KluczeSoft.pl
Powrót do Centrum Pomocy
Bezpieczeństwo
Najczęściej zadawane pytania

RODO co to — poradnik praktyczny 2026

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (oficjalnie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), to najważniejszy akt prawny r

12 min czytania·Zaktualizowano dzisiaj

RODO co to — poradnik praktyczny 2026

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (oficjalnie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), to najważniejszy akt prawny regulujący przetwarzanie danych osobowych w Unii Europejskiej. Choć obowiązuje od 25 maja 2018 roku, w 2026 roku pozostaje fundamentem europejskiego systemu ochrony prywatności — uzupełnionym o kolejne akty wykonawcze, najnowsze wytyczne Europejskiej Rady Ochrony Danych (EROD) oraz krajowe dostosowania, w tym polską ustawę o ochronie danych osobowych z 2019 roku wraz z jej nowelizacjami. W tym poradniku wyjaśniamy, czym dokładnie jest RODO, kogo obowiązuje, jakie prawa daje obywatelom i jak w praktyce przygotować organizację do zgodności z przepisami w 2026 roku.

Dlaczego RODO wciąż ma znaczenie w 2026 roku

Minęło osiem lat od wejścia RODO w życie, a regulacja nie tylko nie straciła na znaczeniu, ale zyskała nowy wymiar. Dynamiczny rozwój sztucznej inteligencji, upowszechnienie pracy zdalnej i hybrydowej oraz rosnąca liczba cyberataków sprawiły, że ochrona danych osobowych stała się priorytetem zarówno dla prawodawców, jak i dla przedsiębiorców. W 2026 roku EROD wydała już kilkadziesiąt wiążących wytycznych — między innymi dotyczących przetwarzania danych w systemach AI, transferów do państw trzecich po unieważnieniu Tarczy Prywatności oraz zasad korzystania z plików cookie i technologii śledzących zgodnie z dyrektywą ePrivacy, której nowelizacja wreszcie weszła w życie.

Organy nadzorcze — w Polsce Prezes Urzędu Ochrony Danych Osobowych (PUODO) — dysponują coraz skuteczniejszymi narzędziami egzekwowania przepisów. W samym 2025 roku PUODO nałożył kary administracyjne na łączną kwotę przekraczającą 180 milionów złotych, z czego znaczną część stanowiły sankcje za niewystarczające zabezpieczenia techniczne i organizacyjne oraz za brak reakcji na naruszenia w ustawowym terminie 72 godzin. Trend ten jasno pokazuje, że zgodność z RODO nie jest już opcjonalnym dodatkiem do strategii biznesowej, ale bezwzględnym wymogiem operacyjnym każdej organizacji przetwarzającej dane osobowe.

Kogo obowiązuje RODO — zakres podmiotowy i terytorialny

RODO ma zastosowanie do każdego podmiotu, który przetwarza dane osobowe — niezależnie od wielkości firmy, branży czy formy prawnej. Obowiązuje zarówno administratorów danych (osoby fizyczne, firmy, organy publiczne decydujące o celach i sposobach przetwarzania), jak i podmioty przetwarzające (przetwarzające dane w imieniu administratora, na przykład dostawców usług hostingowych, biura rachunkowe czy agencje marketingowe).

Kluczową cechą RODO jest jego zasięg terytorialny. Rozporządzenie stosuje się nie tylko do podmiotów mających siedzibę na terenie Unii Europejskiej, ale również do firm spoza UE, które oferują towary lub usługi obywatelom UE albo monitorują ich zachowanie. Oznacza to, że amerykański startup oferujący aplikację mobilną polskim użytkownikom podlega RODO tak samo jak warszawska spółka z ograniczoną odpowiedzialnością. W praktyce egzekwowanie tego przepisu wobec podmiotów spoza UE wymaga od nich wyznaczenia przedstawiciela na terenie Unii, co w 2026 roku jest rutynowo kontrolowane przez organy nadzorcze — również w ramach współpracy międzynarodowej.

Podstawowe definicje, które musisz znać

Aby swobodnie poruszać się w tematyce RODO, warto przyswoić kilka fundamentalnych pojęć. Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej — od imienia i nazwiska, przez adres e-mail i numer PESEL, po adres IP, identyfikatory plików cookie czy dane biometryczne. Przetwarzanie oznacza każdą operację wykonywaną na danych: zbieranie, przechowywanie, modyfikowanie, przeglądanie, usuwanie — w zasadzie każdy kontakt z danymi.

Administrator danych to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych. Podmiot przetwarzający działa na zlecenie administratora i nie podejmuje autonomicznych decyzji co do celów przetwarzania. Inspektor Ochrony Danych (IOD) to osoba wyznaczona przez administratora lub podmiot przetwarzający do monitorowania zgodności z RODO, doradzania i współpracy z organem nadzorczym. W 2026 roku wyznaczenie IOD jest obowiązkowe między innymi dla wszystkich organów publicznych (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości) oraz dla podmiotów, których główna działalność polega na przetwarzaniu danych szczególnych kategorii lub danych dotyczących wyroków skazujących na dużą skalę.

Prawa osób, których dane dotyczą — praktyczny przewodnik

RODO przyznaje obywatelom rozbudowany katalog praw, które organizacja musi respektować pod groźbą kary. Prawo dostępu do danych umożliwia każdej osobie uzyskanie kopii przetwarzanych danych oraz informacji o celach, okresie przechowywania i odbiorcach. Prawo do sprostowania pozwala żądać poprawienia nieprawidłowych lub niekompletnych informacji.

Szczególnie istotne w 2026 roku stało się prawo do usunięcia danych, znane jako "prawo do bycia zapomnianym". Nie jest ono bezwzględne — administrator może odmówić usunięcia danych, gdy ich przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo wynika z obowiązku prawnego. Jednak w kontekście systemów sztucznej inteligencji zasada ta nabiera nowego znaczenia: EROD w swoich wytycznych z 2025 roku podkreśliła, że modele AI wytrenowane na danych osobowych powinny umożliwiać skuteczne usunięcie wpływu tych danych — co stanowi ogromne wyzwanie techniczne i prawne.

Kolejne uprawnienia to prawo do ograniczenia przetwarzania (np. na czas weryfikacji prawidłowości danych), prawo do przenoszenia danych (umożliwiające otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie i przesłanie ich innemu administratorowi) oraz prawo do sprzeciwu wobec przetwarzania, w tym wobec marketingu bezpośredniego i profilowania. Odrębną kategorię stanowi ochrona przed zautomatyzowanym podejmowaniem decyzji, w tym profilowaniem, które wywołuje skutki prawne lub w podobny istotny sposób wpływa na osobę — z zastrzeżeniem określonych wyjątków, takich jak wyraźna zgoda czy niezbędność do zawarcia umowy.

Podstawy prawne przetwarzania — na jakiej zasadzie możesz przetwarzać dane

Każda operacja na danych osobowych musi mieć oparcie w jednej z sześciu przesłanek legalności wymienionych w art. 6 RODO. Najczęściej wykorzystywaną — i jednocześnie najczęściej nadużywaną — jest zgoda osoby, której dane dotyczą. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, a w 2026 roku organy nadzorcze szczegółowo analizują, czy nie została ona wymuszona (np. poprzez uzależnienie dostępu do usługi od wyrażenia zgody na przetwarzanie danych w celach marketingowych, gdy nie jest to niezbędne do wykonania umowy).

Drugą powszechną przesłanką jest niezbędność do wykonania umowy — na przykład przetwarzanie adresu dostawy w sklepie internetowym. Kolejne to obowiązek prawny (np. przechowywanie dokumentacji pracowniczej), ochrona żywotnych interesów (rzadko stosowana, dotyczy sytuacji zagrożenia życia), wykonanie zadania realizowanego w interesie publicznym (głównie organy publiczne) oraz prawnie uzasadniony interes administratora — przesłanka elastyczna, ale wymagająca przeprowadzenia tzw. testu równowagi między interesem administratora a prawami osoby, której dane dotyczą.

Szczególne kategorie danych (dane wrażliwe: o zdrowiu, orientacji seksualnej, przekonaniach religijnych, przynależności związkowej, pochodzeniu etnicznym, danych genetycznych i biometrycznych) mogą być przetwarzane tylko w wyjątkowych okolicznościach określonych w art. 9 RODO — co do zasady wymagają wyraźnej zgody lub mieszczą się w wąskim katalogu wyjątków, takich jak niezbędność w zakresie prawa pracy czy ochrona istotnego interesu publicznego.

Obowiązki administratora — co musisz wdrożyć w organizacji

Zgodność z RODO to nie jednorazowy projekt, lecz ciągły proces. Administrator musi przede wszystkim wdrożyć odpowiednie środki techniczne i organizacyjne, zapewniające poziom bezpieczeństwa adekwatny do ryzyka. W praktyce oznacza to między innymi szyfrowanie danych, pseudonimizację, kontrolę dostępu, regularne testowanie i ocenianie skuteczności środków bezpieczeństwa oraz prowadzenie rejestru czynności przetwarzania — chyba że organizacja zatrudnia mniej niż 250 osób i przetwarzanie nie niesie ryzyka naruszenia praw, nie obejmuje danych wrażliwych i nie ma charakteru stałego.

Ocena skutków dla ochrony danych to obowiązkowy proces dla operacji przetwarzania o wysokim ryzyku — między innymi przy profilowaniu na dużą skalę, przetwarzaniu danych wrażliwych na dużą skalę czy systematycznym monitorowaniu miejsc publicznych. W 2026 roku wymóg ten rozszerzono de facto na wdrożenia systemów AI przetwarzających dane osobowe, zgodnie z wytycznymi EROD, które zalecają przeprowadzanie oceny skutków przed uruchomieniem jakiegokolwiek modelu uczenia maszynowego korzystającego z danych osobowych.

Kolejnym kluczowym obowiązkiem jest zgłaszanie naruszeń ochrony danych do PUODO w terminie 72 godzin od ich stwierdzenia — chyba że naruszenie nie niesie ryzyka dla praw i wolności osób. Jeśli ryzyko to jest wysokie, administrator musi również zawiadomić osoby, których dane dotyczą. Niedopełnienie tego obowiązku — nawet przy nieumyślnym przeoczeniu — skutkuje w praktyce dotkliwymi karami i utratą zaufania klientów.

Nie można też zapominać o obowiązku informacyjnym — czyli przekazaniu osobie, której dane są zbierane, wszystkich wymaganych informacji w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. W erze RODO nie wystarczy już ukrycie polityki prywatności na dole strony; klauzule informacyjne muszą być aktywnie komunikowane w momencie pozyskiwania danych, a w wielu przypadkach — na przykład przy aplikacjach mobilnych — wyświetlane warstwowo, aby nie przytłaczać użytkownika.

Kary i odpowiedzialność — realne konsekwencje naruszeń

System sankcji RODO opiera się na dwóch progach kar administracyjnych: do 10 milionów euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która wartość jest wyższa) oraz — za najpoważniejsze naruszenia — do 20 milionów euro lub do 4% obrotu. W praktyce polskiego PUODO najwyższe kary w latach 2024–2025 dotyczyły przede wszystkim niedostatecznych zabezpieczeń technicznych (w tym braku szyfrowania danych na zgubionych nośnikach), niezgodnego z prawem przetwarzania danych bez podstawy prawnej oraz utrudniania kontroli.

Oprócz kar administracyjnych, RODO otwiera drogę do odszkodowań cywilnych dla osób poszkodowanych naruszeniem — zarówno za szkodę majątkową, jak i niemajątkową (krzywdę). W 2026 roku obserwujemy wzrost liczby pozwów zbiorowych opartych na przepisach RODO, szczególnie w sektorze e-commerce i technologii medycznych.

Częste pytania

Czy każda firma w Polsce musi stosować RODO?

Tak, każdy podmiot przetwarzający dane osobowe w ramach działalności objętej prawem Unii Europejskiej musi przestrzegać RODO — niezależnie od wielkości firmy, liczby zatrudnionych czy branży. Nie ma wyjątku dla małych przedsiębiorstw ani dla jednoosobowych działalności gospodarczych. Jedyne wyłączenie dotyczy przetwarzania danych wyłącznie do celów osobistych lub domowych, na przykład prowadzenia prywatnej książki adresowej.

Czym RODO różni się od ustawy o ochronie danych osobowych z 1997 roku?

Poprzednia ustawa obowiązywała wyłącznie na terenie Polski i opierała się głównie na rejestracji zbiorów danych w GIODO. RODO jest rozporządzeniem unijnym — stosuje się bezpośrednio we wszystkich państwach członkowskich, nie wymaga implementacji do prawa krajowego i wprowadza znacznie szerszy katalog obowiązków, praw i sankcji, w tym zasadę rozliczalności, nakazującą administratorowi wykazywanie zgodności z przepisami.

Czy zgoda na przetwarzanie danych musi być wyrażona na piśmie?

Nie. RODO nie narzuca konkretnej formy zgody — może być ona wyrażona pisemnie, ustnie (np. nagrana rozmowa) lub elektronicznie (np. poprzez zaznaczenie checkboxa na stronie internetowej). Kluczowe jest, aby zgoda była jednoznaczna i aktywna — zgody domniemane, oparte na "milczącej akceptacji" lub z góry zaznaczonych polach, są nieważne i skutkują brakiem podstawy prawnej przetwarzania.

Kiedy muszę zgłosić naruszenie do PUODO?

Naruszenie ochrony danych osobowych należy zgłosić Prezesowi Urzędu Ochrony Danych Osobowych nie później niż w ciągu 72 godzin od jego stwierdzenia. Termin ten liczy się od momentu, w którym administrator powziął informację o naruszeniu — nie od chwili, w której naruszenie nastąpiło. Jeśli zgłoszenie następuje po 72 godzinach, administrator ma obowiązek wyjaśnić przyczyny opóźnienia. Nie każde naruszenie wymaga zgłoszenia — obowiązek ten dotyczy wyłącznie przypadków, które mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Czy Inspektor Ochrony Danych jest obowiązkowy w każdej firmie?

Nie. Wyznaczenie IOD jest obowiązkowe dla organów i podmiotów publicznych (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości), podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę danych wrażliwych lub danych dotyczących wyroków skazujących, oraz podmiotów, których główna działalność polega na systematycznym monitorowaniu osób na dużą skalę. Prywatna firma, która nie spełnia tych kryteriów, może — ale nie musi — wyznaczyć IOD. W praktyce wiele organizacji decyduje się na to dobrowolnie, traktując IOD jako inwestycję w bezpieczeństwo prawne.

Czy dane przechowywane w chmurze są zgodne z RODO?

Tak, pod warunkiem spełnienia określonych wymogów. Przechowywanie danych w chmurze obliczeniowej jest dopuszczalne, ale administrator musi zawrzeć z dostawcą chmury umowę powierzenia przetwarzania danych, zweryfikować lokalizację serwerów (transfer danych poza UE wymaga dodatkowych zabezpieczeń, takich jak standardowe klauzule umowne lub decyzja stwierdzająca odpowiedni stopień ochrony) oraz upewnić się, że dostawca wdraża odpowiednie środki bezpieczeństwa technicznego i organizacyjnego.

Jakie dane osobowe podlegają szczególnej ochronie?

Szczególnej ochronie podlegają tzw. dane wrażliwe wymienione w art. 9 RODO: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej. Co do zasady przetwarzanie tych danych jest zabronione, chyba że zachodzi jeden z enumeratywnie wymienionych wyjątków, na przykład wyraźna zgoda osoby lub niezbędność wynikająca z przepisów prawa pracy.

Czy można wysyłać newslettery bez zgody odbiorcy?

To zależy od charakteru newslettera i relacji z odbiorcą. Marketing bezpośredni skierowany do klientów, którzy dokonali zakupu, może w określonych przypadkach opierać się na prawnie uzasadnionym interesie administratora — jednak wyłącznie w odniesieniu do własnych, podobnych produktów lub usług i pod warunkiem zapewnienia możliwości łatwego sprzeciwu. Marketing skierowany do osób, które nigdy nie były klientami, wymaga zgody. Ponadto w Polsce aspekty komunikacji elektronicznej reguluje również Prawo telekomunikacyjne oraz przepisy o świadczeniu usług drogą elektroniczną, które wymagają zgody na wysyłkę niezamówionej informacji handlowej drogą elektroniczną.

Co grozi za brak reakcji na żądanie usunięcia danych?

Brak odpowiedzi na żądanie osoby, której dane dotyczą, lub bezpodstawna odmowa realizacji prawa do usunięcia danych naraża administratora na karę administracyjną do 20 milionów euro lub 4% rocznego światowego obrotu. Ponadto osoba poszkodowana może dochodzić odszkodowania na drodze cywilnej, a brak współpracy z PUODO w tym zakresie jest traktowany jako okoliczność obciążająca przy ustalaniu wysokości sankcji.

Jak RODO wpływa na monitoring wizyjny w firmie?

Monitoring wizyjny stanowi przetwarzanie danych osobowych (wizerunek) i podlega pełnemu reżimowi RODO. Administrator musi mieć ważną podstawę prawną (najczęściej prawnie uzasadniony interes, jakim jest ochrona mienia), przeprowadzić ocenę, czy cel ten przeważa nad interesem osób monitorowanych, spełnić obowiązek informacyjny (tablice informacyjne), a także określić okres przechowywania nagrań — standardowo nie dłużej niż 3 miesiące, chyba że nagrania stanowią dowód w postępowaniu. W 2026 roku PUODO szczegółowo kontroluje zgodność monitoringu z zasadą minimalizacji danych — kamery nie mogą obejmować przestrzeni, gdzie monitoring nie jest proporcjonalny do celu, na przykład pomieszczeń socjalnych czy sanitariatów.

Artykuł ma charakter informacyjny i nie stanowi porady prawnej. Dla zapewnienia pełnej zgodności organizacji z RODO zalecamy konsultację z profesjonalnym Inspektorem Ochrony Danych lub kancelarią prawną. Jeśli potrzebujesz narzędzia, które pomoże Ci sprawnie zarządzać procesami związanymi z RODO — od rejestru czynności przetwarzania po obsługę żądań osób — poznaj system ochrony danych osobowych dostępny na KluczeSoft.pl.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak, każdy podmiot przetwarzający dane osobowe w ramach działalności objętej prawem Unii Europejskiej musi przestrzegać RODO — niezależnie od wielkości firmy, liczby zatrudnionych czy branży. Nie ma wyjątku dla małych przedsiębiorstw ani dla jednoosobowych działalności gospodarczych. Jedyne wyłączenie dotyczy przetwarzania danych wyłącznie do celów osobistych lub domowych, na przykład prowadzenia prywatnej książki adresowej.
Poprzednia ustawa obowiązywała wyłącznie na terenie Polski i opierała się głównie na rejestracji zbiorów danych w GIODO. RODO jest rozporządzeniem unijnym — stosuje się bezpośrednio we wszystkich państwach członkowskich, nie wymaga implementacji do prawa krajowego i wprowadza znacznie szerszy katalog obowiązków, praw i sankcji, w tym zasadę rozliczalności, nakazującą administratorowi wykazywanie zgodności z przepisami.
Nie. RODO nie narzuca konkretnej formy zgody — może być ona wyrażona pisemnie, ustnie (np. nagrana rozmowa) lub elektronicznie (np. poprzez zaznaczenie checkboxa na stronie internetowej). Kluczowe jest, aby zgoda była jednoznaczna i aktywna — zgody domniemane, oparte na "milczącej akceptacji" lub z góry zaznaczonych polach, są nieważne i skutkują brakiem podstawy prawnej przetwarzania.
Naruszenie ochrony danych osobowych należy zgłosić Prezesowi Urzędu Ochrony Danych Osobowych nie później niż w ciągu 72 godzin od jego stwierdzenia. Termin ten liczy się od momentu, w którym administrator powziął informację o naruszeniu — nie od chwili, w której naruszenie nastąpiło. Jeśli zgłoszenie następuje po 72 godzinach, administrator ma obowiązek wyjaśnić przyczyny opóźnienia. Nie każde naruszenie wymaga zgłoszenia — obowiązek ten dotyczy wyłącznie przypadków, które mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych.
Nie. Wyznaczenie IOD jest obowiązkowe dla organów i podmiotów publicznych (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości), podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę danych wrażliwych lub danych dotyczących wyroków skazujących, oraz podmiotów, których główna działalność polega na systematycznym monitorowaniu osób na dużą skalę. Prywatna firma, która nie spełnia tych kryteriów, może — ale nie musi — wyznaczyć IOD. W praktyce wiele organizacji decyduje się na to dobrowolnie, traktując IOD jako inwestycję w bezpieczeństwo prawne.
Tak, pod warunkiem spełnienia określonych wymogów. Przechowywanie danych w chmurze obliczeniowej jest dopuszczalne, ale administrator musi zawrzeć z dostawcą chmury umowę powierzenia przetwarzania danych, zweryfikować lokalizację serwerów (transfer danych poza UE wymaga dodatkowych zabezpieczeń, takich jak standardowe klauzule umowne lub decyzja stwierdzająca odpowiedni stopień ochrony) oraz upewnić się, że dostawca wdraża odpowiednie środki bezpieczeństwa technicznego i organizacyjnego.
Szczególnej ochronie podlegają tzw. dane wrażliwe wymienione w art. 9 RODO: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej. Co do zasady przetwarzanie tych danych jest zabronione, chyba że zachodzi jeden z enumeratywnie wymienionych wyjątków, na przykład wyraźna zgoda osoby lub niezbędność wynikająca z przepisów prawa pracy.
To zależy od charakteru newslettera i relacji z odbiorcą. Marketing bezpośredni skierowany do klientów, którzy dokonali zakupu, może w określonych przypadkach opierać się na prawnie uzasadnionym interesie administratora — jednak wyłącznie w odniesieniu do własnych, podobnych produktów lub usług i pod warunkiem zapewnienia możliwości łatwego sprzeciwu. Marketing skierowany do osób, które nigdy nie były klientami, wymaga zgody. Ponadto w Polsce aspekty komunikacji elektronicznej reguluje również Prawo telekomunikacyjne oraz przepisy o świadczeniu usług drogą elektroniczną, które wymagają zgody na wysyłkę niezamówionej informacji handlowej drogą elektroniczną.
Brak odpowiedzi na żądanie osoby, której dane dotyczą, lub bezpodstawna odmowa realizacji prawa do usunięcia danych naraża administratora na karę administracyjną do 20 milionów euro lub 4% rocznego światowego obrotu. Ponadto osoba poszkodowana może dochodzić odszkodowania na drodze cywilnej, a brak współpracy z PUODO w tym zakresie jest traktowany jako okoliczność obciążająca przy ustalaniu wysokości sankcji.
Monitoring wizyjny stanowi przetwarzanie danych osobowych (wizerunek) i podlega pełnemu reżimowi RODO. Administrator musi mieć ważną podstawę prawną (najczęściej prawnie uzasadniony interes, jakim jest ochrona mienia), przeprowadzić ocenę, czy cel ten przeważa nad interesem osób monitorowanych, spełnić obowiązek informacyjny (tablice informacyjne), a także określić okres przechowywania nagrań — standardowo nie dłużej niż 3 miesiące, chyba że nagrania stanowią dowód w postępowaniu. W 2026 roku PUODO szczegółowo kontroluje zgodność monitoringu z zasadą minimalizacji danych — kamery nie mogą obejmować przestrzeni, gdzie monitoring nie jest proporcjonalny do celu, na przykład pomieszczeń socjaln

Czy ten artykuł był pomocny?

RODO co to — poradnik praktyczny 2026 | KluczeSoft | Centrum Pomocy KluczeSoft