RODO dla małych firm 2026 — obowiązki, IOD, rejestr czynności, kary
RODO (rozporządzenie 2016/679) obowiązuje od 25 maja 2018 r. i dotyczy każdej firmy przetwarzającej dane osobowe — niezależnie od wielkości. W 2026 r. UODO kontynuuje zaostrzoną politykę kontrolną, a kary administracyjne nakładane na polskie firmy regularnie przekraczają 1 mln zł. Poniżej minimum, które musisz mieć w mikrofirmie i JDG.
Kogo dotyczy RODO
Każdego, kto przetwarza dane osobowe osób fizycznych w sposób zautomatyzowany lub w uporządkowanym zbiorze. To znaczy: prowadzisz listę klientów w Excelu? Wysyłasz newsletter? Masz CRM? Zatrudniasz pracowników? Wystawiasz faktury osobom fizycznym? RODO Cię dotyczy.
Wyjątek: przetwarzanie wyłącznie do celów osobistych / domowych (np. książka adresowa).
Role: administrator vs procesor
- Administrator (ADO) — decyduje o celach i sposobach przetwarzania (Ty — wobec swoich klientów, pracowników, kontrahentów).
- Procesor (podmiot przetwarzający) — przetwarza dane na zlecenie administratora (np. dostawca hostingu, biuro księgowe, narzędzie do mailingu, kancelaria prawna jeśli przetwarza Twoje dane).
Z każdym procesorem musisz mieć umowę powierzenia (DPA) z art. 28 RODO. Brak DPA = kara dla obu stron. InInk udostępnia DPA do akceptacji online: Umowa powierzenia danych.
Podstawy prawne przetwarzania (art. 6 ust. 1)
- a) zgoda — dobrowolna, świadoma, jednoznaczna, wycofywalna (newsletter, marketing).
- b) wykonanie umowy — dane potrzebne do realizacji umowy z osobą (klient sklepu, pracownik).
- c) obowiązek prawny — księgowość, dokumentacja kadrowa, JPK, KSeF.
- d) żywotne interesy — ratowanie życia (rzadko w biznesie).
- e) interes publiczny — głównie sektor publiczny.
- f) uzasadniony interes administratora — marketing własnych produktów do klientów, windykacja, bezpieczeństwo IT.
Nigdy nie zbieraj zgody „na wszelki wypadek" — wybierz najwęższą podstawę adekwatną do celu.
Obowiązki dokumentacyjne — minimum dla mikrofirmy
- Rejestr czynności przetwarzania (RCPD) — art. 30 RODO. Formalnie zwolnione są firmy <250 osób, ale tylko jeśli przetwarzanie jest sporadyczne, nie obejmuje danych wrażliwych i nie stwarza ryzyka. W praktyce: prowadzisz kadry → masz dane o zdrowiu (zwolnienia) → musisz mieć RCPD. Każda mikrofirma z pracownikami powinna prowadzić rejestr.
- Polityka ochrony danych — opis środków technicznych i organizacyjnych.
- Klauzule informacyjne (art. 13/14) — przy zbieraniu danych poinformuj kogo dane, w jakim celu, na jakiej podstawie, jak długo, komu przekazujesz, jakie prawa.
- Umowy powierzenia (DPA) z procesorami (art. 28).
- Upoważnienia dla pracowników mających dostęp do danych + ewidencja upoważnień.
- Rejestr naruszeń (incydentów) — wewnętrzny.
- Polityka retencji — kiedy usuwasz dane (np. faktury 5 lat od końca roku, kandydaci do pracy max 6 mies. po rekrutacji).
Inspektor Ochrony Danych (IOD) — kiedy obowiązkowy
Art. 37 RODO — IOD jest obowiązkowy gdy:
- jesteś organem / podmiotem publicznym,
- główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę (np. monitoring CCTV w galeriach handlowych, śledzenie zachowań online),
- główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych (zdrowie, biometryka, przekonania) lub dotyczących wyroków skazujących.
Mikrofirma usługowa (księgowość, IT, e-commerce) — IOD nie jest obowiązkowy, ale można go powołać dobrowolnie i zgłosić do UODO.
Prawa osób, których dane dotyczą (art. 15–22)
Każda osoba ma prawo do:
- dostępu (kopia danych) — odpowiedź w 30 dni (max 90 dla skomplikowanych),
- sprostowania danych nieprawidłowych,
- usunięcia („prawo do bycia zapomnianym") — z wyjątkami (księgowość, obowiązki prawne),
- ograniczenia przetwarzania,
- przenoszenia danych (gdy podstawa to zgoda lub umowa),
- sprzeciwu wobec marketingu / profilowania,
- niepodlegania decyzji zautomatyzowanej wywołującej skutki prawne.
Brak odpowiedzi lub odmowa bez podstawy = kara UODO. Buduj proces obsługi żądań (skrzynka kontakt@, szablony odpowiedzi, weryfikacja tożsamości).
Zgłaszanie naruszeń (art. 33–34)
Naruszenie ochrony danych (wyciek, utrata, nieuprawniony dostęp) zgłaszasz do UODO w 72 godziny od stwierdzenia, jeśli istnieje ryzyko naruszenia praw osób. Jeśli ryzyko jest wysokie — dodatkowo informujesz osoby, których dane wyciekły.
Formularz: portal UODO https://uodo.gov.pl. Brak zgłoszenia = osobna sankcja.
Transfer poza EOG
Wysyłka danych do USA (np. Google Workspace, Mailchimp, OpenAI) wymaga podstawy z rozdziału V RODO. W 2023 r. KE wydała decyzję adekwatności EU-US Data Privacy Framework — przekazywanie do certyfikowanych firm w USA jest dozwolone. Sprawdź certyfikację każdego dostawcy na https://www.dataprivacyframework.gov. Dla pozostałych krajów — standardowe klauzule umowne (SCC) z 2021 r. + TIA (transfer impact assessment).
Kary administracyjne
Art. 83 RODO przewiduje dwa pułapy:
- 10 mln EUR lub 2% rocznego obrotu (wyższe) — naruszenia obowiązków administratora / procesora.
- 20 mln EUR lub 4% obrotu — naruszenie zasad przetwarzania, praw osób, transferu poza EOG.
W Polsce kary nakładane przez UODO sięgają kilku milionów złotych (Morele.net — 2,8 mln zł, ID Finance — 1 mln zł, Fortum — 4,9 mln zł). Dla mikrofirm typowe kary za brak DPA / klauzul to kilkadziesiąt tysięcy zł.
Praktyczna checklist na 2026
- Spisz rejestr czynności przetwarzania (klienci, pracownicy, kontrahenci, marketing).
- Sprawdź wszystkich dostawców (hosting, mail, CRM, księgowość, AI) i podpisz DPA.
- Dodaj klauzulę informacyjną do formularzy na stronie i do umów z pracownikami / klientami.
- Wprowadź polityka haseł i 2FA — to środek techniczny z art. 32.
- Ustal politykę retencji (kiedy usuwasz CV, dane klientów po wypowiedzeniu umowy).
- Przeszkol pracowników (raz w roku, ze zrzutem ekranu / podpisem).
- Wygeneruj politykę prywatności do strony WWW: Generator polityki prywatności.
Wsparcie InInk
W panelu Zgodność (/compliance) znajdziesz wzór polityki ochrony danych, klauzuli informacyjnej i DPA do podpisu elektronicznego z każdym procesorem.
Usługi świadczone przez InInk nie stanowią porady prawnej.