem – cisza. Telefon milczał.

Koledzy z pracy wiedzieli, że samotnie wychowuje dziecko z niepełnosprawnością. Zaczęli się obawiać, że mogło stać się coś poważnego – jej, dziecku albo im obojgu. Nie był to impuls ani plotka. Było to racjonalne zaniepokojenie oparte na wieloletniej znajomości i konkretnych okolicznościach.

Jedna z koleżanek przypomniała sobie, że wiele lat temu – „na wszelki wypadek” – dostała od niej klucz do mieszkania. Problem w tym, że nie pamiętała dokładnego adresu. Wiedziała tylko, w jakiej okolicy i w którym bloku może mieszkać.

Koledzy zadzwonili do kadr. Opisali sytuację. Wskazali, że chodzi o realną obawę o życie i zdrowie pracownicy oraz jej dziecka. Poprosili o podanie adresu zamieszkania. Kadry odmówiły. Powołały się na ochronę prywatności pracownika.

Koledzy zdecydowali się działać sami. Ustalili blok, chodzili od drzwi do drzwi, pytali sąsiadów. W końcu ktoś wskazał właściwe mieszkanie. Gdy weszli do środka – było już za późno. Dziewczyna nie żyła.

Read More →

Od kilku miesięcy dostaję od Was coraz więcej pytań o to, czy Inspektor Ochrony Danych może korzystać z narzędzi typu ChatGPT w codziennej pracy, np. generowanie klauzul informacyjnych, inni o wsparcie w analizie ryzyka, jeszcze inni o szybkie sprawdzenie przepisu czy wytycznych EROD. Rzeczywiście – ChatGPT potrafi być ogromnym ułatwieniem, ale tylko wtedy, gdy korzystamy z niego z głową.

ChatGPT a dane osobowe

Najważniejsza zasada: nie powinniśmy wprowadzać do ChatGPT danych osobowych – zwłaszcza tych, które powierzono nam jako IOD. Nawet jeśli narzędzie zapewnia pewne opcje prywatności, to wciąż mamy do czynienia z usługą chmurową i nie możemy w pełni kontrolować, co dzieje się z treściami wpisywanymi do modelu.

To oznacza, że nie podajemy nazwisk, adresów e-mail, PESEL-i czy danych pracowników/pacjentów/klientów. Na tej samej zasadzie trzeba uważać na kopiowanie raportów z audytów, podatności systemów, czy rejestru naruszeń – które mogą ujawnić potencjalnym oszustom, w jaki sposób włamać się do infrastruktury administratora. Możemy natomiast pracować na anonimizowanych przykładach – np. zamiast „Jan Kowalski, adres…” wpisujemy „Pracownik A, dane kontaktowe…”.

Wersja biznesowa a dane osobowe

Wersja ChatGPT Enterprise / Team różni się od darmowej tym, że dostawca deklaruje możliwość wyłączenia wykorzystywania danych do trenowania modelu (czyli nie powinny przypadkowo „wypłynąć” przy okazji innego zapytania). Pojawia się więc pytanie: czy można tam wprowadzać dane osobowe?

Teoretycznie tak, ale z pełną formalizacją i dużą ostrożnością.

Read More →

Spoglądasz na telefon, a tam kilkanaście wiadomości z pytaniami „co z Tobą”? Do wiadomości jest dołączony link o filmu. Jesteś w tym filmie. Twój głos, twarz, gesty. Film przedstawia Cię, jak mówisz coś, czego nigdy nie powiedziałeś. Albo robisz coś, czego nigdy nie zrobiłeś. Ludzie to oglądają. Komentują. Osądzają. Rodzina i znajomi z pracy wymagają wyjaśnień. Ludzie zaczynają rozpoznawać Cię na ulicy, ale to nie jest miłe. Tak działa deepfake technologia potrafi ukraść Ci twarz, głos i reputację.

Dzięki rozwojowi generatywnej sztucznej inteligencji (GenAI), możliwe stało się tworzenie niewiarygodnie realistycznych materiałów multiedialnych. Te narzędzia potrafią odtworzyć człowieka w najmniejszym detalu, na podstawie niewielkich próbek (zdjęcia, krótkie nagrania). Z jednej strony to potężne narzędzie kreatywne. Z drugiej – broń dezinformacji, szantażu i manipulacji.

Polskie prawo cywilne oraz przepisy o ochronie danych osobowych, stanowią narzędzie do dochodzenia swoich praw, w przypadku naruszenia prywatności, czy dóbr osobistych, jak wizerunek. Jednak są to narzędzia działające bardzo powoli, często przenoszące ciężar udowodnienia faktycznej szkody na ofiarę. Gdy zapadnie wyrok, często nie ma to już większego znaczenia dla osoby poszkodowanej, która nieodwracanie utraciła reputację, zaufanie społeczne, anonimowość. Potrzebne są narzędzia, które działają szybciej i skuteczniej.

Read More →

W maju 2025 roku TikTok Technologies został ukarany przez irlandzki organ nadzorczy karą finansową w wysokości 530 mln euro za niezgodne z RODO przekazywanie danych osobowych użytkowników do Chin. Decyzja ta dobitnie pokazuje, że korzystanie z tej platformy wiąże się z wysokim ryzykiem dla ochrony danych osobowych – zarówno z punktu widzenia zgodności z przepisami, jak i faktycznej kontroli nad przepływem danych.

Brak kontroli nad danymi i nielegalny transfer do państwa trzeciego

Organ nadzorczy stwierdził, że TikTok nie tylko przekazuje dane do Chin, państwa które nie zapewnia wystarczających gwarancji prywatności, ale też celowo wprowadza użytkowników w błąd, nie informując o tym transferze w swoich politykach prywatności. W praktyce oznacza to, że administratorzy, którzy decydują się na publikowanie danych osobowych (np. wizerunku pracowników, uczniów, uczestników wydarzeń itp.) za pośrednictwem TikToka, nie są w stanie zagwarantować zgodnego z prawem zabezpieczenia tych danych.

W praktyce oznacza to, że dalsza publikacja danych na TikTok, wymaga dodatkowej zgody.

Zgodnie z art. 49 ust. 1 lit. a RODO, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony, może nastąpić wyłącznie na podstawie wyraźnej zgody osoby, której dane dotyczą. Co istotne, zgoda ta musi być:

• świadoma – osoba musi wiedzieć, że jej dane będą przekazywane do Chin,
• dobrowolna – nie może być wymuszana ani uzależniona od skorzystania z usługi,
• konkretna i jednoznaczna – nie może być domyślna ani dorozumiana,
• poprzedzona poinformowaniem o potencjalnych ryzykach, wynikających z braku odpowiedniego poziomu ochrony danych w państwie trzecim.

Praktyczne uzyskanie takiej zgody – zwłaszcza w przypadku dzieci, osób zależnych czy uczestników wydarzeń – jest niezwykle trudne i obarczone znacznym ryzykiem prawnym. Ma to zastosowanie także do danych, które już zostały opublikowane na TikToku.

W przypadku braku zgód, administrator powinien niezwłocznie usunąć dane, gdyż ich dalsza publikacja (szczególnie zdjęć dzieci), będzie stanowić naruszenie RODO.

Należy pokreślić, że kwestia legalności publikowania danych, w związku z ich transferem to nie jedyny problem administratorów, którzy chcą w dalszym ciągu promować swoje działania na TikToku. Należałoby przeprowadzić ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, aby ocenić, czy dalsze prowadzenie profilu w TikToku będzie możliwe.

Read More →

Chyba dawno nie było tak wielkiego poruszenia w branży ochrony danych osobowych, jak po aktualizacji poradnika dotyczącego naruszeń. Już pierwszy poradnik wydany kilka lat temu wzbudził silne emocje, ale najważniejsze jest to, że stał się punktem wyjścia do masowego stosowania kalkulatorów oceny ryzyka naruszenia. Administratorzy bardzo często opierali swoje decyzje zgłoszenia lub nie naruszenia do organu nadzorczego na narzędziach opracowanych na podstawie jednej z zaleconych w tym poradniku metod. Natomiast w decyzjach Prezesa UODO coraz częściej pojawiało się stwierdzenie, że administrator niewłaściwie ocenił ryzyko. W konsekwencji najczęściej organ nakładał karę za niezgłoszenie naruszenia. W nowym poradniku przemilczano temat metody oceny ryzyka naruszenia wg wytycznych ENISA. Natomiast zaprezentowano „nowe podejście”. W praktyce powstała panika, bo dotychczasowy świat „szacowania ryzyka naruszenia” został wywrócony do góry nogami. Nagle okazało się, że promowana wcześniej metoda jest zła. Eksperci komentowali nowy poradnik, radząc administratorom, aby na nowo oszacowali ryzyko. A najlepiej, żeby zgłaszać wszystkie naruszenia, bo organ nadzorczy „zmienił zdanie”, więc teraz każde naruszenie będzie wpadać pod obowiązek zgłoszenia. A kto nie zgłosi, musi liczyć się z karą.

Read More →