Używamy wyłącznie niezbędnych plików cookies / local storage do utrzymania sesji, ustawień workspace i preferencji UI. Nie używamy cookies marketingowych ani analitycznych stron trzecich. Szczegóły w Polityce prywatności.

    Polityka
    InInk
    Prawo gospodarcze·InInk Blog

    RODO w małej firmie 2026 — checklist, klauzule, polityka prywatności, kary

    RODO 2026 dla małej firmy i JDG: 12-punktowy checklist, wzory klauzul, polityka prywatności, kary UODO, IOD, RODO w marketingu i HR. Praktyczny przewodnik.

    6 min czytania

    RODO w małej firmie 2026 — checklist, klauzule, polityka prywatności, kary

    RODO (RODO/GDPR, rozporządzenie 2016/679) obowiązuje od 25 maja 2018 r., a polskie przepisy uzupełniające — ustawa z 10 maja 2018 r. o ochronie danych osobowych. W 2026 r. UODO (Prezes Urzędu Ochrony Danych Osobowych) intensyfikuje kontrole w sektorze MŚP i JDG. Ten praktyczny przewodnik zawiera 12-punktowy checklist, wzory klauzul oraz aktualne progi kar.

    Materiał ma charakter informacyjny. Usługi InInk nie stanowią porady prawnej.

    Czy RODO dotyczy Twojej firmy

    Tak, jeśli przetwarzasz dane osobowe (imię, nazwisko, e-mail, telefon, NIP osoby fizycznej, IP, cookies śledzące) w celu prowadzenia działalności. RODO nie ma wyłączenia dla "małych firm" — JDG, mała spółka i korporacja podlegają tym samym zasadom. Wyjątek: wyłącznie osobiste lub domowe czynności (art. 2 ust. 2 lit. c RODO) — nie dotyczy działalności zarobkowej.

    12-punktowy checklist RODO 2026

    1. Rejestr czynności przetwarzania (RCP)

    Art. 30 RODO. Obowiązkowy dla wszystkich administratorów zatrudniających 250+ osób ORAZ dla każdego, kto przetwarza dane "nie okazjonalnie" lub szczególnej kategorii (zdrowie, dane biometryczne). W praktyce: każda firma z bazą klientów, pracowników, kontrahentów musi mieć RCP.

    Zawiera m.in.: cel przetwarzania, kategorie osób, kategorie danych, odbiorcy, terminy usunięcia, środki techniczne i organizacyjne.

    2. Polityka prywatności na stronie www

    Obowiązek z art. 13 RODO — informacja przy zbieraniu danych. Polityka prywatności:

    • kto jest administratorem (nazwa, NIP, adres, kontakt),
    • jakie dane zbierasz i w jakim celu,
    • podstawa prawna (zgoda, umowa, prawnie uzasadniony interes, obowiązek prawny),
    • okres przechowywania,
    • prawa: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, cofnięcia zgody,
    • prawo skargi do UODO.

    Wygeneruj wzór w generatorze polityki prywatności InInk.

    3. Klauzula RODO w umowach z pracownikami

    Pracownik podpisuje klauzulę informacyjną i zgodę na przetwarzanie danych zbieranych dobrowolnie (np. zdjęcie do identyfikatora). Dane obowiązkowe (PESEL, adres) — podstawa: art. 6 ust. 1 lit. b i c RODO oraz Kodeks pracy.

    4. Umowa powierzenia z procesorami

    Art. 28 RODO. Gdy korzystasz z usług zewnętrznych przetwarzających dane Twoich klientów (księgowa, hosting, e-mail marketing, biuro rachunkowe, SaaS) — zawrzyj umowę powierzenia. InInk podpisuje DPA automatycznie z każdym workspace'em.

    5. Zgody marketingowe

    Marketing e-mailowy i telefoniczny do osób fizycznych = obowiązkowa odrębna zgoda (art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 Prawa telekomunikacyjnego). Zgoda musi być:

    • dobrowolna,
    • konkretna (cel jasno wskazany),
    • świadoma (zrozumiały język),
    • jednoznaczna (działanie aktywne — checkbox niezaznaczony domyślnie).

    6. Cookies i banery

    Cookies analityczne i marketingowe wymagają zgody przed ich założeniem (art. 173 Prawa telekomunikacyjnego po implementacji ePrivacy). Banner musi pozwalać na:

    • akceptację wszystkich,
    • odrzucenie wszystkich,
    • konfigurację per kategoria.

    "Pre-zaznaczone" checkboxy są nielegalne (wyrok TSUE C-673/17 Planet49).

    7. Realizacja praw osób (DSAR)

    Każda osoba może żądać:

    • dostępu (art. 15) — masz 1 miesiąc na odpowiedź,
    • sprostowania (art. 16),
    • usunięcia (art. 17, "prawo do bycia zapomnianym"),
    • ograniczenia (art. 18),
    • przenoszenia (art. 20),
    • sprzeciwu (art. 21, w tym wobec profilowania).

    Brak odpowiedzi w terminie = naruszenie i ryzyko kary. Przygotuj proces wewnętrzny (kto odbiera, kto realizuje, jak weryfikuje tożsamość).

    8. Inspektor Ochrony Danych (IOD)

    Obowiązkowy, gdy (art. 37 RODO):

    • jesteś organem publicznym,
    • główna działalność polega na regularnym monitorowaniu osób na dużą skalę (np. agencja ochrony, platforma reklamowa),
    • główna działalność = przetwarzanie szczególnej kategorii na dużą skalę (np. klinika).

    Mała firma usługowa zazwyczaj nie musi wyznaczać IOD, ale może zrobić to dobrowolnie.

    9. DPIA — ocena skutków

    Art. 35 RODO. Gdy przetwarzanie "może powodować wysokie ryzyko dla praw i wolności" — np. profilowanie automatyczne, monitoring w dużej skali, dane biometryczne. UODO publikuje listę przypadków obowiązkowej DPIA.

    10. Bezpieczeństwo techniczne

    Art. 32 RODO — adekwatne środki:

    • szyfrowanie danych w spoczynku i w transmisji (HTTPS, dyski),
    • uwierzytelnianie wieloskładnikowe (MFA) dla pracowników,
    • kopie zapasowe z testami odtwarzania,
    • kontrola dostępu (zasada najmniejszych uprawnień),
    • dziennik zdarzeń (audit log).

    11. Zgłaszanie naruszeń (data breach)

    Art. 33 RODO — 72 godziny na zgłoszenie do UODO od wykrycia naruszenia (chyba że nie powoduje ryzyka). Art. 34 — informacja dla osób, gdy ryzyko jest wysokie.

    12. Szkolenia pracowników

    Brak ustawowego harmonogramu, ale dobra praktyka = raz w roku. Dokumentuj (lista obecności, materiały) — w razie kontroli pokazuje należytą staranność.

    Wysokość kar RODO 2026

    Art. 83 RODO:

    • do 10 mln EUR lub 2% rocznego obrotu (większa wartość) — naruszenia art. 8, 11, 25–39, 42 i 43 (RCP, DPIA, bezpieczeństwo, IOD),
    • do 20 mln EUR lub 4% rocznego obrotu — naruszenia podstawowych zasad (art. 5, 6, 7, 9, 12–22, 44–49).

    UODO w Polsce do października 2025 nałożył kary łącznie na ponad 70 mln zł, z czego największa to 15,5 mln zł na Morele.net (2023, decyzja prawomocna). Dla MŚP typowe kary to 10 000–300 000 zł.

    Najczęstsze błędy

    1. Brak polityki prywatności lub kopia "z internetu" niedopasowana do faktycznego przetwarzania.
    2. Pre-checkboxy zgód marketingowych w formularzach.
    3. Brak umów powierzenia z biurem rachunkowym, hostingiem, mailingiem.
    4. Niezaszyfrowane laptopy pracowników z bazą klientów.
    5. Brak procesu DSAR — żądania klientów ignorowane lub załatwiane po terminie.
    6. Cookies bez zgody — w 2024 r. UODO zaczął karać za baner "click anywhere to accept".
    7. CV w skrzynce po rekrutacji — przechowywanie bez zgody na "przyszłe rekrutacje".

    RODO w HR

    • CV — przetwarzanie do końca rekrutacji (podstawa: kroki przed zawarciem umowy, art. 6 ust. 1 lit. b RODO), na przyszłe rekrutacje — tylko za zgodą.
    • Akta osobowe — okres przechowywania 10 lat (od 1.01.2019) lub 50 lat (sprzed 2019, chyba że przekształcono).
    • PIT-11 i ZUS — 5 lat (Ordynacja podatkowa).
    • Monitoring wizyjny — informacja graficzna, RCP, max 3 miesiące zapisu (art. 22² KP).

    FAQ

    Czy JDG musi mieć politykę prywatności?

    Tak, jeśli prowadzisz stronę www, sklep lub zbierasz dane klientów. Brak polityki = naruszenie art. 13 RODO i ryzyko kary.

    Czy muszę mieć Inspektora Ochrony Danych?

    Tylko gdy główna działalność wymaga regularnego monitorowania na dużą skalę lub przetwarzania szczególnych kategorii. Większość małych firm — nie musi, ale może wyznaczyć IOD dobrowolnie.

    Ile czasu mam na odpowiedź na żądanie dostępu?

    1 miesiąc od otrzymania wniosku (art. 12 ust. 3 RODO). Możesz przedłużyć o kolejne 2 miesiące przy złożonych żądaniach — informując osobę w pierwszym miesiącu.

    Jaka kara grozi za brak polityki prywatności?

    Do 20 mln EUR lub 4% rocznego obrotu (większa wartość). W praktyce dla MŚP — od kilkunastu tys. do kilkuset tys. zł, zależnie od skali naruszenia.

    Kiedy obowiązkowa umowa powierzenia?

    Zawsze, gdy zewnętrzny podmiot przetwarza dane w Twoim imieniu — księgowa, biuro rachunkowe, hosting, e-mail marketing, SaaS do CRM/HR/faktur.

    Czy mogę przechowywać CV po rekrutacji?

    Tylko za wyraźną, odrębną zgodą kandydata na "przyszłe rekrutacje". Bez zgody — usuń CV po zakończeniu procesu.


    Powiązane narzędzia:

    Newsletter InInk

    Bądź na bieżąco ze zmianami w prawie

    Praktyczne analizy KSeF, ZUS, podatków i nowych przepisów. Co tydzień jeden mail z konkretami i wzorami dokumentów.

    Powiązane wpisy

    Zobacz wszystkie →

    Powiązane narzędzia

    Wszystkie narzędzia →