Używamy wyłącznie niezbędnych plików cookies / local storage do utrzymania sesji, ustawień workspace i preferencji UI. Nie używamy cookies marketingowych ani analitycznych stron trzecich. Szczegóły w Polityce prywatności.

    Polityka
    InInk
    Prawo gospodarcze·InInk Blog

    RODO 2026 w praktyce — DPIA, rejestr czynności, transfery do USA

    Audyt RODO, DPO, DPIA, transfery międzynarodowe (DPF), kary UODO 2025/2026 i obowiązki przedsiębiorcy. Checklist zgodności.

    4 min czytania

    RODO 2026 w praktyce — DPIA, rejestr czynności, transfery do USA

    RODO obowiązuje od 25 maja 2018 r., ale dopiero w 2025–2026 polskie firmy zaczynają rozumieć jego pełną głębię. UODO w 2024 r. nałożył kary >15 mln PLN, a od 2025 r. egzekwuje obowiązki transferów po wdrożeniu EU-US Data Privacy Framework (DPF).

    1. Kogo dotyczy RODO i kto musi mieć DPO

    DPO obowiązkowy, gdy: przetwarzasz dane na dużą skalę, dane szczególnych kategorii (zdrowie, biometria) lub jesteś organem publicznym. Większość MŚP nie musi mieć DPO, ale musi mieć osobę odpowiedzialną i pełną dokumentację.

    2. Rejestr czynności przetwarzania (RCP)

    RCP jest obowiązkowy (art. 30 RODO).

    PolePrzykład
    AdministratorInInk Sp. z o.o., NIP, adres
    CelRealizacja umowy
    Kategorie osóbKlienci, pracownicy
    Kategorie danychImię, email, NIP, IP
    OdbiorcyHosting, biuro księgowe
    Transfer poza EOGTak/Nie + DPF/SCC
    Termin usunięcia5 lat
    ŚrodkiSzyfrowanie, MFA, kopie

    3. DPIA — ocena skutków

    Obowiązkowa, gdy wysokie ryzyko: monitoring, profilowanie, biometria, śledzenie lokalizacji, dane dzieci, nowe technologie (AI – wchodzi też AI Act).

    Etapy: opis, niezbędność, ryzyka, środki, konsultacja DPO/UODO.

    4. Transfery do USA — DPF, SCC

    SytuacjaPodstawa
    Dostawca w DPFDPF
    Dostawca poza DPFSCC + TIA
    Brak SCCDerogacje (art. 49)

    Aktualizuj DPA z dostawcami chmury (AWS, Azure, GCP, OpenAI).

    5. Prawa osób

    Każda osoba ma prawo (art. 15–22): dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, niepoddawania się decyzjom automatycznym. Termin: 1 miesiąc.

    6. Kary UODO 2025

    PowódPrzykład kary
    Brak zgłoszenia naruszenia w 72h~3 mln PLN
    Wyciek z bazy lojalnościowej~1,5 mln PLN
    Zła weryfikacja tożsamości~2 mln PLN
    Brak DPA z dostawcą chmury~800k PLN

    7. Naruszenie danych — procedura 72h

    1. 0–4h: identyfikacja, zabezpieczenie.
    2. 4–24h: ocena ryzyka.
    3. 24–72h: zgłoszenie do UODO (jeśli ryzyko).
    4. Niezwłocznie: powiadomienie osób (przy wysokim ryzyku).
    5. 30 dni: raport poincydentalny.

    Brak zgłoszenia w 72h = automatyczna kara.

    8. RODO + AI Act + NIS2 + DORA

    AktZakresPowiązanie
    AI ActSystemy AIProfilowanie, transparentność
    NIS2CyberbezpieczeństwoZgłaszanie incydentów
    DORASektor finansowyOdporność operacyjna
    ePrivacyCookies, marketingZgody, śledzenie

    9. Najczęstsze błędy MŚP

    • Polityka prywatności copy-paste.
    • Brak DPA z księgową/hostingiem/mailingiem.
    • Zgody „check-all" – nieważne.
    • Newsletter bez double opt-in.
    • CV w skrzynce „na zawsze".
    • Brak szyfrowania backupów.
    • Hasła w spreadsheetach.
    • Brak procedury naruszeń.

    10. Checklist RODO 2026

    1. RCP aktualny
    2. Polityka prywatności
    3. Polityka cookies
    4. DPA z procesorami
    5. Audyt transferów (DPF/SCC)
    6. Procedura praw osób
    7. Procedura zgłaszania naruszeń (72h)
    8. Rejestr naruszeń
    9. Szkolenie pracowników (1×/rok)
    10. Klauzule informacyjne
    11. DPIA dla projektów ryzyka
    12. Mapowanie danych
    13. Polityka retencji
    14. MFA i menedżer haseł
    15. Audyt RODO co 12 mies

    FAQ

    Czy jednoosobowa działalność musi mieć politykę prywatności? Tak.

    Google Analytics? GA4 z konsentem (consent mode v2).

    NIP firmy = dane osobowe? NIP JDG – tak, NIP spółki – nie.

    Klient żąda usunięcia, ale muszę trzymać dla księgowości? Art. 6 ust. 1 lit. c – obowiązek prawny, 5 lat.

    CV do innej firmy? Tylko za odrębną zgodą.

    Koszt DPO outsourcowanego? 1 500–6 000 PLN/mies w MŚP.

    AI w rekrutacji? DPIA + zgoda + transparentność.

    Jak udowodnić zgodę? Log: data, IP, treść, sposób.


    Materiał informacyjny. Skonsultuj wdrożenie z DPO lub kancelarią.

    Zobacz: RODO w firmie, RODO IT, NDA.

    Newsletter InInk

    Bądź na bieżąco ze zmianami w prawie

    Praktyczne analizy KSeF, ZUS, podatków i nowych przepisów. Co tydzień jeden mail z konkretami i wzorami dokumentów.

    Powiązane wpisy

    Zobacz wszystkie →

    Powiązane narzędzia

    Wszystkie narzędzia →