Pytanie:  Sprawa dotyczy Domu Pomocy Społecznej (DPS). Zmarł mieszkaniec DPS. Córka zmarłego mieszkańca zwróciła się o udostępnienie całej dokumentacji medycznej zmarłego. Córka za życia nie została upoważniono przez zmarłego. Opiekę medyczną nad mieszkańcami sprawuje POZ przychodnia i to u niej znajduje się dokumentacja medyczna. W DPS znajdują się tylko raporty dobowe. Wydaje mi się, że administratorem dokumentacji medycznej jest przychodnia i to do niej powinna zwrócić się córka zmarłego. Natomiast jak wygląda sprawa w przypadku śmierci mieszkańca DPS a nie ma osoby upoważnionej? Jakie dokumenty potwierdzające prawo do otrzymania dokumentacji medycznej powinna posiadać ta osoba?

Pytanie:  Dwóch administratorów przygotowuje umowę biznesową w ramach, której dochodzi do udostępnienia danych osobowych. Czy można uzależnić udostępnienie danych osobowych od spełnienia przez drugiego administratora środków technicznych i organizacyjnych gwarantujących odpowiedni stopień bezpieczeństwa danym osobowych?

Pytanie:   Występują dwa podmioty medyczne - jeden zleca drugiemu świadczenia na badania mikrobiologiczne. Zleceniobiorca wykonuje badania jednak do identyfikacji używa nr PESEL (program wymaga tego w celu właściwego działania - dla jednoznacznego zidentyfikowania wykonawców). Obydwie strony upoważnią pracowników do obsługi systemu (w tym dostępu do np. PESEL pracowników drugiego podmiotu). Czy w takim przypadku rozwiązaniem może być odpowiednia umowa powierzenia wraz ze wskazaniem upoważnionych pracowników zleceniodawcy do dostępu do danych wraz z poinformowaniem pracowników zleceniobiorcy o udostępnianiu ich danych w postaci PESEL (dodatkowo jaka będzie podstawa przetwarzania - zgoda najmniej pożądana ze względu na możliwości cofnięcia)?

Urząd Ochrony Danych Osobowych opublikował pierwszy w Polsce strategiczny raport pokazujący, jak instytucje publiczne i organizacje prywatne korzystają ze sztucznej inteligencji oraz jak są przygotowane do jej odpowiedzialnego wdrażania. Dokument dostarcza cennych informacji dla IOD i specjalistów ds. ochrony danych, wskazując potrzeby edukacyjne, wyzwania oraz kierunki wsparcia w obszarze AI i RODO.

Prezes UODO apeluje o ponowne podjęcie prac nad przepisami krajowymi wdrażającymi DSA, wskazując na konieczność skuteczniejszej ochrony obywateli przed zagrożeniami związanymi z technologią deepfake. Obecne regulacje unijne i krajowe — mimo że idą w dobrą stronę — nie zapewniają kompleksowej ochrony danych i wizerunku.

Jasne uregulowanie zasad współpracy i podziału kompetencji między krajowymi organami nadzoru w związku z wdrażaniem unijnego Aktu w sprawie danych (Data Act), to realna potrzeba. Brak precyzyjnych przepisów może – jak podkreśla UODO – osłabić skuteczność ochrony danych osobowych w Polsce.

Pytanie:  W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?

Pytanie:  Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?

Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.

Pytanie:  W związku z przygotowywaniem regulaminu monitoringu w naszej jednostce zastanawiamy się nad uregulowaniem kwestii udostępniania nagrań wideo z monitoringu osobom fizycznym, wnioskującym na podstawie art. 15 RODO. Posiadamy dwie koncepcje. Jedna dotyczy udostępnienia nagrań z monitoringu osobie wnioskującej (osobie uwidocznionej na nagraniu), po anonimizacji wizerunku osób trzecich na nagraniu. Natomiast zgodnie z drugą koncepcją mielibyśmy poinformować pisemnie wnioskodawcę o treści nagrania i możliwości jego udostępnienia odpowiednim organom lub sądom. Czy druga koncepcja jest zasadna? Czy obecne stanowisko UODO przeciwne utrudnianiu dostępu do nagrań osobie fizycznej ze względu na zasłanianie się brakiem technicznej możliwości dokonania anonimizacji wizerunku osób trzecich nie jest wyraźnym wskaźnikiem postępowania przy wniosku o udostępnienie nagrań? W obecnej sytuacji technologicznej, anonimizacja danych z nagrania nie jest problemem, jeżeli administrator oprócz rejestratorów nagrań zainwestuje w system do anonimizacji nagrań wideo lub system AI, który anonimizację wykona. Zatem, czy utrudnianie osobie fizycznej uzyskania nagrań nie będzie wyrazam, że administrator działa nieudolnie w zakresie przetwarzania danych monitoringu? Czy unikanie stosowania technicznych zabezpieczeń nie będzie naruszało art. 32 RODO, celem najprostszego rozwiązania, czyli odmowy udostępnienia nagrania ze względu na brak możliwości technicznych anonimizacji nagrań?

Pytanie:  Nasza firma zorganizowała na terenie miasta jarmark. Klient kupił na jarmarku konserwę, która zawierała zepsute mięso. Wskazał numery dwóch stoisk, które sprzedawały ten asortyment i poprosił nas o adresy, numery telefonów oraz e-mali do dwóch sprzedawców, aby tę sprawę z nimi wyjaśnić. Problem polega na tym, że jedno z tych dwóch stoisk wskazanych przez klienta jest reprezentowane przez rolnika, zatem nie ma zarejestrowanej działalności gospodarczej. Czy w związku z powyższym można udostępnić klientowi wskazane dane?

Pytanie:  Pracownik w szpitalu ma swój pokój, gdzie naprawia sprzęty szpitalne to jest pracownik szpitala i jego pomieszczenie jest służbowe. Ten pracownik zamontował sobie w pokoju ukrytą kamerkę, bo przypuszcza, że ktoś włamuje się mu do pokoju i rozwala sprzęt. Czy ten pracownik bez zgody pracodawcy może ukryć kamerkę i filmować swój pokój - kamerka też nagrywała dźwięk i czy też może ukryć kamerkę na korytarzu bez wiedzy dyrekcji i osób przebywających na korytarzu? Nie ma informacji, że teren podlega monitorowaniu. Czy taki obraz można wykorzystać np. na potrzeby Policji?

Pytanie:  Czy w ramach e-Doręczeń potrzebna jest dodatkowa umowa z Pocztą Polską? Jak ma się ochrona danych osobowych do drukowania i wysyłania PIT-ów do osób prywatnych, które nie mają założonej skrzynki e-Doręczeń?

Pytanie:  Spółka zoo z siedzibą w Polsce posiada podmiot powiązany w Wielkiej Brytanii. Cały wewnętrzny zespół IT znajduje się w Wielkiej Brytanii i świadczy usługi na rzecz spółki zoo. Zespół IT odpowiada za CRM. Czy możemy mówić o transferze danych poza EOG w tym wypadku?

Pytanie:  OPS (gmina) realizuje projekt unijny „Asystent osobisty osoby z niepełnosprawnością”. Ten sam projekt realizuje Powiatowe Centrum Pomocy Rodzinie - PCPR (powiat), każdy jako odrębna jednostka. Otrzymaliśmy pismo z PCPR o przekazanie listy imiennej osób zakwalifikowanych do projektu, powołując się na pismo wojewody, która nie podaje podstawy prawnej, a jedynie możliwość współpracy. Czy możemy taką listę przekazać, jeśli tak, to na jakiej podstawie?

Pytanie:  W naszej organizacji każdy pracownik, który przetwarzał dane miał nadawane upoważnienie do procesów określonych w organizacji oraz do celu realizacji powierzonych zadań służbowych. Dokument ten nadawał przełożony pracownika lub wyznaczony HRBP, co się nie sprawdziło z uwagi na ich nieaktualizowanie bądź nienadawanie. W związku z tym rozważamy nadanie ogólnych upoważnień odwołujących się do to zakresu zadań opisanych w aktach. Niestety tu również pojawia się problem z ich aktualizacją. W związku z tym, czy jest jakieś rozwiązanie, które pozwoli z jednej strony uogólnić upoważnienie tak, aby nadać je wszystkim pracownikom bez dodawania poszczególnych procesów, jednocześnie powołując się na zakres obowiązków przydzielonych w ramach (nieaktualizowanych regularnie) zakresów obowiązków i na bieżąco zlecanych zadań? Nasza firma jest typowo produkcyjna. Nie wszyscy mają dostęp do komputera, ale mimo to moim zdaniem dane osobowe przetwarzają wszyscy pracownicy. Problem głównie dotyczy tego, aby wszyscy pracownicy mieli aktualne upoważnienia adekwatne do wykonywanych zadań.

Pytanie:  Jednym z obowiązków naszej jednostki jest kontrola projektów dofinansowanych z EFS+, w trakcie której przetwarzamy dane osobowe. Jaka jest ich retencja? Jak to wygląda w przypadku legitymacji służbowej, jaką wydajemy naszym pracownikom, kontrolującym te organizacje. Jaka retencja będzie takiej legitymacji?

Pytanie:  Na platformie Facebook udostępniono wizerunki przedszkolaków poprzez polubienie w social mediach zaprzyjaźnionej instytucji. Zalecono natychmiastowe usunięcie postów. Nie mieliśmy zgód na publikacje wizerunków dzieci. Polubienie spowodowało pojawienie się postów na naszym profilu. Czy takie postępowanie jest prawidłowe?

Pytanie:  W związku z wejściem w życie KSeF biblioteka dokonała aktualizacji dokumentacji z zakresu ochrony danych osobowych. Wprowadzono nowy proces do RCP i opracowano nową klauzulę informacyjną, która miała być opublikowana na stronie internetowej od 1 lutego 2026 r. Do umów z kontrahentami np. na najem audytorium przed ich zawarciem, będzie dopisywania informacja do bieżącej klauzuli o przetwarzaniu danych również w KSe-F, żeby nie dokładać 2 klauzuli. Chcę mieć pewność, iż w klauzuli znajdują się wszystkie informacje, na co zwrócić szczególną uwage?

Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  

Pytanie:  W urzędzie jest monitoring na parkingu, w samochodach służbowych oraz komputerów. Jest zarządzenie do tego i każdy pracownik podpisał odpowiednie oświadczenie. W tym roku został wybudowany nowy budynek, do którego przeniosły się dwa wydziały. W tym budynku monitoring jest na korytarzu i holu. Czy w związku z tym pracownicy tych dwóch wydziałów muszą podpisać nowe oświadczenia dotyczące monitoringu?

Pytanie:  O realizację praw występuje podmiot dany lub adwokat czy radca prawny przedstawiając stosowne pełnomocnictwo. Czy może wystąpić inna osoba? Jeżeli tak, to jakie powinna mieć pełnomocnictwo? Gdy zdarza się naruszenie, a osoba będąca reprezentantem ADO nie może podpisać stosownego zgłoszenia do PUODO, czy Prezes może upoważnić inną osobę, a jeżeli tak to jaki rodzaj pełnomocnictw to ma być?

Pytanie:  Pracownik naszego działu kadr i płac pomyłkowo wysłał skan wypowiedzenia umowy o pracę na niewłaściwy adres e-mail (pracownik prosił o wysłanie go na swoją prywatną skrzynkę, po tym jak nie zabrał ze sobą dokumentu po jego osobistym wręczeniu), który nie był adresem pracownika. W adresie e-mail, na który wysłane zostało wypowiedzenie, było to samo imię i nazwisko, co w adresie pracownika, ale bez cyfr, które są w adresie wskazanym przez pracownika. Wypowiedzenie to zawierało imię i nazwisko oraz adres pracownika, a także wskazywało przyczyny rozwiązania umowy o pracę. Po wysłaniu skanu wypowiedzenia pracownik działu kadr nie otrzymał z tegoż adresu żadnej informacji zwrotnej, w tym informacji o tym, że adres nie istnieje, czy też ze jest nieprawidłowy). Po odkryciu pomyłki, w ślad za tym mailem na ten sam adres został wysłany kolejny, z prośbą o usunięcie poprzedniej wiadomości skierowanej pomyłkowo oraz o potwierdzenie takiego usunięcia. Na razie odpowiedzi nie mamy. Dodatkowo w stopkach maili wysyłanych przez naszych pracowników jest standardowo zamieszczona informacja o tym, że wiadomość może zawierać informacje poufne lub zastrzeżone i jeżeli osoba otrzymująca nie jest adresatem wiadomości, prosimy o niezwłoczne powiadomienie nadawcy w zwrotnej wiadomości oraz o usunięcie wiadomości wraz ze wszystkimi załącznikami, bez zachowywania jakiejkolwiek kopii. Tak też było i w tym przypadku. Dodatkowo okres wypowiedzenia umowy o pracę w stosunku do tego pracownika upłynie na koniec października, pracownik jest zwolniony z obowiązku świadczenia pracy w okresie wypowiedzenia. Czy w takim przypadku administrator powinien powiadomić Prezesa UODO o naruszeniu oraz czy równolegle powinniśmy powiadomić pracownika o tej sytuacji?

Pytanie:  Centrum kultury na terenie województwa dolnośląskiego świadczy usługi wynajmu pomieszczeń świetlic osobom i instytucjom zainteresowanym, na terenie których jest zainstalowany jest system monitoringu wizyjnego. Osoby zainteresowane wynajmem wyraziły sprzeciw dotyczący wykorzystania systemu monitoringu w tych pomieszczeniach. Uprzejmie proszę o analizę obowiązujących regulacji prawnych – zarówno ogólnych (w szczególności art. 6 ust. 1 lit. f oraz art. 5 RODO), jak i lokalnych (regulaminów i uchwał gminy) – pod kątem prawidłowości przyjętych przez Administratora praktyk. Informuję, że: klauzula informacyjna o stosowaniu monitoringu wizyjnego znajduje się w widocznym miejscu wewnątrz każdego obiektu, jej kopia jest również stale dostępna w siedzibie Administratora, przy wejściach do świetlic wiejskich umieszczone są duże, czytelne tablice informacyjne zawierające oznaczenie monitoringu, dane Administratora, podstawę prawną przetwarzania, okres przechowywania danych, a także inne wymagane elementy informacyjne. W zakresie technicznym i organizacyjnym system funkcjonuje następująco. Monitoring realizowany jest w trybie ciągłym (24/7) wyłącznie w celu zapewnienia bezpieczeństwa osób i mienia, ochrony infrastruktury publicznej oraz przeciwdziałania aktom wandalizmu, włamaniom i naruszeniom porządku publicznego. Kamery rejestrujące obraz rozmieszczone są wyłącznie w przestrzeniach ogólnodostępnych (wejścia, ciągi komunikacyjne, sala główna, przyległy teren zewnętrzny). Monitoring nie obejmuje pomieszczeń, w których mogłoby dojść do naruszenia intymności (np. toalet). System monitoringu wizyjnego zainstalowany w obiektach zarządzanych przez Administratora rejestruje obraz oraz dźwięk w sposób ciągły. Kamery wyposażone są w zintegrowane mikrofony, a funkcja nagrywania dźwięku pozostaje aktywna przez cały czas działania systemu. Rejestracja dźwięku ma na celu zwiększenie skuteczności nadzoru nad bezpieczeństwem obiektu oraz umożliwienie odtworzenia rzeczywistego przebiegu zdarzeń w przypadku incydentów wymagających podjęcia działań przez organy ścigania lub służby porządkowe (np. włamania, dewastacje, agresja słowna, zakłócenia porządku). Przetwarzanie danych w postaci dźwięku odbywa się na podstawie art. 6 ust. 1 lit. f RODO – jako realizacja prawnie uzasadnionego interesu Administratora, przy zachowaniu zasady minimalizacji oraz proporcjonalności. Nagrania są wykorzystywane wyłącznie w przypadku zaistnienia zdarzenia wymagającego ich analizy lub przekazania właściwym organom. System działa w trybie rejestracyjnym – Administrator nie prowadzi stałego, bieżącego nadzoru obrazu przez personel. Jednocześnie, system wyposażony jest w funkcję inteligentnego detekcji ruchu oraz alertów bezpieczeństwa, umożliwiających automatyczne przesyłanie komunikatów (wraz z podglądem obrazu) na urządzenia mobilne uprawnionych osób w przypadku wykrycia aktywności w określonych strefach (np. podejście do drzwi wejściowych, okien lub ogrodzenia). Funkcja ta pełni rolę prewencyjną i alarmową – umożliwia natychmiastową reakcję w sytuacjach potencjalnego zagrożenia bezpieczeństwa osób i mienia, zgodnie z art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora). Alerty są generowane automatycznie przez system, bez bieżącej ingerencji użytkownika. Chciałbym podkreślić, że: zakres monitoringu jest ściśle ograniczony do minimum niezbędnego do osiągnięcia celu przetwarzania, przetwarzanie danych odbywa się zgodnie z zasadą minimalizacji oraz proporcjonalności, stosowane rozwiązania organizacyjne i techniczne odpowiadają wymogom wynikającym z art. 5 ust. 1 lit. c i f RODO. Czy w świetlicach wiejskich można stosować system monitoringu wizyjnego wraz z rejestracją dźwięku zgodnie z zasadami przedstawionymi powyżej? Zapytanie czy przedstawione założenia są zgodne z przepisami RODO?