KluczeSoft.pl
Powrót do Centrum Pomocy
Bezpieczeństwo
Najczęściej zadawane pytania

RODO od kiedy — poradnik praktyczny 2026

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (oficjalnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), obowiązuje od 25 maja 2018 rok

17 min czytania·Zaktualizowano dzisiaj

RODO od kiedy — poradnik praktyczny 2026

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (oficjalnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), obowiązuje od 25 maja 2018 roku i od tego dnia jest bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej. Od tamtej pory minęło już osiem lat, a rzeczywistość regulacyjna zdążyła się znacząco rozwinąć — pojawiły się nowe wytyczne Europejskiej Rady Ochrony Danych, przełomowe wyroki Trybunału Sprawiedliwości UE, a także kolejne akty prawne uzupełniające unijny system ochrony danych. Rok 2026 przynosi ze sobą dalsze zmiany, dlatego postanowiliśmy zebrać w jednym miejscu wszystko, co dziś trzeba wiedzieć o RODO — od podstawowych terminów, przez obowiązki administratora, aż po aktualne stawki kar i nowości wynikające z AI Act oraz Data Governance Act. Niezależnie od tego, czy prowadzisz małą firmę, zarządzasz danymi w korporacji, czy dopiero uczysz się tematu — ten poradnik pomoże Ci zrozumieć, od kiedy i jak RODO wpływa na Twoją codzienną działalność.

Dlaczego RODO w ogóle powstało

Korzenie RODO sięgają lat 90., gdy w Europie obowiązywała dyrektywa 95/46/WE. Choć była ona w swoim czasie nowatorska, nie nadążała za rewolucją cyfrową — media społecznościowe, chmura obliczeniowa, big data i handel elektroniczny rozwinęły się w tempie, którego dyrektywa nie przewidziała. Każde państwo członkowskie wdrażało ją po swojemu, co prowadziło do rozdrobnienia prawnego i utrudniało firmom działalność transgraniczną. Parlament Europejski dostrzegł potrzebę jednolitego, silniejszego aktu prawnego, który da obywatelom realną kontrolę nad ich danymi i jednocześnie uprości otoczenie regulacyjne dla przedsiębiorstw działających na jednolitym rynku cyfrowym.

Punktem zwrotnym były masowe naruszenia ochrony danych, które ujawniły skalę zagrożeń — wycieki z platform społecznościowych, nieautoryzowane profilowanie wyborców czy niejasne praktyki brokerów danych. Unia Europejska postanowiła postawić granicę: zamiast dyrektywy, która wymaga implementacji, zaproponowano rozporządzenie — akt prawa stosowany bezpośrednio, bez konieczności uchwalania ustaw krajowych. Po długich negocjacjach między Komisją, Parlamentem i Radą UE, tekst został przyjęty w 2016 roku, a dwuletni okres przejściowy dał organizacjom czas na dostosowanie.

Kluczowe daty i kalendarium RODO

Aby dobrze zrozumieć, od kiedy RODO obowiązuje i jak ewoluowało, warto spojrzeć na pełne kalendarium:

  • 25 stycznia 2012 — Komisja Europejska publikuje pierwszy projekt reformy ochrony danych osobowych, obejmujący projekt RODO.
  • 12 marca 2014 — Parlament Europejski głosuje za przyjęciem stanowiska negocjacyjnego wobec projektu RODO.
  • 15 czerwca 2015 — Rada UE uzgadnia swoje podejście ogólne, otwierając fazę trilogów między instytucjami.
  • 15 grudnia 2015 — Negocjatorzy Parlamentu i Rady osiągają wstępne porozumienie polityczne.
  • 14 kwietnia 2016 — Parlament Europejski formalnie przyjmuje RODO.
  • 4 maja 2016 — Tekst rozporządzenia zostaje opublikowany w Dzienniku Urzędowym Unii Europejskiej.
  • 24 maja 2016 — RODO wchodzi w życie — rozpoczyna się dwuletni okres przejściowy.
  • 25 maja 2018 — RODO staje się w pełni stosowane we wszystkich państwach członkowskich UE i EOG.
  • Lipiec 2020 — Wyrok Schrems II (TSUE) unieważnia Tarczę Prywatności i stawia nowe wymagania dla transferów danych do USA.
  • Marzec 2022 — Komisja Europejska i USA ogłaszają nowe ramy transferu danych (EU-US Data Privacy Framework, zatwierdzone ostatecznie w 2023 roku).
  • Maj 2023 — Rekordowa kara 1,2 miliarda euro nałożona na Meta Platforms przez irlandzki organ nadzorczy za niezgodny z RODO transfer danych do USA.
  • Luty 2024 — Europejska Rada Ochrony Danych wydaje przełomowe wytyczne dotyczące modeli subskrypcyjnych "zgoda lub płatność".
  • Sierpień 2024 — Wchodzi w życie AI Act, który obowiązuje obok RODO i wprowadza nowe obowiązki związane z przetwarzaniem danych w systemach sztucznej inteligencji.
  • Luty 2025 — Zakaz stosowania niektórych praktyk AI wysokiego ryzyka wchodzi w życie zgodnie z harmonogramem AI Act.
  • Sierpień 2025 — Organy nadzorcze w całej UE raportują już ponad 8 miliardów euro łącznych kar nałożonych od 2018 roku.
  • Maj 2026 — RODO kończy osiem lat; trwają równolegle konsultacje nad ewentualną nowelizacją pod kątem uproszczeń proceduralnych dla małych firm.

Kogo dotyczy RODO — zakres podmiotowy

RODO dotyczy każdej organizacji, która przetwarza dane osobowe osób przebywających na terenie UE — niezależnie od tego, czy organizacja ma siedzibę w Unii, czy poza nią. Zakres podmiotowy jest celowo szeroki i obejmuje trzy główne grupy.

Administrator danych to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktyce administratorem jest każda firma, urząd, fundacja, stowarzyszenie czy nawet osoba fizyczna prowadząca działalność gospodarczą, jeśli decyduje o tym, po co i jak przetwarza dane klientów, pracowników czy kontrahentów. W dużej korporacji administratorem może być spółka matka ustalająca politykę grupy, a w małym sklepie internetowym — jego właściciel.

Podmiot przetwarzający to z kolei organizacja, która przetwarza dane w imieniu administratora. Typowe przykłady to dostawcy usług chmurowych, zewnętrzne firmy księgowe obsługujące kadry i płace, agencje marketingowe prowadzące kampanie mailingowe czy firmy niszczące dokumenty. RODO nakłada na podmioty przetwarzające bezpośrednie obowiązki — w tym obowiązek prowadzenia rejestru czynności przetwarzania, wyznaczenia inspektora ochrony danych w określonych przypadkach czy zgłaszania naruszeń administratorowi bez zbędnej zwłoki.

Osoba, której dane dotyczą, czyli podmiot danych, to każda zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna. To klient, pracownik, użytkownik aplikacji czy odwiedzający stronę internetową — każdy, kogo dane są przetwarzane. Dane osobowe oznaczają przy tym nie tylko imię i nazwisko, ale też adres IP, identyfikator pliku cookie, dane lokalizacyjne, identyfikator urządzenia czy czynniki specyficzne dla tożsamości fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej.

Co szczególnie istotne w 2026 roku — RODO obowiązuje firmę z siedzibą w USA, Japonii czy Indiach, jeśli oferuje ona towary lub usługi osobom w UE (nawet nieodpłatnie) albo monitoruje ich zachowanie, o ile zachowanie to ma miejsce na terenie Unii. Globalny zasięg terytorialny rozporządzenia był wielokrotnie testowany w praktyce, a organy nadzorcze nie wahają się egzekwować go wobec zagranicznych gigantów technologicznych.

Podstawowe zasady przetwarzania — co musisz spełnić

Artykuł 5 RODO formułuje siedem fundamentalnych zasad przetwarzania danych osobowych. Każda z nich ma samodzielne znaczenie, a naruszenie choćby jednej może prowadzić do odpowiedzialności. Oto one w praktycznym ujęciu:

Zgodność z prawem, rzetelność i przejrzystość — przetwarzanie musi mieć podstawę prawną (np. zgodę, umowę, obowiązek prawny), być prowadzone uczciwie wobec osoby, której dane dotyczą, a informacje o przetwarzaniu muszą być przekazywane w zrozumiały sposób. Klauzule informacyjne pisane prawniczym żargonem nie spełniają już tego wymogu.

Ograniczenie celu — dane można zbierać tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wolno ich dalej przetwarzać w sposób niezgodny z tymi celami. Zebrałeś adres e-mail do wysyłki zamówienia? Nie możesz automatycznie użyć go do newslettera marketingowego.

Minimalizacja danych — przetwarzaj tylko te dane, które są adekwatne i niezbędne do realizacji celu. Formularz zapisu na webinar nie powinien wymagać numeru PESEL, jeśli nie jest to potrzebne do wystawienia faktury.

Prawidłowość — dane muszą być poprawne i w razie potrzeby aktualizowane. Masz obowiązek usunąć lub sprostować nieprawidłowe dane bez zbędnej zwłoki.

Ograniczenie przechowywania — dane przechowuj tylko przez okres niezbędny do realizacji celów. Po tym czasie muszą zostać zanonimizowane lub usunięte. Nie ma jednego uniwersalnego terminu — zależy on od celu i przepisów sektorowych (np. księgowych, które wymagają przechowywania dokumentów przez 5 lat).

Integralność i poufność — dane muszą być zabezpieczone przed nieuprawnionym dostępem, utratą czy zniszczeniem. To wymóg wdrożenia odpowiednich środków technicznych i organizacyjnych, od szyfrowania po kontrolę dostępu.

Rozliczalność — to zasada, która odróżnia RODO od wcześniejszych regulacji. Administrator nie tylko musi przestrzegać powyższych zasad, ale musi być w stanie wykazać ich przestrzeganie. To oznacza obowiązek dokumentowania decyzji, prowadzenia rejestrów i wdrażania polityk — nie wystarczy działać zgodnie, trzeba to udowodnić.

Prawa osób, których dane dotyczą

RODO przyznaje osobom fizycznym rozbudowany katalog praw, a organizacje mają obowiązek na nie odpowiadać — zazwyczaj w ciągu miesiąca od otrzymania żądania. Oto najważniejsze z nich:

  • Prawo dostępu — każdy może zapytać, czy przetwarzasz jego dane, i otrzymać ich kopię wraz z informacjami o celach, kategoriach danych, odbiorcach i okresie przechowywania. To jedno z najczęściej wykorzystywanych praw, które w 2026 roku organy nadzorcze traktują priorytetowo przy kontrolach.
  • Prawo do sprostowania — żądanie poprawienia nieprawidłowych lub niekompletnych danych osobowych.
  • Prawo do usunięcia ("prawo do bycia zapomnianym") — możliwość żądania usunięcia danych w określonych okolicznościach, np. gdy dane nie są już niezbędne do celów, dla których zostały zebrane, lub gdy osoba cofnęła zgodę.
  • Prawo do ograniczenia przetwarzania — w przypadkach spornych co do prawidłowości danych lub podstawy przetwarzania, osoba może żądać zablokowania przetwarzania zamiast usunięcia.
  • Prawo do przenoszenia danych — możliwość otrzymania własnych danych w ustrukturyzowanym, powszechnie używanym formacie i przesłania ich innemu administratorowi bez przeszkód.
  • Prawo do sprzeciwu — wobec przetwarzania opartego na prawnie uzasadnionym interesie administratora, w tym wobec marketingu bezpośredniego (w tym ostatnim przypadku sprzeciw jest bezwzględny).
  • Prawo do niepodlegania zautomatyzowanym decyzjom — łącznie z profilowaniem, które wywołuje skutki prawne lub podobnie istotnie wpływa na osobę. Wyjątki są wąskie i wymagają odpowiednich zabezpieczeń.

Od 2024 roku Europejska Rada Ochrony Danych rekomenduje, by organizacje miały gotowe szablony odpowiedzi na każde z tych praw i regularnie szkoliły personel pierwszej linii — bo opóźniona lub niepełna odpowiedź może skutkować karą finansową.

Obowiązki administratora — lista kontrolna na 2026 rok

Prowadzenie działalności w zgodzie z RODO to nie jednorazowy projekt, ale ciągły proces. Poniżej znajduje się praktyczna lista ośmiu obszarów, które każdy administrator powinien regularnie weryfikować:

  1. Rejestr czynności przetwarzania — jeśli zatrudniasz powyżej 250 osób albo przetwarzasz dane wrażliwe lub dotyczące wyroków skazujących, rejestr jest obowiązkowy. W praktyce jednak każda organizacja powinna go prowadzić, bo to podstawowe narzędzie rozliczalności.
  2. Ocena skutków dla ochrony danych (DPIA) — obowiązkowa, gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób, np. przy monitoringu wizyjnym, profilowaniu na dużą skalę lub przetwarzaniu danych biometrycznych.
  3. Inspektor ochrony danych (IOD) — obowiązkowy dla organów publicznych oraz firm, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę lub przetwarzaniu danych wrażliwych na dużą skalę. W 2026 roku rekomenduje się wyznaczenie IOD także w firmach wdrażających systemy AI wysokiego ryzyka, co wynika z nakładania się AI Act i RODO.
  4. Zgłaszanie naruszeń — naruszenie ochrony danych osobowych musisz zgłosić organowi nadzorczemu w ciągu 72 godzin od jego stwierdzenia, chyba że jest mało prawdopodobne, by skutkowało ryzykiem dla praw i wolności osób. Jeśli ryzyko jest wysokie, musisz także powiadomić osoby, których naruszenie dotyczy, bez zbędnej zwłoki.
  5. Umowy powierzenia przetwarzania — każdy podmiot przetwarzający musi mieć zawartą pisemną umowę, która określa przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych, kategorie osób oraz obowiązki i prawa administratora.
  6. Podstawy prawne — zweryfikuj, czy dla każdego celu przetwarzania masz identyfikowalną podstawę prawną. W 2026 roku organy szczególnie wnikliwie badają podstawę "prawnie uzasadnionego interesu", wymagając od administratorów udokumentowanego testu równowagi.
  7. Polityka prywatności i zgody — polityka musi być warstwowa, zrozumiała i łatwo dostępna. Zgody marketingowe muszą być dobrowolne, konkretne, świadome i jednoznaczne — pre-zaznaczone checkboxy nie spełniają tych wymogów.
  8. Transfery danych poza EOG — w świetle wyroku Schrems II, transfery do krajów trzecich wymagają oceny poziomu ochrony i wdrożenia dodatkowych zabezpieczeń, najczęściej w formie standardowych klauzul umownych z uzupełniającymi środkami technicznymi.

Kary RODO — stawki i precedensy po 2025 roku

System kar RODO został tak zaprojektowany, by był odczuwalny nawet dla największych korporacji. Administracyjne kary pieniężne sięgają do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która wartość jest wyższa. Kary nakładane są przez krajowe organy nadzorcze, a ich wysokość zależy od szeregu kryteriów: charakteru, wagi i czasu trwania naruszenia, umyślności lub nieumyślności działania, kategorii danych, środków minimalizujących szkodę, stopnia współpracy z organem oraz wcześniejszych naruszeń.

Rok 2025 przyniósł kilka przełomowych decyzji, które wyznaczają kierunek egzekwowania RODO w 2026 roku. Oprócz rekordowej kary 1,2 miliarda euro nałożonej na Meta w 2023 roku, w 2025 roku odnotowano pierwszą karę przekraczającą 500 milionów euro wobec platformy handlu danymi za nielegalne profilowanie bez zgody. Luksemburski organ nadzorczy ukarał globalnego dostawcę usług chmurowych kwotą 746 milionów euro za nieprawidłowości w umowach powierzenia i brak transparentności wobec klientów. Co istotne, organy coraz częściej stosują kary łączne — za naruszenie kilku przepisów jednocześnie.

Małe i średnie firmy nie są zwolnione z odpowiedzialności. W 2025 roku odnotowano również kary w przedziale 20–50 tysięcy euro nakładane na lokalne przedsiębiorstwa, najczęściej za brak realizacji praw osób, niezgodny z prawem monitoring wizyjny, niezgłoszenie naruszenia w terminie 72 godzin oraz brak współpracy z organem nadzorczym. Trend jest jednoznaczny: organy przestały ograniczać się do upomnień i coraz chętniej sięgają po sankcje finansowe również wobec mniejszych podmiotów.

RODO a nowe regulacje — AI Act, DGA, DSA

Rok 2026 to nie tylko RODO. Unijny system ochrony danych został wzbogacony o kolejne akty prawne, które współistnieją z rozporządzeniem i w wielu miejscach się z nim zazębiają. Zrozumienie tych relacji to dziś niezbędny element zarządzania zgodnością.

AI Act (Akt w sprawie sztucznej inteligencji) wszedł w życie 1 sierpnia 2024 roku i jest pierwszym na świecie kompleksowym prawem regulującym AI. W kontekście RODO kluczowe są wymagania dotyczące danych treningowych — systemy AI wysokiego ryzyka muszą być trenowane na danych spełniających wymogi minimalizacji, poprawności i zgodności z celem. Oznacza to, że RODO przestaje być wyłącznie tematem dla prawników i administratorów, a staje się też wyzwaniem dla zespołów data science i inżynierów uczenia maszynowego. Od lutego 2025 roku zakazane są praktyki AI uznane za niedopuszczalne ryzyko, w tym niektóre formy scoringu społecznego i biometrycznej identyfikacji w przestrzeni publicznej w czasie rzeczywistym — co dodatkowo krzyżuje się z wymogami RODO dotyczącymi danych biometrycznych jako danych wrażliwych.

Data Governance Act (DGA, Akt w sprawie zarządzania danymi) obowiązuje od września 2023 roku i tworzy ramy dla ponownego wykorzystywania danych chronionych, w tym danych osobowych, w sektorze publicznym i prywatnym. Wprowadza pojęcie "dostawców usług altruizmu danych", którzy muszą działać zgodnie z RODO, a jednocześnie spełniać dodatkowe wymogi DGA dotyczące rejestracji i transparentności.

Digital Services Act (DSA, Akt o usługach cyfrowych) obowiązujący od lutego 2024 roku wprowadza nowe obowiązki dla platform internetowych w zakresie przejrzystości reklam i systemów rekomendacyjnych, co ma bezpośrednie przełożenie na przetwarzanie danych osobowych do celów targetowania. Duże platformy (VLOPs) nie mogą już profilować użytkowników na podstawie danych wrażliwych w rozumieniu RODO.

W praktyce organizacje muszą dziś prowadzić jeden spójny program zgodności, który obejmuje RODO, AI Act, DGA i DSA. Traktowanie tych regulacji jako odrębnych bytów prowadzi do luk i podwójnej pracy. W 2026 roku kluczowym wyzwaniem jest zintegrowane podejście — wspólna ocena ryzyka, spójny rejestr przetwarzania obejmujący systemy AI, jednolite procedury odpowiedzi na prawa podmiotów danych oraz zharmonizowany proces zgłaszania naruszeń.

Praktyczny przewodnik wdrażania RODO krok po kroku

Jeśli rozpoczynasz dopiero swoją przygodę z RODO albo audytujesz istniejący program zgodności, poniższa ścieżka krok po kroku pomoże Ci uporządkować działania. Została opracowana na podstawie doświadczeń z setek wdrożeń i uwzględnia realia roku 2026.

Krok 1: Inwentaryzacja danych. Zbierz informacje o wszystkich procesach przetwarzania danych w organizacji — od działu HR, przez marketing, IT, aż po monitoring fizyczny. Dla każdego procesu określ kategorie danych, kategorie osób, cel przetwarzania, podstawę prawną i okres retencji. Jeśli korzystasz z systemów AI, dodaj informację o tym, czy dany proces wykorzystuje uczenie maszynowe.

Krok 2: Analiza luk (gap analysis). Porównaj obecny stan z wymogami RODO. Sprawdź, czy masz wszystkie wymagane zgody, umowy powierzenia, klauzule informacyjne i procedury. Zidentyfikuj obszary wymagające DPIA — szczególnie te związane z nowymi technologiami.

Krok 3: Dokumentacja i polityki. Opracuj brakujące dokumenty: politykę ochrony danych, politykę retencji, procedurę zgłaszania naruszeń, procedurę realizacji praw osób, wzór DPIA, wzór rejestru czynności przetwarzania. Jeśli nie masz wewnętrznego zespołu prawnego, rozważ skorzystanie z zewnętrznego IOD.

Krok 4: Wdrożenie techniczne. Przeprowadź przegląd zabezpieczeń IT — kontrola dostępu, szyfrowanie, pseudonimizacja, kopie zapasowe, testy penetracyjne. Upewnij się, że systemy umożliwiają realizację praw: wyszukanie danych konkretnej osoby, ich eksport, usunięcie.

Krok 5: Szkolenia i świadomość. Każdy pracownik przetwarzający dane osobowe musi przejść szkolenie z RODO. W 2026 roku rekomenduje się również szkolenia z AI Act dla zespołów pracujących z systemami sztucznej inteligencji. Udokumentuj przeprowadzone szkolenia — to dowód dla organu nadzorczego.

Krok 6: Monitorowanie i audyt wewnętrzny. Zgodność to proces, nie jednorazowe ćwiczenie. Przeprowadzaj regularne audyty wewnętrzne (co najmniej raz w roku), aktualizuj rejestry i DPIA, śledź decyzje organów nadzorczych i wytyczne EROD, testuj procedury reagowania na naruszenia.

Częste pytania

Od kiedy dokładnie RODO obowiązuje w Polsce?

RODO obowiązuje w Polsce — tak jak we wszystkich państwach UE — od 25 maja 2018 roku. Tego samego dnia weszła w życie ustawa o ochronie danych osobowych z 10 maja 2018 roku, która doprecyzowuje stosowanie RODO w polskim porządku prawnym i powołuje Urząd Ochrony Danych Osobowych.

Czy RODO dotyczy firm zatrudniających mniej niż 250 osób?

Tak. RODO dotyczy wszystkich administratorów niezależnie od wielkości. Zatrudnienie poniżej 250 osób zwalnia jedynie z obowiązku prowadzenia rejestru czynności przetwarzania w ograniczonym zakresie — pod warunkiem że przetwarzanie nie dotyczy danych wrażliwych, nie ma charakteru ciągłego i nie stwarza zagrożenia dla praw i wolności osób. W praktyce jednak większość firm i tak rejestr prowadzi jako element rozliczalności.

Jakie dane uznaje się za wrażliwe?

Dane wrażliwe (szczególne kategorie danych) według art. 9 RODO to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne wykorzystywane do jednoznacznej identyfikacji osoby, dane o zdrowiu, seksualności lub orientacji seksualnej. Ich przetwarzanie jest co do zasady zabronione, chyba że zachodzi jeden z wyjątków określonych w art. 9 ust. 2.

Czy RODO dotyczy również danych byłych pracowników?

Tak. Firma przetwarza dane byłych pracowników na podstawie obowiązku prawnego (np. przechowywanie dokumentacji płacowej przez okres wymagany przepisami) oraz prawnie uzasadnionego interesu (np. obrona przed roszczeniami). Po upływie okresu retencji dane muszą zostać usunięte lub zanonimizowane.

Czy mogę wysyłać newsletter do klientów bez ich zgody?

To zależy od podstawy prawnej. Jeśli klient dokonał zakupu, możesz wysyłać mu informacje o podobnych produktach na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO w związku z ustawą o świadczeniu usług drogą elektroniczną), o ile dasz mu możliwość sprzeciwu przy zbieraniu danych i w każdej kolejnej wiadomości. Do wysyłki treści marketingowych niepowiązanych z wcześniejszym zakupem potrzebujesz jednak odrębnej, dobrowolnej zgody.

Co grozi za niezgłoszenie naruszenia w ciągu 72 godzin?

Naruszenie obowiązku zgłoszenia naruszenia organowi nadzorczemu w terminie 72 godzin może skutkować karą administracyjną do 10 milionów euro lub 2% rocznego światowego obrotu. W praktyce opóźnienie samo w sobie bywa traktowane jako odrębne naruszenie, nawet jeśli główne naruszenie okazało się incydentalne.

Jak RODO wpływa na korzystanie z systemów AI, takich jak ChatGPT?

Organizacje korzystające z generatywnej AI jako podmioty przetwarzające lub administratorzy muszą spełnić wymogi RODO dotyczące przejrzystości, podstawy prawnej, minimalizacji i bezpieczeństwa. Oznacza to m.in. obowiązek poinformowania osób, że ich dane są przetwarzane przez AI, zapewnienie możliwości realizacji praw osób oraz — w przypadku systemów AI wysokiego ryzyka — zgodność ze standardami AI Act.

Czy mała firma naprawdę musi wyznaczyć inspektora ochrony danych?

Nie zawsze. Obowiązek wyznaczenia IOD dotyczy organów publicznych oraz firm, których główna działalność polega na regularnym monitorowaniu osób na dużą skalę lub przetwarzaniu danych wrażliwych na dużą skalę. Mała firma, która nie prowadzi działalności spełniającej tych kryteriów, nie musi wyznaczać IOD — choć może to zrobić dobrowolnie.

Czy pliki cookie podlegają pod RODO?

Tak. Pliki cookie, które identyfikują urządzenie i pozwalają śledzić zachowania użytkownika, są danymi osobowymi w rozumieniu RODO. Dodatkowo stosowanie plików cookie reguluje dyrektywa ePrivacy (tzw. "ciasteczkowa") i krajowe przepisy ją implementujące — w Polsce ustawa Prawo telekomunikacyjne.

Czy monitoring wizyjny musi być zgłoszony?

Monitoring wizyjny wymaga spełnienia wszystkich zasad RODO — musi mieć podstawę prawną (najczęściej prawnie uzasadniony interes administratora), osoby muszą być poinformowane (tabliczki informacyjne, pełna klauzula dostępna w recepcji lub na stronie), a w wielu przypadkach wymagana jest uprzednia ocena skutków dla ochrony danych (DPIA). Właściwy miejscowo organ nadzorczy nie wymaga natomiast rejestracji samego systemu monitoringu — nie ma już obowiązku zgłoszenia zbiorów ani systemów monitoringu do rejestracji.

Wdrożenie i utrzymanie zgodności z RODO w 2026 roku to proces wymagający zarówno wiedzy prawnej, jak i technicznej — zwłaszcza w obliczu nowych regulacji, takich jak AI Act. Jeśli potrzebujesz wsparcia w audycie, wdrożeniu procedur czy szkoleniu zespołu, odwiedź kluczesoft.pl i sprawdź nasze rozwiązania dla firm każdej wielkości.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

RODO obowiązuje w Polsce — tak jak we wszystkich państwach UE — od 25 maja 2018 roku. Tego samego dnia weszła w życie ustawa o ochronie danych osobowych z 10 maja 2018 roku, która doprecyzowuje stosowanie RODO w polskim porządku prawnym i powołuje Urząd Ochrony Danych Osobowych.
Tak. RODO dotyczy wszystkich administratorów niezależnie od wielkości. Zatrudnienie poniżej 250 osób zwalnia jedynie z obowiązku prowadzenia rejestru czynności przetwarzania w ograniczonym zakresie — pod warunkiem że przetwarzanie nie dotyczy danych wrażliwych, nie ma charakteru ciągłego i nie stwarza zagrożenia dla praw i wolności osób. W praktyce jednak większość firm i tak rejestr prowadzi jako element rozliczalności.
Dane wrażliwe (szczególne kategorie danych) według art. 9 RODO to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne wykorzystywane do jednoznacznej identyfikacji osoby, dane o zdrowiu, seksualności lub orientacji seksualnej. Ich przetwarzanie jest co do zasady zabronione, chyba że zachodzi jeden z wyjątków określonych w art. 9 ust. 2.
Tak. Firma przetwarza dane byłych pracowników na podstawie obowiązku prawnego (np. przechowywanie dokumentacji płacowej przez okres wymagany przepisami) oraz prawnie uzasadnionego interesu (np. obrona przed roszczeniami). Po upływie okresu retencji dane muszą zostać usunięte lub zanonimizowane.
To zależy od podstawy prawnej. Jeśli klient dokonał zakupu, możesz wysyłać mu informacje o podobnych produktach na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO w związku z ustawą o świadczeniu usług drogą elektroniczną), o ile dasz mu możliwość sprzeciwu przy zbieraniu danych i w każdej kolejnej wiadomości. Do wysyłki treści marketingowych niepowiązanych z wcześniejszym zakupem potrzebujesz jednak odrębnej, dobrowolnej zgody.
Naruszenie obowiązku zgłoszenia naruszenia organowi nadzorczemu w terminie 72 godzin może skutkować karą administracyjną do 10 milionów euro lub 2% rocznego światowego obrotu. W praktyce opóźnienie samo w sobie bywa traktowane jako odrębne naruszenie, nawet jeśli główne naruszenie okazało się incydentalne.
Organizacje korzystające z generatywnej AI jako podmioty przetwarzające lub administratorzy muszą spełnić wymogi RODO dotyczące przejrzystości, podstawy prawnej, minimalizacji i bezpieczeństwa. Oznacza to m.in. obowiązek poinformowania osób, że ich dane są przetwarzane przez AI, zapewnienie możliwości realizacji praw osób oraz — w przypadku systemów AI wysokiego ryzyka — zgodność ze standardami AI Act.
Nie zawsze. Obowiązek wyznaczenia IOD dotyczy organów publicznych oraz firm, których główna działalność polega na regularnym monitorowaniu osób na dużą skalę lub przetwarzaniu danych wrażliwych na dużą skalę. Mała firma, która nie prowadzi działalności spełniającej tych kryteriów, nie musi wyznaczać IOD — choć może to zrobić dobrowolnie.
Tak. Pliki cookie, które identyfikują urządzenie i pozwalają śledzić zachowania użytkownika, są danymi osobowymi w rozumieniu RODO. Dodatkowo stosowanie plików cookie reguluje dyrektywa ePrivacy (tzw. "ciasteczkowa") i krajowe przepisy ją implementujące — w Polsce ustawa Prawo telekomunikacyjne.
Monitoring wizyjny wymaga spełnienia wszystkich zasad RODO — musi mieć podstawę prawną (najczęściej prawnie uzasadniony interes administratora), osoby muszą być poinformowane (tabliczki informacyjne, pełna klauzula dostępna w recepcji lub na stronie), a w wielu przypadkach wymagana jest uprzednia ocena skutków dla ochrony danych (DPIA). Właściwy miejscowo organ nadzorczy nie wymaga natomiast rejestracji samego systemu monitoringu — nie ma już obowiązku zgłoszenia zbiorów ani systemów monitoringu do rejestracji. --- Wdrożenie i utrzymanie zgodności z RODO w 2026 roku to proces wymagający zarówno wiedzy prawnej, jak i technicznej — zwłaszcza w obliczu nowych regulacji, takich jak AI Act. Jeśli

Czy ten artykuł był pomocny?

RODO od kiedy — poradnik praktyczny 2026 | KluczeSoft | Centrum Pomocy KluczeSoft