KODO

30/04/2026

29/04/2026

Sztuczna inteligencja to dziś realne wsparcie w pracy – usprawnia i przyśpiesza wiele procesów. Korzystając z AI, nadal obowiązują przepisy prawa, w szczególności RODO, a także nowe regulacje wynikające z AI Act.

Należy podkreślić, że AI Act nie zastępuje RODO – oba akty stosuje się równolegle. RODO chroni dane osobowe, a AI Act reguluje sposób korzystania z systemów AI i ogranicza ryzyka z nimi związane.

1. Zakaz wprowadzania danych osobowych
Do narzędzi AI nie należy wpisywać danych osobowych, takich jak imię, nazwisko, adres czy PESEL.

Nawet pojedyncza informacja daje możliwość identyfikacji osoby i naruszyć przepisy RODO (zasada minimalizacji danych – art.5).

2. Obowiązek weryfikacji informacji
Systemy sztucznej inteligencji, nie zawsze podają poprawne informacje, należy je zawsze dokładnie weryfikować.
Zgodnie z RODO (art. 5 ust.1 lit. d oraz ust. 2) dane muszą być prawidłowe i rzetelne, a za ich wykorzystanie odpowiada organizacja – nie narzędzie AI.

3. Zakaz udostępniania dokumentów urzędowych
Do systemów sztucznej inteligencji nie powinny trafiać treści związane z działalnością danej organizacji – pisma, analizy, projekty czy też inne materiały wewnętrzne.

Kluczowe jest, aby takie informacje pozostały w organizacji, wprowadzenie ich do AI może spowodować utratę kontroli nad danymi, a w konsekwencji zwiększyć ryzyko ujawnienia poufnych informacji.

4. Zakaz podejmowania decyzji wyłącznie na podstawie AI
Zakaz podejmowania decyzji wyłącznie na podstawie AI wynika bezpośrednio z art. 22 RODO, który przyznaje osobom fizycznym prawo do tego, aby nie podlegały decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu – co ważne, dodatkowo AI Act wprowadza obowiązek zapewnienia nadzoru człowieka nad systemami sztucznej inteligencji. Ostateczna decyzja zawsze powinna należeć do człowieka.

5. Korzystanie wyłącznie z narzędzi zatwierdzonych przez organizację
Należy korzystać wyłącznie z takich narzędzi AI, które zostały dopuszczone przez organizację i spełniają wymagania w zakresie bezpieczeństwa informacji.

Dlaczego? – dzięki temu organizacja ma kontrolę nad tym, gdzie i w jaki sposób przetwarzane są dane, w przeciwnym wypadku występuje duże ryzyko naruszeń i utraty kontroli.
Wynika to z obowiązku zapewnienia bezpieczeństwa danych oraz z zasad bezpiecznego i kontrolowanego korzystania z systemów AI przewidzianych w AI Act.

6. Zakaz korzystania z prywatnych kont do celów służbowych
Do zadań służbowych powinno się używać wyłącznie narzędzi – kont, udostępnionych przez pracodawcę lub organizację.
Dlaczego to ważne? Dane są odpowiednio zabezpieczone, a kontrola jest w pełni zapewniona, prywatne konta mogą zwiększać ryzyko naruszenia bezpieczeństwa informacji.

7. Zachowanie szczególnej ostrożności wobec prób manipulacji
Szczególnie istotne jest zachowanie wzmożonej ostrożności wobec wiadomości elektronicznych, poleceń czy informacji kierowanych do pracowników danej organizacji – rośnie ryzyko manipulacji oraz wprowadzenia w błąd.
Dotyczy to w szczególności phishing – prób wyłudzenia danych za pomocą fałszywych wiadomości, podszywających się pod instytucje czy konkretne osoby.

Każdą nietypową wiadomość należy zweryfikować, przed podjęciem działań.

8. AI jako narzędzie pomocnicze
Warto zapamiętać, że sztuczna inteligencja powinna pełnić rolę wsparcia w codzienne pracy, w analizowaniu treści, przygotowywaniu materiałów lub porządkowaniu informacji.
Nie zastępuje jednak człowieka – ostateczne decyzje oraz odpowiedzialność pozostają po stronie człowieka.

9. Zasada minimalizacji danych
Korzystając z AI, pracownicy powinni podawać tylko te informacje, które są niezbędne do wykonania zadań, a wszelkie dane pozwalające rozpoznać konkretną osobę lub sprawę – pomijać.

Dlaczego jest to tak bardzo istotne?
To podejście nie tylko zwiększa bezpieczeństwo, ale też realizuje wymogi RODO dotyczące ograniczania zakresu przetwarzania danych.

10. Obowiązek zgłaszania incydentów
Każdy pracownik, który zauważy zdarzenie mogące mieć wpływ na bezpieczeństwo danych czy informacji, powinien niezwłocznie zgłosić je zgodnie z procedurami obowiązującymi w organizacji – przełożonemu lub IOD.

Pamiętajmy, że po zgłoszeniu zdarzenia, to administrator danych (przy wsparciu IOD) dokonuje oceny i analizy. Ustala, czy doszło do naruszenia – jeżeli takie ryzyko występuje, zgłasza do Prezesa UODO w terminie 72 godzin od momentu jego stwierdzenia. (art. 33 RODO).

Czy każdy incydent to faktycznie naruszenie?
Nie każdy incydent jest naruszeniem, ale każde naruszenie poprzedzone jest incydentem.
Dlatego pracownik nie musi sam oceniać, z jakim zdarzeniem ma do czynienia – jego obowiązkiem jest zgłoszenie sytuacji.

24/04/2026

W dniu 2 marca 2026 r. w Dzienniku Ustaw Rzeczpospolitej Polskiej (poz. 252) ogłoszono ustawę z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Nowelizacja ta wdraża do polskiego prawa przepisy unijnej dyrektywy NIS2 i znacząco zmienia zasady w zakresie cyberbezpieczeństwa.

1.CO ZOSTAŁO ZMIENIONE?
Nowelizacja wprowadza istotne zmiany w funkcjonowaniu krajowego systemu cyberbezpieczeństwa, w szczególności:
- objęcie przepisami większej ilości podmiotów,
- podział na podmioty kluczowe oraz ważne,
- obowiązkowe zarządzanie ryzykiem w IT,
- obowiązek zgłaszania incydentów,
- odpowiedzialność kadry zarządzającej,
- przewidziano możliwość kontroli i audytów.

2.KOGO DOTYCZĄ NOWE PRZEPISY?
Ustawa obejmuje tzw. Podmioty kluczowe i ważne, czyli organizacje działające w sektorach istotnych dla funkcjonowania państwa i gospodarki, w tym:
· infrastruktura cyfrowa i IT,
· administracja publiczna, bankowość i finanse,
· energia, transport, ochrona zdrowia,
· produkcja czy żywność.

W praktyce oznacza to, że nowe obowiązki obejmą znacznie więcej podmiotów niż dotychczas.
Warto zaznaczyć, że podmioty objęte ustawą będą musiały:
· przeanalizować ryzyka cyberzagrożeń,
· wdrożyć odpowiednie zabezpieczenia,
· przygotować procedury reagowania na incydenty, a także zadbać o zgodność działań z nowymi przepisami.

3.KARY I ODPOWIEDZIALNOŚĆ?
Nowelizacja ta, przewiduje odpowiedzialność za brak realizacji obowiązków, należy zaznaczyć że dotyczy ona zarówno samej organizacji, jak i osób zarządzających.
Niewywiązanie się z tych obowiązków może prowadzić do zastosowania administracyjnych kar pieniężnych.

4. ZA CO GROŻĄ KARY?
· brak wdrożenia środków bezpieczeństwa,
· brak zarządzania ryzykiem
· brak procedur reagowania na incydenty, a także niezgłoszenie incydentu w wymaganym czasie,
· brak współpracy z organami czy też niewykonanie decyzji lub zaleceń tychże organizacji.

Wysokość kar nie jest przypadkowa – organ bierze pod uwagę wiele czynników, w tym:
· wagę i charakter naruszenia, czas trwania naruszenia,
· skalę wpływu, stopień czy działania podjęte w celu ograniczenia skutków.

5. CZYM JEST INCYDENT W ROZUMIENIU USTAWY?
Incydent to zdarzenie, które ma lub może mieć negatywny wpływ na bezpieczeństwo systemów informacyjnych – w tym incydent poważny, który może spowodować zakłócenie usług, straty czy szkody a także incydent o dużej skali – wykracza poza możliwości reagowania państwa.

W przypadku incydentu, należy jak najszybciej zgłosić go do właściwego zespołu CSIRT – uzupełnić zgłoszenie i przygotować raport końcowy.

17/04/2026

W ostatnim czasie wykryto poważny problem z bezpieczeństwem. Co istotne – jest on bardzo łatwy do wykorzystania. W praktyce wystarczy, że odpowiedni kod zostanie umieszczony na stronie internetowej, a użytkownik nieaktualnego urządzenia może zostać zhakowany już po samym jej odwiedzeniu.

Problem dotyczy urządzeń z nieaktualnym systemem iOS.
Co należy zrobić aby tego uniknąć?
• Wejdź w Ustawienia → Ogólne → Aktualizacja oprogramowania.
• Jeśli widzisz aktualizację – zainstaluj ją od razu.

Jeśli Twoje urządzenie nie obsługuje najnowszego systemu:
• Apple udostępniło specjalne poprawki bezpieczeństwa (sprawdź, czy są dostępne)
• Dodatkowo można włączyć tryb Lockdown, który zwiększa poziom ochrony.

Kilka minut teraz – może uchronić przed poważnymi problemami później!

Źródłem informacji jest Piotr Konieczny, założyciel serwisu Niebezpiecznik
Zgodnie z jego rekomendacją – przekazujemy ją dalej.

03/04/2026

🥚🌼 Bezpiecznego i spokojnego świątecznego czasu życzy ZESPÓŁ KODO! 🐰🐣

26/03/2026

Nowy newsletter K.R.ODO!

Czy wiesz, kiedy konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych?

To praktyczna dawka wiedzy dla wszystkich, którzy współpracują z podmiotami zewnętrznymi.

Sprawdź i upewnij się, że działasz zgodnie z RODO!

20/02/2026

Wysyłanie newsletterów, mailingów czy ofert do uczestników i sympatyków klubu to przetwarzanie danych osobowych w celach marketingowych. Takie działania są dopuszczalne, ale tylko pod warunkiem spełnienia konkretnych wymogów wynikających z RODO i przepisów krajowych.

Warto zaznaczyć, że dane osobowe mogą być przetwarzane w celach marketingowych, jeżeli istnieje legalna podstawa, w szczególności art. 6 ust. 1 lit. a RODO, najczęściej stosowana przy:
- newsletterach,
- mailingach promocyjnych,
- ofertach przesyłanych e-mailem lub SMS-em.

Administrator powinien zabezpieczyć bazy mailingowe i listy kontaktowe przed dostępem osób nieuprawnionych oraz stosować rozwiązania adekwatne do ryzyka. Dostęp do danych marketingowych powinni mieć wyłącznie upoważnieni pracownicy, a dane nie mogą być wykorzystywane ani przechowywane dłużej, niż jest to konieczne.

Niezależnie od RODO, wysyłanie informacji handlowych drogą elektroniczną wymaga zgody odbiorcy – tu warto zapoznać się z art. 10 ustawy o świadczeniu usług drogą elektroniczną.

Osoba, której dane są przetwarzane, musi zostać jasno poinformowana m.in. o :
• administratorze danych,
• celu przetwarzania (marketing, newsletter, oferty),
• podstawie prawnej, czasie przetwarzania danych czy przysługujących prawach.

Przetwarzanie danych osobowych w celach marketingowych podlega prawu sprzeciwu przysługującemu osobie, której dane dotyczą, o czym mówi nam art. 21 RODO.
Po wniesieniu sprzeciwu, administrator musi zaprzestać przetwarzania danych w celach marketingowych, a każdy mailing lub newsletter powinien zawierać informację o prawie sprzeciwu a także prostą możliwość rezygnacji.
Co istotne, administrator musi być w stanie udowodnić, że zgoda została udzielona prawidłowo, na określony cel - brak takiej dokumentacji oznacza naruszenie RODO.

19/02/2026

Zmiany w Kodeksie pracy 2026 – co warto wiedzieć z perspektywy BHP?

Od 2026 roku wchodzą w życie ważne zmiany w Kodeksie pracy i przepisach powiązanych. Choć część z nich wygląda „kadrowo”, w praktyce mają realny wpływ na organizację pracy, dobrostan i bezpieczeństwo pracowników. 👷‍♀️👷‍♂️

Najważniejsze zmiany:
1) Ekwiwalent za niewykorzystany urlop – nowe terminy wypłaty
Od 27 stycznia 2026 r. ekwiwalent wypłacany jest co do zasady w dniu wypłaty wynagrodzenia.
Jeśli jednak wypłata wynagrodzenia była przed zakończeniem umowy – ekwiwalent należy wypłacić do 10 dni od ustania zatrudnienia.

2) Doprecyzowanie zasad reprezentacji pracowników w sprawach ZFŚS
Od 27 stycznia 2026 r. wprowadzono jasne zasady uzgadniania spraw związanych z Zakładowym Funduszem Świadczeń Socjalnych.

3) Cyfryzacja czynności z zakresu prawa pracy
Od 27 stycznia 2026 r. rozszerzono możliwość realizowania wybranych czynności w formie elektronicznej – w tym związanych z dokumentacją pracowniczą.
To dobra okazja, żeby uporządkować obieg dokumentów i ułatwić kontrolę terminów badań oraz szkoleń BHP.

4) Nowe zasady ustalania stażu pracy
Od 1 stycznia 2026 r. do stażu pracy mogą być wliczane m.in. okresy:
* umów cywilnoprawnych,
* prowadzenia działalności gospodarczej,
jeśli wpływają na nabywanie uprawnień pracowniczych.

📍Dlaczego to ważne dla BHP?
Bo lepsza organizacja pracy, właściwe planowanie urlopów i porządek w dokumentacji to mniej chaosu, mniej przeciążenia i większe bezpieczeństwo w firmie.

06/02/2026

Żądania usunięcia danych osobowych, takich jak adres e-mail czy wizerunek w mediach społecznościowych, stają się codziennością. Warto wiedzieć, kiedy prawo do bycia zapomnianym znajduje zastosowanie, a kiedy jego realizacja nie jest możliwa.

Należy pamiętać, iż prawo do bycia zapomnianym, uregulowane w art. 17 RODO, daje osobie możliwość zażądania usunięcia jej danych osobowych, takich jak adres e-mail, numer telefonu czy wizerunek, np. zdjęcie opublikowane w mediach społecznościowych lub wykorzystywane w materiałach promocyjnych.

Żądanie usunięcia danych jest zasadne w szczególności gdy:
- dane nie są już potrzebne do realizacji celu, dla którego zostały zebrane,
- osoba cofnęła zgodę, a administrator nie posiada innej podstawy prawnej do dalszego ich przetwarzania,
- dane były przetwarzane niezgodnie z przepisami.

W praktyce oznacza to, że po otrzymaniu takiego żądania administrator powinien ocenić, czy dalsze przetwarzanie danych jest rzeczywiście konieczne, a jeśli nie – usunąć dane bez zbędnej zwłoki i poinformować o tym osobę, której dane dotyczą.

Prawo do usunięcia danych nie ma charakteru bezwzględnego.
Administrator może odmówić realizacji prawa do usunięcia danych, jeżeli dalsze przetwarzanie jest niezbędne do wykonania obowiązku prawnego, ochrony roszczeń, realizacji prawa do informacji lub innych celów wskazanych w art. 17 ust. 3 RODO, pod warunkiem należytego uzasadnienia odmowy.

30/01/2026

Zdjęcia z wydarzeń to dziś codzienna praktyka, ale ich publikacja często idzie o krok dalej – w stronę oznaczania uczestników poprzez tagi, podpisy czy opisy. Warto pamiętać, że takie działania prowadzą do identyfikacji osób i mogą mieć istotne znaczenie z punktu widzenia ochrony danych osobowych.

Oznaczanie wizerunku to każde działanie, które pozwala ustalić, kim jest osoba widoczna na zdjęciu, w szczególności poprzez:
• tagowanie profilu w mediach społecznościowych,
• podpisywanie zdjęcia imieniem i nazwiskiem
• opis umożliwiający rozpoznawanie osoby

Oznaczanie pogłębia ingerencję w prywatność, ułatwia dalsze rozpowszechnianie danych i często wymaga podstawy prawnej.

Należy pamiętać, że wizerunek osoby jest danymi osobowymi, jeśli osoba jest możliwa do zidentyfikowania na podstawie zdjęcia nawet bez podpisu czy nazwiska. Oznacza to, że każda publikacja zdjęcia, na którym dana osoba jest rozpoznawalna, jest przetwarzaniem danych osobowych w rozumieniu RODO.

Art. 6 ust. 1 lit. a RODO wskazuje, że przetwarzanie danych osobowych (np. wizerunku) jest legalne, jeżeli osoba wyraziła dobrowolną, świadomą zgodę na takie przetwarzanie.
Warto pamiętać, że kwestie związane z wizerunkiem regulowane są nie tylko przez RODO, ale także przez ustawę o prawie autorskim i prawach pokrewnych. Zgodnie z art. 81 tej ustawy, rozpowszechnianie wizerunku osoby co do zasady wymaga jej zezwolenia, ponieważ wizerunek jest traktowany jako dobro osobiste.

Zgoda na rozpowszechnianie wizerunku nie jest wymagana gdy:
• Osoba jest powszechnie znana, a wizerunek utrwalono w związku z pełnieniem przez nią funkcji publicznych,
• wizerunek stanowi jedynie element większej całości, np. tłumu, zgromadzenia lub wydarzenia publicznego.

Zaznaczyć należy, że te wyjątki nie obejmują sytuacji, gdy osoba jest wyraźnie wyeksponowana lub identyfikowana (np. poprzez oznaczenie czy podpis).
Obowiązek informacyjny (RODO) – Art. 13 RODO nakazuje informować osoby, których dane przetwarzamy, a w tym kto jest administratorem, a jakim celu dane są przetwarzane, a także jakie są prawa osób, których dane dotyczą. Informacja musi zostać przekazana uczestnikom (np. w regulaminie wydarzenia).

Wizerunek dziecka to dane osobowe objęte szczególną ochroną. Oznaczanie dzieci na zdjęciach (np. tagowanie, podpisywanie imieniem, wskazywanie wieku lub grupy) zwiększa zakres przetwarzania danych i co do zasady wymaga zgody rodzica lub opiekuna prawnego. Sama informacja o fotografowaniu wydarzenia nie jest w takich przypadkach wystarczająca – zwłaszcza gdy dziecko jest łatwo identyfikowalne.