Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., znane jako RODO (ang. GDPR – General Data Protection Regulation), obowiązuje we wszystkich państwach Unii Europejskiej od 25 maja 2018 r. Od tego dnia każda firma, instytucja publiczna czy organizacja, która przetwarza dane osobowe osób fizycznych, musi działać zgodnie z jego przepisami.
RODO to akt prawny bezpośrednio obowiązujący, co oznacza, że nie wymaga wdrożenia do prawa krajowego. Polska ustawa o ochronie danych osobowych z 10 maja 2018 r. pełni funkcję uzupełniającą, regulując m.in. działalność Prezesa UODO, odpowiedzialność karną oraz szczególne procedury.
Kiedy RODO ma zastosowanie 📄
RODO stosuje się do każdego przedsiębiorcy, który przetwarza dane osobowe w ramach działalności gospodarczej – niezależnie od formy prawnej i skali biznesu.
Zakres ten jest określony w art. 2 ust. 1 RODO, który stanowi, że:
„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób częściowo lub całkowicie zautomatyzowany, a także do przetwarzania innych danych osobowych, które stanowią część zbioru danych lub mają stanowić jego część.”
Przykładowo, RODO obejmuje:
- prowadzenie bazy klientów w systemie CRM,
- wysyłkę newslettera,
- przechowywanie danych kontrahentów w arkuszu Excel,
- monitoring wizyjny w siedzibie firmy,
- rekrutację pracowników.
Nie ma znaczenia, czy przedsiębiorca zatrudnia 2, 20 czy 200 osób – RODO obowiązuje wszystkich, o ile przetwarzają dane identyfikujące osoby fizyczne.
Kiedy RODO nie ma zastosowania
RODO nie obejmuje wszystkich przypadków. Zgodnie z art. 2 ust. 2 RODO, nie stosuje się go do:
- przetwarzania danych przez osoby fizyczne w celach osobistych lub domowych,
- działalności służb bezpieczeństwa narodowego,
- przetwarzania przez instytucje unijne w zakresie objętym prawem UE,
- czynności organów ścigania – w tym zakresie obowiązuje osobna dyrektywa 2016/680.
Przykład
Jeżeli właściciel sklepu internetowego prowadzi bazę klientów w celu realizacji zamówień – RODO ma zastosowanie.
Natomiast jeśli ta sama osoba prowadzi prywatny spis kontaktów rodzinnych lub znajomych – RODO nie obowiązuje.
Zakres terytorialny RODO 🌍
RODO ma szeroki zasięg geograficzny. Obowiązuje nie tylko w Unii Europejskiej, ale również dotyczy firm spoza UE, które oferują towary lub usługi osobom na terenie UE lub monitorują ich zachowania.
Zgodnie z art. 3 ust. 2 RODO:
„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, które znajdują się w Unii, przez administratora lub podmiot przetwarzający niemający jednostki organizacyjnej w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom w Unii lub monitorowaniem ich zachowań.”
Przykład
Amerykański sklep internetowy, który sprzedaje produkty do Polski i oferuje stronę w języku polskim, musi stosować RODO, nawet jeśli nie ma siedziby w UE.
Relacja RODO do prawa krajowego 🇵🇱
RODO ma pierwszeństwo przed przepisami krajowymi, jednak polska ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 ze zm.):
- reguluje działalność Prezesa UODO,
- określa zasady postępowania w sprawach naruszeń,
- wskazuje odpowiedzialność karną za określone czyny (np. bezprawne przetwarzanie danych – art. 107 ustawy),
- doprecyzowuje obowiązki w sektorze publicznym.
W praktyce oznacza to, że RODO i ustawa z 2018 r. działają równolegle, a przedsiębiorca powinien stosować oba akty prawne.
Zakres podmiotowy – kto jest zobowiązany do stosowania RODO?
RODO dotyczy trzech głównych kategorii podmiotów:
- Administrator danych (ADO) – podmiot, który decyduje o celach i sposobach przetwarzania (np. przedsiębiorca, który prowadzi sklep internetowy).
- Podmiot przetwarzający (procesor) – firma, która przetwarza dane w imieniu administratora (np. biuro rachunkowe, hostingodawca).
- Osoba, której dane dotyczą – każda osoba fizyczna, której dane są przetwarzane (np. klient, pracownik, kandydat do pracy).
Schemat: Zakres zastosowania RODO
| Zakres | Opis | Przykłady |
|---|---|---|
| Przedmiotowy | Przetwarzanie danych osobowych osób fizycznych w sposób automatyczny lub w zbiorach | CRM, e-mailing, monitoring |
| Podmiotowy | Administratorzy i procesorzy – przedsiębiorcy, instytucje publiczne, organizacje | firmy, urzędy, szkoły |
| Terytorialny | Każdy podmiot przetwarzający dane osób z UE, niezależnie od siedziby | np. sklepy online spoza UE |
📌 Wskazówka dla przedsiębiorcy:
Jeśli Twoja firma przetwarza dane osobowe w jakiejkolwiek formie – niezależnie, czy są to dane klientów, pracowników, czy kontrahentów – RODO Cię obowiązuje. Brak świadomości nie zwalnia z odpowiedzialności.
Podstawowe pojęcia
Zanim przedsiębiorca wdroży obowiązki wynikające z RODO, musi dokładnie zrozumieć jego podstawowe pojęcia. To one określają, czy w danym przypadku w ogóle mamy do czynienia z przetwarzaniem danych osobowych, kto za to odpowiada i jakie obowiązki się z tym wiążą.
Dane osobowe – co to takiego?
Zgodnie z art. 4 pkt 1 RODO:
„Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.”
Oznacza to, że danymi osobowymi są wszystkie informacje, które umożliwiają identyfikację człowieka – bezpośrednio lub pośrednio.
Przykłady danych osobowych:
- imię i nazwisko,
- adres e-mail zawierający imię i nazwisko (np. [email protected]),
- numer telefonu,
- adres zamieszkania,
- numer PESEL,
- wizerunek (np. zdjęcie pracownika na stronie internetowej),
- numer rejestracyjny pojazdu przypisany do konkretnej osoby.
Dane nieosobowe
Nie będą danymi osobowymi np.:
- dane statystyczne zanonimizowane,
- adres e-mail w rodzaju [email protected] (jeśli nie identyfikuje osoby fizycznej),
- dane osób prawnych (np. spółek, fundacji).
⚠️ Wskazówka: Nawet jeśli dana informacja sama w sobie nie identyfikuje osoby, ale można ją połączyć z innymi danymi (np. numer klienta w systemie CRM), to nadal może być uznana za dane osobowe.
Dane szczególnych kategorii (tzw. dane wrażliwe)
Zgodnie z art. 9 ust. 1 RODO:
„Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.”
Przykłady danych wrażliwych:
- dane medyczne (np. karta pacjenta, zwolnienie lekarskie),
- dane biometryczne (np. odcisk palca w systemie kontroli dostępu),
- informacje o wyznaniu lub poglądach politycznych,
- dane dotyczące zdrowia pracownika.
Przetwarzanie takich danych jest co do zasady zakazane, chyba że zachodzi jedna z przesłanek określonych w art. 9 ust. 2 RODO (np. zgoda osoby, wymóg prawa pracy, ważny interes publiczny).
Przetwarzanie danych osobowych
To jedno z najczęściej błędnie rozumianych pojęć.
Zgodnie z art. 4 pkt 2 RODO:
„Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie lub niszczenie.”
Oznacza to, że każde działanie na danych – nawet samo ich przechowywanie – stanowi przetwarzanie.
Przykłady:
- zbieranie danych klientów w formularzu kontaktowym,
- przekazanie danych biuru rachunkowemu,
- archiwizacja dokumentów kadrowych,
- usuwanie danych po zakończeniu umowy.
📌 Praktyczna wskazówka: Nie musisz nic „robić” z danymi, aby uznać, że je przetwarzasz. Wystarczy, że je przechowujesz lub porządkujesz w folderze – to już jest przetwarzanie.
Administrator danych osobowych (ADO)
Zgodnie z art. 4 pkt 7 RODO:
„Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.”
W praktyce to ten, kto decyduje, po co i jak dane są przetwarzane.
Przykłady:
- właściciel sklepu internetowego, który prowadzi bazę klientów,
- spółka zatrudniająca pracowników,
- fundacja prowadząca newsletter.
Administrator odpowiada za zgodność przetwarzania danych z RODO – nawet jeśli faktyczne przetwarzanie zleca innej firmie (np. hostingodawcy).
Podmiot przetwarzający (procesor)
To zewnętrzny podmiot, który przetwarza dane w imieniu administratora.
Zgodnie z art. 4 pkt 8 RODO:
„Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.”
Przykłady procesorów:
- biuro rachunkowe prowadzące kadry,
- dostawca hostingu lub poczty e-mail,
- firma IT utrzymująca system CRM,
- agencja marketingowa wysyłająca newsletter.
⚠️ Każde przekazanie danych takiemu podmiotowi musi być oparte na umowie powierzenia przetwarzania danych, o której mowa w art. 28 RODO.
Osoba, której dane dotyczą
To osoba fizyczna, której dane są przetwarzane. Może to być:
- klient sklepu,
- użytkownik serwisu internetowego,
- pracownik firmy,
- kandydat do pracy.
Ta osoba ma szereg praw, o których szerzej napiszemy w rozdziale 6 (Realizacja praw podmiotów danych).
Zgoda na przetwarzanie danych osobowych
Zgoda jest tylko jedną z możliwych podstaw przetwarzania (nie jedyną!).
Zgodnie z art. 4 pkt 11 RODO:
„Zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.”
Zgoda musi być:
- dobrowolna (brak przymusu),
- konkretna (na określony cel),
- świadoma (osoba wie, na co się zgadza),
- jednoznaczna (np. zaznaczenie pola wyboru, kliknięcie przycisku).
Przykład
Formularz kontaktowy w serwisie może zawierać pole:
„Wyrażam zgodę na przetwarzanie moich danych w celu udzielenia odpowiedzi na zapytanie.”
Nie będzie natomiast ważna zgoda, jeśli jest „ukryta” w regulaminie lub wymuszona (np. „jeśli nie wyrazisz zgody, nie złożysz zamówienia”).
Profilowanie
Profilowanie oznacza automatyczne przetwarzanie danych w celu oceny niektórych cech osoby fizycznej, np. preferencji, zainteresowań, zachowań.
Zgodnie z art. 4 pkt 4 RODO:
„Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej.”
Przykład
Sklep internetowy analizujący historię zakupów klienta i wyświetlający mu spersonalizowane reklamy prowadzi profilowanie.
Profilowanie jest dozwolone, ale wymaga:
- wyraźnej podstawy prawnej (np. zgody lub uzasadnionego interesu),
- poinformowania osoby o tym fakcie,
- zapewnienia jej prawa do sprzeciwu.
📊 Tabela: Podstawowe role w procesie przetwarzania danych
| Rola | Definicja (RODO) | Przykład praktyczny |
|---|---|---|
| Administrator | Decyduje o celach i sposobach przetwarzania | Właściciel sklepu internetowego |
| Podmiot przetwarzający | Działa w imieniu administratora | Firma hostingowa |
| Osoba, której dane dotyczą | Osoba fizyczna, której dane są przetwarzane | Klient, pracownik |
| Inspektor Ochrony Danych (IOD) | Nadzoruje przestrzeganie RODO | Specjalista ds. ochrony danych w spółce |
📌 Wskazówka dla przedsiębiorcy:
Zawsze ustal, czy jesteś administratorem, procesorem, czy odbiorcą danych. Od tego zależy, jakie obowiązki RODO musisz wdrożyć.
Zasady przetwarzania danych osobowych
Zasady przetwarzania danych to rdzeń całego RODO. Zostały opisane w art. 5 ust. 1 RODO i mają zastosowanie do każdego procesu przetwarzania danych – od zatrudnienia, przez marketing, po współpracę z kontrahentami.
Zgodnie z RODO dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty,
- zbierane w konkretnych i prawnie uzasadnionych celach,
- adekwatne i ograniczone do niezbędnego minimum,
- prawidłowe i aktualne,
- przechowywane nie dłużej niż to konieczne,
- zabezpieczone przed dostępem osób nieuprawnionych,
- przetwarzane w sposób rozliczalny (czyli tak, by można było wykazać zgodność z zasadami).
1️⃣ Zasada zgodności z prawem, rzetelności i przejrzystości
Podstawowa i najważniejsza zasada – przetwarzanie danych musi odbywać się na podstawie jednej z przesłanek określonych w art. 6 ust. 1 RODO, w sposób uczciwy wobec osoby, której dane dotyczą, i w sposób dla niej zrozumiały.
„Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.”
(art. 5 ust. 1 lit. a RODO)
Co to oznacza w praktyce?
- przedsiębiorca nie może zbierać danych „na zapas”,
- każda osoba powinna wiedzieć, kto i po co przetwarza jej dane,
- firma musi przekazywać czytelne komunikaty, np. w polityce prywatności.
Przykład
Firma marketingowa zbiera adresy e-mail klientów w celu wysyłki newslettera. W formularzu umieszcza informację o administratorze, celu przetwarzania i prawach klienta. To przykład rzetelnego i przejrzystego przetwarzania.
2️⃣ Zasada ograniczenia celu
Zgodnie z art. 5 ust. 1 lit. b RODO:
„Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.”
Praktyczne znaczenie:
- dane należy zbierać tylko dla jasno określonych celów,
- nie wolno ich wykorzystywać później do innych działań, jeśli nie są z nimi zgodne.
Przykład
Firma X zbiera dane klientów w celu realizacji zamówień. Nie może później automatycznie wykorzystywać ich do wysyłki reklam bez osobnej podstawy (np. zgody).
3️⃣ Zasada minimalizacji danych
„Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.”
(art. 5 ust. 1 lit. c RODO)
To zasada „tylko tyle, ile potrzebne”.
Nie wolno zbierać więcej danych, niż jest to uzasadnione celem.
Przykład
Przy zapisach do newslettera nie jest potrzebny adres zamieszkania – wystarczy adres e-mail.
Przy umowie o pracę – nie wolno żądać danych członków rodziny, jeśli nie są wymagane przepisami.
📌 Wskazówka:
Regularnie weryfikuj formularze i dokumenty w firmie. Jeśli zbierasz dane, których nie używasz – usuń pola lub zmień proces.
4️⃣ Zasada prawidłowości
„Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane.”
(art. 5 ust. 1 lit. d RODO)
Przedsiębiorca musi zapewnić, by dane były aktualne i poprawne.
Jeśli dowiesz się, że dane są błędne – masz obowiązek je skorygować lub usunąć.
Przykład
Firma transportowa, która wysyła faktury na błędny adres e-mail klienta, narusza zasadę prawidłowości. Powinna regularnie aktualizować dane w systemie.
5️⃣ Zasada ograniczenia przechowywania
„Dane muszą być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania.”
(art. 5 ust. 1 lit. e RODO)
Oznacza to, że:
- dane nie mogą być przechowywane „na wszelki wypadek”,
- należy ustalić konkretne okresy retencji (np. 5 lat po zakończeniu umowy),
- po upływie okresu – dane trzeba usunąć lub zanonimizować.
Przykład
Biuro rachunkowe przechowuje dokumenty klientów przez 5 lat zgodnie z przepisami podatkowymi, a po tym czasie je niszczy. To prawidłowa realizacja tej zasady.
6️⃣ Zasada integralności i poufności
„Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.”
(art. 5 ust. 1 lit. f RODO)
Zasada ta wiąże się z obowiązkiem wdrożenia odpowiednich środków bezpieczeństwa (art. 32 RODO).
Powinny one być proporcjonalne do ryzyka – im wyższe ryzyko, tym silniejsze zabezpieczenia.
Przykładowe środki techniczne i organizacyjne:
- szyfrowanie danych i kopie zapasowe,
- ograniczenie dostępu do danych (tylko upoważnieni pracownicy),
- hasła, uwierzytelnianie dwuetapowe,
- szkolenia personelu,
- procedura reagowania na incydenty.
📌 Wskazówka:
Utrata pendrive’a z danymi klientów to również naruszenie poufności – nawet jeśli dane nie wyciekły publicznie.
7️⃣ Zasada rozliczalności
„Administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych i musi móc wykazać ich przestrzeganie.”
(art. 5 ust. 2 RODO)
To kluczowa różnica między dawną ustawą o ochronie danych a RODO.
Administrator nie tylko musi działać zgodnie z przepisami, ale też udowodnić, że to robi – np. poprzez dokumentację.
Co to oznacza w praktyce?
- prowadzenie rejestru czynności przetwarzania (art. 30 RODO),
- sporządzanie polityk bezpieczeństwa, procedur i szkoleń,
- przechowywanie dowodów zgód,
- dokumentowanie decyzji dotyczących bezpieczeństwa.
📊 Tabela: Siedem zasad przetwarzania danych osobowych
| Zasada | Opis | Przykład praktyczny |
|---|---|---|
| Zgodność z prawem, rzetelność, przejrzystość | Działanie na podstawie przepisu lub zgody | Formularz z jasną klauzulą informacyjną |
| Ograniczenie celu | Dane tylko dla konkretnego celu | Dane klientów wyłącznie do realizacji zamówienia |
| Minimalizacja danych | Tylko niezbędne dane | Brak żądania PESEL przy newsletterze |
| Prawidłowość | Dane aktualne i poprawne | Aktualizacja danych kontrahenta |
| Ograniczenie przechowywania | Dane usuwane po okresie retencji | Niszczenie akt po 5 latach |
| Integralność i poufność | Ochrona przed dostępem nieuprawnionych | Szyfrowanie, kopie zapasowe |
| Rozliczalność | Możliwość wykazania zgodności | Rejestry, procedury, szkolenia |
📌 Dla przedsiębiorcy:
Jeśli wdrożysz te 7 zasad w praktyce (np. w regulaminach, procedurach, szkoleniach pracowników), Twoja firma spełni ponad 80% wymagań RODO.
Podstawy prawne przetwarzania danych osobowych
Zgodnie z art. 6 ust. 1 RODO, aby przetwarzanie danych osobowych było zgodne z prawem, musi opierać się na co najmniej jednej z sześciu przesłanek legalizujących.
Brak takiej podstawy powoduje, że przetwarzanie jest bezprawne, co może skutkować karą administracyjną lub roszczeniem cywilnym ze strony osoby, której dane dotyczą.
🔹 Zasada ogólna
„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z warunków określonych w art. 6 ust. 1 RODO.”
W praktyce oznacza to, że przed rozpoczęciem przetwarzania danych (np. przed zbieraniem danych z formularza, rekrutacją czy kampanią reklamową) przedsiębiorca powinien określić cel i podstawę prawną przetwarzania.
1️⃣ Zgoda osoby, której dane dotyczą
(art. 6 ust. 1 lit. a RODO)
„Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.”
Zgoda to najczęściej stosowana, ale też najbardziej ryzykowna podstawa.
Musi być dobrowolna, konkretna, świadoma i jednoznaczna (art. 4 pkt 11 RODO).
Przykłady:
- zapisy na newsletter,
- udział w konkursie,
- wyrażenie zgody na publikację zdjęcia pracownika na stronie firmowej,
- wyrażenie zgody na wykorzystanie prywatnego numeru telefonu pracownika.
Praktyczne wskazówki:
✔ zgoda nie może być warunkiem świadczenia usługi, jeśli nie jest niezbędna,
✔ osoba musi mieć prawo do jej cofnięcia w każdej chwili,
✔ należy przechowywać dowód wyrażenia zgody (np. log systemowy, podpis).
Przykład błędu
Formularz kontaktowy z domyślnie zaznaczoną zgodą na marketing.
❌ Naruszenie – zgoda nie jest dobrowolna ani jednoznaczna.
2️⃣ Wykonanie umowy lub działania przed jej zawarciem
(art. 6 ust. 1 lit. b RODO)
„Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy.”
To bardzo częsta podstawa w działalności gospodarczej.
Nie wymaga dodatkowej zgody – dane są przetwarzane, bo są niezbędne do realizacji umowy.
Przykłady:
- obsługa zamówienia w sklepie internetowym,
- wystawienie faktury,
- wysyłka towaru,
- zawarcie umowy z pracownikiem.
📌 Uwaga:
Nie można rozszerzać tej podstawy na działania marketingowe – do tego potrzebna jest osobna zgoda lub uzasadniony interes.
3️⃣ Wypełnienie obowiązku prawnego ciążącego na administratorze
(art. 6 ust. 1 lit. c RODO)
„Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.”
Oznacza to, że dane są przetwarzane, ponieważ wymaga tego przepis prawa – unijnego lub krajowego.
Przykłady:
- przechowywanie dokumentacji księgowej przez 5 lat (art. 74 ust. 2 ustawy o rachunkowości),
- przekazanie danych pracownika do ZUS,
- wystawianie faktur zgodnie z przepisami podatkowymi.
Wskazówka:
Nie jest konieczna zgoda, bo przetwarzanie wynika z obowiązku ustawowego.
Warto jednak wskazać podstawę prawną w klauzuli informacyjnej (np. „na podstawie ustawy o rachunkowości”).
4️⃣ Ochrona żywotnych interesów osoby fizycznej
(art. 6 ust. 1 lit. d RODO)
„Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.”
To podstawa stosowana wyjątkowo – np. gdy przetwarzanie jest konieczne, by chronić czyjeś życie lub zdrowie.
Przykłady:
- udzielenie pomocy medycznej osobie nieprzytomnej,
- przekazanie danych kontaktowych służbom ratunkowym w sytuacji zagrożenia.
Ta podstawa nie dotyczy typowej działalności gospodarczej, ale warto ją znać, np. w branży medycznej, transportowej czy turystycznej.
5️⃣ Zadania realizowane w interesie publicznym lub w ramach władzy publicznej
(art. 6 ust. 1 lit. e RODO)
„Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.”
Podstawa prawna przetwarzania danych w ramach zadań realizowanych w interesie publicznym ma zastosowanie głównie do sektora publicznego – urzędów, szkół, samorządów itp.
Przedsiębiorcy stosują ją bardzo rzadko (np. gdy realizują zadania zlecone na podstawie ustawy).
6️⃣ Prawnie uzasadniony interes administratora
(art. 6 ust. 1 lit. f RODO)
„Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej, z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.”
To najbardziej elastyczna podstawa dla przedsiębiorców.
Można ją stosować, gdy:
- przetwarzanie jest niezbędne dla funkcjonowania firmy,
- nie narusza praw i wolności osób, których dane dotyczą.
Przykłady:
- zabezpieczenie mienia przez monitoring,
- marketing własnych produktów do klientów,
- dochodzenie roszczeń,
- utrzymywanie relacji z kontrahentami.
Wymaga przeprowadzenia testu równowagi interesów (ang. balancing test), czyli oceny, czy interes firmy nie przeważa nad prawami osób, których dane dotyczą.
📊 Tabela: Porównanie podstaw przetwarzania danych osobowych
| Podstawa | Typowy przykład | Czy wymaga zgody? | Czy można wycofać zgodę? |
|---|---|---|---|
| Zgoda (art. 6 ust. 1 lit. a) | Newsletter, konkurs | ✔ Tak | ✔ Tak |
| Umowa (lit. b) | Realizacja zamówienia | ✖ Nie | ✖ Nie (chyba że umowa wygasa) |
| Obowiązek prawny (lit. c) | Księgowość, ZUS | ✖ Nie | ✖ Nie |
| Ochrona interesów żywotnych (lit. d) | Udzielenie pomocy medycznej | ✖ Nie | ✖ Nie |
| Interes publiczny (lit. e) | Działalność urzędu | ✖ Nie | ✖ Nie |
| Uzasadniony interes (lit. f) | Monitoring, marketing własny | ✖ Nie | ✖ Nie, ale można wnieść sprzeciw |
Dane szczególnych kategorii – osobne podstawy (art. 9 RODO)
Przetwarzanie tzw. danych wrażliwych (np. zdrowotnych, biometrycznych) jest zasadniczo zabronione, chyba że zachodzi jeden z wyjątków z art. 9 ust. 2 RODO, np.:
- osoba wyraziła wyraźną zgodę,
- przetwarzanie jest konieczne do realizacji obowiązków z prawa pracy,
- dane są potrzebne do ustalenia lub obrony roszczeń.
📌 Wskazówki dla przedsiębiorców:
- Zawsze przypisz konkretną podstawę prawną do każdego celu przetwarzania (np. marketing – uzasadniony interes, realizacja umowy – art. 6 ust. 1 lit. b).
- Jeśli korzystasz z kilku celów, każdy z nich musi mieć własną podstawę.
- Nie powołuj się na „zgodę” tam, gdzie istnieje inna podstawa (to częsty błąd).
- Dokumentuj, na jakiej podstawie przetwarzasz dane – to element rozliczalności.
Obowiązki informacyjne
Jednym z podstawowych obowiązków administratora danych osobowych (ADO) jest transparentna komunikacja z osobami, których dane dotyczą.
Zasada przejrzystości, zapisana w art. 5 ust. 1 lit. a RODO, wymaga, aby dane były przetwarzane rzetelnie i w sposób przejrzysty, a więc z poszanowaniem prawa osób do informacji.
„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie przekazać osobie, której dane dotyczą, wszelkie informacje dotyczące przetwarzania danych osobowych.”
(art. 12 ust. 1 RODO)
🔹 Co to są obowiązki informacyjne?
Obowiązki informacyjne RODO to zestaw informacji, które administrator musi przekazać osobie, której dane dotyczą — najpóźniej w momencie ich pozyskania.
Ich zakres zależy od tego, skąd pochodzą dane:
- Dane pozyskane od osoby (np. klient wypełnia formularz kontaktowy) – obowiązki z art. 13 RODO;
- Dane pozyskane z innych źródeł (np. kupiona baza, dane z internetu, od kontrahenta) – obowiązki z art. 14 RODO.
📋 Informacje, które trzeba przekazać osobie (art. 13 RODO)
Jeśli zbierasz dane bezpośrednio od osoby (np. klienta, pracownika, kandydata), musisz poinformować ją o:
- Tożsamości i danych kontaktowych administratora,
- Danych kontaktowych inspektora ochrony danych (jeśli został powołany),
- Celach i podstawach prawnych przetwarzania danych,
- Odbiorcach danych (np. biuro rachunkowe, firma kurierska),
- Informacji o przekazywaniu danych do państw trzecich (poza EOG),
- Okresie przechowywania danych,
- Prawach osoby, której dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, skarga),
- Informacji o prawie cofnięcia zgody, jeśli przetwarzanie odbywa się na jej podstawie,
- Informacji o prawie wniesienia skargi do Prezesa UODO,
- Informacji o tym, czy podanie danych jest obowiązkowe,
- Informacji o zautomatyzowanym podejmowaniu decyzji i profilowaniu, jeśli występuje.
📋 Informacje przy danych z innych źródeł (art. 14 RODO)
Jeżeli dane osobowe zostały pozyskane nie bezpośrednio od osoby, administrator musi dodatkowo poinformować o:
- źródle pochodzenia danych,
- kategoriach przetwarzanych danych,
- oraz przekazać pozostałe informacje z art. 13, w rozsądnym terminie, najpóźniej w ciągu 1 miesiąca.
🕐 Termin przekazania informacji
| Źródło danych | Termin przekazania informacji |
|---|---|
| Od osoby (np. formularz, umowa) | W momencie zbierania danych |
| Z innego źródła | Najpóźniej w ciągu 1 miesiąca od pozyskania danych |
| Gdy dane są używane do kontaktu z osobą | Najpóźniej przy pierwszym kontakcie |
| Gdy dane są ujawniane innemu odbiorcy | Najpóźniej przy ich pierwszym ujawnieniu |
📄 Przykład – klauzula informacyjna (skrócona)
Administrator danych: ABC Sp. z o.o., ul. Nowa 12, 00-123 Warszawa, kontakt: [email protected]
Cel przetwarzania: realizacja zamówień w sklepie internetowym.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy).
Okres przechowywania: 5 lat od zakończenia umowy.
Prawa osoby: dostęp do danych, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw.
Skarga: Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl).
📌 W praktyce taka informacja powinna być łatwo dostępna, np. w polityce prywatności, pod formularzem, w umowie lub e-mailu.
💬 Zasady przekazywania informacji
Zgodnie z art. 12 ust. 1–2 RODO:
- informacje muszą być przekazywane w zwięzłej, zrozumiałej i prostej formie,
- nie wolno używać prawniczego żargonu,
- forma powinna być czytelna (np. duża czcionka, oddzielne akapity, linki w e-mailu),
- jeśli dane zbierane są online – najlepiej zastosować warstwowe klauzule informacyjne (pierwszy poziom – skrót, drugi – pełna informacja).
📌 Warstwowa klauzula informacyjna – przykład
| Poziom 1 (skrót) | Poziom 2 (szczegóły) |
|---|---|
| „Twoje dane przetwarzamy, by obsłużyć zamówienie. Więcej o ochronie danych znajdziesz [tutaj].” | Pełna informacja o administratorze, celach, odbiorcach, okresie przechowywania, prawach itd. |
Taka forma jest zalecana przez Europejską Radę Ochrony Danych (EROD) i Prezesa UODO jako najbardziej przyjazna dla użytkowników.
📬 Praktyczne przykłady obowiązków informacyjnych
| Sytuacja | Jak spełnić obowiązek informacyjny |
|---|---|
| Formularz kontaktowy na stronie | Klauzula informacyjna pod formularzem lub link do polityki prywatności |
| Rekrutacja pracowników | Klauzula w ogłoszeniu o pracę i/lub w formularzu aplikacyjnym |
| Newsletter | Informacja w formularzu zapisu (cel, zgoda, prawa) |
| Monitoring wizyjny | Tabliczka z piktogramem kamery + skrócona klauzula (pełna dostępna w recepcji lub online) |
| Dane kontrahentów | Informacja przy podpisaniu umowy lub w e-mailu powitalnym |
⚠️ Wyłączenia obowiązku informacyjnego (art. 14 ust. 5 RODO)
Administrator nie musi przekazywać informacji, jeśli:
- osoba już dysponuje tymi informacjami,
- przekazanie informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
- pozyskanie lub ujawnienie danych jest wyraźnie przewidziane przepisami prawa,
- dane muszą pozostać poufne ze względu na tajemnicę zawodową (np. adwokat, doradca podatkowy).
🧩 Powiązanie z zasadą przejrzystości
Obowiązki informacyjne są konkretną realizacją zasady przejrzystości.
Naruszenie tej zasady może skutkować karą finansową (nawet do 20 mln euro lub 4% rocznego obrotu) oraz utratą zaufania klientów.
📌 Dla przedsiębiorcy:
✔ Przygotuj i opublikuj politykę prywatności – najlepiej na stronie www, w dokumentach rekrutacyjnych i w umowach.
✔ Opracuj warstwowe klauzule informacyjne – skrótową i pełną.
✔ Regularnie aktualizuj treść – np. gdy zmienia się cel przetwarzania lub partnerzy biznesowi.
✔ Pamiętaj: osoba, której dane dotyczą, musi mieć realny dostęp do tych informacji.
🧾 Tabela: Obowiązki informacyjne w skrócie
| Podstawa | Zakres informacji | Termin przekazania | Gdzie publikować |
|---|---|---|---|
| art. 13 RODO | Dane pozyskane od osoby | W momencie zbierania | Formularz, umowa, e-mail |
| art. 14 RODO | Dane pozyskane z innych źródeł | W ciągu 1 miesiąca | E-mail, list, komunikat |
| art. 12 RODO | Forma komunikacji – zwięzła, przejrzysta, zrozumiała | Zawsze | Polityka prywatności, strona www |
📌 Wskazówka praktyczna:
Jeśli Twoja firma posiada stronę internetową, profil w mediach społecznościowych, prowadzi rekrutację lub wysyła oferty – obowiązki informacyjne muszą być spełnione we wszystkich tych kanałach.
Realizacja praw osób, których dane dotyczą
RODO gwarantuje osobom fizycznym szeroki katalog praw w zakresie ich danych osobowych.
Administrator – czyli przedsiębiorca przetwarzający dane – ma obowiązek umożliwić korzystanie z tych praw i reagować na każde żądanie w określonym terminie.
Podstawą prawną jest rozdział III RODO (art. 12–23), a także przepisy krajowe – w szczególności ustawa z 10 maja 2018 r. o ochronie danych osobowych.
🧾 1. Zasada ogólna – jak realizować prawa
„Administrator podejmuje odpowiednie środki, aby ułatwić osobie, której dane dotyczą, wykonywanie jej praw.”
(art. 12 ust. 2 RODO)
Administrator ma obowiązek:
- zapewnić prosty kontakt (np. e-mail, formularz, adres korespondencyjny),
- odpowiedzieć bez zbędnej zwłoki, nie później niż w ciągu 1 miesiąca,
- poinformować osobę, jeśli termin został przedłużony (maksymalnie o 2 miesiące, w uzasadnionych przypadkach),
- nie pobierać opłat (chyba że żądanie jest oczywiście nadmierne lub powtarzające się).
📌 Wskazówka:
Każde żądanie (nawet ustne) warto odnotować w rejestrze, aby udokumentować, że firma przestrzega zasady rozliczalności (art. 5 ust. 2 RODO).
🔹 2. Prawo dostępu do danych (art. 15 RODO)
Osoba, której dane dotyczą, może zapytać, czy i jakie dane na jej temat są przetwarzane.
„Osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy przetwarzane są dotyczące jej dane osobowe.”
Administrator ma obowiązek:
- potwierdzić, czy dane są przetwarzane,
- udzielić dostępu do danych,
- przekazać kopię danych (pierwsza kopia bezpłatna).
Przykład
Klient sklepu online żąda informacji, jakie dane na jego temat są przechowywane.
Administrator przesyła wykaz: imię, nazwisko, adres, historia zamówień, data rejestracji, a także informuje o celach przetwarzania i odbiorcach danych.
🔹 3. Prawo do sprostowania danych (art. 16 RODO)
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.”
Oznacza to, że jeśli dane są błędne lub nieaktualne, przedsiębiorca musi je poprawić lub uzupełnić.
Przykład
Pracownik zgłasza zmianę adresu zamieszkania.
Firma jest zobowiązana niezwłocznie zaktualizować dane w systemie kadrowym.
🔹 4. Prawo do usunięcia danych („prawo do bycia zapomnianym”) – art. 17 RODO
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki dane te usunąć, jeżeli zachodzi jedna z przesłanek określonych w art. 17 ust. 1.”
Przesłanki:
- dane nie są już potrzebne do celów, dla których zostały zebrane,
- osoba cofnęła zgodę,
- osoba wnosi sprzeciw wobec przetwarzania,
- dane były przetwarzane niezgodnie z prawem,
- usunięcie jest wymagane przez przepisy prawa.
⚠️ Wyjątki (art. 17 ust. 3 RODO):
Nie można usunąć danych, jeśli ich dalsze przechowywanie jest konieczne np.:
- do ustalenia, dochodzenia lub obrony roszczeń,
- do wypełnienia obowiązków prawnych (np. podatkowych),
- z uwagi na interes publiczny (np. archiwizacja).
Przykład
Klient prosi o usunięcie danych po zakończeniu współpracy.
Firma usuwa dane marketingowe, ale zachowuje faktury przez 5 lat – zgodnie z obowiązkiem ustawowym.
🔹 5. Prawo do ograniczenia przetwarzania (art. 18 RODO)
To „pauza” w przetwarzaniu – dane nadal istnieją, ale nie można ich używać poza wyjątkami.
Można żądać ograniczenia, gdy:
- dane są nieprawidłowe (do czasu sprostowania),
- przetwarzanie jest niezgodne z prawem, ale osoba nie chce ich usunięcia,
- administrator nie potrzebuje danych, ale osoba żąda ich do obrony roszczeń,
- osoba wniosła sprzeciw – do czasu jego rozpatrzenia.
Przykład
Klient kwestionuje poprawność danych adresowych w systemie sklepu.
Do czasu wyjaśnienia firma wstrzymuje przetwarzanie tych danych w celach marketingowych.
🔹 6. Prawo do przenoszenia danych (art. 20 RODO)
„Osoba, której dane dotyczą, ma prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przenieść je do innego administratora.”
Dotyczy to sytuacji, gdy:
- dane są przetwarzane na podstawie zgody lub umowy,
- przetwarzanie odbywa się w sposób zautomatyzowany.
Przykład
Klient banku chce przenieść historię transakcji do innego banku.
Bank jest zobowiązany przekazać dane w formacie np. CSV lub XML.
🔹 7. Prawo do sprzeciwu (art. 21 RODO)
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych.”
Dotyczy to głównie przetwarzania opartego na uzasadnionym interesie administratora lub celach marketingowych.
Przykład
Klient otrzymuje oferty e-mailowe oparte na uzasadnionym interesie.
Po wniesieniu sprzeciwu administrator musi natychmiast zaprzestać dalszego przetwarzania danych w tym celu.
🔹 8. Prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO)
Dotyczy sytuacji, w których decyzja jest podejmowana automatycznie (np. przez algorytm), bez udziału człowieka, i wywołuje skutki prawne wobec osoby.
Przykład
System scoringowy odrzuca wniosek kredytowy bez analizy przez pracownika.
Osoba ma prawo żądać interwencji człowieka i zakwestionować decyzję.
🔹 9. Prawo do wniesienia skargi do organu nadzorczego
„Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu.”
(art. 77 RODO)
W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO).
Strona: https://uodo.gov.pl
🔹 10. Cofnięcie zgody (art. 7 ust. 3 RODO)
Jeśli dane są przetwarzane na podstawie zgody, osoba może ją cofnąć w dowolnym momencie – tak łatwo, jak ją wyraziła.
Cofnięcie zgody nie wpływa na legalność wcześniejszego przetwarzania, ale od tego momentu administrator nie może dalej używać danych w danym celu.
🧩 Obowiązki przedsiębiorcy w praktyce
| Działanie | Obowiązek administratora | Termin |
|---|---|---|
| Otrzymanie żądania | Potwierdź otrzymanie i rozpocznij procedurę | Niezwłocznie |
| Weryfikacja tożsamości osoby | Możesz poprosić o potwierdzenie tożsamości (np. e-mail, PESEL, kod klienta) | Niezwłocznie |
| Odpowiedź na żądanie | Przekaż informację lub uzasadnij odmowę | Maks. 1 miesiąc |
| Przedłużenie terminu | Możliwe o kolejne 2 miesiące, z uzasadnieniem | Przed upływem pierwszego miesiąca |
| Dokumentacja | Zapisz żądanie i odpowiedź w rejestrze | Stały obowiązek |
📄 Przykład – odpowiedź na żądanie usunięcia danych
Szanowna Pani / Szanowny Panie,
Odpowiadając na Pani/Pana żądanie usunięcia danych osobowych, informujemy, że dane przetwarzane na potrzeby marketingowe zostały usunięte z naszych systemów w dniu 15.09.2025 r.
Jednocześnie informujemy, że część danych dotyczących wystawionych faktur jest przechowywana przez okres 5 lat na podstawie obowiązków wynikających z przepisów podatkowych.
Z poważaniem,
Administrator Danych – XYZ Sp. z o.o.
⚠️ Naruszenia związane z niewłaściwą realizacją praw
Najczęstsze błędy przedsiębiorców:
- brak reakcji na żądanie osoby,
- odpowiedź po terminie,
- odmowa bez uzasadnienia,
- brak weryfikacji tożsamości,
- brak rejestru żądań.
Kary nakładane przez Prezesa UODO często dotyczą właśnie zaniedbania obowiązków informacyjnych i praw osób – np. niewysłanie odpowiedzi w terminie.
📌 Dla przedsiębiorcy:
- Ustal, kto w firmie odpowiada za obsługę żądań RODO.
- Stwórz prosty formularz lub adres e-mail (np. [email protected]).
- Prowadź rejestr żądań (data, typ wniosku, sposób realizacji).
- Wprowadź wewnętrzną procedurę reagowania – ułatwi to ewentualną kontrolę UODO.
Analiza ryzyka w ochronie danych osobowych
RODO nie narzuca konkretnych środków bezpieczeństwa, takich jak konkretny typ szyfrowania czy model hasła.
Zamiast tego wprowadza zasadę podejścia opartego na ryzyku (risk-based approach), opisaną w art. 24 i 32 RODO.
Oznacza to, że każdy administrator danych samodzielnie określa, jakie środki zabezpieczające są właściwe, w zależności od skali i rodzaju ryzyk związanych z przetwarzaniem danych.
🔹 Podstawa prawna analizy ryzyka
„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem, oraz jest w stanie wykazać, że środki te zostały wdrożone.”
(art. 24 ust. 1 RODO)
„Administrator i podmiot przetwarzający wdrażają środki odpowiednie do zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku.”
(art. 32 ust. 1 RODO)
🔍 Czym jest analiza ryzyka?
Analiza ryzyka to proces polegający na:
- identyfikacji zagrożeń dla danych osobowych,
- oszacowaniu prawdopodobieństwa ich wystąpienia,
- ocenie skutków dla praw i wolności osób,
- dobraniu odpowiednich zabezpieczeń proporcjonalnych do poziomu ryzyka.
W efekcie przedsiębiorca otrzymuje mapę ryzyk, która pokazuje, gdzie dane są szczególnie narażone, a gdzie ryzyko jest niewielkie.
🎯 Cel analizy ryzyka
Celem jest:
- zapewnienie odpowiedniego poziomu ochrony danych,
- racjonalne gospodarowanie zasobami (wdrażanie adekwatnych, a nie nadmiernych zabezpieczeń),
- możliwość wykazania zgodności z zasadą rozliczalności (art. 5 ust. 2 RODO),
- uniknięcie kar i naruszeń danych.
🧩 Etapy analizy ryzyka
| Etap | Opis | Przykład |
|---|---|---|
| 1️⃣ Identyfikacja procesów przetwarzania | Określenie, gdzie i jak przetwarzane są dane | Rejestr klientów, system kadrowy, monitoring |
| 2️⃣ Identyfikacja zagrożeń | Co może spowodować utratę, ujawnienie lub zmianę danych | Awaria systemu, phishing, błąd pracownika |
| 3️⃣ Określenie prawdopodobieństwa | Jak często może dojść do incydentu | np. wysoki przy częstym dostępie wielu osób |
| 4️⃣ Ocena skutków | Jakie konsekwencje dla osoby i firmy | ujawnienie danych pracownika = wysoki skutek |
| 5️⃣ Ocena poziomu ryzyka | Połączenie prawdopodobieństwa i skutków | np. ryzyko wysokie, średnie, niskie |
| 6️⃣ Dobór środków zabezpieczających | Techniczne i organizacyjne działania | szyfrowanie, ograniczenia dostępu, szkolenia |
| 7️⃣ Monitorowanie i aktualizacja | Regularny przegląd ryzyk i środków | coroczny audyt bezpieczeństwa |
⚙️ Rodzaje ryzyk w przetwarzaniu danych
| Rodzaj ryzyka | Przykład |
|---|---|
| Utrata danych | awaria dysku, brak kopii zapasowej |
| Nieuprawniony dostęp | pracownik bez upoważnienia, włamanie do systemu |
| Błąd ludzki | omyłkowe wysłanie danych do niewłaściwego odbiorcy |
| Ataki zewnętrzne | phishing, ransomware |
| Zagrożenia fizyczne | kradzież laptopa, pożar, zalanie serwera |
| Nieuprawnione ujawnienie | udostępnienie danych konkurencji lub osobie nieupoważnionej |
🧰 Przykładowe środki bezpieczeństwa (art. 32 RODO)
„Środki te obejmują między innymi: pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz zdolność do szybkiego przywrócenia dostępności danych.”
Przykłady środków:
- Techniczne: szyfrowanie, zapory sieciowe, backupy, hasła, kontrola dostępu, ochrona antywirusowa.
- Organizacyjne: polityki bezpieczeństwa, szkolenia pracowników, procedury reagowania na incydenty.
- Fizyczne: zamki, alarmy, ochrona pomieszczeń, kontrola wejść.
📌 Wskazówka:
Nie każda mała firma musi wdrażać zaawansowane systemy informatyczne.
Jeśli dane są przetwarzane w ograniczonym zakresie – wystarczy prosta, ale skuteczna organizacja bezpieczeństwa i stała kontrola dostępu.
🧮 Ocena poziomu ryzyka – przykład prostego modelu
| Prawdopodobieństwo | Skutek | Poziom ryzyka | Działanie |
|---|---|---|---|
| Niskie | Niskie | Niskie | Akceptuj ryzyko |
| Średnie | Niskie | Średnie | Monitoruj i kontroluj |
| Średnie | Wysokie | Wysokie | Zastosuj dodatkowe środki |
| Wysokie | Wysokie | Bardzo wysokie | Natychmiast wdroż zabezpieczenia i rozważ DPIA |
📄 Przykład praktyczny
Firma „EcoTrans” przetwarza dane kierowców (imię, nazwisko, PESEL, dane lokalizacyjne z GPS).
Podczas analizy ryzyka zidentyfikowano następujące zagrożenia:
- możliwość włamania do systemu GPS i śledzenia lokalizacji (wysokie ryzyko),
- przypadkowe ujawnienie danych w e-mailach (średnie ryzyko),
- utrata danych przy awarii serwera (średnie ryzyko).
Środki wdrożone:
- szyfrowanie transmisji danych GPS,
- wprowadzenie szkoleń dla pracowników z zakresu bezpieczeństwa e-mail,
- automatyczne kopie zapasowe codziennie o 23:00.
Po wdrożeniu środków ryzyko zredukowano do poziomu akceptowalnego.
🔄 Aktualizacja analizy ryzyka
Analizę ryzyka należy aktualizować regularnie, a zwłaszcza gdy:
- zmienia się zakres lub cel przetwarzania danych,
- firma wdraża nowe technologie (np. system CRM, monitoring, aplikację mobilną),
- wystąpił incydent naruszenia danych,
- zmieniają się przepisy lub struktura organizacyjna.
📌 Zalecenie UODO:
Analiza ryzyka powinna być aktualizowana co najmniej raz w roku lub przy każdej istotnej zmianie procesu.
📋 Dokumentacja analizy ryzyka
Wyniki analizy ryzyka należy udokumentować w formie:
- raportu z analizy (opis procesów, zagrożeń, poziomów ryzyka, środków ochronnych),
- rejestru ryzyk,
- decyzji o akceptacji lub modyfikacji ryzyk.
Taki dokument:
- stanowi dowód rozliczalności podczas kontroli UODO,
- pomaga w uzasadnieniu zastosowanych środków bezpieczeństwa,
- może być podstawą do przeprowadzenia DPIA (oceny skutków dla ochrony danych).
📌 Dla przedsiębiorcy:
✔ Przeprowadź analizę ryzyka dla każdego głównego procesu (np. kadry, sprzedaż, marketing).
✔ Zidentyfikuj dane szczególnie chronione (np. dane zdrowotne, finansowe).
✔ Dobierz zabezpieczenia adekwatne do poziomu ryzyka.
✔ Dokumentuj wszystko – to Twój dowód na zgodność z RODO.
✔ Regularnie aktualizuj analizę – szczególnie po incydentach.
DPIA (Ocena skutków dla ochrony danych)
RODO wymaga od administratorów danych, aby przed rozpoczęciem niektórych rodzajów przetwarzania dokonali tzw. oceny skutków dla ochrony danych osobowych (Data Protection Impact Assessment – DPIA).
Celem DPIA jest zidentyfikowanie i zminimalizowanie ryzyka związanego z przetwarzaniem danych, zanim jeszcze dojdzie do ich faktycznego przetwarzania.
🔹 Podstawa prawna DPIA
„Jeżeli dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.”
(art. 35 ust. 1 RODO)
📊 Czym jest DPIA?
DPIA to usystematyzowany proces oceny ryzyka, który pozwala:
- zrozumieć, jakie zagrożenia wiążą się z przetwarzaniem danych,
- ocenić ich prawdopodobieństwo i wpływ,
- określić środki, które ograniczą ryzyko,
- udokumentować zgodność z zasadą rozliczalności (art. 5 ust. 2 RODO).
W przeciwieństwie do ogólnej analizy ryzyka, DPIA dotyczy konkretnego procesu lub projektu, który wiąże się z wysokim ryzykiem dla prywatności.
🧾 Kiedy przedsiębiorca musi przeprowadzić DPIA?
DPIA jest obowiązkowa, gdy przetwarzanie danych może prowadzić do wysokiego ryzyka.
W szczególności dotyczy to sytuacji wymienionych w art. 35 ust. 3 RODO oraz w wytycznych Prezesa UODO.
DPIA należy wykonać, gdy:
- prowadzony jest systematyczny i szeroki monitoring osób (np. monitoring wizyjny w miejscu pracy lub przestrzeni publicznej),
- przetwarzane są dane wrażliwe na dużą skalę (np. dane medyczne, biometryczne),
- dochodzi do zautomatyzowanego podejmowania decyzji lub profilowania (np. scoring kredytowy, reklamy behawioralne),
- przetwarzanie dotyczy dużej liczby osób,
- stosowane są nowe technologie, których skutków nie da się w pełni przewidzieć (np. system rozpoznawania twarzy, AI w rekrutacji),
- łączy się różne źródła danych w celu tworzenia profili użytkowników.
🧩 Przykłady sytuacji wymagających DPIA
| Przykład | Czy wymaga DPIA? | Uzasadnienie |
|---|---|---|
| Monitoring zakładu pracy (wewnętrzny) | ✅ Tak | Systematyczny monitoring osób |
| System rozpoznawania twarzy w sklepie | ✅ Tak | Dane biometryczne |
| Program lojalnościowy z profilowaniem klientów | ✅ Tak | Ocena preferencji i zachowań |
| Zbieranie danych kontaktowych w formularzu kontaktowym | ❌ Nie | Niskie ryzyko |
| Rekrutacja z danymi CV | ❌ Zazwyczaj nie | Dane nie są przetwarzane w sposób zautomatyzowany |
| Portal medyczny gromadzący historię chorób | ✅ Tak | Dane o zdrowiu, duża skala |
⚙️ Etapy przeprowadzania DPIA
Zgodnie z art. 35 ust. 7 RODO, ocena skutków powinna zawierać co najmniej:
1️⃣ Opis operacji przetwarzania i jego celów
→ jakie dane, w jakim zakresie, w jakim celu, przez kogo i na jak długo.
2️⃣ Ocena niezbędności i proporcjonalności przetwarzania
→ czy dane są naprawdę potrzebne, czy można osiągnąć cel w inny sposób.
3️⃣ Ocena ryzyka naruszenia praw i wolności osób
→ analiza prawdopodobieństwa i wagi skutków potencjalnego naruszenia.
4️⃣ Środki planowane w celu ograniczenia ryzyka
→ np. szyfrowanie, anonimizacja, ograniczenie dostępu, szkolenia, pseudonimizacja.
📋 Struktura raportu DPIA – przykład
| Sekcja | Opis |
|---|---|
| 1. Cel i zakres projektu | np. wprowadzenie systemu monitoringu w firmie |
| 2. Opis danych | rodzaje danych, źródła, liczba osób |
| 3. Cele przetwarzania | bezpieczeństwo mienia, kontrola dostępu |
| 4. Uzasadnienie niezbędności | dane wideo są niezbędne do ochrony budynku |
| 5. Identyfikacja zagrożeń | dostęp osób nieuprawnionych, utrata nagrań |
| 6. Ocena ryzyka | wysokie (ujawnienie nagrań), średnie (błąd operatora) |
| 7. Środki ochrony | ograniczenie dostępu, szyfrowanie, rejestr incydentów |
| 8. Decyzja o akceptacji ryzyka | ryzyko po wdrożeniu środków – akceptowalne |
| 9. Wnioski i rekomendacje | przegląd DPIA co 12 miesięcy |
🧮 Ocena skutków – kryteria oceny ryzyka
Przy ocenie poziomu ryzyka należy wziąć pod uwagę:
- charakter danych (np. wrażliwe, biometryczne),
- liczbę osób, których dane dotyczą,
- zakres i skalę przetwarzania,
- technologie używane do przetwarzania,
- możliwość identyfikacji osób,
- skutki ewentualnego naruszenia (utrata pracy, dyskryminacja, szkoda finansowa).
👥 Kto przeprowadza DPIA?
- Odpowiedzialność spoczywa na administratorze danych (ADO).
- Administrator może korzystać z pomocy Inspektora Ochrony Danych (IOD) lub zewnętrznych specjalistów.
- W niektórych przypadkach – gdy ryzyko pozostaje wysokie mimo zastosowania środków – administrator musi skonsultować się z Prezesem UODO (art. 36 RODO).
📞 Konsultacje z organem nadzorczym (art. 36 RODO)
„Administrator konsultuje się z organem nadzorczym przed rozpoczęciem przetwarzania, jeśli ocena skutków wskazuje, że przetwarzanie powodowałoby wysokie ryzyko pomimo planowanych środków ochrony.”
Prezes UODO może wtedy:
- wydać zalecenia co do środków bezpieczeństwa,
- zakazać rozpoczęcia przetwarzania, jeśli ryzyko jest zbyt wysokie.
📄 Przykład praktyczny – DPIA w firmie handlowej
Firma „RetailPro” planuje wdrożyć system rozpoznawania twarzy klientów w celach analizy zachowań zakupowych.
Analiza ryzyka wykazała:
- przetwarzanie danych biometrycznych (wysokie ryzyko),
- brak możliwości pełnej anonimizacji,
- ryzyko błędnej identyfikacji klientów.
W ramach DPIA przedsiębiorca:
- wprowadził pseudonimizację danych,
- skrócił okres przechowywania nagrań do 48 godzin,
- ograniczył dostęp do danych tylko do działu IT,
- wdrożył obowiązkowe szkolenia pracowników.
Po zastosowaniu środków ryzyko uznano za średnie i akceptowalne, a system wdrożono bez konieczności konsultacji z UODO.
📌 Dla przedsiębiorcy:
✔ Przeprowadzaj DPIA przed wdrożeniem nowych projektów technologicznych.
✔ Jeśli przetwarzasz dane wrażliwe, biometryczne lub prowadzisz monitoring – DPIA jest obowiązkowa.
✔ Dokumentuj wyniki oceny i wnioski – to dowód rozliczalności.
✔ Regularnie przeglądaj DPIA (np. raz w roku).
✔ W razie wątpliwości – skonsultuj się z Inspektorem Ochrony Danych lub UODO.
Naruszenie ochrony danych osobowych
🔹 Definicja naruszenia (art. 4 pkt 12 RODO)
„Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
Innymi słowy — naruszeniem jest każde zdarzenie, które skutkuje lub może skutkować naruszeniem poufności, integralności lub dostępności danych.
📋 Przykłady naruszeń danych osobowych
| Kategoria | Przykład | Opis skutku |
|---|---|---|
| Poufność | wysłanie e-maila z danymi do niewłaściwego odbiorcy | ujawnienie danych osobom nieuprawnionym |
| Integralność | błąd systemu skutkujący zmianą danych klienta | dane nie odzwierciedlają rzeczywistości |
| Dostępność | utrata danych w wyniku awarii dysku lub braku kopii | dane są czasowo niedostępne |
| Fizyczne | kradzież laptopa z danymi klientów | dane mogą zostać ujawnione |
| Cyberbezpieczeństwo | atak ransomware szyfrujący bazę danych | utrata i blokada dostępu do danych |
| Ludzki błąd | omyłkowe zniszczenie teczki pracownika | brak możliwości przywrócenia danych |
⚠️ Kiedy incydent staje się naruszeniem?
Nie każde „zdarzenie” wymaga zgłoszenia do UODO.
Najpierw należy przeprowadzić ocenę ryzyka naruszenia praw i wolności osób fizycznych.
Krok 1️⃣ – Ustal, czy doszło do naruszenia bezpieczeństwa danych
Jeśli tak – przejdź do kolejnego kroku.
Krok 2️⃣ – Oceń, czy naruszenie może powodować ryzyko naruszenia praw lub wolności osób
Jeśli tak – należy:
- zgłosić incydent do Prezesa UODO,
- oraz powiadomić osoby, których dane dotyczą (jeżeli ryzyko jest wysokie).
Jeśli ryzyko jest niskie lub minimalne, wystarczy udokumentować incydent w rejestrze naruszeń.
🧾 Obowiązek zgłoszenia naruszenia (art. 33 RODO)
„W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”
Kluczowe zasady:
- 72 godziny liczy się od momentu stwierdzenia naruszenia, a nie jego wystąpienia,
- zgłoszenie należy wysłać elektronicznie przez platformę UODO (https://uodo.gov.pl/pl/134/233),
- jeśli nie uda się zgłosić w terminie, należy wyjaśnić przyczynę opóźnienia.
📬 Co powinno zawierać zgłoszenie naruszenia?
Zgodnie z art. 33 ust. 3 RODO, zgłoszenie powinno zawierać:
- Opis charakteru naruszenia (np. kradzież laptopa, wysyłka błędnego e-maila),
- Kategorie i przybliżoną liczbę osób, których dotyczy,
- Kategorie i przybliżoną liczbę rekordów danych,
- Opis możliwych konsekwencji naruszenia,
- Opis zastosowanych lub proponowanych środków zaradczych,
- Dane kontaktowe inspektora ochrony danych (jeśli został powołany).
📢 Zawiadomienie osoby, której dane dotyczą (art. 34 RODO)
„Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.”
Co musi zawierać zawiadomienie?
- opis naruszenia (w prostym języku),
- potencjalne konsekwencje,
- środki zaradcze podjęte przez administratora,
- zalecenia dla osoby, jak może się chronić (np. zmiana hasła, ostrożność wobec e-maili),
- dane kontaktowe administratora lub IOD.
📌 Forma: e-mail, list, SMS – w zależności od tego, jak zwykle komunikuje się administrator z osobą.
📄 Przykład zawiadomienia osoby o naruszeniu
Szanowna Pani / Szanowny Panie,
Informujemy, że w dniu 18.09.2025 r. doszło do incydentu polegającego na wysłaniu wiadomości e-mail zawierającej dane osobowe (imię, nazwisko, adres) do niewłaściwego odbiorcy.
Niezwłocznie po wykryciu błędu podjęliśmy działania mające na celu ograniczenie skutków zdarzenia – kontakt z odbiorcą, żądanie usunięcia wiadomości oraz analiza przyczyn.
Zalecamy ostrożność wobec prób kontaktu z nieznanych źródeł.
W razie pytań prosimy o kontakt z naszym Inspektorem Ochrony Danych: [email protected]
Z poważaniem,
Administrator Danych – XYZ Sp. z o.o.
🗂️ Rejestr naruszeń (art. 33 ust. 5 RODO)
„Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, obejmujące okoliczności naruszenia, jego skutki i podjęte działania.”
Oznacza to, że nawet jeśli incydent nie wymaga zgłoszenia do UODO, przedsiębiorca musi:
- opisać zdarzenie,
- wskazać przyczyny i skutki,
- odnotować podjęte środki naprawcze.
Rejestr może mieć prostą formę np. arkusza Excel z kolumnami:
- data zdarzenia,
- opis incydentu,
- liczba osób,
- decyzja o zgłoszeniu lub nie,
- działania naprawcze,
- data zamknięcia sprawy.
📉 Przykładowe błędy przedsiębiorców
❌ brak zgłoszenia w ciągu 72 godzin,
❌ niepoinformowanie osób o naruszeniu,
❌ niewłaściwa ocena ryzyka (bagatelizowanie incydentu),
❌ brak dokumentacji,
❌ brak szkolenia pracowników, którzy popełnili błąd.
🧩 Działania po incydencie
| Etap | Działanie | Odpowiedzialny |
|---|---|---|
| 1️⃣ Wykrycie | Zgłoszenie incydentu przez pracownika | każdy pracownik |
| 2️⃣ Ocena | Weryfikacja rodzaju i skutków naruszenia | administrator / IOD |
| 3️⃣ Działania natychmiastowe | Ograniczenie skutków, np. cofnięcie dostępu | IT / kierownik działu |
| 4️⃣ Decyzja o zgłoszeniu | Ocena ryzyka dla osób | administrator |
| 5️⃣ Zgłoszenie do UODO | w ciągu 72 h | administrator / IOD |
| 6️⃣ Zawiadomienie osób | jeśli ryzyko wysokie | administrator |
| 7️⃣ Dokumentacja | wpis do rejestru naruszeń | IOD / administrator |
🧠 Przykład praktyczny
Biuro rachunkowe „FiscoPro” przypadkowo przesłało arkusz z danymi 20 klientów do innego kontrahenta.
Dane obejmowały: imię, nazwisko, NIP, dochód roczny.
Działania podjęte:
- Niezwłocznie poinformowano odbiorcę o błędzie i zażądano usunięcia pliku.
- Wykonano analizę ryzyka – ryzyko średnie, bo dane nie ujawniały wrażliwych informacji.
- Incydent zarejestrowano, ale nie zgłoszono do UODO.
- Wprowadzono dodatkowe zabezpieczenie – szyfrowanie załączników hasłem.
📌 Dla przedsiębiorcy:
✔ Reaguj natychmiast – 72 godziny to bardzo mało czasu.
✔ Każde naruszenie analizuj pod kątem ryzyka.
✔ Jeśli ryzyko jest wysokie – zgłoś do UODO i zawiadom osoby.
✔ Prowadź rejestr wszystkich incydentów.
✔ Szkol pracowników – większość naruszeń to wynik ludzkiego błędu.
Transfer danych osobowych do państw trzecich 🌍
🔹 Podstawa prawna
Zasady transferu danych zostały określone w rozdziale V RODO (art. 44–50).
„Każde przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po ich przekazaniu do państwa trzeciego lub organizacji międzynarodowej, może nastąpić tylko wtedy, gdy administrator i podmiot przetwarzający spełnili warunki określone w niniejszym rozdziale.”
(art. 44 RODO)
🌐 Co to jest transfer danych osobowych?
Transfer danych to każde przekazanie danych osobowych:
- do państwa spoza Europejskiego Obszaru Gospodarczego (EOG),
- lub do organizacji międzynarodowej,
- albo udostępnienie danych podmiotowi, który ma siedzibę lub serwer poza EOG.
EOG obejmuje:
państwa UE + Norwegię, Islandię i Liechtenstein.
📦 Przykłady transferów danych
| Sytuacja | Czy to transfer danych? | Uwagi |
|---|---|---|
| Wysyłanie danych klienta do USA (np. przez Mailchimp) | ✅ Tak | Dane trafiają poza EOG |
| Korzystanie z systemu CRM z serwerami w Kanadzie | ✅ Tak | Dane przechowywane w kraju trzecim |
| Przesyłanie faktury e-mailem do partnera z Niemiec | ❌ Nie | W obrębie EOG |
| Backup danych na serwerze w Polsce | ❌ Nie | Dane nie opuszczają EOG |
| Spotkanie z partnerem z USA, który ma dostęp do danych klientów | ✅ Tak | Udostępnienie danych to również transfer |
📜 Warunki legalnego transferu danych poza EOG
Aby przekazanie danych było zgodne z prawem, musi spełniać jeden z trzech mechanizmów określonych w RODO:
1️⃣ Decyzja o odpowiednim stopniu ochrony (art. 45 RODO)
Komisja Europejska może uznać, że dane państwo zapewnia odpowiedni poziom ochrony.
Wtedy transfer danych jest dozwolony bez dodatkowych formalności.
📄 Lista krajów z decyzją KE (stan na 2025 r.):
- Andora
- Argentyna
- Kanada (dla podmiotów komercyjnych)
- Izrael
- Japonia
- Nowa Zelandia
- Szwajcaria
- Urugwaj
- Wielka Brytania
- Korea Południowa
- Stany Zjednoczone (tylko w ramach EU–US Data Privacy Framework)
📌 Aktualna lista jest publikowana na stronie Komisji Europejskiej:
https://commission.europa.eu
2️⃣ Odpowiednie zabezpieczenia (art. 46 RODO)
Jeśli kraj nie posiada decyzji KE, można przekazać dane, o ile zastosuje się odpowiednie zabezpieczenia.
Najczęściej stosowane mechanizmy:
- Standardowe Klauzule Umowne (SCC) – zatwierdzone przez Komisję Europejską,
- Wiążące reguły korporacyjne (BCR) – dla grup kapitałowych,
- Kodeksy postępowania lub mechanizmy certyfikacji,
- Umowy zawierające gwarancje ochrony danych.
📌 Najczęściej wykorzystywane przez polskie firmy:
Standardowe Klauzule Umowne (SCC) – np. w umowach z Google, Microsoft, Meta, AWS.
3️⃣ Wyjątki w szczególnych sytuacjach (art. 49 RODO)
Jeżeli brak jest decyzji KE i odpowiednich zabezpieczeń, dane można przekazać tylko wyjątkowo, np. gdy:
- osoba wyraziła wyraźną zgodę na transfer,
- transfer jest niezbędny do wykonania umowy,
- jest konieczny ze względu na ważny interes publiczny,
- służy ustaleniu lub obronie roszczeń,
- osoba została poinformowana o ryzykach.
Przykład:
Klient zamawia produkt z Polski, który ma być dostarczony przez amerykańską firmę kurierską.
Dane kontaktowe mogą być przekazane, jeśli to niezbędne do realizacji umowy.
🇺🇸 Transfer danych do USA – stan prawny w 2025 r.
Po unieważnieniu Privacy Shield w 2020 r. (sprawa Schrems II), w 2023 r. Komisja Europejska przyjęła nową decyzję:
EU–US Data Privacy Framework – obowiązującą od lipca 2023 r.
Co to oznacza dla firm?
- Transfer danych do USA jest dozwolony, jeśli amerykański odbiorca jest certyfikowany w ramach programu Data Privacy Framework.
- Lista certyfikowanych podmiotów dostępna jest na stronie:
https://www.dataprivacyframework.gov/s/participant-search
📌 Jeśli podmiot z USA nie jest certyfikowany, należy stosować inne zabezpieczenia (np. Standardowe Klauzule Umowne).
🔒 Przykłady odpowiednich zabezpieczeń (art. 46 ust. 2 RODO)
| Mechanizm | Opis | Kiedy stosować |
|---|---|---|
| Standardowe Klauzule Umowne (SCC) | Umowa między administratorem a odbiorcą danych spoza EOG | Najczęściej – w relacjach B2B |
| Wiążące reguły korporacyjne (BCR) | Polityka ochrony danych w grupie kapitałowej | Duże międzynarodowe korporacje |
| Certyfikacja / kodeks postępowania | Dobrowolne mechanizmy zatwierdzone przez EROD | Sektorowe rozwiązania |
| Tymczasowa zgoda osoby | Gdy nie istnieje żaden inny mechanizm | Sporadyczne przypadki |
🧮 Ocena ryzyka przed transferem (tzw. Transfer Impact Assessment – TIA)
Przed przekazaniem danych poza EOG, administrator powinien:
- zidentyfikować państwo odbiorcy,
- sprawdzić przepisy lokalne dotyczące ochrony danych,
- ocenić ryzyko dostępu służb publicznych do danych,
- zastosować dodatkowe środki ochronne, jeśli ryzyko jest wysokie (np. szyfrowanie, pseudonimizacja).
📌 To szczególnie ważne przy korzystaniu z dostawców chmurowych spoza EOG.
🧠 Przykład praktyczny
Firma „GreenShop” korzysta z narzędzia Mailchimp (USA) do wysyłki newslettera.
Mailchimp nie jest uczestnikiem Data Privacy Framework.
Aby legalnie przekazywać dane subskrybentów:
- Firma podpisuje Standardowe Klauzule Umowne (SCC) z Mailchimp.
- Przeprowadza ocenę TIA – sprawdza, czy amerykańskie prawo pozwala na nadmierny dostęp do danych.
- Dodatkowo stosuje szyfrowanie danych kontaktowych.
- Informuje użytkowników w polityce prywatności o przekazywaniu danych do USA.
W ten sposób przetwarzanie jest zgodne z RODO.
📌 Dla przedsiębiorcy:
✔ Zawsze sprawdzaj, gdzie fizycznie znajdują się serwery dostawców usług (hosting, e-mail, CRM).
✔ Jeśli poza EOG – upewnij się, że kraj ma decyzję KE lub stosuj SCC.
✔ Poinformuj użytkowników w klauzuli informacyjnej o transferze danych.
✔ W przypadku USA – sprawdź, czy odbiorca jest certyfikowany w Data Privacy Framework.
✔ Dokumentuj wszystkie decyzje dotyczące przekazywania danych.
Odpowiedzialność i kary na gruncie RODO ⚖️
🔹 Podstawa prawna
Kwestie odpowiedzialności i kar reguluje rozdział VIII RODO (art. 77–84) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781 ze zm.).
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego.”
(art. 82 ust. 1 RODO)
„Każdy organ nadzorczy zapewnia, że za każde naruszenie niniejszego rozporządzenia mogą być nakładane administracyjne kary pieniężne.”
(art. 83 ust. 1 RODO)
⚖️ 1. Rodzaje odpowiedzialności
RODO przewiduje trzy niezależne reżimy odpowiedzialności:
| Rodzaj odpowiedzialności | Kogo dotyczy | Przykład |
|---|---|---|
| Administracyjna | administrator lub procesor | kara finansowa od UODO |
| Cywilna | administrator wobec osoby, której dane dotyczą | odszkodowanie za naruszenie prywatności |
| Karno-prawna | osoby fizyczne (np. pracownik, właściciel) | przestępstwa z ustawy z 10.05.2018 r. |
💰 2. Kary administracyjne (art. 83 RODO)
To najczęściej stosowany środek represji.
Prezes UODO może nałożyć karę finansową w zależności od rodzaju naruszenia i jego wagi.
Dwa poziomy kar:
1️⃣ Do 10 000 000 EUR lub do 2% rocznego obrotu (jeśli wyższa wartość):
– naruszenie obowiązków administratora i podmiotu przetwarzającego (np. brak rejestru czynności, brak umowy powierzenia, brak zgłoszenia naruszenia).
2️⃣ Do 20 000 000 EUR lub do 4% rocznego obrotu (jeśli wyższa wartość):
– naruszenie podstawowych zasad przetwarzania danych (np. brak podstawy prawnej, naruszenie praw osób, brak zgody, brak przejrzystości).
🧮 3. Jak UODO ustala wysokość kary?
Zgodnie z art. 83 ust. 2 RODO, organ nadzorczy bierze pod uwagę m.in.:
- charakter, wagę i czas trwania naruszenia,
- liczbę osób poszkodowanych,
- stopień winy (umyślność lub zaniedbanie),
- wcześniejsze naruszenia,
- działania naprawcze podjęte przez administratora,
- współpracę z UODO,
- kategorie danych (np. wrażliwe – wyższe ryzyko).
📌 Ważne: UODO często odstępuje od nałożenia kary, jeśli przedsiębiorca współpracuje z organem i sam zgłosi naruszenie.
📄 4. Przykłady kar nałożonych przez UODO (Polska)
| Rok | Podmiot | Naruszenie | Wysokość kary |
|---|---|---|---|
| 2024 | Urząd Miasta w woj. śląskim | brak zgłoszenia naruszenia i niepowiadomienie osób | 130 000 zł |
| 2023 | Spółka IT z Warszawy | brak umowy powierzenia z podwykonawcą | 45 000 zł |
| 2022 | Szpital publiczny | udostępnienie danych pacjenta niewłaściwej osobie | 85 000 zł |
| 2021 | Biuro rekrutacyjne | przetwarzanie danych kandydatów bez podstawy prawnej | 100 000 zł |
| 2020 | Morele.net | naruszenie poufności danych klientów (atak hakerski) | 2 830 410 zł |
Źródło: https://uodo.gov.pl/pl/138/233
⚙️ 5. Odpowiedzialność cywilna (art. 82 RODO)
Każda osoba, która poniosła szkodę majątkową lub niemajątkową (np. stres, utrata reputacji), może żądać od administratora odszkodowania.
Administrator może uniknąć odpowiedzialności tylko wtedy, gdy udowodni, że nie ponosi winy za zdarzenie (np. wina leżała po stronie dostawcy IT, mimo należytej staranności).
Przykład:
Kandydat do pracy pozywa agencję rekrutacyjną za upublicznienie jego CV.
Sąd przyznaje mu 10 000 zł zadośćuczynienia za naruszenie dóbr osobistych.
⚖️ 6. Odpowiedzialność karna (ustawa z 10 maja 2018 r.)
Polska ustawa o ochronie danych osobowych przewiduje kary dla osób fizycznych (np. właściciela firmy, pracownika).
Przykłady przestępstw:
- „Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne lub do którego nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”
(art. 107 ust. 1 ustawy z 10.05.2018 r.) - „Kto nie wykonuje decyzji Prezesa UODO, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”
(art. 108 ust. 1 ustawy)
📌 W praktyce odpowiedzialność karna jest stosowana rzadko, ale może dotyczyć np. byłych pracowników, którzy bezprawnie kopiują dane klientów.
🧩 7. Odpowiedzialność solidarna administratora i procesora
„Administrator i podmiot przetwarzający ponoszą odpowiedzialność za szkody wyrządzone w wyniku przetwarzania, jeżeli nie dopełnili obowiązków wynikających z niniejszego rozporządzenia.”
(art. 82 ust. 2 RODO)
Oznacza to, że jeśli np. biuro rachunkowe (procesor) dopuści się błędu, klient (administrator) również może ponieść odpowiedzialność wobec osób poszkodowanych.
Dlatego tak ważna jest umowa powierzenia przetwarzania danych i weryfikacja kontrahentów.
📊 8. Najczęstsze błędy przedsiębiorców prowadzące do kar
❌ Brak rejestru czynności przetwarzania (art. 30 RODO)
❌ Nieprawidłowe klauzule informacyjne (art. 13–14 RODO)
❌ Brak analizy ryzyka lub DPIA (art. 35 RODO)
❌ Brak umowy powierzenia z dostawcą usług (art. 28 RODO)
❌ Brak zgłoszenia naruszenia w terminie 72h (art. 33 RODO)
❌ Przetwarzanie danych bez podstawy prawnej (art. 6 RODO)
❌ Brak reakcji na żądanie osoby (art. 15–21 RODO)
💡 9. Jak uniknąć kar i sankcji?
✔ Regularnie aktualizuj dokumentację RODO (rejestry, polityki, DPIA, analizy ryzyka).
✔ Wdrażaj zasadę rozliczalności – dokumentuj każde działanie związane z ochroną danych.
✔ Szkol pracowników i weryfikuj kontrahentów.
✔ Stosuj zasadę „privacy by design” – uwzględniaj ochronę danych już przy projektowaniu nowych usług.
✔ W przypadku incydentu – nie ukrywaj go, tylko zgłoś do UODO i udokumentuj działania.
✔ Korzystaj z pomocy Inspektora Ochrony Danych lub zewnętrznego specjalisty.
📌 Dla przedsiębiorcy:
Odpowiedzialność za naruszenia RODO nie dotyczy tylko dużych korporacji.
UODO regularnie kontroluje małe firmy, urzędy i sklepy internetowe.
Nawet pozornie drobne błędy proceduralne mogą skutkować karą lub utratą reputacji.
📚 Podstawa prawna
- art. 4 pkt 12, art. 24, art. 32, art. 33–36, art. 44–50, art. 82–84 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781 ze zm.)
🧭 Tematy zawarte w poradniku
- podstawy RODO dla przedsiębiorców
- analiza ryzyka i DPIA
- naruszenia ochrony danych osobowych
- obowiązki informacyjne i prawa osób fizycznych
- kary i odpowiedzialność za naruszenie RODO
🔗 Linki do źródeł
- https://uodo.gov.pl – Urząd Ochrony Danych Osobowych
- https://sejm.gov.pl – teksty ustaw
- https://podatki.gov.pl – przepisy podatkowe związane z danymi
- https://ec.europa.eu/info/law/law-topic/data-protection – strona Komisji Europejskiej o RODO