RODO – co to jest, kogo dotyczy i co musisz wdrożyć w firmie

RODO to unijne Rozporządzenie o Ochronie Danych Osobowych, które reguluje zasady zbierania, przetwarzania i wykorzystywania danych osób fizycznych. Obowiązuje od maja 2018 roku. Dotyczy każdego przedsiębiorcy, który przetwarza dane osobowe – klientów, pracowników, kontrahentów. Jeśli prowadzisz firmę, musisz znać swoje obowiązki wynikające z RODO i wdrożyć odpowiednie procedury. Od września 2025 roku dochodzi dodatkowa regulacja – Data Act – która zmienia zasady dostępu do danych w gospodarce cyfrowej.

Czym są dane osobowe – definicja i przykłady

Dane osobowe to wszystkie informacje, które pozwalają zidentyfikować konkretną osobę fizyczną. Bez zrozumienia tej definicji nie zrozumiesz RODO.

Przykłady danych osobowych

• Imię i nazwisko
• Numer PESEL lub inny krajowy numer identyfikacyjny
• Adres e-mail / numer IP
• Dane biometryczne – np. wizerunek twarzy, dane daktyloskopijne
• Dane genetyczne – informacje ujawniające stan fizjologii lub zdrowia osoby
• Zbiór informacji, które razem pozwalają kogoś zidentyfikować – np. historia aktywności w Internecie

Jak działa identyfikacja przez zbiór danych

Pojedyncza informacja (np. „ktoś szuka klapek") nie identyfikuje osoby. Ale połączenie wielu takich informacji – już tak. Śledząc, co czytasz, w co klikasz i co kupujesz, można zbudować pełen profil Twojej osoby: zainteresowania, plany, problemy zdrowotne, nawyki.

Przykład: Szukasz w Internecie klapek i kremu do opalania – prawdopodobnie wybierasz się na urlop. Dla kogoś, kto połączy te informacje z Twoim adresem e-mail, to już konkretna wiedza o Tobie.

Jak mogą zostać wykorzystane Twoje dane osobowe

Dane osobowe mają wartość rynkową. Mogą zostać wykorzystane do celów:

• Sprzedażowych – targetowanie reklam, oferty dopasowane do Twojego profilu
• Ubezpieczeniowych – ocena ryzyka na podstawie Twojego stanu zdrowia i nawyków
• Kredytowych – analiza Twoich wydatków i decyzja o zdolności kredytowej
• Kadrowych – pozyskiwanie informacji o pracowniku, których nie powinien ujawniać pracodawcy

Przykład: Śledząc daną osobę w Internecie, można dowiedzieć się o niej praktycznie wszystkiego – czy szuka pracy, na co choruje, czy preferuje zdrowy tryb życia. Wszystko wynika z historii stron, które odwiedzamy, i rzeczy, które kupujemy.

Co by było bez RODO – realne zagrożenia braku regulacji

Wyobraź sobie, że nie obowiązują żadne zasady wykorzystywania danych osobowych. W takim scenariuszu:

• Portal internetowy zbierałby pełen profil Twojej osoby na podstawie tego, w co klikasz – bez Twojej wiedzy i zgody
• Zakład ubezpieczeniowy mógłby kupić te dane i odmówić Ci ubezpieczenia, bo wie, że palisz papierosy i chorujesz
• Pracodawca mógłby kupować dane o Tobie – np. informacje o planowanej ciąży – i zwolnić Cię, zanim do niej dojdzie
• Bank sprawdzałby, na co wydajesz pieniądze, i na tej podstawie odmawiał Ci kredytu

To scenariusze hipotetyczne – ale realne, gdyby z danymi można było robić, co się komu podoba. RODO zostało wprowadzone właśnie po to, żeby do takich sytuacji nie dopuścić.

RODO – co to jest i jakie zasady wprowadza

RODO to zbiór przepisów regulujących wykorzystanie danych osób fizycznych. Przepisy te wyznaczają reguły i limity, do których muszą dostosować się przede wszystkim przedsiębiorcy w procesie przetwarzania danych.

Co RODO oznacza w praktyce

• Firmy nie mogą dowolnie wykorzystywać danych innych osób – muszą stosować się do ściśle określonych zasad
• Ubezpieczyciel nie dowie się, czego szukasz w Internecie
• Sprzedawca nie przekaże informacji o Tobie innemu podmiotowi bez podstawy prawnej
• Każde przetwarzanie danych wymaga konkretnej podstawy prawnej – np. zgody, umowy lub obowiązku ustawowego

Czym jest zgoda na przetwarzanie danych

Zgoda w rozumieniu RODO to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Musi zostać wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego. Bez takiej zgody lub innej podstawy prawnej – przetwarzanie danych jest niedopuszczalne.

RODO nie jest jedynym ani pierwszym aktem chroniącym dane osobowe. To zbiór ogólnych zasad, które ujednolicają i wzmacniają cały system ochrony danych w UE.

RODO w kontekście zatrudnienia – obowiązki pracodawcy

Zgodnie z art. 88 RODO, państwa członkowskie – w tym Polska – mogą wprowadzić bardziej szczegółowe regulacje dotyczące przetwarzania danych osobowych pracowników.

Obszary, których dotyczą przepisy o ochronie danych w zatrudnieniu

• Procesy rekrutacji
• Wykonanie umowy o pracę
• Zarządzanie i organizacja pracy
• Bezpieczeństwo i higiena pracy
• Zakończenie stosunku pracy
• Działanie systemów monitorujących w miejscu pracy

Co to oznacza dla Ciebie jako pracodawcy

Jeśli przetwarzasz dane pracowników – np. w systemach kadrowych, monitoringu lub systemach kontroli dostępu – musisz:

• Działać w oparciu o konkretną podstawę prawną
• Zapewnić pracownikom pełną informację o sposobie wykorzystania ich danych
• Szanować godność pracownika, jego uzasadnione interesy i prawa podstawowe
• Zapewnić przejrzystość przetwarzania danych i zasad monitoringu

Data Act – nowe regulacje dotyczące dostępu do danych od września 2025

Od 12 września 2025 roku obowiązuje Data Act (Rozporządzenie PE i Rady (UE) 2023/2854) – Akt w sprawie danych. To rozporządzenie unijne stosowane bezpośrednio we wszystkich państwach członkowskich, bez potrzeby odrębnej ustawy implementującej.

Cel Data Act

• Zapewnienie sprawiedliwego podziału wartości danych między podmiotami gospodarki cyfrowej
• Ułatwienie dostępu do danych i ich wykorzystania

Główne obowiązki wynikające z Data Act

• Posiadacze danych muszą udostępniać dane użytkownikom
• Na wniosek użytkownika – dane muszą być udostępnione wybranym przez niego osobom trzecim

Relacja Data Act do RODO

Data Act nie narusza przepisów RODO. Jeśli udostępniane dane zawierają dane osobowe, ich przetwarzanie musi odbywać się zgodnie z RODO, w tym z zasadami:

• Minimalizacji danych – zbieraj tylko tyle, ile potrzebujesz
• Privacy by Design – uwzględniaj ochronę danych już na etapie projektowania rozwiązań
• Privacy by Default – domyślne ustawienia muszą chronić dane użytkownika

Co musisz wdrożyć w firmie – dokumenty i procedury RODO

Prawidłowe wdrożenie RODO w firmie wymaga przygotowania konkretnych dokumentów i procedur. Oto lista tego, co powinieneś mieć:

Dokumentacja RODO – checklist wdrożeniowy

1. Polityka ochrony danych osobowych – główny dokument regulujący zasady przetwarzania danych w firmie
2. Rejestr czynności przetwarzania – wykaz wszystkich operacji na danych osobowych
3. Procedura obsługi naruszeń – co robisz, gdy dojdzie do wycieku lub utraty danych
4. Procedura realizacji praw osób – jak odpowiadasz na żądania dostępu, usunięcia, sprostowania danych
5. Polityka prywatności – informacja dla użytkowników Twojej strony / aplikacji
6. Polityka cookies – zasady stosowania plików cookies
7. Upoważnienia do przetwarzania danych – dla każdego pracownika, który ma kontakt z danymi osobowymi
8. Procedury bezpieczeństwa danych – zasady ochrony danych w codziennej pracy biura

Kogo dotyczy wdrożenie

RODO ma bezpośrednie przełożenie na działania:

• Marketingu – każda kampania, newsletter, formularz kontaktowy
• E-commerce – cały proces zakupowy, dane klientów, płatności
• HR – rekrutacja, umowy, akta osobowe, monitoring
• Księgowości – faktury, rozliczenia, dane kontrahentów

Następny krok – sprawdź, czy Twoja firma spełnia wymagania RODO

Zrozumienie idei RODO to punkt wyjścia. Kolejny krok to przegląd tego, co masz wdrożone – i uzupełnienie braków. Sprawdź dokumentację, zweryfikuj procedury, upewnij się, że Twoi pracownicy wiedzą, jak postępować z danymi osobowymi. Jeśli działasz w e-commerce, IT lub korzystasz z rozwiązań opartych na AI – uwzględnij też obowiązki wynikające z Data Act.

Specjalizujemy się w obsłudze przedsiębiorców. Doradzamy, jak RODO i nowe regulacje (w tym Data Act) wpływają na Twoją firmę, jakie obowiązki z nich wynikają i co konkretnie musisz wdrożyć. Napisz do nas.

Najczęściej zadawane pytania

Co to jest RODO i czy dotyczy też Twojej firmy? RODO to unijne Rozporządzenie o Ochronie Danych Osobowych, które reguluje zasady zbierania, przetwarzania i wykorzystywania danych osób fizycznych – obowiązuje od maja 2018 roku. Dotyczy każdego przedsiębiorcy, który przetwarza dane osobowe klientów, pracowników lub kontrahentów. Jeśli prowadzisz firmę – niezależnie od branży – RODO nakłada na Ciebie konkretne obowiązki i wymaga wdrożenia odpowiednich procedur.

Jakie dane są uznawane za dane osobowe w świetle RODO? Dane osobowe to wszystkie informacje, które pozwalają zidentyfikować konkretną osobę fizyczną – imię i nazwisko, PESEL, adres e-mail, numer IP, dane biometryczne czy dane genetyczne. Pojedyncza informacja nie musi identyfikować osoby, ale połączenie kilku danych – np. historii aktywności w Internecie, zakupów i adresu e-mail – już wystarczy do zbudowania pełnego profilu. Jeśli Twoja firma zbiera jakiekolwiek takie informacje, przetwarzasz dane osobowe w rozumieniu RODO.

Jaką dokumentację i procedury RODO musisz mieć wdrożone w firmie? Musisz przygotować: politykę ochrony danych osobowych, rejestr czynności przetwarzania, procedurę obsługi naruszeń (wyciek, utrata danych), procedurę realizacji praw osób (dostęp, usunięcie, sprostowanie), politykę prywatności, politykę cookies, upoważnienia do przetwarzania danych dla pracowników oraz procedury bezpieczeństwa danych w codziennej pracy. Te dokumenty dotyczą bezpośrednio marketingu, e-commerce, HR i księgowości – sprawdź, które z nich masz wdrożone, i uzupełnij braki.

Jakie obowiązki RODO ma pracodawca wobec danych pracowników? Jako pracodawca musisz przetwarzać dane pracowników wyłącznie w oparciu o konkretną podstawę prawną, zapewnić im pełną informację o sposobie wykorzystania ich danych, szanować ich godność i prawa podstawowe oraz zapewnić przejrzystość zasad przetwarzania i monitoringu. Obowiązki te obejmują cały cykl zatrudnienia – od rekrutacji, przez wykonanie umowy o pracę i zarządzanie pracą, aż po zakończenie stosunku pracy, a także działanie systemów monitorujących w miejscu pracy.

Jak Data Act wpływa na RODO i co to zmienia dla firm od września 2025 roku? Od 12 września 2025 roku obowiązuje Data Act – unijne rozporządzenie, które reguluje dostęp do danych i ich podział między podmiotami gospodarki cyfrowej. Data Act nie narusza przepisów RODO – jeśli udostępniane dane zawierają dane osobowe, ich przetwarzanie musi odbywać się zgodnie z zasadami minimalizacji danych, Privacy by Design i Privacy by Default. Jeśli działasz w e-commerce, IT lub korzystasz z rozwiązań opartych na AI, uwzględnij obowiązki wynikające z Data Act obok dotychczasowych wymagań RODO.