Czym jest RODO
RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) to unijny akt prawny regulujący zasady przetwarzania danych osobowych osób fizycznych. W Polsce weszło w życie 25 maja 2018 r. i zastąpiło dotychczasową dyrektywę 95/46/WE oraz krajową ustawę o ochronie danych osobowych z 1997 roku.
Rozporządzenie stosuje się bezpośrednio we wszystkich państwach członkowskich UE bez konieczności implementacji do prawa krajowego. Uzupełnia je polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000), która dostosowuje rozporządzenie do specyfiki krajowego systemu prawnego i wskazuje kompetencje Prezesa UODO.
Siedem zasad przetwarzania danych
Artykuł 5 RODO określa siedem fundamentalnych zasad, których musi przestrzegać każdy administrator danych:
1. Zgodność z prawem, rzetelność i przejrzystość
Dane mogą być przetwarzane tylko wówczas, gdy istnieje ku temu podstawa prawna — zgoda osoby, wykonanie umowy, obowiązek prawny, żywotny interes, zadanie publiczne lub uzasadniony interes administratora. Administrator musi poinformować osobę fizyczną o sposobie i celu przetwarzania jej danych.
2. Ograniczenie celu
Dane zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach. Dalsze przetwarzanie musi być zgodne z tymi celami. Przykładowo: dane zebrane w celu realizacji zamówienia nie mogą być wykorzystywane do profilowania marketingowego bez odrębnej podstawy prawnej.
3. Minimalizacja danych
Przetwarzane dane muszą być adekwatne, stosowne i ograniczone do tego, co niezbędne do osiągnięcia celu. Organizacja nie powinna zbierać danych na zapas ani gromadzić informacji, które mogłyby okazać się przydatne w nieokreślonej przyszłości.
4. Prawidłowość
Dane muszą być prawidłowe i w razie potrzeby uaktualniane. Administrator podejmuje rozsądne działania, by dane nieprawidłowe zostały niezwłocznie usunięte lub sprostowane.
5. Ograniczenie przechowywania
Dane przechowuje się nie dłużej, niż jest to konieczne do osiągnięcia celu. Po upływie okresu przechowywania dane powinny zostać usunięte lub zanonimizowane. Wyjątki dotyczą celów archiwalnych i naukowych.
6. Integralność i poufność
Przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych — ochronę przed nieuprawnionym dostępem, ujawnieniem, zmianą lub zniszczeniem. Administrator stosuje odpowiednie środki techniczne i organizacyjne.
7. Rozliczalność
Administrator odpowiada za przestrzeganie zasad RODO i jest w stanie wykazać ich spełnienie. Oznacza to konieczność prowadzenia dokumentacji przetwarzania, rejestru czynności, ocen skutków oraz szkoleń pracowników.
Prawa osób fizycznych
Rozporządzenie przyznaje osobom fizycznym szereg uprawnień, które mogą realizować wobec administratorów danych:
| Prawo | Zakres | Termin realizacji |
|---|---|---|
| Dostęp do danych (art. 15) | Uzyskanie kopii przetwarzanych danych i informacji o celu przetwarzania | 1 miesiąc |
| Sprostowanie (art. 16) | Poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych | 1 miesiąc |
| Usunięcie (art. 17) | Żądanie usunięcia danych, gdy nie są już niezbędne lub zgoda została wycofana | Bez zbędnej zwłoki |
| Ograniczenie przetwarzania (art. 18) | Zawieszenie przetwarzania w określonych przypadkach, np. na czas weryfikacji prawidłowości | Bez zbędnej zwłoki |
| Przenoszenie danych (art. 20) | Otrzymanie danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego | 1 miesiąc |
| Sprzeciw (art. 21) | Sprzeciw wobec przetwarzania na podstawie uzasadnionego interesu, w tym profilowania | Bez zbędnej zwłoki |
Obowiązki administratorów danych
Podmioty przetwarzające dane osobowe w Polsce — firmy, urzędy, organizacje pozarządowe — mają szereg obowiązków wynikających z RODO:
- Rejestr czynności przetwarzania — obowiązkowy dla organizacji zatrudniających powyżej 250 pracowników lub przetwarzających dane szczególne kategorii
- Inspektor Ochrony Danych (IOD) — wymagany dla podmiotów publicznych, a w sektorze prywatnym przy przetwarzaniu danych na dużą skalę lub danych szczególnych kategorii
- Ocena skutków dla ochrony danych (DPIA) — przeprowadzana przed wdrożeniem operacji przetwarzania wysokiego ryzyka
- Zgłaszanie naruszeń — naruszenie ochrony danych osobowych należy zgłosić Prezesowi UODO w ciągu 72 godzin od jego wykrycia, jeśli może ono skutkować ryzykiem dla osób fizycznych
- Klauzule informacyjne — obowiązek przekazania osobie fizycznej pełnych informacji o przetwarzaniu jej danych w momencie ich pozyskania
Rola UODO w Polsce
Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl) pełni funkcję krajowego organu nadzorczego. Do jego kompetencji należą:
- Rozpatrywanie skarg od osób fizycznych
- Prowadzenie postępowań kontrolnych wobec administratorów i procesorów
- Nakładanie kar pieniężnych — do 20 mln euro lub 4% rocznego obrotu globalnego
- Wydawanie wytycznych i decyzji wiążących
- Współpraca z organami nadzorczymi innych państw UE w ramach mechanizmu one-stop-shop
Najczęstsze naruszenia stwierdzane przez UODO
Na podstawie decyzji i komunikatów UODO wśród często stwierdzanych nieprawidłowości wyróżnia się:
- Brak wystarczających środków technicznych i organizacyjnych zabezpieczających dane
- Niezgłoszenie naruszenia ochrony danych w terminie 72 godzin
- Niezrealizowanie praw osób fizycznych w wymaganym terminie
- Nieprawidłowe klauzule informacyjne lub ich brak
- Przetwarzanie danych bez podstawy prawnej lub w zakresie szerszym niż wymagany
Ostatnia aktualizacja: 4 czerwca 2026. Artykuł ma charakter informacyjny i nie stanowi porady prawnej.