RODO 2026 w praktyce — DPIA, rejestr czynności, transfery do USA
RODO obowiązuje od 25 maja 2018 r., ale dopiero w 2025–2026 polskie firmy zaczynają rozumieć jego pełną głębię. UODO w 2024 r. nałożył kary >15 mln PLN, a od 2025 r. egzekwuje obowiązki transferów po wdrożeniu EU-US Data Privacy Framework (DPF).
1. Kogo dotyczy RODO i kto musi mieć DPO
DPO obowiązkowy, gdy: przetwarzasz dane na dużą skalę, dane szczególnych kategorii (zdrowie, biometria) lub jesteś organem publicznym. Większość MŚP nie musi mieć DPO, ale musi mieć osobę odpowiedzialną i pełną dokumentację.
2. Rejestr czynności przetwarzania (RCP)
RCP jest obowiązkowy (art. 30 RODO).
| Pole | Przykład |
|---|---|
| Administrator | InInk Sp. z o.o., NIP, adres |
| Cel | Realizacja umowy |
| Kategorie osób | Klienci, pracownicy |
| Kategorie danych | Imię, email, NIP, IP |
| Odbiorcy | Hosting, biuro księgowe |
| Transfer poza EOG | Tak/Nie + DPF/SCC |
| Termin usunięcia | 5 lat |
| Środki | Szyfrowanie, MFA, kopie |
3. DPIA — ocena skutków
Obowiązkowa, gdy wysokie ryzyko: monitoring, profilowanie, biometria, śledzenie lokalizacji, dane dzieci, nowe technologie (AI – wchodzi też AI Act).
Etapy: opis, niezbędność, ryzyka, środki, konsultacja DPO/UODO.
4. Transfery do USA — DPF, SCC
| Sytuacja | Podstawa |
|---|---|
| Dostawca w DPF | DPF |
| Dostawca poza DPF | SCC + TIA |
| Brak SCC | Derogacje (art. 49) |
Aktualizuj DPA z dostawcami chmury (AWS, Azure, GCP, OpenAI).
5. Prawa osób
Każda osoba ma prawo (art. 15–22): dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, niepoddawania się decyzjom automatycznym. Termin: 1 miesiąc.
6. Kary UODO 2025
| Powód | Przykład kary |
|---|---|
| Brak zgłoszenia naruszenia w 72h | ~3 mln PLN |
| Wyciek z bazy lojalnościowej | ~1,5 mln PLN |
| Zła weryfikacja tożsamości | ~2 mln PLN |
| Brak DPA z dostawcą chmury | ~800k PLN |
7. Naruszenie danych — procedura 72h
- 0–4h: identyfikacja, zabezpieczenie.
- 4–24h: ocena ryzyka.
- 24–72h: zgłoszenie do UODO (jeśli ryzyko).
- Niezwłocznie: powiadomienie osób (przy wysokim ryzyku).
- 30 dni: raport poincydentalny.
Brak zgłoszenia w 72h = automatyczna kara.
8. RODO + AI Act + NIS2 + DORA
| Akt | Zakres | Powiązanie |
|---|---|---|
| AI Act | Systemy AI | Profilowanie, transparentność |
| NIS2 | Cyberbezpieczeństwo | Zgłaszanie incydentów |
| DORA | Sektor finansowy | Odporność operacyjna |
| ePrivacy | Cookies, marketing | Zgody, śledzenie |
9. Najczęstsze błędy MŚP
- Polityka prywatności copy-paste.
- Brak DPA z księgową/hostingiem/mailingiem.
- Zgody „check-all" – nieważne.
- Newsletter bez double opt-in.
- CV w skrzynce „na zawsze".
- Brak szyfrowania backupów.
- Hasła w spreadsheetach.
- Brak procedury naruszeń.
10. Checklist RODO 2026
- RCP aktualny
- Polityka prywatności
- Polityka cookies
- DPA z procesorami
- Audyt transferów (DPF/SCC)
- Procedura praw osób
- Procedura zgłaszania naruszeń (72h)
- Rejestr naruszeń
- Szkolenie pracowników (1×/rok)
- Klauzule informacyjne
- DPIA dla projektów ryzyka
- Mapowanie danych
- Polityka retencji
- MFA i menedżer haseł
- Audyt RODO co 12 mies
FAQ
Czy jednoosobowa działalność musi mieć politykę prywatności? Tak.
Google Analytics? GA4 z konsentem (consent mode v2).
NIP firmy = dane osobowe? NIP JDG – tak, NIP spółki – nie.
Klient żąda usunięcia, ale muszę trzymać dla księgowości? Art. 6 ust. 1 lit. c – obowiązek prawny, 5 lat.
CV do innej firmy? Tylko za odrębną zgodą.
Koszt DPO outsourcowanego? 1 500–6 000 PLN/mies w MŚP.
AI w rekrutacji? DPIA + zgoda + transparentność.
Jak udowodnić zgodę? Log: data, IP, treść, sposób.
Materiał informacyjny. Skonsultuj wdrożenie z DPO lub kancelarią.
Zobacz: RODO w firmie, RODO IT, NDA.