Używamy wyłącznie niezbędnych plików cookies / local storage do utrzymania sesji, ustawień workspace i preferencji UI. Nie używamy cookies marketingowych ani analitycznych stron trzecich. Szczegóły w Polityce prywatności.

    Polityka
    InInk
    Prawo gospodarcze·InInk Blog

    RODO w firmie IT 2025 — obowiązki, umowa powierzenia danych i kary

    Kompleksowy przewodnik po RODO dla firm IT w 2025 roku. Dowiedz się o obowiązkach administratora danych, umowie powierzenia, rejestrze czynności przetwarzania i aktualnych karach UODO.

    8 min czytania

    RODO w firmie IT — dlaczego to szczególnie ważne

    Firmy IT przetwarzają dane osobowe na masową skalę — od danych użytkowników aplikacji, przez dane pracowników i klientów, po wrażliwe dane biometryczne czy zdrowotne. Branża IT jest jednocześnie najbardziej narażona na naruszenia bezpieczeństwa danych i najczęściej kontrolowana przez UODO (Urząd Ochrony Danych Osobowych).

    RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) obowiązuje od 25 maja 2018 roku i dotyczy każdej firmy przetwarzającej dane osobowe osób przebywających w UE — niezależnie od siedziby firmy.

    Kary finansowe — skala ryzyka

    RODO przewiduje kary do 20 milionów euro lub 4% globalnego rocznego obrotu (w zależności od tego, która kwota jest wyższa). W Polsce najwyższa kara nałożona przez UODO wyniosła 4,9 miliona złotych (Morele.net, 2019). W Europie kary sięgają setek milionów euro (Meta: 1,2 mld EUR w 2023 roku).

    Role w RODO — administrator vs procesor

    Administrator danych

    Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. W kontekście IT:

    • Firma prowadząca platformę SaaS jest administratorem danych swoich użytkowników
    • Pracodawca jest administratorem danych pracowników
    • Sklep internetowy jest administratorem danych klientów

    Procesor (podmiot przetwarzający)

    Procesor to podmiot, który przetwarza dane na zlecenie administratora. W branży IT procesorem jest najczęściej:

    • Software house tworzący aplikację na zlecenie klienta
    • Firma hostingowa przechowująca dane
    • Dostawca usług chmurowych (AWS, Azure, GCP)
    • Firma obsługująca helpdesk lub call center
    • Dostawca narzędzi analitycznych

    Podprocesor

    Procesor może korzystać z podprocesorów (np. software house korzysta z AWS). Wymaga to:

    • Zgody administratora — ogólnej lub szczegółowej
    • Umowy podpowierzenia — między procesorem a podprocesorem
    • Informowania administratora o zmianach podprocesorów

    Umowa powierzenia przetwarzania danych (DPA)

    Każda relacja administrator-procesor wymaga zawarcia umowy powierzenia przetwarzania danych (Data Processing Agreement) zgodnie z art. 28 RODO.

    Obowiązkowe elementy DPA

    ElementOpis
    Przedmiot i czas przetwarzaniaCo i jak długo procesor przetwarza
    Charakter i celDlaczego dane są przetwarzane
    Rodzaj danychImię, e-mail, adres, dane finansowe, itp.
    Kategorie osóbUżytkownicy, pracownicy, klienci
    Obowiązki procesoraBezpieczeństwo, poufność, pomoc administratorowi
    Prawa administratoraAudyty, instrukcje, kontrola
    PodprocesorzyLista lub procedura zatwierdzania
    Transfer danych poza EOGMechanizmy zabezpieczające (SCC, adequacy decision)
    Obowiązki po zakończeniuUsunięcie lub zwrot danych

    Typowe błędy w DPA

    • Brak konkretnej listy podprocesorów
    • Zbyt ogólny opis środków bezpieczeństwa
    • Brak procedury notyfikacji o naruszeniu
    • Pominięcie regulacji transferu danych poza EOG

    Obowiązki firmy IT jako administratora

    1. Rejestr czynności przetwarzania (RCPD)

    Każdy administrator zatrudniający powyżej 250 osób lub przetwarzający dane wrażliwe musi prowadzić RCPD. W praktyce każda firma IT powinna go prowadzić, ponieważ regularne przetwarzanie danych jest standardem.

    RCPD powinien zawierać:

    • Nazwy czynności przetwarzania (np. „obsługa konta użytkownika", „newsletter")
    • Podstawy prawne (zgoda, umowa, uzasadniony interes)
    • Kategorie danych i osób
    • Odbiorców danych
    • Planowane terminy usunięcia
    • Opis środków bezpieczeństwa

    2. Polityka prywatności

    Obowiązek informacyjny (art. 13–14 RODO) wymaga przekazania użytkownikom informacji o:

    • Tożsamości administratora i danych kontaktowych
    • Celach i podstawach prawnych przetwarzania
    • Odbiorcach danych
    • Transferze danych poza EOG
    • Okresie przechowywania
    • Prawach osoby (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw)
    • Prawie do cofnięcia zgody
    • Prawie do skargi do UODO
    • Profilowaniu i automatycznym podejmowaniu decyzji

    3. Zgody użytkowników

    Zgoda musi być:

    • Dobrowolna — nie może być warunkiem korzystania z usługi (chyba że przetwarzanie jest niezbędne)
    • Konkretna — osobna zgoda na każdy cel przetwarzania
    • Świadoma — użytkownik musi wiedzieć, na co się zgadza
    • Jednoznaczna — wyraźne działanie (checkbox, kliknięcie)

    Pre-checked checkboxy są zabronione. Zgoda musi być aktywna.

    4. Prawo do bycia zapomnianym

    Na żądanie użytkownika administrator musi usunąć jego dane osobowe, jeśli:

    • Dane nie są już potrzebne do celów, dla których zostały zebrane
    • Użytkownik cofnął zgodę
    • Dane były przetwarzane niezgodnie z prawem

    W kontekście IT oznacza to konieczność zaprojektowania systemu umożliwiającego pełne usunięcie danych — z bazy produkcyjnej, backupów, logów i systemów analitycznych.

    Bezpieczeństwo danych — wymogi techniczne

    Art. 32 RODO wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. W firmie IT oznacza to:

    Szyfrowanie

    • W spoczynku — szyfrowanie baz danych, dysków, backupów (AES-256)
    • W transmisji — TLS 1.2+ dla wszystkich połączeń, HTTPS
    • End-to-end — dla szczególnie wrażliwych danych

    Kontrola dostępu

    • Zasada minimalnych uprawnień — pracownik ma dostęp tylko do danych niezbędnych do pracy
    • Uwierzytelnianie wieloskładnikowe (MFA/2FA) — dla dostępu do systemów produkcyjnych
    • Zarządzanie tożsamością (IAM) — centralne zarządzanie kontami i uprawnieniami
    • Regularne przeglądy uprawnień — co 3–6 miesięcy

    Monitorowanie i logowanie

    • Logi dostępu do danych osobowych
    • Logi zmian w systemie uprawnień
    • Alerty o nietypowych wzorcach dostępu
    • Retencja logów zgodna z polityką bezpieczeństwa

    Kopie zapasowe

    • Regularne backupy (codzienne, tygodniowe)
    • Szyfrowanie kopii zapasowych
    • Testowanie procedur odtwarzania
    • Przechowywanie w bezpiecznej lokalizacji

    Testy bezpieczeństwa

    • Regularne testy penetracyjne (co najmniej raz w roku)
    • Skanowanie podatności (OWASP Top 10)
    • Code review pod kątem bezpieczeństwa
    • Bug bounty program (opcjonalnie)

    Naruszenie ochrony danych — procedura

    Czym jest naruszenie

    Naruszenie to zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Przykłady:

    • Wyciek bazy danych przez SQL injection
    • Utrata niezaszyfrowanego laptopa z danymi klientów
    • Phishing i przejęcie konta pracownika z dostępem do danych
    • Przypadkowe wysłanie danych do niewłaściwego odbiorcy
    • Atak ransomware szyfrujący bazę danych

    Obowiązek notyfikacji UODO

    Administrator musi zgłosić naruszenie do UODO w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw osób.

    Zgłoszenie powinno zawierać:

    • Opis naruszenia i przybliżoną liczbę osób
    • Dane kontaktowe IOD
    • Opis prawdopodobnych konsekwencji
    • Opis podjętych środków zaradczych

    Obowiązek notyfikacji osób

    Jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób, administrator musi poinformować osoby, których dane dotyczą — bez zbędnej zwłoki.

    Rola procesora

    Procesor musi powiadomić administratora o naruszeniu bez zbędnej zwłoki (w praktyce: natychmiast). To administrator decyduje o dalszych krokach.

    Privacy by Design i Privacy by Default

    Privacy by Design

    Zasada uwzględniania ochrony danych na etapie projektowania systemu:

    • Minimalizacja danych — zbieraj tylko niezbędne dane
    • Pseudonimizacja — tam, gdzie to możliwe
    • Ograniczenie przechowywania — automatyczne usuwanie po upływie retencji
    • Separacja danych — izolacja danych osobowych od reszty systemu

    Privacy by Default

    Domyślne ustawienia systemu powinny zapewniać maksymalną ochronę prywatności:

    • Profile użytkowników domyślnie prywatne
    • Udostępnianie danych wymaga aktywnej zgody
    • Zbieranie tylko danych niezbędnych do świadczenia usługi
    • Brak domyślnego śledzenia i profilowania

    Transfer danych poza EOG

    Firmy IT często korzystają z usług chmurowych zlokalizowanych poza Europejskim Obszarem Gospodarczym (AWS US, Google Cloud, Azure). Transfer danych poza EOG wymaga dodatkowych zabezpieczeń:

    Mechanizmy transferu

    • Decyzja o adekwatności — Komisja Europejska uznała kraj za zapewniający odpowiedni poziom ochrony (np. UK, Japonia, Kanada, USA — Data Privacy Framework)
    • Standardowe klauzule umowne (SCC) — zatwierdzone przez KE wzory umów
    • Wiążące reguły korporacyjne (BCR) — dla grup kapitałowych
    • Zgoda osoby — jako ostateczność, dla jednorazowych transferów

    USA i EU-US Data Privacy Framework

    Od 2023 roku obowiązuje EU-US Data Privacy Framework, który umożliwia transfer danych do amerykańskich firm certyfikowanych w programie DPF. Sprawdź status firmy na stronie dataprivacyframework.gov.

    Inspektor Ochrony Danych (IOD/DPO)

    Firma IT musi wyznaczyć IOD, jeśli:

    • Regularnie i systematycznie monitoruje osoby na dużą skalę (np. analityka, profilowanie)
    • Przetwarza dane wrażliwe na dużą skalę (np. dane zdrowotne, biometryczne)
    • Jest organem publicznym

    IOD może być pracownikiem firmy lub osobą zewnętrzną. Musi mieć niezależność i bezpośredni dostęp do najwyższego kierownictwa.

    Kontrola UODO — jak się przygotować

    Dokumentacja

    Przygotuj i regularnie aktualizuj:

    • Rejestr czynności przetwarzania (RCPD)
    • Politykę prywatności
    • Umowy powierzenia (DPA) ze wszystkimi procesorami
    • Rejestr naruszeń (nawet tych niezgłoszonych do UODO)
    • Oceny skutków dla ochrony danych (DPIA) — dla przetwarzania wysokiego ryzyka
    • Politykę bezpieczeństwa informacji
    • Procedurę obsługi praw osoby (dostęp, usunięcie, przeniesienie)

    Szkolenia

    Regularne szkolenia pracowników z zakresu RODO i bezpieczeństwa danych. Dokumentuj uczestnictwo i tematykę szkoleń.

    Praktyczne porady dla firm IT

    Dla software house'ów

    • Podpisuj DPA z każdym klientem, dla którego przetwarzasz dane
    • Prowadź rejestr podprocesorów (hosting, narzędzia, usługi chmurowe)
    • Implementuj Privacy by Design w każdym projekcie
    • Szyfruj dane w repozytoriach i na maszynach deweloperskich

    Dla startupów SaaS

    • Politykę prywatności traktuj jako dokument żywy — aktualizuj przy każdej zmianie
    • Wdrożyj mechanizm usuwania konta i danych (prawo do bycia zapomnianym)
    • Ogranicz retencję logów i danych analitycznych
    • Przeprowadź DPIA przed uruchomieniem nowych funkcjonalności przetwarzających dane

    Dla freelancerów IT

    • Podpisz DPA z klientami, dla których przetwarzasz dane
    • Szyfruj dysk swojego komputera
    • Używaj VPN przy pracy zdalnej
    • Nie przechowuj danych klientów dłużej niż to konieczne

    Podsumowanie — RODO checklist dla firmy IT

    • Rejestr czynności przetwarzania — zaktualizowany
    • Polityka prywatności — zgodna z art. 13/14 RODO
    • Umowy powierzenia (DPA) — ze wszystkimi procesorami i podprocesorami
    • Zgody użytkowników — dobrowolne, konkretne, świadome
    • Szyfrowanie — danych w spoczynku i w transmisji
    • Kontrola dostępu — MFA, zasada minimalnych uprawnień
    • Procedura naruszenia — gotowy plan na 72-godzinne zgłoszenie
    • Privacy by Design — w procesie rozwoju oprogramowania
    • IOD — wyznaczony, jeśli wymagany
    • Szkolenia — regularne, dokumentowane

    RODO to nie jednorazowy projekt, ale ciągły proces. Firmy IT, które traktują ochronę danych poważnie, zyskują przewagę konkurencyjną — klienci i użytkownicy coraz bardziej cenią transparentność i bezpieczeństwo swoich danych.

    Newsletter InInk

    Bądź na bieżąco ze zmianami w prawie

    Praktyczne analizy KSeF, ZUS, podatków i nowych przepisów. Co tydzień jeden mail z konkretami i wzorami dokumentów.

    Powiązane wpisy

    Zobacz wszystkie →

    Powiązane narzędzia

    Wszystkie narzędzia →