ODOekspert

22/10/2025

❗Dlaczego rekruterzy zaczynają przegrywać z kandydatami do pracy? Błędy w stosowaniu w rekrutacji, o których nikt Ci nie mówi 🤭

Niedawno pewna firma zatrudniała nowego specjalistę na powiedzmy średnim szczeblu. Wydawało się, że proces rekrutacji przebiegł wzorowo – ✅duża liczba kandydatów na stanowisko, 🏃ultra szybko przeprowadzony proces selekcji z „long” listy do „short” listy, 🗓️ spotkania z wybranymi kandydatami, 🎯wybór tego „jedynego”.

W skrócie: szybkie decyzje, świetny kandydat, zadowolony pracodawca 🤝

🤦‍♂️Do czasu… aż jeden z niewybranych kandydatów zaczął zadawać trudne pytania:
❌ na podstawie jakich kryteriów odrzucono moją kandydaturę?
❌ czy w procesie rekrutacji wykorzystywaliście sztuczną inteligencję?

Po chwili pojawiło się najtrudniejsze pytanie – czy decydowało o odrzuceniu mojej kandydatury 🙈? Po czym zażądał, aby jego kandydaturę rozpatrzono raz jeszcze, tym razem bez udziału – a przez człowieka.

Okazało się, że Dział HR tej firmy wykupił dostęp do , który stał się ich asystentem w rekrutacji – przeprowadzał preselekcję kandydatów, analizował ich CV i w oparciu o wskazane kryteria generował „short” listę tych, którzy jego zdaniem najbardziej odpowiadali pracodawcy.

Pozostałych odrzucał i wysyłał do nich automatyczny mail z podziękowaniem👎

🤡 Rekruter skupiał się tylko na tych „wybranych” CV, ale dalej analizował je z udziałem swojego Asystenta AI – i ten Asystent rozsyłał w pierwszej kolejności zaproszenia na spotkania do kandydatów najlepiej ocenionych przez niego.

W całym procesie nie było złej woli.
Był brak czasu, zbyt wiele CV do przejrzenia, chęć optymalizacji. No i wakat, który trzeba było szybko obsadzić.

🔥Efekt? Zarzut stosowania niejasnych kryteriów w wyborze kandydata, wykorzystywania do decydowania o jego sytuacji, nie poinformowania kandydatów o przetwarzaniu ich danych z użyciem , brak zgód kandydatów na taki sposób przetwarzania ich danych ….gigantyczny stres dla Działu HR i ryzyko 🔍kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych oraz 💲kar finansowych za naruszenie przepisów .

W dalszej konsekwencji również możliwe roszczenia kandydatów (potencjalnie wszystkich) o zadośćuczynienie finansowe za naruszenie ich dóbr osobistych.

Dla wielu organizacji TO stanie się codziennością za chwilę lub już się dzieje.

Dlatego dziś pytanie nie brzmi:
🔵„Czy mamy politykę RODO?”🔵
tylko
✅„Czy nasze aktualne procesy HR faktycznie chronią ludzi, których dane przetwarzamy?”✅

📌Jeśli nie masz pewności – warto to sprawdzić zanim zrobi to ktoś inny.

📩 Jeśli chcesz wiedzieć, jak wygląda „check” pod kątem i ACT dla tego typu procesów – napisz.
Jeśli uważasz, że ten post może przydać się Twojemu znajomemu – udostępnij go lub zapisz na później, może przydać się szybciej niż myślisz.

Zostaw reakcję – dobrze wiedzieć, że czytasz 😊

Grafika wygenerowana przez – dla zabawniejszego kontekstu 😊

Dużo RODOczułości dla Was.

20/10/2025

Komisja Europejska uruchomiła platformę AI Act Single Information Platform, poświęconą wyłącznie wymaganiom ACT z narzędziem ➡️Compliance Checker.

📌Compliance Checker, to algorytm (co prawda jeszcze w wersji beta), który służy do wstępnej weryfikacji obowiązków prawnych związanych z agentami i całymi systemami .
Absolutna podstawa i self assessment dla każdego kto planuje wykorzystywać sztuczną inteligencję w biznesie lub usługach publicznych.

❗Koniecznie przeczytajcie objaśnienia do poszczególnych pytań, bo to cały AI ACT w pigułce.

🌍Na platformie zaczynają pojawiać się również oficjalne materiały dotyczące implementacji AI ACT w poszczególnych krajach UE - warto przeanalizować zwłaszcza gdy planujecie uruchamiać usługi oparte na AI w wielu krajach.

Link do platformy w pierwszym komentarzu.

17/10/2025

Skończyły się upomnienia, zaczęły kary finansowe nakładane na konkretne organizacje, które nie uwzględniają niezależności swoich Inspektorów Ochrony Danych.
Mamy już za sobą:
✅ akcję PUODO przeprowadzoną w 2022 roku – organ rozesłał wówczas do wybranych administratorów danych listę 27 pytań dotyczących sposobu wykonywania zadań przez powołanych w tych jednostkach Inspektorów Ochrony Danych – nagrałem wówczas na ten temat webinar, możesz go obejrzeć pod linkiem➡️ https://www.youtube.com/watch?v=LWpiHO-R5I4&t=1130s
✅ wystąpienia dotyczące wprowadzenia zmian w przepisach prawa, aby zapewnić niezależność hashtag w wykonywaniu swoich zadań. Tu przede wszystkim było już kilka wystąpień do Szefa Służby Cywilnej o wyodrębnienie IOD w wykazie stanowisk urzędników służby cywilnej – widać więc, że cyklicznie powraca temat „etatyzacji” IOD’a w sektorze publicznym (więcej przeczytasz tu: https://uodo.gov.pl/pl/138/3217).

❌ ALE to nie wszystko, bo zaczęło się nakładanie kar finansowych 💲💲💲 na sektor prywatny za nieprawidłowości w tworzeniu funkcji IOD w organizacji.
Przede wszystkim chodzi o hashtag interesów czyli doprowadzenie do takiej sytuacji gdzie IOD nie może zachować obiektywizmu przy wykonywanych przez siebie zadaniach i przedstawianej ocenie (rekomendacjach), bo na przykład pełni jednocześnie funkcję wykonawczą (decyzyjną) oraz nadzorczą, czyli jednocześnie decyduje o sposobie przetwarzania danych i następnie sam sobie wystawia „laurkę”. Drugi najczęstszy przypadek to po prostu pomijanie↪️ roli IOD w procesie opiniowania spraw związanych z przetwarzaniem danych osobowych, bo jeszcze powie, że coś trzeba dodatkowo zrobić, zmodyfikować proces albo przemyśleć na nowo planowany sposób przetwarzania danych osobowych.

📌 Popatrzcie na kary finansowe nałożone w ostatnim czasie:
🛑 McDonald’s Polska - łączna wysokość kary prawie 17 mln zł, na wysokość kary po części wpłynął fakt, że McDonald’s Polska nie włączał swojego IOD’a we wszystkie sprawy związane z ochroną danych osobowych, w tym konkretnym przypadku chodziło o brak włączenia go w weryfikację podwykonawcy, który miał dostęp do danych osobowych. Więcej przeczytasz tu: https://uodo.gov.pl/pl/138/3827
🛑kara w wysokości 11 tys. 365 zł nałożona na spółkę Specer, której prezes uznał, że sam najlepiej będzie realizował zadania IOD i się „powołał” do pełnienia tej funkcji. Więcej przeczytasz tu: https://uodo.gov.pl/pl/138/3897
Można więc uknuć nowe pojęcie – SAMOPOWOŁANIE, co już samo w sobie pachnie konfliktem interesów, ale cóż 🤭

📌To nie wszystko – organ nadzoru coraz częściej zwraca uwagę na praktyki, które w jego interesie generują konflikt interesów. Na przykład PUODO uważa, że IOD nie powinien dokonywać zgłoszeń naruszeń ochrony danych w imieniu administratora (działając w oparciu o udzielone pełnomocnictwo).

💻 Więcej szkoleń ODOeksperta na: www.szkoleniaodoeksperta.pl📬 Zapisz się do naszego Newslettera na www.szkoleniaodoeksperta.pl⬇Dzisiejsze nagranie⬇0:00 - S...

16/10/2025

Ostatnie naruszenie ochrony danych osobowych w to klasyczny przykład nieprzestrzegania podstawowych zasad , których (prawie) nikt nie chce stosować licząc, że inni tego nie zauważą🙈. Ale wychodzi to z hukiem przy naruszeniach ochrony danych. I to jest cenna lekcja dla nas wszystkich.
➡️W skrócie: Discord to internetowa platforma do grania i spotkań ze znajomymi oraz tworzenia społeczności (jak sami o sobie piszą twórcy). I wszystko fajnie, ja też lubię się bawić 😊 ALE
Discord weryfikuje wiek użytkowników i robił to w sposób niezgodny z , choć twierdził inaczej😊
➡️EFEKT:
Według oficjalnych informacji 70 tysięcy, a według nieoficjalnych ponad 2 MILIONY zdjęć dokumentów (takich jak dowody osobiste, paszporty, prawa jazdy) użytkowników Discord wyciekło do netu w wyniku „ataku hakerskiego” ALE
➡️Na czym ten „atak” polegał?
Discord nie zajmował się sam weryfikacją wieku użytkowników. Robił to podwykonawca Discorda (ciekawe czy mieli podpisaną umowę powierzenia przetwarzania danych 😊), a robił to tak, że weryfikował wiek, ale zdjęć dokumentów ❌nie usuwał, pomimo że Discord to oficjalnie obiecuje użytkownikom. Więc zdjęcia dokumentów wisiały gdzieś w zasobach podwykonawcy Discorda.
Pracownicy tego podwykonawcy zaczęli otrzymywać „dziwne” maile z propozycjami łapówki: za dostęp do twojego służbowego konta dostaniesz $500. Jeden z pracowników nie „olał” propozycji i udostępnił swoje konto służbowe za $$$.

Discord próbuje odpowiedzialnością obarczyć swojego dostawcę. No właśnie – swojego dostawcę. Czy słyszeliście o odpowiedzialności za swoich dostawców na zasadzie ryzyka? Poczytajcie art. 28 . A no właśnie.

📗Jaki mamy z tego morał?
- danych to kula śnieżna, która źle wdrożona albo niewdrożona wcale uderzy w nas ze zdwojoną siłą w najmniej oczekiwanym momencie – przy naruszeniu ochrony danych – bo wtedy to atakujący mówi „sprawdzam” i okazuje się, że wyciekają dane, których w ogóle ❌nie powinniśmy już mieć. Na polskim podwórku przekonał się o tym między innymi Morele.net;
- jak coś chcesz wyoutsourcować, to nie znaczy, że pozbywasz się problemu – może być kompletnie odwrotnie🙃;
- narzędzia umożliwiające nadzór nad podwykonawcami to must have, zwłaszcza gdy podwykonawcom powierzamy do przetwarzania istotne dane osobowe. Jako minimum: pytajcie o zabezpieczenia jakich stosują, o ich podwykonawców, o wewnętrzne procedury - bo często ich nie mają i jak jest naruszenie to zaczyna się "pisanie na kolanie";
- skuteczniejszy nadzór nad pracownikami i zabezpieczenia w możliwie wielu obszarach: kontraktowe, systemowe, narzędziowe, a czasami po prostu odrobina logiki i myślenia – np. przemyślana segmentacja dostępów, zarządzanie uprawnieniami użytkowników (też tych historycznych), żeby się potem nie okazało, że za pomocą jednego nad wyraz uprzywilejowanego konta, które zostało przejęte, można zaorać pół organizacji…
To tak na początek

30/09/2025

Kilka dni temu w sieci LinkedIn pojawił się filmik ukazujący możliwe benefity pracy w z agentem o pięknym imieniu (na zdjęciu) i pomyślałem, że może przy tej okazji zrobię w październiku bezpłatny, godzinny webinar🖥️, na co powinni zwrócić uwagę Ci wszyscy rekruterzy i pracodawcy, którzy chcieliby w Polsce korzystać ze sztucznej inteligencji przy selekcji i wyborze kandydatów do pracy - nie narażając się jednocześnie na sankcje przewidziane w i , roszczenia kandydatów do pracy i generalnie zły wizerunek siebie jako pracodawcy.
✅Ktoś chętny na webinar? Dajcie znać i wpiszcie w komentarzu pod postem: 🟢TAK🟢lub w wiadomości prywatnej do mnie

19/09/2025

Niedawno na łamach Rzeczpospolita podzieliłem się swoim komentarzem dotyczącym głośnej sprawy dwóch pracownic pewnej drukarni, które w czasie gdy przebywały na L4, bawiły się na weselu. Zdenerwowany (zapewne bardzo) pracodawca na swoim profilu społecznościowym opublikował zdjęcie pracownic z imprezy weselnej, z dosyć dosadnym (aczkolwiek nie pozbawionym do końca sensu prawnego) komentarzem. W skrócie podsumowując tą sprawę:
🟩 TAK - pracodawca, podobnie jak ZUS, jest uprawniony do kontroli absencji chorobowych swoich pracowników, ba.. może też upoważniać do przeprowadzania takich kontroli w swoim imieniu wyspecjalizowane podmioty (co jest dosyć powszechne na polskim rynku, a nasza kancelaria obsługuje od strony ochrony danych osobowych pracodawców, którzy podejmują takie działania)
🟥 NIE - pracodawca nie powinien publikować w mediach społecznościowych wpisów takich jak w omawianej sprawie, bo godzi w dobra osobiste pracownic, choć one same naruszyły prawo.

Artykuł jak zwykle w punkt autorstwa Szymon Cydzik, z którym zawsze miło porozmawiać. I z tego co widzę, co się przelało przez media, mój komentarz i tak stosunkowo łagodny 🙂
Link do artykułu:

Wrzucenie na profil firmy zdjęć pracownic na L4 ze złośliwym komentarzem może godzić w ich dobra osobiste. Lepiej byłoby wstrzymać się z publikacją i załatwić t

04/09/2025

Kilka dni temu na łamach gazetaprawna.pl pojawił się artykuł "RODO dla pacjenta" z moimi wskazówkami na co jako pacjenci powinniśmy zwracać uwagę by chronić swoje dane w gabinecie lekarskim, szpitalu i aptece. To są absolutne podstawy, ale w rzeczywistości nadal często nieprzestrzegane.

Wykradzenie naszych danych osobowych może wiązać się z utratą środków finansowych, a nawet tożsamości, dlatego warto wiedzieć, jak zminimalizować to ryzyko. Placówki medyczne oraz apteki to miejsca, w których często podajemy szczególnie wrażliwe dane. Na co zwrócić uwagę, by przek...

02/09/2025

Jeśli zastanawialiście się co słychać u ODOeksperta, to z przyjemnością zawiadamiamy, że na jesień planujemy kilka ciekawych szkoleń online. A wśród nich szkolenie dotyczące Anonimizacji i zarządzania retencją danych osobowych 🗂️, które odbędzie się już 3 października 2025 r.
Szczegółowy program szkolenia jest już dostępny na naszej szkoleniowej stronie internetowej pod linkiem:
https://www.szkoleniaodoeksperta.pl/eventer/anonimizacjaizarzadzanieretencjadanychosobowychworganizacji/edate/2025-10-03/

Rejestracja na szkolenie właśnie ruszyła i dla pierwszych uczestników mamy bilety w przedsprzedaży 💥

08/02/2024

"Tłusty" czwartek w wersji od PUODO 🥯

Drogo może zapłacić sklep Morele.net za niedopilnowanie danych klientów. A kary będą rosły.

27/01/2023

Przyznaję, w tym roku lekko zbojkotowaliśmy Międzynarodowy Dzień Ochrony Danych Osobowych. Dlaczego❓

Ano dlatego, że moim zdaniem dane osobowe i ochrona prywatności to temat, który powinien być ważny przez 365 dni w roku, a nie przez jeden. Powinien być jednym z ważniejszych tematów, bo taka jest rzeczywistość. Powinien być ważny zarówno dla nas - podmiotów danych jak i dla tej "drugiej" strony - administratorów danych i podmiotów przetwarzających.

Dlatego w tym roku nie będziemy się wpisywać w nurt wydarzeń organizowanych z okazji tego jednego dnia w roku, nie będziemy organizować szkoleń, webinarów, pisać artykułów, rozdawać darmowych eBooków etc.

Ten dzień, podobnie jak wszystkie inne w styczniu wykorzystamy jak zwykle, czyli na działania na rzecz naszych klientów i zaplanujemy z nimi prace z zakresu ochrony danych osobowych na rok 2023 r.

Ponieważ dla nas Dzień Ochrony Danych Osobowych trwa przez cały rok ❤️

27/11/2022

Ostatnio trochę ciszej na naszym profilu, co nie oznacza, że u nas spokojniej. Wręcz odwrotnie.
No bo co ja robię w biurze kancelarii w sobotnie i niedzielne (z resztą nie tylko) poranki tak powiedzmy od 5 rano, gdy większość łącznie z moją Rodziną jeszcze śpi? Pracuję nad nowym projektem, który ujrzy światło dzienne już w grudniu!

Nie mogę jeszcze zdradzać zbyt wielu szczegółów, ale powiem tylko, że jest to narzędzie informatyczne opracowywane z naszym zaufanym Partnerem, które (mam nadzieję) okaże się bardzo pomocne dla wszystkich IOD'ów (i nie tylko), którzy chcieliby przeprowadzać audyty z zakresu ochrony danych osobowych w swoich organizacjach.

Jestem odpowiedzialny za całą warstwę merytoryczną tego narzędzia, Partner dokłada technologię, a co z tego konkretnie wyjdzie, okaże się już niebawem. Ale jestem dobrej myśli 👍

Udanej niedzieli i dobrego tygodnia!

06/10/2022

Dla tych, którzy planują audyty/weryfikacje w swoich organizacjach lub po prostu chcą podnieść swoje kompetencje w zakresie przeprowadzania audytów zgodności z wymaganiami RODO, mamy propozycję - nasza kolejna edycja szkolenia online 🟩Metodyka pracy IOD'a - Przepis na prosty audyt RODO w organizacji🟩

Szkolenie odbędzie się już w następny piątek, 14 października.
Chętnych zapraszam do zapoznania się ze szczegółowymi informacjami i do rejestracji pod linkiem
https://www.szkoleniaodoeksperta.pl/eventer/metodyka-pracy-ioda-przepis-na-prosty-audyt-rodo-w-organizacji/edate/2022-10-14/