TL;DR: Przewodnik pokazuje, jak wdrożyć RODO w małej firmie i JDG: mapa procesów, podstawy prawne, klauzule informacyjne, umowy powierzenia, RCP, bezpieczeństwo, retencja oraz obsługa praw osób w wersji „do zrobienia”.
RODO dla małych firm i JDG – obowiązki i checklista
RODO w małej firmie nie polega na „papierologii dla korporacji”. Chodzi o to, żebyś wiedział: jakie dane zbierasz, po co, na jakiej podstawie, komu je przekazujesz (np. księgowość/hosting/IT) i jak je zabezpieczasz. Najważniejsze: musisz umieć wykazać zgodność (zasada rozliczalności).
Ten poradnik jest napisany dla mikrofirm i JDG. Dostajesz listę obowiązków „w wersji do wdrożenia”: klauzule informacyjne (art. 13–14), umowy powierzenia (art. 28), rejestr czynności (art. 30), bezpieczeństwo (art. 32), naruszenia (art. 33–34) oraz prawa osób (art. 12–22). Z przykładami: sklep/usługi, rekrutacja, faktury, marketing, narzędzia online.
Powiązane poradniki, które pomogą Ci domknąć wdrożenie: Obowiązki administratora danych – pełna checklista Klauzula informacyjna – art. 13 RODO (wzór + FAQ) Klauzula informacyjna – art. 14 RODO (wzór + FAQ) Klauzula informacyjna dla pracownika (wzór + wskazówki) Wyciek danych w firmie – co zrobić krok po kroku (art. 33–34) Upoważnienie do przetwarzania danych osobowych (wzór + FAQ) Rejestr czynności przetwarzania (RCP) – wzór i instrukcja Wróć do „Ochrona danych w firmie”
W skrócie — najważniejsze fakty
Najczęstsze pytania o RODO dla małych firm i JDG
1. Czy RODO dotyczy małej firmy i jednoosobowej działalności (JDG)?
Tak. RODO dotyczy każdego administratora danych, niezależnie od skali. „Mała firma” i JDG to w praktyce najczęstsze przypadki: przetwarzasz dane klientów, kontrahentów, pracowników/współpracowników, kandydatów do pracy, a często też dane na potrzeby marketingu i obsługi reklamacji. Rozmiar firmy wpływa na dobór środków i formalizacji, ale nie zwalnia z podstawowych zasad i obowiązków.
2. Od czego zacząć wdrożenie RODO w mikrofirmie (najkrótsza droga)?
Zrób „mapę minimum”: (1) jakie procesy przetwarzania masz w firmie (np. sprzedaż/obsługa klienta, księgowość, marketing, rekrutacja/HR, monitoring), (2) jaka jest podstawa prawna i cel w każdym procesie, (3) gdzie dane są przechowywane (systemy, chmura, dyski, papier), (4) komu je ujawniasz (np. biuro rachunkowe, hosting, dostawcy IT). To pozwala szybko przygotować klauzule informacyjne, umowy powierzenia i rejestr czynności (jeśli jest potrzebny).
3. Jakie dokumenty są „must-have” w małej firmie?
Najczęściej potrzebujesz: (a) klauzul informacyjnych (art. 13 i/lub 14 RODO), (b) umów powierzenia z dostawcami, którzy przetwarzają dane w Twoim imieniu (art. 28 RODO), (c) rejestru czynności przetwarzania (RCP) – co do zasady wymaganego, z wąskim wyjątkiem (art. 30), (d) zasad bezpieczeństwa i kontroli dostępu (art. 32), (e) procedury reagowania na naruszenia (art. 33–34) oraz (f) prostego procesu obsługi praw osób (art. 12–22). Nie chodzi o „kombajn”, tylko o spójny zestaw, który odpowiada Twoim realnym procesom.
4. Czy mała firma zawsze musi mieć rejestr czynności (RCP)?
W praktyce bardzo często tak. Wyjątek dla podmiotów poniżej 250 osób jest wąski i nie działa, gdy przetwarzanie nie jest sporadyczne, może powodować ryzyko naruszenia praw lub wolności albo obejmuje szczególne kategorie danych (art. 30 ust. 5 RODO). Małe firmy zwykle przetwarzają dane pracowników i klientów w sposób powtarzalny, więc RCP bywa konieczny co najmniej dla tych procesów.
5. Jakie podstawy prawne (art. 6 RODO) najczęściej ma mała firma?
Najczęściej: wykonanie umowy (art. 6 ust. 1 lit. b) – np. realizacja zamówień i usług; obowiązek prawny (lit. c) – np. faktury, księgowość, kadry; oraz prawnie uzasadniony interes (lit. f) – np. dochodzenie roszczeń, podstawowa analityka bezpieczeństwa, niektóre działania organizacyjne. Zgoda (lit. a) jest potrzebna wtedy, gdy faktycznie jest dobrowolna i można ją łatwo wycofać (np. newsletter, jeśli nie ma innej podstawy).
6. Klauzula informacyjna: kiedy art. 13, a kiedy art. 14 RODO?
Art. 13 stosujesz, gdy zbierasz dane bezpośrednio od osoby (np. formularz kontaktowy, umowa, zamówienie). Art. 14 – gdy pozyskujesz dane z innego źródła (np. polecenia, zakup bazy, rejestry publiczne, platformy B2B), o ile nie zachodzi wyjątek z art. 14 ust. 5. Dla małych firm kluczowe jest, żeby informacja była czytelna, konkretna (cele, podstawy, retencje, odbiorcy) i łatwo dostępna.
7. Kiedy muszę mieć umowę powierzenia (art. 28) i kogo to dotyczy w praktyce?
Umowę powierzenia potrzebujesz, gdy dostawca przetwarza dane „w Twoim imieniu”, czyli jako procesor (np. hosting strony i poczta, CRM, system do faktur, biuro rachunkowe, helpdesk, software house, narzędzia do wysyłek). W umowie określasz m.in. cel, zakres, czas przetwarzania, zabezpieczenia, zasady korzystania z podwykonawców oraz wsparcie przy naruszeniach i prawach osób.
8. Czy mała firma musi powoływać Inspektora Ochrony Danych (IOD)?
Zwykle nie. IOD jest obowiązkowy tylko w przypadkach z art. 37 RODO (np. regularne i systematyczne monitorowanie na dużą skalę albo przetwarzanie szczególnych kategorii danych na dużą skalę). Mała firma może wyznaczyć osobę odpowiedzialną za RODO organizacyjnie, ale to nie jest „IOD z RODO”, jeśli nie ma przesłanek ustawowych.
9. Cookies, analytics i narzędzia marketingowe: czy to temat „RODO dla małej firmy”?
Tak, bo wiele mikrofirm korzysta z narzędzi, które wiążą się z danymi online (np. identyfikatory, logi, analityka, reklamy). Trzeba zadbać o przejrzystość informacji (art. 13/14), podstawy przetwarzania oraz – gdy wchodzą podmioty spoza EOG – o zgodność transferów. W praktyce minimum to: jasna informacja dla użytkownika, konfiguracja narzędzi „po minimalizacji” i kontrola dostawców (umowy, role: ADO/Procesor).
10. Jak długo mogę przechowywać dane w małej firmie?
RODO wymaga ograniczenia przechowywania (art. 5 ust. 1 lit. e): dane trzymasz tak długo, jak jest to potrzebne do celu, a potem je usuwasz lub anonimizujesz. W praktyce retencja wynika z (1) przepisów (np. księgowość), (2) realizacji umowy i obsługi posprzedażowej, (3) przedawnienia roszczeń i obrony prawnej. Dobra praktyka: opisać retencję w klauzulach i w RCP oraz wdrożyć prostą zasadę przeglądów.
11. Co mam zrobić, gdy dojdzie do naruszenia danych (np. zgubiony laptop, mail do złej osoby)?
Najpierw: zatrzymaj incydent i zabezpiecz dowody (logi, kopie). Następnie oceń ryzyko dla osób. Jeśli istnieje ryzyko naruszenia praw lub wolności – zgłoszenie do UODO w 72 godziny od stwierdzenia (art. 33). Jeśli ryzyko jest wysokie – zawiadomienie osób (art. 34). Zawsze: dokumentujesz naruszenie i działania. Mała firma powinna mieć prostą procedurę „kto co robi i kiedy”.
12. Czego mała firma NIE musi robić (najczęstsze mity)?
Nie musisz zawsze zbierać zgód; nie musisz mieć IOD „bo tak”; nie musisz robić DPIA dla każdego procesu; nie musisz zgłaszać do UODO każdego incydentu (zależy od ryzyka). Musisz natomiast działać zgodnie z zasadami i umieć to wykazać (art. 5 ust. 2) – czyli mieć sensowne minimum dokumentów i procesów dopasowanych do realnych działań firmy.
RODO w małej firmie: co musisz mieć pod kontrolą
Procesy i podstawy: sprzedaż, faktury, marketing, HR
Spisz, gdzie masz dane i po co: umowy z klientami, obsługa zamówień, fakturowanie, działania marketingowe, rekrutacja. Do każdego procesu przypisz podstawę z art. 6 i czas przechowywania.
Informacje dla osób: WWW, umowy, e-mail, rekrutacja
Klauzule informacyjne muszą działać w realnych punktach styku: formularz, umowa, stopka e-mail, oferty, proces rekrutacji. Klucz to konkret: cele, podstawy, retencje, odbiorcy.
Dostawcy i powierzenia: hosting, księgowość, CRM, IT
Sprawdź, kto przetwarza dane w Twoim imieniu: hosting/poczta, system do faktur, biuro rachunkowe, CRM, software house. Tam, gdzie to procesor, potrzebujesz umowy i minimalnych wymogów bezpieczeństwa.
Bezpieczeństwo i incydenty: mail do złej osoby, utrata laptopa
Zadbaj o role dostępu, MFA, kopie zapasowe i szyfrowanie sprzętu. Przy incydencie oceniasz ryzyko i dokumentujesz działania; zgłoszenie do UODO tylko wtedy, gdy ryzyko jest realne.
RODO dla małych firm i JDG — checklista wdrożenia
Krok 1. Spisz 5–8 procesów, w których masz dane (mapa minimum)
W małej firmie zwykle wystarczy lista: sprzedaż/obsługa klienta, faktury/księgowość, marketing, rekrutacja/HR, dostępy IT, reklamacje i roszczenia, monitoring (jeśli jest), archiwum papierowe. Dopisz: jakie dane, gdzie są (systemy/papier), kto ma dostęp i komu je przekazujesz.
Krok 2. Ustal cele i podstawy prawne (art. 6) + retencję
Do każdego procesu przypisz: cel, podstawę prawną, odbiorców, orientacyjny czas przechowywania. Unikaj „zgody na wszystko”. Zwykle wygrywa: umowa, obowiązek prawny i uzasadniony interes. Retencję oprzyj o przepisy, obsługę umowy i przedawnienie roszczeń.
Krok 3. Przygotuj klauzule informacyjne (art. 13/14) i wdróż je w punktach styku
Klauzula musi być konkretna (cele, podstawy, retencje, odbiorcy, prawa). Wdróż ją tam, gdzie faktycznie zbierasz dane: WWW (formularze), umowy, stopka e-mail, oferty, rekrutacja. Art. 13 – dane od osoby, art. 14 – dane z innych źródeł.
Krok 4. Zrób porządek z dostawcami (art. 28): kto jest procesorem i czy masz umowę powierzenia
Sprawdź hosting/pocztę, CRM, system do faktur, biuro rachunkowe, narzędzia do wysyłek, software house. Jeśli przetwarzają dane w Twoim imieniu – potrzebujesz umowy powierzenia. Ustal też subprocesorów i podstawowe zabezpieczenia (MFA, szyfrowanie, kopie).
Krok 5. Rejestr czynności (RCP) – zrób wersję „dla mikrofirmy” i aktualizuj po zmianach
RCP nie musi być rozbudowany jak w korporacji, ale powinien obejmować kluczowe procesy. Zrób go w tabeli (np. Excel) i dopisz: cele, kategorie danych/osób, odbiorców, retencję, transfery (jeśli są), zabezpieczenia. Aktualizuj, gdy zmieniasz systemy, dostawców lub cele.
Krok 6. Bezpieczeństwo (art. 32) w wersji realnej dla małej firmy
Minimum: role i uprawnienia, hasła i MFA, aktualizacje, backupy, szyfrowanie laptopów/telefonów, zasady pracy z dokumentami, weryfikacja odbiorców e-maili. Dodaj prostą zasadę: „kto ma dostęp do czego i dlaczego”.
Krok 7. Naruszenia i prawa osób: przygotuj prosty proces (art. 12–22 i 33–34)
Ustal skróconą procedurę: (1) kto przyjmuje zgłoszenia, (2) jak weryfikujesz tożsamość, (3) gdzie szukasz danych, (4) jak odpowiadasz w terminach. Dla naruszeń: kto ocenia ryzyko, jak liczysz 72 godziny i kiedy informujesz UODO/osoby.
Czego mała firma nie musi robić (i dlaczego to częsty mit)
W małej firmie łatwo wpaść w skrajności: albo „robimy wszystko na zgodach”, albo „RODO nas nie dotyczy, bo jesteśmy mali”. Poniżej najczęstsze mity i krótkie wyjaśnienia — bez przesady i bez luk w rozliczalności.
Nie musisz mieć zgody na wszystko.
Najczęściej działasz na umowie lub obowiązku prawnym (faktury, kadry). Nadmierne zbieranie zgód może być błędem. Warto wiedzieć, kiedy ją potrzebujesz jako podstawę przetwarzania.
Nie musisz mieć IOD w każdej firmie.
IOD jest obowiązkowy tylko w sytuacjach z art. 37 RODO (np. duża skala monitoringu lub dane wrażliwe na dużą skalę).
Nie musisz robić DPIA „na wszelki wypadek”.
DPIA wykonuje się przy wysokim ryzyku (art. 35). To narzędzie dla konkretnych, ryzykownych procesów.
Nie musisz zgłaszać każdego incydentu do UODO.
Zgłaszasz tylko wtedy, gdy jest ryzyko naruszenia praw lub wolności (art. 33). Ocena i dokumentacja są zawsze potrzebne.
Nie musisz mieć „segregatora polityk”.
Ważne jest spójne minimum: klauzule, RCP, umowy powierzenia, bezpieczeństwo i procedura incydentów – dopasowane do realnych procesów.
Nie musisz robić RCP jak korporacja.
RCP może być prostą tabelą dla kluczowych procesów. Ma być aktualny i użyteczny, a nie rozbudowany „na pokaz”.
RODO dla małych firm i JDG (wersja do wdrożenia)
Ten zestaw pomaga wdrożyć RODO „po mikrofirmowemu”: praktycznie, bez nadmiaru formalności, ale z realnym bezpieczeństwem. Przechodź punkt po punkcie i zapisuj decyzje – to fundament rozliczalności.
Gdzie są dane i kto ma dostęp
- Masz listę procesów (klienci, faktury, marketing, rekrutacja, IT).
- Wiesz, gdzie są dane: systemy, chmura, e-mail, papier.
- Masz przypisane role i dostęp tylko „po potrzebie”.
Klauzule informacyjne w realnych punktach styku
- Klauzule są na WWW, w umowach, ofertach i stopce e-mail.
- Wyraźnie opisują cele, podstawy, retencje, odbiorców.
- Rozróżniasz art. 13 (dane od osoby) i art. 14 (inne źródła).
Powierzenia i dostawcy IT
- Masz listę dostawców: hosting, księgowość, CRM, system do faktur.
- Masz umowy powierzenia tam, gdzie ktoś przetwarza dane w Twoim imieniu.
- Weryfikujesz podstawowe zabezpieczenia i subprocesorów.
RCP i retencja „dla mikrofirmy”
- RCP ma kluczowe procesy: cele, dane, odbiorców, retencję.
- Retencja wynika z przepisów, umów i przedawnienia roszczeń.
- Aktualizujesz RCP po zmianie narzędzi lub dostawców.
Bezpieczeństwo „realne”: MFA, backupy, szyfrowanie
- Masz MFA, aktualizacje, kopie zapasowe i szyfrowanie sprzętu.
- Weryfikujesz odbiorców e-maili i ograniczasz eksport danych.
- Masz prostą procedurę na incydenty i tryb 72 godzin.
Prawa osób i obsługa incydentów
- Wiesz, kto odpowiada na wnioski i w jakich terminach.
- Masz sposób weryfikacji tożsamości i ścieżkę zgłoszeń.
- Dokumentujesz naruszenia i decyzje, nawet jeśli nie zgłaszasz.
Najważniejsze jest spójne „dlaczego” i „jak”: cele, podstawy prawne, dokumenty i realne działania muszą do siebie pasować. To jest fundament rozliczalności i najlepsza ochrona w razie kontroli.
Uwaga: w mikrofirmie najczęściej „sypie się” praktyka, nie dokument
Najczęstszy problem to brak spójności w praktyce: dostępy są „na wszelki wypadek”, retencje nie są pilnowane, a umowy powierzenia nie nadążają za realnymi dostawcami. Gdy zmieniasz narzędzia, zatrudniasz ludzi albo dodajesz nowe kanały marketingu — aktualizuj dokumenty i procedurę incydentów. Inaczej rozliczalność jest pozorna.
Podstawa prawna
RODO dla małych firm opiera się na tych samych przepisach: zasadach przetwarzania (art. 5) oraz obowiązku wdrożenia odpowiednich środków i wykazania zgodności (art. 24). Legalność opiera się na podstawach z art. 6, a przejrzystość i komunikacja z osobami – na art. 12–14.
W praktyce kluczowe są także: relacje z podmiotami przetwarzającymi (art. 28), rejestr czynności (art. 30), bezpieczeństwo (art. 32), naruszenia (art. 33–34) oraz – w przypadku wysokiego ryzyka – ocena skutków (art. 35). Wszystko spina zasada rozliczalności (art. 5 ust. 2): dokumenty i realne działania muszą do siebie pasować.
Źródła i materiały (oficjalne)
Powiązane poradniki
Najważniejsze odpowiedzi (dla wyszukiwarek)
Czy mała firma i JDG muszą stosować RODO?
Tak. RODO dotyczy każdego administratora danych, niezależnie od skali. Różnica polega na doborze środków i poziomie formalizacji, ale podstawowe obowiązki (cele, podstawy, bezpieczeństwo, informacja dla osób) pozostają.
Od czego zacząć RODO w mikrofirmie?
Najpierw zrób mapę minimum: procesy z danymi (sprzedaż, faktury, marketing, HR), gdzie dane są przechowywane i komu je przekazujesz. Potem przygotuj klauzule, umowy powierzenia i prosty RCP dla kluczowych procesów.
Jakie elementy są najczęściej wymagane w małej firmie?
Zwykle: klauzule informacyjne (art. 13/14), umowy powierzenia z dostawcami (art. 28), rejestr czynności (art. 30), zasady bezpieczeństwa (art. 32), procedura naruszeń (art. 33–34) i obsługa praw osób (art. 12–22).