Legal / Compliance

    GDPR / RODO

    Do 4% globalnego obrotu kary za naruszenia. Każda firma przetwarzająca dane Europejczyków musi być zgodna — niezależnie od lokalizacji. Praktyczny przewodnik compliance dla firm technologicznych.

    4% obrotu
    Maks. kara
    20M EUR
    Kwota alternatywna
    30 dni
    Termin żądań
    72 godziny
    Naruszenia zgłos.

    7 zasad GDPR

    GDPR opiera się na siedmiu fundamentalnych zasadach przetwarzania danych osobowych. Naruszenie każdej z nich może skutkować karą.

    1.

    Zgodność z prawem, rzetelność i przejrzystość

    Przetwarzaj dane legalnie (6 podstaw prawnych), uczciwie i transparentnie wobec osób.

    2.

    Ograniczenie celu

    Zbieraj dane w konkretnym, wyraźnym, prawnie uzasadnionym celu. Nie przetwarzaj do innych celów.

    3.

    Minimalizacja danych

    Zbieraj tylko dane niezbędne do celu. Nie zbieraj 'na wszelki wypadek'.

    4.

    Prawidłowość

    Dane muszą być dokładne i aktualne. Wdrożenie procesów aktualizacji danych.

    5.

    Ograniczenie przechowywania

    Przechowuj dane nie dłużej niż konieczne. Zdefiniuj i egzekwuj retention periods.

    6.

    Integralność i poufność

    Stosuj odpowiednie środki bezpieczeństwa: szyfrowanie, pseudonimizacja, kontrola dostępu.

    7.

    Rozliczalność

    Administrator musi być w stanie udowodnić zgodność z GDPR. Dokumentuj decyzje i procesy.

    GDPR Compliance Checklist

    Minimalny zestaw działań wymaganych dla compliance z GDPR.

    Record of Processing Activities (ROPA)
    Obowiązek prawny
    Polityka prywatności
    Obowiązek prawny
    Cookie consent banner
    Obowiązek prawny
    DPA z wszystkimi procesorami
    Obowiązek prawny
    Procedura obsługi żądań podmiotów
    Obowiązek prawny
    Plan reakcji na naruszenia (72h)
    Obowiązek prawny
    Privacy by Design w produktach
    Obowiązek prawny
    Data Protection Officer (DPO)
    Zależy od skali
    DPIA dla ryzykownych procesów
    Zależy od procesu
    Szkolenia GDPR dla pracowników
    Best practice

    Często zadawane pytania

    Co to jest GDPR i kogo dotyczy?

    GDPR (General Data Protection Regulation — Ogólne Rozporządzenie o Ochronie Danych, po polsku: RODO) to unijne rozporządzenie (2016/679) obowiązujące od 25 maja 2018 roku, które reguluje przetwarzanie danych osobowych. Kogo dotyczy: GDPR stosuje się do każdej organizacji która przetwarza dane osobowe obywateli UE — niezależnie od tego gdzie organizacja ma siedzibę. Nawet firma w USA musi być zgodna z GDPR jeśli przetwarza dane Europejczyków. Dane osobowe to: imię, email, adres, IP, cookie ID, dane biometryczne, dane zdrowotne — wszystko co identyfikuje lub może zidentyfikować osobę fizyczną. Kary za naruszenia: Do 4% globalnego rocznego obrotu lub 20 milionów EUR (wyższa kwota). Najwyższe kary: Meta 1.2 mld EUR (2023), Amazon 746 mln EUR (2021). Organy nadzorcze w Polsce: UODO (Urząd Ochrony Danych Osobowych). GDPR jest najsurowszą regulacją prywatności danych na świecie.

    Jakie są podstawy prawne przetwarzania danych w GDPR?

    GDPR wymaga podstawy prawnej dla każdego przetwarzania danych osobowych. 6 podstaw prawnych: Zgoda (Consent) — użytkownik wyraźnie wyraził zgodę. Musi być dobrowolna, konkretna, świadoma, jednoznaczna. Prawo do wycofania zgody. Wykonanie umowy — przetwarzanie niezbędne do wykonania umowy z osobą (np. wysyłka zamówienia wymaga adresu). Obowiązek prawny — przetwarzanie wymagane prawem (np. przechowywanie faktur przez 5 lat). Żywotny interes — ochrona życia lub zdrowia (rzadko stosowane). Zadanie publiczne — dla organów publicznych realizujących zadania w interesie publicznym. Uzasadniony interes (Legitimate Interest) — przetwarzanie jest konieczne dla uzasadnionych celów administratora, o ile nie narusza praw osób. Najpopularniejsza podstawa dla B2B marketingu, fraud prevention, bezpieczeństwa. Ważne: każdy cel przetwarzania musi mieć osobną podstawę prawną. Nie możesz używać danych zebranych do jednego celu do innego (purpose limitation).

    Jakie prawa mają osoby w świetle GDPR?

    Prawa podmiotów danych wg GDPR: Prawo dostępu (Art. 15) — osoba może zapytać co wiesz o niej. Musisz odpowiedzieć w ciągu 30 dni bezpłatnie. Prawo do sprostowania (Art. 16) — poprawienie błędnych lub nieaktualnych danych. Prawo do usunięcia (Art. 17) — 'prawo do bycia zapomnianym'. Nie jest absolutne — możesz odmówić jeśli masz obowiązek prawny przechowywania. Prawo do ograniczenia przetwarzania (Art. 18) — zablokowanie pewnych operacji na danych na czas weryfikacji. Prawo do przenoszenia danych (Art. 20) — osoba może żądać danych w ustrukturyzowanym, powszechnie używanym formacie (CSV, JSON). Prawo sprzeciwu (Art. 21) — sprzeciw wobec przetwarzania opartego na uzasadnionym interesie lub do celów marketingu bezpośredniego (musi być honorowany). Prawa dotyczące profilowania — prawo do nie podlegania zautomatyzowanym decyzjom (np. odrzucenie kredytu przez algorytm) bez udziału człowieka. Termin odpowiedzi na żądania: 30 dni (możliwe przedłużenie do 3 miesięcy dla kompleksowych przypadków).

    Jak wdrożyć GDPR w firmie technologicznej?

    Wdrożenie GDPR w firmie tech: Krok 1 — Data Mapping (ROPA). Zinwentaryzuj wszystkie dane osobowe: co zbierasz, po co, na jakiej podstawie, jak długo, z kim udostępniasz. Record of Processing Activities (ROPA) to obowiązek prawny. Krok 2 — Privacy by Design. Wbuduj prywatność w produkty od początku. Zbieraj tylko niezbędne dane (data minimization). Używaj pseudonimizacji i szyfrowania. Krok 3 — Cookie Consent. Wdróż transparentny cookie banner. Zbieraj zgodę przed analitycznymi i marketingowymi cookies. Krok 4 — Privacy Policy i Warunki. Zaktualizuj politykę prywatności. Musi być jasna i zrozumiała (nie 30 stron prawniczego żargonu). Krok 5 — Procedury obsługi żądań. Zdefiniuj proces odpowiadania na żądania podmiotów (dostęp, usunięcie) w ciągu 30 dni. Krok 6 — Data Breach Response. Plan reagowania na naruszenia. Masz 72 godziny na zgłoszenie poważnego naruszenia do UODO. Krok 7 — DPO. Sprawdź czy potrzebujesz Data Protection Officer (wymagany dla dużych organizacji lub przetwarzających wrażliwe dane).

    Co to są DPA, SCCs i Privacy Shield?

    Transfery danych poza EOG: GDPR ogranicza transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) do krajów bez adekwatnego poziomu ochrony. Mechanizmy transferu: Decyzja adekwatności — Komisja Europejska uznała że kraj zapewnia adekwatną ochronę. Lista: UK, Japonia, Kanada, USA (tylko DPF). Standard Contractual Clauses (SCCs) — standardowe klauzule umowne zatwierdzane przez KE. Najpopularniejszy mechanizm transferu do USA i innych krajów. Każda umowa z procesorem danych spoza EOG (np. AWS, Google Cloud, OpenAI) powinna zawierać SCCs. Data Processing Agreement (DPA) — umowa między administratorem a procesorem danych (np. Twój SaaS i Salesforce). Wymagana przez GDPR Art. 28. Procesory muszą działać tylko wg instrukcji administratora. EU-US Data Privacy Framework (DPF) — następca Privacy Shield od 2023. Umożliwia transfer do certyfikowanych firm w USA. Praktycznie: sprawdź czy Twoi dostawcy (AWS, GCP, Azure, Stripe, Mailchimp) mają ważne DPA i SCCs.

    Czytaj dalej

    Powiązane artykuły

    Kontakt

    Skontaktuj się z nami

    Porozmawiajmy o Twoim projekcie. Bezpłatna wycena w ciągu 24 godzin.

    Wyślij zapytanie

    Bezpłatna wycena w 24h
    Bez zobowiązań
    Indywidualne podejście
    Ekspresowa realizacja

    Telefon

    +48 790 814 814

    Pon-Pt: 9:00 - 18:00

    Email

    adam@fotz.pl

    Odpowiadamy w ciągu 24h

    Adres

    Plac Wolności 16

    61-739 Poznań

    Godziny pracy

    Pon - Pt9:00 - 18:00
    Sob - NdzZamknięte

    Wolisz porozmawiać?

    Zadzwoń teraz i porozmawiaj z naszym specjalistą o Twoim projekcie.

    Zadzwoń teraz