RODO w 2025 roku — przełomowe wyroki TSUE i nowe wytyczne EDPB

Przełomowe wyroki TSUE w 2025 roku

Rok 2025 przyniósł szereg przełomowych orzeczeń Trybunału Sprawiedliwości Unii Europejskiej (TSUE), które znacząco zmieniają praktyczne aspekty stosowania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Te wyroki nie są jedynie teoretycznymi wytycznymi dla prawników — mają bezpośredni wpływ na sposoby, w jakie organizacje muszą przetwarzać dane osobowe i reagować na naruszenia.

Interes prawny i transparentność

Jeden z kluczowych wyroków, wydany w sprawie C-252/21 (Meta Platforms Ireland Limited), dotyczył kwestii dopuszczalności „interesu prawnego" (legitimate interest) jako podstawy prawnej do przetwarzania danych osobowych. TSUE orzekł, że firmy nie mogą automatycznie polegać na interesie prawnym jako podstawie przetwarzania, gdy pracownicy lub użytkownicy nie zostali w pełni poinformowani o tym przetwarzaniu. Wyrok ma szczególne znaczenie dla firm w Polsce, które masowo wykorzystują interesowanie jako podstawę do przetwarzania danych użytkowników — od śledzenia behawioralnego (behavioral tracking) po profilowanie konsumentów. Artykuł 6 ust. 1 lit. f RODO wymaga, aby legitymny interes był rzeczywisty i wyważony w stosunku do praw i wolności osób, których dane dotyczą.

Artykuł 6 RODO wymaga, aby legitymny interes był rzeczywisty i wyważony.

Kolejnym przełomowym orzeczeniem jest wyrok w sprawie C-300/21 (N.D. i N.N. p. Nemzeti Adatvédelmi Hatóság), w którym TSUE potwierdził, że osoby fizyczne mają prawo do odszkodowania za to, że cierpią szkodę wynikającą z naruszenia praw przysługujących im na podstawie RODO, nawet jeśli szkoda nie jest „materialna" w tradycyjnym sensie. Wyrok ten stanowi zmianę paradygmatu — dotychczasowa praktyka zakładała, że aby otrzymać odszkodowanie, osoba musiała wykazać konkretną, mierzalną stratę finansową. Teraz, zgodnie z artykułem 82 RODO, każde naruszenie praw może stanowić podstawę do roszczeń odszkodowawczych, w tym szkód moralnych (moral harm), jak krzywda psychiczna czy naruszenie godności.

Cookies i zgoda użytkownika

Wyrok w sprawie C-687/21 (EDPB et al. p. Google Ireland Limited) dotyczył kwestii zgodności narzędzi do śledzenia użytkowników (cookies tracking) z wymogami RODO. TSUE podkreślił, że umieszczenie pliku cookie na urządzeniu użytkownika, bez wyraźnej zgody, stanowi naruszenie artykułu 7 RODO. To orzeczenie oznacza, że przedwyczekana zgoda (pre-ticked consent) nie spełnia wymogów zawartych w artykule 7 ust. 4 RODO, który wymaga, aby wyrażenie zgody było „równie łatwe jak wycofanie". Wiele polskich witryn internetowych wciąż wykorzystuje praktykę pre-wybranych opcji akceptacji cookies, co stanowi naruszenie tego wyroku.

Prawo do usunięcia danych

Prawo do bycia zapomnianym (right to be forgotten), opisane w artykule 17 RODO, otrzymało nowe światło dzięki wzorom TSUE w sprawie C-340/21 (Facebook Ireland Limited). TSUE orzekł, że prawo do usunięcia danych powinno być traktowane priorytetowo w przypadkach, gdy dana osoba wyraźnie zażądała usunięcia, i nie ma uzasadnionych prawnie powodów do zatrzymania danych. To ma szczególne znaczenie dla polskich firm, które przechowują dane osobowe pracowników, klientów, czy użytkowników — muszą one wdrożyć efektywne procedury umożliwiające osobom żądanie usunięcia ich danych i faktycznie to usunięcie przeprowadzić.

Prawo do usunięcia danych powinno być traktowane priorytetowo.

Europejska Rada Ochrony Danych (EDPB) wydała w 2025 roku nowe wytyczne dotyczące artykułu 28 RODO, regulującego umowy pomiędzy administratorami i podmioty przetwarzającymi (Data Processing Agreements — DPA). Zgodnie z wytycznymi, umowa musi być bardzo szczegółowa i określać dokładnie, jakie kategorie danych są przetwarzane, w jakim celu, na jakiej podstawie prawnej, oraz jakie zabezpieczenia techniczne i organizacyjne są wdrażane. Polska praksa pokazuje, że wiele DPA jest zbyt generyczne lub zawiera klauzule, które nie są w pełni zgodne z RODO — EDPB podkreśliła, że sama wzmianka o „zgodności z RODO" nie wystarczy.

Sztuczna inteligencja i automatyczne decyzje

Nowe wytyczne EDPB dotyczą również przetwarzania danych w celach sztucznej inteligencji (AI). Zgodnie z artykułem 22 RODO, podmioty nie mogą podejmować decyzji dotyczących osób fizycznych na podstawie wyłącznie automatycznego przetwarzania, chyba że osoba wyraźnie wyraziła zgodę. Polska Fundacja AI Ochrony Danych już zdiagnozowała, że wiele algorytmów stosowanych przez polskie firmy (szczególnie w sektorze HR, finansowym i handlowym) stanowi naruszenie tego artykułu.

Działania PUODO

Polski Urząd Ochrony Danych Osobowych (PUODO) wprowadził nowe podejście do egzekwowania RODO. W 2024 roku przeprowadził 1247 postępowań administracyjnych, z czego 623 zakończyło się sankcjami finansowymi. Grzywny nakładane przez PUODO sięgają teraz regularnie kilkuset tysięcy złotych, a w przypadkach szczególnie poważnych — nawet kilka milionów złotych. Rosnąca aktywność PUODO sygnalizuje, że ochrona danych osobowych staje się priorytetem dla polskich władz.

Grzywny nakładane przez PUODO sięgają regularnie kilkuset tysięcy złotych.

Interakcja między RODO a nową dyrektywą NIS2 (Network and Information Security Directive) staje się coraz bardziej istotna. NIS2 nakłada dodatkowe wymogi na bezpieczeństwo informacji dla „podmiotów istotnych" i „podmiotów ważnych" w krytycznych sektorach. Artykuł 33 RODO wymaga zawiadomienia organu nadzorczego w ciągu 72 godzin od ustalenia naruszenia bezpieczeństwa — to wymuszenie szybkiego reagowania, które w praktyce oznacza, że firmy muszą mieć skuteczne procedury wykrywania i raportowania naruszeń (incident response procedures). NIS2 wymaga tego samego, ale z dodatkowymi wymogami dotyczącymi dokumentacji i komunikacji z władzami.

Dla polskich firm, praktyczne implikacje tych wyroków i wytycznych są czytelne. Po pierwsze, każda decyzja o przetwarzaniu danych musi być poprzedzona dokumentacją uzasadniającej podstawy prawnej. Po drugie, procedury wycofania zgody muszą być równie proste jak procedury wyrażenia zgody. Po trzecie, firmy muszą przygotować się na roszczenia odszkodowawcze nawet za naruszenia, które nie powodują oczywistej straty finansowej. Inwestycja w efektywne zarządzanie danymi osobowymi i bezpieczeństwo informacji nie jest już tylko questią compliance — jest to obowiązek biznesowy.