+ 22 162 53 00kancelaria@kp-kp.pl
Skontaktuj się z nami

NIS2 oraz zwolnienia lekarskie jako dane o zdrowiu

28 kwietnia 2026

Szanowni Państwo

Oddajemy w Państwa ręce newsletter, w którym zwracamy uwagę na wejście w życie przepisów znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa oraz niedawny wyrok Naczelnego Sądu Administracyjnego (marzec 2026 r.) dotyczący kwestii zgłaszania naruszenia ochrony danych osobowych oraz traktowania informacji o zwolnieniu lekarskim jako informacji na temat zdrowia podlegającej szczególnej ochronie na gruncie RODO.

  1. Konieczność samoweryfikacji, co do podlegania przepisom znowelizowanej ustawy o krajowym systemie cyberbezpieczeńśtwa

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementująca dyrektywę NIS2 do polskiego porządku prawnego. Od tego dnia zaczęły biec terminy na wdrożenie nowych obowiązków przez podmioty kluczowe i ważne

Nowelizacja obejmuje szeroki katalog podmiotów, w szczególności z sektorów m.in. energetyki, transportu, finansów, ochrony zdrowia, infrastruktury cyfrowej, usług świadczonych drogą elektroniczną, administracji publicznej oraz wybranych branż przemysłowych. Wiele organizacji, które dotychczas nie podlegały ustawie o KSC, zostało teraz objętych statusem podmiotu kluczowego lub ważnego.

Nowelizacja ustawy wprowadza szereg wymogów organizacyjnych, technicznych i sprawozdawczych, m.in.:

  • obowiązek wdrożenia systemu zarządzania ryzykiem w obszarze cyberbezpieczeństwa (polityki, procedury, środki techniczne i organizacyjne),
  • obowiązek zgłaszania incydentów poważnych i istotnych w określonych, krótkich terminach,
  • obowiązek korzystania z Systemu S46 do obsługi zgłoszeń i komunikacji z organami właściwymi,
  • cykliczne audyty cyberbezpieczeństwa dla podmiotów kluczowych (pierwszy audyt do 3 kwietnia 2028 r.),
  • wzmocnioną odpowiedzialność kierownictwa za nadzór nad obszarem cyberbezpieczeństwa.

Naruszenie obowiązków może skutkować dotkliwymi karami administracyjnymi, których poziom został ukształtowany w sposób zbliżony do podejścia znanego z RODO.

Ustawa przewiduje okresy przejściowe, w trakcie których organizacje muszą wdrożyć nowe wymagania:

  • do 3 października 2026 r. – pierwszy istotny termin dostosowawczy dla części obowiązków (wskazywany w komunikatach rządowych i branżowych),
  • do 3 kwietnia 2027 r. – koniec okresu na rozpoczęcie korzystania z Systemu S46 i wdrożenie obowiązków przez podmioty, które na dzień wejścia w życie ustawy spełniają kryteria podmiotu kluczowego/ważnego,
  • do 3 kwietnia 2028 r. – podmioty kluczowe muszą przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa.

Rekomendujemy, aby już na obecnym etapie Państwa organizacja podjęła następujące działania:

  • zweryfikowała, czy spełnia kryteria podmiotu kluczowego lub ważnego (zgodnie z nową ustawą), a w razie uzyskania odpowiedzi pozytywnej:
  • przeprowadziła wstępną analizę luk w zakresie obecnych środków i procedur cyberbezpieczeństwa,
  • przygotowała lub zaktualizowała dokumentację (polityki, procedury, plany reagowania na incydenty, rejestry incydentów),
  • zaplanowała proces wdrożenia Systemu S46 i procesów raportowania,
  • zapewniła szkolenia dla zarządu oraz kluczowych pracowników odpowiedzialnych za bezpieczeństwo informacji.

W razie potrzeby – pozostajemy do Państwa dyspozycji.

2) Prezes UODO, WSA i NSA zgodne co do tego, że były pracownik z dostępami do zasobów pracodawcy, oznacza wysokie ryzyko, a dane na temat zwolnienia lekarskiego to dane o stanie zdrowia.

W stanie faktycznym sprawy badanej przez UODO i sądy, administrator danych (Bank) sam stwierdził naruszenie ochrony danych osobowych, ponieważ były pracownik przez ponad 7 miesięcy po rozwiązaniu umowy nadal miał dostęp do konta PUE ZUS byłego pracodawcy i kilkukrotnie się na nie logował. Dostęp obejmował dane pracowników, m.in. imię i nazwisko, adres zamieszkania/pobytu, PESEL, a także informacje ze zwolnień lekarskich (e-ZLA), czyli dane zaliczane do danych dotyczących zdrowia. Sprawa dotyczyła danych nawet 10 500 osób.

Prezes UODO w decyzji ze stycznia 2022 r. uznał, że Bank naruszył art. 34 RODO, bo nie zawiadomił bez zbędnej zwłoki osób, których dane mogły zostać naruszone, mimo że istniało wysokie ryzyko dla ich praw i wolności. Prezes UODO nałożył na Bank 545 748 zł administracyjnej kary pieniężnej. Bank twierdził, że ryzyko było niskie (a więc nie trzeba zawiadamiać osób).

W listopadzie 2022 roku w sprawie zapadł wyrok WSA w Warszawie, który sąd oddalił skargę Banku i potwierdził, że sam fakt, że były pracownik miał możliwość nieograniczonego dostępu do bardzo wrażliwych danych, oznacza wysokie ryzyko; a na ocenę wysokiego ryzyka wpływał  dodatkowo zakres danych, długi czas utrzymywania dostępu oraz liczba osób objętych zdarzeniem. WSA podkreślił, że     dla naruszenia art. 34 RODO nie trzeba wykazywać „zamiaru” – wystarczy ustalenie, że administrator nie zawiadomił osób, nawet jeśli błędnie uznał, że nie ma wysokiego ryzyka.

Sprawa miała swoją kontynuację przed NSA, który w marcu 2026 r. wydał wyrok, w którym podzielił podejście WSA i UODO, wskazując m.in., że nie było konieczne dokładne ustalenie, do jakich konkretnie danych konkretnych osób były pracownik faktycznie zajrzał; a decydujące było to, że miał on możliwość dostępu do danych w takim samym zakresie jak pracownik Banku. Zdaniem NSA dla oceny naruszenia i obowiązku zawiadomienia kluczowe jest ryzyko (prawdopodobieństwo negatywnych skutków), a nie udowodnienie, że doszło do realnego wykorzystania danych. NSA uznał, że informacje wynikające z e-ZLA stanowią dane dotyczące zdrowia, bo sam fakt uzyskania zwolnienia lekarskiego ujawnia informację o stanie zdrowia (stan wymagający zwolnienia z pracy). Powyższe miało znaczenie dla oceny wagi naruszenia.

Na kanwie powyższych rozstrzygnięć należy pamiętać o tym, że:

  1. Należy posiadać procedury i praktyczne rozwiązania, które dotyczą niezwłocznego odbierania dostępów do zasobów pracodawcy, byłym pracownikom/osobom, które zakończyły współpracę ze spółką. Jak również o tym, że jeśli osoba nieuprawniona ma dostęp (nawet tylko potencjalny) do danych – szczególnie wrażliwych i dotyczących dużej liczby osób – administrator może mieć obowiązek powiadomienia osób o naruszeniu; nie trzeba udowadniać, że dane zostały rzeczywiście odczytane lub wykorzystane.
  2. Dane zawarte w zwolnieniu lekarskim są traktowane jako dane na temat zdrowia, co zaś nakazuje ich zakwalifikowanie do danych szczególnych kategorii na gruncie przepisów RODO. To zaś m. in. powoduje, że osoby, które w ramach struktury administratora danych przetwarzają takie dane (zawarte w zwolnieniach lekarskich, czy w ogóle odnotowujące fakt, że „ktoś” jest na zwolnieniu lekarskim) powinny otrzymać upoważnienia do przetwarzania takich danych osobowych, w formie pisemnej.

Pozostajemy z uszanowaniem

Zespół Kancelarii Kulczycki, Puławska s. c.

Previous PostNext Post