Spis treści
Czym jest RODO?
Ogólne rozporządzenie o ochronie danych osobowych, znane jako RODO, to rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Wprowadza ono jednolite przepisy w zakresie ochrony danych osobowych lub zestawach danych osobowych oraz ich przetwarzania we wszystkich krajach Unii Europejskiej.
Zasada eksterytorialności oznacza, że przepisy mogą również mieć zastosowanie poza granicami Europy. To rozporządzenie jest bezpośrednie w stosowaniu i nie wymaga transpozycji do krajowych systemów prawnych.
W Polsce zaczęło obowiązywać 25 maja 2018 roku, po dwuletnim okresie przejściowym, zastępując wcześniejszą ustawę o ochronie danych z 1997 roku. Była to największa zmiana w związku z przetwarzaniem danych od dwóch dekad.
Kiedy mowa o przetwarzaniu danych?
Zgodnie z art. 4 ust. 2 RODO przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany do których zalicza się takie czynności na danych jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.

Jakie są główne zasady przetwarzania danych w 2025?
Wdrożenie RODO w 2025 oznacza harmonizację przepisów w całej Unii Europejskiej, co ma ułatwić działalność przedsiębiorstw poprzez redukcję nadmiernej biurokracji oraz zapewnić klientom lepszą kontrolę nad ich danymi.
Kluczowym celem było również dostosowanie przepisów do współczesnych realiów i uwzględnienie zagrożeń związanych z nowoczesnymi technologiami.
Podstawą przepisów zgodnie z RODO jest siedem kluczowych sposobów przetwarzania danych, które stanowią fundament całego rozporządzenia. Zasady te odnoszą się do:
- rzetelności, zgodności z prawem i przejrzystości – dane muszą być przetwarzane nie tylko zgodnie z prawem, ale też rzetelnie i w sposób przejrzysty dla osoby, której dotyczą,
- ograniczenia celu – dane muszą być zbierane i przetwarzane w konkretnym, uzasadnionym celu i nie mogą być przetwarzane dalej niezgodnie z tym celem,
- minimalizacji danych - dane muszą być ograniczone do tego, co jest niezbędne dla danego celu,
- prawidłowości – dane muszą być prawidłowe, a w razie potrzeby uaktualnione. Nieprawidłowe dane należy niezwłocznie usunąć lub sprostować,
- ograniczenia przechowywania – dane nie powinny być przechowywane dłużej, niż to konieczne,
- integralności i poufności – dane powinny być przetwarzane w sposób zapewniający bezpieczeństwo i ochronę przed niezgodnym z prawem wykorzystaniem, przypadkową utratą lub zniszczeniem,
- rozliczalności – administrator musi umieć wykazać, że decyzje podejmowane w związku z przetwarzaniem danych są zgodne z przepisami.
RODO w firmie wymaga również klasyfikacji i identyfikacji odpowiednich kategorii danych przetwarzanych przez organizację.
Jakie kluczowe zmiany zostały wprowadzone przez RODO w 2025?
Wśród najważniejszych zmian związanych z wprowadzeniem RODO w 2025, pojawiają się takie kwestie jak:
- bezpośrednia odpowiedzialność – ponoszą ją organizacje zajmujące się przetwarzaniem danych pochodzących z innych firm, podczas świadczenia dla nich usług,
- większy wpływ obywateli na przetwarzanie ich danych – nowe, jasne zasady uzyskiwania pozwoleń na przetwarzanie danych osobowych, prawo dostępu do danych osobowych, sprzeciw przeciwko ich przetwarzaniu czy też żądanie ich usunięcia, tzw. „prawo do bycia zapomnianym”,
- osobne definicje dotyczące danych na temat zdrowia oraz danych genetycznych. Również nowa definicja danych biometrycznych i zakaz ich przetwarzania,
- wprowadzenie takich technologii jak pseudonimizacja czy szyfrowanie – mają one na celu ograniczenie możliwości identyfikacji danej osoby,
- ograniczenie profilowania – czyli działania, które umożliwia np. przewidywanie na podstawie analizy danych osobowych, co klient sklepu internetowego kupi następnym razem,
- wyznaczenie Inspektora Ochrony Danych Osobowych (IOD) – obowiązek ten dotyczy niektórych firm zajmujących się kontrolowaniem i przetwarzaniem danych.
Kto jest zobowiązany do przestrzegania przepisów RODO?
Zasady RODO odnoszą się do każdego przedsiębiorcy, którego działalność obejmuje oferowanie produktów lub usług osobom fizycznym na terenie Unii Europejskiej. Firmy mające siedzibę w jednym z państw członkowskich UE muszą przestrzegać zasad stosowania RODO, niezależnie od miejsca, w którym dochodzi do przetwarzania danych.
Zasady RODO obejmują również przedsiębiorstwa z siedzibą poza Europą, które świadczą usługi mieszkańcom krajów UE. Takie firmy muszą wyznaczyć swojego przedstawiciela na terenie Unii Europejskiej, który będzie odpowiedzialny za komunikację z organami nadzorczymi i osobami, których dane są przetwarzane.
Obowiązek przestrzegania przepisów ochrony danych dotyczy wszystkich typów przedsiębiorstw, zarówno dużych korporacji, jak i małych, lokalnych firm, zapewniając jednolity poziom zabezpieczenia danych na całym terytorium Unii Europejskiej.
Kogo RODO nie obowiązuje?
Istnieje kilka sytuacji, w których RODO nie ma zastosowania. Oto one:
- dane dotyczące osób zmarłych – RODO nie reguluje kwestii takich jak publikowanie danych na klepsydrach czy nagrobkach, ani nie obejmuje przetwarzania danych dotyczących dawców narządów,
- przetwarzanie danych poza UE – przepisy RODO nie dotyczą firm, które mają siedzibę poza Unią Europejską, nie oferują swoich produktów lub usług w krajach członkowskich ani nie przetwarzają danych obywateli UE,
- przetwarzanie danych w celach osobistych – dotyczy to tzw. przetwarzania danych o charakterze „domowym”, o ile nie jest związane z działalnością zawodową czy handlową,
- w kontekście przestępstw – odpowiednie instytucje mogą odstąpić od przestrzegania zasad RODO, jeśli jest to konieczne do zapobiegania, wykrywania lub ścigania przestępstw,
- polityka zagraniczna i bezpieczeństwo – państwa członkowskie UE mogą być zwolnione z przestrzegania przepisów RODO w zakresie wspólnej polityki zagranicznej i bezpieczeństwa,
- dane dotyczące osób prawnych – RODO nie obejmuje danych dotyczących osób prawnych, takich jak nazwy firm, dane rejestrowe czy kontaktowe.
Dodatkowo, ograniczone zastosowanie tych przepisów w Polsce może dotyczyć kościołów i związków wyznaniowych, a także dziennikarzy, osób prowadzących działalność akademicką, artystów i literatów, w kontekście ich specyficznych działań.

Jakie są nowe zasady dotyczące zgód na przetwarzanie danych osobowych po wprowadzeniu RODO?
Wraz z wprowadzeniem wymagań RODO zmianie uległy zasady uzyskiwania pozwoleń na przetwarzanie danych od osób, których te dane dotyczą. Od 25 maja 2018 roku wszystkie zgody na przetwarzanie danych osobowych muszą mieć postać potwierdzenia lub oświadczenia.
Ważne jest, aby takie zgody były wyrażone przez klienta świadomie, muszą więc być sformułowane w sposób jasny i zrozumiały. Niedopuszczalne jest wyrażanie kilku zgód jednocześnie, poprzez zaznaczenie jednego punktu.
Co więcej taka zgoda musi być dobrowolna, konkretna, czyli dotycząca celów i sposobów przetwarzania danych, a także musi być możliwość łatwego jej wycofania.
Jakie kary grożą za naruszenie przepisów RODO w 2025?
Firmy, które nie przestrzegają zasad RODO, mogą stanąć w obliczu poważnych konsekwencji finansowych. Na przedsiębiorstwa mogą być nałożone grzywny w wysokości do 20 milionów euro lub 4% rocznego obrotu, w zależności od tego, która z kwot jest wyższa.
Każda osoba, która uzna, że jej prawa dotyczące ochrony danych osobowych zostały naruszone, ma prawo złożyć skargę do Urzędu Ochrony Danych Osobowych i ubiegać się o odszkodowanie od Administratora Danych Osobowych. Administrator może uniknąć odpowiedzialności za szkody, jeśli udowodni, że nie ponosi winy za zaistniałą sytuację.
Czym jest audyt RODO?
Audyt RODO to proces mający na celu ocenę zgodności działań firmy lub organizacji z wymaganiami rozporządzenia RODO. Może być przeprowadzany zarówno przez wewnętrznego pracownika, jak i zewnętrznego audytora.
Każda firma lub organizacja, niezależnie od tego, czy pełni rolę administratora, czy podmiotu przetwarzającego dane, powinna wyznaczyć Inspektora Ochrony Danych (IOD), jeżeli jej działalność obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne, systematyczne monitorowanie osób na dużą skalę.
Takie monitorowanie może obejmować m.in. obserwację i profilowanie w Internecie, w tym działania związane z reklamą behawioralną. Organy administracji publicznej są zobowiązane do wyznaczenia IOD, z wyjątkiem sądów w ramach sprawowania wymiaru sprawiedliwości.
Choć RODO nie nakłada bezpośredniego obowiązku przeprowadzania audytów, jego wymóg wynika pośrednio z przepisów rozporządzenia.
Niniejsze rozporządzenie wprowadza zasadę rozliczalności, która zobowiązuje administratora danych nie tylko do przestrzegania przepisów dotyczących przetwarzania danych, ale również do wykazania przestrzegania tych przepisów przed organem nadzorczym, na przykład poprzez dostarczenie raportów z audytu.
Audyt ma na celu identyfikację potencjalnych zagrożeń w systemie bezpieczeństwa danych oraz zalecenie odpowiednich działań naprawczych. Audyt zgodności z RODO powinien obejmować aspekty organizacyjne, ludzkie, prawne i techniczne.
Typowy plan audytu obejmuje:
- wstępny warsztat z osobą odpowiedzialną za RODO w organizacji,
- praktyczne warsztaty dla kierowników i managerów poszczególnych działów w celu inwentaryzacji procesów przetwarzania danych,
- opracowanie mapy procesów przetwarzania danych osobowych, która dokładnie odwzorowuje wszystkie aktywności związane z przetwarzaniem danych w organizacji,
- audyt fizyczny, który polega na wizji lokalnej kluczowych pomieszczeń, takich jak archiwum, serwerownie, biura, a także stanowiska w przestrzeni logistycznej, magazynowej lub produkcyjnej,
- analiza dokumentacji RODO, w tym umów powierzenia przetwarzania danych, zgód, obowiązków informacyjnych, procedur, polityk, a także przegląd stron internetowych, aplikacji mobilnych i innych narzędzi technologicznych używanych do przetwarzania danych,
- przygotowanie raportu z audytu, który również pełni funkcję wstępnego planu wdrożenia wymaganych zmian.