Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Rozporządzenie RODO — poradnik praktyczny 2026

RODO reguluje każdą operację na danych osobowych — od zbierania, przez przechowywanie, po usuwanie. Dane osobowe to wszelkie informacje umożliwiające bezpośredn

17 min czytania·Zaktualizowano dzisiaj

RODO (Rozporządzenie o Ochronie Danych Osobowych, oficjalnie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) to obowiązujący od 25 maja 2018 roku akt prawny Unii Europejskiej regulujący przetwarzanie danych osobowych osób fizycznych. W 2026 roku — osiem lat po wejściu w życie — RODO pozostaje fundamentem ochrony prywatności w Europie, z ponad 4 miliardami euro nałożonych kar od początku obowiązywania i kolejnymi nowelizacjami dostosowującymi przepisy do ery sztucznej inteligencji. Dla polskich przedsiębiorców RODO to nie tylko wymóg prawny, ale też element budowania zaufania klientów i kontrahentów. Każda firma — od jednoosobowej działalności gospodarczej po korporację zatrudniającą tysiące pracowników — musi znać i stosować zasady RODO, a niedopełnienie obowiązków grozi karą administracyjną do 20 milionów euro lub 4% rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa).

Czym jest RODO — definicja i podstawowe pojęcia

RODO reguluje każdą operację na danych osobowych — od zbierania, przez przechowywanie, po usuwanie. Dane osobowe to wszelkie informacje umożliwiające bezpośrednią lub pośrednią identyfikację osoby fizycznej: imię i nazwisko, numer PESEL, adres e-mail, adres IP, dane o lokalizacji, identyfikatory plików cookie, a także dane biometryczne, genetyczne i dotyczące zdrowia. Rozporządzenie definiuje kluczowe role:

  • Administrator danych (ADO) — podmiot (firma, organizacja, instytucja) decydujący o celach i środkach przetwarzania danych. To na administratorze spoczywa główna odpowiedzialność za zgodność z RODO.
  • Podmiot przetwarzający (procesor) — podmiot przetwarzający dane w imieniu administratora (np. firma hostingowa, dostawca systemu CRM w chmurze, zewnętrzna księgowość). Administrator musi zawrzeć z procesorem umowę powierzenia przetwarzania danych.
  • Inspektor Ochrony Danych (IOD) — osoba wyznaczona do monitorowania zgodności z RODO, obowiązkowa m.in. dla organów publicznych i firm przetwarzających dane na dużą skalę.
  • Podmiot danych — osoba fizyczna, której dane dotyczą. RODO przyznaje jej szereg praw: dostęp do danych, sprostowanie, usunięcie („prawo do bycia zapomnianym”), ograniczenie przetwarzania, przenoszenie danych, sprzeciw wobec przetwarzania.

Podstawą legalnego przetwarzania RODO jest jedna z sześciu przesłanek wymienionych w art. 6: zgoda osoby, wykonanie umowy, obowiązek prawny administratora, ochrona żywotnych interesów, zadanie w interesie publicznym lub prawnie uzasadniony interes administratora. W praktyce biznesowej najczęściej stosuje się wykonanie umowy (np. przetwarzanie danych klienta w celu realizacji zamówienia) oraz prawnie uzasadniony interes (np. marketing bezpośredni własnych produktów do istniejących klientów). Zgoda powinna być stosowana wyłącznie wtedy, gdy żadna inna przesłanka nie zachodzi — musi być dobrowolna, konkretna, świadoma i jednoznaczna, a jej wycofanie musi być równie łatwe jak wyrażenie.

Obowiązki administratora danych w 2026 roku

Praktyczne wdrożenie RODO w firmie w 2026 roku wymaga spełnienia szeregu obowiązków dokumentacyjnych i organizacyjnych. Oto ich kompletna lista w ujęciu operacyjnym:

Rejestr czynności przetwarzania — każdy administrator musi prowadzić i aktualizować rejestr wszystkich operacji na danych: jakie dane, w jakim celu, na jakiej podstawie prawnej, komu przekazywane, przez jaki okres przechowywane. Wyjątek: firmy zatrudniające mniej niż 250 osób, o ile przetwarzanie nie niesie ryzyka naruszenia praw, nie jest przetwarzaniem szczególnych kategorii danych (dane wrażliwe) i nie ma charakteru ciągłego. W praktyce jednak niemal każda firma prowadząca bazę klientów, newsletter czy monitoring wizyjny powinna prowadzić rejestr.

Obowiązek informacyjny — przed zebraniem danych administrator musi przekazać osobie fizycznej komplet informacji: tożsamość i dane kontaktowe administratora (oraz IOD, jeśli wyznaczony), cele i podstawę prawną przetwarzania, odbiorców danych, okres przechowywania, informację o prawach podmiotu danych, prawie do cofnięcia zgody i wniesienia skargi do Prezesa UODO. Obowiązek informacyjny realizuje się najczęściej poprzez klauzulę informacyjną na formularzach, stronie internetowej, w umowach i regulaminach.

Ocena skutków dla ochrony danych (DPIA) — obowiązkowa przed rozpoczęciem przetwarzania, które może powodować wysokie ryzyko naruszenia praw osób fizycznych. Dotyczy w szczególności: systematycznej oceny czynników osobowych (profilowanie), przetwarzania danych wrażliwych na dużą skalę oraz systematycznego monitorowania osób na dużą skalę (np. monitoring wizyjny w przestrzeni publicznej, geolokalizacja pracowników).

Zgłaszanie naruszeń — w przypadku wycieku lub innego naruszenia ochrony danych administrator ma 72 godziny na zgłoszenie incydentu do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Jeśli naruszenie może skutkować wysokim ryzykiem dla praw osób fizycznych, administrator musi również powiadomić same osoby, których dane dotyczą. W 2025 roku PUODO odnotował ponad 20 tysięcy zgłoszeń naruszeń od polskich podmiotów — średnio 55 dziennie.

Privacy by design i privacy by default — zasady te wymagają, aby ochrona danych była wbudowana w procesy i systemy od samego początku ich projektowania (np. minimalizacja zbieranych danych, pseudonimizacja, domyślne ustawienia prywatności w aplikacjach). W praktyce oznacza to, że przy wdrażaniu nowego systemu CRM, sklepu internetowego czy aplikacji HR należy przeanalizować aspekty RODO przed uruchomieniem, a nie dopasowywać je post factum.

RODO a technologie 2026: AI, chmura i praca zdalna

Rok 2026 przynosi nowe wyzwania na styku RODO i nowoczesnych technologii. Trzy obszary dominują w dyskusjach prawników i praktyków ochrony danych:

Sztuczna inteligencja i AI Act — od sierpnia 2024 roku obowiązuje unijny AI Act, który uzupełnia RODO w zakresie systemów sztucznej inteligencji przetwarzających dane osobowe. Firmy korzystające z Microsoft 365 Copilot, ChatGPT Enterprise, systemów rekrutacyjnych opartych na AI czy narzędzi analitycznych muszą uwzględnić dodatkowe obowiązki: przeprowadzenie oceny ryzyka systemu AI, zapewnienie nadzoru człowieka nad decyzjami zautomatyzowanymi, możliwość wyjaśnienia decyzji podjętych przez algorytm. RODO już wcześniej przyznawało podmiotom danych prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (art. 22) — AI Act rozszerza to o szczegółowe wymogi techniczne i dokumentacyjne.

Chmura obliczeniowa i transfery danych — większość polskich firm przechowuje dane w chmurze: Microsoft 365, Google Workspace, Amazon AWS, polskie chmury krajowe. RODO wymaga, aby transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) odbywał się wyłącznie do państw zapewniających adekwatny poziom ochrony lub na podstawie odpowiednich zabezpieczeń (standardowe klauzule umowne, wiążące reguły korporacyjne). W 2023 roku Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni poziom ochrony dla USA (EU-US Data Privacy Framework), co znacząco uprościło korzystanie z amerykańskich dostawców chmury. W 2026 roku firmy korzystające z Microsoft 365, Azure czy AWS powinny zweryfikować, czy ich dostawca posiada certyfikację w ramach Data Privacy Framework.

Praca zdalna i hybrydowa — upowszechnienie pracy zdalnej stworzyło nowe ryzyka: dane firmowe przetwarzane na prywatnych komputerach pracowników, dokumenty drukowane w domu, wideokonferencje nagrywane bez zgody uczestników. RODO wymaga od pracodawcy wdrożenia odpowiednich środków technicznych i organizacyjnych również w kontekście pracy zdalnej: szyfrowanie dysków, VPN, polityka czystego biurka w domu, zakaz przesyłania danych służbowych na prywatne skrzynki e-mail. Firmy powinny zaktualizować regulamin pracy zdalnej o zapisy zgodne z RODO oraz przeprowadzić szkolenie pracowników.

Kary RODO — skala i przykłady z lat 2024–2026

Mechanizm kar finansowych jest najsilniejszym narzędziem egzekwowania RODO. Kary nakładane są przez organy nadzorcze poszczególnych państw członkowskich — w Polsce przez Prezesa Urzędu Ochrony Danych Osobowych. Wysokość kar zależy od wagi naruszenia, czasu jego trwania, liczby poszkodowanych osób, stopnia współpracy administratora z organem nadzorczym oraz tego, czy naruszenie było umyślne czy wynikało z niedbalstwa.

Oto wybrane kary nałożone w Europie w latach 2024–2026, pokazujące realną skalę ryzyka:

PodmiotKrajKwota karyPrzyczyna
Meta Platforms IrelandIrlandia1,2 mld EUR (2023, prawomocna 2024)Niezgodny z RODO transfer danych do USA
TikTokIrlandia/Wielka Brytania345 mln EUR (2024)Nieprawidłowe przetwarzania danych dzieci
Duża instytucja finansowa (nazwa utajniona)Polska4,5 mln PLN (2025)Brak zabezpieczeń przed wyciekiem danych klientów
Szpital wojewódzkiPolska1,8 mln PLN (2024)Nieuprawniony dostęp do dokumentacji medycznej przez personel
Firma e-commercePolska850 tys. PLN (2025)Niezgłoszenie naruszenia w terminie 72 godzin
Spółka telekomunikacyjnaNiemcy12 mln EUR (2025)Brak inspektora ochrony danych mimo obowiązku
Platforma social mediaIrlandia310 mln EUR (2026)Nieprawidłowości w mechanizmie zgody na reklamy behawioralne

Polski UODO nakłada średnio 15–25 kar rocznie. W 2025 roku łączna suma kar w Polsce przekroczyła 12 milionów złotych. Najczęstsze przyczyny kar w Polsce: niewystarczające zabezpieczenia techniczne (brak szyfrowania, niezabezpieczone serwery), niezgłoszenie naruszenia w ciągu 72 godzin, brak umowy powierzenia przetwarzania z podwykonawcą, nieprzeprowadzenie oceny skutków DPIA oraz ignorowanie żądań podmiotów danych (np. brak odpowiedzi na wniosek o usunięcie danych).

Warto podkreślić, że kara RODO może zostać nałożona na każdą firmę — nie tylko na korporacje. W 2025 roku PUODO ukarał jednoosobową działalność gospodarczą kwotą 60 000 PLN za niezgłoszenie wycieku bazy klientów. Brak świadomości lub niewielka skala działalności nie stanowią okoliczności wyłączającej karę.

RODO w małej i średniej firmie — lista kontrolna zgodności

Dla właściciela MŚP (małe i średnie przedsiębiorstwo) RODO często wydaje się abstrakcyjne i przytłaczające. Poniższa praktyczna lista kontrolna pozwala zweryfikować podstawową zgodność w ciągu jednego dnia roboczego:

  1. Wyznacz osobę odpowiedzialną — nie musi to być etatowy IOD, ale ktoś w firmie musi koordynować kwestie RODO (właściciel, office manager, zaufany pracownik). Dla firm przetwarzających dane wrażliwe na dużą skalę — wyznaczenie IOD jest obowiązkowe.

  2. Stwórz rejestr czynności przetwarzania — wypisz wszystkie procesy, w których używasz danych osobowych: baza klientów w programie księgowym, lista mailingowa, monitoring wizyjny, pliki pracownicze, dane kandydatów do pracy, formularz kontaktowy na stronie. Dla każdego procesu określ cel, podstawę prawną i okres przechowywania. Szablon rejestru dostępny jest na stronie PUODO.

  3. Przygotuj i wdróż klauzule informacyjne — dla klientów, pracowników, kontrahentów, odwiedzających stronę internetową. Klauzula musi być zwięzła, napisana prostym językiem i łatwo dostępna (strona www, regulamin, formularz zamówienia).

  4. Zawrzyj umowy powierzenia przetwarzania — z każdym zewnętrznym podmiotem, który przetwarza dane w Twoim imieniu: biuro rachunkowe, firma IT, dostawca hostingu, firma ochroniarska (monitoring), agencja marketingowa (newsletter). Umowa musi określać zakres danych, cel przetwarzania i obowiązki procesora.

  5. Wdróż zabezpieczenia techniczne — szyfrowanie dysków (BitLocker w Windows 11 24H2, FileVault w macOS), aktualne oprogramowanie antywirusowe (Microsoft Defender for Business w ramach Microsoft 365 Business Premium), polityka haseł i MFA (uwierzytelnianie wieloskładnikowe), szyfrowane połączenia VPN, kontrola dostępu fizycznego do serwerowni i szaf z dokumentacją papierową.

  6. Opracuj procedurę na wypadek naruszenia — kto w firmie odpowiada za wykrycie naruszenia, kto decyduje o zgłoszeniu do PUODO, w jakim terminie i w jakiej formie. Wzór procedury i formularza zgłoszenia znajduje się na stronie PUODO.

  7. Przeprowadź szkolenie pracowników — każdy pracownik mający dostęp do danych osobowych musi rozumieć podstawy RODO: czym są dane osobowe, jak je chronić, jak reagować na podejrzane e-maile (phishing), komu zgłaszać incydenty. Szkolenie może mieć formę 30-minutowej prezentacji wewnętrznej lub kursu e-learningowego.

  8. Zweryfikuj zgodę marketingową — jeśli wysyłasz newsletter lub prowadzisz marketing SMS, upewnij się, że posiadasz ważną zgodę (dobrowolna, konkretna, odrębna od zgody na przetwarzanie danych w związku z umową). Mechanizm wypisania się (unsubscribe) musi działać natychmiastowo.

RODO a KSeF i faktura VAT — dane na fakturach w 2026

Od 1 lutego 2026 roku Krajowy System e-Faktur (KSeF) jest obowiązkowy dla wszystkich podatników VAT czynnych w Polsce. KSeF wprowadza ustandaryzowany format faktur ustrukturyzowanych (xml FA(2)), co rodzi konkretne pytania o RODO na styku fakturowania i ochrony danych.

Faktura VAT zawiera dane osobowe nabywcy — imię i nazwisko (lub nazwę firmy z imieniem i nazwiskiem właściciela w przypadku JDG) oraz adres. Są to dane osobowe podlegające RODO. Wystawiając fakturę, przetwarzasz te dane na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c RODO) — przepisy ustawy o VAT nakazują umieszczanie tych danych na fakturze. Nie potrzebujesz odrębnej zgody klienta na przetwarzanie jego danych w celu wystawienia faktury.

Kluczowe obowiązki RODO w kontekście KSeF:

  • Minimalizacja danych — na fakturze umieszczaj tylko dane wymagane przepisami podatkowymi. Nie dodawaj numeru PESEL (chyba że klient o to prosi w celu identyfikacji), numeru dowodu osobistego ani innych zbędnych informacji.
  • Bezpieczeństwo systemu KSeF — faktury ustrukturyzowane są przechowywane na platformie KSeF, której administratorem jest Ministerstwo Finansów. Firma wystawiająca fakturę ponosi jednak odpowiedzialność za bezpieczeństwo procesu generowania i przesyłania faktur — system księgowy musi być zabezpieczony przed nieuprawnionym dostępem.
  • Okres przechowywania — faktury należy przechowywać przez okres wynikający z przepisów podatkowych (standardowo 5 lat od końca roku podatkowego). Po upływie tego okresu dane na fakturach — o ile nie są potrzebne do innych celów (np. roszczeń cywilnoprawnych) — powinny zostać usunięte lub zanonimizowane.
  • Obowiązek informacyjny — klauzula informacyjna RODO powinna obejmować przetwarzanie danych w związku z wystawianiem faktur (cel: obowiązek podatkowy, podstawa: obowiązek prawny, okres: 5 lat od zakończenia roku podatkowego).

Dla firm kupujących oprogramowanie — na przykład klucze Microsoft 365 dla firm — faktura VAT 23% wystawiona przez polskiego dostawcę jak KluczeSoft.pl podlega tym samym zasadom RODO co każda inna faktura. Dane nabywcy są przetwarzane wyłącznie w celach rozliczeniowych i podatkowych.

Najczęstsze błędy RODO w polskich firmach

Mimo ośmiu lat obowiązywania przepisów, audyty RODO w polskich firmach wciąż ujawniają powtarzające się błędy. Oto katalog najczęstszych uchybień wraz z praktycznymi konsekwencjami:

  • Brak rejestru czynności przetwarzania — firma „wie, co robi”, ale nie ma tego udokumentowanego. W razie kontroli PUODO brak rejestru jest natychmiast wykrywany i skutkuje wezwaniem do uzupełnienia w ciągu 30 dni, a przy dalszym braku — karą finansową.

  • Niewłaściwa podstawa prawna dla marketingu — nagminne wysyłanie newslettera na podstawie „prawnie uzasadnionego interesu” zamiast zgody. Marketing bezpośredni własnych produktów do istniejących klientów może opierać się na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f) w związku z art. 10 ustawy o świadczeniu usług drogą elektroniczną i Prawa telekomunikacyjnego), ale marketing podmiotów trzecich lub zimne bazy — już nie.

  • Nieaktualne klauzule informacyjne — skopiowane z internetu w 2018 roku, zawierające odniesienia do nieaktualnych przepisów (np. GIODO zamiast PUODO, stara numeracja artykułów). Klauzula musi być dostosowana do faktycznych procesów przetwarzania w firmie.

  • Brak umowy powierzenia z biurem rachunkowym — zaskakująco częsty błąd. Biuro rachunkowe przetwarza dane klientów i pracowników firmy, więc jest procesorem — umowa powierzenia jest obowiązkowa. Bez niej obie strony ryzykują karą.

  • Nieograniczony okres przechowywania danych — firmy przechowują CV kandydatów sprzed 10 lat, bazy klientów archiwalnych bez okresu retencji, kopie zapasowe bez polityki rotacji. RODO wymaga określenia maksymalnego okresu przechowywania dla każdej kategorii danych.

  • Niezgłaszanie naruszeń — firmy bagatelizują wycieki („wysłałem CV nie do tego klienta”, „zgubiłem pendrive z bazą”) i nie zgłaszają ich do PUODO. Konsekwencja: podwójna kara — za samo naruszenie i za brak zgłoszenia. W 2025 roku polski UODO nałożył karę 220 000 PLN na firmę, która nie zgłosiła wycieku bazy 8 000 klientów, uznając, że administrator świadomie zlekceważył obowiązek.

Częste pytania

Czy jednoosobowa działalność gospodarcza musi stosować RODO?

Tak. RODO nie rozróżnia podmiotów ze względu na wielkość czy formę prawną. Każdy przedsiębiorca przetwarzający dane osobowe — nawet wyłącznie dane klientów na fakturach i dane pracownika (jeśli zatrudnia) — podlega RODO. Skala obowiązków jest jednak proporcjonalna: JDG wysyłająca 10 faktur miesięcznie nie potrzebuje etatowego IOD ani rozbudowanej dokumentacji, ale musi prowadzić uproszczony rejestr czynności, mieć klauzulę informacyjną i zabezpieczać dane.

Jak długo mogę przechowywać dane byłych klientów?

Dane przetwarzane w związku z umową należy przechowywać przez okres przedawnienia roszczeń (standardowo 6 lat od zakończenia współpracy dla umów gospodarczych, 3 lata dla umów z konsumentami w zakresie roszczeń konsumenckich). Dane księgowe i faktury — 5 lat od końca roku podatkowego. Po upływie tych okresów dane należy usunąć lub trwale zanonimizować, chyba że istnieje inna, ważna podstawa do ich dalszego przetwarzania.

Czy muszę zgłosić bazę danych do PUODO?

Nie. RODO zniosło obowiązek rejestracji zbiorów danych w PUODO (dawniej GIODO), który istniał przed 2018 rokiem. Obecnie nie ma obowiązku zgłaszania baz danych do organu nadzorczego. Obowiązkiem jest natomiast prowadzenie wewnętrznego rejestru czynności przetwarzania i — w przypadku naruszenia — zgłoszenie samego incydentu.

Czy mogę używać prywatnego komputera do pracy z danymi firmowymi?

Z perspektywy RODO jest to dopuszczalne wyłącznie pod warunkiem wdrożenia odpowiednich środków bezpieczeństwa: szyfrowanie dysku, oddzielne konto użytkownika dla celów służbowych, aktualne oprogramowanie antywirusowe, VPN łączący z firmową siecią. Pracodawca musi uregulować zasady pracy zdalnej w regulaminie i przeprowadzić szkolenie. Najbezpieczniejszym rozwiązaniem jest dostarczenie pracownikom służbowego sprzętu z odpowiednimi zabezpieczeniami — Microsoft 365 Business Premium w połączeniu z Windows 11 24H2 Enterprise zapewnia pełne szyfrowanie, zdalny wipe i polityki zgodności poprzez Microsoft Intune.

Co grozi za brak zgody na pliki cookie?

Pliki cookie podlegają zarówno RODO, jak i ustawie Prawo telekomunikacyjne (implementacja dyrektywy ePrivacy). Za nieprawidłowe stosowanie plików cookie — np. pre-ticked checkboxy, mur cookie bez opcji odrzucenia, ukrywanie opcji „odrzuć wszystko” — grozi kara z RODO (do 20 mln EUR lub 4% obrotu) oraz odrębna kara od PUODO jako organu właściwego dla naruszeń ePrivacy. W 2025 roku hiszpański organ nadzorczy nałożył karę 4,5 mln EUR na dużą platformę e-commerce za manipulacyjny interfejs cookie. W Polsce PUODO wydał w 2025 roku kilkanaście decyzji nakazujących dostosowanie mechanizmu cookie na stronach internetowych.

Czy muszę mieć inspektora ochrony danych?

Inspektor ochrony danych jest obowiązkowy dla: organów i podmiotów publicznych (z wyjątkiem sądów), firm, których główna działalność polega na przetwarzaniu danych wrażliwych na dużą skalę (np. szpitale, firmy ubezpieczeniowe, agencje zatrudnienia) oraz firm prowadzących systematyczne monitorowanie osób na dużą skalę (np. monitoring wizyjny w centrach handlowych, firmy telekomunikacyjne). Dla typowej firmy MŚP — biura rachunkowego, sklepu internetowego, agencji marketingowej — IOD nie jest obowiązkowy, choć jego wyznaczenie jest dobrą praktyką ułatwiającą zarządzanie zgodnością.

Czy mogę wysyłać ofertę handlową na adres e-mail znaleziony w internecie?

Nie, chyba że adres e-mail został opublikowany przez jego właściciela w sposób wyraźny i bez zastrzeżeń dotyczących wykorzystania go do marketingu — a oferta dotyczy produktów lub usług bezpośrednio związanych z działalnością adresata. W każdym innym przypadku wysyłka niezamówionej oferty handlowej narusza RODO (brak podstawy prawnej) oraz ustawę o świadczeniu usług drogą elektroniczną. Kara za spam e-mailowy może być dotkliwa — w 2024 roku PUODO nałożył 150 000 PLN kary na firmę, która kupiła bazę adresów e-mail i wysłała do niej ofertę bez zgody odbiorców.

Jak RODO wpływa na korzystanie z chmury Microsoft 365?

Microsoft 365 działa jako procesor danych w imieniu administratora (klienta). Microsoft od 2023 roku posiada certyfikację w ramach EU-US Data Privacy Framework, co legalizuje transfer danych do USA. Administrator musi jednak skonfigurować środowisko zgodnie z RODO: włączyć szyfrowanie w spoczynku (Azure Storage Service Encryption, domyślnie aktywne), włączyć audyt logów (Microsoft Purview Audit), skonfigurować polityki przechowywania danych (Microsoft Purview Data Lifecycle Management), ograniczyć dostęp zewnętrzny do SharePoint i Teams. W planie Microsoft 365 Business Standard funkcje compliance są podstawowe; dla firm przetwarzających dane wrażliwe lub objęte nadzorem branżowym zalecany jest plan Microsoft 365 Business Premium, który zawiera pełny pakiet Microsoft Purview, automatyczne etykietowanie danych i zabezpieczenia przed wyciekiem danych (DLP). Sprawdź dostępne plany na KluczeSoft.pl — otrzymasz fakturę VAT 23% i klucz licencyjny w ciągu 1–3 minut.

Jakie zabezpieczenia techniczne są wymagane przez RODO?

RODO nie wymienia konkretnych technologii, ale art. 32 nakazuje wdrożenie środków odpowiednich do ryzyka. Wymagany standard w 2026 roku obejmuje: szyfrowanie danych w spoczynku i podczas transmisji (AES-256, TLS 1.3), uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont z dostępem do danych osobowych, pseudonimizację i szyfrowanie baz danych, regularne kopie zapasowe z testowaniem odtwarzania, monitoring logów i system wykrywania naruszeń, fizyczną kontrolę dostępu do pomieszczeń i szaf serwerowych, niszczarki do dokumentów papierowych (DIN P-4 lub wyższy). Brak szyfrowania na zgubionym laptopie służbowym z danymi klientów to jedna z najczęstszych przyczyn kar PUODO — średnia kara za takie naruszenie wynosi w Polsce około 80 000 PLN.

Czy RODO dotyczy monitoringu wizyjnego?

Tak i to w sposób szczególnie rygorystyczny. Monitoring wizyjny przetwarza dane biometryczne (wizerunek twarzy) i niemal zawsze wymaga przeprowadzenia oceny skutków DPIA przed uruchomieniem. Obowiązki administratora monitoringu obejmują: wywieszenie tablic informacyjnych z klauzulą RODO i danymi kontaktowymi administratora, ograniczenie zasięgu kamer wyłącznie do własnego terenu (zakaz filmowania chodnika publicznego, sąsiedniej posesji), maksymalny okres przechowywania nagrań wynoszący standardowo 30 dni (dłuższy tylko przy uzasadnionej potrzebie, np. monitoring w banku), zabezpieczenie nagrań przed nieuprawnionym dostępem (hasło do rejestratora, szyfrowanie nośników), realizację praw podmiotów danych — każda osoba zarejestrowana przez monitoring ma prawo zażądać kopii nagrania ze swoim wizerunkiem. W 2024 roku polski sąd administracyjny utrzymał karę 950 000 PLN nałożoną przez PUODO na firmę za niezgodny z RODO monitoring wizyjny (kamery nagrywały posesję sąsiada i część chodnika bez podstawy prawnej).

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak. RODO nie rozróżnia podmiotów ze względu na wielkość czy formę prawną. Każdy przedsiębiorca przetwarzający dane osobowe — nawet wyłącznie dane klientów na fakturach i dane pracownika (jeśli zatrudnia) — podlega RODO. Skala obowiązków jest jednak proporcjonalna: JDG wysyłająca 10 faktur miesięcznie nie potrzebuje etatowego IOD ani rozbudowanej dokumentacji, ale musi prowadzić uproszczony rejestr czynności, mieć klauzulę informacyjną i zabezpieczać dane.
Dane przetwarzane w związku z umową należy przechowywać przez okres przedawnienia roszczeń (standardowo 6 lat od zakończenia współpracy dla umów gospodarczych, 3 lata dla umów z konsumentami w zakresie roszczeń konsumenckich). Dane księgowe i faktury — 5 lat od końca roku podatkowego. Po upływie tych okresów dane należy usunąć lub trwale zanonimizować, chyba że istnieje inna, ważna podstawa do ich dalszego przetwarzania.
Nie. RODO zniosło obowiązek rejestracji zbiorów danych w PUODO (dawniej GIODO), który istniał przed 2018 rokiem. Obecnie nie ma obowiązku zgłaszania baz danych do organu nadzorczego. Obowiązkiem jest natomiast prowadzenie wewnętrznego rejestru czynności przetwarzania i — w przypadku naruszenia — zgłoszenie samego incydentu.
Z perspektywy RODO jest to dopuszczalne wyłącznie pod warunkiem wdrożenia odpowiednich środków bezpieczeństwa: szyfrowanie dysku, oddzielne konto użytkownika dla celów służbowych, aktualne oprogramowanie antywirusowe, VPN łączący z firmową siecią. Pracodawca musi uregulować zasady pracy zdalnej w regulaminie i przeprowadzić szkolenie. Najbezpieczniejszym rozwiązaniem jest dostarczenie pracownikom służbowego sprzętu z odpowiednimi zabezpieczeniami — Microsoft 365 Business Premium w połączeniu z Windows 11 24H2 Enterprise zapewnia pełne szyfrowanie, zdalny wipe i polityki zgodności poprzez Microsoft Intune.
Pliki cookie podlegają zarówno RODO, jak i ustawie Prawo telekomunikacyjne (implementacja dyrektywy ePrivacy). Za nieprawidłowe stosowanie plików cookie — np. pre-ticked checkboxy, mur cookie bez opcji odrzucenia, ukrywanie opcji „odrzuć wszystko” — grozi kara z RODO (do 20 mln EUR lub 4% obrotu) oraz odrębna kara od PUODO jako organu właściwego dla naruszeń ePrivacy. W 2025 roku hiszpański organ nadzorczy nałożył karę 4,5 mln EUR na dużą platformę e-commerce za manipulacyjny interfejs cookie. W Polsce PUODO wydał w 2025 roku kilkanaście decyzji nakazujących dostosowanie mechanizmu cookie na stronach internetowych.
Inspektor ochrony danych jest obowiązkowy dla: organów i podmiotów publicznych (z wyjątkiem sądów), firm, których główna działalność polega na przetwarzaniu danych wrażliwych na dużą skalę (np. szpitale, firmy ubezpieczeniowe, agencje zatrudnienia) oraz firm prowadzących systematyczne monitorowanie osób na dużą skalę (np. monitoring wizyjny w centrach handlowych, firmy telekomunikacyjne). Dla typowej firmy MŚP — biura rachunkowego, sklepu internetowego, agencji marketingowej — IOD nie jest obowiązkowy, choć jego wyznaczenie jest dobrą praktyką ułatwiającą zarządzanie zgodnością.
Nie, chyba że adres e-mail został opublikowany przez jego właściciela w sposób wyraźny i bez zastrzeżeń dotyczących wykorzystania go do marketingu — a oferta dotyczy produktów lub usług bezpośrednio związanych z działalnością adresata. W każdym innym przypadku wysyłka niezamówionej oferty handlowej narusza RODO (brak podstawy prawnej) oraz ustawę o świadczeniu usług drogą elektroniczną. Kara za spam e-mailowy może być dotkliwa — w 2024 roku PUODO nałożył 150 000 PLN kary na firmę, która kupiła bazę adresów e-mail i wysłała do niej ofertę bez zgody odbiorców.
Microsoft 365 działa jako procesor danych w imieniu administratora (klienta). Microsoft od 2023 roku posiada certyfikację w ramach EU-US Data Privacy Framework, co legalizuje transfer danych do USA. Administrator musi jednak skonfigurować środowisko zgodnie z RODO: włączyć szyfrowanie w spoczynku (Azure Storage Service Encryption, domyślnie aktywne), włączyć audyt logów (Microsoft Purview Audit), skonfigurować polityki przechowywania danych (Microsoft Purview Data Lifecycle Management), ograniczyć dostęp zewnętrzny do SharePoint i Teams. W planie Microsoft 365 Business Standard funkcje compliance są podstawowe; dla firm przetwarzających dane wrażliwe lub objęte nadzorem branżowym zalecany je
RODO nie wymienia konkretnych technologii, ale art. 32 nakazuje wdrożenie środków odpowiednich do ryzyka. Wymagany standard w 2026 roku obejmuje: szyfrowanie danych w spoczynku i podczas transmisji (AES-256, TLS 1.3), uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont z dostępem do danych osobowych, pseudonimizację i szyfrowanie baz danych, regularne kopie zapasowe z testowaniem odtwarzania, monitoring logów i system wykrywania naruszeń, fizyczną kontrolę dostępu do pomieszczeń i szaf serwerowych, niszczarki do dokumentów papierowych (DIN P-4 lub wyższy). Brak szyfrowania na zgubionym laptopie służbowym z danymi klientów to jedna z najczęstszych przyczyn kar PUODO — średnia kara za
Tak i to w sposób szczególnie rygorystyczny. Monitoring wizyjny przetwarza dane biometryczne (wizerunek twarzy) i niemal zawsze wymaga przeprowadzenia oceny skutków DPIA przed uruchomieniem. Obowiązki administratora monitoringu obejmują: wywieszenie tablic informacyjnych z klauzulą RODO i danymi kontaktowymi administratora, ograniczenie zasięgu kamer wyłącznie do własnego terenu (zakaz filmowania chodnika publicznego, sąsiedniej posesji), maksymalny okres przechowywania nagrań wynoszący standardowo 30 dni (dłuższy tylko przy uzasadnionej potrzebie, np. monitoring w banku), zabezpieczenie nagrań przed nieuprawnionym dostępem (hasło do rejestratora, szyfrowanie nośników), realizację praw podmi

Czy ten artykuł był pomocny?