Pytanie:  Biblioteka wprowadza możliwość regulowania przez interesantów opłat stanowiących dochody budżetu instytucji w formie transakcji bezgotówkowych, dokonywanych za pośrednictwem terminala płatniczego w swoich placówkach. Podpisaliśmy umowę z w sprawie najmu terminali oraz umowę o obsługę i rozliczenie transakcji przystępując do Programu Wsparcia Obrotu Bezgotówkowego. Opłaty pobierane będą z tytułu: opłata za przetrzymanie za zagubienie/zniszczenie zbiorów, za zagubienie karty itp. Podczas dokonywania transakcji na terminalu będą wpisywane tylko następujące dane: kwota, numer karty czytelnika i rodzaj wpłaty. Operator terminala jako instytucja przetwarzająca płatności ma dostęp do danych osobowych wpłacającego w niezbędnym zakresie do realizacji i obsługi transakcji, czyli przetwarza dane osobowe (dane transakcyjne, numer karty) osoby dokonującej wpłaty na naszą rzecz za jego pośrednictwem, tym samym jest przetwórcą tych danych (ma do nich dostęp). Administratorem danych tych osób jest biblioteka, która odpowiada za ich bezpieczeństwo. Czy konieczne jest podpisanie umowy powierzenia w związku z tą usługą. Na nasze pytanie w tej sprawie skierowane do operatora terminala uzyskaliśmy odpowiedź, cytuję: „Na terminalach płatniczych nie przetwarzamy danych osobowych płatników. Nie mamy dostępu do Państwa bazy czytelników i nie jest to w żaden sposób połączone. Podczas transakcji wymagane jest wpisanie kwoty transakcji. Dodatkowo mogą Państwo wpisać za jaką usługę była płatność – „tytuł płatności” – np. ksero, za nieterminowy zwrot, zagubioną książkę itp. W trakcie takiej transakcji żadne dane osobowe Państwa czytelników nie są przetwarzane.”. Wyjaśnienia powyższe nie rozwiały naszych wątpliwości.

Pytanie:  We wspólnocie mieszkaniowej ustanowiono zarząd powierzony na podstawie aktu notarialnego z art. 18 ustawy o własności lokali. Czy w sytuacji, gdy istnieje akt notarialny o powierzeniu zarządu nieruchomością wspólną (zarząd powierzony) oraz odrębna umowa o zarządzanie nieruchomością wspólną, zawarta na podstawie ustawy o gospodarce nieruchomościami, powstaje po stronie wspólnoty mieszkaniowej obowiązek zawarcia odrębnej umowy powierzenia przetwarzania danych osobowych z zarządcą na podstawie art. 28 RODO? Jeżeli tak, to z którym z ww. dokumentów (akt notarialny czy umowa o zarządzanie) umowa powierzenia powinna być systemowo powiązana jako z „umową główną / podstawową”? Na jaki dokument – akt powierzenia zarządu czy umowę o zarządzanie nieruchomością wspólną – należy w pierwszej kolejności powołać się w treści umowy powierzenia, wskazując tytuł i zakres przetwarzania danych przez zarządcę? Kto powinien być po stronie wspólnoty mieszkaniowej sygnatariuszem umowy powierzenia w przypadku zarządu powierzonego - ogół właścicieli lokali jako „zbiór” (np. wszyscy właściciele działający łącznie), czy też pełnomocnik / przedstawiciel wspólnoty wyraźnie ustanowiony do reprezentacji w akcie notarialnym o powierzeniu zarządu lub w późniejszej uchwale?

Pytanie:  Firma zleca fotografowi (studio) wykonanie profesjonalnych zdjęć pracownikom, Czy prawidłowo interpretujemy, że mamy tu do czynienia z relacją ADO - ADO (fotograf przetwarza dane osobowe w postaci wizerunku w celu wykonania umowy). Zatem otrzymane od niego zdjęcia to jest przekazanie danych. Jeżeli firma uzyskała zgodę od pracowników na przetwarzanie ich danych w postaci wizerunku, to czy fotograf jako odrębny ADO musi ją pozyskiwać ponownie? Czy dodatkowo pracownik musi wyrazić zgodę na przekazanie danych, czy w tym wypadku zgoda na przekazanie jest dorozumiana?

Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dobiegł końca. Dlatego też warto zebrać w jednym miejscu, w formie listy sprawdzającej, obowiązki kierowników niektórych podmiotów, np. członka zarządu, wspólnika, dyrektora SP ZOZ, na których nowelizacja nałożyła szereg nowych obowiązków.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa implementująca dyrektywę NIS 2 wprowadza istotne zmiany w zarządzaniu incydentami cyberbezpieczeństwa, porządkując odpowiedzialność podmiotów kluczowych i ważnych, operatorów usług kluczowych oraz wzmacniając rolę zespołów CSIRT. Reagowanie na incydenty cyberbezpieczeństwa staje się integralnym elementem formalnego systemu bezpieczeństwa państwa, z jasno zdefiniowanymi kompetencjami, obowiązkami raportowania i kanałami współpracy zgodnymi z wymogami NIS 2.

Rozwój technologii generatywnej sztucznej inteligencji, w szczególności modeli zdolnych do tworzenia realistycznych obrazów (tzw. deepfakes), otwiera nowy rozdział w dyskusji o granicach ochrony prywatności. Możliwość wygenerowania wizerunku dowolnej osoby w nieprawdziwym, często kompromitującym kontekście, rodzi fundamentalne pytania o skuteczność istniejących instrumentów prawnych. Choć polski system prawny nie zawiera regulacji dedykowanych bezpośrednio obrazom tworzonym przez AI, dysponuje szeregiem narzędzi, które znajdują zastosowanie w ochronie dóbr osobistych naruszanych przy użyciu tej technologii. Niniejszy artykuł przybliża dostępne ścieżki ochrony prawnej na gruncie prawa cywilnego, przepisów o ochronie danych osobowych oraz prawa karnego.

Pytanie:  Czy jedna i ta sama firma zewnętrzna może świadczyć usługi inspektora ochrony danych, bezpieczeństwa informacji oraz ASI?

Pytanie:  W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?

Pytanie:  Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?

Pytanie:  Sprawa dotyczy Ośrodka Pomocy Społecznej. Pracownik, w dokumentacji przekazanej przy przyjęciu do pracy, przedłożył zapytanie o udzielenie informacji o osobie wystawione przez Ministerstwo Sprawiedliwości – Biuro Informacyjne Krajowego Rejestru Karnego. Czy dokument ten należy przechowywać w aktach osobowych pracownika, czy też powinien zostać zwrócony lub zniszczony po weryfikacji informacji o niekaralności, zgodnie z zasadami minimalizacji danych osobowych i ograniczenia celu przetwarzania (RODO)? Dokument zawiera dane dotyczące karalności pracownika, które zgodnie z art. 10 RODO mogą być przetwarzane wyłącznie, jeżeli pozwala na to przepis prawa krajowego. Czy zatem OPS ma podstawę prawną do przechowywania tego dokumentu w aktach osobowych wychowawcy, czy też należy ograniczyć przetwarzanie wyłącznie do potwierdzenia faktu niekaralności.  

Pytanie:  W związku z przygotowywaniem regulaminu monitoringu w naszej jednostce zastanawiamy się nad uregulowaniem kwestii udostępniania nagrań wideo z monitoringu osobom fizycznym, wnioskującym na podstawie art. 15 RODO. Posiadamy dwie koncepcje. Jedna dotyczy udostępnienia nagrań z monitoringu osobie wnioskującej (osobie uwidocznionej na nagraniu), po anonimizacji wizerunku osób trzecich na nagraniu. Natomiast zgodnie z drugą koncepcją mielibyśmy poinformować pisemnie wnioskodawcę o treści nagrania i możliwości jego udostępnienia odpowiednim organom lub sądom. Czy druga koncepcja jest zasadna? Czy obecne stanowisko UODO przeciwne utrudnianiu dostępu do nagrań osobie fizycznej ze względu na zasłanianie się brakiem technicznej możliwości dokonania anonimizacji wizerunku osób trzecich nie jest wyraźnym wskaźnikiem postępowania przy wniosku o udostępnienie nagrań? W obecnej sytuacji technologicznej, anonimizacja danych z nagrania nie jest problemem, jeżeli administrator oprócz rejestratorów nagrań zainwestuje w system do anonimizacji nagrań wideo lub system AI, który anonimizację wykona. Zatem, czy utrudnianie osobie fizycznej uzyskania nagrań nie będzie wyrazam, że administrator działa nieudolnie w zakresie przetwarzania danych monitoringu? Czy unikanie stosowania technicznych zabezpieczeń nie będzie naruszało art. 32 RODO, celem najprostszego rozwiązania, czyli odmowy udostępnienia nagrania ze względu na brak możliwości technicznych anonimizacji nagrań?

Pytanie:  Nasza firma zorganizowała na terenie miasta jarmark. Klient kupił na jarmarku konserwę, która zawierała zepsute mięso. Wskazał numery dwóch stoisk, które sprzedawały ten asortyment i poprosił nas o adresy, numery telefonów oraz e-mali do dwóch sprzedawców, aby tę sprawę z nimi wyjaśnić. Problem polega na tym, że jedno z tych dwóch stoisk wskazanych przez klienta jest reprezentowane przez rolnika, zatem nie ma zarejestrowanej działalności gospodarczej. Czy w związku z powyższym można udostępnić klientowi wskazane dane?

Pytanie:  Sołectwo chce w ramach funduszu soleckiego zamontować kamery na budynkach gminnych, ale skierowane na drogę wojewódzka tak, aby widać było samochody wyjeżdżające i wjeżdżające do sołectwa. Czy można zamontować kamery i czy potrzebna jest zgoda województwa?

Pytanie:  Fundacja organizuje szkolenia dla pracowników nt. Uzupełnienie umiejętności cyfrowych pracowników JST..." w ramach projektu KPOD.05.08-IW.06-0089/25. W związku z realizacją projektu proszą o wypełnienie oświadczenia, w którym należy podać imię i nazwisko, PESEL, okres zatrudnienia i stanowisko pracy pracowników oddelegowanych na szkolenie, które ma potwierdzać, iż osoby te są pracownikami administracji samorządowej oraz posiadają status urzędnika wykonującego władzę publiczną. Czy jest jakaś podstawa prawna, na mocy której można podawać w tym przypadku PESEL pracowników oraz okres ich zatrudnienia?

Pytanie:  Czy w ramach e-Doręczeń potrzebna jest dodatkowa umowa z Pocztą Polską? Jak ma się ochrona danych osobowych do drukowania i wysyłania PIT-ów do osób prywatnych, które nie mają założonej skrzynki e-Doręczeń?

Pytanie:  W naszej organizacji każdy pracownik, który przetwarzał dane miał nadawane upoważnienie do procesów określonych w organizacji oraz do celu realizacji powierzonych zadań służbowych. Dokument ten nadawał przełożony pracownika lub wyznaczony HRBP, co się nie sprawdziło z uwagi na ich nieaktualizowanie bądź nienadawanie. W związku z tym rozważamy nadanie ogólnych upoważnień odwołujących się do to zakresu zadań opisanych w aktach. Niestety tu również pojawia się problem z ich aktualizacją. W związku z tym, czy jest jakieś rozwiązanie, które pozwoli z jednej strony uogólnić upoważnienie tak, aby nadać je wszystkim pracownikom bez dodawania poszczególnych procesów, jednocześnie powołując się na zakres obowiązków przydzielonych w ramach (nieaktualizowanych regularnie) zakresów obowiązków i na bieżąco zlecanych zadań? Nasza firma jest typowo produkcyjna. Nie wszyscy mają dostęp do komputera, ale mimo to moim zdaniem dane osobowe przetwarzają wszyscy pracownicy. Problem głównie dotyczy tego, aby wszyscy pracownicy mieli aktualne upoważnienia adekwatne do wykonywanych zadań.

Pytanie:  Jednym z obowiązków naszej jednostki jest kontrola projektów dofinansowanych z EFS+, w trakcie której przetwarzamy dane osobowe. Jaka jest ich retencja? Jak to wygląda w przypadku legitymacji służbowej, jaką wydajemy naszym pracownikom, kontrolującym te organizacje. Jaka retencja będzie takiej legitymacji?

Pytanie:  Na platformie Facebook udostępniono wizerunki przedszkolaków poprzez polubienie w social mediach zaprzyjaźnionej instytucji. Zalecono natychmiastowe usunięcie postów. Nie mieliśmy zgód na publikacje wizerunków dzieci. Polubienie spowodowało pojawienie się postów na naszym profilu. Czy takie postępowanie jest prawidłowe?

Pytanie:  W związku z wejściem w życie KSeF biblioteka dokonała aktualizacji dokumentacji z zakresu ochrony danych osobowych. Wprowadzono nowy proces do RCP i opracowano nową klauzulę informacyjną, która miała być opublikowana na stronie internetowej od 1 lutego 2026 r. Do umów z kontrahentami np. na najem audytorium przed ich zawarciem, będzie dopisywania informacja do bieżącej klauzuli o przetwarzaniu danych również w KSe-F, żeby nie dokładać 2 klauzuli. Chcę mieć pewność, iż w klauzuli znajdują się wszystkie informacje, na co zwrócić szczególną uwage?

Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  

Pytanie:  W urzędzie jest monitoring na parkingu, w samochodach służbowych oraz komputerów. Jest zarządzenie do tego i każdy pracownik podpisał odpowiednie oświadczenie. W tym roku został wybudowany nowy budynek, do którego przeniosły się dwa wydziały. W tym budynku monitoring jest na korytarzu i holu. Czy w związku z tym pracownicy tych dwóch wydziałów muszą podpisać nowe oświadczenia dotyczące monitoringu?

Pytanie:  Pracownik placówki operatora pocztowego wydał korespondencję skierowaną do osoby fizycznej innej osobie o tym samym imieniu i nazwisku, ale zamieszkującej pod innym adresem. Osoba fizyczna, która odebrała korespondencję w momencie otwierania listu zorientowała się, że jest inny adres zamieszkania. Otwartą kopertę wraz z pismem osoba fizyczna odniosła do urzędu, który właściwie zaadresował pismo. Sporządzono protokół, w którym Pani potwierdziła fakt, iż to pracownik poczty niewłaściwie wydał pismo i wyraziła zgodę na podanie jej danych w sprawie wyjaśnienia sytuacji. Urząd złożył oficjalną reklamację do operatora pocztowego z informacją, iż doszło do naruszenia ochrony danych osobowych przez pracownika operatora. Operator pocztowy w odpowiedzi stwierdził, iż nie jest on administratorem danych osobowych i to do nadawcy należy ocena czy w zaistniałej sytuacji należy zgłosić naruszenie ochrony danych osobowych. Czy operator pocztowy udzielił prawidłowej odpowiedzi? Jakie jest orzecznictwo sądowe w tej kwestii oraz decyzje PUODO.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa implementująca dyrektywę NIS 2 wprowadza istotne zmiany w zarządzaniu incydentami cyberbezpieczeństwa, porządkując odpowiedzialność podmiotów kluczowych i ważnych, operatorów usług kluczowych oraz wzmacniając rolę zespołów CSIRT. Reagowanie na incydenty cyberbezpieczeństwa staje się integralnym elementem formalnego systemu bezpieczeństwa państwa, z jasno zdefiniowanymi kompetencjami, obowiązkami raportowania i kanałami współpracy zgodnymi z wymogami NIS 2.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, ma wzmacniać odporność cyfrową państwa poprzez doprecyzowanie obowiązków podmiotów kluczowych i ważnych, w tym wymagań dotyczących sprzętu oraz infrastruktury teleinformatycznej. Zmiany będą miały istotne znaczenie dla wielu przedsiębiorstw w Polsce.