Pytanie:  Dwóch administratorów przygotowuje umowę biznesową w ramach, której dochodzi do udostępnienia danych osobowych. Czy można uzależnić udostępnienie danych osobowych od spełnienia przez drugiego administratora środków technicznych i organizacyjnych gwarantujących odpowiedni stopień bezpieczeństwa danym osobowych?

Pytanie:   Występują dwa podmioty medyczne - jeden zleca drugiemu świadczenia na badania mikrobiologiczne. Zleceniobiorca wykonuje badania jednak do identyfikacji używa nr PESEL (program wymaga tego w celu właściwego działania - dla jednoznacznego zidentyfikowania wykonawców). Obydwie strony upoważnią pracowników do obsługi systemu (w tym dostępu do np. PESEL pracowników drugiego podmiotu). Czy w takim przypadku rozwiązaniem może być odpowiednia umowa powierzenia wraz ze wskazaniem upoważnionych pracowników zleceniodawcy do dostępu do danych wraz z poinformowaniem pracowników zleceniobiorcy o udostępnianiu ich danych w postaci PESEL (dodatkowo jaka będzie podstawa przetwarzania - zgoda najmniej pożądana ze względu na możliwości cofnięcia)?

Pytanie:  Podmiot A jest hostingodawcą i udostępnia aplikację CRM. Korzystają z niej podmioty B, C, D, które zawarły z pomiotem umowy hostingu. Ze względu na zmianę systemu CRM, podmiot A powierzy dane do dostawcy nowego systemu CRM w celu wykonania konwersji (usługa jednorazowa). W jaki sposób uregulować to z podmiotami B, C, D? Czy wystarczy udzielenie pełnomocnictwa podmiotowi A w celu powierzenia do konwersji, czy może należy zawrzeć umowy powierzenia z A, a podmiot A podpowierzy dane do dostawcy nowego systemu CRM?

Sejm przyjął ustawę wdrażającą unijny Akt o usługach cyfrowych (DSA), która znacząco zwiększa ochronę użytkowników internetu i ich prawa wobec decyzji platform. Najważniejszą zmianą jest wzmocnienie kontroli sądowej nad blokowaniem treści oraz wprowadzenie przejrzystych mechanizmów odwołania się od decyzji platform. Dowiedz się, jak nowe przepisy zmienią ochronę danych i prawa użytkowników w Polsce.

Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdza, że adres IP i identyfikatory plików cookies nie stanowią automatycznie danych osobowych, lecz wymagają indywidualnej oceny w świetle art. 4 pkt 1 RODO oraz motywów 26 i 30 RODO. NSA podkreślił, że kluczowe znaczenie ma możliwość identyfikacji osoby z wykorzystaniem wszystkich „rozsądnie prawdopodobnych” środków oraz to, czy administrator faktycznie dysponuje technicznymi i prawnymi sposobami powiązania IP lub ID cookies z konkretną osobą fizyczną.

Na początku drugiej połowy listopada 2025 r. Komisja Europejska przedstawiła pakiet Cyfrowy Omnibus, w ramach którego zamierza dokonać zmian w unijnym prawie cyfrowym, m.in. w RODO. Celem jest zwiększenie konkurencyjności europejskiego rynku oraz dostosowanie przepisów do realiów dynamicznie rozwijającej się gospodarki cyfrowej.

Pytanie:  W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?

Pytanie:  Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?

Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.

Pytanie:  Do wydziału komunikacji wpłynął wniosek o udostępnienie akt sprawy oraz możliwość wykonania fotokopii. Pismo wniósł pełnomocnik osoby zainteresowanej. Organ dokonał rejestracji pojazdu na podstawie m.in. dowodu własności t.j. faktury sprzedaży. Na fakturze widnieje jako sprzedający nazwa firmy, jako kupujący Pan / Pani. Pełnomocnik osoby, złożyła wniosek o udostępnienie akt sprawy oraz możliwość wykonania fotokopii. Organ udostępni kopię faktury sprzedaży pojazdu niemniej jednak ma wątpliwości co do udostępnienia danych kupującego będących na tej fakturze sprzedaży. Czy organ powinien udostępnić fakturę z wszelkimi danymi czy powinien zanonimizować dane kupującego?

Pytanie:  Rzecznik prasowy publicznego podmiotu leczniczego chce, aby przy zatrudnieniu nowych osób do pracy powszechnie znanych, w związku z pełnieniem przez nich funkcji publicznej – w szczególności, dyrektorzy, ordynatorzy, oddziałowe podpisywały zgodę na wykorzystanie wizerunku do celów promocyjnych i reklamowych. RODO wymaga, aby zgoda była dobrowolna, świadoma, konkretna i możliwa do wycofania w każdej chwili. Podczas zatrudnienia pracownik znajduje się w relacji podporządkowania wobec pracodawcy. W praktyce oznacza to, że podpisując dokumenty przy przyjęciu do pracy, pracownik nie ma realnej swobody odmowy, może obawiać się negatywnych konsekwencji odmowy podpisania, działa pod presją, chcąc otrzymać zatrudnienie. Czy można skutecznie udzielić zgody „na wszelkie przyszłe materiały promocyjne szpitala”? Zgoda udzielona podczas zatrudnienia byłaby zbyt ogólna, a więc nie spełnia wymogu „konkretności” z art. 4 pkt 11 RODO. Taka zgoda nie spełnia wymogu „dobrowolności” i jest nieważna.

Pytanie:  W jakich przypadkach szpital jest upoważniony do nagrywania rozmów telefonicznych pacjentów dzwoniących do placówki?

Pytanie:  Chciałabym zapytać o konieczność przeprowadzania testów równowagi. Są one wymagane w przypadku przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO. Jednak w bibliotece mamy także monitoring wizyjny, który wprowadziliśmy na podstawie art. 6 ust. 1 lit. e RODO. Czy do tej kategorii przetwarzania mimo wszystko mogę przeprowadzić test równowagi, by zbadać zależność między interesem publicznym a interesem jednostki? Czy będzie to błąd, jeśli taki test w dokumentacji się pojawi?

Pytanie:   Biblioteka podpisuje umowę z osobą prowadzącą jednoosobową działalność gospodarczą na przeprowadzenie spotkania dla młodzieży w ramach profilaktyki antyalkoholowej. Jednak wykład będzie prowadzony przez wynajętego przez ta osobę autora. W kwestii danych osobowych: wprowadzę klauzule dla osoby prowadzącej działalność. Wpiszemy w jednym z paragrafów kto będzie prowadził spotkanie. Osobno do umowy dołączę klauzulę dla autora o przetwarzaniu danych wynikających z umowy oraz konieczności ich okazania w związku ze sprawdzeniem w KRK (ochrona małoletnich). Będę wdzięczna z ukierunkowanie. 

Pytanie:  SPZOZ otrzymał wniosek od MGOPSU o przeprowadzenie wizyty środowiskowej. Wniosek zawiera dane osobowe wraz z adresem podopiecznej oraz informacją o złożonym wniosku o skierowanie na przymusowe leczenie w szpitalu psychiatrycznym. Po sprawdzeniu okazało się, że podopieczna nie jest pacjentem SPZOZ. MGOPS nie określił również, że stan zdrowia podopiecznej nagle się pogorszył i nie jest w stanie dotrzeć samodzielnie do przychodni. Czy MGOPS może zwrócić się do POZ o przeprowadzenie takiej wizyty? Jakie są podstawy prawne przetwarzania danych osobowych, w tym danych wrażliwych przez MGOPSU i jakie będzie miał podstawy SPZOZ, jeśli przyjmie wniosek do realizacji?

Pytanie:  W naszej organizacji każdy pracownik, który przetwarzał dane miał nadawane upoważnienie do procesów określonych w organizacji oraz do celu realizacji powierzonych zadań służbowych. Dokument ten nadawał przełożony pracownika lub wyznaczony HRBP, co się nie sprawdziło z uwagi na ich nieaktualizowanie bądź nienadawanie. W związku z tym rozważamy nadanie ogólnych upoważnień odwołujących się do to zakresu zadań opisanych w aktach. Niestety tu również pojawia się problem z ich aktualizacją. W związku z tym, czy jest jakieś rozwiązanie, które pozwoli z jednej strony uogólnić upoważnienie tak, aby nadać je wszystkim pracownikom bez dodawania poszczególnych procesów, jednocześnie powołując się na zakres obowiązków przydzielonych w ramach (nieaktualizowanych regularnie) zakresów obowiązków i na bieżąco zlecanych zadań? Nasza firma jest typowo produkcyjna. Nie wszyscy mają dostęp do komputera, ale mimo to moim zdaniem dane osobowe przetwarzają wszyscy pracownicy. Problem głównie dotyczy tego, aby wszyscy pracownicy mieli aktualne upoważnienia adekwatne do wykonywanych zadań.

Pytanie:  Jednym z obowiązków naszej jednostki jest kontrola projektów dofinansowanych z EFS+, w trakcie której przetwarzamy dane osobowe. Jaka jest ich retencja? Jak to wygląda w przypadku legitymacji służbowej, jaką wydajemy naszym pracownikom, kontrolującym te organizacje. Jaka retencja będzie takiej legitymacji?

Pytanie:  Na platformie Facebook udostępniono wizerunki przedszkolaków poprzez polubienie w social mediach zaprzyjaźnionej instytucji. Zalecono natychmiastowe usunięcie postów. Nie mieliśmy zgód na publikacje wizerunków dzieci. Polubienie spowodowało pojawienie się postów na naszym profilu. Czy takie postępowanie jest prawidłowe?

Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  

Pytanie:  W urzędzie jest monitoring na parkingu, w samochodach służbowych oraz komputerów. Jest zarządzenie do tego i każdy pracownik podpisał odpowiednie oświadczenie. W tym roku został wybudowany nowy budynek, do którego przeniosły się dwa wydziały. W tym budynku monitoring jest na korytarzu i holu. Czy w związku z tym pracownicy tych dwóch wydziałów muszą podpisać nowe oświadczenia dotyczące monitoringu?

Pytanie:  Z dniem 1 lipca 2024 weszła w życie dyrektywa DAC7. Czy klauzuli informacyjnej jednostki budżetowej samorządu można uznać, iż wystarczające jest, gdy podano jako jedną z podstaw przetwarzania danych art. 6 ust. 1 lit. c RODO? W dostępnych materiałach są informacja, iż przepis nakazuje promotorowi oraz wspomagającemu przekazywać osobie fizycznej informacje o gromadzeniu, przetwarzaniu i przekazywaniu informacji dotyczących schematu podatkowego, jeśli informacje o schemacie podatkowym dotyczą tej osoby fizycznej. Dodatkowo ustawa wprowadziła nową definicję „naruszenia ochrony danych", która ma szerszy zakres przedmiotowy. Jak uwzględnić te zmiany w procedurze zarzadzania naruszeniami i w ocenie wagi naruszenia opartej na metodzie ENISY.

Pytanie:  Pracownik naszego działu kadr i płac pomyłkowo wysłał skan wypowiedzenia umowy o pracę na niewłaściwy adres e-mail (pracownik prosił o wysłanie go na swoją prywatną skrzynkę, po tym jak nie zabrał ze sobą dokumentu po jego osobistym wręczeniu), który nie był adresem pracownika. W adresie e-mail, na który wysłane zostało wypowiedzenie, było to samo imię i nazwisko, co w adresie pracownika, ale bez cyfr, które są w adresie wskazanym przez pracownika. Wypowiedzenie to zawierało imię i nazwisko oraz adres pracownika, a także wskazywało przyczyny rozwiązania umowy o pracę. Po wysłaniu skanu wypowiedzenia pracownik działu kadr nie otrzymał z tegoż adresu żadnej informacji zwrotnej, w tym informacji o tym, że adres nie istnieje, czy też ze jest nieprawidłowy). Po odkryciu pomyłki, w ślad za tym mailem na ten sam adres został wysłany kolejny, z prośbą o usunięcie poprzedniej wiadomości skierowanej pomyłkowo oraz o potwierdzenie takiego usunięcia. Na razie odpowiedzi nie mamy. Dodatkowo w stopkach maili wysyłanych przez naszych pracowników jest standardowo zamieszczona informacja o tym, że wiadomość może zawierać informacje poufne lub zastrzeżone i jeżeli osoba otrzymująca nie jest adresatem wiadomości, prosimy o niezwłoczne powiadomienie nadawcy w zwrotnej wiadomości oraz o usunięcie wiadomości wraz ze wszystkimi załącznikami, bez zachowywania jakiejkolwiek kopii. Tak też było i w tym przypadku. Dodatkowo okres wypowiedzenia umowy o pracę w stosunku do tego pracownika upłynie na koniec października, pracownik jest zwolniony z obowiązku świadczenia pracy w okresie wypowiedzenia. Czy w takim przypadku administrator powinien powiadomić Prezesa UODO o naruszeniu oraz czy równolegle powinniśmy powiadomić pracownika o tej sytuacji?

Pytanie:  Centrum kultury na terenie województwa dolnośląskiego świadczy usługi wynajmu pomieszczeń świetlic osobom i instytucjom zainteresowanym, na terenie których jest zainstalowany jest system monitoringu wizyjnego. Osoby zainteresowane wynajmem wyraziły sprzeciw dotyczący wykorzystania systemu monitoringu w tych pomieszczeniach. Uprzejmie proszę o analizę obowiązujących regulacji prawnych – zarówno ogólnych (w szczególności art. 6 ust. 1 lit. f oraz art. 5 RODO), jak i lokalnych (regulaminów i uchwał gminy) – pod kątem prawidłowości przyjętych przez Administratora praktyk. Informuję, że: klauzula informacyjna o stosowaniu monitoringu wizyjnego znajduje się w widocznym miejscu wewnątrz każdego obiektu, jej kopia jest również stale dostępna w siedzibie Administratora, przy wejściach do świetlic wiejskich umieszczone są duże, czytelne tablice informacyjne zawierające oznaczenie monitoringu, dane Administratora, podstawę prawną przetwarzania, okres przechowywania danych, a także inne wymagane elementy informacyjne. W zakresie technicznym i organizacyjnym system funkcjonuje następująco. Monitoring realizowany jest w trybie ciągłym (24/7) wyłącznie w celu zapewnienia bezpieczeństwa osób i mienia, ochrony infrastruktury publicznej oraz przeciwdziałania aktom wandalizmu, włamaniom i naruszeniom porządku publicznego. Kamery rejestrujące obraz rozmieszczone są wyłącznie w przestrzeniach ogólnodostępnych (wejścia, ciągi komunikacyjne, sala główna, przyległy teren zewnętrzny). Monitoring nie obejmuje pomieszczeń, w których mogłoby dojść do naruszenia intymności (np. toalet). System monitoringu wizyjnego zainstalowany w obiektach zarządzanych przez Administratora rejestruje obraz oraz dźwięk w sposób ciągły. Kamery wyposażone są w zintegrowane mikrofony, a funkcja nagrywania dźwięku pozostaje aktywna przez cały czas działania systemu. Rejestracja dźwięku ma na celu zwiększenie skuteczności nadzoru nad bezpieczeństwem obiektu oraz umożliwienie odtworzenia rzeczywistego przebiegu zdarzeń w przypadku incydentów wymagających podjęcia działań przez organy ścigania lub służby porządkowe (np. włamania, dewastacje, agresja słowna, zakłócenia porządku). Przetwarzanie danych w postaci dźwięku odbywa się na podstawie art. 6 ust. 1 lit. f RODO – jako realizacja prawnie uzasadnionego interesu Administratora, przy zachowaniu zasady minimalizacji oraz proporcjonalności. Nagrania są wykorzystywane wyłącznie w przypadku zaistnienia zdarzenia wymagającego ich analizy lub przekazania właściwym organom. System działa w trybie rejestracyjnym – Administrator nie prowadzi stałego, bieżącego nadzoru obrazu przez personel. Jednocześnie, system wyposażony jest w funkcję inteligentnego detekcji ruchu oraz alertów bezpieczeństwa, umożliwiających automatyczne przesyłanie komunikatów (wraz z podglądem obrazu) na urządzenia mobilne uprawnionych osób w przypadku wykrycia aktywności w określonych strefach (np. podejście do drzwi wejściowych, okien lub ogrodzenia). Funkcja ta pełni rolę prewencyjną i alarmową – umożliwia natychmiastową reakcję w sytuacjach potencjalnego zagrożenia bezpieczeństwa osób i mienia, zgodnie z art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora). Alerty są generowane automatycznie przez system, bez bieżącej ingerencji użytkownika. Chciałbym podkreślić, że: zakres monitoringu jest ściśle ograniczony do minimum niezbędnego do osiągnięcia celu przetwarzania, przetwarzanie danych odbywa się zgodnie z zasadą minimalizacji oraz proporcjonalności, stosowane rozwiązania organizacyjne i techniczne odpowiadają wymogom wynikającym z art. 5 ust. 1 lit. c i f RODO. Czy w świetlicach wiejskich można stosować system monitoringu wizyjnego wraz z rejestracją dźwięku zgodnie z zasadami przedstawionymi powyżej? Zapytanie czy przedstawione założenia są zgodne z przepisami RODO?  

Pytanie:  Pacjentka leżąca w szpitalu, będąca świadoma i chodząca, stwierdziła brak dowodu osobistego w swojej szafce. Dowód osobisty został jednak znaleziony w szafce innej pacjentki. Pacjentka, której dowód się zagubił, była świadoma regulaminu szpitala dotyczącego depozytu i nie oddała dowodu do depozytu. Personel szpitala nie wiedział, że ta pacjentka ma dowód osobisty. Córka pacjentki zwróciła się do szpitala z zapytaniem o monitoring oraz incydent ochrony danych osobowych, twierdząc, że dowód został użyty, ponieważ znalazł się w innej szafce, ale nie jest tego pewna. Czy jest to incydent, który Inspektor Ochrony Danych (IOD) powinien zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Nie ma pewności, że inna osoba użyła tego dowodu, a pacjentka nie chciała oddać go do depozytu. Czy to jest poważny incydent dotyczący danych, biorąc pod uwagę, że personel nie wiedział o dowodzie? Szpital posiada procedury dotyczące oddawania rzeczy wartościowych i dokumentów do depozytu.