Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Przepisy RODO — poradnik praktyczny 2026

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem

17 min czytania·Zaktualizowano dzisiaj

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, obowiązuje w Polsce i całej Unii Europejskiej od 25 maja 2018 roku. W 2026 roku, po ośmiu latach funkcjonowania, prawo to jest już dojrzałe — orzecznictwo sądów administracyjnych i decyzje Prezesa Urzędu Ochrony Danych Osobowych (PUODO) doprecyzowały dziesiątki niejasnych do tej pory przepisów. Mimo to wielu przedsiębiorców wciąż ma podstawowe wątpliwości: kogo obowiązuje RODO w 2026 roku, jakie kary grożą za nieprzestrzeganie przepisów, jak poprawnie prowadzić rejestr czynności przetwarzania i czy można przechowywać kopię dowodu osobistego klienta. Ten poradnik odpowiada na pytania praktyczne — bez prawniczego żargonu — koncentrując się na realnych obowiązkach polskich firm w 2026 roku. Niezależnie czy prowadzisz jednoosobową działalność gospodarczą, sklep internetowy, czy średnie przedsiębiorstwo przetwarzające dane pracowników — znajdziesz tu konkretne wskazówki dotyczące zgodności z RODO oraz informację, jak legalne oprogramowanie biurowe może pomóc w spełnieniu wymogów bezpieczeństwa danych.

Kogo obowiązuje RODO w 2026 roku — zakres podmiotowy i wyjątki

RODO obowiązuje każdą organizację, która przetwarza dane osobowe na terytorium Unii Europejskiej — niezależnie od wielkości, formy prawnej czy sektora. Dotyczy to zarówno spółek z ograniczoną odpowiedzialnością, jak i jednoosobowych działalności gospodarczych, fundacji, stowarzyszeń, a także organów administracji publicznej. Kluczowe jest samo przetwarzanie danych osobowych — czyli jakakolwiek operacja na danych: zbieranie, przechowywanie, przeglądanie, modyfikowanie, usuwanie czy archiwizowanie. Jeśli prowadzisz firmę, która ma klientów, pracowników lub kontrahentów — RODO Cię obowiązuje.

W 2026 roku szczególną uwagę należy zwrócić na dwie grupy podmiotów, które często błędnie uznają się za wyłączone spod RODO. Pierwsza to mikroprzedsiębiorcy prowadzący działalność nierejestrowaną — oni również podlegają przepisom, choć w ograniczonym zakresie (nie muszą prowadzić pełnego rejestru czynności przetwarzania, jeśli przetwarzanie nie rodzi ryzyka naruszenia praw). Druga grupa to organizacje przetwarzające dane wyłącznie w celach osobistych lub domowych — na przykład prywatna książka adresowa czy rodzinna lista mailingowa na święta. Ten wyjątek (tzw. gospodarstwo domowe) NIE obejmuje jednak sytuacji, gdy ta sama osoba prowadzi działalność gospodarczą i wykorzystuje dane kontaktowe klientów — wtedy RODO ma pełne zastosowanie.

W praktyce dla polskiej firmy w 2026 roku obowiązek dostosowania do RODO sprowadza się do odpowiedzi na trzy pytania: Czy zbieram dane osobowe (imię, nazwisko, e-mail, telefon, PESEL, NIP, adres IP, wizerunek z monitoringu)? Czy te dane służą mojej działalności zawodowej lub gospodarczej? Czy przetwarzam je w sposób zautomatyzowany (system CRM, sklep internetowy, arkusz Excel w chmurze)? Jeśli na wszystkie trzy pytania odpowiedź brzmi „tak” — konieczna jest zgodność z RODO.

Najważniejsze obowiązki administratora danych w polskiej firmie

Administrator danych (ADO) to podmiot, który samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych. W polskiej firmie ADO jest najczęściej sam przedsiębiorca, zarząd spółki lub kierownik jednostki. W 2026 roku podstawowe obowiązki ADO obejmują:

Obowiązek informacyjny — czyli przekazanie osobie, której dane dotyczą, jasnej informacji o tym, kto przetwarza jej dane, w jakim celu, na jakiej podstawie prawnej, przez jaki okres i komu dane mogą zostać przekazane. Realizuje się to poprzez klauzulę informacyjną RODO — najczęściej na stronie internetowej, w formularzu kontaktowym, umowie czy regulaminie sklepu. W 2026 roku PUODO oczekuje, aby klauzule były pisane prostym językiem, a nie przepisane z rozporządzenia.

Podstawa prawna przetwarzania — każda operacja na danych musi mieć jasno określoną podstawę. Najczęściej stosowane w firmach: zgoda (np. marketing e-mail), wykonanie umowy (np. realizacja zamówienia w e-sklepie), obowiązek prawny (np. przechowywanie faktur dla celów podatkowych), prawnie uzasadniony interes administratora (np. monitoring wizyjny na terenie firmy dla ochrony mienia). W 2026 roku PUODO szczegółowo analizuje właśnie „prawnie uzasadniony interes” — nie może to być blankietowa podstawa bez realnego uzsadnienia.

Rejestr czynności przetwarzania — firmy zatrudniające 250 i więcej pracowników muszą prowadzić pełen rejestr. Mniejsze firmy są zwolnione z tego obowiązku, chyba że przetwarzanie danych może powodować ryzyko naruszenia praw lub wolności osób (np. dane medyczne, monitoring na dużą skalę, profilowanie klientów), lub przetwarzanie nie ma charakteru sporadycznego. W praktyce niemal każda firma z systemem CRM, sklepem internetowym czy monitoringiem powinna prowadzić rejestr.

Bezpieczeństwo danych — ADO musi wdrożyć odpowiednie środki techniczne i organizacyjne: szyfrowanie danych w spoczynku i podczas transmisji, kontrolę dostępu, politykę haseł, regularne aktualizacje oprogramowania, kopie zapasowe. Microsoft 365 Business Standard zapewnia wbudowane narzędzia bezpieczeństwa, takie jak szyfrowanie OneDrive, filtrowanie spamu i malware Exchange Online Protection oraz podstawowe zarządzanie urządzeniami przez Microsoft Intune — co bezpośrednio przekłada się na spełnienie wymogów RODO w zakresie zabezpieczeń technicznych.

Zgłaszanie naruszeń — w przypadku wycieku danych ADO ma 72 godziny na zgłoszenie incydentu do PUODO. W 2026 roku ten obowiązek jest rygorystycznie egzekwowany — brak zgłoszenia w terminie traktowany jest jako osobne naruszenie i skutkuje dodatkową karą.

Inspektor Ochrony Danych (IOD) — kiedy jest obowiązkowy i ile kosztuje w 2026?

Inspektor Ochrony Danych (IOD, ang. DPO — Data Protection Officer) to osoba odpowiedzialna za nadzorowanie zgodności organizacji z RODO. Powołanie IOD jest obowiązkowe w trzech przypadkach: gdy dane przetwarza organ lub podmiot publiczny (urzędy, szkoły, szpitale), gdy główna działalność polega na monitorowaniu osób na dużą skalę (firmy ochroniarskie, monitoring miejski), lub gdy przetwarzane są na dużą skalę szczególne kategorie danych (dane medyczne, genetyczne, biometryczne, dotyczące wyroków skazujących).

Dla typowej polskiej firmy — sklepu internetowego, biura rachunkowego, agencji marketingowej czy firmy budowlanej — powołanie IOD nie jest obowiązkowe, chyba że firma zatrudnia setki pracowników i prowadzi rozbudowany monitoring lub profilowanie klientów. W razie wątpliwości warto skonsultować się z kancelarią prawną specjalizującą się w ochronie danych.

W 2026 roku koszt zewnętrznego IOD (outsourcing) dla małej i średniej firmy w Polsce wynosi od 800 do 2500 PLN netto miesięcznie, w zależności od zakresu usług (bieżące doradztwo, audyt, prowadzenie rejestru, szkolenia pracowników). Koszt zatrudnienia IOD na etat to wydatek rzędu 8000–14000 PLN brutto miesięcznie. Dla porównania — kara administracyjna za niewyznaczenie IOD, gdy był obowiązkowy, może sięgnąć 10 000 000 EUR lub 2% rocznego światowego obrotu firmy.

Kary RODO w Polsce w 2026 roku — realne przypadki i wysokości

W 2026 roku Prezes Urzędu Ochrony Danych Osobowych aktywnie nakłada kary na firmy i instytucje naruszające przepisy RODO. W ciągu ośmiu lat obowiązywania rozporządzenia PUODO wydał kilkaset decyzji administracyjnych, a łączna suma kar przekroczyła kilkanaście milionów złotych. Warto znać realia — nie tylko maksymalne widełki z rozporządzenia.

Wysokość kar zależy od wagi naruszenia, czasu jego trwania, liczby poszkodowanych osób, stopnia winy administratora oraz współpracy z organem nadzorczym. Maksymalne kary to:

Rodzaj naruszeniaMaksymalna kara
Naruszenie podstawowych zasad przetwarzania, praw osób, których dane dotyczą, lub zasad przekazywania danych do państw trzecich20 000 000 EUR lub 4% rocznego światowego obrotu
Naruszenie obowiązków administratora lub podmiotu przetwarzającego (np. brak rejestru, brak IOD, brak zgłoszenia naruszenia)10 000 000 EUR lub 2% rocznego światowego obrotu

W praktyce polskiego PUODO kary dla firm z sektora MŚP oscylują wokół 10 000–100 000 PLN. Oto realne przypadki z lat 2024–2026: firma kurierska — 120 000 PLN za niezgłoszenie naruszenia ochrony danych w terminie 72 godzin; spółka handlowa — 35 000 PLN za brak współpracy z PUODO w trakcie kontroli; sklep internetowy — 25 000 PLN za nieprawidłową klauzulę informacyjną i brak podstawy prawnej do wysyłki newslettera; urząd gminy — 100 000 PLN za brak zabezpieczeń technicznych skutkujący wyciekiem danych mieszkańców. Kara nie jest automatyczna — PUODO bierze pod uwagę, czy firma wdrożyła środki zaradcze przed kontrolą i czy współpracuje w trakcie postępowania.

RODO a monitoring wizyjny w firmie — zasady 2026

Monitoring wizyjny to jedno z najczęściej przetwarzanych źródeł danych osobowych w polskich firmach — a zarazem jedno z najczęściej źle wdrażanych rozwiązań w kontekście RODO. Kamera rejestruje wizerunek, a wizerunek jest daną osobową. W 2026 roku obowiązują następujące zasady:

Podstawa prawna — w firmie prywatnej monitoring opiera się najczęściej na prawnie uzasadnionym interesie administratora (ochrona mienia, bezpieczeństwo pracowników). Nie można stosować monitoringu na podstawie zgody pracowników (zgoda w stosunku zatrudnienia jest wadliwa z powodu nierównowagi stron). W miejscach publicznych (sklepy, galerie) monitoring wymaga dodatkowej analizy proporcjonalności.

Obowiązek informacyjny — przy wejściu na teren monitorowany musi znajdować się widoczna tablica informacyjna zawierająca: kto jest administratorem, cel monitoringu, podstawa prawna, okres przechowywania nagrań, prawa osób nagrywanych i kontakt do IOD (jeśli wyznaczono). Sam piktogram kamery nie wystarczy — w 2026 roku PUODO karze za brak pełnej klauzuli informacyjnej.

Zakaz monitorowania określonych pomieszczeń: toalet, szatni, pomieszczeń socjalnych, gabinetów lekarskich i związkowych. Zakaz jest bezwzględny.

Okres przechowywania nagrań — maksymalnie 3 miesiące, chyba że nagrania stanowią dowód w postępowaniu (wtedy okres może być przedłużony do czasu prawomocnego zakończenia postępowania).

Monitoring w domu prywatnym — jeśli kamera obejmuje wyłącznie prywatną posesję (drzwi wejściowe, ogród, garaż) i nie rejestruje przestrzeni publicznej (chodnik, ulica, posesja sąsiada) — RODO nie ma zastosowania (wyjątek gospodarstwa domowego). Jeśli jednak kamera „wygląda” na chodnik lub ulicę — RODO obowiązuje i wymagana jest podstawa prawna oraz realizacja obowiązku informacyjnego.

Przechowywanie dokumentacji pracowniczej a RODO w 2026 roku

Każdy pracodawca w Polsce przetwarza ogromne ilości danych osobowych pracowników: od kwestionariuszy osobowych, przez umowy i aneksy, po dokumentację medycyny pracy, szkoleń BHP, wynagrodzeń i ZUS. RODO nakłada na pracodawcę szczegółowe obowiązki również w tym obszarze.

Jakie dane można przetwarzać — katalog danych, których pracodawca może żądać od pracownika, określa Kodeks pracy (art. 22¹). Są to m.in.: imię i nazwisko, data urodzenia, PESEL, adres zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia. Od 2023 roku do katalogu tego włączono również adres e-mail oraz numer telefonu — pod warunkiem wyrażenia zgody przez pracownika. Pracodawca nie może żądać danych o stanie cywilnym, liczbie dzieci (poza sytuacjami uprawniającymi do ulg podatkowych), przekonaniach politycznych czy religijnych.

Okres przechowywania — dokumentacja pracownicza przechowywana jest przez 10 lat od końca roku kalendarzowego, w którym stosunek pracy ustał (dla pracowników zatrudnionych po 1 stycznia 2019 roku; dla wcześniej zatrudnionych — 50 lat). W 2026 roku zbliżamy się do pierwszego „okrągłego” terminu, gdy dokumentacja pracowników zatrudnionych od 2019 roku może być już brakowana po upływie dekady.

Bezpieczeństwo teczek — papierowa dokumentacja kadrowa musi być przechowywana w zamykanych szafach, z ograniczonym dostępem. Dokumentacja elektroniczna wymaga szyfrowania, kontroli dostępu opartej na rolach, logowania operacji i regularnych kopii zapasowych. Wykorzystanie Microsoft 365 z Exchange Online i SharePoint do przechowywania dokumentów kadrowych w wersji elektronicznej zapewnia szyfrowanie danych w spoczynku, wielopoziomowe uwierzytelnianie (MFA) oraz pełną ścieżkę audytu — wszystkie te funkcje są bezpośrednio wymagane przez RODO jako środki techniczne zabezpieczające dane pracowników.

RODO a monitoring pracowników — monitoring wydajności pracy (np. oprogramowanie śledzące czas pracy, nagrywanie ekranu, keyloggery) jest dozwolony wyłącznie, gdy spełnia test proporcjonalności: cel jest uzasadniony (np. specyfika pracy z danymi wrażliwymi), pracownicy zostali poinformowani przed wdrożeniem, a zakres monitorowania ograniczono do niezbędnego minimum. W 2026 roku polskie sądy pracy coraz częściej uznają nieproporcjonalny monitoring za naruszenie dóbr osobistych pracownika, co może skutkować odszkodowaniem niezależnie od kary PUODO.

Zgoda na przetwarzanie danych — jak poprawnie zbierać zgody w 2026 roku

Zgoda jest jedną z sześciu podstaw prawnych przetwarzania danych w RODO, ale w praktyce firm jest nadużywana i często źle implementowana. W 2026 roku PUODO weryfikuje w trakcie kontroli, czy zgoda spełnia wszystkie wymogi formalne.

Dobrowolność — zgoda musi być wyrazem swobodnej woli. Oznacza to, że nie można uzależniać wykonania umowy od wyrażenia zgody na marketing (tzw. „związanie zgody”). Formularz zamówienia, w którym zgoda marketingowa jest zaznaczona domyślnie — jest niezgodny z RODO. W 2026 roku checkbox musi być domyślnie odznaczony.

Konkretność i jednoznaczność — jedna zgoda = jeden cel. Nie można prosić o zgodę „na marketing i profilowanie i przekazywanie danych partnerom” w jednym zdaniu. Każdy cel wymaga oddzielnej zgody i oddzielnego checkboxa.

Świadomość — osoba wyrażająca zgodę musi rozumieć, na co się zgadza. Język zgody musi być prosty i klarowny. Formułki typu „Wyrażam zgodę na przetwarzanie danych zgodnie z RODO” są zbyt ogólne i PUODO je kwestionuje. Poprawnie: „Wyrażam zgodę na otrzymywanie informacji handlowych od XYZ Sp. z o.o. na podany adres e-mail”.

Wycofanie zgody — musi być równie łatwe jak jej wyrażenie. W każdym e-mailu marketingowym musi znaleźć się link do rezygnacji (unsubscribe). W panelu klienta powinna być opcja samodzielnego zarządzania zgodami.

Uwaga na dane dzieci — w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgoda jest ważna, gdy dziecko ukończyło 16 lat (w Polsce — za zgodą RODO, które dopuszcza obniżenie do 13 lat, ale Polska utrzymała próg 16 lat). Poniżej tego wieku wymagana jest zgoda rodzica. W praktyce e-commerce i serwisów internetowych oznacza to konieczność weryfikacji wieku użytkownika, jeśli usługa jest kierowana do młodzieży.

Jak przygotować firmę na kontrolę PUODO w 2026 roku

Kontrola Prezesa Urzędu Ochrony Danych Osobowych nie jest już wydarzeniem wyjątkowym — w 2026 roku PUODO prowadzi ich kilkaset rocznie, obejmując wszystkie sektory gospodarki. Kontrola może być planowa (wynikająca z rocznego planu kontroli PUODO) lub doraźna (po zgłoszeniu naruszenia, skardze obywatela lub doniesieniu medialnym). Oto, jak przygotować firmę:

Dokumentacja na dzień dobry — inspektorzy PUODO w pierwszej kolejności poproszą o: rejestr czynności przetwarzania (lub udokumentowaną analizę, dlaczego firma jest z niego zwolniona), politykę ochrony danych, klauzule informacyjne stosowane wobec klientów i pracowników, wykaz udzielonych upoważnień do przetwarzania danych, ewidencję naruszeń ochrony danych, umowy powierzenia z podmiotami przetwarzającymi (firma hostingowa, zewnętrzna księgowość, operator systemu CRM), oraz analizę ryzyka i skutków dla ochrony danych (DPIA — o ile wymagana).

Umowy powierzenia — absolutna podstawa. Każdy podmiot, któremu przekazujesz dane do przetwarzania (biuro rachunkowe, firma IT, hostingodawca, dostawca systemu mailingowego), musi mieć podpisaną umowę powierzenia przetwarzania danych w rozumieniu art. 28 RODO. W 2026 roku brak umowy powierzenia jest jednym z trzech najczęściej stwierdzanych naruszeń podczas kontroli.

Szkolenia pracowników — PUODO sprawdza, czy pracownicy zostali przeszkoleni z zasad ochrony danych. W protokole kontroli odnotowuje się nie tylko fakt istnienia szkoleń, ale i ich zakres oraz częstotliwość. W 2026 roku dobrą praktyką jest coroczne szkolenie RODO dla wszystkich pracowników mających dostęp do danych osobowych, potwierdzone listami obecności.

Test reagowania na naruszenia — czy Twoja firma wie, co zrobić w przypadku wycieku danych? Inspektor może zapytać, czy przeprowadzono symulację incydentu i czy wyznaczono osobę odpowiedzialną za kontakt z PUODO. Brak procedury zgłaszania naruszeń to poważny sygnał dla organu nadzorczego.

Aktualizacja oprogramowania — kontrola PUODO obejmuje również weryfikację, czy firma stosuje aktualne i wspierane oprogramowanie. Korzystanie z przestarzałych systemów (np. Windows 7, Office 2010, nieszyfrowane bazy danych) bez poprawek bezpieczeństwa jest uznawane za brak odpowiednich środków technicznych w rozumieniu art. 32 RODO. Legalne oprogramowanie Microsoft 365 — z comiesięcznymi aktualizacjami bezpieczeństwa, szyfrowaniem danych i uwierzytelnianiem wieloskładnikowym — stanowi konkretny dowód dla inspektora, że firma traktuje bezpieczeństwo danych poważnie. Klucze z KluczeSoft.pl dostarczane są z fakturą VAT 23%, co dodatkowo dokumentuje legalność wykorzystywanego oprogramowania w kontekście audytu RODO.

RODO a marketing bezpośredni — e-mail, telefon i SMS

Marketing bezpośredni w 2026 roku podlega jednocześnie RODO oraz ustawie o świadczeniu usług drogą elektroniczną i prawu telekomunikacyjnemu. Przedsiębiorcy często nie zdają sobie sprawy, że naruszenie zasad marketingu może skutkować nie tylko karą PUODO, ale również sankcjami ze strony Urzędu Komunikacji Elektronicznej.

Marketing e-mail — wymaga uprzedniej zgody (opt-in). Wyjątek: tzw. „miękki opt-in” — możesz wysyłać informacje handlowe na e-mail klienta pozyskany w związku ze sprzedażą produktu lub usługi, pod warunkiem, że dotyczy to podobnych produktów lub usług Twojej firmy, a klient w momencie zbierania adresu miał możliwość sprzeciwu (checkbox do odznaczenia). W praktyce lepiej jednak zebrać osobną, świadomą zgodę marketingową.

Marketing telefoniczny — wymaga zgody na używanie automatycznych systemów wywołujących lub telekomunikacyjnych urządzeń końcowych. Połączenia wykonywane ręcznie (przez konsultanta) do numerów firmowych nie wymagają zgody, jeśli opierają się na prawnie uzasadnionym interesie. W 2026 roku PUODO i UKE coraz częściej prowadzą wspólne kontrole call center i firm telemarketingowych.

Prawo do sprzeciwu — każdy odbiorca marketingu bezpośredniego ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jego danych w tym celu. Sprzeciw musi być uwzględniony bezpłatnie i bezzwłocznie, a dane kontaktowe usunięte z bazy marketingowej. W 2026 roku brak realizacji prawa do sprzeciwu w ciągu 30 dni stanowi naruszenie RODO.

Profilowanie w marketingu — RODO definiuje profilowanie jako zautomatyzowane przetwarzanie danych osobowych w celu oceny czynników osobowych osoby fizycznej. Jeśli Twój sklep internetowy analizuje historię zakupów, aby rekomendować produkty w newsletterze — przeprowadzasz profilowanie. Musisz o tym poinformować w klauzuli RODO i zapewnić prawo do sprzeciwu wobec profilowania.

Częste pytania

Czy jako jednoosobowa działalność gospodarcza muszę spełniać wszystkie wymogi RODO?

Tak, RODO nie przewiduje wyłączenia dla JDG. Musisz realizować obowiązek informacyjny wobec klientów, mieć podstawę prawną do przetwarzania ich danych, zabezpieczyć dane technicznie i odpowiadać na żądania osób (dostęp do danych, sprostowanie, usunięcie). Nie musisz prowadzić pełnego rejestru czynności przetwarzania, chyba że przetwarzanie nie ma charakteru sporadycznego lub wiąże się z ryzykiem naruszenia praw (np. monitoring, dane medyczne klientów).

Czy muszę zgłaszać zbiory danych do PUODO?

Nie. RODO zniosło obowiązek rejestracji zbiorów danych w GIODO/PUODO, który istniał przed 2018 rokiem. Obecnie prowadzisz wewnętrzny rejestr czynności przetwarzania (jeśli jest wymagany), ale nie zgłaszasz go nigdzie — jest udostępniany wyłącznie na żądanie PUODO podczas kontroli.

Jak długo mogę przechowywać dane byłych klientów?

Dane przetwarzane na podstawie umowy przechowujesz przez okres przedawnienia roszczeń (standardowo 6 lat od końca roku, w którym umowa wygasła, a dla roszczeń w działalności gospodarczej — 3 lata od 2018 roku). Dane przetwarzane na podstawie zgody marketingowej — do momentu wycofania zgody. Dane do celów księgowych — 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Po upływie tych okresów dane należy trwale usunąć lub zanonimizować.

Czy mogę przechowywać skany dowodów osobistych klientów?

Zdecydowanie odradza się przechowywanie kopii dowodów osobistych w pełnej formie. Dowód zawiera dane szczególnie chronione (numer PESEL, wizerunek, serię i numer dokumentu), a RODO wymaga minimalizacji danych — przetwarzaj tylko to, co jest niezbędne do celu. Jeśli potrzebujesz potwierdzić tożsamość klienta, zrób to podczas spotkania i odnotuj numer dokumentu w systemie. Przechowywanie pełnego skanu kopii dowodu naraża firmę na poważne konsekwencje w przypadku wycieku danych.

Kiedy muszę przeprowadzić analizę ryzyka (DPIA)?

Ocenę skutków dla ochrony danych (Data Protection Impact Assessment) musisz przeprowadzić, gdy planowane przetwarzanie danych — z uwagi na swój charakter, zakres, kontekst i cele — może powodować wysokie ryzyko naruszenia praw osób fizycznych. Dotyczy to w szczególności: systematycznej oceny czynników osobowych opartej na zautomatyzowanym przetwarzaniu (w tym profilowania), przetwarzania na dużą skalę danych wrażliwych (zdrowotnych, biometrycznych) oraz systematycznego monitorowania na dużą skalę miejsc publicznie dostępnych.

Czy korzystanie z OneDrive i SharePoint w chmurze Microsoft jest zgodne z RODO?

Tak, usługi Microsoft 365 są zgodne z RODO. Microsoft jako podmiot przetwarzający oferuje mechanizmy wymagane przez art. 28 RODO: standardowe klauzule umowne, szyfrowanie danych w spoczynku (BitLocker) i podczas transmisji (TLS), kontrolę dostępu opartą na rolach, pełną ścieżkę audytu oraz centra danych zlokalizowane na terenie Unii Europejskiej. Administratorem danych pozostajesz Ty jako firma — Microsoft jedynie je przetwarza na Twoje zlecenie. Kluczowe jest podpisanie umowy powierzenia (domyślnie zawartej w warunkach Online Services Terms) i skonfigurowanie polityk bezpieczeństwa zgodnie z własną analizą ryzyka.

Czy za brak zgłoszenia naruszenia w ciągu 72 godzin grozi kara nawet jeśli samo naruszenie nie spowodowało szkody?

Tak. Obowiązek zgłoszenia naruszenia ochrony danych osobowych do PUODO w ciągu 72 godzin od jego wykrycia jest niezależnym obowiązkiem administratora. Nawet jeśli naruszenie ostatecznie nie wyrządziło szkody osobom fizycznym (np. dane zostały odzyskane, a wyciek nie trafił w niepowołane ręce), sam brak zgłoszenia w terminie stanowi odrębne naruszenie RODO i podlega karze administracyjnej — do 10 000 000 EUR lub 2% rocznego światowego obrotu.

Czy muszę mieć politykę prywatności na firmowej stronie internetowej?

Tak. Polityka prywatności (klauzula informacyjna online) to realizacja obowiązku informacyjnego wobec odwiedzających witrynę. W 2026 roku strona firmowa bez polityki prywatności to jedno z najłatwiejszych do stwierdzenia naruszeń RODO — inspektorzy PUODO sprawdzają to w pierwszej kolejności podczas kontroli stron internetowych. Polityka musi zawierać: dane administratora, cel i podstawę przetwarzania poszczególnych kategorii danych (np. dane z formularza kontaktowego, pliki cookies, logi serwera), okres przechowywania, informację o prawach i możliwości wniesienia skargi do PUODO.

Czy mogę używać firmowego e-maila do prywatnej korespondencji z perspektywy RODO?

Tak, ale wyłącznie jeśli Twoja polityka ochrony danych dopuszcza ograniczone wykorzystanie służbowego e-maila do celów prywatnych. Wtedy wiadomości prywatne nie podlegają kontroli pracodawcy jako administratora — są objęte wyjątkiem „gospodarstwa domowego”. Jeśli jednak polityka firmy zabrania używania służbowej poczty prywatnie, to wszystkie wiadomości są traktowane jako służbowe i podlegają pełnej kontroli oraz archiwizacji w ramach RODO.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak, RODO nie przewiduje wyłączenia dla JDG. Musisz realizować obowiązek informacyjny wobec klientów, mieć podstawę prawną do przetwarzania ich danych, zabezpieczyć dane technicznie i odpowiadać na żądania osób (dostęp do danych, sprostowanie, usunięcie). Nie musisz prowadzić pełnego rejestru czynności przetwarzania, chyba że przetwarzanie nie ma charakteru sporadycznego lub wiąże się z ryzykiem naruszenia praw (np. monitoring, dane medyczne klientów).
Nie. RODO zniosło obowiązek rejestracji zbiorów danych w GIODO/PUODO, który istniał przed 2018 rokiem. Obecnie prowadzisz wewnętrzny rejestr czynności przetwarzania (jeśli jest wymagany), ale nie zgłaszasz go nigdzie — jest udostępniany wyłącznie na żądanie PUODO podczas kontroli.
Dane przetwarzane na podstawie umowy przechowujesz przez okres przedawnienia roszczeń (standardowo 6 lat od końca roku, w którym umowa wygasła, a dla roszczeń w działalności gospodarczej — 3 lata od 2018 roku). Dane przetwarzane na podstawie zgody marketingowej — do momentu wycofania zgody. Dane do celów księgowych — 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Po upływie tych okresów dane należy trwale usunąć lub zanonimizować.
Zdecydowanie odradza się przechowywanie kopii dowodów osobistych w pełnej formie. Dowód zawiera dane szczególnie chronione (numer PESEL, wizerunek, serię i numer dokumentu), a RODO wymaga minimalizacji danych — przetwarzaj tylko to, co jest niezbędne do celu. Jeśli potrzebujesz potwierdzić tożsamość klienta, zrób to podczas spotkania i odnotuj numer dokumentu w systemie. Przechowywanie pełnego skanu kopii dowodu naraża firmę na poważne konsekwencje w przypadku wycieku danych.
Ocenę skutków dla ochrony danych (Data Protection Impact Assessment) musisz przeprowadzić, gdy planowane przetwarzanie danych — z uwagi na swój charakter, zakres, kontekst i cele — może powodować wysokie ryzyko naruszenia praw osób fizycznych. Dotyczy to w szczególności: systematycznej oceny czynników osobowych opartej na zautomatyzowanym przetwarzaniu (w tym profilowania), przetwarzania na dużą skalę danych wrażliwych (zdrowotnych, biometrycznych) oraz systematycznego monitorowania na dużą skalę miejsc publicznie dostępnych.
Tak, usługi Microsoft 365 są zgodne z RODO. Microsoft jako podmiot przetwarzający oferuje mechanizmy wymagane przez art. 28 RODO: standardowe klauzule umowne, szyfrowanie danych w spoczynku (BitLocker) i podczas transmisji (TLS), kontrolę dostępu opartą na rolach, pełną ścieżkę audytu oraz centra danych zlokalizowane na terenie Unii Europejskiej. Administratorem danych pozostajesz Ty jako firma — Microsoft jedynie je przetwarza na Twoje zlecenie. Kluczowe jest podpisanie umowy powierzenia (domyślnie zawartej w warunkach Online Services Terms) i skonfigurowanie polityk bezpieczeństwa zgodnie z własną analizą ryzyka.
Tak. Obowiązek zgłoszenia naruszenia ochrony danych osobowych do PUODO w ciągu 72 godzin od jego wykrycia jest niezależnym obowiązkiem administratora. Nawet jeśli naruszenie ostatecznie nie wyrządziło szkody osobom fizycznym (np. dane zostały odzyskane, a wyciek nie trafił w niepowołane ręce), sam brak zgłoszenia w terminie stanowi odrębne naruszenie RODO i podlega karze administracyjnej — do 10 000 000 EUR lub 2% rocznego światowego obrotu.
Tak. Polityka prywatności (klauzula informacyjna online) to realizacja obowiązku informacyjnego wobec odwiedzających witrynę. W 2026 roku strona firmowa bez polityki prywatności to jedno z najłatwiejszych do stwierdzenia naruszeń RODO — inspektorzy PUODO sprawdzają to w pierwszej kolejności podczas kontroli stron internetowych. Polityka musi zawierać: dane administratora, cel i podstawę przetwarzania poszczególnych kategorii danych (np. dane z formularza kontaktowego, pliki cookies, logi serwera), okres przechowywania, informację o prawach i możliwości wniesienia skargi do PUODO.
Tak, ale wyłącznie jeśli Twoja polityka ochrony danych dopuszcza ograniczone wykorzystanie służbowego e-maila do celów prywatnych. Wtedy wiadomości prywatne nie podlegają kontroli pracodawcy jako administratora — są objęte wyjątkiem „gospodarstwa domowego”. Jeśli jednak polityka firmy zabrania używania służbowej poczty prywatnie, to wszystkie wiadomości są traktowane jako służbowe i podlegają pełnej kontroli oraz archiwizacji w ramach RODO.

Czy ten artykuł był pomocny?