Pytanie: O realizację praw występuje podmiot dany lub adwokat czy radca prawny przedstawiając stosowne pełnomocnictwo. Czy może wystąpić inna osoba? Jeżeli tak, to jakie powinna mieć pełnomocnictwo? Gdy zdarza się naruszenie, a osoba będąca reprezentantem ADO nie może podpisać stosownego zgłoszenia do PUODO, czy Prezes może upoważnić inną osobę, a jeżeli tak to jaki rodzaj pełnomocnictw to ma być?
Pytanie: Pracownik w szpitalu ma swój pokój, gdzie naprawia sprzęty szpitalne to jest pracownik szpitala i jego pomieszczenie jest służbowe. Ten pracownik zamontował sobie w pokoju ukrytą kamerkę, bo przypuszcza, że ktoś włamuje się mu do pokoju i rozwala sprzęt. Czy ten pracownik bez zgody pracodawcy może ukryć kamerkę i filmować swój pokój - kamerka też nagrywała dźwięk i czy też może ukryć kamerkę na korytarzu bez wiedzy dyrekcji i osób przebywających na korytarzu? Nie ma informacji, że teren podlega monitorowaniu. Czy taki obraz można wykorzystać np. na potrzeby Policji?
Pytanie: Firma zleca fotografowi (studio) wykonanie profesjonalnych zdjęć pracownikom, Czy mamy tu do czynienia z relacją ADO - ADO (fotograf przetwarza dane w postaci wizerunku w celu wykonania umowy)? Jeżeli firma uzyskała zgodę od pracowników na przetwarzanie ich danych w postaci wizerunku, to czy fotograf jako odrębny ADO musi ją pozyskiwać ponownie? Czy dodatkowo pracownik musi wyrazić zgodę na przekazanie danych osobowych, czy w tym wypadku zgoda na przekazanie jest dorozumiana?
Pytanie: Firma fotograficzna A realizuje sesje zdjęciowe w szkołach. Szkoły powierzają dane uczniów firmie A na podstawie umowy powierzenia danych osobowych (umowa zawiera ogólną zgodę administratora na podpowierzenie danych). Ponieważ firma A usługę sesji zdjęciowej realizuje przy udziale swoich przedstawicieli -B2B (podmiot B), a ci współpracują B2B z fotografami (podmiot C). Firma A (procesor) chce podpowierzyć dane powierzone od szkoły przedstawicielowi B, a ten fotografowi C. Jak procesor A może podpowierzyć dane ze szkoły podprocesorowi B, żeby nie stosować dla każdej szkoły osobnej umowy podpowierzenia? Z uwagi na dużą ilość szkół nie jest to możliwe. Czy można zastosować jakąś ogólną zasadę „ogólne podpowierzenie”, jedną umową, które sankcjonowałoby podpowiedzenie danych danemu przedstawicielowi, który obsługuje pewną ilość szkół?
Pytanie: W dokumentacji powypadkowej znajduje się dokumentacja medyczna pracownika, który uległ wypadkowi przy pracy. Czy pracodawca ma obowiązek udostępnić Policji całość dokumentacji powypadkowej na żądanie Policji (art. 15 ust.1 pkt 6 ustawy o Policji), czy powinien wyłączyć z niej dokumentację medyczną i prosić o postanowienie prokuratora w tym zakresie?
Deepfake w reklamie nie jest wprost zakazany, ale każdy przypadek należy rozpatrywać w kontekście wielu: AI Act, ochrona wizerunku i dóbr osobistych, RODO oraz przepisów o reklamie wprowadzającej w błąd. W praktyce kluczowe jest, czy materiał nie daje wrażenia, że pokazuje rzeczywiste zdarzenie lub autentyczny wizerunek , nie narusza praw osoby ukazanej w tym materiale i nie wprowadza konsumenta w błąd.
Nowelizacja ustawy o KSC wdrażająca dyrektywę NIS 2 budzi liczne pytania wśród IOD i ADO. Prezentujemy 15 praktycznych Q&A, jakie pojawiły się podczas szkolenia od statusu podmiotów (szkoły, urzędy, spółki), przez odpowiedzialność kierowników i konflikty interesów, po obowiązki w łańcuchu dostaw. Krótka odpowiedź + podstawa prawna – idealne do wdrożenia w Twojej organizacji.
W przypadku wycieku danych osobowych zastrzeżenie PESEL mObywatel to kluczowy krok rekomendowany przez Ministerstwo Cyfryzacji – trwa kilka chwil i chroni przed kradzieżą tożsamości. Sprawdź, jak tego dokonać.
Pytanie: Nasza Instytucja zleca funkcję Inspektora Ochrony Danych kancelarii prawnej. Pojawił się pomysł, aby administrator wyznaczył zastępcę IOD spośród własnych pracowników, aby zapewnić „ciągłość działania”. Czy jest to słuszne? Według mnie „ciągłość działania” zapewnić powinna kancelaria prawna przyjmująca zlecenie. Zgodnie z art. 11a ustawy o ochronie danych osobowych, podmiot, który wyznaczył Inspektora może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, rozumiem jednak, że dotyczy to wyznaczenia zastępcy IOD wewnętrznego, zatrudnionego w Instytucji.
Pytanie: W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?
Podmiot zatrudniający pracowników występuje niejako w podwójnej roli - zarówno pracodawcy w rozumieniu przepisów prawa pracy, jak również administratora danych osobowych w rozumieniu przepisów regulujących przetwarzanie oraz ochronę danych osobowych. Co to zasady dane osobowe pracowników są przetwarzane na potrzeby realizacji wzajemnych praw oraz obowiązków stron stosunku pracy. Bywają jednak przypadki, kiedy dane takie będą musiały wyjść poza tą relację.
Pytanie: Sprawa dotyczy Ośrodka Pomocy Społecznej. Pracownik, w dokumentacji przekazanej przy przyjęciu do pracy, przedłożył zapytanie o udzielenie informacji o osobie wystawione przez Ministerstwo Sprawiedliwości – Biuro Informacyjne Krajowego Rejestru Karnego. Czy dokument ten należy przechowywać w aktach osobowych pracownika, czy też powinien zostać zwrócony lub zniszczony po weryfikacji informacji o niekaralności, zgodnie z zasadami minimalizacji danych osobowych i ograniczenia celu przetwarzania (RODO)? Dokument zawiera dane dotyczące karalności pracownika, które zgodnie z art. 10 RODO mogą być przetwarzane wyłącznie, jeżeli pozwala na to przepis prawa krajowego. Czy zatem OPS ma podstawę prawną do przechowywania tego dokumentu w aktach osobowych wychowawcy, czy też należy ograniczyć przetwarzanie wyłącznie do potwierdzenia faktu niekaralności.
Pytanie: Jaki zakres danych może pozyskiwać przedszkole prywatne w ramach przyjmowania dziecka do przedszkola. Czy identyczny jak publiczne?
Pytanie: Kronikarz miejski realizując swoje zadania przygotowuje listę osób, które są pionierami miasta – były pierwszymi mieszkańcami. Dane, którymi kronikarz dysponuje pochodzą z różnych źródeł, np. archiwum państwowe, rozmowy ze seniorami, publikacje muzeum. Dane te, zanim zostaną opublikowane, wymagają weryfikacji, czy w tych pierwszych latach powojennych wskazane osoby przebywały rzeczywiście w mieście. Czy możemy przekazać kronikarzowi informację, że np. państwo Kowalscy rzeczywiście przebywali w danym mieście, bo w tym czasie brali ślub?
Pytanie: Czy należy uzyskać zgodę osoby zgłaszającej projekt do budżetu obywatelskiego oraz osób popierających ten projekt, na publikację jego/ich danych na BIP gminy?
Pytanie: Czy z biegłym w zakresie zmiany stanu wody lub rzeczoznawcą majątkowym wykonującym usługę/zlecenie dla gminy (na działkach/nieruchomościach prywatnych), gmina powinna zawrzeć umowę powierzenia przetwarzania danych osobowych? Warto dodać, iż gmina przekazuje biegłym nr działki, nr księgi wieczystej, imię i nazwisko właściciela, adres nieruchomości. Czy może biegli/rzeczoznawcy są odrębnymi administratorami, którym udostępnia się dane niezbędne do wykonania umowy?
Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.
Pytanie: W naszej organizacji każdy pracownik, który przetwarzał dane miał nadawane upoważnienie do procesów określonych w organizacji oraz do celu realizacji powierzonych zadań służbowych. Dokument ten nadawał przełożony pracownika lub wyznaczony HRBP, co się nie sprawdziło z uwagi na ich nieaktualizowanie bądź nienadawanie. W związku z tym rozważamy nadanie ogólnych upoważnień odwołujących się do to zakresu zadań opisanych w aktach. Niestety tu również pojawia się problem z ich aktualizacją. W związku z tym, czy jest jakieś rozwiązanie, które pozwoli z jednej strony uogólnić upoważnienie tak, aby nadać je wszystkim pracownikom bez dodawania poszczególnych procesów, jednocześnie powołując się na zakres obowiązków przydzielonych w ramach (nieaktualizowanych regularnie) zakresów obowiązków i na bieżąco zlecanych zadań? Nasza firma jest typowo produkcyjna. Nie wszyscy mają dostęp do komputera, ale mimo to moim zdaniem dane osobowe przetwarzają wszyscy pracownicy. Problem głównie dotyczy tego, aby wszyscy pracownicy mieli aktualne upoważnienia adekwatne do wykonywanych zadań.
Pytanie: Nasza spółka organizuje spotkanie z mieszkańcami dzielnicy, aby omówić organizację imprez na terenie ich osiedla. Przed spotkaniem chcemy wyłożyć listę obecności na której uczestnicy będą wpisywać swoje imię i nazwisko, a także nr telefonu i adres e-mail oraz składali w tym samym wierszu swój podpis, w celu późniejszego ich powiadomienia o ustaleniach z dyskusji podczas spotkania. Czy zgoda na kontakt z uczestnikami spotkania, którzy podali nr telefonu lub adres e-mail, może być zapisana w klauzuli informacyjnej na odwrocie listy obecności w następującej treści: Dane osobowe udostępnione Administratorowi wpisane na liście obecności będę przetwarzane na podstawie wyrażonej przez Panią/Pana zgody potwierdzonej własnoręcznym podpisem w celu przekazania podsumowania ze spotkania.
Pytanie: W związku z wejściem w życie KSeF biblioteka dokonała aktualizacji dokumentacji z zakresu ochrony danych osobowych. Wprowadzono nowy proces do RCP i opracowano nową klauzulę informacyjną, która miała być opublikowana na stronie internetowej od 1 lutego 2026 r. Do umów z kontrahentami np. na najem audytorium przed ich zawarciem, będzie dopisywania informacja do bieżącej klauzuli o przetwarzaniu danych również w KSe-F, żeby nie dokładać 2 klauzuli. Chcę mieć pewność, iż w klauzuli znajdują się wszystkie informacje, na co zwrócić szczególną uwage?
Pytanie: Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1) współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2) ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.
Prezes UODO nałożył karę administracyjną w wysokości 5 tys. zł na wspólnotę mieszkaniową za niezachowanie 72 godzin na zgłaszanie naruszenia ochrony danych osobowych. Sprawa pokazuje, jak kluczowa jest rzetelna analiza ryzyka RODO – nawet przy "danych zwykłych" i jednej osobie poszkodowanej.
Naczelny Sąd Administracyjny wyrokiem z 5 listopada 2025 r. oddalił skargę kasacyjną na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zaskarżona decyzja nakładała karę finansową na właścicielkę kliniki stomatologicznej za niewykonanie nakazu orzeczonego prawomocną decyzją. Sprawa ma pokazać wszystkim administratorom danych osobowych, jak prawidłowo komunikować się w przypadku naruszenia ochrony danych osobowych, aby nie popełnić błędów, które wpłynęły na wysokość kary finansowej.
Pytanie: Pracownik placówki operatora pocztowego wydał korespondencję skierowaną do osoby fizycznej innej osobie o tym samym imieniu i nazwisku, ale zamieszkującej pod innym adresem. Osoba fizyczna, która odebrała korespondencję w momencie otwierania listu zorientowała się, że jest inny adres zamieszkania. Otwartą kopertę wraz z pismem osoba fizyczna odniosła do urzędu, który właściwie zaadresował pismo. Sporządzono protokół, w którym Pani potwierdziła fakt, iż to pracownik poczty niewłaściwie wydał pismo i wyraziła zgodę na podanie jej danych w sprawie wyjaśnienia sytuacji. Urząd złożył oficjalną reklamację do operatora pocztowego z informacją, iż doszło do naruszenia ochrony danych osobowych przez pracownika operatora. Operator pocztowy w odpowiedzi stwierdził, iż nie jest on administratorem danych osobowych i to do nadawcy należy ocena czy w zaistniałej sytuacji należy zgłosić naruszenie ochrony danych osobowych. Czy operator pocztowy udzielił prawidłowej odpowiedzi? Jakie jest orzecznictwo sądowe w tej kwestii oraz decyzje PUODO.
Deepfake w reklamie nie jest wprost zakazany, ale każdy przypadek należy rozpatrywać w kontekście wielu: AI Act, ochrona wizerunku i dóbr osobistych, RODO oraz przepisów o reklamie wprowadzającej w błąd. W praktyce kluczowe jest, czy materiał nie daje wrażenia, że pokazuje rzeczywiste zdarzenie lub autentyczny wizerunek , nie narusza praw osoby ukazanej w tym materiale i nie wprowadza konsumenta w błąd.
13.11.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
