Pytanie:  Firma fotograficzna A realizuje sesje zdjęciowe w szkołach. Szkoły powierzają dane uczniów firmie A na podstawie umowy powierzenia danych osobowych (umowa zawiera ogólną zgodę administratora na podpowierzenie danych). Ponieważ firma A usługę sesji zdjęciowej realizuje przy udziale swoich przedstawicieli -B2B (podmiot B), a ci współpracują B2B z fotografami (podmiot C). Firma A (procesor) chce podpowierzyć dane powierzone od szkoły przedstawicielowi B, a ten fotografowi C. Jak procesor A może podpowierzyć dane ze szkoły podprocesorowi B, żeby nie stosować dla każdej szkoły osobnej umowy podpowierzenia? Z uwagi na dużą ilość szkół nie jest to możliwe. Czy można zastosować jakąś ogólną zasadę „ogólne podpowierzenie”, jedną umową, które sankcjonowałoby podpowiedzenie danych danemu przedstawicielowi, który obsługuje pewną ilość szkół?

Pytanie:  Pracownik placówki operatora pocztowego wydał korespondencję skierowaną do osoby fizycznej innej osobie o tym samym imieniu i nazwisku, ale zamieszkującej pod innym adresem. Osoba fizyczna, która odebrała korespondencję w momencie otwierania listu zorientowała się, że jest inny adres zamieszkania. Otwartą kopertę wraz z pismem osoba fizyczna odniosła do urzędu, który właściwie zaadresował pismo. Sporządzono protokół, w którym Pani potwierdziła fakt, iż to pracownik poczty niewłaściwie wydał pismo i wyraziła zgodę na podanie jej danych w sprawie wyjaśnienia sytuacji. Urząd złożył oficjalną reklamację do operatora pocztowego z informacją, iż doszło do naruszenia ochrony danych osobowych przez pracownika operatora. Operator pocztowy w odpowiedzi stwierdził, iż nie jest on administratorem danych osobowych i to do nadawcy należy ocena czy w zaistniałej sytuacji należy zgłosić naruszenie ochrony danych osobowych. Czy operator pocztowy udzielił prawidłowej odpowiedzi? Jakie jest orzecznictwo sądowe w tej kwestii oraz decyzje PUODO.

Pytanie:  Jako IOD sprawdzam każdego roku wszystkie komórki organizacyjne w bibliotece w różnych aspektach przetwarzania danych osobowych. Czy poprawnym będzie wybór poszczególnych działów i zakresu kontroli w opracowanym planie kontroli na dany rok. Myślę, że dzięki temu audyt będzie bardziej szczegółowy i obejmie szerszy obszar sprawdzenia (poszczególnych komórek). Czy są jakieś zalecenia w tym zakresie, że kontroluje wszystkie obszary przetwarzania danych każdego roku?

Pytanie:  Biblioteka wprowadza możliwość regulowania przez interesantów opłat stanowiących dochody budżetu instytucji w formie transakcji bezgotówkowych, dokonywanych za pośrednictwem terminala płatniczego w swoich placówkach. Podpisaliśmy umowę z w sprawie najmu terminali oraz umowę o obsługę i rozliczenie transakcji przystępując do Programu Wsparcia Obrotu Bezgotówkowego. Opłaty pobierane będą z tytułu: opłata za przetrzymanie za zagubienie/zniszczenie zbiorów, za zagubienie karty itp. Podczas dokonywania transakcji na terminalu będą wpisywane tylko następujące dane: kwota, numer karty czytelnika i rodzaj wpłaty. Operator terminala jako instytucja przetwarzająca płatności ma dostęp do danych osobowych wpłacającego w niezbędnym zakresie do realizacji i obsługi transakcji, czyli przetwarza dane osobowe (dane transakcyjne, numer karty) osoby dokonującej wpłaty na naszą rzecz za jego pośrednictwem, tym samym jest przetwórcą tych danych (ma do nich dostęp). Administratorem danych tych osób jest biblioteka, która odpowiada za ich bezpieczeństwo. Czy konieczne jest podpisanie umowy powierzenia w związku z tą usługą. Na nasze pytanie w tej sprawie skierowane do operatora terminala uzyskaliśmy odpowiedź, cytuję: „Na terminalach płatniczych nie przetwarzamy danych osobowych płatników. Nie mamy dostępu do Państwa bazy czytelników i nie jest to w żaden sposób połączone. Podczas transakcji wymagane jest wpisanie kwoty transakcji. Dodatkowo mogą Państwo wpisać za jaką usługę była płatność – „tytuł płatności” – np. ksero, za nieterminowy zwrot, zagubioną książkę itp. W trakcie takiej transakcji żadne dane osobowe Państwa czytelników nie są przetwarzane.”. Wyjaśnienia powyższe nie rozwiały naszych wątpliwości.

Pytanie:  We wspólnocie mieszkaniowej ustanowiono zarząd powierzony na podstawie aktu notarialnego z art. 18 ustawy o własności lokali. Czy w sytuacji, gdy istnieje akt notarialny o powierzeniu zarządu nieruchomością wspólną (zarząd powierzony) oraz odrębna umowa o zarządzanie nieruchomością wspólną, zawarta na podstawie ustawy o gospodarce nieruchomościami, powstaje po stronie wspólnoty mieszkaniowej obowiązek zawarcia odrębnej umowy powierzenia przetwarzania danych osobowych z zarządcą na podstawie art. 28 RODO? Jeżeli tak, to z którym z ww. dokumentów (akt notarialny czy umowa o zarządzanie) umowa powierzenia powinna być systemowo powiązana jako z „umową główną / podstawową”? Na jaki dokument – akt powierzenia zarządu czy umowę o zarządzanie nieruchomością wspólną – należy w pierwszej kolejności powołać się w treści umowy powierzenia, wskazując tytuł i zakres przetwarzania danych przez zarządcę? Kto powinien być po stronie wspólnoty mieszkaniowej sygnatariuszem umowy powierzenia w przypadku zarządu powierzonego - ogół właścicieli lokali jako „zbiór” (np. wszyscy właściciele działający łącznie), czy też pełnomocnik / przedstawiciel wspólnoty wyraźnie ustanowiony do reprezentacji w akcie notarialnym o powierzeniu zarządu lub w późniejszej uchwale?

Pytanie:  Czy jedna i ta sama firma zewnętrzna może świadczyć usługi inspektora ochrony danych, bezpieczeństwa informacji oraz ASI?

Pytanie:  Fundacja organizuje szkolenia dla pracowników nt. Uzupełnienie umiejętności cyfrowych pracowników JST..." w ramach projektu KPOD.05.08-IW.06-0089/25. W związku z realizacją projektu proszą o wypełnienie oświadczenia, w którym należy podać imię i nazwisko, PESEL, okres zatrudnienia i stanowisko pracy pracowników oddelegowanych na szkolenie, które ma potwierdzać, iż osoby te są pracownikami administracji samorządowej oraz posiadają status urzędnika wykonującego władzę publiczną. Czy jest jakaś podstawa prawna, na mocy której można podawać w tym przypadku PESEL pracowników oraz okres ich zatrudnienia?

Pytanie:  Firma zleca fotografowi (studio) wykonanie profesjonalnych zdjęć pracownikom, Czy prawidłowo interpretujemy, że mamy tu do czynienia z relacją ADO - ADO (fotograf przetwarza dane osobowe w postaci wizerunku w celu wykonania umowy). Zatem otrzymane od niego zdjęcia to jest przekazanie danych. Jeżeli firma uzyskała zgodę od pracowników na przetwarzanie ich danych w postaci wizerunku, to czy fotograf jako odrębny ADO musi ją pozyskiwać ponownie? Czy dodatkowo pracownik musi wyrazić zgodę na przekazanie danych, czy w tym wypadku zgoda na przekazanie jest dorozumiana?

Pytanie:  W związku z wejściem w życie KSeF biblioteka dokonała aktualizacji dokumentacji z zakresu ochrony danych osobowych. Wprowadzono nowy proces do RCP i opracowano nową klauzulę informacyjną, która miała być opublikowana na stronie internetowej od 1 lutego 2026 r. Do umów z kontrahentami np. na najem audytorium przed ich zawarciem, będzie dopisywania informacja do bieżącej klauzuli o przetwarzaniu danych również w KSe-F, żeby nie dokładać 2 klauzuli. Chcę mieć pewność, iż w klauzuli znajdują się wszystkie informacje, na co zwrócić szczególną uwage?

Pytanie:  Czy w ramach e-Doręczeń potrzebna jest dodatkowa umowa z Pocztą Polską? Jak ma się ochrona danych osobowych do drukowania i wysyłania PIT-ów do osób prywatnych, które nie mają założonej skrzynki e-Doręczeń?