W 2026 roku Urząd Ochrony Danych Osobowych nałożył już kary przekraczające łącznie 15 milionów złotych na polskie firmy — od jednoosobowych działalności po duże spółki. Większość naruszeń, które doprowadziły do tych kar, nie była efektem złej woli przedsiębiorcy. Były to zaniedbania organizacyjne: brak polityki prywatności, niezawarte umowy powierzenia z podmiotami zewnętrznymi, zbieranie zgód tam, gdzie nie było to konieczne, albo — odwrotnie — przetwarzanie danych bez żadnej podstawy prawnej. Jeśli prowadzisz firmę i przetwarzasz dane osobowe swoich klientów, pracowników lub kontrahentów, ten artykuł jest dla Ciebie.
Kto jest administratorem danych osobowych i co to oznacza w praktyce
Administrator danych osobowych to podmiot, który decyduje o celach i sposobach przetwarzania danych. Jeżeli prowadzisz firmę i zbierasz dane klientów — imię, nazwisko, adres e-mail, numer telefonu — to Ty jesteś administratorem. Nie jest nim Twój dostawca oprogramowania CRM ani firma hostingowa, choć przetwarza dane w Twoim imieniu. To rozróżnienie jest fundamentalne, bo jako administrator ponosisz pełną odpowiedzialność za zgodność przetwarzania z przepisami RODO.
W praktyce oznacza to, że musisz wiedzieć, jakie dane zbierasz, po co je zbierasz, jak długo je przechowujesz i komu je udostępniasz. Brzmi prosto, ale wielu przedsiębiorców nie potrafi odpowiedzieć na te pytania bez wcześniejszego audytu. Zdarza się, że firma przechowuje dane klientów przez 10 lat, choć wystarczyłyby 2 lata, albo udostępnia dane marketingowe podmiotom trzecim bez żadnej umowy.
Administratorem może być zarówno spółka z o.o., jak i osoba fizyczna prowadząca działalność gospodarczą. Rozmiar firmy nie zwalnia z obowiązków — RODO obowiązuje każdego, kto przetwarza dane osób fizycznych w ramach prowadzonej działalności. Jedynym istotnym wyjątkiem jest przetwarzanie danych w celach czysto osobistych lub domowych, co w kontekście biznesowym praktycznie nie ma zastosowania.
Siedem zasad przetwarzania danych — fundament każdego wdrożenia RODO
RODO opiera się na siedmiu zasadach przetwarzania danych, które administrator musi stosować łącznie. Nie wystarczy spełnić jedną czy dwie — wszystkie muszą być przestrzegane jednocześnie. Zacznę od omówienia każdej z nich w kontekście, który ma znaczenie dla codziennej działalności firmy.
Zasada legalności, rzetelności i przejrzystości oznacza, że przetwarzasz dane na podstawie jednej z sześciu przesłanek (o których piszę w kolejnym rozdziale), nie wprowadzasz osób w błąd co do tego, jak ich dane są wykorzystywane, i informujesz je o tym w sposób zrozumiały. Zasada ograniczenia celu nakazuje zbierać dane tylko w konkretnych, wyraźnych celach i nie przetwarzać ich później w sposób niezgodny z tymi celami. Zasada minimalizacji danych mówi, że zbierasz tylko tyle danych, ile naprawdę potrzebujesz — jeśli do wysyłki newslettera wystarczy adres e-mail, nie powinieneś wymagać numeru telefonu i adresu zamieszkania.
Zasada prawidłowości zobowiązuje Cię do dbania o aktualność danych i usuwania błędnych informacji. Zasada ograniczenia przechowywania nakazuje usuwać dane, gdy cel przetwarzania ustał — tu najczęściej pojawiają się problemy, bo firmy nie wdrażają żadnych procedur kasowania danych. Zasada integralności i poufności to obowiązek zabezpieczenia danych przed nieuprawnionym dostępem, utratą czy zniszczeniem. Wreszcie zasada rozliczalności — administrator musi być w stanie udowodnić, że przestrzega wszystkich powyższych zasad. To właśnie dlatego dokumentacja RODO ma tak duże znaczenie.
1. Legalność, rzetelność i przejrzystość
2. Ograniczenie celu
3. Minimalizacja danych
4. Prawidłowość
5. Ograniczenie przechowywania
6. Integralność i poufność
7. Rozliczalność
Nieprzestrzeganie którejkolwiek z zasad może stanowić podstawę do wszczęcia postępowania przez UODO.
Kiedy potrzebna jest zgoda, a kiedy wystarczy inny warunek
Jednym z największych mitów wokół RODO jest przekonanie, że zawsze potrzebujesz zgody osoby, której dane przetwarzasz. To błąd, który prowadzi do dwóch skrajności: albo firmy zbierają zgody wszędzie i na wszystko (co jest nadmiarowe i często niepotrzebne), albo rezygnują z nich tam, gdzie są faktycznie wymagane. RODO przewiduje sześć podstaw prawnych przetwarzania danych i zgoda jest tylko jedną z nich.
Zgoda (art. 6 ust. 1 lit. a RODO) jest potrzebna m.in. przy wysyłce marketingu bezpośredniego, profilowaniu w celach reklamowych czy przetwarzaniu danych szczególnej kategorii (np. danych zdrowotnych). Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna — nie można jej domniemywać z milczenia ani z zaznaczonego z góry checkboxa. Wykonanie umowy (lit. b) pozwala przetwarzać dane niezbędne do realizacji umowy zawartej z osobą, której dane dotyczą — np. dane adresowe klienta do wysyłki zamówionego towaru. Obowiązek prawny (lit. c) daje podstawę do przetwarzania danych wymaganego przez przepisy prawa — np. przechowywanie faktur przez 5 lat dla celów podatkowych.
Uzasadniony interes administratora (lit. f) to podstawa, z której wiele firm korzysta zbyt pochopnie lub — odwrotnie — bojąc się jej, niepotrzebnie zbiera zgody. Uzasadniony interes może uzasadniać np. prowadzenie monitoringu wizyjnego w firmie dla celów bezpieczeństwa, marketing bezpośredni do istniejących klientów czy dochodzenie roszczeń. Warunkiem jest przeprowadzenie testu równoważenia — interes administratora musi być ważniejszy niż prawa i wolności osoby, której dane dotyczą. Jeśli potrzebujesz pomocy w ocenie, czy Twoja firma może skorzystać z tej podstawy, zapraszam do kontaktu — jako prawnik specjalizujący się w prawie nowych technologii pomagam firmom przejść przez ten proces krok po kroku.
Dokumentacja RODO — jakie dokumenty musi mieć każda firma
Brak dokumentacji to jeden z najczęstszych powodów, dla których UODO stwierdza naruszenia w trakcie kontroli. Nawet jeśli faktycznie przetwarzasz dane zgodnie z RODO, bez odpowiedniej dokumentacji nie możesz tego udowodnić. Zasada rozliczalności działa w obie strony — to na administratorze spoczywa ciężar wykazania zgodności, nie na organie nadzorczym.
Polityka prywatności to dokument skierowany do osób, których dane przetwarzasz. Musi zawierać informacje o administratorze, celach i podstawach przetwarzania, odbiorcach danych, czasie przechowywania oraz prawach osób. Uwaga: polityka prywatności na stronie internetowej to nie jedyna klauzula informacyjna, jaką musisz stosować. Osobne klauzule powinny towarzyszyć formularzom rekrutacyjnym, umowom z klientami czy formularzom kontaktowym. Rejestr czynności przetwarzania to wewnętrzny dokument prowadzony przez administratora, który opisuje wszystkie procesy związane z danymi osobowymi w firmie. Formalnie obowiązek jego prowadzenia dotyczy podmiotów zatrudniających ponad 250 osób, ale UODO zaleca prowadzenie rejestru wszystkim firmom — i słusznie, bo bez niego trudno zarządzać danymi.
Umowy powierzenia przetwarzania danych to obowiązek, o którym wiele firm zapomina. Jeśli korzystasz z zewnętrznego biura rachunkowego, dostawcy CRM, systemu mailingowego czy firmy hostingowej — i te podmioty mają dostęp do Twoich danych osobowych — musisz mieć z nimi zawartą umowę powierzenia. Brak takiej umowy był podstawą kilku głośnych kar UODO. Polityka bezpieczeństwa i dokumentacja środków technicznych i organizacyjnych zamykają minimalny zestaw dokumentów, który powinna posiadać każda firma.
Kary UODO — ile i za co nakłada sankcje urząd w Polsce
RODO przewiduje kary administracyjne do 20 milionów euro lub 4% całkowitego rocznego obrotu światowego przedsiębiorstwa (w zależności od tego, która kwota jest wyższa). W Polsce kary nakłada Prezes UODO. Przez kilka pierwszych lat po wejściu RODO w życie polskie kary były stosunkowo niskie, ale od 2023 roku widać wyraźną zmianę — urząd stał się bardziej zdecydowany i bardziej skłonny do nakładania wysokich sankcji.
W 2023 roku UODO nałożył karę 363 000 zł na spółkę z branży ubezpieczeniowej za niewdrożenie odpowiednich środków technicznych i organizacyjnych po wycieku danych. W tym samym roku firma z sektora e-commerce zapłaciła ponad 200 000 zł za brak umowy powierzenia z podmiotem zewnętrznym obsługującym zamówienia. W 2024 roku głośna stała się sprawa podmiotu medycznego, który otrzymał karę przekraczającą 500 000 zł za udostępnienie danych pacjentów osobom nieupoważnionym i brak procedur obsługi żądań podmiotów danych. W 2025 roku padł kolejny rekord — spółka z branży finansowej zapłaciła ponad 1,5 miliona złotych za naruszenie zasady minimalizacji i długotrwałe przechowywanie danych bez podstawy prawnej.
Co istotne, UODO nakłada kary nie tylko za wycieki danych. Sankcje grożą za brak klauzul informacyjnych, nieprowadzenie rejestru czynności, odmowę realizacji praw osoby, naruszenie zasady ograniczenia celu czy brak umów powierzenia. Małe firmy mogą spać spokojnie? Niekoniecznie — UODO prowadzi postępowania również wobec jednoosobowych działalności gospodarczych i spółek z kilkuosobowym zespołem.
Prawa osób — jak obsługiwać żądania klientów i pracowników
RODO przyznaje osobom fizycznym szereg praw, a administrator ma obowiązek umożliwić ich realizację. Niedopełnienie tego obowiązku — w szczególności ignorowanie lub odmowa realizacji żądań bez podstawy prawnej — to jedno z najczęstszych naruszeń stwierdzanych przez UODO. Co więcej, każda osoba, której żądanie zostało zignorowane, może złożyć skargę do organu nadzorczego. Wyjaśnię, jak w praktyce obsługiwać najważniejsze prawa.
Prawo dostępu (art. 15 RODO) daje osobie możliwość uzyskania potwierdzenia, czy jej dane są przetwarzane, oraz kopii tych danych. Termin odpowiedzi to co do zasady miesiąc od otrzymania żądania (z możliwością przedłużenia o kolejne dwa miesiące w przypadku złożonych żądań, po poinformowaniu osoby). Odpowiedź powinna zawierać nie tylko kopię danych, ale też informacje o celach przetwarzania, kategoriach odbiorców, planowanym czasie przechowywania i przysługujących prawach. Prawo do usunięcia danych (art. 17 RODO), zwane prawem do bycia zapomnianym, nie jest bezwzględne — istnieje szereg przesłanek, które uzasadniają odmowę, np. konieczność wywiązania się z obowiązku prawnego czy dochodzenie roszczeń. Warto mieć to jasno opisane w procedurze wewnętrznej.
Prawo do sprzeciwu (art. 21 RODO) przysługuje w szczególności wobec przetwarzania opartego na uzasadnionym interesie administratora lub dla celów marketingu bezpośredniego. W tym drugim przypadku sprzeciw jest bezwzględny — administrator musi niezwłocznie zaprzestać przetwarzania. W pozostałych przypadkach może kontynuować przetwarzanie, jeśli wykaże nadrzędne, prawnie uzasadnione podstawy. Procedura obsługi praw powinna być opisana w dokumentacji wewnętrznej i znana osobom odpowiedzialnym za kontakt z klientami. Najlepiej wyznaczyć konkretną osobę lub dział odpowiedzialny za obsługę żądań RODO.
Audyt RODO — co sprawdzić w pierwszej kolejności
Jeśli do tej pory nie przeprowadziłeś w swojej firmie audytu zgodności z RODO, zacznij od pięciu obszarów, które najczęściej zawierają luki. Pierwszym krokiem jest mapowanie przepływów danych — sporządź listę wszystkich zbiorów danych osobowych, które przetwarzasz: dane klientów, pracowników, kontrahentów, subskrybentów newslettera, kandydatów do pracy. Dla każdego zbioru określ cel, podstawę prawną i planowany czas przechowywania.
Drugim obszarem są umowy z podmiotami zewnętrznymi. Przejrzyj wszystkich dostawców usług, którym udostępniasz dane osobowe — firmę księgową, dostawcę poczty e-mail, system CRM, platformę e-commerce, agencję marketingową. Sprawdź, czy masz z każdym z nich podpisaną umowę powierzenia przetwarzania danych. Trzecim obszarem są klauzule informacyjne — czy każde miejsce zbierania danych (formularz kontaktowy, formularz zamówienia, umowa, rekrutacja) zawiera kompletną klauzulę informacyjną zgodną z art. 13 lub 14 RODO?
Czwartym elementem jest ocena zabezpieczeń technicznych — szyfrowanie danych, kontrola dostępu, kopie zapasowe, procedury na wypadek wycieku. Piątym — procedury wewnętrzne: czy Twoi pracownicy wiedzą, jak obsługiwać żądania podmiotów danych, jak zgłaszać naruszenia i jak postępować z danymi po zakończeniu współpracy? Jako radca prawny specjalizujący się w prawie nowych technologii przeprowadzam audyty RODO i pomagam firmom w Lublinie i całej Polsce wdrożyć zgodność z przepisami w sposób, który nie paraliżuje działalności, lecz ją porządkuje.
RODO w firmie — jak działa wdrożenie krok po kroku
Wdrożenie RODO w firmie to proces, a nie jednorazowe działanie. Zacznij od audytu — poznaj punkt startowy. Następnie wdróż dokumentację: politykę prywatności, rejestr czynności przetwarzania, klauzule informacyjne, umowy powierzenia. Kolejnym krokiem jest szkolenie pracowników — najlepsza dokumentacja nie zadziała, jeśli ludzie nie wiedzą, jak z niej korzystać. Na końcu wdróż procedury operacyjne: obsługę żądań podmiotów danych, procedurę zgłaszania naruszeń do UODO (masz na to 72 godziny od stwierdzenia naruszenia) i politykę retencji danych.
Utrzymanie zgodności wymaga regularnych przeglądów. RODO to żywy dokument — zmieniasz oprogramowanie, zatrudniasz nowych dostawców, wprowadzasz nowe produkty. Za każdym razem należy ocenić, czy zmiana wpływa na przetwarzanie danych osobowych i czy dokumentacja wymaga aktualizacji. Raz do roku warto przeprowadzić pełny przegląd, żeby upewnić się, że rzeczywistość w firmie odpowiada temu, co opisują dokumenty.
Jeśli chcesz mieć pewność, że Twoja firma działa zgodnie z RODO w 2026 roku — zapraszam do kontaktu z Kancelarią Cenkier. Działamy przy ul. Krótkiej 4/3 w Lublinie, tel. +48 792 911 906, e-mail: kancelaria@cenkier.pl. Pomagam przedsiębiorcom z całej Polski — zarówno w siedzibie kancelarii, jak i zdalnie.
Powiązane strony