Kancelaria Prawno - Podatkowa Piątak i Wspólnicy Usługi i Szkolenia

29/05/2026

⚠️ Publikujesz dokumenty na stronie internetowej lub w BIP? Anonimizacja to nie formalność.

Prezes UODO nałożył karę 7 700 zł za niezgłoszenie naruszenia ochrony danych osobowych w związku z publikacją w BIP niezanonimizowanego załącznika do petycji. W dokumencie znalazły się m.in. imiona, nazwiska, adresy zamieszkania oraz wzory podpisów osób popierających petycję.

📌 Wniosek praktyczny jest prosty:
przed publikacją dokumentu na stronie internetowej trzeba każdorazowo sprawdzić, czy dokument zawiera dane osobowe, które powinny zostać usunięte, ukryte albo ograniczone.

Dotyczy to szczególnie dokumentów publikowanych w ramach obowiązków ustawowych, np. petycji.

🔎 Petycje mają szczególne zasady publikacji

Ustawa o petycjach przewiduje obowiązek zamieszczenia na stronie internetowej informacji obejmującej m.in. cyfrowe odwzorowanie petycji. Jeżeli jednak osoba składająca petycję nie wyraziła zgody na ujawnienie swoich danych, adresat petycji nie może tych danych ujawnić ani żądać takiej zgody.

🛡️ Samo szybkie usunięcie dokumentu nie zawsze wystarczy

W analizowanej sprawie Prezes UODO zwrócił uwagę, że nawet jeśli plik został pobrany tylko raz, nie oznacza to automatycznie braku naruszenia. Jeżeli dostęp uzyskała osoba nieuprawniona, może dojść do naruszenia poufności danych.

📣 Kiedy trzeba zgłosić naruszenie do UODO?

Co do zasady administrator zgłasza naruszenie ochrony danych osobowych do Prezesa UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

⚖️ Prezes UODO podkreśla jednak, że pojęcie „małego prawdopodobieństwa” należy rozumieć wąsko. W praktyce chodzi o sytuację, w której administrator ma podstawy do stwierdzenia, że skutek w ogóle się nie urzeczywistni — czyli gdy realnie można mówić o braku ryzyka.

✅ Dobra praktyka przed publikacją dokumentu:

1️⃣ sprawdzić podstawę prawną publikacji,
2️⃣ ustalić, czy są przepisy szczególne dla danego dokumentu,
3️⃣ zweryfikować, czy dokument zawiera dane osobowe,
4️⃣ przeprowadzić skuteczną anonimizację,
5️⃣ sprawdzić załączniki, podpisy, metadane i skany,
6️⃣ udokumentować ocenę ryzyka,
7️⃣ w razie naruszenia — ocenić obowiązek zgłoszenia do UODO.

📌 Anonimizacja nie polega wyłącznie na usunięciu imienia i nazwiska.
Czasem identyfikować mogą również adres, podpis, numer działki, opis sytuacji, charakter pisma albo zestawienie kilku pozornie neutralnych informacji.

🔗 Artykuł UODO:

14/05/2026

📸RODO a zdjęcia dzieci — o czym wielu zapomina?

Wizerunek dziecka bardzo często stanowi daną osobową w rozumieniu RODO — nawet jeśli pod zdjęciem nie ma imienia i nazwiska.
W praktyce do identyfikacji mogą wystarczyć:
🔹 oznaczenie szkoły lub klubu,
🔹lokalizacja,
🔹kontekst wydarzenia,
🔹profil rodzica publikującego zdjęcie.

Co istotne — zgoda na rozpowszechnianie wizerunku z art. 81 ustawy o prawie autorskim i prawach pokrewnych nie „załatwia” automatycznie obowiązków wynikających z RODO.

To dwa odrębne reżimy prawne.

Administrator nadal musi posiadać:
🔹podstawę przetwarzania z art. 6 RODO,
🔹 spełnić obowiązek informacyjny,
🔹 przestrzegać zasad minimalizacji i ograniczenia celu przetwarzania.
RODO wyraźnie wskazuje również (motyw 38 preambuły), że dane dzieci wymagają szczególnej ochrony, ponieważ dzieci mogą być mniej świadome ryzyk związanych z przetwarzaniem danych osobowych.

A dziś publikacja zdjęcia dziecka w internecie to nie tylko „wrzucenie fotografii do sieci”.
To także:
🔹 możliwość dalszego kopiowania treści,
🔹 profilowanie danych,
🔹 wykorzystanie przez narzędzia AI,
🔹 utrata kontroli nad dalszym rozpowszechnianiem wizerunku.
👉By lepiej zobrazować skalę zagrożeń wynikających z publikacji wizerunku dzieci na social mediach do posta załączamy filmik z kampanią społeczną obrazującą ten problem.
https://youtu.be/6xDA_7U95rs?si=9kdEOIJfE_

RODO nie zakazuje publikowania zdjęć dzieci.
Wymaga jednak, aby administrator potrafił wykazać, że robi to legalnie, proporcjonalnie i z poszanowaniem praw dziecka.

👉Zaobserwuj nasz profil po więcej informacji z zakresu RODO i nie tylko

07/05/2026

🔐 Analiza ryzyka w RODO – fundament realnej ochrony danych

1️⃣ Czym jest analiza ryzyka?
Analiza ryzyka to proces identyfikowania zagrożeń dla danych osobowych oraz oceny ich wpływu na prawa i wolności osób fizycznych. Wynika ona wprost z RODO i stanowi podstawę doboru odpowiednich środków technicznych i organizacyjnych.
👉 W praktyce oznacza to nie tylko „papierowy obowiązek”, ale realne zabezpieczenie informacji w organizacji – od systemów IT po procedury wewnętrzne.

2️⃣ Kto musi przeprowadzić analizę ryzyka?
Do jej przeprowadzenia zobowiązany jest każdy administrator danych oraz – w odpowiednim zakresie – podmiot przetwarzający. Obowiązek ten dotyczy zarówno sektora publicznego, jak i prywatnego, niezależnie od wielkości organizacji.

3️⃣ Lista dobrych praktyk – czym jest i po co ją stosować?
Lista dobrych praktyk to uporządkowany zestaw działań i standardów, które wspierają prawidłowe przeprowadzenie analizy ryzyka.
✔️ pomaga zachować zgodność z przepisami
✔️ ułatwia systematyczne podejście do bezpieczeństwa
✔️ minimalizuje ryzyko pominięcia kluczowych obszarów
👉 To narzędzie operacyjne – przekłada teorię RODO na konkretne działania w organizacji.

4️⃣ Jak Inspektor Ochrony Danych (IOD) może pomóc?
IOD:
🔹 identyfikuje obszary ryzyka
🔹 dostosowuje listę dobrych praktyk do specyfiki organizacji
🔹 szkoli pracowników
🔹 monitoruje zgodność i skuteczność wdrożonych rozwiązań
👉 Dzięki temu analiza ryzyka przestaje być formalnością, a staje się realnym narzędziem zarządzania bezpieczeństwem.

5️⃣ Współpraca i sprawdzone standardy
Jeżeli chcesz wdrożyć skuteczną analizę ryzyka lub uporządkować procesy RODO w swojej organizacji – warto oprzeć się na sprawdzonych wytycznych UODO, w tym 18 zasadach analizy ryzyka:
👉 https://uodo.gov.pl/pl/file/7231

📩 Skontaktuj się, aby:
✔️ przeprowadzić analizę ryzyka od podstaw
✔️ wdrożyć listę dobrych praktyk
✔️ zapewnić zgodność z RODO w sposób praktyczny, a nie tylko formalny

21/04/2026

Z przyjemnością informujemy, że Piotr Piątak zdał egzamin na Audytora Wiodącego Systemu Zarządzania Ciągłością Działania wg PN-EN ISO 22301:2020-04. Wcześniej zdobył również kompetencje w obszarze normy ISO/IEC 27001.


➡Czym jest ISO 22301 i ISO/IEC 27001?
ISO 22301 dotyczy systemowego przygotowania organizacji do zakłóceń, reagowania na sytuacje kryzysowe i odtwarzania kluczowych procesów. ISO/IEC 27001 wyznacza natomiast wymagania dla systemu zarządzania bezpieczeństwem informacji.


➡ W jakim zakresie możemy wspierać naszych Klientów w zakresie ISO?
🔹analiza zgodności i identyfikacji luk w obszarze ciągłości działania oraz bezpieczeństwa informacji,
🔹 przygotowanie do wdrożenia wymagań ISO 22301 i ISO/IEC 27001,
🔹opracowywanie i przegląd procedur, polityk oraz dokumentacji,
🔹analiza ryzyka, incydentów oraz planów ciągłości działania,
🔹 audyty wewnętrzne i przygotowania do audytów certyfikacyjnych,
🔹łączenie wymagań prawnych z wymaganiami norm i praktyką funkcjonowania organizacji.

❕Zapraszamy do współpracy organizacje, które chcą uporządkować i wzmocnić obszary ciągłości działania, bezpieczeństwa informacji, zgodności oraz zarządzania ryzykiem.

28/03/2026

⚠️ Bezpodstawne przetwarzanie danych osobowych jest przestępstwem

📌 Zgodnie z art. 107 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo nie jest do tego uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

🤖 Szczególnie istotne jest to przy modyfikowaniu wizerunku z wykorzystaniem AI (deepfake) — zwłaszcza wtedy, gdy działanie następuje na szkodę osoby trzeciej.

❗ To nie musi być „tylko żart” czy „niewinna przeróbka”.
Takie działanie może wywoływać poważne konsekwencje prawne.

🔎 Więcej szczegółów:
uodo.gov.pl/pl/138/4182

28/01/2026

⚠️ UWAGA NA UPRAWNIENIA

Dostęp do danych = dostęp do ryzyka

🔑 Kto ma dostęp?
🔄 Kiedy jest odbierany?
📄 Czy jest to udokumentowane?

Nie bagatelizujmy skutków naruszeń ochrony danych osobowych.
📌 Skala problemu oraz opis innych zabezpieczeń w artykule:

Wyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”w Felietony, Ważne, WiadomościWyciek danych uczniów w „Systemie FALA”. Dlaczego to nie jest „incydent jak każdy”. Z doniesień medialnych wynika, że w spółce InnoBaltica, odpowiedzialnej za Sys...

18/01/2026

Nowa odsłona naszej strony internetowej jest już dostępna.

Oddajemy w Państwa ręce odświeżoną stronę internetową
Kancelarii Prawo-Podatkowej Piątak i Wspólnicy:
👉 https://kancelariapiatak.pl

Nowa strona to:
• czytelna prezentacja zakresu obsługi prawnej i podatkowej,
• uporządkowane informacje dla przedsiębiorców,
• aktualna forma dopasowana do urządzeń mobilnych,
• jedno miejsce, w którym łączymy prawo i podatki w praktycznym ujęciu.

Zapraszamy do zapoznania się z nową stroną oraz do kontaktu – niezmiennie wspieramy przedsiębiorców kompleksowo i odpowiedzialnie.

14/01/2026

Nadszedł czas porządków na BIP. Pamiętajmy o obowiązku anonimizacji dokumentów zawierających dane osobowe, który będzie w tym roku kontrolowany w ramach planowanej kontroli sektorowej Prezesa Urzędu Ochrony Danych Osobowych w 2026 roku.

https://uodo.gov.pl/pl/138/4029

,

04/08/2025

Tym razem o analizie ryzyka. W tym przypadku wystarczyło przewidzieć, że samochód jest także obszarem przetwarzania przełożonej dokumentacji medycznej. Nigdy nie zostawiajmy dokumentów lub komputerów w samochodzie.

https://uodo.gov.pl/pl/138/3838
, ,

08/07/2025

Generalną zasadą jest, że przy anonimizacji dokumentów należy zasłonić wszystkie elementy pozwalające na identyfikację osoby. Zapytanie Prezesa UODO do I Prezesa SN wskazuje na szczególność złożoność zadania, gdy mamy do czynienia z rękopisami (sprawa dotyczyła protestów wyborczych).

"... charakter pisma w sytuacji, gdy można go powiązać z określoną osobą fizyczną, stanowi daną osobową ..."

https://uodo.gov.pl/pl/138/3810

, ,