Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.

Pytanie:  Jako IOD sprawdzam każdego roku wszystkie komórki organizacyjne w bibliotece w różnych aspektach przetwarzania danych osobowych. Czy poprawnym będzie wybór poszczególnych działów i zakresu kontroli w opracowanym planie kontroli na dany rok. Myślę, że dzięki temu audyt będzie bardziej szczegółowy i obejmie szerszy obszar sprawdzenia (poszczególnych komórek). Czy są jakieś zalecenia w tym zakresie, że kontroluje wszystkie obszary przetwarzania danych każdego roku?

Pytanie:  Biblioteka wprowadza możliwość regulowania przez interesantów opłat stanowiących dochody budżetu instytucji w formie transakcji bezgotówkowych, dokonywanych za pośrednictwem terminala płatniczego w swoich placówkach. Podpisaliśmy umowę z w sprawie najmu terminali oraz umowę o obsługę i rozliczenie transakcji przystępując do Programu Wsparcia Obrotu Bezgotówkowego. Opłaty pobierane będą z tytułu: opłata za przetrzymanie za zagubienie/zniszczenie zbiorów, za zagubienie karty itp. Podczas dokonywania transakcji na terminalu będą wpisywane tylko następujące dane: kwota, numer karty czytelnika i rodzaj wpłaty. Operator terminala jako instytucja przetwarzająca płatności ma dostęp do danych osobowych wpłacającego w niezbędnym zakresie do realizacji i obsługi transakcji, czyli przetwarza dane osobowe (dane transakcyjne, numer karty) osoby dokonującej wpłaty na naszą rzecz za jego pośrednictwem, tym samym jest przetwórcą tych danych (ma do nich dostęp). Administratorem danych tych osób jest biblioteka, która odpowiada za ich bezpieczeństwo. Czy konieczne jest podpisanie umowy powierzenia w związku z tą usługą. Na nasze pytanie w tej sprawie skierowane do operatora terminala uzyskaliśmy odpowiedź, cytuję: „Na terminalach płatniczych nie przetwarzamy danych osobowych płatników. Nie mamy dostępu do Państwa bazy czytelników i nie jest to w żaden sposób połączone. Podczas transakcji wymagane jest wpisanie kwoty transakcji. Dodatkowo mogą Państwo wpisać za jaką usługę była płatność – „tytuł płatności” – np. ksero, za nieterminowy zwrot, zagubioną książkę itp. W trakcie takiej transakcji żadne dane osobowe Państwa czytelników nie są przetwarzane.”. Wyjaśnienia powyższe nie rozwiały naszych wątpliwości.

Pytanie:  We wspólnocie mieszkaniowej ustanowiono zarząd powierzony na podstawie aktu notarialnego z art. 18 ustawy o własności lokali. Czy w sytuacji, gdy istnieje akt notarialny o powierzeniu zarządu nieruchomością wspólną (zarząd powierzony) oraz odrębna umowa o zarządzanie nieruchomością wspólną, zawarta na podstawie ustawy o gospodarce nieruchomościami, powstaje po stronie wspólnoty mieszkaniowej obowiązek zawarcia odrębnej umowy powierzenia przetwarzania danych osobowych z zarządcą na podstawie art. 28 RODO? Jeżeli tak, to z którym z ww. dokumentów (akt notarialny czy umowa o zarządzanie) umowa powierzenia powinna być systemowo powiązana jako z „umową główną / podstawową”? Na jaki dokument – akt powierzenia zarządu czy umowę o zarządzanie nieruchomością wspólną – należy w pierwszej kolejności powołać się w treści umowy powierzenia, wskazując tytuł i zakres przetwarzania danych przez zarządcę? Kto powinien być po stronie wspólnoty mieszkaniowej sygnatariuszem umowy powierzenia w przypadku zarządu powierzonego - ogół właścicieli lokali jako „zbiór” (np. wszyscy właściciele działający łącznie), czy też pełnomocnik / przedstawiciel wspólnoty wyraźnie ustanowiony do reprezentacji w akcie notarialnym o powierzeniu zarządu lub w późniejszej uchwale?

Pytanie:  Fundacja organizuje szkolenia dla pracowników nt. Uzupełnienie umiejętności cyfrowych pracowników JST..." w ramach projektu KPOD.05.08-IW.06-0089/25. W związku z realizacją projektu proszą o wypełnienie oświadczenia, w którym należy podać imię i nazwisko, PESEL, okres zatrudnienia i stanowisko pracy pracowników oddelegowanych na szkolenie, które ma potwierdzać, iż osoby te są pracownikami administracji samorządowej oraz posiadają status urzędnika wykonującego władzę publiczną. Czy jest jakaś podstawa prawna, na mocy której można podawać w tym przypadku PESEL pracowników oraz okres ich zatrudnienia?

Pytanie:  Firma zleca fotografowi (studio) wykonanie profesjonalnych zdjęć pracownikom, Czy prawidłowo interpretujemy, że mamy tu do czynienia z relacją ADO - ADO (fotograf przetwarza dane osobowe w postaci wizerunku w celu wykonania umowy). Zatem otrzymane od niego zdjęcia to jest przekazanie danych. Jeżeli firma uzyskała zgodę od pracowników na przetwarzanie ich danych w postaci wizerunku, to czy fotograf jako odrębny ADO musi ją pozyskiwać ponownie? Czy dodatkowo pracownik musi wyrazić zgodę na przekazanie danych, czy w tym wypadku zgoda na przekazanie jest dorozumiana?

Pytanie:  W związku z wejściem w życie KSeF biblioteka dokonała aktualizacji dokumentacji z zakresu ochrony danych osobowych. Wprowadzono nowy proces do RCP i opracowano nową klauzulę informacyjną, która miała być opublikowana na stronie internetowej od 1 lutego 2026 r. Do umów z kontrahentami np. na najem audytorium przed ich zawarciem, będzie dopisywania informacja do bieżącej klauzuli o przetwarzaniu danych również w KSe-F, żeby nie dokładać 2 klauzuli. Chcę mieć pewność, iż w klauzuli znajdują się wszystkie informacje, na co zwrócić szczególną uwage?

Pytanie:  Czy w ramach e-Doręczeń potrzebna jest dodatkowa umowa z Pocztą Polską? Jak ma się ochrona danych osobowych do drukowania i wysyłania PIT-ów do osób prywatnych, które nie mają założonej skrzynki e-Doręczeń?

Pytanie:  W związku z przygotowywaniem regulaminu monitoringu w naszej jednostce zastanawiamy się nad uregulowaniem kwestii udostępniania nagrań wideo z monitoringu osobom fizycznym, wnioskującym na podstawie art. 15 RODO. Posiadamy dwie koncepcje. Jedna dotyczy udostępnienia nagrań z monitoringu osobie wnioskującej (osobie uwidocznionej na nagraniu), po anonimizacji wizerunku osób trzecich na nagraniu. Natomiast zgodnie z drugą koncepcją mielibyśmy poinformować pisemnie wnioskodawcę o treści nagrania i możliwości jego udostępnienia odpowiednim organom lub sądom. Czy druga koncepcja jest zasadna? Czy obecne stanowisko UODO przeciwne utrudnianiu dostępu do nagrań osobie fizycznej ze względu na zasłanianie się brakiem technicznej możliwości dokonania anonimizacji wizerunku osób trzecich nie jest wyraźnym wskaźnikiem postępowania przy wniosku o udostępnienie nagrań? W obecnej sytuacji technologicznej, anonimizacja danych z nagrania nie jest problemem, jeżeli administrator oprócz rejestratorów nagrań zainwestuje w system do anonimizacji nagrań wideo lub system AI, który anonimizację wykona. Zatem, czy utrudnianie osobie fizycznej uzyskania nagrań nie będzie wyrazam, że administrator działa nieudolnie w zakresie przetwarzania danych monitoringu? Czy unikanie stosowania technicznych zabezpieczeń nie będzie naruszało art. 32 RODO, celem najprostszego rozwiązania, czyli odmowy udostępnienia nagrania ze względu na brak możliwości technicznych anonimizacji nagrań?

Pytanie:  Spółka zoo z siedzibą w Polsce posiada podmiot powiązany w Wielkiej Brytanii. Cały wewnętrzny zespół IT znajduje się w Wielkiej Brytanii i świadczy usługi na rzecz spółki zoo. Zespół IT odpowiada za CRM. Czy możemy mówić o transferze danych poza EOG w tym wypadku?