RODO w małej firmie 2026 — checklist, klauzule, polityka prywatności, kary
RODO (RODO/GDPR, rozporządzenie 2016/679) obowiązuje od 25 maja 2018 r., a polskie przepisy uzupełniające — ustawa z 10 maja 2018 r. o ochronie danych osobowych. W 2026 r. UODO (Prezes Urzędu Ochrony Danych Osobowych) intensyfikuje kontrole w sektorze MŚP i JDG. Ten praktyczny przewodnik zawiera 12-punktowy checklist, wzory klauzul oraz aktualne progi kar.
Materiał ma charakter informacyjny. Usługi InInk nie stanowią porady prawnej.
Czy RODO dotyczy Twojej firmy
Tak, jeśli przetwarzasz dane osobowe (imię, nazwisko, e-mail, telefon, NIP osoby fizycznej, IP, cookies śledzące) w celu prowadzenia działalności. RODO nie ma wyłączenia dla "małych firm" — JDG, mała spółka i korporacja podlegają tym samym zasadom. Wyjątek: wyłącznie osobiste lub domowe czynności (art. 2 ust. 2 lit. c RODO) — nie dotyczy działalności zarobkowej.
12-punktowy checklist RODO 2026
1. Rejestr czynności przetwarzania (RCP)
Art. 30 RODO. Obowiązkowy dla wszystkich administratorów zatrudniających 250+ osób ORAZ dla każdego, kto przetwarza dane "nie okazjonalnie" lub szczególnej kategorii (zdrowie, dane biometryczne). W praktyce: każda firma z bazą klientów, pracowników, kontrahentów musi mieć RCP.
Zawiera m.in.: cel przetwarzania, kategorie osób, kategorie danych, odbiorcy, terminy usunięcia, środki techniczne i organizacyjne.
2. Polityka prywatności na stronie www
Obowiązek z art. 13 RODO — informacja przy zbieraniu danych. Polityka prywatności:
- kto jest administratorem (nazwa, NIP, adres, kontakt),
- jakie dane zbierasz i w jakim celu,
- podstawa prawna (zgoda, umowa, prawnie uzasadniony interes, obowiązek prawny),
- okres przechowywania,
- prawa: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, cofnięcia zgody,
- prawo skargi do UODO.
Wygeneruj wzór w generatorze polityki prywatności InInk.
3. Klauzula RODO w umowach z pracownikami
Pracownik podpisuje klauzulę informacyjną i zgodę na przetwarzanie danych zbieranych dobrowolnie (np. zdjęcie do identyfikatora). Dane obowiązkowe (PESEL, adres) — podstawa: art. 6 ust. 1 lit. b i c RODO oraz Kodeks pracy.
4. Umowa powierzenia z procesorami
Art. 28 RODO. Gdy korzystasz z usług zewnętrznych przetwarzających dane Twoich klientów (księgowa, hosting, e-mail marketing, biuro rachunkowe, SaaS) — zawrzyj umowę powierzenia. InInk podpisuje DPA automatycznie z każdym workspace'em.
5. Zgody marketingowe
Marketing e-mailowy i telefoniczny do osób fizycznych = obowiązkowa odrębna zgoda (art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 Prawa telekomunikacyjnego). Zgoda musi być:
- dobrowolna,
- konkretna (cel jasno wskazany),
- świadoma (zrozumiały język),
- jednoznaczna (działanie aktywne — checkbox niezaznaczony domyślnie).
6. Cookies i banery
Cookies analityczne i marketingowe wymagają zgody przed ich założeniem (art. 173 Prawa telekomunikacyjnego po implementacji ePrivacy). Banner musi pozwalać na:
- akceptację wszystkich,
- odrzucenie wszystkich,
- konfigurację per kategoria.
"Pre-zaznaczone" checkboxy są nielegalne (wyrok TSUE C-673/17 Planet49).
7. Realizacja praw osób (DSAR)
Każda osoba może żądać:
- dostępu (art. 15) — masz 1 miesiąc na odpowiedź,
- sprostowania (art. 16),
- usunięcia (art. 17, "prawo do bycia zapomnianym"),
- ograniczenia (art. 18),
- przenoszenia (art. 20),
- sprzeciwu (art. 21, w tym wobec profilowania).
Brak odpowiedzi w terminie = naruszenie i ryzyko kary. Przygotuj proces wewnętrzny (kto odbiera, kto realizuje, jak weryfikuje tożsamość).
8. Inspektor Ochrony Danych (IOD)
Obowiązkowy, gdy (art. 37 RODO):
- jesteś organem publicznym,
- główna działalność polega na regularnym monitorowaniu osób na dużą skalę (np. agencja ochrony, platforma reklamowa),
- główna działalność = przetwarzanie szczególnej kategorii na dużą skalę (np. klinika).
Mała firma usługowa zazwyczaj nie musi wyznaczać IOD, ale może zrobić to dobrowolnie.
9. DPIA — ocena skutków
Art. 35 RODO. Gdy przetwarzanie "może powodować wysokie ryzyko dla praw i wolności" — np. profilowanie automatyczne, monitoring w dużej skali, dane biometryczne. UODO publikuje listę przypadków obowiązkowej DPIA.
10. Bezpieczeństwo techniczne
Art. 32 RODO — adekwatne środki:
- szyfrowanie danych w spoczynku i w transmisji (HTTPS, dyski),
- uwierzytelnianie wieloskładnikowe (MFA) dla pracowników,
- kopie zapasowe z testami odtwarzania,
- kontrola dostępu (zasada najmniejszych uprawnień),
- dziennik zdarzeń (audit log).
11. Zgłaszanie naruszeń (data breach)
Art. 33 RODO — 72 godziny na zgłoszenie do UODO od wykrycia naruszenia (chyba że nie powoduje ryzyka). Art. 34 — informacja dla osób, gdy ryzyko jest wysokie.
12. Szkolenia pracowników
Brak ustawowego harmonogramu, ale dobra praktyka = raz w roku. Dokumentuj (lista obecności, materiały) — w razie kontroli pokazuje należytą staranność.
Wysokość kar RODO 2026
Art. 83 RODO:
- do 10 mln EUR lub 2% rocznego obrotu (większa wartość) — naruszenia art. 8, 11, 25–39, 42 i 43 (RCP, DPIA, bezpieczeństwo, IOD),
- do 20 mln EUR lub 4% rocznego obrotu — naruszenia podstawowych zasad (art. 5, 6, 7, 9, 12–22, 44–49).
UODO w Polsce do października 2025 nałożył kary łącznie na ponad 70 mln zł, z czego największa to 15,5 mln zł na Morele.net (2023, decyzja prawomocna). Dla MŚP typowe kary to 10 000–300 000 zł.
Najczęstsze błędy
- Brak polityki prywatności lub kopia "z internetu" niedopasowana do faktycznego przetwarzania.
- Pre-checkboxy zgód marketingowych w formularzach.
- Brak umów powierzenia z biurem rachunkowym, hostingiem, mailingiem.
- Niezaszyfrowane laptopy pracowników z bazą klientów.
- Brak procesu DSAR — żądania klientów ignorowane lub załatwiane po terminie.
- Cookies bez zgody — w 2024 r. UODO zaczął karać za baner "click anywhere to accept".
- CV w skrzynce po rekrutacji — przechowywanie bez zgody na "przyszłe rekrutacje".
RODO w HR
- CV — przetwarzanie do końca rekrutacji (podstawa: kroki przed zawarciem umowy, art. 6 ust. 1 lit. b RODO), na przyszłe rekrutacje — tylko za zgodą.
- Akta osobowe — okres przechowywania 10 lat (od 1.01.2019) lub 50 lat (sprzed 2019, chyba że przekształcono).
- PIT-11 i ZUS — 5 lat (Ordynacja podatkowa).
- Monitoring wizyjny — informacja graficzna, RCP, max 3 miesiące zapisu (art. 22² KP).
FAQ
Czy JDG musi mieć politykę prywatności?
Tak, jeśli prowadzisz stronę www, sklep lub zbierasz dane klientów. Brak polityki = naruszenie art. 13 RODO i ryzyko kary.
Czy muszę mieć Inspektora Ochrony Danych?
Tylko gdy główna działalność wymaga regularnego monitorowania na dużą skalę lub przetwarzania szczególnych kategorii. Większość małych firm — nie musi, ale może wyznaczyć IOD dobrowolnie.
Ile czasu mam na odpowiedź na żądanie dostępu?
1 miesiąc od otrzymania wniosku (art. 12 ust. 3 RODO). Możesz przedłużyć o kolejne 2 miesiące przy złożonych żądaniach — informując osobę w pierwszym miesiącu.
Jaka kara grozi za brak polityki prywatności?
Do 20 mln EUR lub 4% rocznego obrotu (większa wartość). W praktyce dla MŚP — od kilkunastu tys. do kilkuset tys. zł, zależnie od skali naruszenia.
Kiedy obowiązkowa umowa powierzenia?
Zawsze, gdy zewnętrzny podmiot przetwarza dane w Twoim imieniu — księgowa, biuro rachunkowe, hosting, e-mail marketing, SaaS do CRM/HR/faktur.
Czy mogę przechowywać CV po rekrutacji?
Tylko za wyraźną, odrębną zgodą kandydata na "przyszłe rekrutacje". Bez zgody — usuń CV po zakończeniu procesu.
Powiązane narzędzia: