Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/21

Kraj:

Polska

Data wydania decyzji:

27.02.2026 r.

Podmiot kontrolowany:

T.

Wysokość kary (EUR):

232

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1 i 2 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

W postępowaniu w sprawie domu opieki T. Urząd Ochrony Danych Osobowych stwierdził poważne zaniedbania administratora danych osobowych. Kluczową przyczyną był brak systemowego podejścia do ochrony danych. Administrator nie przeprowadził formalnej analizy ryzyka, nie opracował i nie wdrożył dostosowanej do specyfiki jednostki polityki ochrony danych, nie szkolił regularnie personelu i nie potrafił wykazać zgodności z przepisami. Dodatkowo używanie nieprecyzyjnych klauzul informacyjnych oraz nieprawidłowych umów powierzenia powodowało naruszenie zasad RODO.

 

Opis wydarzeń

  1. Kontrola UODO: Urząd Ochrony Danych Osobowych przeprowadził w 2023 r. pełną kontrolę domu opieki T. prowadzoną przez fundację G. w Warszawie. Kontrolerzy sprawdzali bezpieczeństwo systemów i środki techniczne, badali dokumentację (polityki i procedury), analizowali rejestr czynności przetwarzania oraz zawarte umowy powierzenia. Prowadzili także rozmowy z pracownikami. Kontrolę zainicjowały sygnały o braku zgodności z przepisami RODO.
  2. Brak analizy ryzyka i odpowiednich środków: Podczas kontroli ustalono, że T. nie przeprowadził formalnej analizy ryzyka związanego z przetwarzaniem danych osobowych. Administrator nie potrafił wskazać zagrożeń dla danych ani udokumentować, jakie środki podjął, aby im zapobiec. Spotkania z pracownikami nie zastąpiły analizy, gdyż nie sporządzano protokołów ani list ryzyk. W konsekwencji środki techniczne i organizacyjne były dobierane intuicyjnie, bez odniesienia do ryzyka, co narusza art. 32 RODO.
  3. Polityka ochrony danych tylko na papierze: Administrator przedstawił dwie polityki bezpieczeństwa (z 2018 r. i 2019 r.), lecz dokumenty te nie były formalnie wdrożone. Nie zawierały procedur okresowego przeglądu ani nie odzwierciedlały specyfiki domu opieki. Ostatnie szkolenie z zasad ochrony danych odbyło się w 2018 r. i objęło niewielką część załogi, co dowodzi braku realnego wdrożenia polityki. Brak regularnych szkoleń i audytów zwiększał ryzyko błędów pracowników.
  4. Nieprzejrzyste klauzule informacyjne: Kontrola ujawniła, że klauzule informacyjne dostępne dla mieszkańców i pracowników były nieczytelne. Klauzula dla mieszkańców zawierała sprzeczne informacje. Raz wskazywała dom opieki T. jako administratora, innym razem dyrektora placówki. Nie podawano precyzyjnie podstaw prawnych, czasu przechowywania ani informacji o prawach osób, których dane dotyczą. Klauzula dla pracowników łączyła treści skierowane do różnych grup, nie wskazywała kiedy można skorzystać z poszczególnych praw, nie określała podstaw przetwarzania i nie informowała o okresach przechowywania danych. Brakowało też informacji o zautomatyzowanym podejmowaniu decyzji. Klauzule nie były wywieszone w widocznym miejscu, a obowiązek informacyjny realizowano ustnie.
  5. Niewłaściwe umowy powierzenia: T. powierzał przetwarzanie danych do dwóch spółek na podstawie umów, które nie spełniały wymogów art. 28 ust. 3 RODO. Umowy nie określały szczegółowo kategorii danych osobowych ani uprawnień i obowiązków stron, a w jednym przypadku opis zakresu powierzenia ograniczono do „wszelkich danych osobowych przetwarzanych w systemach teleinformatycznych”, co jest zbyt ogólne. Brak konkretnych postanowień utrudniał wykazanie rozliczalności i kontroli nad powierzonymi danymi.
  6. Nieadekwatne upoważnienia i rejestry: Pracownikom nadawano upoważnienia do przetwarzania danych w sposób nieproporcjonalny. Wzory upoważnień nie uwzględniały faktycznych zadań, np. pokojowym udzielano upoważnienia do przetwarzania danych byłych i potencjalnych podopiecznych, co budziło wątpliwości. Rejestr czynności przetwarzania prowadzony przez administratora nie zawierał planowanych terminów usuwania danych a w kolumnie wskazywano jedynie ogólne sformułowanie „zgodnie z przepisami prawa”. Taki zapis nie spełnia wymogu art. 30 ust. 1 lit. f RODO, który zobowiązuje do określania okresów przechowywania.
  7. Postępowanie administracyjne i decyzja: Po kontroli Prezes UODO wszczął 12 czerwca 2024 r. postępowanie administracyjne, które rozszerzył w sierpniu 2025 r. na nowe naruszenia. Administrator złożył wyjaśnienia, twierdząc, że analiza ryzyka była prowadzona w czasie spotkań i że polityka jest stosowana. UODO uznał te wyjaśnienia za niewystarczające i 27 lutego 2026 r. nałożył administracyjną karę pieniężną 975 zł oraz wydał upomnienia i nakazy dostosowania operacji przetwarzania do RODO. Nakazy obejmowały m.in. wdrożenie odpowiednich środków technicznych i organizacyjnych w ciągu 90 dni, poprawę klauzul informacyjnych, zawarcie prawidłowych umów powierzenia, uregulowanie upoważnień oraz uzupełnienie rejestru.
  8. Działania naprawcze podjęte przez administratora: Po kontroli T. częściowo poprawił dokumentację, tj. wprowadził zarządzenie o okresowych przeglądach środków technicznych i organizacyjnych, zaktualizował klauzule informacyjne i wzory upoważnień, wypowiedział umowę z jedną z firm i zmienił drugą. Mimo tych kroków organ nadzorczy uznał, że nadal nie spełniono wymogów art. 28 ust. 3 i potrzeba dalszych zmian.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Regularna i udokumentowana analiza ryzyka: Każdy administrator powinien identyfikować i dokumentować zagrożenia dla danych osobowych oraz oceniać prawdopodobieństwo ich materializacji. Analiza powinna obejmować wszystkie systemy i procesy. W analizie należy uwzględnić klasyfikację aktywów, ocenę skutków naruszenia i opis istniejących zabezpieczeń. Rezultaty muszą być utrwalone w dokumentacji, tak aby w razie kontroli UODO można było wykazać rozliczalność. Analiza musi być cyklicznie aktualizowana, zwłaszcza po wprowadzeniu nowych usług lub technologii.
  2. Przyjęcie i egzekwowanie polityki ochrony danych: Organizacja powinna opracować politykę ochrony danych dostosowaną do swojej działalności. Dokument musi opisywać procedury nadawania i odwoływania upoważnień, zarządzania incydentami, zgłaszania naruszeń do organu nadzorczego, oceny ryzyka oraz realizacji praw osób, których dane dotyczą. Kluczowe jest, aby polityka była formalnie zatwierdzona przez kierownictwo i aby każdy pracownik potwierdził jej znajomość na piśmie. Należy ustanowić mechanizm corocznego przeglądu i aktualizacji, co wynika z zasady ciągłego monitorowania ryzyk. Szkolenia z polityki powinny odbywać się regularnie, a szczegółowe instrukcje (np. dotyczące bezpiecznego przechowywania dokumentów, haseł, weryfikacji tożsamości) powinny być zrozumiałe dla całego personelu.
  3. Transparentne klauzule informacyjne: Wzory klauzul muszą być proste i czytelne. Powinny jednoznacznie wskazywać administratora danych, cele i podstawy prawne przetwarzania, planowane okresy przechowywania danych i kategorie odbiorców. Należy wymienić prawa osób (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, sprzeciw) oraz informować o zautomatyzowanym podejmowaniu decyzji. Klauzule muszą być łatwo dostępne, np. wywieszone na tablicy informacyjnej, publikowane na stronie internetowej i przekazywane przy zbieraniu danych. W przypadku zmian w przepisach lub sposobie przetwarzania klauzule należy zaktualizować.
  4. Prawidłowe umowy powierzenia: Przekazując dane zewnętrznemu podmiotowi, administrator musi zawrzeć umowę powierzenia zgodną z art. 28 ust. 3 RODO. Umowa powinna definiować zakres i cel przetwarzania, rodzaj danych, kategorie osób, czas trwania, obowiązki i uprawnienia administratora i procesora (w tym wymogi dotyczące podwykonawców, audytów, zgłaszania naruszeń i usunięcia danych po zakończeniu świadczenia usług). Nie należy stosować ogólnych sformułowań, im bardziej precyzyjne postanowienia, tym łatwiej wykazać zgodność. Przed podpisaniem umowy warto przeprowadzić due diligence kontrahenta i sprawdzić jego polityki bezpieczeństwa. Po jej zawarciu konieczny jest regularny nadzór nad wykonywaniem postanowień, m.in. poprzez audyty lub raporty zgodności.
  5. Adekwatne i indywidualne upoważnienia dla pracowników: Każdy pracownik powinien otrzymać upoważnienie do przetwarzania danych odpowiadające jego rzeczywistym obowiązkom. Upoważnienia nie mogą być nadmiarowe, tj. osoba nie powinna mieć dostępu do danych, jeśli nie leży to w zakresie jej zadań. Udzielone upoważnienia należy ewidencjonować i okresowo weryfikować (np. przy zmianie stanowiska). Wzory upoważnień muszą zawierać nazwę stanowiska, zakres danych, cel przetwarzania oraz okres ważności. Wdrażanie modelu nadawania minimalnych uprawnień (ang. „least privilege”) ogranicza ryzyko nieautoryzowanego dostępu.
  6. Dokładny rejestr czynności przetwarzania: Administrator powinien prowadzić rejestr czynności przetwarzania zgodnie z art. 30 RODO. Rejestr musi obejmować m.in. cel przetwarzania, kategorię osób i danych, odbiorców, planowane terminy usunięcia danych i opis zastosowanych środków technicznych i organizacyjnych. Okres przechowywania należy podać w oparciu o konkretne przepisy lub wewnętrzne procedury, unikając ogólnych sformułowań. Regularne aktualizowanie rejestru umożliwia efektywny monitoring zgodności i ułatwia reakcję na incydenty.
  7. Ciągłe doskonalenie i współpraca z ekspertami: Ochrona danych to proces ciągły. Administrator powinien monitorować zmiany w prawie i zalecenia organów nadzorczych oraz zapoznawać się z ich wytycznymi. W razie wątpliwości warto skonsultować się z inspektorem ochrony danych lub zewnętrznymi specjalistami. Dobrą praktyką jest przeprowadzanie regularnych audytów wewnętrznych w celu oceny własnej zgodności.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO