RODO w praktyce – jak legalnie przetwarzać dane osobowe klientów?

By Martyna Bombaprawo

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, od momentu wejścia w życie w maju 2018 roku na stałe zmieniło podejście do ochrony danych osobowych w Unii Europejskiej. Choć początkowo budziło obawy i kojarzyło się z biurokracją, dziś jest podstawowym standardem regulującym to, jak firmy mogą gromadzić, przetwarzać i przechowywać dane swoich klientów.

Wbrew powszechnemu przekonaniu, RODO nie dotyczy wyłącznie dużych korporacji czy instytucji publicznych. Obowiązki wynikające z rozporządzenia spoczywają także na małych firmach, jednoosobowych działalnościach gospodarczych, sklepach internetowych, gabinetach usługowych czy freelancerach – czyli praktycznie każdym, kto w jakikolwiek sposób przetwarza dane osobowe.

Spis treści:

  1. Czym są dane osobowe i kto jest administratorem danych?
  2. Na jakiej podstawie prawnej można przetwarzać dane klientów?
  3. Jak legalnie pozyskiwać dane osobowe?
  4. Zgoda na przetwarzanie danych – kiedy jest potrzebna i jak powinna wyglądać?
  5. Przetwarzanie danych w celach marketingowych – szczególne zasady
  6. Powierzenie przetwarzania danych – umowy z podmiotami zewnętrznymi
  7. Jak zabezpieczać dane osobowe?
  8. Prawa osób, których dane dotyczą
  9. Czy muszę zgłaszać przetwarzanie danych? Rejestry i dokumentacja
  10. RODO a kary – co grozi za naruszenie przepisów?
  11. Podsumowanie i dobre praktyki

Czym są dane osobowe i kto jest administratorem danych?

Aby zrozumieć, kiedy stosować przepisy RODO, trzeba najpierw odpowiedzieć na dwa kluczowe pytania: czym są dane osobowe i kto odpowiada za ich przetwarzanie.

Dane osobowe – definicja i przykłady

Zgodnie z art. 4 pkt 1 RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Oznacza to, że nawet jeśli imię i nazwisko nie pojawia się wprost, ale informacje pozwalają na ustalenie, o kogo chodzi – mówimy o danych osobowych.

Przykłady danych osobowych:

    • imię i nazwisko,
    • adres e-mail (zwłaszcza zawierający imię i nazwisko),
    • numer telefonu,
    • numer PESEL,
  • dane lokalizacyjne (GPS),
  • adres IP,
  • identyfikatory online (np. cookies),
  • nagranie głosu, zdjęcie twarzy.

RODO wyróżnia również szczególne kategorie danych, czyli tzw. dane wrażliwe – m.in. dane dotyczące zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych czy orientacji seksualnej. Ich przetwarzanie podlega zaostrzonym wymogom.

Administrator danych – kto to taki?

Administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Przykład: jeśli prowadzisz sklep internetowy, gabinet lekarski, kancelarię, biuro rachunkowe lub blog z formularzem kontaktowym – jesteś administratorem danych swoich klientów lub użytkowników.

Administrator odpowiada m.in. za:

  • legalność przetwarzania danych

Administrator musi mieć podstawę prawną do zbierania i wykorzystywania danych osobowych – np. zgodę użytkownika, realizację umowy lub obowiązek ustawowy. Przetwarzanie danych „na zapas” lub bez celu jest naruszeniem RODO.

  • informowanie osób, których dane dotyczą

Każda osoba, od której zbierane są dane, powinna otrzymać tzw. klauzulę informacyjną – zawierającą m.in. informacje o celu, podstawie prawnej, czasie przechowywania danych i przysługujących prawach. Brak tej informacji może skutkować skargą do UODO.

  • ochronę danych przed nieuprawnionym dostępem

Administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby dane nie trafiły w niepowołane ręce – np. zabezpieczenia hasłem, szyfrowanie, ograniczenie dostępu. Niedbalstwo w tym zakresie może prowadzić do wycieku danych i kar.

  • umożliwienie realizacji praw osób fizycznych

Osoby, których dane są przetwarzane, mają prawo m.in. do ich wglądu, sprostowania, usunięcia, ograniczenia przetwarzania czy przeniesienia. Administrator musi umożliwić realizację tych praw w rozsądnym terminie (zwykle 1 miesiąc).

Na jakiej podstawie prawnej można przetwarzać dane klientów?

Aby przetwarzanie danych osobowych było zgodne z RODO, musi opierać się na co najmniej jednej z sześciu podstaw prawnych wskazanych w art. 6 ust. 1 rozporządzenia. Administrator nie może przetwarzać danych „na wszelki wypadek” – każdorazowo musi jasno określić cel i legalną podstawę.

Poniżej omawiamy wszystkie dopuszczalne podstawy wraz z przykładami zastosowania w praktyce:

1. Zgoda osoby, której dane dotyczą (lit. a)

Najbardziej znana i najczęściej stosowana podstawa. Zgoda musi być dobrowolna, konkretna, świadoma i możliwa do wycofania w każdej chwili.

Przykład: zapis na newsletter, formularz kontaktowy z opcją zgody na kontakt marketingowy.

2. Wykonanie umowy lub działania przed jej zawarciem (lit. b)

Jeśli przetwarzanie danych jest niezbędne do realizacji umowy lub do podjęcia działań przed jej zawarciem – nie potrzeba dodatkowej zgody.

Przykład: klient zamawia produkt w sklepie internetowym – podaje imię, adres, telefon i e-mail, by otrzymać przesyłkę.

3. Obowiązek prawny ciążący na administratorze (lit. c)

Administrator musi przetwarzać dane, gdy wymaga tego przepis prawa – nie potrzebuje na to zgody osoby fizycznej.

Przykład: przechowywanie faktur zawierających dane klientów zgodnie z przepisami o rachunkowości.

4. Ochrona żywotnych interesów osoby fizycznej (lit. d)

Stosowana rzadko – dotyczy sytuacji nagłych, gdy przetwarzanie danych jest niezbędne, by chronić życie lub zdrowie.

Przykład: udostępnienie danych pacjenta służbom ratunkowym podczas wypadku.

5. Wykonywanie zadania realizowanego w interesie publicznym (lit. e)

Dotyczy głównie instytucji publicznych, które przetwarzają dane w ramach ustawowo określonych zadań.

Przykład: urząd przetwarzający dane obywateli w celu wydania decyzji administracyjnej.

6. Prawnie uzasadniony interes administratora (lit. f)

Najbardziej elastyczna, ale też wymagająca ostrożności podstawa. Może być stosowana, gdy interes administratora nie narusza praw i wolności osoby, której dane dotyczą.

Przykład: monitoring w sklepie dla zapewnienia bezpieczeństwa, marketing własnych usług do obecnych klientów, windykacja należności.

Jak legalnie pozyskiwać dane osobowe?

Zbieranie danych osobowych to jeden z najczęstszych punktów kontaktu między firmą a klientem – formularze, zapisy do newsletterów, zakupy online czy zapisy na wizyty. Jednak nawet samo pozyskanie danych musi być zgodne z RODO, co oznacza m.in. stosowanie zasady minimalizacji i realizację obowiązku informacyjnego.

Zasada minimalizacji danych

Zgodnie z art. 5 ust. 1 lit. c RODO, administrator powinien zbierać tylko takie dane, które są adekwatne, stosowne i ograniczone do niezbędnego minimum. Innymi słowy – nie wolno zbierać danych „na zapas”, „na wszelki wypadek”, bez konkretnego i uzasadnionego celu.

Przykład: jeśli prowadzisz zapis na newsletter, wystarczy adres e-mail – nie musisz pytać o datę urodzenia czy numer telefonu.

Obowiązek informacyjny – art. 13 i 14 RODO

Każdy, kto zbiera dane osobowe, ma obowiązek poinformować osobę, której dane dotyczą, o:

  • tożsamości i danych kontaktowych administratora,
  • celu i podstawie prawnej przetwarzania danych,
  • odbiorcach danych (np. firmie kurierskiej, biurze rachunkowym),
  • czasie przechowywania danych,
  • prawach osoby fizycznej (np. do dostępu, sprostowania, usunięcia),
  • prawie do wniesienia skargi do Prezesa UODO,
  • ewentualnym przekazywaniu danych poza Europejski Obszar Gospodarczy.

Jak powinna wyglądać klauzula informacyjna?

Klauzula informacyjna powinna być jasna, zwięzła i łatwo dostępna – np. w stopce formularza, na osobnej podstronie (np. „Polityka prywatności”), lub dostarczona w formie papierowej (np. w gabinecie lekarskim).

Przykład – skrócona klauzula pod formularzem kontaktowym:

Administratorem danych osobowych jest [Nazwa firmy]. Dane przetwarzane są w celu obsługi zapytania zgodnie z art. 6 ust. 1 lit. f RODO. Więcej informacji znajdziesz w [Polityce prywatności].

Zadbaj o to, aby każda osoba, od której zbierasz dane, miała realną szansę zapoznać się z tymi informacjami – to obowiązek administratora, nie osoby fizycznej.

Zgoda na przetwarzanie danych – kiedy jest potrzebna i jak powinna wyglądać?

Zgoda na przetwarzanie danych osobowych to jedna z podstaw prawnych określonych w RODO, ale nie powinna być nadużywana. Wbrew pozorom nie zawsze jest wymagana – obowiązuje tylko wtedy, gdy nie można oprzeć przetwarzania na innej przesłance (np. wykonaniu umowy czy obowiązku prawnego).

Kiedy zgoda jest wymagana?

Zgoda jest potrzebna m.in. w następujących przypadkach:

  • przetwarzanie danych do celów marketingowych (np. przesyłanie newsletterów, SMS-ów z ofertą),
  • wykorzystanie wizerunku osoby (np. publikacja zdjęć klienta na stronie internetowej),
  • zapisanie danych na stronie do celów niezwiązanych bezpośrednio z realizacją umowy (np. do analityki, retargetingu reklam).

Jeśli przetwarzanie danych wynika z konieczności wykonania umowy, zgoda nie jest konieczna – np. nie musisz prosić klienta o zgodę na przetwarzanie danych do wystawienia faktury.

Warunki ważności zgody – 4 podstawowe zasady

Zgoda musi spełniać cztery kryteria, aby była ważna zgodnie z art. 7 i art. 4 pkt 11 RODO:

1. Dobrowolna – nie może być wymuszona, np. przez warunek „zgódź się, inaczej nie skorzystasz z usługi”.
Zgoda nie może być warunkiem koniecznym do zawarcia umowy, jeśli przetwarzanie danych nie jest niezbędne do jej wykonania. Użytkownik musi mieć realny wybór i możliwość odmowy bez negatywnych konsekwencji.

2. Konkretna – musi jasno wskazywać, na co dana osoba się zgadza.
Zgoda musi dotyczyć konkretnego celu – nie można prosić o „zgodę ogólną” na wiele różnych działań. Dla każdego celu (np. marketing, udostępnienie danych partnerom) powinna być osobna zgoda.

3. Świadoma – osoba musi wiedzieć, kto, w jakim celu i na jak długo będzie przetwarzać jej dane.
Wymagana jest pełna transparentność – przed wyrażeniem zgody użytkownik musi mieć dostęp do klauzuli informacyjnej lub innej formy jasnego wyjaśnienia zasad przetwarzania. Brak tych informacji sprawia, że zgoda jest nieważna.

4. Odwoływalna – zgoda może być w każdej chwili wycofana tak łatwo, jak została udzielona.
Administrator powinien zapewnić łatwy i szybki sposób wycofania zgody – np. poprzez link w e-mailu, checkbox w panelu użytkownika lub wysłanie wiadomości. Osoba wycofująca zgodę nie może ponosić z tego tytułu żadnych negatywnych konsekwencji.

Pamiętaj: jeśli Twoja działalność opiera się na zgodzie – musisz być w stanie udowodnić, że została udzielona dobrowolnie i w odpowiedniej formie. W razie sporu z klientem to Ty musisz wykazać, że działałeś zgodnie z prawem.

Najczęstsze błędy przy pozyskiwaniu zgód

  • domyślnie zaznaczone checkboxy – nielegalne

Zgoda musi być wyrażona w sposób aktywny, przez działanie osoby – nie może być „wymuszona” domyślnym zaznaczeniem opcji. Automatycznie zaznaczone pola są sprzeczne z zasadą dobrowolności.

  • brak rozdzielenia zgody marketingowej od zgody na warunki korzystania z usługi

Zgoda na marketing nie może być „przemycana” razem z akceptacją regulaminu – muszą to być osobne checkboxy. Osoba powinna mieć możliwość skorzystania z usługi, nawet jeśli nie wyraża zgody na działania promocyjne.

  • brak informacji o prawie do wycofania zgody

Każdy powinien wiedzieć, że może w dowolnym momencie wycofać zgodę i w jaki sposób może to zrobić. Brak takiej informacji może sprawić, że zgoda zostanie uznana za nieważną.

  • „wpychanie” zgody tam, gdzie nie jest potrzebna

Jeśli dane są przetwarzane na innej podstawie prawnej (np. umowa, obowiązek prawny), nie należy prosić o dodatkową zgodę. Zwiększa to ryzyko błędów i wprowadza osoby w błąd.

  • brak dokumentacji potwierdzającej udzielenie zgody

Administrator musi być w stanie wykazać, że zgoda została faktycznie udzielona. Brak potwierdzenia (np. zapisów systemowych, daty, IP) może skutkować odpowiedzialnością.

Przetwarzanie danych w celach marketingowych – szczególne zasady

Przetwarzanie danych osobowych w celach marketingowych jest dozwolone, ale podlega szczególnym ograniczeniom. To obszar, w którym bardzo łatwo popełnić błąd i narazić się na zarzuty naruszenia RODO – zwłaszcza gdy chodzi o wysyłkę newsletterów, SMS-ów promocyjnych czy telefoniczny kontakt z ofertą.

Marketing a zgoda – czy zawsze trzeba ją mieć?

Nie zawsze. Zgodnie z RODO, marketing można oprzeć na dwóch podstawach prawnych:

  1. Zgoda osoby fizycznej (art. 6 ust. 1 lit. a RODO),
  2. Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) – dotyczy to najczęściej marketingu bezpośredniego do własnych klientów (np. przypomnienie o usłudze, informacja o nowej ofercie).

Należy jednak pamiętać, że oprócz RODO obowiązują także inne akty prawne – np. Prawo telekomunikacyjne i ustawa o świadczeniu usług drogą elektroniczną, które wymagają zgody na wysyłkę treści marketingowych e-mailem, SMS-em lub przez połączenie głosowe – nawet jeśli RODO pozwalałoby na to bez zgody.

Przykład z praktyki:
Jeśli prowadzisz sklep internetowy i klient kupił u Ciebie produkt – możesz, powołując się na uzasadniony interes, wysłać mu maila z prośbą o ocenę zakupu.
Ale aby wysłać mu newsletter z nową ofertą – musisz mieć osobną zgodę na kontakt marketingowy (checkbox lub zapis z formularza).

Co jeszcze musisz wiedzieć o marketingu a RODO:

  • Każda zgoda musi być możliwa do łatwego wycofania – np. poprzez link „Wypisz mnie” w stopce newslettera.
  • Musisz jasno wskazać, kto jest administratorem danych i w jakim celu będą one wykorzystywane.
  • Nie wolno „ukrywać” zgód w regulaminach lub łączyć ich z obowiązkami umownymi.
  • Nie można przekazywać danych partnerom marketingowym bez wyraźnej, osobnej zgody użytkownika.

Powierzenie przetwarzania danych – umowy z podmiotami zewnętrznymi

W codziennej działalności wielu przedsiębiorców korzysta z usług firm zewnętrznych – np. biur rachunkowych, dostawców hostingu, firm IT, platform mailingowych. W takich sytuacjach często dochodzi do powierzenia przetwarzania danych osobowych, które musi być zgodne z RODO.

Administrator a podmiot przetwarzający – jaka jest różnica?

  • Administrator – to Ty, jeśli decydujesz o tym, jakie dane zbierasz, w jakim celu i jak długo je przetwarzasz.
  • Podmiot przetwarzający (procesor) – to firma zewnętrzna, która działa wyłącznie na Twoje polecenie i nie może samodzielnie decydować o danych.

Przykład: jeśli Twoje biuro księgowe przetwarza dane Twoich klientów w Twoim imieniu – musisz zawrzeć z nim umowę powierzenia przetwarzania danych.

Kiedy konieczna jest umowa powierzenia danych?

Zawsze, gdy udostępniasz dane osobowe innemu podmiotowi w celu wykonania dla Ciebie usługi, a ten podmiot nie staje się administratorem tych danych. Dotyczy to m.in.:

  • usług chmurowych (np. Google Workspace, Microsoft 365),
  • operatorów mailingowych (np. MailerLite, Mailchimp),
  • dostawców oprogramowania (np. systemów CRM),
  • agencji marketingowych, kancelarii prawnych, informatyków.

Co musi zawierać umowa powierzenia danych?

Zgodnie z art. 28 RODO, umowa powinna określać m.in.:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych i kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • zobowiązania procesora do ochrony danych i zachowania poufności,
  • obowiązek pomocy w realizacji praw osób fizycznych,
  • zasady postępowania z danymi po zakończeniu współpracy.

Forma umowy – czy musi być papierowa?

Nie. Umowę powierzenia można zawrzeć również w formie elektronicznej (np. akceptując regulamin lub zawierając umowę online), pod warunkiem, że jej treść spełnia wymagania RODO i można ją udokumentować w razie kontroli.

Jak zabezpieczać dane osobowe?

RODO nakłada na administratorów obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych osobowych. Oznacza to, że musisz chronić dane przed nieuprawnionym dostępem, ich przypadkową utratą, zniszczeniem lub nieautoryfikowanym ujawnieniem – bez względu na wielkość firmy.

Środki techniczne – czyli zabezpieczenia informatyczne

  • Silne hasła i autoryzacja dostępu – dostęp do systemów zawierających dane powinien być chroniony silnymi hasłami, a dostęp przydzielany tylko osobom upoważnionym.
  • Szyfrowanie danych – szczególnie przy przesyłaniu informacji (np. przez e-mail, formularze), warto korzystać z protokołów typu SSL.
  • Kopie zapasowe – regularne tworzenie backupów danych zmniejsza ryzyko ich utraty np. w wyniku awarii sprzętu czy cyberataku.
  • Aktualizacja oprogramowania – nieaktualne systemy operacyjne i aplikacje zwiększają ryzyko włamań.

Środki organizacyjne – czyli procedury i zasady w firmie

  • Polityka bezpieczeństwa danych – wewnętrzny dokument określający zasady przetwarzania i zabezpieczania danych, dostępny dla zespołu.
  • Upoważnienia i rejestr osób przetwarzających dane – każda osoba w firmie mająca dostęp do danych powinna być formalnie upoważniona.
  • Szkolenia pracowników – każdy, kto przetwarza dane, powinien być świadomy zasad RODO i znać procedury wewnętrzne.
  • Ograniczenie dostępu – nie każdy musi mieć dostęp do wszystkich danych. Warto stosować zasadę „tylko tyle, ile potrzebne”.

Przykład z praktyki:
Jeśli prowadzisz salon kosmetyczny, dane klientów (imię, telefon, historia wizyt) powinny być przechowywane w zabezpieczonym systemie – nie na kartkach w widocznym miejscu. Dostęp do komputera powinien być chroniony hasłem, a pracownicy powinni wiedzieć, że nie wolno im udostępniać danych osobom trzecim.

Prawa osób, których dane dotyczą

RODO nie tylko nakłada obowiązki na administratorów, ale przede wszystkim przyznaje konkretne prawa osobom fizycznym, których dane są przetwarzane. Każdy klient, użytkownik czy kontrahent ma prawo kontrolować sposób, w jaki jego dane są używane – a Ty jako administrator musisz te prawa respektować.

1. Prawo dostępu do danych (art. 15 RODO)

Każda osoba może zażądać informacji, czy jej dane są przetwarzane, w jakim celu, jakie dane są zbierane oraz komu zostały udostępnione. Masz obowiązek udzielić odpowiedzi w ciągu maksymalnie 1 miesiąca.

2. Prawo do sprostowania danych (art. 16 RODO)

Jeśli dane są nieprawidłowe lub nieaktualne (np. błędny adres e-mail), osoba może żądać ich poprawienia. Administrator powinien niezwłocznie wprowadzić korektę.

3. Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO)

Osoba może zażądać usunięcia danych, jeśli nie ma już podstawy prawnej do ich przetwarzania (np. wycofano zgodę, umowa została wykonana). Nie zawsze jednak jest to możliwe – np. dane zawarte w fakturach trzeba przechowywać zgodnie z przepisami podatkowymi.

4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

W określonych sytuacjach osoba może zażądać czasowego „zamrożenia” danych – np. gdy kwestionuje ich prawidłowość. W tym czasie dane mogą być tylko przechowywane.

5. Prawo do przenoszenia danych (art. 20 RODO)

Na żądanie klienta musisz udostępnić mu dane w ustrukturyzowanym, powszechnie używanym formacie (np. CSV, XML), jeśli przetwarzanie odbywa się na podstawie zgody lub umowy.

6. Prawo do sprzeciwu (art. 21 RODO)

Osoba może sprzeciwić się przetwarzaniu jej danych, np. w celach marketingowych. Po zgłoszeniu sprzeciwu nie możesz już używać danych do tych celów.

Jak realizować prawa osób fizycznych?

  • Odpowiedź na wniosek należy udzielić bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca.
  • W wyjątkowych przypadkach można przedłużyć ten termin o kolejne 2 miesiące, ale trzeba poinformować o tym osobę zainteresowaną.
  • Administrator musi potwierdzić tożsamość wnioskodawcy – zwłaszcza przy wnioskach o dostęp lub usunięcie danych.

Czy muszę zgłaszać przetwarzanie danych? Rejestry i dokumentacja

Jednym z mitów na temat RODO jest przekonanie, że każdą działalność przetwarzającą dane trzeba gdzieś zgłaszać. W rzeczywistości, po wejściu RODO w życie, nie ma już obowiązku rejestrowania zbiorów danych w GIODO (obecnie UODO) – ale są inne obowiązki dokumentacyjne, o których warto wiedzieć.

Rejestr czynności przetwarzania danych – kiedy jest wymagany?

Zgodnie z art. 30 RODO, rejestr czynności przetwarzania danych jest obowiązkowy dla:

  • wszystkich firm zatrudniających powyżej 250 osób,
  • ale także mniejszych firm, jeśli przetwarzają dane:
    • regularnie (np. prowadzenie sklepu internetowego, newslettery),
    • na dużą skalę,
    • zawierające dane szczególnych kategorii (np. medyczne, dotyczące karalności).

W praktyce – większość mikro i małych firm również powinna prowadzić rejestr.

Rejestr zawiera m.in.:

  • cel przetwarzania danych,
  • opis kategorii osób i danych,
  • odbiorców danych,
  • planowany okres przechowywania,
  • zastosowane środki bezpieczeństwa.

Polityka prywatności i inne dokumenty

Każda firma, która przetwarza dane osobowe, powinna mieć przygotowane i wdrożone dokumenty, takie jak:

  • Polityka prywatności (na stronie internetowej),
  • Polityka bezpieczeństwa danych osobowych (wewnętrzna),
  • Instrukcja zarządzania systemem informatycznym (jeśli dane są przetwarzane elektronicznie),
  • Rejestr naruszeń ochrony danych – jeśli dojdzie do incydentu (np. wyciek danych, wysłanie wiadomości do niewłaściwego odbiorcy),
  • Rejestr upoważnień i ewidencja osób przetwarzających dane.

Czy mikroprzedsiębiorca też musi mieć dokumentację?

Tak – choć zakres dokumentacji może być uproszczony. Przedsiębiorca prowadzący jednoosobową działalność gospodarczą również jest administratorem danych (np. klientów, kontrahentów) i powinien móc wykazać, że działa zgodnie z RODO – np. w razie kontroli Urzędu Ochrony Danych Osobowych.

RODO a kary – co grozi za naruszenie przepisów?

RODO wprowadziło nie tylko zasady ochrony danych, ale również realne sankcje finansowe za ich naruszenie. W przeciwieństwie do wcześniejszych przepisów, obecnie nawet mikroprzedsiębiorca może zostać ukarany przez Prezesa Urzędu Ochrony Danych Osobowych (UODO), jeśli nie przestrzega obowiązków administratora.

Jakie są maksymalne kary?

Zgodnie z RODO, organ nadzorczy może nałożyć:

  • do 10 milionów euro lub 2% rocznego światowego obrotu – w przypadku naruszenia obowiązków administratora i podmiotu przetwarzającego (np. brak rejestru, brak umowy powierzenia),
  • do 20 milionów euro lub 4% rocznego światowego obrotu – za naruszenia praw osób fizycznych (np. brak zgody, udostępnienie danych bez podstawy prawnej, wyciek danych).

W praktyce kary dla małych firm są zazwyczaj niższe, ale ich wysokość rośnie, jeśli naruszenia są rażące lub powtarzające się.

Przykłady kar w Polsce:

  • 2020 r. – 20 tys. zł kary dla szkoły podstawowej za przetwarzanie danych biometrycznych (odciski palców) uczniów bez podstawy prawnej.
  • 2021 r. – 85 tys. zł kary dla kancelarii prawnej za brak współpracy z UODO i niezapewnienie odpowiedniego poziomu przejrzystości.
  • 2022 r. – 12,5 tys. zł kary dla właściciela sklepu online za brak polityki prywatności i nieprawidłowy sposób informowania o przetwarzaniu danych.

Najczęstsze przyczyny kar:

  • brak klauzuli informacyjnej lub niewłaściwe jej sformułowanie,
  • brak umowy powierzenia z podmiotem zewnętrznym,
  • niezgodne z prawem pozyskiwanie zgód marketingowych,
  • brak reakcji na żądanie osoby fizycznej (np. usunięcia danych),
  • przetwarzanie danych bez podstawy prawnej.

Jak uniknąć sankcji?

  • Wdrażaj zasady RODO już na etapie projektowania formularzy i procesów.
  • Dokumentuj swoje działania – np. przechowuj dowody zgód, prowadź rejestry.
  • Reaguj na zapytania klientów i interesariuszy w ustawowym terminie.
  • Regularnie aktualizuj politykę prywatności i procedury bezpieczeństwa.

Podsumowanie i dobre praktyki

Przetwarzanie danych osobowych zgodnie z RODO to obowiązek każdego przedsiębiorcy – niezależnie od wielkości firmy czy branży. Wbrew pozorom nie wymaga to skomplikowanych działań, ale przede wszystkim świadomego podejścia, odpowiedniej dokumentacji i przestrzegania kilku kluczowych zasad.

Najważniejsze zasady, które warto wdrożyć od zaraz:

  • Zbieraj tylko te dane, które są Ci naprawdę potrzebne – stosuj zasadę minimalizacji.
  • Zawsze informuj, kto przetwarza dane, w jakim celu i na jakiej podstawie prawnej – stosuj klauzule informacyjne.
  • Zadbaj o bezpieczeństwo danych – zabezpieczaj je technicznie i organizacyjnie.
  • Zawieraj umowy powierzenia z firmami, które przetwarzają dane w Twoim imieniu (np. księgowość, hosting, mailing).
  • Umożliwiaj osobom fizycznym korzystanie z ich praw – i reaguj na wnioski w terminie.
  • Regularnie aktualizuj dokumentację RODO – politykę prywatności, rejestry, procedury.

Dostosowanie się do przepisów RODO nie tylko chroni przed sankcjami, ale buduje zaufanie klientów i wzmacnia wizerunek firmy jako odpowiedzialnej i transparentnej.

Jeśli masz wątpliwości co do zgodności Twoich działań z przepisami, warto skonsultować się z prawnikiem lub inspektorem ochrony danych, który pomoże Ci uporządkować procesy i dokumentację.