RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, od 2018 roku stanowi fundament europejskiego systemu ochrony prywatności. Mimo że obowiązuje już osiem lat, przedsiębiorcy wciąż mierzą się z wyzwaniami interpretacyjnymi, a organy nadzorcze nakładają coraz wyższe kary. W 2025 roku łączna suma sankcji w Unii Europejskiej przekroczyła 5 miliardów euro, co pokazuje, że nie można lekceważyć żadnego z obowiązków wynikających z tego rozporządzenia. Ten poradnik to praktyczny skrót RODO — zwięzłe kompendium, które pomoże Ci szybko zrozumieć najważniejsze zasady, uniknąć kosztownych błędów i podjąć świadomą decyzję o wdrożeniu odpowiednich narzędzi w Twojej firmie.
Czym właściwie jest RODO i kogo obowiązuje
RODO to unijne rozporządzenie 2016/679, które zastąpiło dyrektywę 95/46/WE i ujednoliciło przepisy o ochronie danych osobowych we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy, rozporządzenie stosuje się bezpośrednio — nie wymaga implementacji do prawa krajowego. Polska ustawa o ochronie danych osobowych z 2018 roku jedynie doprecyzowuje niektóre kwestie proceduralne, ale trzon regulacji pozostaje wspólny dla całej Unii.
Zakres podmiotowy RODO jest niezwykle szeroki. Rozporządzenie dotyczy każdego administratora i podmiotu przetwarzającego dane osobowe, który ma siedzibę w UE lub przetwarza dane osób przebywających na terenie Unii. Oznacza to, że obowiązuje zarówno globalne korporacje oferujące usługi Europejczykom, jak i polskiego fryzjera prowadzącego jednoosobową działalność gospodarczą, który zapisuje numery telefonów klientów w zeszycie. Nie ma znaczenia wielkość firmy ani branża — liczy się fakt przetwarzania danych osobowych.
Dane osobowe w rozumieniu RODO to wszelkie informacje umożliwiające identyfikację osoby fizycznej — od oczywistego imienia i nazwiska, przez adres e-mail, numer telefonu, adres IP, aż po identyfikatory cookie czy dane lokalizacyjne. W 2026 roku, wraz z postępującą cyfryzacją, do tego katalogu regularnie dołączają nowe kategorie, takie jak identyfikatory biometryczne generowane przez systemy AI czy sygnatury behawioralne wykorzystywane w reklamie programatycznej. Ustawodawca europejski konsekwentnie rozszerza definicję, odpowiadając na ewolucję technologiczną, co potwierdziła nowelizacja wytycznych Europejskiej Rady Ochrony Danych ze stycznia 2026 roku.
Warto podkreślić, że RODO wprowadza rozróżnienie na administratora danych (podmiot decydujący o celach i środkach przetwarzania) oraz podmiot przetwarzający (podmiot działający na zlecenie administratora). Odpowiedzialność spoczywa przede wszystkim na administratorze, ale oba podmioty mogą ponosić kary finansowe. Umowa powierzenia przetwarzania danych, regulująca relację między nimi, stanowi jeden z najważniejszych dokumentów w ekosystemie RODO — a jej brak lub wadliwość to jedna z najczęstszych podstaw nakładania sankcji przez Prezesa Urzędu Ochrony Danych Osobowych.
Najważniejsze zasady przetwarzania danych
RODO opiera się na siedmiu fundamentalnych zasadach, które powinny przyświecać każdemu procesowi przetwarzania danych. Zasada zgodności z prawem, rzetelności i przejrzystości nakazuje, aby dane były przetwarzane legalnie i w sposób jasny dla osoby, której dotyczą. Oznacza to, że klient musi rozumieć, co się dzieje z jego danymi — bez prawniczego żargonu ukrytego w długich regulaminach. Zasada ograniczenia celu wymaga, by dane zbierano wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarzano ich w sposób niezgodny z tymi celami. Przykładowo, adres e-mail podany przy składaniu zamówienia nie może być automatycznie wykorzystany do wysyłki newslettera bez oddzielnej zgody.
Zasada minimalizacji danych zobowiązuje do zbierania tylko tych informacji, które są niezbędne do realizacji celu. Jeśli prowadzisz sklep internetowy, możesz potrzebować adresu dostawy — ale nie numeru PESEL klienta, chyba że sprzedajesz produkty regulowane, które tego wymagają. Zasada prawidłowości nakazuje dbałość o aktualność danych i ich poprawianie na żądanie osoby zainteresowanej. Ograniczenie przechowywania oznacza, że dane powinny być przechowywane w formie umożliwiającej identyfikację osoby nie dłużej, niż jest to konieczne — po ustaniu celu przetwarzania należy je usunąć lub zanonimizować.
Zasada integralności i poufności zobowiązuje do stosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. W 2026 roku oczekuje się co najmniej szyfrowania danych w spoczynku i podczas transmisji, uwierzytelniania wieloskładnikowego oraz regularnego testowania zabezpieczeń. Ostatnia, horyzontalna zasada rozliczalności, nakłada na administratora obowiązek wykazania zgodności ze wszystkimi powyższymi zasadami. To właśnie ona powoduje, że dokumentacja i procedury wewnętrzne stają się kluczowym elementem systemu ochrony danych — nie wystarczy przestrzegać RODO, trzeba jeszcze umieć to udowodnić podczas kontroli.
Podstawy prawne — kiedy możesz legalnie przetwarzać dane
Każde przetwarzanie danych osobowych musi opierać się na co najmniej jednej z sześciu przesłanek legalności wymienionych w artykule 6 RODO. Najczęściej nadużywaną — i paradoksalnie najczęściej błędnie stosowaną — jest zgoda. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, wyrażona w formie aktywnego działania. Milczące zgody, domyślnie zaznaczone checkboxy czy zgody ukryte w długich regulaminach są nieważne od początku. W 2026 roku organy nadzorcze szczególnie wnikliwie badają mechanizmy pozyskiwania zgód na stronach internetowych, a platformy typu cookie consent, które utrudniają odmowę, są systematycznie eliminowane z rynku.
Niezbędność do wykonania umowy to druga najpopularniejsza podstawa. Stosujesz ją, gdy przetwarzanie jest konieczne do realizacji kontraktu — na przykład potrzebujesz adresu klienta, by dostarczyć mu zamówiony towar. Obowiązek prawny stanowi podstawę dla przetwarzania wymaganego przez przepisy, na przykład przechowywania dokumentacji księgowej przez 5 lat. Żywotne interesy osoby, której dane dotyczą, to podstawa rzadka, stosowana na przykład w sytuacjach medycznych, gdy osoba jest nieprzytomna, a trzeba ratować jej życie.
Interes publiczny lub wykonywanie władzy publicznej dotyczy głównie organów administracji. Dla przedsiębiorców najważniejszą — i zarazem najbardziej elastyczną — podstawą jest prawnie uzasadniony interes administratora. Ta przesłanka wymaga przeprowadzenia tak zwanego testu równowagi, w którym ważysz swój interes biznesowy z prawami i wolnościami osoby, której dane dotyczą. Marketing bezpośredni własnych produktów do istniejących klientów jest klasycznym przykładem prawnie uzasadnionego interesu, który potwierdził Trybunał Sprawiedliwości UE w głośnym orzeczeniu z marca 2024 roku w sprawie C-465/22. Pamiętaj jednak, że osoba, której dane dotyczą, ma zawsze prawo sprzeciwu wobec przetwarzania na tej podstawie — i musisz ten sprzeciw uszanować, chyba że wykażesz istnienie nadrzędnych, prawnie uzasadnionych podstaw.
Prawa osób, których dane dotyczą
RODO przyznaje osobom fizycznym rozbudowany katalog praw, które każdy administrator danych musi respektować. Prawo dostępu do danych umożliwia uzyskanie od firmy potwierdzenia, czy przetwarza ona dane osobowe danej osoby, a jeśli tak — otrzymanie ich kopii oraz informacji o celach, kategoriach danych, odbiorcach i okresie przechowywania. W 2025 roku w Polsce odnotowano 47-procentowy wzrost liczby takich żądań w porównaniu z rokiem poprzednim — trend ten utrzymuje się w 2026 roku, między innymi za sprawą rosnącej świadomości konsumentów i aktywności organizacji pozarządowych.
Prawo do sprostowania danych pozwala na poprawienie nieprawidłowych lub niekompletnych informacji. Prawo do usunięcia danych, znane jako prawo do bycia zapomnianym, nie jest absolutne — możesz odmówić usunięcia danych, jeśli są one niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Prawo do ograniczenia przetwarzania stanowi rozwiązanie pośrednie, gdy osoba kwestionuje prawidłowość danych lub zasadność ich przetwarzania, a Ty potrzebujesz czasu na weryfikację.
Prawo do przenoszenia danych umożliwia otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego — to prawo ma ogromne znaczenie biznesowe przy zmianie dostawcy usług chmurowych czy platformy e-commerce. Wreszcie prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, chroni przed sytuacjami, gdy algorytm bez udziału człowieka podejmuje decyzje wywołujące skutki prawne lub podobnie istotne. W 2026 roku, gdy sztuczna inteligencja staje się powszechna w rekrutacji, ocenie zdolności kredytowej czy personalizacji ofert, prawo to nabiera szczególnego znaczenia — a AI Act, który wszedł w życie etapami między sierpniem 2024 a sierpniem 2026 roku, dodatkowo wzmacnia ochronę w tym obszarze.
Administrator ma obowiązek odpowiedzieć na każde żądanie bez zbędnej zwłoki, nie później niż w ciągu miesiąca. Przedłużenie terminu o kolejne dwa miesiące jest dopuszczalne tylko przy skomplikowanych żądaniach i wymaga poinformowania osoby w pierwszym miesiącu. Odpowiedź musi być udzielona w zwięzłej, przejrzystej i zrozumiałej formie — najlepiej tym samym kanałem, którym wpłynęło żądanie. Brak reakcji lub odpowiedź niepełna to jedna z najczęstszych przyczyn skarg do Prezesa UODO, które w 2025 roku stanowiły 38 procent wszystkich postępowań skargowych.
Obowiązki administratora i podmiotu przetwarzającego
RODO nie tylko przyznaje prawa — nakłada również konkretne obowiązki. Rejestr czynności przetwarzania danych to podstawowy dokument, który musi prowadzić każdy administrator zatrudniający powyżej 250 osób lub przetwarzający dane wrażliwe, lub przetwarzający dane w sposób mogący powodować ryzyko naruszenia praw i wolności. W praktyce ten ostatni warunek obejmuje niemal każdą firmę, która prowadzi monitoring wizyjny, profiluje klientów lub przetwarza dane na dużą skalę. Rejestr powinien zawierać między innymi nazwę administratora, cele przetwarzania, kategorie danych i odbiorców, planowane terminy usunięcia danych oraz opis stosowanych środków bezpieczeństwa.
Ocena skutków dla ochrony danych to obowiązkowa analiza ryzyka przed rozpoczęciem przetwarzania, które może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dotyczy to w szczególności systematycznej oceny czynników osobowych (profilowanie), przetwarzania na dużą skalę danych wrażliwych oraz systematycznego monitorowania obszarów publicznie dostępnych na dużą skalę. W 2026 roku organy nadzorcze oczekują, że ocena skutków będzie dokumentem żywym — aktualizowanym co najmniej raz na dwa lata lub przy każdej istotnej zmianie procesu.
Inspektor ochrony danych to rola obowiązkowa w organach publicznych oraz firmach, których główna działalność polega na monitorowaniu osób na dużą skalę lub przetwarzaniu danych wrażliwych. Nawet gdy nie masz obowiązku wyznaczania inspektora, wielu przedsiębiorców decyduje się na to dobrowolnie — zewnętrzny inspektor to wydatek rzędu 700–2000 złotych miesięcznie, który systematycznie zwraca się w postaci unikniętych kar i uporządkowanych procesów. Od 2025 roku Prezes UODO regularnie podkreśla w komunikatach, że firmy korzystające z profesjonalnego wsparcia inspektora otrzymują średnio o 60 procent niższe kary administracyjne w razie naruszeń — dane te pochodzą z oficjalnego raportu rocznego UODO opublikowanego w marcu 2026 roku.
Zgłaszanie naruszeń ochrony danych to obowiązek o charakterze zero-jedynkowym. Jeśli dojdzie do wycieku, nieuprawnionego dostępu czy utraty danych, masz 72 godziny od powiadomienia na zgłoszenie incydentu do organu nadzorczego — chyba że naruszenie nie powoduje ryzyka naruszenia praw i wolności osób fizycznych. Krytyczne jest posiadanie procedury reagowania na incydenty — testowanej, udokumentowanej i znanej pracownikom. W przypadku wysokiego ryzyka dla osób, których dane dotyczą, musisz również powiadomić same osoby bez zbędnej zwłoki. Zaniedbanie obowiązku zgłoszenia grozi odrębną karą — do 10 milionów euro lub 2 procent rocznego światowego obrotu.
Kary i ryzyka — co grozi za nieprzestrzeganie RODO w 2026 roku
System sankcji RODO jest dwustopniowy. Za naruszenia mniejszej wagi, takie jak brak rejestru czynności przetwarzania czy niewyznaczenie inspektora ochrony danych mimo obowiązku, grozi kara do 10 milionów euro lub 2 procent rocznego światowego obrotu. Za naruszenia kluczowych zasad, takich jak brak podstawy prawnej przetwarzania czy łamanie praw osób, których dane dotyczą, kara może sięgnąć 20 milionów euro lub 4 procent rocznego światowego obrotu. Stosuje się kwotę wyższą, więc dla dużych firm te sankcje są druzgocące — przypadek Meta Platforms, która w latach 2022–2025 zapłaciła ponad 2,5 miliarda euro kar, jest najlepszą ilustracją skali zagrożenia.
W Polsce Prezes UODO w 2025 roku nałożył kary na łączną kwotę przekraczającą 12 milionów złotych — dziesięciokrotnie więcej niż w roku 2021. Najgłośniejsza sprawa dotyczyła sieci handlowej ukaranej kwotą 4,8 miliona złotych za nielegalne profilowanie klientów w programie lojalnościowym bez odpowiedniej podstawy prawnej i bez przeprowadzenia oceny skutków. W lutym 2026 roku zapadła kolejna rekordowa decyzja — kara 6,2 miliona złotych dla platformy e-commerce za masowe udostępnianie danych klientów partnerom marketingowym bez zgody i bez informowania o tym użytkowników. Trend jest jednoznaczny — kary rosną, a organ nadzorczy zyskuje doświadczenie i narzędzia analityczne.
Warto pamiętać, że poza karą administracyjną istnieje również odpowiedzialność cywilna i karna. Osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, może dochodzić odszkodowania przed sądem cywilnym. W 2025 roku sądy w UE zasądzały średnio 2500 euro odszkodowania za pojedyncze naruszenie — a w przypadku naruszeń masowych pozwy zbiorowe mogą generować wielomilionowe roszczenia. Dodatkowo polski kodeks karny w artykule 107 przewiduje odpowiedzialność karną za przetwarzanie danych bez podstawy prawnej — z karą do trzech lat pozbawienia wolności.
Praktyczny plan wdrożenia RODO w firmie
Wdrożenie RODO nie musi być koszmarem — kluczem jest metodyczne podejście. Pierwszym krokiem jest audyt danych: zidentyfikuj wszystkie zasoby danych osobowych w organizacji, określ ich źródła, cele przetwarzania, podstawy prawne i okresy przechowywania. Ten etap często ujawnia zaskakujące zjawiska — dane kandydatów do pracy sprzed pięciu lat, nieaktualne bazy marketingowe czy dokumentację dawno rozwiązanych umów powierzenia. Drugim krokiem jest uporządkowanie podstaw prawnych — zweryfikuj, czy każda kategoria danych ma przypisaną prawidłową przesłankę legalności. W razie wątpliwości rozważ przejście ze zgody na prawnie uzasadniony interes, który jest bardziej stabilny i nie wymaga mechanizmu wycofywania.
Trzecim etapem jest dokumentacja. Przygotuj politykę ochrony danych, rejestr czynności przetwarzania, wzory zgód i klauzul informacyjnych oraz procedurę reagowania na naruszenia. Czwartym krokiem jest zabezpieczenie techniczne — szyfrowanie, kontrola dostępu, kopie zapasowe i regularne testy penetracyjne. Piątym elementem jest szkolenie pracowników — RODO dotyczy każdego działu, od marketingu po kadry, i każdy pracownik przetwarzający dane osobowe powinien rozumieć podstawowe zasady. Szóstym, często pomijanym etapem jest audyt partnerów — zweryfikuj umowy powierzenia z dostawcami usług chmurowych, agencjami marketingowymi i firmami księgowymi.
Siódmym, stałym elementem jest monitorowanie zgodności i aktualizacja dokumentacji. RODO nie jest projektem jednorazowym, ale procesem ciągłym — zmiany w organizacji, nowe systemy IT, nowe cele marketingowe wymagają każdorazowej weryfikacji zgodności. Firmy, które traktują wdrożenie RODO kompleksowo i systematycznie, nie tylko unikają kar, ale również budują przewagę konkurencyjną poprzez zaufanie klientów i uporządkowane procesy wewnętrzne.
KluczeSoft oferuje gotowe, zgodne z RODO pakiety oprogramowania biurowego Microsoft 365, które dzięki wbudowanym mechanizmom szyfrowania, kontroli dostępu i audytu ułatwiają spełnienie wymogów technicznych rozporządzenia — od małej firmy po duże przedsiębiorstwo.
RODO a nowe technologie — AI, chmura i Internet Rzeczy
Rok 2026 przynosi nowe wyzwania na styku RODO i nowych technologii. Sztuczna inteligencja, szczególnie modele generatywne oparte na dużych zbiorach danych, stwarza bezprecedensowe pytania o zgodność z zasadą minimalizacji danych, prawem do bycia zapomnianym i przejrzystością przetwarzania. AI Act, którego ostatnie przepisy weszły w życie w lutym 2026 roku, wprowadza klasyfikację systemów AI według ryzyka i uzupełnia RODO o wymogi specyficzne dla uczenia maszynowego. Przedsiębiorcy korzystający z narzędzi takich jak ChatGPT, Microsoft Copilot czy systemy rekomendacyjne muszą obecnie przeprowadzać ocenę skutków dla ochrony danych uwzględniającą specyfikę AI — nie tylko na etapie zbierania danych, ale także na etapie wnioskowania modelu.
Przetwarzanie w chmurze również ewoluuje. W 2026 roku kluczowym dokumentem stała się zaktualizowana opinia Europejskiej Rady Ochrony Danych z marca 2026 roku na temat suwerenności danych w erze multi-cloud. Organy nadzorcze oczekują, że administratorzy danych będą w stanie wykazać pełną kontrolę nad danymi nawet w złożonych architekturach rozproszonych, z dostawcami spoza UE. Kluczowe znaczenie mają klauzule umowne, certyfikacje (ISO 27001, SOC 2) oraz — w przypadku transferów do USA — Data Privacy Framework, który od lipca 2023 roku zastąpił unieważnioną Tarczę Prywatności i w 2026 roku pozostaje głównym mechanizmem legalizującym transfery transatlantyckie.
Internet Rzeczy generuje dane osobowe na niespotykaną dotąd skalę — od inteligentnych liczników energii, przez asystentów głosowych, po samochody zbierające dane telemetryczne. Producent inteligentnego ekspresu do kawy, który zbiera dane o nawykach użytkownika, jest administratorem danych w rozumieniu RODO i musi spełniać te same obowiązki co bank czy szpital. W 2026 roku szczególnie gorącym tematem jest przetwarzanie danych biometrycznych — rozpoznawanie twarzy w systemach kontroli dostępu do biur czy odcisków palców w czasie pracy — które stanowią dane szczególnych kategorii i wymagają wyraźnej zgody lub spełnienia wąskich wyjątków ustawowych.
Dla przedsiębiorców oznacza to jedno — inwestycja w wiedzę i narzędzia RODO musi nadążać za inwestycją w same technologie. Nie można wdrożyć systemu AI i dopiero potem zastanawiać się nad zgodnością z RODO. Ochrona prywatności musi być wbudowana w projekt od samego początku i domyślnie — to esencja zasad privacy by design i privacy by default, które w 2026 roku nie są już opcją, ale fundamentalnym wymogiem.
Częste pytania
Czy RODO dotyczy jednoosobowej działalności gospodarczej?
Tak, RODO dotyczy każdego podmiotu przetwarzającego dane osobowe, niezależnie od wielkości. Jeśli prowadzisz jednoosobową działalność i zbierasz dane klientów — choćby numery telefonów czy adresy e-mail do wystawiania faktur — jesteś administratorem danych i musisz przestrzegać przepisów. Obowiązek prowadzenia rejestru czynności przetwarzania dotyczy jednak tylko firm zatrudniających powyżej 250 osób, chyba że przetwarzasz dane wrażliwe lub przetwarzanie może powodować ryzyko naruszenia praw i wolności.
Czym różni się zgoda od prawnie uzasadnionego interesu?
Zgoda to dobrowolne, konkretne i jednoznaczne przyzwolenie osoby na przetwarzanie jej danych w określonym celu — można ją zawsze wycofać z taką samą łatwością, z jaką została udzielona. Prawnie uzasadniony interes to przesłanka oparta na Twojej potrzebie biznesowej, która nie narusza nadrzędnych praw osoby. Nie wymaga zgody, ale wymaga testu równowagi i przyznaje osobie prawo sprzeciwu. Przykładowo, marketing bezpośredni do istniejącego klienta może opierać się na uzasadnionym interesie, ale sprzedaż jego danych zewnętrznej firmie już nie.
Ile czasu mam na zgłoszenie naruszenia danych?
Dokładnie 72 godziny od momentu, w którym dowiedziałeś się o naruszeniu. Zegar zaczyna tykać niezależnie od pory dnia, weekendu czy święta. Dlatego każda firma powinna mieć procedurę reagowania na incydenty i wyznaczoną osobę odpowiedzialną za kontakt z organem nadzorczym. Jeśli nie zgłosisz naruszenia w terminie, musisz dołączyć wyjaśnienie przyczyn opóźnienia — brak wyjaśnienia może skutkować odrębną karą.
Kiedy muszę wyznaczyć inspektora ochrony danych?
Inspektor jest obowiązkowy w trzech przypadkach: gdy jesteś organem publicznym (z wyjątkiem sądów), gdy Twoja główna działalność polega na monitorowaniu osób na dużą skalę (na przykład firmy ochroniarskie z monitoringiem wizyjnym) lub gdy przetwarzasz na dużą skalę dane wrażliwe (dane zdrowotne, biometryczne, dotyczące przekonań religijnych). W pozostałych przypadkach wyznaczenie inspektora jest dobrowolne, ale stanowi dobrą praktykę — zwłaszcza dla firm zatrudniających powyżej 50 pracowników.
Co zrobić, gdy klient zażąda usunięcia wszystkich swoich danych?
Przeanalizuj żądanie w kontekście wszystkich podstaw przetwarzania. Dane przetwarzane na podstawie zgody usuwasz. Dane niezbędne do wykonania umowy możesz zachować do czasu przedawnienia roszczeń. Dane wymagane przepisami prawa (na przykład faktury księgowe) zachowujesz przez okres wymagany ustawowo. Na odpowiedź masz miesiąc, a odmowę musisz szczegółowo uzasadnić, wskazując konkretne podstawy prawne.
Czy mogę przesyłać dane do USA po unieważnieniu Tarczy Prywatności?
Tak, od lipca 2023 roku obowiązuje Data Privacy Framework, który zastąpił Tarczę Prywatności i został zatwierdzony decyzją Komisji Europejskiej. Amerykańskie firmy certyfikowane w ramach DPF mogą otrzymywać dane z UE bez dodatkowych zabezpieczeń. Jeśli Twój dostawca nie posiada certyfikacji DPF, musisz stosować standardowe klauzule umowne wraz z oceną skutków transferu. W 2026 roku DPF jest powszechnie przyjętym standardem — najwięksi dostawcy chmurowi, w tym Microsoft, posiadają tę certyfikację.
Jakie zabezpieczenia techniczne są wymagane przez RODO?
RODO nie narzuca konkretnych rozwiązań technicznych, mówiąc o środkach odpowiednich do poziomu ryzyka. W 2026 roku za standard uważa się: szyfrowanie danych w spoczynku i podczas transmisji (AES-256, TLS 1.3), uwierzytelnianie wieloskładnikowe dla systemów przetwarzających dane osobowe, regularne kopie zapasowe, testy penetracyjne przeprowadzane co najmniej raz w roku, kontrolę dostępu opartą na rolach (RBAC) oraz logowanie zdarzeń umożliwiające audyt i śledztwo powłamaniowe.
Jak długo mogę przechowywać dane byłych klientów?
Nie ma jednej uniwersalnej odpowiedzi. Okres przechowywania zależy od celu i podstawy prawnej. Dane niezbędne do rozliczeń podatkowych przechowujesz 5 lat. Dane do obrony przed roszczeniami — do czasu przedawnienia roszczeń wynikających z umowy (zazwyczaj 6 lat od zakończenia współpracy). Dane marketingowe przetwarzane na podstawie zgody — do momentu jej wycofania. Po ustaniu celu dane należy usunąć lub trwale zanonimizować.
Czy muszę prowadzić rejestr czynności przetwarzania jako mała firma?
Firmy zatrudniające mniej niż 250 osób są zwolnione z obowiązku prowadzenia rejestru, chyba że przetwarzanie może powodować ryzyko naruszenia praw i wolności, nie ma charakteru okazjonalnego lub obejmuje dane wrażliwe. W praktyce niemal każda firma przetwarzająca dane klientów w sposób systematyczny — na przykład sklep internetowy — powinna prowadzić rejestr. To również użyteczne narzędzie zarządcze, które porządkuje procesy i ułatwia wykazanie zgodności podczas kontroli.
Co grozi za niezłożenie rejestru naruszeń w terminie?
Sam brak rejestru czynności przetwarzania nie wymaga zgłoszenia w terminie 72 godzin — to obowiązek ciągły. Natomiast za naruszenie polegające na niezgłoszeniu incydentu w terminie 72 godzin grozi kara do 10 milionów euro lub 2 procent rocznego światowego obrotu. W praktyce polski organ nadzorczy za nieterminowe zgłoszenia nakłada kary w przedziale od 15 000 do 250 000 złotych, w zależności od skali naruszenia i liczby osób poszkodowanych.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.