UODO upomina T. R. z Crisis-Consulting.

Adam Kłoszewski
15 cze
7 minut(y) czytania

Dane Adama Kłoszewskiego zostały wykorzystane bez podstawy prawnej.

Prezes UODO upomina T. R. z Crisis-Consulting. — Prezes UODO upomina T. R. z Crisis-Consulting

Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia Panu T. R. (dane osobowe zostały zanonimizowane) z Crisis-Consulting za bezpodstawne udostępnienie danych osobowych Adama Kłoszewskiego w internetowej polityce prywatności. Sprawa pokazuje, jak groźne może być przypisywanie komuś funkcji, których nie pełni, i jak łatwo internetowa „polityka prywatności” może stać się narzędziem wprowadzania odbiorców w błąd.

W decyzji z 9 czerwca 2026 r., sygn. DS.523.1071.2022.PR.PAM, Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przepisów RODO polegające na udostępnieniu bez podstawy prawnej danych osobowych Adama Kłoszewskiego na stronie internetowej Crisis-Consulting. Dane te zostały zamieszczone w taki sposób, że mogły sugerować, iż Adam Kłoszewski jest osobą kontaktową w sprawach ochrony danych osobowych dla tego serwisu. To było nieprawdziwe.

Sprawa jest poważna nie dlatego, że chodzi wyłącznie o formalny błąd w polityce prywatności. Chodzi o coś znacznie istotniejszego: o bezprawne użycie cudzych danych i stworzenie wobec odbiorców wrażenia, że konkretna osoba ma związek z podmiotem, z którym nie ma nic wspólnego.

Adam Kłoszewski, redakcja i Fundacja nie mają nic wspólnego z Crisis-Consulting

Adam Kłoszewski, redakcja dziennika internetowego i programu informacyjnego „Adam Kłoszewski” oraz Fundacja Adama Kłoszewskiego stanowczo informują, że nie mają nic wspólnego z Crisis-Consulting. Nie są częścią tego przedsięwzięcia, nie odpowiadają za jego treści, nie prowadzą jego polityki prywatności, nie obsługują użytkowników tego serwisu i nie udzielają w jego imieniu żadnych informacji.

Owszem, w przeszłości Adam Kłoszewski był współpracownikiem Crisis-Consulting. Ale od wielu lat nie jest i nie zamierza mieć nic wspólnego z tamtą redakcją. Wszelkie odmienne treści należy ocenić jako informację nieprawdziwą i mogącą wprowadzać odbiorców w błąd.

To właśnie tego typu fałszywe przypisanie cudzej osoby do cudzej strony internetowej stało się przedmiotem skargi do Prezesa UODO.

Nie wolno „pożyczać” cudzej tożsamości do własnej polityki prywatności

RODO nie pozwala administratorowi danych dowolnie używać cudzego imienia, nazwiska, adresu czy innych danych identyfikujących tylko dlatego, że uzna to za wygodne. Art. 4 pkt 1 RODO definiuje dane osobowe jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, a art. 4 pkt 2 RODO traktuje jako przetwarzanie m.in. ujawnianie, rozpowszechnianie, udostępnianie i inne wykorzystywanie takich informacji.

W praktyce oznacza to, że wpisanie cudzej osoby do polityki prywatności strony internetowej jako osoby kontaktowej nie jest neutralnym zabiegiem technicznym. Jest przetwarzaniem danych osobowych. A skoro jest przetwarzaniem, musi mieć podstawę prawną.

Zgodnie z art. 5 ust. 1 lit. a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i przejrzyście, art. 5 ust. 1 lit. b wymaga ograniczenia celu, art. 5 ust. 1 lit. c wprowadza zasadę minimalizacji danych, art. 5 ust. 1 lit. d wymaga prawidłowości danych, a art. 5 ust. 2 ustanawia zasadę rozliczalności administratora. Art. 6 ust. 1 RODO przewiduje natomiast zamknięty katalog podstaw legalnego przetwarzania — m.in. zgodę, wykonanie umowy, obowiązek prawny, ochronę żywotnych interesów, zadanie publiczne albo prawnie uzasadniony interes administratora. Bez jednej z tych podstaw przetwarzanie danych jest bezprawne.

Z decyzji Prezesa UODO wynika, że w tej sprawie takiej podstawy prawnej nie wykazano. To przesądza o ciężarze naruszenia. Nie wystarczy bowiem po fakcie twierdzić, że doszło do pomyłki, nieporozumienia albo technicznej niedokładności. Administrator danych ma obowiązek wykazać, dlaczego i na jakiej podstawie posługuje się cudzymi danymi. Jeżeli nie potrafi tego zrobić, narusza zasadę legalności.

Upomnienie UODO to nie „drobna uwaga”, lecz środek naprawczy przewidziany w RODO

Prezes UODO zastosował wobec T.R. środek w postaci upomnienia. Art. 58 ust. 2 lit. b RODO wyraźnie przewiduje możliwość udzielania upomnień administratorowi albo podmiotowi przetwarzającemu, jeżeli operacje przetwarzania naruszyły przepisy RODO.

Nie jest to zatem prywatna opinia skarżącego ani publicystyczna ocena redakcji. Jest to rozstrzygnięcie organu państwowego właściwego w sprawach ochrony danych osobowych.

W toku postępowania administracyjnego organ działa na podstawie przepisów Kodeksu postępowania administracyjnego, w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. oraz art. 104 k.p.a. Przepisy te nakazują organowi wyjaśnić sprawę, zebrać i rozpatrzyć materiał dowodowy oraz zakończyć sprawę decyzją administracyjną.

W tej sprawie Prezes UODO ocenił, że doszło do naruszenia art. 6 ust. 1 RODO. To bardzo ważny sygnał dla wszystkich osób prowadzących strony internetowe: polityka prywatności nie jest miejscem na fikcję, improwizację albo wpisywanie danych osób postronnych.

Naganne zachowanie upomnianego administratora

Zachowanie T.R. należy ocenić jednoznacznie krytycznie. Zamieszczenie cudzych danych osobowych w polityce prywatności serwisu, bez wykazania podstawy prawnej, jest działaniem nieodpowiedzialnym, naruszającym elementarne standardy ochrony prywatności.

Jest to tym bardziej naganne, że polityka prywatności ma pełnić funkcję informacyjną i ochronną. Ma mówić użytkownikowi, kto odpowiada za dane, z kim można się kontaktować i jakie prawa przysługują osobie, której dane dotyczą. Jeżeli w takim dokumencie wpisuje się osobę niezwiązaną z serwisem, dokument przestaje chronić użytkownika, a zaczyna go wprowadzać w błąd.

Skutki mogą być realne. Użytkownik może kierować pytania, żądania, roszczenia, skargi albo pretensje do osoby, która nie odpowiada za stronę. Osoba bezprawnie wskazana może zostać narażona na utratę dobrego imienia, niechciany kontakt, odpowiedzialność reputacyjną, a nawet podejrzenia o udział w cudzym przedsięwzięciu.

Na gruncie prawa cywilnego takie sytuacje mogą dotykać dóbr osobistych, w tym nazwiska, czci, prywatności i reputacji. Art. 23 k.c. chroni dobra osobiste człowieka, art. 24 k.c. pozwala żądać zaniechania naruszeń i usunięcia ich skutków, a art. 448 k.c. przewiduje możliwość zadośćuczynienia pieniężnego za naruszenie dobra osobistego.

Niezależnie od tego art. 82 RODO stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia RODO, ma prawo żądać od administratora albo podmiotu przetwarzającego odszkodowania.

Czytelnicy powinni zachować szczególną ostrożność

Czytelnicy powinni być szczególnie ostrożni wobec stron internetowych, które posługują się niejasnymi politykami prywatności, nieprecyzyjnymi danymi kontaktowymi, ogólnikowymi ofertami, szablonowymi treściami albo informacjami trudnymi do zweryfikowania.

Redakcja sprawdziła publicznie indeksowane zasoby domeny Crisis-Consulting. W wynikach wyszukiwania pojawiają się m.in. strona główna z hasłem „Prawda jest Autorytetem, Autorytet nie jest prawdą!”, blog, sekcje „Services”, „Shop”, „Contacts”, newsletter oraz adres kontaktowy w domenie Crisis-Consulting.

Jednocześnie publicznie indeksowane podstrony usługowe i portfolio zawierają elementy wyglądające na treści szablonowe, w tym przykładowe dane kontaktowe typu „Germany — 785 15h Street”, „info@email.com”, „info@website.com”, sekcje „Have a Project?” i „Want to Work with Me?”, a także przykładowe produkty sklepu internetowego, takie jak „An Eggshell” czy „The Island”.

Tego rodzaju elementy nie przesądzają automatycznie o bezprawności całego serwisu, ale stanowią poważne czerwone flagi. Jeżeli strona przedstawia się jako przedsięwzięcie doradcze, informacyjne albo usługowe, a jednocześnie zawiera treści szablonowe, niepełne, testowe albo niejasne, użytkownik powinien zadać podstawowe pytania: kto faktycznie odpowiada za usługę, jaki jest regulamin, kto jest administratorem danych, gdzie jest aktualna polityka prywatności, jakie są kwalifikacje osoby udzielającej porad, czy oferta jest realna i kto ponosi odpowiedzialność za jej skutki.

Legalność strony internetowej to nie tylko wygląd, ale obowiązki ustawowe

Serwis internetowy działający wobec użytkowników nie może ograniczać się do atrakcyjnego sloganu i formularza kontaktowego. Jeżeli dochodzi do świadczenia usług drogą elektroniczną, zastosowanie może mieć ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Ustawa ta określa m.in. obowiązki usługodawcy, zasady odpowiedzialności oraz zasady ochrony danych osobowych osób korzystających z usług elektronicznych.

Jeżeli na stronie działa sklep albo oferta zawierania umów na odległość, znaczenie ma również ustawa o prawach konsumenta. Art. 12 tej ustawy nakłada na przedsiębiorcę obowiązek udzielenia konsumentowi jasnych informacji przed zawarciem umowy na odległość, w tym m.in. informacji o przedsiębiorcy, cechach świadczenia, cenie, sposobie kontaktu i prawie odstąpienia od umowy. UOKiK wskazuje, że sklep internetowy powinien podać konsumentowi m.in. kontaktowy numer telefonu, adres przedsiębiorstwa i adres poczty elektronicznej.

Jeżeli strona zbiera adresy e-mail do newslettera, wchodzą w grę również przepisy RODO oraz przepisy dotyczące zgód marketingowych. W aktualnym stanie prawnym znaczenie ma m.in. art. 398 Prawa komunikacji elektronicznej, zgodnie z którym używanie automatycznych systemów wywołujących lub telekomunikacyjnych urządzeń końcowych do celów marketingu bezpośredniego wymaga uprzedniej zgody.

W tym kontekście decyzja UODO dotycząca bezpodstawnego wykorzystania danych Adama Kłoszewskiego jest szczególnie istotna. Pokazuje bowiem, że problem nie dotyczy wyłącznie jednego wpisu w polityce prywatności. Dotyczy standardu działania strony, która powinna rzetelnie informować użytkowników, a nie tworzyć chaos informacyjny.

Publiczne fact-checki także nakazują ostrożność

Weryfikacja prawdziwości informacji związanych z Crisis-Consulting również rodzi poważne zastrzeżenia. Serwis Demagog opisał materiał dotyczący rzekomego przymusowego dokwaterowywania uchodźców z Ukrainy jako fake news i wskazał, że link do tego materiału był udostępniany m.in. na fanpage’u Crisis-Consulting.pl. Demagog ocenił, że materiał powielał nieprawdziwe informacje o uchodźcach, opierał się na plotkach i niezweryfikowanych twierdzeniach.

W innych analizach Demagog wskazywał na fałszywe informacje dotyczące szczepionek przeciw COVID-19, które były rozpowszechniane albo udostępniane w przestrzeniach internetowych obejmujących m.in. grupę Crisis-Consulting.pl. Chodziło m.in. o twierdzenia o rzekomym tlenku grafenu w szczepionkach, „samoświadomych obiektach” w preparatach czy fałszywe tezy o szczepionkach mRNA jako „systemie operacyjnym” służącym kontroli ludzi.

Nie oznacza to automatycznie, że każda treść opublikowana lub udostępniona przez Crisis-Consulting jest fałszywa. Oznacza jednak, że odbiorca powinien zachować daleko idącą ostrożność. Jeżeli dany kanał, grupa albo serwis pojawia się przy treściach ocenianych przez fact-checkerów jako fałszywe lub dezinformacyjne, to czytelnik powinien sprawdzać źródła, żądać dowodów i nie traktować takich publikacji jako wiarygodnej porady prawnej, medycznej, finansowej czy obywatelskiej.

Prawo do informacji nie oznacza prawa do dezinformacji

Wolność słowa, wolność publikacji i wolność krytyki są wartościami konstytucyjnymi. Nie dają jednak prawa do bezprawnego wykorzystywania cudzych danych osobowych, przypisywania ludziom nieistniejących funkcji ani tworzenia dokumentów, które mogą mylić użytkowników co do tego, kto faktycznie odpowiada za przetwarzanie ich danych.

Prawo prasowe w art. 12 ust. 1 pkt 1 wymaga od dziennikarza szczególnej staranności i rzetelności przy zbieraniu oraz wykorzystywaniu materiałów prasowych, zwłaszcza sprawdzenia zgodności z prawdą uzyskanych wiadomości albo podania ich źródła. Ten standard powinien być traktowany szerzej jako minimalny standard odpowiedzialnej komunikacji publicznej.

Jeżeli ktoś prowadzi stronę internetową, blog, grupę, newsletter albo sklep, powinien działać rzetelnie. Powinien jasno wskazywać, kim jest, na jakiej podstawie przetwarza dane, kto odpowiada za treści, jakie są warunki usług i kto ponosi odpowiedzialność za ewentualne skutki działań podejmowanych przez odbiorców.

Ostrzeżenie dla czytelników

Czytelniku, nie przekazuj swoich danych osobowych, dokumentów, pieniędzy ani informacji wrażliwych podmiotom internetowym, których tożsamość, regulamin, polityka prywatności, kwalifikacje i odpowiedzialność nie są jasne.

Nie traktuj jako profesjonalnej porady samego faktu, że ktoś używa języka „analizy”, „prawa”, „kryzysu”, „ochrony” albo „wolności”. Sprawdź, kto naprawdę stoi za stroną. Sprawdź, czy osoba albo podmiot są zarejestrowani. Sprawdź, czy polityka prywatności wskazuje prawdziwego administratora danych. Sprawdź, czy nie wykorzystuje nazwisk osób postronnych. Sprawdź, czy treści nie były już kwalifikowane przez fact-checkerów jako fake news.

Sprawa zakończona upomnieniem Prezesa UODO pokazuje, że w przypadku Crisis-Consulting doszło już do stwierdzonego przez organ państwowy naruszenia przepisów o ochronie danych osobowych. To wystarczający powód, aby czytelnicy zachowali najwyższą ostrożność.

Wniosek

Decyzja Prezesa UODO jest jasnym sygnałem: cudzych danych osobowych nie wolno wykorzystywać jako elementu własnej narracji, własnej polityki prywatności ani własnej wiarygodności. T.R. został upomniany, ponieważ — według ustaleń organu — dane Adama Kłoszewskiego zostały udostępnione bez podstawy prawnej.

To nie jest jedynie spór o formalności. To sprawa o prawo człowieka do decydowania o swojej tożsamości, o ochronę przed fałszywym przypisywaniem do cudzych przedsięwzięć i o elementarną uczciwość w internecie.

Adam Kłoszewski, redakcja dziennika internetowego i programu informacyjnego „Adam Kłoszewski” oraz Fundacja Adama Kłoszewskiego od wielu lat nie mają nic wspólnego z Crisis-Consulting. Wszelkie informacje sugerujące taki związek należy traktować jako nieprawdziwe.