Używamy wyłącznie niezbędnych plików cookies / local storage do utrzymania sesji, ustawień workspace i preferencji UI. Nie używamy cookies marketingowych ani analitycznych stron trzecich. Szczegóły w Polityce prywatności.

    Polityka
    InInk
    Prawo gospodarcze·InInk Blog

    RODO dla małych firm 2026 — obowiązki, IOD, rejestr czynności, kary

    Praktyczny przewodnik RODO dla JDG i mikroprzedsiębiorcy: kiedy potrzebny IOD, jak prowadzić rejestr czynności, jak reagować na żądania osób i naruszenia.

    5 min czytania

    RODO dla małych firm 2026 — obowiązki, IOD, rejestr czynności, kary

    RODO (rozporządzenie 2016/679) obowiązuje od 25 maja 2018 r. i dotyczy każdej firmy przetwarzającej dane osobowe — niezależnie od wielkości. W 2026 r. UODO kontynuuje zaostrzoną politykę kontrolną, a kary administracyjne nakładane na polskie firmy regularnie przekraczają 1 mln zł. Poniżej minimum, które musisz mieć w mikrofirmie i JDG.

    Kogo dotyczy RODO

    Każdego, kto przetwarza dane osobowe osób fizycznych w sposób zautomatyzowany lub w uporządkowanym zbiorze. To znaczy: prowadzisz listę klientów w Excelu? Wysyłasz newsletter? Masz CRM? Zatrudniasz pracowników? Wystawiasz faktury osobom fizycznym? RODO Cię dotyczy.

    Wyjątek: przetwarzanie wyłącznie do celów osobistych / domowych (np. książka adresowa).

    Role: administrator vs procesor

    • Administrator (ADO) — decyduje o celach i sposobach przetwarzania (Ty — wobec swoich klientów, pracowników, kontrahentów).
    • Procesor (podmiot przetwarzający) — przetwarza dane na zlecenie administratora (np. dostawca hostingu, biuro księgowe, narzędzie do mailingu, kancelaria prawna jeśli przetwarza Twoje dane).

    Z każdym procesorem musisz mieć umowę powierzenia (DPA) z art. 28 RODO. Brak DPA = kara dla obu stron. InInk udostępnia DPA do akceptacji online: Umowa powierzenia danych.

    Podstawy prawne przetwarzania (art. 6 ust. 1)

    • a) zgoda — dobrowolna, świadoma, jednoznaczna, wycofywalna (newsletter, marketing).
    • b) wykonanie umowy — dane potrzebne do realizacji umowy z osobą (klient sklepu, pracownik).
    • c) obowiązek prawny — księgowość, dokumentacja kadrowa, JPK, KSeF.
    • d) żywotne interesy — ratowanie życia (rzadko w biznesie).
    • e) interes publiczny — głównie sektor publiczny.
    • f) uzasadniony interes administratora — marketing własnych produktów do klientów, windykacja, bezpieczeństwo IT.

    Nigdy nie zbieraj zgody „na wszelki wypadek" — wybierz najwęższą podstawę adekwatną do celu.

    Obowiązki dokumentacyjne — minimum dla mikrofirmy

    1. Rejestr czynności przetwarzania (RCPD) — art. 30 RODO. Formalnie zwolnione są firmy <250 osób, ale tylko jeśli przetwarzanie jest sporadyczne, nie obejmuje danych wrażliwych i nie stwarza ryzyka. W praktyce: prowadzisz kadry → masz dane o zdrowiu (zwolnienia) → musisz mieć RCPD. Każda mikrofirma z pracownikami powinna prowadzić rejestr.
    2. Polityka ochrony danych — opis środków technicznych i organizacyjnych.
    3. Klauzule informacyjne (art. 13/14) — przy zbieraniu danych poinformuj kogo dane, w jakim celu, na jakiej podstawie, jak długo, komu przekazujesz, jakie prawa.
    4. Umowy powierzenia (DPA) z procesorami (art. 28).
    5. Upoważnienia dla pracowników mających dostęp do danych + ewidencja upoważnień.
    6. Rejestr naruszeń (incydentów) — wewnętrzny.
    7. Polityka retencji — kiedy usuwasz dane (np. faktury 5 lat od końca roku, kandydaci do pracy max 6 mies. po rekrutacji).

    Inspektor Ochrony Danych (IOD) — kiedy obowiązkowy

    Art. 37 RODO — IOD jest obowiązkowy gdy:

    • jesteś organem / podmiotem publicznym,
    • główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę (np. monitoring CCTV w galeriach handlowych, śledzenie zachowań online),
    • główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych (zdrowie, biometryka, przekonania) lub dotyczących wyroków skazujących.

    Mikrofirma usługowa (księgowość, IT, e-commerce) — IOD nie jest obowiązkowy, ale można go powołać dobrowolnie i zgłosić do UODO.

    Prawa osób, których dane dotyczą (art. 15–22)

    Każda osoba ma prawo do:

    • dostępu (kopia danych) — odpowiedź w 30 dni (max 90 dla skomplikowanych),
    • sprostowania danych nieprawidłowych,
    • usunięcia („prawo do bycia zapomnianym") — z wyjątkami (księgowość, obowiązki prawne),
    • ograniczenia przetwarzania,
    • przenoszenia danych (gdy podstawa to zgoda lub umowa),
    • sprzeciwu wobec marketingu / profilowania,
    • niepodlegania decyzji zautomatyzowanej wywołującej skutki prawne.

    Brak odpowiedzi lub odmowa bez podstawy = kara UODO. Buduj proces obsługi żądań (skrzynka kontakt@, szablony odpowiedzi, weryfikacja tożsamości).

    Zgłaszanie naruszeń (art. 33–34)

    Naruszenie ochrony danych (wyciek, utrata, nieuprawniony dostęp) zgłaszasz do UODO w 72 godziny od stwierdzenia, jeśli istnieje ryzyko naruszenia praw osób. Jeśli ryzyko jest wysokie — dodatkowo informujesz osoby, których dane wyciekły.

    Formularz: portal UODO https://uodo.gov.pl. Brak zgłoszenia = osobna sankcja.

    Transfer poza EOG

    Wysyłka danych do USA (np. Google Workspace, Mailchimp, OpenAI) wymaga podstawy z rozdziału V RODO. W 2023 r. KE wydała decyzję adekwatności EU-US Data Privacy Framework — przekazywanie do certyfikowanych firm w USA jest dozwolone. Sprawdź certyfikację każdego dostawcy na https://www.dataprivacyframework.gov. Dla pozostałych krajów — standardowe klauzule umowne (SCC) z 2021 r. + TIA (transfer impact assessment).

    Kary administracyjne

    Art. 83 RODO przewiduje dwa pułapy:

    • 10 mln EUR lub 2% rocznego obrotu (wyższe) — naruszenia obowiązków administratora / procesora.
    • 20 mln EUR lub 4% obrotu — naruszenie zasad przetwarzania, praw osób, transferu poza EOG.

    W Polsce kary nakładane przez UODO sięgają kilku milionów złotych (Morele.net — 2,8 mln zł, ID Finance — 1 mln zł, Fortum — 4,9 mln zł). Dla mikrofirm typowe kary za brak DPA / klauzul to kilkadziesiąt tysięcy zł.

    Praktyczna checklist na 2026

    1. Spisz rejestr czynności przetwarzania (klienci, pracownicy, kontrahenci, marketing).
    2. Sprawdź wszystkich dostawców (hosting, mail, CRM, księgowość, AI) i podpisz DPA.
    3. Dodaj klauzulę informacyjną do formularzy na stronie i do umów z pracownikami / klientami.
    4. Wprowadź polityka haseł i 2FA — to środek techniczny z art. 32.
    5. Ustal politykę retencji (kiedy usuwasz CV, dane klientów po wypowiedzeniu umowy).
    6. Przeszkol pracowników (raz w roku, ze zrzutem ekranu / podpisem).
    7. Wygeneruj politykę prywatności do strony WWW: Generator polityki prywatności.

    Wsparcie InInk

    W panelu Zgodność (/compliance) znajdziesz wzór polityki ochrony danych, klauzuli informacyjnej i DPA do podpisu elektronicznego z każdym procesorem.

    Usługi świadczone przez InInk nie stanowią porady prawnej.

    Newsletter InInk

    Bądź na bieżąco ze zmianami w prawie

    Praktyczne analizy KSeF, ZUS, podatków i nowych przepisów. Co tydzień jeden mail z konkretami i wzorami dokumentów.

    Powiązane wpisy

    Zobacz wszystkie →

    Powiązane narzędzia

    Wszystkie narzędzia →