Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Klauzula RODO 2025 — poradnik praktyczny 2026

RODO od 25 maja 2018 roku jest faktem prawniczym, z którym żyje każda firma przetwarzająca dane osobowe w Polsce. Po niemal ośmiu latach stosowania rozporządzen

16 min czytania·Zaktualizowano dzisiaj

RODO od 25 maja 2018 roku jest faktem prawniczym, z którym żyje każda firma przetwarzająca dane osobowe w Polsce. Po niemal ośmiu latach stosowania rozporządzenia 2016/679 praktyka Prezesa Urzędu Ochrony Danych Osobowych, orzecznictwo sądów administracyjnych i nowe wytyczne Europejskiej Rady Ochrony Danych (EROD) ukształtowały konkretny standard klauzuli informacyjnej RODO. Rok 2026 przynosi dalsze zaostrzenie egzekucji — łączna suma kar nałożonych w całym EOG przekroczyła już 6,29 miliarda euro (stan na czerwiec 2026, źródło: GDPR Enforcement Tracker), z czego polski PUODO regularnie sięga po sankcje od 14 tys. do ponad 3,8 mln zł za pojedyncze naruszenie. Jednocześnie w maju 2025 roku Rada UE i Parlament Europejski osiągnęły porozumienie w sprawie rozporządzenia proceduralnego GDPR, które od 2026 roku przyspiesza postępowania transgraniczne i wzmacnia prawa skarżących. W tym tekście rozkładamy klauzulę RODO na części pierwsze: od wymogów prawnych, przez wzór dla różnych scenariuszy, po odpowiedzialność i integrację z systemami IT — w tym Microsoft 365 skonfigurowanym zgodnie z wymogami ochrony danych.

Czym jest klauzula RODO i dlaczego nadal sprawia problemy w 2026 roku

Klauzula informacyjna RODO (zwana potocznie klauzulą RODO) to realizacja obowiązku informacyjnego wynikającego z artykułów 13 i 14 rozporządzenia 2016/679. Każdy administrator danych (ADO) musi przekazać osobie, której dane dotyczą, zestaw informacji — od tożsamości administratora, przez cel i podstawę prawną przetwarzania, aż po prawa jednostki i możliwość wniesienia skargi do PUODO. Obowiązek ten ma charakter bezwzględny — nie można go wyłączyć umownie, nie można go pominąć przy małej skali działalności, nie można go zastąpić odesłaniem do polityki prywatności na stronie www.

W 2026 roku główne źródła problemów z klauzulą RODO to:

  • Niedostosowanie treści do konkretnego procesu przetwarzania — kalka z internetu bez wskazania rzeczywistego celu, podstawy prawnej i okresu retencji.
  • Rozproszenie obowiązku informacyjnego — firma podaje dane w polityce prywatności, ale nie realizuje tzw. pierwszego poziomu informacyjnego (przy zbieraniu danych bezpośrednio od osoby).
  • Brak odrębnych klauzul dla różnych kategorii osób — kandydat do pracy, kontrahent B2B, użytkownik newslettera, uczestnik monitoringu wizyjnego — każdy wymaga osobnej klauzuli.
  • Ignorowanie artykułu 14 — pozyskanie danych nie bezpośrednio od osoby (np. z CEIDG, KRS, od agencji zatrudnienia) uruchamia odrębny, rozszerzony obowiązek informacyjny z terminem 30 dni.

PUODO od 2023 roku regularnie nakłada kary za brak współpracy i niewywiązywanie się z obowiązku informacyjnego — ostatnie decyzje opiewają na kwoty od 14 do 33 tys. zł za sam brak odpowiedzi na wezwanie organu.

Obowiązkowe elementy klauzuli RODO — lista kontrolna 2026

Prawidłowa klauzula informacyjna musi zawierać następujące elementy (art. 13 ust. 1 i 2 RODO). Poniżej tabela kontrolna, którą warto przejść przed każdym wdrożeniem:

Element klauzuliPodstawa prawnaUwagi praktyczne 2026
Tożsamość i dane kontaktowe ADOart. 13 ust. 1 lit. aPełna nazwa firmy, adres siedziby, e-mail, telefon
Dane kontaktowe Inspektora Ochrony Danych (IOD)art. 13 ust. 1 lit. bJeśli IOD został powołany — w 2026 obowiązek dotyczy m.in. podmiotów publicznych i firm, których główna działalność polega na monitorowaniu na dużą skalę
Cele i podstawa prawna przetwarzaniaart. 13 ust. 1 lit. cWskazać konkretny cel (np. „realizacja umowy sprzedaży nr X”) i odpowiadającą podstawę (art. 6 ust. 1 lit. b — niezbędność do wykonania umowy)
Prawnie uzasadniony interes ADOart. 13 ust. 1 lit. dWymagane tylko gdy podstawą jest art. 6 ust. 1 lit. f — trzeba nazwać konkretny interes (np. „dochodzenie roszczeń z umowy”)
Odbiorcy danych / kategorie odbiorcówart. 13 ust. 1 lit. eWskazać konkretnie: „dostawca usług hostingowych X Sp. z o.o.”, a nie ogólnikowo „podmioty przetwarzające”
Transfer do państwa trzeciegoart. 13 ust. 1 lit. fWymagane gdy dane opuszczają EOG — wskazać mechanizm legalizujący (TADPF dla USA, standardowe klauzule umowne SCCs z 2021 roku, decyzja adekwatnościowa)
Okres przechowywania danychart. 13 ust. 2 lit. aKonkretny okres albo kryteria jego ustalenia — np. „przez okres obowiązywania umowy oraz 6 lat po jej zakończeniu (przedawnienie roszczeń)”
Prawa osoby, której dane dotycząart. 13 ust. 2 lit. bDostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw — każde wymienione z osobna
Prawo do cofnięcia zgodyart. 13 ust. 2 lit. cTylko gdy podstawą jest zgoda (art. 6 ust. 1 lit. a) — informacja, że cofnięcie nie wpływa na zgodność wcześniejszego przetwarzania
Prawo do skargi do PUODOart. 13 ust. 2 lit. dAdres: ul. Stawki 2, 00-193 Warszawa
Czy podanie danych jest wymogiem ustawowym/umownymart. 13 ust. 2 lit. eWskazać konsekwencje niepodania danych (np. „brak możliwości zawarcia umowy”)
Zautomatyzowane podejmowanie decyzji / profilowanieart. 13 ust. 2 lit. fJeśli występuje — opisać logikę, znaczenie i przewidywane konsekwencje

Brak któregokolwiek z tych elementów stanowi naruszenie RODO zagrożone karą do 10 mln euro lub 2% rocznego światowego obrotu (art. 83 ust. 4). PUODO w postępowaniach z lat 2024–2026 szczególnie rygorystycznie podchodzi do braku wskazania konkretnego celu przetwarzania i okresu retencji.

Klauzula RODO krok po kroku — wzór i instrukcja wdrożenia

Poniżej przedstawiamy kompletny, zgodny z wytycznymi PUODO na 2026 rok, uniwersalny szkielet klauzuli dla najczęstszego scenariusza: zbieranie danych bezpośrednio od osoby fizycznej w celu wykonania umowy.

Krok 1 — Ustal podstawę prawną. To punkt wyjścia determinujący całą konstrukcję klauzuli. Najczęstsze podstawy w biznesie:

  • Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy (np. sprzedaż towaru, świadczenie usługi)
  • Art. 6 ust. 1 lit. c — obowiązek prawny (np. wystawienie Faktury VAT 23%, przechowywanie dokumentacji księgowej, raportowanie do KSeF)
  • Art. 6 ust. 1 lit. a — zgoda (np. newsletter, marketing własny, ciasteczka niemarketingowe)
  • Art. 6 ust. 1 lit. f — prawnie uzasadniony interes (np. monitoring wizyjny, dochodzenie roszczeń, marketing bezpośredni produktów własnych wobec klientów)

Krok 2 — Sporządź treść klauzuli. Przykładowy wzór dla sprzedaży B2C:

Klauzula informacyjna RODO

  1. Administratorem Pana/Pani danych osobowych jest [NAZWA FIRMY] z siedzibą w [ADRES], wpisana do CEIDG/KRS pod numerem [NUMER], NIP [NIP], e-mail: [EMAIL], telefon: [TELEFON].
  2. Administrator wyznaczył Inspektora Ochrony Danych — kontakt: [e-mail IOD]. (opcjonalnie — tylko jeśli IOD został powołany)
  3. Dane osobowe przetwarzane będą w celu realizacji umowy sprzedaży nr [NUMER] z dnia [DATA] na podstawie art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy) oraz w celu wypełnienia obowiązków prawnych ciążących na administratorze — wystawienia i przechowywania Faktury VAT oraz jej przekazania do Krajowego Systemu e-Faktur (KSeF) — na podstawie art. 6 ust. 1 lit. c RODO w związku z ustawą o VAT.
  4. Odbiorcami danych będą: dostawca systemu księgowego [NAZWA], dostawca hostingu [NAZWA], operator płatności [NAZWA].
  5. Dane nie będą przekazywane do państw trzecich ani organizacji międzynarodowych. (lub: Dane będą przekazywane do USA na podstawie TADPF — Data Privacy Framework — w związku z korzystaniem z usług Microsoft 365; Microsoft Corporation posiada certyfikację TADPF.)
  6. Dane przechowywane będą przez okres obowiązywania umowy oraz przez 6 lat od końca roku podatkowego, w którym umowa wygasła (okres przedawnienia roszczeń + obowiązek archiwizacji dokumentacji księgowej).
  7. Przysługuje Pani/Panu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu wobec przetwarzania.
  8. Przysługuje Pani/Panu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  9. Podanie danych jest dobrowolne, jednak niezbędne do zawarcia i wykonania umowy. Konsekwencją niepodania danych będzie brak możliwości realizacji zamówienia.
  10. Dane nie będą podlegać zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

Krok 3 — Wdróż klauzulę w odpowiednim momencie. Przy zbieraniu danych bezpośrednio od osoby (art. 13) klauzulę należy przekazać w chwili pozyskiwania danych. W sklepie internetowym oznacza to umieszczenie klauzuli:

  • Na formularzu rejestracji — jako checkbox z odnośnikiem do pełnej treści (tzw. pierwszy poziom informacyjny)
  • Na formularzu składania zamówienia — przed przyciskiem „Kupuję i płacę”
  • W stopce wiadomości e-mail do klienta

Przy danych pozyskanych nie bezpośrednio (art. 14 — np. dane kontrahenta z CEIDG) termin na przekazanie klauzuli wynosi 30 dni od pozyskania danych, a przy pierwszej komunikacji — najpóźniej w jej trakcie.

Klauzula RODO dla Microsoft 365 — praktyczne ustawienia zgodności

Firmy korzystające z Microsoft 365 Business Standard lub Premium przetwarzają dane osobowe w środowisku chmurowym, co wymaga szczególnego podejścia do klauzuli RODO. Microsoft Corporation z siedzibą w USA przetwarza dane jako podmiot przetwarzający (data processor), a od 2023 roku posiada certyfikację w ramach EU-US Data Privacy Framework (TADPF) — to aktualna podstawa legalizująca transfer danych do USA, uznana decyzją wykonawczą Komisji Europejskiej z 10 lipca 2023 roku.

W klauzuli informacyjnej dla użytkownika Microsoft 365 należy zatem ująć:

  • Wskazanie Microsoft Corporation oraz Microsoft Ireland Operations Ltd jako podmiotów przetwarzających
  • Podstawę przekazania danych do USA: TADPF (Trans-Atlantic Data Privacy Framework)
  • Informację o lokalizacji danych w regionie geograficznym UE (Microsoft 365 umożliwia wybór regionu przechowywania danych w centrach danych na terenie EOG)

Praktyczne ustawienia w panelu administracyjnym Microsoft 365 zwiększające zgodność z RODO:

  1. Data residency — w centrum administracyjnym (admin.microsoft.com) → Ustawienia → Ustawienia organizacji → Profil organizacji → Lokalizacja danych — wybierz region geograficzny „Europa”.
  2. Microsoft Purview Compliance Manager — narzędzie dostępne w ramach subskrypcji Business Premium, oferujące szablony oceny zgodności z RODO i automatyczne rekomendacje konfiguracji.
  3. eDiscovery i Content Search — skonfigurowane pod kątem realizacji praw osób, których dane dotyczą (dostęp do danych, usunięcie, przenoszenie).
  4. Azure Information Protection (Business Premium) — szyfrowanie dokumentów i e-maili zawierających dane osobowe, z możliwością ograniczenia dostępu poza domeną firmy.

Dla administratorów wdrażających Microsoft 365 w polskich MŚP kluczowa jest umowa powierzenia przetwarzania danych (DPA) z Microsoft — jest ona wbudowana w warunki licencyjne Online Services Terms i automatycznie obowiązuje od momentu aktywacji subskrypcji.

Najczęstsze błędy w klauzulach RODO — przegląd kar PUODO 2024–2026

Analiza decyzji PUODO z lat 2024–2026 oraz ogólnoeuropejskiego rejestru kar (ponad 3186 spraw według GDPR Enforcement Tracker) ujawnia powtarzające się przewinienia. Oto lista najdroższych błędów:

BłądPrzykładPotencjalna kara
Klauzula ogólnikowa — brak wskazania konkretnego celu„Dane przetwarzane są w celach marketingowych” zamiast „wysyłka newslettera o produktach X na podstawie zgody”Do 10 mln EUR / 2% obrotu
Brak rozróżnienia procesów — jedna klauzula dla wszystkiegoTa sama klauzula na formularzu kontaktowym, w CV i w umowie B2BDecyzja PUODO z 2023: 33 tys. zł za brak współpracy przy wyjaśnianiu
Pominięcie obowiązku z art. 14Firma kupuje bazę leadów, nie informuje osób przez 60 dniKara we Francji (CNIL): 180 tys. EUR (2024)
Nieprawidłowa podstawa prawnaPowołanie się na „prawnie uzasadniony interes” przy braku testu równowagiDecyzja PUODO z 2022: nakaz zmiany podstawy + upomnienie
Brak klauzuli przy monitoringu wizyjnymKamery na parkingu bez tabliczek informacyjnych z klauzuląDecyzja PUODO: do 20 mln EUR / 4% obrotu (wideorejestracja to dane biometryczne)
Ukrywanie odbiorców danych„Twoje dane mogą być przekazywane naszym partnerom” bez nazwNaruszenie zasady przejrzystości (art. 5 ust. 1 lit. a)
Brak aktualizacji klauzuli po zmianie odbiorcówFirma zmieniła dostawcę CRM — klauzula wisi niezmieniona od 2021Ryzyko przy kontroli PUODO

W 2026 roku szczególne ryzyko dotyczy firm korzystających z narzędzi AI — jeśli system automatycznie scoringuje klientów lub kandydatów, klauzula musi zawierać pełen opis logiki profilowania (art. 13 ust. 2 lit. f). Brak tego elementu przy profilowaniu to naruszenie z drugiego przedziału kar — do 20 mln EUR lub 4% obrotu.

Klauzula RODO a KSeF i e-Doręczenia — nowe obowiązki 2026

Rok 2026 w Polsce to rzeczywistość z obowiązkowym Krajowym Systemem e-Faktur (KSeF) oraz stopniowo wdrażanymi e-Doręczeniami. Oba systemy zmieniają krajobraz przetwarzania danych i wymagają aktualizacji klauzul informacyjnych.

KSeF — od 2026 roku każda faktura VAT podlega obowiązkowemu raportowaniu do centralnego rejestru Ministerstwa Finansów. Administrator przekazuje dane osobowe kontrahenta (nazwa, NIP, adres) do systemu KSeF jako odbiorcy danych w rozumieniu RODO. Klauzula powinna wskazywać:

  • Podstawę prawną: art. 6 ust. 1 lit. c RODO (obowiązek prawny) w związku z ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2024 poz. 596 z późn. zm.)
  • Odbiorcę: Minister Finansów / Szef Krajowej Administracji Skarbowej — jako administratora systemu KSeF
  • Okres przechowywania: zgodny z ustawą o VAT — 5 lat od końca roku podatkowego

e-Doręczenia — obowiązek posiadania skrzynki do doręczeń elektronicznych (ustawa z dnia 18 listopada 2020 r. o doręczeniach elektronicznych) obejmuje od 2025 roku przedsiębiorców wpisanych do KRS, a od 2026 roku — kolejne grupy podmiotów. Adres do doręczeń elektronicznych wpisany do bazy adresów elektronicznych (BAE) jest daną jawną, co nie zwalnia z obowiązku informacyjnego, ale modyfikuje jego zakres — dane z BAE pozyskiwane są w trybie art. 14 RODO (nie bezpośrednio od osoby).

Klauzula dla przetwarzania danych w związku z e-Doręczeniami powinna wskazywać podstawę z art. 6 ust. 1 lit. c oraz konkretny przepis ustawy o doręczeniach elektronicznych.

Koszt wdrożenia i utrzymania zgodności RODO w MŚP — realne liczby na 2026

Dla firmy oceniającej opłacalność inwestycji w compliance, poniżej rzeczywiste widełki kosztów w polskich warunkach:

SkładnikKoszt minimalny (mikrofirma 1-5 os.)Koszt średni (MŚP 20-50 os.)Uwagi
Audyt RODO + dokumentacja2 500 – 4 000 PLN netto8 000 – 18 000 PLN nettoJednorazowo; cena zależy od liczby procesów przetwarzania
IOD zewnętrzny (outsourcing)400 – 800 PLN netto/mies.1 200 – 2 500 PLN netto/mies.Abonament; obejmuje bieżące doradztwo i monitoring
Szkolenie pracowników z RODO300 – 600 PLN netto/os.200 – 400 PLN netto/os.Jednorazowo; ceny maleją przy grupach
System IT zgodny z RODO (Microsoft 365 Business Standard)~48,75 PLN netto/os./mies.~48,75 PLN netto/os./mies.Subskrypcja roczna — zawiera narzędzia do realizacji praw osób (eDiscovery, Content Search, szyfrowanie)
System IT zgodny z RODO (Microsoft 365 Business Premium)~85,80 PLN netto/os./mies.~85,80 PLN netto/os./mies.Dodatkowo: Azure AD P1, Defender for Business, Intune, Azure Information Protection Premium
Polisa cyber + OC za naruszenie RODO800 – 1 500 PLN netto/rok3 000 – 8 000 PLN netto/rokSuma gwarancyjna min. 200 000 PLN

Całkowity roczny koszt utrzymania zgodności RODO dla 10-osobowej firmy z Microsoft 365 Business Standard i zewnętrznym IOD to około 12 000 – 18 000 PLN netto rocznie. Dla porównania — kara PUODO za podstawowe naruszenia zaczyna się od 14 tys. zł. Ekonomia jest jednoznaczna: compliance kosztuje mniej niż jego brak.

Częste pytania

Czy w 2026 roku klauzula RODO musi zawierać informację o KSeF?

Tak, jeżeli administrator wystawia faktury VAT i przekazuje je do KSeF. Należy wskazać ten cel przetwarzania, podstawę prawną (art. 6 ust. 1 lit. c RODO w zw. z ustawą o VAT) oraz odbiorcę danych — Szefa KAS jako administratora systemu KSeF.

Jak długo przechowywać klauzule informacyjne?

Samą treść klauzuli należy archiwizować jako dowód realizacji obowiązku informacyjnego przez okres przedawnienia roszczeń (6 lat dla roszczeń majątkowych związanych z działalnością gospodarczą). W praktyce klauzula z datą i wersją przechowywana jest w rejestrze czynności przetwarzania (RCP) lub równoległej dokumentacji ochrony danych.

Czy mogę użyć jednej uniwersalnej klauzuli RODO na wszystkie procesy?

Nie. RODO wymaga odrębnego spełnienia obowiązku informacyjnego dla każdego celu przetwarzania. Jeśli dane jednej osoby przetwarzane są w trzech różnych celach (np. realizacja umowy, marketing, monitoring wizyjny), osoba ta musi otrzymać informacje o każdym z tych celów. Można je zebrać w jednym dokumencie, ale każdy cel musi być wyraźnie wyodrębniony z własną podstawą prawną i okresem retencji.

Co grozi za całkowity brak klauzuli RODO?

Brak realizacji obowiązku informacyjnego (art. 13 lub 14) stanowi naruszenie przepisów RODO zagrożone administracyjną karą pieniężną do 10 mln euro lub 2% rocznego światowego obrotu (art. 83 ust. 4 lit. a w zw. z art. 83 ust. 5). PUODO nakłada za to kary od kilkunastu do kilkudziesięciu tysięcy złotych przy pierwszym naruszeniu. Dodatkowo osoba, której danych dotyczą, może dochodzić odszkodowania na podstawie art. 82 RODO.

Czy klient B2B też musi otrzymać klauzulę RODO?

Tak, jeżeli kontrahent jest osobą fizyczną prowadzącą działalność gospodarczą (JDG). Dane przedsiębiorcy wpisane do CEIDG są danymi osobowymi. Jeśli dane pozyskano z CEIDG (nie bezpośrednio), obowiązuje art. 14 RODO — klauzulę należy przekazać w ciągu 30 dni od pozyskania. Wyjątek: art. 14 ust. 5 lit. a — gdy osoba już dysponuje tymi informacjami — ale PUODO interpretuje ten wyjątek wąsko; zaleca się zawsze przekazać klauzulę.

Jak poprawnie sformułować klauzulę dla danych przekazywanych do Microsoft 365?

Należy wskazać Microsoft Corporation oraz Microsoft Ireland Operations Ltd jako podmioty przetwarzające, podać podstawę transferu do USA (TADPF — certyfikacja Microsoft pod Data Privacy Framework) oraz poinformować, że dane przechowywane są w centrach danych na terenie EOG. Pełna treść DPA Microsoft dostępna jest w portalu Service Trust Portal.

Czy trzeba aktualizować klauzulę RODO co roku?

Klauzulę należy aktualizować zawsze, gdy zmienia się którykolwiek z jej obligatoryjnych elementów — zmiana odbiorcy danych, zmiana celu, nowy transfer do państwa trzeciego, zmiana okresu retencji. Nie ma obowiązku odświeżania „na wszelki wypadek”, ale w 2026 roku zaleca się przegląd klauzul przynajmniej raz w roku — choćby ze względu na ewoluujące wytyczne EROD i PUODO oraz nowe regulacje jak KSeF czy AI Act (rozporządzenie 2024/1689).

Czy formularz kontaktowy na stronie www wymaga checkboxa z klauzulą?

Tak — musi istnieć checkbox lub wyraźny komunikat z odnośnikiem do pełnej klauzuli (tzw. pierwszy poziom informacyjny) przed wysłaniem formularza. Samo umieszczenie linku do polityki prywatności w stopce strony nie wystarcza. Przy danych zbieranych przez formularz PUODO oczekuje, że użytkownik otrzyma minimum: tożsamość ADO, cel przetwarzania, podstawę prawną i informację o prawach — bezpośrednio przy formularzu.

Jakie dane kontaktowe IOD należy podać w klauzuli?

Minimum: adres e-mail IOD. Zalecane: imię i nazwisko, adres korespondencyjny (może być adres siedziby ADO). Numer telefonu IOD nie jest obowiązkowy, ale ułatwia kontakt. IOD musi być zgłoszony do PUODO — rejestr dostępny na stronie uodo.gov.pl.

Czy klauzula RODO różni się przy danych zbieranych offline i online?

Treść merytoryczna jest taka sama. Różni się forma przekazania: offline może to być wydruk przekazywany osobie, tabliczka informacyjna (monitoring) lub komunikat ustny (infolinia — przy rozmowie nagrywanej). Online wymagana jest forma elektroniczna — checkbox, pop-up, sekcja przed wysłaniem formularza. W obu przypadkach klauzula musi być zwięzła, przejrzysta, zrozumiała i łatwo dostępna (art. 12 ust. 1 RODO).

Rzetelna klauzula RODO to fundament zgodności, ale to dopiero początek. Równie istotne jest środowisko IT, w którym dane są faktycznie przetwarzane — od szyfrowania, przez kontrolę dostępu, po realizację praw osób, których dane dotyczą. Dla firm szukających pakietu biurowego z wbudowanymi narzędziami zgodności z RODO (Azure Information Protection, eDiscovery, zarządzanie zgodą, DLP w planie Premium) rozwiązaniem wartym rozważenia jest Microsoft 365 Business Standard — 48,75 PLN netto miesięcznie za użytkownika z pełną Fakturą VAT 23%, dostawą klucza w ciągu minut i polskojęzycznym wsparciem. Sprawdź ofertę Microsoft 365 dla firm w KluczeSoft.pl →

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak, jeżeli administrator wystawia faktury VAT i przekazuje je do KSeF. Należy wskazać ten cel przetwarzania, podstawę prawną (art. 6 ust. 1 lit. c RODO w zw. z ustawą o VAT) oraz odbiorcę danych — Szefa KAS jako administratora systemu KSeF.
Samą treść klauzuli należy archiwizować jako dowód realizacji obowiązku informacyjnego przez okres przedawnienia roszczeń (6 lat dla roszczeń majątkowych związanych z działalnością gospodarczą). W praktyce klauzula z datą i wersją przechowywana jest w rejestrze czynności przetwarzania (RCP) lub równoległej dokumentacji ochrony danych.
Nie. RODO wymaga odrębnego spełnienia obowiązku informacyjnego dla każdego **celu przetwarzania**. Jeśli dane jednej osoby przetwarzane są w trzech różnych celach (np. realizacja umowy, marketing, monitoring wizyjny), osoba ta musi otrzymać informacje o każdym z tych celów. Można je zebrać w jednym dokumencie, ale każdy cel musi być wyraźnie wyodrębniony z własną podstawą prawną i okresem retencji.
Brak realizacji obowiązku informacyjnego (art. 13 lub 14) stanowi naruszenie przepisów RODO zagrożone administracyjną karą pieniężną **do 10 mln euro lub 2% rocznego światowego obrotu** (art. 83 ust. 4 lit. a w zw. z art. 83 ust. 5). PUODO nakłada za to kary od kilkunastu do kilkudziesięciu tysięcy złotych przy pierwszym naruszeniu. Dodatkowo osoba, której danych dotyczą, może dochodzić odszkodowania na podstawie art. 82 RODO.
Tak, jeżeli kontrahent jest osobą fizyczną prowadzącą działalność gospodarczą (JDG). Dane przedsiębiorcy wpisane do CEIDG są danymi osobowymi. Jeśli dane pozyskano z CEIDG (nie bezpośrednio), obowiązuje art. 14 RODO — klauzulę należy przekazać w ciągu 30 dni od pozyskania. Wyjątek: art. 14 ust. 5 lit. a — gdy osoba już dysponuje tymi informacjami — ale PUODO interpretuje ten wyjątek wąsko; zaleca się zawsze przekazać klauzulę.
Należy wskazać Microsoft Corporation oraz Microsoft Ireland Operations Ltd jako podmioty przetwarzające, podać podstawę transferu do USA (TADPF — certyfikacja Microsoft pod Data Privacy Framework) oraz poinformować, że dane przechowywane są w centrach danych na terenie EOG. Pełna treść DPA Microsoft dostępna jest w portalu Service Trust Portal.
Klauzulę należy aktualizować zawsze, gdy zmienia się którykolwiek z jej obligatoryjnych elementów — zmiana odbiorcy danych, zmiana celu, nowy transfer do państwa trzeciego, zmiana okresu retencji. Nie ma obowiązku odświeżania „na wszelki wypadek”, ale w 2026 roku zaleca się przegląd klauzul przynajmniej raz w roku — choćby ze względu na ewoluujące wytyczne EROD i PUODO oraz nowe regulacje jak KSeF czy AI Act (rozporządzenie 2024/1689).
Tak — musi istnieć checkbox lub wyraźny komunikat z odnośnikiem do pełnej klauzuli (tzw. pierwszy poziom informacyjny) **przed** wysłaniem formularza. Samo umieszczenie linku do polityki prywatności w stopce strony nie wystarcza. Przy danych zbieranych przez formularz PUODO oczekuje, że użytkownik otrzyma minimum: tożsamość ADO, cel przetwarzania, podstawę prawną i informację o prawach — bezpośrednio przy formularzu.
Minimum: adres e-mail IOD. Zalecane: imię i nazwisko, adres korespondencyjny (może być adres siedziby ADO). Numer telefonu IOD nie jest obowiązkowy, ale ułatwia kontakt. IOD musi być zgłoszony do PUODO — rejestr dostępny na stronie uodo.gov.pl.
Treść merytoryczna jest taka sama. Różni się forma przekazania: offline może to być wydruk przekazywany osobie, tabliczka informacyjna (monitoring) lub komunikat ustny (infolinia — przy rozmowie nagrywanej). Online wymagana jest forma elektroniczna — checkbox, pop-up, sekcja przed wysłaniem formularza. W obu przypadkach klauzula musi być **zwięzła, przejrzysta, zrozumiała i łatwo dostępna** (art. 12 ust. 1 RODO). --- Rzetelna klauzula RODO to fundament zgodności, ale to dopiero początek. Równie istotne jest środowisko IT, w którym dane są faktycznie przetwarzane — od szyfrowania, przez kontrolę dostępu, po realizację praw osób, których dane dotyczą. Dla firm szukających pakietu biurowego z w

Czy ten artykuł był pomocny?