rodo

Badania przesiewowe RODO: UODO potwierdza podstawę prawną

RODO a zaproszenia na badania przesiewowe

Prezes UODO Mirosław Wróblewski potwierdził, że przetwarzanie danych osobowych pacjentów w celu kierowania zaproszeń na badania przesiewowe jest zgodne z art. 9 ust. 2 lit. h RODO, bez potrzeby uzyskiwania zgody. Jeśli oczywiście jest to niezbędne do celów profilaktyki, diagnozy lub organizacji systemu opieki zdrowotnej i pod warunkiem nadzoru przez osoby zobowiązane do tajemnicy zawodowej. Stanowisko wydano po spotkaniu z Narodowym Instytutem Onkologii.

300x250 (3) 1

NIS2 i RODO: Praktyczne obowiązki IOD w cyberbezpieczeństwie – zapisz się na certyfikowane szkolenie!

NIS2 wprowadza rewolucję w zarządzaniu bezpieczeństwem informacji, nakładając na organizacje nowe obowiązki. Jako Inspektor Ochrony Danych (IOD) nie możesz ignorować tych zmian – twoja rola ewoluuje od ochrony danych osobowych do systemowego nadzoru nad cyberzagrożeniami. Nasze certyfikowane szkolenie online "NIS2 i RODO – obowiązki IOD" to praktyczne przygotowanie do tych wyzwań. Dzięki szkoleniu opanujesz kluczowe narzędzia, unikniesz błędów i zintegrujesz wymagania obu regulacji.

Umowa powierzenia RODO z operatorem terminala w bibliotece

Biblioteka a terminal płatniczy: czy konieczna jest umowa powierzenia danych

Pytanie:  Biblioteka wprowadza możliwość regulowania przez interesantów opłat stanowiących dochody budżetu instytucji w formie transakcji bezgotówkowych, dokonywanych za pośrednictwem terminala płatniczego w swoich placówkach. Podpisaliśmy umowę z w sprawie najmu terminali oraz umowę o obsługę i rozliczenie transakcji przystępując do Programu Wsparcia Obrotu Bezgotówkowego. Opłaty pobierane będą z tytułu: opłata za przetrzymanie za zagubienie/zniszczenie zbiorów, za zagubienie karty itp. Podczas dokonywania transakcji na terminalu będą wpisywane tylko następujące dane: kwota, numer karty czytelnika i rodzaj wpłaty. Operator terminala jako instytucja przetwarzająca płatności ma dostęp do danych osobowych wpłacającego w niezbędnym zakresie do realizacji i obsługi transakcji, czyli przetwarza dane osobowe (dane transakcyjne, numer karty) osoby dokonującej wpłaty na naszą rzecz za jego pośrednictwem, tym samym jest przetwórcą tych danych (ma do nich dostęp). Administratorem danych tych osób jest biblioteka, która odpowiada za ich bezpieczeństwo. Czy konieczne jest podpisanie umowy powierzenia w związku z tą usługą. Na nasze pytanie w tej sprawie skierowane do operatora terminala uzyskaliśmy odpowiedź, cytuję: „Na terminalach płatniczych nie przetwarzamy danych osobowych płatników. Nie mamy dostępu do Państwa bazy czytelników i nie jest to w żaden sposób połączone. Podczas transakcji wymagane jest wpisanie kwoty transakcji. Dodatkowo mogą Państwo wpisać za jaką usługę była płatność – „tytuł płatności” – np. ksero, za nieterminowy zwrot, zagubioną książkę itp. W trakcie takiej transakcji żadne dane osobowe Państwa czytelników nie są przetwarzane.”. Wyjaśnienia powyższe nie rozwiały naszych wątpliwości.
Korzyści 

Z porady dowiesz się m.in.:

  • Czy numer karty bibliotecznego i dane transakcyjne to dane osobowe wg RODO?
  • Czy operator terminala jest podmiotem przetwarzającym dla biblioteki?
  • Czy stanowisko operatora „nie przetwarzamy danych osobowych” jest poprawne?
  • Co musi zawierać umowa powierzenia z operatorem terminala?
  • Jakie konsekwencje grożą bibliotece za brak umowy powierzenia?
Uprawnienia w KSeF: Nadzór IOD nad rolami, bezpieczeństwem i incydentami

Uprawnienia i dostęp do danych w KSeF – jak IOD powinien nadzorować role użytkowników i reagować na incydenty

Krajowy System e-Faktur (KSeF) to centralna, elektroniczna platforma, która stopniowo wchodzi w praktyczne użytkowanie przez podatników i ich pełnomocników. System ma przede wszystkim usprawniać wystawianie, przesyłanie i archiwizowanie faktur VAT, jednak jednocześnie powoduje konieczność zachowania szczególnej uwagi w obszarze ochrony danych. Oznacza to, że każda organizacja korzystająca z KSeF musi nie tylko przestrzegać przepisów podatkowych, ale również zasad ochrony danych osobowych. W tym artykule znajdziesz informacje o tym, w jaki sposób IOD powinien nadzorować role użytkowników, bezpieczeństwo i reagowanie na incydenty.

Korzyści 
  • Nadzór IOD nad rolami użytkowników w KSeF: Artykuł wyjaśnia, jak IOD wdraża matrycę uprawnień, stosuje zasadę minimalizacji danych i minimalizacji dostępu, dokumentując role dla wewnętrznych i zewnętrznych użytkowników (np. biura rachunkowe).
  • Bezpieczeństwo danych osobowych w KSeF: Sprawdź wielopoziomowe zabezpieczenia – techniczne (szyfrowanie, tokeny), organizacyjne (onboarding/offboarding) i szkoleniowe – z naciskiem na ochronę danych z e-faktur, w tym szczególnych kategorii danych osobowych zgodnie z RODO.
  • Reagowanie na incydenty i dobre praktyki IOD: Poznaj procedury zgłaszania naruszeń do UODO w 72h, audyty logów, rejestr incydentów oraz obowiązki nadzorcze IOD, takie jak oceny ryzyka i szkolenia dla zgodności z RODO.
  • Po lekturze zrozumiesz, jak IOD nadzoruje dostęp do danych osobowych w KSeF (w tym dane kontrahentów z e-faktur), wdraża matrycę uprawnień i procedury bezpieczeństwa, reaguje na incydenty (np. wyciek tokena), przeprowadza audyty oraz dostosowuje obowiązki RODO do specyfiki systemu – z praktycznymi przykładami i dobrymi praktykami dla realizacji zasady rozliczalności.
(I) Czy fundacja może żądać PESEL i okresu zatrudnienia pracowników JST w ramach projektu unijnego?

Czy fundacja może żądać PESEL i okresu zatrudnienia pracowników JST w ramach projektu unijnego?

Pytanie:  Fundacja organizuje szkolenia dla pracowników nt. Uzupełnienie umiejętności cyfrowych pracowników JST..." w ramach projektu KPOD.05.08-IW.06-0089/25. W związku z realizacją projektu proszą o wypełnienie oświadczenia, w którym należy podać imię i nazwisko, PESEL, okres zatrudnienia i stanowisko pracy pracowników oddelegowanych na szkolenie, które ma potwierdzać, iż osoby te są pracownikami administracji samorządowej oraz posiadają status urzędnika wykonującego władzę publiczną. Czy jest jakaś podstawa prawna, na mocy której można podawać w tym przypadku PESEL pracowników oraz okres ich zatrudnienia?
Korzyści 

1.Czy podawanie PESEL pracowników JST fundacji jest zgodne z RODO?

2. Jaka podstawa prawna pozwala na przetwarzanie PESEL w szkoleniach KPOD?

3. Czy okres zatrudnienia to nadmiarowe dane w oświadczeniu projektowym UE?

4. Co zrobić, jeśli fundacja żąda PESEL bez wskazania podstawy?

5. Kto jest administratorem danych w takim projekcie?

(I) WSA podtrzymuje karę UODO: 75 tys. zł dla KGP za naruszenie RODO art. 9 na konferencji prasowej

WSA podtrzymuje karę UODO: 75 tys. zł dla KGP za naruszenie RODO art. 9 na konferencji prasowej

Wojewódzki Sąd Administracyjny w Warszawie (sygn. II SA/Wa 890/25) oddalił skargę Komendanta Głównego Policji na decyzję Prezesa UODO, potwierdzając naruszenie RODO i karę 75 tys. zł za bezpodstawne udostępnienie danych zdrowia na konferencji prasowej. Orzeczenie podkreśla brak ochrony wolności prasy dla organów publicznych.

Jak organizacje korzystają ze sztucznej inteligencji zgodnie z RODO i AI Act

Jak organizacje łączą AI z RODO i AI Act?

Urząd Ochrony Danych Osobowych opublikował pierwszy w Polsce strategiczny raport pokazujący, jak instytucje publiczne i organizacje prywatne korzystają ze sztucznej inteligencji oraz jak są przygotowane do jej odpowiedzialnego wdrażania. Dokument dostarcza cennych informacji dla IOD i specjalistów ds. ochrony danych, wskazując potrzeby edukacyjne, wyzwania oraz kierunki wsparcia w obszarze AI i RODO.

Dzień Ochrony Danych 2026 w Polsce: Historia, Wydarzenia i Znaczenie

Dzień Ochrony Danych 2026: 20 lat ochrony prywatności w erze AI i nowych technologii

28 stycznia 2026 r. obchodzimy 20. Europejski Dzień Ochrony Danych Osobowych, upamiętniający Konwencję 108 z 1981 r. W Polsce Urząd Ochrony Danych Osobowych (UODO) organizuje Kongres Ochrony Danych i Nowych Technologii, skupiając ekspertów ds. AI, RODO i cyberbezpieczeństwa. Wydarzenie podkreśla wyzwania cyfrowej ery dla prywatności obywateli.

(I) Czy współpraca z brytyjskim zespołem IT oznacza transfer danych poza EOG?

Czy współpraca z brytyjskim zespołem IT oznacza transfer danych poza EOG?

Pytanie:  Spółka zoo z siedzibą w Polsce posiada podmiot powiązany w Wielkiej Brytanii. Cały wewnętrzny zespół IT znajduje się w Wielkiej Brytanii i świadczy usługi na rzecz spółki zoo. Zespół IT odpowiada za CRM. Czy możemy mówić o transferze danych poza EOG w tym wypadku?
Korzyści 

Z artykułu dowiesz się m.in.:

  1. Czy przekazanie danych do zespołu IT w Wielkiej Brytanii to transfer do państwa trzeciego?
  2. Dlaczego Wielka Brytania jest uznawana za państwo trzecie w świetle RODO?
  3. Czy transfer danych do Wielkiej Brytanii wymaga dodatkowych zabezpieczeń prawnych?
  4. Czy fakt, że zespół IT jest częścią grupy kapitałowej, zmienia kwalifikację transferu?
  5. Jak wykazać transfer danych do Wielkiej Brytanii w dokumentacji RODO?
  6. Czy administrator musi poinformować o przekazaniu danych do Wielkiej Brytanii?

Lista kontrolna: Jak IOD powinien uwzględniać ryzyko w RODO?

Inspektor ochrony danych ma obowiązek wykonywać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych osobowych, zgodnie z art. 39 ust. 2 RODO. UODO podkreśla, że IOD powinien dostosować metody pracy do charakteru, zakresu, kontekstu i celów przetwarzania, koncentrując się przede wszystkim na obszarach o podwyższonym ryzyku dla praw i wolności osób fizycznych. Taki sposób działania pomaga inspektorowi lepiej planować audyty, szkolenia oraz doradztwo dla administratora, a w efekcie wzmacniać realną, a nie tylko formalną ochronę danych osobowych w organizacji.

RODO: pełnomocnictwo do zgłoszenia naruszenia danych do PUODO – forma i zakres

Pełnomocnictwo przy zgłaszaniu naruszeń RODO: czy konieczna jest forma notarialna

Pytanie:  O realizację praw występuje podmiot dany lub adwokat czy radca prawny przedstawiając stosowne pełnomocnictwo. Czy może wystąpić inna osoba? Jeżeli tak, to jakie powinna mieć pełnomocnictwo? Gdy zdarza się naruszenie, a osoba będąca reprezentantem ADO nie może podpisać stosownego zgłoszenia do PUODO, czy Prezes może upoważnić inną osobę, a jeżeli tak to jaki rodzaj pełnomocnictw to ma być?
Korzyści 

Z artykułu dowiesz się m.in.:

  • Kto może zgłosić naruszenie ochrony danych osobowych do organu nadzorczego w imieniu administratora danych?
  • Czy zgłoszenia naruszenia ochrony danych osobowych do PUODO może dokonać osoba inna niż formalny reprezentant administratora danych?
  • Czy adwokat lub radca prawny, działając w imieniu administratora, musi posiadać szczególny rodzaj pełnomocnictwa, aby zgłosić naruszenie do PUODO?
  • Czy upoważnienie do zgłoszenia naruszenia ochrony danych osobowych może zostać udzielone w dowolnej formie przez administratora?
Dane osobowe właścicieli psów i kotów – nowe obowiązki w rejestrze KROPiK i unijne przepisy

Co zmienią nowe przepisy w zakresie ochrony danych osobowych właścicieli psów i kotów

Nowe unijne rozporządzenie dotyczące obowiązku rejestrowania i czipowania psów oraz kotów wprowadza istotne zmiany w zakresie ochrony danych osobowych właścicieli zwierząt. Polska będzie musiała dostosować krajowe przepisy do europejskich standardów, tworząc jednolity rejestr zwierząt i ich opiekunów. Jakie dane będą gromadzone w rejestrze, kto uzyska do nich dostęp i jakie wątpliwości wciąż podnosi Prezes UODO?

Prywatny monitoring nie może obejmować posesji sąsiadów ani drogi publicznej

Prywatny monitoring nie może obejmować posesji sąsiadów ani drogi publicznej

Prezes UODO nakazał demontaż kamer monitoringu obejmujących nie tylko prywatną posesję, ale też sąsiednie nieruchomości i drogę publiczną. Organ nadzorczy przypomina, że tzw. „monitoring domowy” nie jest wyłączony spod RODO, jeśli jego zasięg obejmuje przestrzeń publiczną.

EROD o kontach użytkowników w e-commerce – nowe zalecenia dla administratorów danych | poradyodo.pl

Prywatność użytkowników sklepów internetowych — nowe zalecenia EROD dotyczące kont e-commerce

Europejska Rada Ochrony Danych (EROD) przyjęła zalecenia wyjaśniające, kiedy sklepy internetowe mogą wymagać założenia konta od użytkownika. Podczas 112. posiedzenia Rada omówiła też projekt Digital Omnibus i wybrała nową wiceprzewodniczącą.

Cyfrowy Omnibus – kluczowe zmiany w RODO i cookies 2025

Nowe zasady przetwarzania cyfrowych danych, czyli co przewiduje pakiet Cyfrowy Omnibus?

Na początku drugiej połowy listopada 2025 r. Komisja Europejska przedstawiła pakiet Cyfrowy Omnibus, w ramach którego zamierza dokonać zmian w unijnym prawie cyfrowym, m.in. w RODO. Celem jest zwiększenie konkurencyjności europejskiego rynku oraz dostosowanie przepisów do realiów dynamicznie rozwijającej się gospodarki cyfrowej.

Korzyści 
  • Cyfrowy Omnibus wprowadza relatywną definicję danych osobowych, łagodzi obowiązek informacyjny RODO oraz upraszcza DPIA - co ma zmniejszyć koszty compliance i odciążyć MŚP.
  • Projekt wydłuża termin na zgłaszanie naruszeń do 96 godzin, upraszcza raportowanie przez single entry point NIS2 i standaryzuje wzory zgłoszeń, a także ogranicza nadużywanie prawa dostępu.
  • Cyfrowy Omnibus łączy zmiany w RODO z AI Act i zasadami cookies, dopuszczając szersze przetwarzanie danych – w tym danych wrażliwych i danych z urządzeń końcowych – na potrzeby systemów AI, co budzi obawy o deregulację ochrony danych.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x