Ochrona danych9 kwietnia 2026 · 7 min czytania

RODO w firmie — obowiązki przedsiębiorcy

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znane powszechnie jako RODO (GDPR). Przepisy te dotyczą każdego przedsiębiorcy, który przetwarza dane osobowe — niezależnie od wielkości firmy. W Polsce RODO uzupełnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Nadzór nad przestrzeganiem przepisów sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Czym są dane osobowe?

Zgodnie z art. 4 pkt 1 RODO, dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Obejmują one między innymi: imię i nazwisko, adres e-mail, numer PESEL, adres IP, dane lokalizacyjne, a także dane biometryczne i genetyczne (tzw. szczególne kategorie danych z art. 9 RODO).

Zasady przetwarzania danych — art. 5 RODO

Każdy administrator danych musi przestrzegac sześciu fundamentalnych zasad:

  • Zgodnosc z prawem, rzetelnosc i przejrzystosc — dane muszą byc przetwarzane legalnie, uczciwie i w sposob zrozumialy dla osoby, której dotyczą
  • Ograniczenie celu — dane zbierane są w konkretnych, wyraznych i prawnie uzasadnionych celach
  • Minimalizacja danych — zbieramy tylko te dane, które są niezbędne do realizacji celu
  • Prawidlowosc — dane muszą byc aktualne i prawidlowe
  • Ograniczenie przechowywania — dane przechowujemy nie dluzej niz jest to konieczne
  • Integralnosc i poufnosc — zapewnienie odpowiedniego bezpieczenstwa danych

Podstawy prawne przetwarzania — art. 6 RODO

Przetwarzanie danych jest legalne tylko wtedy, gdy opiera się na co najmniej jednej z sześciu podstaw prawnych:

  • Zgoda osoby — dobrowolna, konkretna, świadoma i jednoznaczna (art. 6 ust. 1 lit. a)
  • Wykonanie umowy — przetwarzanie niezbędne do realizacji umowy (art. 6 ust. 1 lit. b)
  • Obowiazek prawny — np. przepisy podatkowe, rachunkowe (art. 6 ust. 1 lit. c)
  • Zywotne interesy — ochrona zycia osoby (art. 6 ust. 1 lit. d)
  • Interes publiczny — wykonywanie zadan w interesie publicznym (art. 6 ust. 1 lit. e)
  • Prawnie uzasadniony interes administratora — np. marketing bezposredni (art. 6 ust. 1 lit. f)

Obowiazek informacyjny — art. 13 i 14 RODO

Jednym z najważniejszych obowiązków przedsiębiorcy jest informowanie osob, których dane przetwarza. Przy zbieraniu danych bezpośrednio od osoby (art. 13 RODO) nalezy podac między innymi: tożsamość administratora, cel przetwarzania, podstawe prawna, okres przechowywania danych, prawa osoby oraz informacje o możliwości wniesienia skargi do PUODO.

Prawa osob, których dane dotyczą

RODO przyznaje osobom fizycznym szereg praw, które przedsiębiorca musi respektowac:

  • Prawo dostepu do danych (art. 15 RODO)
  • Prawo do sprostowania (art. 16 RODO)
  • Prawo do usuniecia danych — tzw. prawo do bycia zapomnianym (art. 17 RODO)
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO)
  • Prawo do sprzeciwu (art. 21 RODO)

Administrator ma miesiąc na rozpatrzenie zadania osoby, z mozliwoscia przedluzenia o kolejne dwa miesiące w skomplikowanych przypadkach.

Rejestr czynności przetwarzania

Zgodnie z art. 30 RODO administrator i podmiot przetwarzajacy są zobowiazani prowadzic rejestr czynności przetwarzania. Rejestr powinien zawierac między innymi: cele przetwarzania, kategorie osob i danych, odbiorców danych, planowane terminy usuniecia oraz opis środków bezpieczenstwa. Obowiazek ten dotyczy firm zatrudniajacych powyzej 250 osob, ale także mniejszych — jeżeli przetwarzanie może powodowac ryzyko naruszenia praw.

Inspektor Ochrony Danych (IOD)

Wyznaczenie Inspektora Ochrony Danych jest obowiazkowe w trzech przypadkach określonych w art. 37 RODO: gdy przetwarzania dokonuje organ publiczny, gdy glowna działalność polega na systematycznym monitorowaniu osob na duza skale, lub gdy glowna działalność polega na przetwarzaniu szczegolnych kategorii danych na duza skale.

Kary za naruszenie RODO

RODO przewiduje surowe kary finansowe za naruszenie przepisów:

  • Do 10 mln EUR lub 2% rocznego obrotu — za naruszenie obowiązków administratora (art. 83 ust. 4 RODO)
  • Do 20 mln EUR lub 4% rocznego obrotu — za naruszenie podstawowych zasad przetwarzania lub praw osob (art. 83 ust. 5 RODO)

W Polsce PUODO aktywnie nakłada kary — zarowno na duze korporacje, jak i male firmy, które nie dopelniaja obowiązków informacyjnych lub nie zabezpieczaja danych prawidłowo.

Podsumowanie

Zgodnosc z RODO to nie jednorazowe działanie, ale ciagly proces. Każdy przedsiębiorca powinien regularnie przegladac swoje procedury ochrony danych, aktualizowac klauzule informacyjne i szkolic pracowników. Ignorowanie przepisów może prowadzic do dotkliwych kar finansowych i utraty zaufania klientow.

Masz pytanie prawne?

Zapytaj SmartPrawnik — AI asystent prawny z weryfikacja źródeł

Zadaj pytanie za darmo
📚 Reviewed by: Treść blogowa SmartPrawnik powstaje w oparciu o aktualne przepisy prawa polskiego (Sejm/SAOS) i jest weryfikowana przez zespół redakcyjny przed publikacją. Daty aktualności podane przy artykułach.
Ważne: SmartPrawnik dostarcza informacje prawne, nie zastępuje porady udzielanej przez radcę prawnego ani adwokata. Narzędzie wspomagające — nie porada prawna. Compliance: AI Act + RODO EU. Pełen disclaimer