RODO (GDPR) — kompletny przewodnik po ogólnym rozporządzeniu o ochronie danych

Ogólne rozporządzenie o ochronie danych, znane jako RODO (ang. GDPR — General Data Protection Regulation), to najważniejszy akt prawny regulujący ochronę danych osobowych w Europie. Obowiązuje od 25 maja 2018 r. i dotyczy praktycznie każdej firmy, instytucji i organizacji, która przetwarza dane osobowe osób przebywających w Unii Europejskiej.

W tym przewodniku wyjaśniam najważniejsze zagadnienia RODO w sposób praktyczny — z odniesieniami do konkretnych artykułów rozporządzenia, decyzji Urzędu Ochrony Danych Osobowych (UODO) oraz wytycznych Europejskiej Rady Ochrony Danych (EDPB). Przewodnik jest kierowany zarówno do przedsiębiorców i IOD-ów, którzy chcą zrozumieć swoje obowiązki, jak i do prawników zainteresowanych specjalizacją w ochronie danych.

Czym jest RODO i kogo dotyczy?

RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) to unijne rozporządzenie, które bezpośrednio obowiązuje we wszystkich państwach członkowskich UE — nie wymaga implementacji do prawa krajowego, choć poszczególne państwa mogą doprecyzować niektóre przepisy (w Polsce robi to ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych).

RODO dotyczy Twojej organizacji, jeśli spełniasz przynajmniej jeden z poniższych warunków:

• Masz siedzibę w UE i przetwarzasz dane osobowe — niezależnie od tego, czy dane dotyczą osób w UE, czy poza nią (art. 3 ust. 1 GDPR).
• Nie masz siedziby w UE, ale oferujesz towary lub usługi osobom w UE albo monitorujesz ich zachowanie na terenie UE (art. 3 ust. 2 GDPR). Dotyczy to np. sklepów internetowych spoza UE, które sprzedają klientom w Polsce.

W praktyce oznacza to, że RODO dotyczy niemal każdej firmy działającej w Polsce — od jednoosobowej działalności gospodarczej po międzynarodową korporację.

Dane osobowe — co to właściwie jest?

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 4 pkt 1 GDPR). Brzmi abstrakcyjnie, ale w praktyce zakres jest bardzo szeroki.

Dane osobowe to między innymi: imię i nazwisko, adres e-mail, numer PESEL, adres zamieszkania, numer telefonu, adres IP, dane lokalizacyjne, cookies identyfikujące użytkownika, dane biometryczne (odcisk palca, rozpoznawanie twarzy), dane dotyczące zdrowia, a nawet numer pracowniczy, jeśli pozwala on zidentyfikować konkretną osobę w danym kontekście.

RODO wyróżnia też szczególne kategorie danych osobowych (art. 9 GDPR), których przetwarzanie podlega surowszym zasadom. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej. 

Dla podmiotów leczniczych przygotowaliśmy dedykowany przewodnik: RODO w służbie zdrowia — jak chronić dane pacjentów zgodnie z przepisami.

Kluczowe pojęcia RODO, które musisz znać

Aby dobrze zrozumieć RODO, warto poznać kilka podstawowych pojęć zdefiniowanych w art. 4 rozporządzenia:

Administrator danych (ang. controller) to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeśli prowadzisz firmę i zbierasz dane klientów — jesteś administratorem.

Podmiot przetwarzający (ang. processor) to podmiot, który przetwarza dane w imieniu administratora. Typowy przykład: biuro rachunkowe prowadzące księgowość Twojej firmy, firma hostingowa przechowująca dane na serwerze, dostawca systemu CRM.

Przetwarzanie danych to każda operacja wykonywana na danych osobowych — zbieranie, utrwalanie, przechowywanie, modyfikowanie, przeglądanie, udostępnianie, usuwanie. Nawet samo przechowywanie danych to przetwarzanie.

Osoba, której dane dotyczą (ang. data subject) to osoba fizyczna, której dane osobowe są przetwarzane. RODO chroni wyłącznie osoby fizyczne — nie dotyczy danych firm czy instytucji (choć dane osób kontaktowych w firmie już są objęte ochroną).

7 zasad przetwarzania danych osobowych (art. 5 GDPR)

Artykuł 5 GDPR formułuje siedem fundamentalnych zasad, które muszą być przestrzegane przy każdym przetwarzaniu danych osobowych. Naruszenie którejkolwiek z nich może skutkować karą.

1. Zgodność z prawem, rzetelność i przejrzystość — dane muszą być przetwarzane zgodnie z prawem, w sposób uczciwy i przejrzysty dla osoby, której dotyczą. Oznacza to m.in. obowiązek posiadania podstawy prawnej przetwarzania oraz informowania osób o tym, co dzieje się z ich danymi.

2. Ograniczenie celu — dane mogą być zbierane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach. Nie można zbierać danych „na zapas” ani wykorzystywać ich do celów niezgodnych z pierwotnymi.

3. Minimalizacja danych — należy zbierać tylko te dane, które są niezbędne do realizacji określonego celu. Jeśli do wysyłki newslettera wystarczy adres e-mail, nie powinieneś wymagać podania numeru PESEL.

4. Prawidłowość — dane muszą być prawidłowe i w razie potrzeby aktualizowane. Administrator powinien podejmować rozsądne działania, aby dane nieprawidłowe zostały usunięte lub sprostowane.

5. Ograniczenie przechowywania — dane nie mogą być przechowywane w nieskończoność. Należy ustalić konkretny okres retencji dla każdego rodzaju danych i celu przetwarzania, a po jego upływie dane usunąć lub zanonimizować.

6. Integralność i poufność — dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieautoryzowanym dostępem, utratą, zniszczeniem lub uszkodzeniem.

7. Rozliczalność — administrator musi być w stanie wykazać zgodność ze wszystkimi powyższymi zasadami. To na administratorze spoczywa ciężar dowodu — nie wystarczy przestrzegać RODO, trzeba to udokumentować.

Jak wdrożyć privacy by design i privacy by default w praktyce opisujemy w artykule: Privacy by design i privacy by default — jak wdrożyć art. 25 RODO.

6 podstaw prawnych przetwarzania danych (art. 6 GDPR)

Każde przetwarzanie danych osobowych musi opierać się na przynajmniej jednej z sześciu podstaw prawnych określonych w art. 6 GDPR. Brak podstawy prawnej oznacza, że przetwarzanie jest nielegalne.

a) Zgoda osoby — osoba wyraziła zgodę na przetwarzanie swoich danych w jednym lub więcej celach. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Można ją w każdej chwili wycofać. Najczęściej stosowana w marketingu i newsletterach. Praktyczny poradnik dotyczący cookies i mechanizmu zgód znajdziesz w artykule: Cookies i RODO — jak wdrożyć baner cookies zgodny z prawem.

b) Wykonanie umowy — przetwarzanie jest niezbędne do wykonania umowy z osobą lub do podjęcia działań przed zawarciem umowy na jej żądanie. Przykład: przetwarzanie adresu dostawy przy realizacji zamówienia w sklepie internetowym.

c) Obowiązek prawny — przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Przykład: przechowywanie danych pracowników przez okres wymagany przez Kodeks pracy i przepisy podatkowe (szczegółowy poradnik o RODO w HR znajdziesz w artykule: RODO w HR — monitoring pracowników, rekrutacja, akta osobowe i praca zdalna).

d) Ochrona żywotnych interesów — przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby (np. ratowanie życia). Stosowane rzadko i wyłącznie w sytuacjach wyjątkowych.

e) Zadanie realizowane w interesie publicznym — przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach władzy publicznej. Dotyczy głównie organów państwowych.

f) Uzasadniony interes administratora — przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej, o ile nie są nadrzędne wobec interesów lub praw osoby. Wymaga przeprowadzenia testu równowagi interesów (balancing test). Przykłady: monitoring wizyjny w celu ochrony mienia, marketing bezpośredni wobec własnych klientów.

Wybór właściwej podstawy prawnej ma kluczowe znaczenie — inna podstawa może oznaczać inne obowiązki, inne prawa osoby i inne konsekwencje w razie kontroli. Szczegółowy przewodnik po każdej podstawie prawnej z przykładami i pułapkami znajdziesz w artykule: Podstawy prawne przetwarzania danych osobowych — szczegółowy przewodnik po art. 6 RODO.

Prawa osób, których dane dotyczą (art. 15–22 GDPR)

RODO przyznaje osobom fizycznym szereg praw, które administrator musi respektować. Są to:

Prawo dostępu do danych (art. 15) — osoba ma prawo uzyskać od administratora potwierdzenie, czy jej dane są przetwarzane, a jeśli tak — uzyskać do nich dostęp oraz informacje o celach przetwarzania, kategoriach danych, odbiorcach i planowanym okresie przechowywania.

Prawo do sprostowania (art. 16) — osoba może żądać poprawienia nieprawidłowych danych lub uzupełnienia niekompletnych.

Prawo do usunięcia danych, tzw. „prawo do bycia zapomnianym” (art. 17) — osoba może żądać usunięcia swoich danych, jeśli np. dane nie są już niezbędne do celów przetwarzania, osoba wycofała zgodę lub dane były przetwarzane niezgodnie z prawem. Prawo to nie jest bezwzględne — administrator może odmówić, jeśli przetwarzanie jest niezbędne np. do wywiązania się z obowiązku prawnego.

Prawo do ograniczenia przetwarzania (art. 18) — osoba może żądać ograniczenia przetwarzania np. na czas weryfikacji prawidłowości danych.

Prawo do przenoszenia danych (art. 20) — osoba ma prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie i przesłać je innemu administratorowi.

Prawo do sprzeciwu (art. 21) — osoba może sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie administratora, w tym profilowaniu. W przypadku marketingu bezpośredniego sprzeciw jest bezwzględny — administrator musi zaprzestać przetwarzania.

Prawo do niepodlegania decyzjom zautomatyzowanym (art. 22) — osoba ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), jeśli wywołuje ona wobec niej skutki prawne lub podobnie istotne. To prawo nabiera szczególnego znaczenia w erze sztucznej inteligencji.

Na realizację żądania osoby administrator ma co do zasady 1 miesiąc (art. 12 ust. 3 GDPR).

Obowiązek informacyjny (art. 13–14 GDPR)

Administrator ma obowiązek poinformować osobę o przetwarzaniu jej danych — zarówno gdy zbiera dane bezpośrednio od osoby (art. 13), jak i gdy pozyskuje je z innego źródła (art. 14).

Klauzula informacyjna musi zawierać m.in.: tożsamość i dane kontaktowe administratora, dane kontaktowe IOD (jeśli powołany), cele i podstawy prawne przetwarzania, informacje o odbiorcach danych, okres przechowywania, informacje o prawach osoby, informację o prawie do złożenia skargi do UODO.

Informacja musi być podana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W praktyce oznacza to, że klauzula informacyjna powinna być napisana zrozumiale — nie jako wielostronicowy dokument prawny, ale jako czytelna informacja dla przeciętnego odbiorcy.

Szczegółowy poradnik z checklistą znajdziesz w artykule: Klauzula informacyjna RODO — jak napisać prawidłowy obowiązek informacyjny.

Inspektor Ochrony Danych (IOD / DPO)

Niektóre organizacje mają obowiązek powołania Inspektora Ochrony Danych (art. 37 GDPR). Dotyczy to przede wszystkim organów publicznych, podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, oraz podmiotów przetwarzających na dużą skalę szczególne kategorie danych.

IOD pełni rolę wewnętrznego eksperta ds. ochrony danych — informuje i doradza administratorowi, monitoruje zgodność z RODO, współpracuje z UODO i jest punktem kontaktowym dla osób, których dane dotyczą.

IOD może być pracownikiem organizacji lub zewnętrznym ekspertem (outsourcing IOD). Musi mieć zagwarantowaną niezależność — nie może otrzymywać instrukcji co do sposobu wykonywania swoich zadań i nie może być karany za ich wykonywanie (art. 38 GDPR).

Szczegółowy przewodnik po roli IOD znajdziesz w artykule: Inspektor Ochrony Danych (IOD) — kompletny przewodnik po roli DPO w organizacji.

Naruszenia ochrony danych i kary

RODO wprowadza obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego (w Polsce — UODO) w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 GDPR). Jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, administrator musi również powiadomić te osoby (art. 34 GDPR).

Za naruszenie przepisów RODO grożą surowe kary administracyjne. Art. 83 GDPR przewiduje dwa progi kar:

• Do 10 mln EUR lub 2% rocznego globalnego obrotu — za naruszenia obowiązków administratora, procesora, podmiotu certyfikującego lub podmiotu monitorującego.
• Do 20 mln EUR lub 4% rocznego globalnego obrotu — za naruszenia podstawowych zasad przetwarzania, praw osób, przepisów o transferze danych do państw trzecich.

W Polsce UODO nakładał już kary sięgające kilku milionów złotych. W Europie rekordowe kary liczone są w setkach milionów euro — np. kary nałożone na Meta przez irlandzki organ nadzorczy.

Szczegółowe omówienie procedury zgłaszania naruszeń i przegląd najważniejszych kar znajdziesz w artykule: Naruszenie ochrony danych osobowych — procedura zgłoszenia do UODO, obowiązki i kary GDPR.

Przekazywanie danych poza Europejski Obszar Gospodarczy

Transfer danych osobowych do państw trzecich (poza EOG) podlega szczególnym zasadom określonym w rozdziale V GDPR (art. 44–50). Dane można przekazać, jeśli spełniony jest przynajmniej jeden z warunków, takich jak: decyzja Komisji Europejskiej o adekwatności ochrony w danym państwie, zastosowanie standardowych klauzul umownych (SCC), wiążących reguł korporacyjnych (BCR) lub innych odpowiednich zabezpieczeń.

Temat transferu danych nabrał szczególnego znaczenia po wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II (C-311/18), który unieważnił Tarczę Prywatności (Privacy Shield) jako mechanizm transferu danych do USA. Obecnie obowiązuje nowe porozumienie — EU-US Data Privacy Framework — ale jego trwałość jest niepewna.

W praktyce, jeśli korzystasz z usług amerykańskich dostawców (Google, Microsoft, Amazon AWS), temat transferu danych dotyczy Ciebie bezpośrednio. Szczegółowy przewodnik po mechanizmach transferu znajdziesz w naszym odrębnym artykule Transfer danych osobowych poza EOG — standardowe klauzule umowne, Schrems II i Transfer Impact Assessment..

RODO a inne regulacje — AI Act, NIS2, Data Act

RODO nie funkcjonuje w próżni. W ostatnich latach Unia Europejska przyjęła szereg nowych regulacji, które uzupełniają i przenikają się z RODO:

AI Act (Rozporządzenie o sztucznej inteligencji) — reguluje wykorzystanie systemów AI w UE. Wiele systemów AI przetwarza dane osobowe, co oznacza konieczność jednoczesnego stosowania RODO i AI Act. Szczególnie istotne jest powiązanie między oceną skutków dla ochrony danych (DPIA) a wymogami AI Act dotyczącymi systemów wysokiego ryzyka. Szczegółowe omówienie relacji AI Act i RODO znajdziesz w artykule: AI Act a RODO — ochrona danych osobowych w systemach sztucznej inteligencji.

Dyrektywa NIS2 — rozszerza obowiązki w zakresie cyberbezpieczeństwa. Organizacje objęte NIS2 muszą wdrożyć środki bezpieczeństwa, które jednocześnie wspierają ochronę danych osobowych wymaganą przez RODO. Szczegółowe omówienie relacji NIS2 i RODO znajdziesz w artykule: NIS2 a RODO — jak nowa dyrektywa cyberbezpieczeństwa wpływa na ochronę danych osobowych.

Data Act i Data Governance Act — nowe regulacje dotyczące udostępniania i zarządzania danymi. Muszą być stosowane z uwzględnieniem zasad ochrony danych osobowych wynikających z RODO.

Co powinna zrobić Twoja firma — praktyczna checklist

Na zakończenie — lista najważniejszych kroków, które każda firma powinna podjąć, aby zapewnić zgodność z RODO:

1. Przeprowadź inwentaryzację danych — sprawdź, jakie dane osobowe przetwarzasz, w jakich celach i na jakiej podstawie prawnej.
2. Przygotuj Rejestr Czynności Przetwarzania (RCP) — obowiązek wynikający z art. 30 GDPR, dokumentujący wszystkie procesy przetwarzania danych w organizacji. Jak prowadzić RCP zgodnie z RODO opisujemy w artykule: Rejestr czynności przetwarzania (RCP) — jak prowadzić go zgodnie z RODO.
3. Określ podstawy prawne przetwarzania — dla każdego celu przetwarzania dobierz odpowiednią podstawę z art. 6 (a jeśli przetwarzasz dane szczególne — z art. 9).
4. Przygotuj klauzule informacyjne — dla każdej grupy osób, których dane przetwarzasz (klienci, pracownicy, kontrahenci, użytkownicy strony www).
5. Zawrzyj umowy powierzenia przetwarzania danych — z każdym podmiotem, który przetwarza dane w Twoim imieniu (art. 28 GDPR). Szczegółowy przewodnik znajdziesz w artykule: Umowa powierzenia przetwarzania danych osobowych — kompletny przewodnik po art. 28 RODO.
6. Wdróż procedurę obsługi żądań osób — mechanizm realizacji prawa dostępu, usunięcia, sprostowania itp.
7. Wdróż procedurę reagowania na naruszenia — abyś mógł zgłosić naruszenie do UODO w ciągu 72 godzin.
8. Oceń, czy musisz powołać IOD — i jeśli tak, powołaj go i zgłoś do UODO.
9. Przeprowadź DPIA — jeśli przetwarzanie danych wiąże się z wysokim ryzykiem dla praw osób.
10. Zadbaj o bezpieczeństwo techniczne i organizacyjne — szyfrowanie, kontrola dostępu, szkolenia pracowników, regularne audyty.  Jak ISO 27001 i ISO 27701 wspierają zgodność z RODO opisujemy w artykule: ISO 27001 i ISO 27701 a RODO.

Dla właścicieli sklepów internetowych przygotowaliśmy dedykowany przewodnik: RODO w e-commerce — obowiązki sklepu internetowego.

Potrzebujesz pomocy z RODO?

Wdrożenie RODO to proces, który wymaga zarówno wiedzy prawnej, jak i zrozumienia technicznych aspektów przetwarzania danych. W Kancelarii Radcowskiej Joanny Maniszewskiej-Ejsmont pomagamy firmom i instytucjom w kompleksowym dostosowaniu się do wymagań RODO — od audytu zgodności, przez przygotowanie dokumentacji, po pełnienie funkcji zewnętrznego IOD.