RODO w małej firmie w Poznaniu – obowiązki przedsiębiorcy 2026

utworzone przez | sie 28, 2025 | Kancelaria radcy prawnego

RODO obowiązuje od 2018 roku, ale wiele firm w Poznaniu nadal nie spełnia wszystkich wymogów. Kary za naruszenia sięgają 20 mln EUR lub 4% rocznego obrotu. Jak małym firmom skutecznie wdrożyć RODO w 2026 roku? Wyjaśnia radca prawny Wojciech Halec.

Kogo dotyczy RODO?

RODO dotyczy każdej firmy, która przetwarza dane osobowe – niezależnie od wielkości. Już przyjmowanie wizytówek od klientów, prowadzenie newslettera, zatrudnianie pracowników czy obsługa sklepu internetowego to przetwarzanie danych osobowych.

Podstawowe obowiązki firmy

  1. Inwentaryzacja procesów – lista, jakie dane i w jakim celu są przetwarzane
  2. Polityka prywatności – jasna informacja dla osób, których dane przetwarzasz
  3. Klauzule informacyjne – przy każdym zbieraniu danych
  4. Umowy powierzenia – z każdym, kto przetwarza dane w Twoim imieniu (biuro rachunkowe, IT, hosting)
  5. Rejestr czynności przetwarzania – wymagany przy systematycznym przetwarzaniu
  6. Procedury – realizacji praw osób, zgłaszania naruszeń
  7. Środki bezpieczeństwa – techniczne i organizacyjne

Czy musisz mieć IOD?

Inspektor Ochrony Danych (IOD) jest obowiązkowy tylko w określonych przypadkach:

  • Organy publiczne
  • Firmy systematycznie monitorujące osoby (np. CCTV w sklepach)
  • Firmy przetwarzające dane wrażliwe na dużą skalę (np. medyczne)

Małe firmy (sklepy, biura, gastronomia, usługi) zwykle nie mają obowiązku powołania IOD, ale i tak muszą spełniać wymogi RODO.

Prawa osób, których dane przetwarzasz

  • Prawo dostępu do danych
  • Prawo do sprostowania
  • Prawo do usunięcia („prawo do bycia zapomnianym”)
  • Prawo do ograniczenia przetwarzania
  • Prawo do przenoszenia danych
  • Prawo do sprzeciwu
  • Prawo do niepodlegania zautomatyzowanym decyzjom

Na realizację żądania masz 30 dni. Możesz wydłużyć ten termin do 2 miesięcy w skomplikowanych przypadkach.

Naruszenie ochrony danych – co robić?

Jeśli doszło do naruszenia (np. wyciek danych, kradzież laptopa, błędne wysłanie maila z danymi):

  1. Oceń ryzyko dla osób, których dane wyciekły
  2. Jeśli istnieje ryzyko – zgłoś do UODO w ciągu 72 godzin
  3. Jeśli ryzyko jest wysokie – poinformuj również osoby, których dane wyciekły
  4. Udokumentuj naruszenie (wewnętrzny rejestr)
  5. Wdroż środki zapobiegające powtórzeniu

Kary za naruszenia RODO

  • Do 10 mln EUR lub 2% rocznego obrotu – mniejsze naruszenia (np. brak rejestru, niewykonanie żądania)
  • Do 20 mln EUR lub 4% rocznego obrotu – poważne naruszenia (np. nielegalne przetwarzanie, brak podstawy prawnej)
  • Polskie kary administracyjne – nakładane przez UODO
  • Roszczenia cywilne osób, których dane zostały bezprawnie przetworzone

RODO w marketingu i newsletter

Wysyłanie newslettera wymaga wyraźnej zgody (opt-in). Każdy odbiorca musi mieć łatwą możliwość rezygnacji (link „wypisz się”). Należy pamiętać też o ustawie o świadczeniu usług drogą elektroniczną – odrębna zgoda na komunikację elektroniczną.

Czy mogę przechowywać CV kandydatów po rekrutacji?

Tylko jeśli masz wyraźną zgodę na przyszłe rekrutacje. Bez zgody – CV trzeba usunąć po zakończeniu procesu rekrutacyjnego.

Ile kosztuje wdrożenie RODO?

Dla małej firmy wdrożenie RODO to koszt 2000–6000 zł netto. Audyt i polityki zwykle 3000 zł, szkolenie pracowników 500–1500 zł. Stała obsługa IOD outsourced – od 500 zł/mies.

Potrzebujesz wsparcia w RODO? Skontaktuj się z kancelarią – przeprowadzimy audyt, sporządzimy dokumentację i wdrożymy procedury.