Pytanie:  Firma zleca fotografowi (studio) wykonanie profesjonalnych zdjęć pracownikom, Czy prawidłowo interpretujemy, że mamy tu do czynienia z relacją ADO - ADO (fotograf przetwarza dane osobowe w postaci wizerunku w celu wykonania umowy). Zatem otrzymane od niego zdjęcia to jest przekazanie danych. Jeżeli firma uzyskała zgodę od pracowników na przetwarzanie ich danych w postaci wizerunku, to czy fotograf jako odrębny ADO musi ją pozyskiwać ponownie? Czy dodatkowo pracownik musi wyrazić zgodę na przekazanie danych, czy w tym wypadku zgoda na przekazanie jest dorozumiana?

Pytanie:  W związku z wejściem w życie KSeF biblioteka dokonała aktualizacji dokumentacji z zakresu ochrony danych osobowych. Wprowadzono nowy proces do RCP i opracowano nową klauzulę informacyjną, która miała być opublikowana na stronie internetowej od 1 lutego 2026 r. Do umów z kontrahentami np. na najem audytorium przed ich zawarciem, będzie dopisywania informacja do bieżącej klauzuli o przetwarzaniu danych również w KSe-F, żeby nie dokładać 2 klauzuli. Chcę mieć pewność, iż w klauzuli znajdują się wszystkie informacje, na co zwrócić szczególną uwage?

Pytanie:  Czy w ramach e-Doręczeń potrzebna jest dodatkowa umowa z Pocztą Polską? Jak ma się ochrona danych osobowych do drukowania i wysyłania PIT-ów do osób prywatnych, które nie mają założonej skrzynki e-Doręczeń?

Pytanie:  W związku z przygotowywaniem regulaminu monitoringu w naszej jednostce zastanawiamy się nad uregulowaniem kwestii udostępniania nagrań wideo z monitoringu osobom fizycznym, wnioskującym na podstawie art. 15 RODO. Posiadamy dwie koncepcje. Jedna dotyczy udostępnienia nagrań z monitoringu osobie wnioskującej (osobie uwidocznionej na nagraniu), po anonimizacji wizerunku osób trzecich na nagraniu. Natomiast zgodnie z drugą koncepcją mielibyśmy poinformować pisemnie wnioskodawcę o treści nagrania i możliwości jego udostępnienia odpowiednim organom lub sądom. Czy druga koncepcja jest zasadna? Czy obecne stanowisko UODO przeciwne utrudnianiu dostępu do nagrań osobie fizycznej ze względu na zasłanianie się brakiem technicznej możliwości dokonania anonimizacji wizerunku osób trzecich nie jest wyraźnym wskaźnikiem postępowania przy wniosku o udostępnienie nagrań? W obecnej sytuacji technologicznej, anonimizacja danych z nagrania nie jest problemem, jeżeli administrator oprócz rejestratorów nagrań zainwestuje w system do anonimizacji nagrań wideo lub system AI, który anonimizację wykona. Zatem, czy utrudnianie osobie fizycznej uzyskania nagrań nie będzie wyrazam, że administrator działa nieudolnie w zakresie przetwarzania danych monitoringu? Czy unikanie stosowania technicznych zabezpieczeń nie będzie naruszało art. 32 RODO, celem najprostszego rozwiązania, czyli odmowy udostępnienia nagrania ze względu na brak możliwości technicznych anonimizacji nagrań?

Pytanie:  Spółka zoo z siedzibą w Polsce posiada podmiot powiązany w Wielkiej Brytanii. Cały wewnętrzny zespół IT znajduje się w Wielkiej Brytanii i świadczy usługi na rzecz spółki zoo. Zespół IT odpowiada za CRM. Czy możemy mówić o transferze danych poza EOG w tym wypadku?

Pytanie:  OPS (gmina) realizuje projekt unijny „Asystent osobisty osoby z niepełnosprawnością”. Ten sam projekt realizuje Powiatowe Centrum Pomocy Rodzinie - PCPR (powiat), każdy jako odrębna jednostka. Otrzymaliśmy pismo z PCPR o przekazanie listy imiennej osób zakwalifikowanych do projektu, powołując się na pismo wojewody, która nie podaje podstawy prawnej, a jedynie możliwość współpracy. Czy możemy taką listę przekazać, jeśli tak, to na jakiej podstawie?

Krajowy System e-Faktur (KSeF) gromadzi dane identyfikacyjne, kontaktowe i finansowe milionów przedsiębiorców, tworząc największą bazę aktywności gospodarczej w Polsce. System przetwarza dane tożsamościowe (imię, nazwisko, NIP), lokalizacyjne (adresy), finansowe (rachunki bankowe, ceny transakcji) oraz komunikacyjne (telefony, e-maile), w tym dane osób trzecich jak pełnomocnicy. Centralizacja generuje ryzyka cyberataków, nadużyć i profilowania, wymagające DPIA oraz środków z art. 32 RODO. Szef KAS jako administrator zapewnia szyfrowanie i kontrolę dostępu, podatnicy – bezpieczeństwo "ostatniej mili" i obowiązki informacyjne (art. 13/14 RODO). Orzecznictwo TSUE (np. C-340/21) podkreśla odwrócony ciężar dowodu w wyciekach i szkody niemajątkowe, zapowiadając spory sądowe.

Wdrożenie Krajowego Systemu e-Faktur (KSeF) stanowi jedną z najistotniejszych zmian w polskim systemie podatkowym ostatnich lat. Centralizacja fakturowania w jednym, państwowym systemie teleinformatycznym rodzi jednak fundamentalne pytania o bezpieczeństwo i zasady przetwarzania danych, w tym w szczególności osobowych. Każda faktura, zwłaszcza w obrocie z osobami fizycznymi prowadzącymi działalność gospodarczą, zawiera szereg informacji stanowiących dane osobowe . Niniejszy artykuł ma na celu przybliżenie ram prawnych ochrony danych w KSeF.

Pytanie:  Nasze przedszkole ma na Facebooku opublikowanego posta ze spotkania przedszkolaków z policjantem w bibliotece. Mamy zgodę prowadzącego i przedszkolanki do publikacji wizerunku. Dzieci stoją tyłem, zatem ich wizerunek nie jest widoczny. Okazuje się, że post spodobał się jednej fundacji, która chce za naszą zgodą udostępnić posta u siebie. Osoby wyraziły zgodą na publikację wizerunku na naszym Facebooku. Facebook fundacji to kanał eksploatacji wizerunku, o którym nie było mowy. Czy w tej sytuacji biblioteka może pobrać od tych dwóch osób zgodę na udostępnienie postu ze zdjęciami innemu podmiotowi tj. fundacji?

Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.