4crypto.eu
Bezpłatna konsultacja
Compliance · Rozporządzenie UE · 2026

RODO w 2026 r. - rozporządzenie 2016/679, zasady, prawa osób, DPIA, naruszenia, transfer danych, sankcje

Autor: dr inż. Adam Czubak Czas czytania: 16 min Aktualizacja: 2026-05-15

Ratio legis

RODO powstało z fundamentalnego przekonania, że dane osobowe są elementem prawa podstawowego do prywatności, a w gospodarce cyfrowej wymagają silniejszej ochrony niż dawała dyrektywa 95/46/WE z 1995 r. Sens regulacji to przesunięcie balansu sił między administratorem a osobą fizyczną - poprzez prawa osób, zasadę rozliczalności i kary mogące sięgać 4% globalnego obrotu. Cel wykracza poza compliance: RODO jest narzędziem ochrony godności i autonomii informacyjnej człowieka w erze automatycznego przetwarzania, profilowania algorytmicznego i sztucznej inteligencji.

RODO [1] (Ogólne Rozporządzenie o Ochronie Danych, ang. GDPR - General Data Protection Regulation, formalnie rozporządzenie 2016/679) to najważniejsza europejska regulacja ochrony danych osobowych. Obowiązuje od 25 maja 2018 r. jako rozporządzenie - czyli bezpośrednio stosowane we wszystkich państwach UE. Zastąpiło dyrektywę 95/46/WE, podnosząc poziom ochrony i ujednolicając zasady w całej Unii. Po ośmiu latach obowiązywania krajobraz[17] jurystyczny dojrzał - mamy setki orzeczeń TSUE i sądów krajowych, dziesiątki wytycznych EDPB [4][5], wyrok Schrems II [3] wywracający transfer do USA i przywrócony częściowo przez EU-US Data Privacy Framework[14][11] z 2023 r. [6]

Artykuł kompleksowo omawia siedem zasad art. 5, sześć podstaw prawnych art. 6, prawa osób (art. 12-23), obowiązki administratora i procesora (art. 24-43), procedury naruszeń (art. 33-34), transfer poza EOG (rozdział V) oraz sankcje (art. 83-84). W odróżnieniu od artykułu o audycie RODO (który omawia praktykę audytu), ten tekst koncentruje się na samej regulacji - kogo dotyczy, jakie nakłada obowiązki i jak je interpretować w świetle aktualnego orzecznictwa.

Czym jest RODO - geneza i struktura

Pełna nazwa: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [1].

Geneza

Poprzednikiem RODO była dyrektywa 95/46/WE z 1995 r. Po 20 latach obowiązywania okazała się niewystarczająca:

  • Fragmentacja - 28 (potem 27) państw członkowskich miało własne ustawy implementujące dyrektywę, często bardzo różne.
  • Brak adekwatności do internetu i cloud - dyrektywa powstała przed wybuchem rynku cyfrowego.
  • Niskie kary - w wielu państwach kary były symboliczne (np. w Polsce - do 200 tys. zł).
  • Słaba ochrona transgraniczna - dane przepływały między państwami UE, ale ochrona kończyła się na granicy państwa.

RODO jako rozporządzenie (a nie dyrektywa) jest bezpośrednio stosowane - nie wymaga transpozycji do prawa krajowego. Państwa członkowskie mają tylko ograniczoną elastyczność (np. minimalny wiek zgody dziecka, regulacje sektorowe).

Struktura RODO

RODO składa się z 11 rozdziałów (99 artykułów) i 173 motywów (recital):

  • Rozdział I (art. 1-4) - przepisy ogólne, definicje.
  • Rozdział II (art. 5-11) - zasady przetwarzania, podstawy prawne, zgoda, dzieci, szczególne kategorie danych.
  • Rozdział III (art. 12-23) - prawa osób, których dane dotyczą.
  • Rozdział IV (art. 24-43) - obowiązki administratora i procesora, IOD.
  • Rozdział V (art. 44-50) - transfer danych do państw trzecich i organizacji międzynarodowych.
  • Rozdział VI-VII (art. 51-67) - organy nadzorcze (PUODO w Polsce).
  • Rozdział VIII (art. 77-84) - środki ochrony prawnej, odpowiedzialność, sankcje.
  • Rozdział IX (art. 85-91) - szczególne sytuacje przetwarzania (dziennikarstwo, archiwa, badania).
  • Rozdział X-XI - akty delegowane, przepisy końcowe.

Motywy (recital) nie są wiążące, ale są kluczowe dla interpretacji. Sądy i organy nadzorcze szeroko z nich korzystają.

Polska transpozycja - ustawa o ochronie danych osobowych

Ustawa z 10 maja 2018 r. o ochronie danych osobowych [2] nie transponuje RODO (które jest bezpośrednio stosowane), ale:

  • Ustanawia PUODO jako polski organ nadzorczy.
  • Określa procedury postępowania kontrolnego.
  • Doprecyzowuje wybrane kwestie pozostawione państwom członkowskim (np. wiek zgody dziecka - 16 lat w Polsce).
  • Zawiera przepisy karne dla najbardziej rażących naruszeń.

Zakres terytorialny i podmiotowy

Art. 3 RODO definiuje zakres terytorialny w sposób szeroki, ekstraterytorialny. EDPB w wytycznych 03/2018 [8] doprecyzowuje interpretację.

Zasada siedziby (art. 3 ust. 1)

RODO stosuje się do przetwarzania danych w związku z działalnością siedziby administratora lub procesora na terytorium Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii czy poza nią.

Przykład: polska firma przetwarza dane w chmurze w USA - RODO stosuje się (siedziba w UE).

Zasada targetowania (art. 3 ust. 2)

RODO stosuje się do przetwarzania danych osób przebywających w Unii przez administratora lub procesora bez siedziby w UE, gdy przetwarzanie wiąże się z:

  • (a) oferowaniem towarów lub usług osobom w UE, niezależnie od tego, czy odpłatnie, czy nieodpłatnie;
  • (b) monitorowaniem zachowania osób przebywających w UE.

Przykład: amerykański e-commerce wysyłający towary do Polski - RODO stosuje się. Tajwański serwis monitorujący zachowania użytkowników z UE - RODO stosuje się.

Wyznaczenie przedstawiciela (art. 27)

Administrator / procesor spoza UE objęty RODO musi wyznaczyć przedstawiciela w UE - osobę fizyczną lub prawną, do której organy nadzorcze i osoby mogą się zwracać. Wyjątek: przetwarzanie sporadyczne, nieobejmujące dużej skali szczególnych kategorii danych ani niegrążące prawom osób.

Zakres przedmiotowy

RODO stosuje się do przetwarzania danych osobowych (art. 2 ust. 1):

  • W całości lub w części w sposób zautomatyzowany (komputerowy).
  • W sposób niezautomatyzowany, ale danych znajdujących się w zbiorze danych lub mających się w nim znaleźć.

Wyłączenia (art. 2 ust. 2)

RODO nie stosuje się do przetwarzania:

  • W ramach działalności nieobjętej zakresem prawa UE (np. bezpieczeństwo narodowe).
  • Przez państwa członkowskie w ramach wspólnej polityki zagranicznej i bezpieczeństwa.
  • Przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (np. prywatna książka adresowa).
  • Przez właściwe organy w celach zapobiegania, prowadzenia dochodzeń lub ścigania przestępstw (odrębne regulacje - dyrektywa 2016/680).

Pojęcie danych osobowych

Art. 4 pkt 1 RODO: "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Bardzo szerokie pojęcie. Obejmuje:

  • Identyfikatory bezpośrednie - imię i nazwisko, PESEL, NIP.
  • Identyfikatory pośrednie - adres IP, identyfikatory cookies, MAC address (w określonych okolicznościach), dane lokalizacyjne.
  • Informacje pozwalające na identyfikację poprzez kombinację z innymi danymi.

Dane zanonimizowane nie są danymi osobowymi (motyw 26). Dane pseudonimizowane nadal są danymi osobowymi (motyw 28) - anonimizacja jest jednokierunkowa i nieodwracalna, pseudonimizac[9]ja jest odwracalna z dostępem do klucza.

7 zasad przetwarzania (art. 5)

Art. 5 RODO formułuje sześć zasad przetwarzania plus jedną metazasadę (rozliczalność).

1. Zgodność z prawem, rzetelność i przejrzystość

Dane są przetwarzane zgodnie z prawem (na podstawie jednej z 6 podstaw z art. 6), rzetelnie (uczciwe wobec osoby) i w sposób przejrzysty dla osoby. Praktyka: jasna klauzula informacyjna, transparentność co do celu i sposobu, brak ukrytych celów.

2. Ograniczenie celu (purpose limitation)

Dane są zbierane do konkretnych, wyraźnych i prawnie uzasadnionych celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Repurposing (wykorzystanie danych do innych celów niż pierwotne) jest dopuszczalne tylko w określonych przypadkach (art. 6 ust. 4) - po teście kompatybilności.

Częsty błąd: dane klienta zebrane do realizacji umowy używane do marketingu bez nowej podstawy (zgody lub uzasadnionego interesu).

3. Minimalizacja danych

Dane są adekwatne, stosowne i ograniczone do niezbędnego minimum. Praktyka: w formularzach rekrutacyjnych nie pytamy o stan cywilny, wyznanie, narodowość (chyba że uzasadnione celem). Kwestionariusze klientów powinny być zwięzłe.

4. Prawidłowość

Dane są prawidłowe i w razie potrzeby uaktualniane. Procedury sprostowania (art. 16) muszą funkcjonować. Dane nieaktualne mogą prowadzić do błędnych decyzji wpływających na osobę.

5. Ograniczenie przechowywania (storage limitation)

Dane przechowuje się przez okres nie dłuższy niż jest to niezbędne. Każdy cel ma określoną retencję, po upływie - usunięcie lub anonimizacja. PUODO regularnie karze za "przechowywanie na wszelki wypadek".

6. Integralność i poufność (security)

Dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (środki techniczne i organizacyjne z art. 32).

7. Rozliczalność (accountability)

Art. 5 ust. 2: administrator jest odpowiedzialny za przestrzeganie zasad i musi być w stanie wykazać ich przestrzeganie. To metazasada - bez dokumentacji nie ma compliance, nawet jeśli faktycznie wszystko działa prawidłowo.

Praktyka: rejestry, polityki, procedury, dowody (logs, raporty, listy szkoleń) - wszystko udokumentowane.

6 podstaw prawnych (art. 6)

Art. 6 ust. 1 RODO wymienia sześć podstaw prawnych przetwarzania danych zwykłych (nie wrażliwych). Każde przetwarzanie wymaga co najmniej jednej:

(a) Zgoda (consent)

Osoba wyraziła zgodę na przetwarzanie w jednym lub wielu określonych celach. Wymagania (art. 7):

  • Dobrowolna - nie wymuszona warunkiem korzystania z usługi.
  • Konkretna - na określony cel, nie zbiorcza.
  • Świadoma - po otrzymaniu klauzuli informacyjnej.
  • Jednoznaczna - aktywne działanie, nie pre-checked checkbox.
  • Możliwa do wycofania w każdej chwili - tak samo łatwo jak udzielona.

Stosowana głównie do: marketingu, cookies, newsletterów, share danych z partnerami.

(b) Wykonanie umowy

Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, lub działań na jej żądanie przed zawarciem umowy.

Stosowana do: dane klientów, kandydatów do umowy. Najbardziej naturalna podstawa - nie wymaga zgody, nie można jej wycofać (wycofanie = rezygnacja z umowy).

(c) Obowiązek prawny

Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Stosowana do: dane pracownicze w zakresie wymaganym przez Kodeks pracy, dane podatkowe (Ordynacja podatkowa), dane medyczne wymagane przepisami zdrowotnymi.

(d) Żywotne interesy

Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby lub innej osoby fizycznej.

Rzadko - sytuacje wyjątkowe: nieprzytomny pacjent, ofiara katastrofy, pożar w budynku.

(e) Interes publiczny i władza publiczna

Przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym lub w ramach sprawowania władzy publicznej.

Stosowana przez: organy administracji, JST, podmioty wykonujące zadania publiczne (urząd skarbowy zbierający dane podatkowe, ZUS, NFZ).

(f) Prawnie uzasadniony interes (legitimate interest)

Przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej, z wyjątkiem przypadków, gdy interesy te są nadrzędne względem praw osoby. Wymaga testu równowagi (balancing test) - udokumentowanego.

Stosowana do: marketingu bezpośredniego do istniejących klientów, zabezpieczenia roszczeń, monitoringu pracowników (z odpowiednim uzasadnieniem i informacją), monitoringu wizyjnego.

Wyłączenie dla podmiotów publicznych: art. 6 ust. 1 lit. f nie ma zastosowania do przetwarzania przez organy publiczne w ramach realizacji ich zadań - dla podmiotów publicznych właściwa jest podstawa (e).

Szczególne kategorie danych (art. 9)

Pewne kategorie danych są szczególnie wrażliwe i wymagają wzmocnionej ochrony. Art. 9 ust. 1 RODO formułuje generalny zakaz ich przetwarzania, z wyjątkami w ust. 2.

Katalog szczególnych kategorii danych (art. 9 ust. 1)

  • Pochodzenie rasowe lub etniczne.
  • Poglądy polityczne.
  • Przekonania religijne lub światopoglądowe.
  • Przynależność do związków zawodowych.
  • Dane genetyczne.
  • Dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej.
  • Dane dotyczące zdrowia.
  • Seksualność lub orientacja seksualna.

10 wyjątków (art. 9 ust. 2)

Przetwarzanie jest dopuszczalne, jeśli spełnia jeden z 10 wyjątków:

  1. Wyraźna zgoda osoby.
  2. Wykonanie obowiązków lub praw z prawa pracy, zabezpieczenia społecznego.
  3. Ochrona żywotnych interesów, gdy osoba nie może wyrazić zgody.
  4. Działalność stowarzyszeń politycznych, religijnych, związków zawodowych - w zakresie ich celów.
  5. Dane wyraźnie upublicznione przez osobę.
  6. Dochodzenie roszczeń lub obrona przed nimi.
  7. Znaczący interes publiczny przewidziany prawem.
  8. Profilaktyka, medycyna pracy, diagnozy medyczne, leczenie i zarządzanie systemami zdrowia.
  9. Interes publiczny w zdrowiu publicznym.
  10. Archiwizacja w interesie publicznym, badania naukowe, statystyka.

Dane karne (art. 10)

Dane dotyczące wyroków skazujących i naruszeń prawa są regulowane odrębnie (art. 10) - wymagają kontroli władzy publicznej lub zezwolenia w prawie krajowym z odpowiednimi zabezpieczeniami.

Praktyczne implikacje

  • Szpital - przetwarza dane zdrowotne, podstawa: art. 9 ust. 2 lit. h (zarządzanie systemami opieki zdrowotnej).
  • Pracodawca - dane o zwolnieniu lekarskim na podstawie art. 9 ust. 2 lit. b (prawo pracy).
  • Kancelaria prawna w sprawie karnej - dane karne na podstawie art. 10 + prawo do obrony.
  • System rozpoznawania twarzy w sklepie - dane biometryczne, wymaga wyraźnej zgody lub innej podstawy z art. 9.
  • Kwestionariusz rekrutacyjny z pytaniem o stan zdrowia - zakazane bez podstawy z art. 9.

Prawa osób (art. 12-23)

Rozdział III RODO daje osobom, których dane dotyczą, siedem podstawowych praw:

Prawo do informacji (art. 13-14)

Administrator informuje osobę przy zbieraniu danych o:

  • Tożsamości administratora i danych kontaktowych IOD (jeśli jest).
  • Celach i podstawach prawnych przetwarzania.
  • Odbiorcach danych.
  • Okresie przechowywania.
  • Prawach osoby (dostęp, sprostowanie, usunięcie itp.).
  • Prawie do wniesienia skargi do PUODO.
  • O zautomatyzowanym podejmowaniu decyzji (jeśli stosowane).

Informacja musi być zwięzła, przejrzysta, zrozumiała, dostępna i sformułowana jasnym językiem. Art. 13 - gdy dane zbierane od osoby; art. 14 - gdy dane pozyskiwane z innego źródła (np. zakup bazy marketingowej).

Prawo dostępu (art. 15)

Osoba ma prawo uzyskać potwierdzenie, czy jej dane są przetwarzane, oraz kopię tych danych wraz z informacjami o celu, kategoriach danych, odbiorcach, okresie przechowywania, prawach.

Termin: 1 miesiąc. Pierwsza kopia bezpłatna, kolejne za rozsądną opłatą.

Prawo do sprostowania (art. 16)

Osoba może żądać sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych. Administrator musi również poinformować odbiorców danych (jeśli możliwe).

Prawo do usunięcia (art. 17) - "prawo do bycia zapomnianym"

Osoba może żądać usunięcia danych w określonych sytuacjach:

  • Dane nie są już niezbędne do celów.
  • Wycofanie zgody i brak innej podstawy.
  • Sprzeciw skuteczny (art. 21).
  • Przetwarzanie niezgodne z prawem.
  • Wynika z obowiązku prawnego.

Wyjątki - dane nie muszą być usuwane, jeśli przetwarzanie jest niezbędne do: wykonania umowy, obowiązku prawnego, archiwizacji, dochodzenia roszczeń.

Prawo do ograniczenia przetwarzania (art. 18)

Osoba może żądać czasowego zawieszenia przetwarzania - np. w czasie weryfikacji prawidłowości danych lub gdy przetwarzanie jest niezgodne z prawem, ale osoba nie chce usunięcia.

Prawo do przenoszenia (art. 20)

Osoba może otrzymać dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (CSV, JSON, XML) i przekazać je innemu administratorowi. Dotyczy tylko danych przetwarzanych na podstawie zgody lub umowy, w sposób zautomatyzowany.

Prawo do sprzeciwu (art. 21)

Osoba może sprzeciwić się przetwarzaniu opartemu na:

  • Interesie publicznym (e) lub uzasadnionym interesie (f) - z przyczyn związanych ze szczególną sytuacją osoby. Administrator musi wykazać nadrzędne podstawy lub usunąć dane.
  • Marketingu bezpośredniego - w każdej chwili, bezwarunkowo. Administrator musi natychmiast zaprzestać.

Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22)

Osoba ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującej wobec niej skutki prawne lub istotnie na nią wpływającej. Wyjątki: zgoda osoby, niezbędność do umowy, dopuszczalność na podstawie przepisów.

Bardzo ważne w kontekście AI Act - profilowanie credit scoring, automatyczne odrzucanie aplikacji rekrutacyjnych przez AI, dynamiczne ceny.

Ograniczenia (art. 23)

Państwa członkowskie mogą ograniczyć prawa osób w zakresie określonym art. 23 - bezpieczeństwo narodowe, obronność, bezpieczeństwo publiczne, postępowania karne, niezależność wymiaru sprawiedliwości, etyka zawodowa.

Obowiązki administratora i procesora

Rozdział IV RODO (art. 24-43) definiuje obowiązki dwóch kluczowych podmiotów.

Administrator - obowiązki ogólne (art. 24)

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Wdraża również odpowiednie polityki ochrony danych. To kluczowy fundament rozliczalności - administrator musi wykazać zgodność.

Privacy by Design[15][10] i by Default (art. 25)

Najczęściej pomijany obowiązek. Administrator:

  • Privacy by design - uwzględnia ochronę danych od fazy projektowania systemów i procesów. Nie dodaje "na koniec".
  • Privacy by default - domyślne ustawienia minimalizują przetwarzanie. Klient nie musi nic robić, by korzystać z minimalnego zakresu przetwarzania.

Praktyka: aplikacja, której domyślne ustawienia ujawniają profil publicznie, narusza privacy by default - osoba musi aktywnie ograniczać ujawnianie.

Rejestr czynności przetwarzania (art. 30)

Administrator (i procesor) prowadzi rejestr czynności przetwarzania (RCP) zawierający informacje o:

  • Nazwie i danych kontaktowych administratora.
  • Celach przetwarzania.
  • Kategoriach osób i danych.
  • Odbiorcach (w tym państwa trzecie).
  • Planowanych terminach usunięcia.
  • Ogólnym opisie środków technicznych i organizacyjnych.

Wyjątek: organizacje poniżej 250 osób, które nie przetwarzają w sposób mogący naruszyć prawa osób, nie szczególnych kategorii ani danych karnych - ale w praktyce wszystkie firmy wpadają w wymóg ze względu na dane pracowników i klientów.

Środki techniczne i organizacyjne (art. 32)

Administrator i procesor wdrażają środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiedni do ryzyka, w szczególności:

  • Pseudonimizacja i szyfrowanie.
  • Zdolność zapewniania poufności, integralności, dostępności i odporności systemów.
  • Zdolność szybkiego przywrócenia dostępności po incydencie fizycznym lub technicznym.
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków (lit. d) - kluczowy obowiązek dowodowy. To podstawa audytu, pentestu, skanowania podatności. Bez tego art. 32 nie jest spełniony.

Procesor - obowiązki (art. 28)

Procesor:

  • Działa tylko na udokumentowane polecenie administratora.
  • Wymaga umowy procesorskiej (DPA) z administratorem.
  • Zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do poufności.
  • Wdraża środki bezpieczeństwa z art. 32.
  • Współpracuje z administratorem w realizacji praw osób.
  • Zgłasza naruszenia administratorowi niezwłocznie.
  • Po zakończeniu świadczenia usług usuwa lub zwraca dane.
  • Udziela administratorowi dostępu do dokumentów wykazujących zgodność.
  • Może wyznaczyć subprocesorów tylko za pisemną zgodą administratora.

Współadministratorzy (art. 26)

Gdy dwóch lub więcej administratorów wspólnie ustala cele i sposoby przetwarzania, są współadministratorami. Muszą określić w formie uzgodnień (transparentnie) zakres odpowiedzialności każdego z nich. Przykład: organizatorzy wspólnej konferencji, partnerstwa marketingowe.

DPIA i Inspektor Ochrony Danych

DPIA (Data Protection Impact Assessment, art. 35)

Ocena skutków dla ochrony danych - obligatoryjna, gdy rodzaj przetwarzania może powodować wysokie ryzyko dla praw osób. Trzy obowiązkowe przypadki (art. 35 ust. 3):

  1. Systematyczna, kompleksowa ocena czynników osobowych oparta na zautomatyzowanym przetwarzaniu, w tym profilowaniu, z istotnym wpływem - np. credit scoring, automatyczne decyzje rekrutacyjne, profilowanie behawioralne.
  2. Przetwarzanie na dużą skalę szczególnych kategorii danych (art. 9) lub danych karnych (art. 10) - np. szpitale, banki danych genetycznych, kancelarie prawne.
  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie - np. monitoring CCTV w centrach handlowych, smart city.

Wykaz operacji wymagających DPIA

PUODO publikuje wykaz operacji wymagających DPIA. Obejmuje m.in.:

  • Monitoring pracowników (poczta, internet, GPS, kamery).
  • Profilowanie znacznej skali.
  • Wykorzystanie nowych technologii (biometria, AI, IoT).
  • Łączenie zbiorów danych z różnych źródeł.
  • Dane wrażliwe lub karne na dużą skalę.
  • Dane dotyczące dzieci.

Struktura DPIA

DPIA zawiera:

  1. Systematyczny opis planowanego przetwarzania i jego celów.
  2. Ocenę niezbędności i proporcjonalności w stosunku do celów.
  3. Ocenę ryzyka dla praw osób.
  4. Środki zaradcze - jak ryzyko zostanie zminimalizowane.

Jeśli DPIA wskazuje, że ryzyko pozostaje wysokie mimo środków zaradczych, administrator musi przed rozpoczęciem przetwarzania skonsultować się z PUODO (art. 36).

Inspektor Ochrony Danych (IOD/DPO, art. 37-39)

IOD jest obligatoryjny w trzech przypadkach (art. 37 ust. 1):

  1. Podmiot publiczny lub organ publiczny (z wyjątkiem sądów) - wszystkie JST, ministerstwa, ZUS, NFZ, szkoły publiczne.
  2. Główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę - reklama behawioralna, telekomy, banki.
  3. Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych lub danych karnych - szpitale, banki danych medycznych, kancelarie karne.

Zadania IOD

  • Informowanie administratora, procesora i pracowników o obowiązkach RODO.
  • Monitorowanie przestrzegania RODO i polityk wewnętrznych.
  • Doradztwo w zakresie DPIA i jej realizacji.
  • Współpraca z PUODO i punktem kontaktowym.

Niezależność IOD

IOD musi być niezależny:

  • Nie otrzymuje instrukcji co do wykonywania zadań.
  • Podlega najwyższemu kierownictwu.
  • Nie może być zwolniony ani ukarany za wykonywanie zadań.
  • Nie może być w konflikcie interesów - nie może być jednocześnie CIO, kierownikiem IT, dyrektorem HR.

IOD może być pracownikiem etatowym lub zewnętrznym (umowa zlecenia / usług). Mała gmina często wybiera zewnętrznego IOD kontraktowo.

Naruszenia ochrony danych - 72h

Naruszenie ochrony danych (data breach) - przypadek naruszenia poufności, integralności lub dostępności danych osobowych. Obowiązki (art. 33-34):

Art. 33 - Zgłoszenie do PUODO w 72h

Administrator w ciągu 72 godzin od stwierdzenia zgłasza naruszenie do PUODO, chyba że jest mało prawdopodobne, by skutkowało ryzykiem dla praw osób.

Zgłoszenie zawiera:

  • Charakter naruszenia (czego dotyczyło).
  • Kategorie i przybliżoną liczbę osób i rekordów.
  • Dane kontaktowe IOD lub innej osoby do kontaktu.
  • Możliwe konsekwencje naruszenia.
  • Środki podjęte lub planowane przez administratora.

Jeśli zgłoszenie po 72h - z wyjaśnieniem opóźnienia.

Art. 34 - Zawiadomienie osób dotkniętych

Jeśli naruszenie może powodować wysokie ryzyko dla praw osób, administrator zawiadamia również osoby, których dane dotyczą. Zawiadomienie w jasnym języku, zawiera te same elementy co zgłoszenie do PUODO.

Wyjątki (art. 34 ust. 3) - zawiadomienie zbędne, gdy:

  • Administrator wdrożył środki uniemożliwiające zidentyfikowanie osób (np. szyfrowanie skuteczne, klucz nie skompromitowany).
  • Środki zastosowane po naruszeniu eliminują wysokie ryzyko.
  • Zawiadomienie wymagałoby niewspółmiernych wysiłków - wtedy publiczna informacja zamiast indywidualnych komunikatów.

Art. 33 ust. 5 - Rejestr naruszeń

Administrator dokumentuje wszystkie naruszenia (nawet niezgłoszone) w wewnętrznym rejestrze. Rejestr musi umożliwiać PUODO weryfikację.

EDPB Guidelines 9/2022 [4]

Doprecyzowują kryteria i scenariusze:

  • Strata laptopa z zaszyfrowanym dyskiem i silnym PIN = ryzyko niskie, niekoniecznie zgłaszane.
  • Strata laptopa z niezaszyfrowanym dyskiem z danymi osobowymi = ryzyko wysokie, zgłaszane.
  • Email wysłany do błędnego adresata z danymi - zależy od skali (jednorazowy do osoby z poufnością vs masowy do losowych).
  • Ransomware - prawie zawsze zgłaszany (naruszenie dostępności, często też poufności).
  • Wyciek hashy haseł - zależy od algorytmu (bcrypt/argon2 = niskie, MD5/SHA1 bez soli = wysokie).

Praktyczne wyzwania

  1. "Stwierdzenie" - moment rozpoczęcia biegu 72h. Liczy się od momentu, w którym personel posiada wystarczające informacje, by zaklasyfikować zdarzenie jako naruszenie.
  2. Weekend / święta - termin biegnie nieprzerwanie. PUODO ma elektroniczny formularz dostępny 24/7.
  3. Częściowa informacja - jeśli w 72h nie ma pełnej oceny, zgłaszamy częściowe z zapowiedzią uzupełnienia.
  4. Wielokrotne naruszenia - z procesorów (np. wyciek u dostawcy chmurowego) - administrator musi zgłosić niezależnie od zgłoszenia procesora.

Transfer danych poza EOG - Schrems II i DPF

Rozdział V RODO (art. 44-50) reguluje transfer danych do państw trzecich (poza EOG). Ramka prawna - hierarchia mechanizmów:

1. Decyzje adekwatności (art. 45)

Komisja Europejska może uznać, że państwo trzecie zapewnia adekwatny poziom ochrony. Lista państw z adekwatnością (stan na maj 2026):

  • UK (od 2021, do przeglądu w 2025).
  • Szwajcaria, Norwegia, Lichtenstein, Islandia (EOG).
  • Andora, Argentyna, Kanada (sektorowo - commercial), Wyspy Owcze, Guernsey, Isle of Man, Izrael, Jersey, Japonia, Nowa Zelandia, Republika Korei, Urugwaj.
  • USA - EU-US Data Privacy Framework (od 10 lipca 2023 r. [6]) - tylko dla firm certyfikowanych w DPF (lista na dataprivacyframework.gov).

2. Odpowiednie zabezpieczenia (art. 46)

Gdy brak decyzji adekwatności, transfer wymaga jednego z mechanizmów:

  • Standardowe Klauzule Umowne (SCC) - umowa zatwierdzona przez KE (najnowsza wersja z 2021 r.). Najczęstszy mechanizm.
  • Wiążące Reguły Korporacyjne (BCR) - dla grupy przedsiębiorstw, zatwierdzane przez PUODO.
  • Kodeksy postępowania i mechanizmy certyfikacji zatwierdzone przez KE.
  • Decyzje wykonawcze KE w sprawie szczególnych okoliczności.

Schrems II i jego konsekwencje

Wyrok TSUE C-311/18 z 16 lipca 2020 r. [3] unieważnił EU-US Privacy Shield i zaostrzył wymagania dla SCC:

  • Sam SCC nie wystarczy.
  • Administrator musi przeprowadzić Transfer Impact Assessment (TIA) - ocenić, czy państwo docelowe rzeczywiście zapewnia poziom ochrony równoważny z UE.
  • W razie luki - wdrożyć dodatkowe środki techniczne (np. szyfrowanie zarządzane lokalnie, gdzie klucz nie opuszcza UE).

EU-US Data Privacy Framework (DPF)

Decyzja KE 2023/1795 [6] z 10 lipca 2023 r. przywróciła decyzję adekwatności dla USA, ale tylko dla firm certyfikowanych w DPF.

Praktyka:

  • Microsoft, Google, AWS, Salesforce, Meta, OpenAI - certyfikowani w DPF. Transfer dopuszczalny bez SCC.
  • Mniejsze firmy USA często niecertyfikowane - wymagają SCC + TIA.

Schrems III - postępowanie kwestionujące DPF jest już złożone w TSUE. Ryzyko, że DPF zostanie unieważnione, jest realne (analogicznie do Privacy Shield).

3. Wyjątki (art. 49)

W sytuacjach szczególnych, gdy brak decyzji adekwatności i odpowiednich zabezpieczeń, transfer jest dopuszczalny na podstawie wyjątków - wąsko interpretowanych:

  • Wyraźna zgoda po informacji o ryzyku.
  • Niezbędność do wykonania umowy.
  • Ważne względy interesu publicznego.
  • Dochodzenie roszczeń.
  • Ochrona żywotnych interesów.
  • Transfer z rejestru publicznego.

Praktyczne wyzwania

Polskie firmy korzystające z usług USA:

  • Microsoft 365 - dane primary w EU, niektóre usługi obsługiwane z USA - dopuszczalne dzięki DPF.
  • Google Workspace - podobnie.
  • Slack, Notion, ChatGPT (Enterprise) - wszystko z USA, dopuszczalne dzięki DPF.
  • GitHub - certyfikowany w DPF.
  • Mniej znani SaaS - sprawdzić certyfikację w DPF, jeśli brak - SCC + TIA.

Sankcje i orzecznictwo PUODO

Art. 83 RODO wprowadza system kar wzorowany na prawie konkurencji.

Dwa progi kar

Niższy próg (art. 83 ust. 4)

Do 10 mln EUR lub 2% rocznego światowego obrotu - wyższa z kwot. Za naruszenia takie jak:

  • Art. 8 - przetwarzanie danych dzieci.
  • Art. 11 - przetwarzanie niewymagające identyfikacji.
  • Art. 25 - privacy by design i by default.
  • Art. 26 - współadministratorzy.
  • Art. 27 - przedstawiciel w UE.
  • Art. 28-29 - procesor.
  • Art. 30 - rejestr czynności przetwarzania.
  • Art. 31 - współpraca z PUODO.
  • Art. 32 - środki techniczne i organizacyjne.
  • Art. 33-34 - naruszenia.
  • Art. 35 - DPIA.
  • Art. 37-39 - IOD.
  • Art. 41-43 - certyfikacja.

Wyższy próg (art. 83 ust. 5)

Do 20 mln EUR lub 4% rocznego światowego obrotu - wyższa z kwot. Za poważniejsze naruszenia:

  • Art. 5 - zasady przetwarzania.
  • Art. 6 - podstawy prawne.
  • Art. 7 - zgoda.
  • Art. 9 - szczególne kategorie danych.
  • Art. 12-22 - prawa osób.
  • Art. 44-49 - transfer do państw trzecich.

EDPB Guidelines 04/2022 [5]

Standardyzują kalkulację kary w 5 krokach:

  1. Kategoryzacja naruszenia - mniej / poważne, dyspozycja prawna.
  2. Kwota bazowa - na podstawie kategorii i obrotu (np. niski poziom: 10% maksymalnej kary; średni: 20-50%; wysoki: 50-100%).
  3. Modyfikatory obciążające - intencjonalność, brak współpracy, recydywa.
  4. Modyfikatory łagodzące - działania korygujące, współpraca, brak korzyści, dobre intencje.
  5. Sprawdzenie limitu - kara nie może przekroczyć maksimum z art. 83.

Polskie kary PUODO

Sprawozdanie PUODO[20] 2023 [7] wymienia najwyższe polskie kary:

  • Morele.net - 2,8 mln zł (wyciek danych 2,2 mln klientów, brak adekwatnych środków).
  • PNP S.A. - 4,9 mln zł (brak adekwatnych środków bezpieczeństwa).
  • Pyzy Magdy - 600 tys. zł (sprzedaż danych marketingowych bez podstawy).
  • Wiele kar mniejszych (kilkaset tys. zł) za naruszenia art. 32, art. 5, art. 6.

Typowe podstawy kar

  • Brak art. 32 ust. 1 lit. d (testowanie środków) - najczęstsza podstawa.
  • Brak rejestru czynności (art. 30) - częsta dodatkowa.
  • Brak zgłoszenia naruszenia w 72h (art. 33).
  • Brak DPIA dla operacji wysokoryzykowych (art. 35).
  • Naruszenie zasad (art. 5) - retencja, minimalizacja, ograniczenie celu.

Środki naprawcze (art. 58)

PUODO ma również uprawnienia niefinansowe:

  • Ostrzeżenie, upomnienie.
  • Nakaz dostosowania do RODO.
  • Nakaz zawiadomienia osób o naruszeniu.
  • Ograniczenie lub zakaz przetwarzania (tymczasowy lub stały).
  • Nakaz usunięcia danych.
  • Cofnięcie certyfikatu.
  • Zawieszenie transferu do państwa trzeciego.

Mapping do KSC, NIS2, AI Act

RODO współistnieje z wieloma innymi regulacjami.

RODO vs KSC i NIS2

Komplementarne:

  • RODO chroni dane osobowe - wszelkie informacje o osobach fizycznych.
  • KSC/NIS2 chronią system informatyczny - cyberodporność niezależnie od typu danych.

W razie incydentu z udziałem danych osobowych - podwójne zgłoszenie:

  • RODO art. 33 - do PUODO w 72h.
  • KSC art. 11 - do CSIRT w 24h (jeśli OUK).
  • NIS2 art. 23 - 24h early warning + 72h ocena + 1 miesiąc raport końcowy (po transpozycji).

Zob. artykuł o KSC i artykuł o NIS2.

RODO vs KRI

KRI [3] i RODO obowiązują równolegle w podmiotach publicznych - § 20 KRI wymaga SZBI[18] obejmującego dane osobowe. Praktyka: SZBI gminy obejmuje ochronę danych mieszkańców (RODO) i danych systemowych (KRI). Zob. artykuł o KRI.

RODO vs AI Act

AI Act (rozporządzenie 2024/1689) reguluje systemy AI - osobno od RODO. W praktyce pokrywają się:

  • Profilowanie i decyzje automatyczne - art. 22 RODO + AI Act dla systemów wysokiego ryzyka.
  • Trening modeli AI na danych osobowych - wymaga podstawy RODO + zgodność z AI Act.
  • Transparentność - RODO informuje o przetwarzaniu, AI Act dodatkowo informuje o korzystaniu z AI.

Zob. artykuł o AI Act.

RODO vs DORA

DORA reguluje cyberbezpieczeństwo sektora finansowego. RODO obowiązuje równolegle dla danych klientów banków. Zob. artykuł o DORA.

RODO vs eIDAS

eIDAS reguluje usługi zaufania i identyfikację elektroniczną. Przetwarzanie danych przez TSP podlega RODO. Zob. artykuł o eIDAS.

Checklist: 10 punktów RODO compliance

Lista high-impact - bez tych elementów ryzyko kary administracyjnej PUODO jest znaczne. Po incydencie ranking compliance ma kluczowe znaczenie dla wymierzania kary.

  1. Mapa przetwarzań. Cel -> kategorie danych -> podstawa prawna -> okres retencji -> odbiorcy. Aktualizowana, znana zespołom.
  2. Rejestr czynności przetwarzania (RCP). Kompletny, obejmuje wszystkie przetwarzania (w tym monitoring CCTV, monitoring poczty, kontrola dostępu kartą).
  3. Klauzule informacyjne dla wszystkich kategorii osób (klient, pracownik, kandydat, użytkownik newslettera). Zwięzłe, w jasnym języku.
  4. Polityka Ochrony Danych Osobowych zatwierdzona przez zarząd, znana personelowi, regularnie aktualizowana.
  5. DPIA dla operacji wysokoryzykowych. Monitoring pracowników, profilowanie, AI w decyzjach, dane wrażliwe na dużą skalę.
  6. Środki art. 32 z dowodem testowania. MFA, szyfrowanie (at rest + in transit), backup z testem, hardening, audyt, pentest. Bez tego art. 32 ust. 1 lit. d nie jest spełniony.
  7. Procedura naruszeń. 72h, rejestr naruszeń, kryteria oceny ryzyka (EDPB 9/2022), szablony zgłoszeń, testy procedury.
  8. Procedura praw osób. 1 miesiąc na odpowiedź, formularze, rejestracja wniosków, eskalacja do IOD.
  9. Umowy z procesorami (art. 28). Wszyscy dostawcy IT, HR-tech, marketingowe agencje, kancelarie. Klauzule cyberbezpieczeństwa, prawo do audytu, subprocesorzy.
  10. Transfer poza EOG. Lista usług, certyfikacja DPF / SCC + TIA dla każdej, dokumentacja, procedura aktualizacji w razie zmiany decyzji KE.

Najczęściej zadawane pytania

Kto to administrator danych?

Administrator (controller) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO). Decyzja administratora nie jest formalna - wynika z faktycznej roli w przetwarzaniu, nie z zapisu w umowie.

Przykłady: pracodawca jest administratorem danych pracowników, sklep e-commerce - administratorem danych klientów, lekarz prowadzący gabinet - administratorem danych pacjentów.

Administrator ponosi pełną odpowiedzialność prawną za zgodność przetwarzania z RODO, w tym wymóg wykazania zgodności (zasada rozliczalności).

Co to jest procesor (podmiot przetwarzający)?

Procesor (processor) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO).

Klasyczne przykłady: dostawca hostingu / chmury (przetwarza dane klientów administratora), firma kadrowa wykonująca obsługę płac, firma księgowa, firma kurierska.

Procesor działa tylko na udokumentowane polecenie administratora i wymaga umowy z administratorem zgodnie z art. 28 RODO (data processing agreement, DPA). Procesor ma własne obowiązki RODO (np. zgłaszanie naruszeń do administratora bez zbędnej zwłoki) i własną odpowiedzialność prawną.

Czy IOD jest obowiązkowy?

Inspektor Ochrony Danych (IOD / DPO) jest obowiązkowy w trzech przypadkach (art. 37 ust. 1 RODO):

  1. Podmiot publiczny lub organ publiczny, z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości - dla wszystkich JST, ministerstw, ZUS, NFZ, sądów (z wyjątkiem), prokuratur, szkół publicznych.
  2. Główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę - np. firmy zajmujące się reklamą behawioralną, sieci telekomunikacyjne, banki w niektórych obszarach.
  3. Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 9 RODO) lub danych dotyczących wyroków skazujących - np. szpitale, gabinety lekarskie, kancelarie prawne.

IOD może być pracownikiem etatowym lub zewnętrznym (umowa zlecenia / usług). Mała gmina często wybiera zewnętrznego IOD kontraktowo.

Jak długo można przechowywać dane osobowe?

Zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO): dane przechowuje się przez okres nie dłuższy niż jest to niezbędne do celów przetwarzania.

Praktyka: każdy cel przetwarzania ma określony okres retencji:

  • Dokumenty kadrowe - 10 lat (od 2019 r.; wcześniej 50 lat).
  • CV kandydatów do pracy - do zakończenia rekrutacji + opcjonalnie 12 miesięcy ze zgodą.
  • Dane klientów e-commerce - 6 lat od ostatniej transakcji (dla księgowości).
  • Dane marketingowe - do wycofania zgody.
  • Monitoring CCTV - co do zasady 3 miesiące.
  • Logi systemowe - 12 miesięcy (NIS2/KSC) lub dłużej dla danych osobowych.

Każda organizacja musi mieć politykę retencji i procedurę usuwania danych po upływie terminu.

Co to są dane wrażliwe?

RODO nie używa terminu "dane wrażliwe" - prawidłowa nazwa to szczególne kategorie danych (art. 9 RODO). Obejmują: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne (do jednoznacznej identyfikacji), dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Co do zasady przetwarzanie jest zakazane (art. 9 ust. 1) - wymaga jednego z 10 wyjątków (art. 9 ust. 2): wyraźna zgoda, wykonanie obowiązków z prawa pracy, żywotne interesy, działalność stowarzyszeń, dane upublicznione, dochodzenie roszczeń, interes publiczny, medycyna, zdrowie publiczne, archiwizacja.

Dane dotyczące wyroków karnych (art. 10) są regulowane odrębnie.

Czy mogę kopiować CV z poprzedniej rekrutacji?

Co do zasady nie. CV złożone do konkretnej rekrutacji można przetwarzać tylko w celu tej rekrutacji. Przetwarzanie w kolejnych rekrutacjach wymaga osobnej podstawy prawnej.

Najczęściej praktykuje się dodatkową zgodę kandydata na przetwarzanie do przyszłych rekrutacji - jeśli wyrażona, dane można przechowywać przez określony okres (np. 12 miesięcy). Bez zgody - dane należy usunąć po zakończeniu rekrutacji.

Wyjątki ograniczone: prawnie uzasadniony interes (art. 6 ust. 1 lit. f) może w niektórych przypadkach uzasadniać krótkie przechowywanie (np. 6 miesięcy do rozpatrzenia ewentualnych roszczeń kandydata wykluczonego).

Klauzula informacyjna w formularzu rekrutacyjnym powinna jasno wskazywać okres przechowywania i ewentualną podstawę dla przedłużenia.

Ile mam czasu na odpowiedź na żądanie dostępu?

1 miesiąc od otrzymania żądania (art. 12 ust. 3 RODO). Termin można przedłużyć o 2 miesiące w razie skomplikowanego charakteru żądania lub dużej liczby żądań - z poinformowaniem osoby w pierwotnym terminie 1 miesiąca o przyczynach opóźnienia.

Termin obejmuje wszystkie prawa osób z art. 15-22 RODO: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, niepodlegania profilowaniu.

Brak odpowiedzi w terminie - naruszenie RODO, podstawa do skargi do PUODO. Administrator powinien mieć udokumentowaną procedurę obsługi żądań z mechanizmem rejestrowania, eskalacji i raportowania.

Co to DPIA i kiedy jest obowiązkowa?

DPIA (Data Protection Impact Assessment, ocena skutków dla ochrony danych) - obligatoryjna w trzech przypadkach (art. 35 ust. 3 RODO):

  1. Systematyczna i kompleksowa ocena czynników osobowych osoby fizycznej na podstawie zautomatyzowanego przetwarzania, w tym profilowania, prowadząca do skutków prawnych lub istotnego wpływu - np. credit scoring, automatyczne decyzje rekrutacyjne.
  2. Przetwarzanie na dużą skalę szczególnych kategorii danych (art. 9) lub danych karnych (art. 10) - np. szpitale, banki danych genetycznych.
  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie - np. monitoring CCTV w centrach handlowych.

PUODO publikuje wykaz operacji wymagających DPIA. DPIA musi być przeprowadzona przed rozpoczęciem przetwarzania, dokumentowana i okresowo aktualizowana.

Czy zgoda jest zawsze potrzebna?

Nie. Zgoda jest tylko jedną z 6 podstaw prawnych z art. 6 ust. 1 RODO. Pozostałe podstawy:

  • (b) Wykonanie umowy z osobą - dla klientów, kandydatów do umowy.
  • (c) Wypełnienie obowiązku prawnego - dla danych pracowniczych w zakresie wymaganym przepisami prawa pracy.
  • (d) Ochrona żywotnych interesów osoby - rzadko, sytuacje wyjątkowe.
  • (e) Wykonanie zadania w interesie publicznym lub w ramach władzy publicznej - dla organów administracji.
  • (f) Prawnie uzasadniony interes administratora lub strony trzeciej - dla marketingu bezpośredniego do istniejących klientów, zabezpieczenia roszczeń, monitoringu pracownika z uzasadnieniem.

Zgoda jest właściwa głównie dla marketingu, cookies, newsletterów - nie dla podstawowych funkcji biznesowych.

Czy mogę przesłać dane do USA?

Tak, ale wymaga to podstawy prawnej dla transferu poza EOG (rozdział V RODO). Od 10 lipca 2023 r. obowiązuje EU-US Data Privacy Framework - decyzja KE o adekwatności dla USA, ale tylko dla firm certyfikowanych w tym programie (lista publicznie dostępna na dataprivacyframework.gov).

Transfery do firm USA niecertyfikowanych nadal wymagają Standardowych Klauzul Umownych (SCC) plus Transfer Impact Assessment (TIA) zgodnie z wyrokiem Schrems II.

Praktyka: Microsoft, Google, AWS, Salesforce, Meta, OpenAI - większość dużych firm USA jest certyfikowana w DPF. Mniejsze firmy często wymagają SCC + TIA. Wycofanie się USA z DPF jest możliwe w razie zmiany decyzji KE (np. po orzeczeniu w sprawie Schrems III).

Kary - do 20 mln EUR czy 4%?

Wyższa z kwot. Art. 83 RODO przewiduje dwa progi kar:

  1. Niższy próg - do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu - za naruszenia o mniejszej wadze (art. 25, 30, 32, 33-34).
  2. Wyższy próg - do 20 mln EUR lub 4% całkowitego rocznego światowego obrotu - za poważniejsze naruszenia (art. 5, 6, 7, 9, 12-22, transfer do państw trzecich).

Kara musi być skuteczna, proporcjonalna i odstraszająca. EDPB Guidelines 04/2022 standardyzują kalkulację - kategoria, stopień szkody, intencjonalność, działania korygujące, współpraca z organem.

Schrems II - co to znaczy?

Schrems II to wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18, który unieważnił EU-US Privacy Shield (wcześniejszy mechanizm transferu danych do USA) i zaostrzył wymagania dla transferu danych poza EOG.

Kluczowe konsekwencje:

  1. Standardowe Klauzule Umowne (SCC) wymagają teraz Transfer Impact Assessment (TIA) - administrator musi ocenić, czy państwo docelowe zapewnia rzeczywiście równoważny poziom ochrony.
  2. Programy adekwatności KE muszą być oparte na rzetelnej ocenie i mogą zostać zakwestionowane przed TSUE.
  3. Praktycznie wszystkie transfery do USA przed lipcem 2023 r. wymagały SCC + TIA + dodatkowe środki techniczne.

Od 10 lipca 2023 r. EU-US Data Privacy Framework przywrócił decyzję adekwatności dla firm certyfikowanych, ale potencjalnie podatny na Schrems III (postępowanie już złożone).

Potrzebujesz konsultacji w zakresie RODO?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy ramy projektu, zakres przetwarzania, mapping podstaw prawnych i identyfikacje luk.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Compliance i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Akty prawne UE, orzecznictwo TSUE i wytyczne EDPB odsyłają do oryginałów w EUR-Lex i bazach instytucji unijnych.

  1. [1]regulationParlament Europejski, Rada UE (2016). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO/GDPR). Dz.U. UE L 119, 4.5.2016 · https://eur-lex.europa.eu/eli/reg/2016/679/oj
  2. [2]regulationSejm RP (2018). Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Dz.U. 2018 poz. 1000 z późn. zm. · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001000
  3. [3]regulationTrybunał Sprawiedliwości UE (2020). Wyrok w sprawie C-311/18 Data Protection Commissioner v. Facebook Ireland Ltd i Maximilian Schrems (Schrems II). CJEU, 16 lipca 2020 · https://curia.europa.eu/juris/document/document.jsf?docid=228677
  4. [4]guidelineEuropean Data Protection Board (EDPB) (2023). Guidelines 9/2022 on personal data breach notification under GDPR (Version 2.0). EDPB · https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en
  5. [5]guidelineEuropean Data Protection Board (EDPB) (2023). Guidelines 04/2022 on the calculation of administrative fines under the GDPR. EDPB · https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en
  6. [6]regulationKomisja Europejska (2023). Decyzja wykonawcza Komisji (UE) 2023/1795 z 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych osobowych zapewnianego w ramach EU-US Data Privacy Framework. Dz.U. UE L · https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj
  7. [7]reportPrezes UODO (2024). Sprawozdanie roczne z działalności Prezesa UODO za 2023 r.. UODO, Warszawa · https://uodo.gov.pl/pl/138/3270
  8. [8]guidelineEuropean Data Protection Board (EDPB) (2019). Guidelines 03/2018 on the territorial scope of the GDPR (Article 3). EDPB · https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3_en
  9. [9]reportEuropean Union Agency for Cybersecurity (ENISA) (2019). Pseudonymisation Techniques and Best Practices. ENISA · https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices
  10. [10]reportEuropean Union Agency for Cybersecurity (ENISA) (2018). Recommendations on shaping technology according to GDPR provisions. ENISA · https://www.enisa.europa.eu/publications/recommendations-on-shaping-technology-according-to-gdpr-provisions
  11. [11]standardNational Institute of Standards and Technology (NIST) (2020). NIST Privacy Framework Version 1.0. NIST CSWP 10. DOI: 10.6028/NIST.CSWP.10 · https://doi.org/10.6028/NIST.CSWP.10
  12. [12]standardMcCallister, E., Grance, T., Scarfone, K. (2010). NIST SP 800-122: Guide to Protecting the Confidentiality of Personally Identifiable Information (PII). NIST. DOI: 10.6028/NIST.SP.800-122 · https://doi.org/10.6028/NIST.SP.800-122
  13. [13]standardInternational Organization for Standardization (2019). ISO/IEC 27701:2019 - Privacy Information Management System (PIMS) - Requirements and guidelines. ISO/IEC · https://www.iso.org/standard/71670.html
  14. [14]standardInternational Organization for Standardization (2011). ISO/IEC 29100:2011 - Privacy framework. ISO/IEC · https://www.iso.org/standard/45123.html
  15. [15]reportCavoukian, A. (2011). Privacy by Design - The 7 Foundational Principles. Information & Privacy Commissioner of Ontario · https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
  16. [16]reportIBM Security, Ponemon Institute (2024). Cost of a Data Breach Report 2024. IBM Corporation · https://www.ibm.com/reports/data-breach
  17. [17]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  18. [18]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  19. [19]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/
  20. [20]reportPrezes UODO (2024). Sprawozdanie roczne z działalności Prezesa UODO za 2023 r.. UODO, Warszawa · https://uodo.gov.pl/pl/138/3270