Administrator (Controller)
Określa cele i sposoby przetwarzania. Priorytet: ROPA, podstawa prawna, obsługa żądań osób (DSAR), DPIA, naruszenia i rozliczalność.
RODO / GDPR dla przedsiębiorców
Prowadzimy Twoją firmę od oceny stosowalności i ról do pełnej gotowości operacyjnej: dokumentacja, incydenty, transfery danych i plan etapów 0-9.
Marki, z którymi pracowaliśmy
zakres wsparcia RODO w realiach 2026
Budujemy zgodność, która działa operacyjnie: od określenia roli regulacyjnej po wdrożone procesy, dokumentację i gotowość na kontrolę.
Współadministrator (Joint Controller)
Wspólne decydowanie o celach i środkach. Priorytet: umowa współadministrowania, podział odpowiedzialności i spójna informacja dla osób.
Podmiot przetwarzający (Processor)
Przetwarza dane na zlecenie administratora. Priorytet: umowy powierzenia (DPA), zarządzanie dalszymi przetwarzającymi, bezpieczeństwo i rejestr kategorii przetwarzania.
Podmiot spoza UE
Jeżeli oferujesz usługi osobom w UE lub monitorujesz ich zachowanie, RODO zwykle działa eksterytorialnie i wymaga pełnego systemu zgodności.
Zgodność, rzetelność, przejrzystość
Czytelna komunikacja i poprawna podstawa prawna dla każdego procesu.
Ograniczenie celu
Dane wykorzystywane tylko do jasno zdefiniowanych i legalnych celów.
Minimalizacja danych
Zakres danych adekwatny do procesu i ryzyka biznesowego.
Prawidłowość
Aktualność danych i procesy korekty błędów.
Ograniczenie przechowywania
Retencja i usuwanie danych zgodnie z celem oraz obowiązkami prawnymi.
Integralność i poufność
Zabezpieczenia techniczne i organizacyjne adekwatne do ryzyka.
Rozliczalność
Dokumentacja i dowody zgodności gotowe do okazania organowi.
Sankcje i ryzyko
Najpoważniejsze naruszenia mogą skutkować karą do 20 mln EUR lub 4% rocznego obrotu, a pozostałe do 10 mln EUR lub 2% obrotu.
Priorytety 2026
Transparentność (art. 12-14), dark patterns, transfery danych i overlap AI Act + RODO to główne punkty egzekwowania.
Skala egzekwowania
Łączna wartość kar w UE przekroczyła 5,88 mld EUR, a nadzór koncentruje się na jakości procesów, nie tylko na formalnych dokumentach.
Stan prawny/materiał: 21 lutego 2026 r.
dokumentacja i procedury: obowiązek → proces → rezultat
Projektujemy dokumentację tak, żeby wspierała codzienne decyzje biznesowe i realnie ograniczała ryzyko operacyjne oraz sankcyjne.
W praktyce organizacje najczęściej przegrywają nie na braku pojedynczego dokumentu, ale na niespójnych procesach między biznesem, IT i compliance.
Dlatego porządkujemy cały łańcuch: od ROPA i podstaw prawnych, przez DSAR i DPIA, po transfery SCC/TIA oraz procedury incydentowe.
- Jasny podział odpowiedzialności i SLA dla kluczowych działań
- Spójny zestaw dokumentów dla zarządu, zespołów i audytora
- Dokumenty gotowe do użycia od pierwszego dnia wdrożenia
ROPA i mapowanie danych
Inwentaryzacja procesów, kategorii danych i przepływów w organizacji.
Rezultat: Mapa procesów + ROPA
Podstawy prawne i LIA
Przypisanie podstaw art. 6 do każdego procesu i dokumentacja testów równowagi interesów.
Rezultat: Matryca podstaw prawnych + LIA
Klauzule art. 13/14 i privacy notice
Komplet klauzul dla kanałów i grup osób, w tym transfery i procesy AI.
Rezultat: Zestaw klauzul + polityka prywatności
Prawa osób i DSAR
Procedury i formularze dla obsługi dostępu, usunięcia, sprzeciwu i przenoszenia.
Rezultat: Procedura żądań + rejestr
DPIA i privacy by design
Oceny skutków dla procesów high-risk, w tym wdrożeń LLM/ML i profilowania.
Rezultat: Rejestr DPIA + checklista
DPA, SCC i TIA
Porządkujemy łańcuch processorów i transfery poza EOG z kontrolą ryzyka.
Rezultat: Umowy + rejestr transferów
outsourcing IOD / DPO i zarządzanie danymi
Model dla organizacji, które potrzebują stałego nadzoru eksperckiego, wsparcia dla zarządu i praktycznych decyzji na styku prawa, IT oraz operacji.
Pomagamy ocenić, czy DPO jest obowiązkowy (monitoring na dużą skalę, dane szczególne, sektor publiczny) i wdrażamy model działania dopasowany do skali organizacji.
- Wyznaczenie roli DPO i zakresu odpowiedzialności
- Niezależność funkcji i brak konfliktów interesów
- Wsparcie incydentowe i raportowanie do zarządu
- Priorytetyzacja działań i nadzór nad planem etapów 0-9
Model operacyjny DPO
Ustalamy rytm współpracy, kanały eskalacji i standardy decyzji dla projektów biznesowych.
Naruszenia i 72 godziny
Projektujemy procedurę naruszeń od zgłoszenia wewnętrznego do decyzji o notyfikacji PUODO.
Nadzór ciągły
Prowadzimy cykliczne przeglądy zgodności, KPI i plan działań naprawczych.
szkolenia i audyty RODO
Budujemy kompetencje i mierzalną gotowość: osobne ścieżki dla zarządu, compliance, HR, marketingu i IT oraz audyt roczny z planem naprawczym.
Zarząd
Zarządzanie, odpowiedzialność i decyzje ryzyka.
Compliance / DPO
ROPA, DPIA, transfery SCC/TIA, DSAR, naruszenia.
HR
Dane pracownicze, rekrutacja, monitoring i retencja.
Marketing / IT
Cookies, dark patterns, profilowanie, AI i art. 22.
Wszyscy pracownicy
Awareness, red flags i szybkie zgłaszanie incydentów.
Audyt roczny
Pełny przegląd zgodności i plan działań na kolejny okres.
Privacy Notice Audit
Weryfikacja klauzul informacyjnych pod priorytet EDPB 2026.
Audyt bezpieczeństwa i transferów
Kontrola DPA, SCC/TIA, DSAR SLA i skuteczności procedur incydentowych.
harmonogram kluczowych dat RODO
Plan prac opieramy o terminy i trendy, które realnie wpływają na priorytety compliance oraz budżet organizacji.
25 maja 2018
Start pełnego stosowania RODO w UE.
Q4 2025
Digital Omnibus: kierunek uproszczeń i standaryzacji.
wrzesień 2025
Potwierdzenia dotyczące transferów i adequacy (w tym DPF).
2026 (CEA transparentność)
Skoordynowane kontrole EDPB dla obowiązków informacyjnych art. 12-14.
2 sierpnia 2026
Pełne obowiązki AI Act dla systemów high-risk i silny overlap z RODO.
2031
Horyzont dla części zmian systemowych i adequacy w wybranych reżimach.
Stan prawny/materiał: 21 lutego 2026 r.
plan wdrożenia RODO: etapy 0-9
Każdy etap kończymy konkretnym dokumentem, żeby zarząd i zespoły miały kontrolę nad postępem oraz ryzykiem.
Etap 0 — stosowalność i rola
Sprawdzamy, czy i jak RODO dotyczy organizacji — oceniamy działalność, zakres danych i role Controller, Joint Controller i Processor. Powstaje ocena stosowalności.
Etap 1 — mapa przetwarzania i ROPA
Budujemy pełną mapę przetwarzania danych — inwentaryzujemy procesy, systemy, przepływy i okresy retencji. Powstają mapa przetwarzania i ROPA.
Etap 2 — podstawy prawne i klauzule
Ujednolicamy legalność przetwarzania i komunikaty informacyjne — mapujemy podstawy prawne, przygotowujemy LIA i pełny zestaw klauzul art. 13/14. Powstają matryca podstaw prawnych i komplet klauzul.
Etap 3 — prawa osób (DSAR)
Zapewniamy terminową i powtarzalną obsługę żądań osób — projektujemy procedurę, formularze, weryfikację tożsamości i rejestr DSAR.
Etap 4 — DPIA i privacy by design
Oceniamy i ograniczamy ryzyko procesów wysokiego ryzyka — wdrażamy DPIA, checklisty Privacy by Design i standard AI DPIA dla procesów opartych o LLM/ML.
Etap 5 — DPA i łańcuch processorów
Porządkujemy kontraktowo dostawców przetwarzających dane — aktualizujemy DPA, role, zarządzanie sub-processorami i due diligence. Powstają umowy powierzenia i ich rejestr.
Etap 6 — transfery danych
Zabezpieczamy transfery danych poza EOG — mapujemy transfery, wdrażamy SCC i TIA oraz proces monitoringu adequacy. Powstają rejestr transferów i TIA.
Etap 7 — naruszenia i 72 godziny
Zapewniamy sprawną reakcję na incydenty danych osobowych — budujemy procedurę naruszeń, ścieżkę eskalacji, szablony notyfikacji i rejestr.
Etap 8 — DPO i integracja regulacyjna
Łączymy zarządzanie RODO z regulacjami pokrewnymi — projektujemy model DPO oraz mapę RODO, AI Act, DORA, NIS2 i AML. Powstają model DPO i matryca regulacyjna.
Etap 9 — szkolenia, audyt, doskonalenie
Utrzymujemy zgodność i gotowość na kontrolę — prowadzimy program szkoleń, audyt roczny i cykl działań naprawczych.
integracja RODO z innymi regulacjami
Tworzymy jeden model zarządzania zgodnością, żeby unikać duplikacji i konfliktów między wymaganiami.
RODO + AI Act
DPIA, art. 22, transparentność i ludzki nadzór dla systemów AI.
RODO + DORA
Spójne zarządzanie incydentami ICT i naruszeniami danych osobowych.
RODO + NIS2
Wspólne standardy bezpieczeństwa, eskalacja i nadzór cyber.
RODO + AML
Zgodna retencja, legal basis i proporcjonalność przetwarzania dla obowiązków AML.
RODO + DSA/DMA
Transparentność profilowania, reklamy i danych użytkowników platform.
RODO + e-Privacy
Consent management, cookies i eliminacja dark patterns.
pakiety usług RODO
Dobieramy zakres prac do etapu organizacji: od szybkiej diagnozy po pełne wdrożenie i model stałego utrzymania zgodności.
Diagnoza gotowości RODO
Dla firm, które przed większym wdrożeniem lub audytem chcą szybko ocenić punkt startowy. Dostajesz analizę luk i plan priorytetów.
Audyt klauzul informacyjnych (EDPB 2026)
Dla organizacji z wieloma kanałami kontaktu i profilowaniem, które przygotowują się do kampanii marketingowych lub kontroli. Dostajesz audyt klauzul art. 12-14 i rekomendacje wdrożeniowe.
Pełne wdrożenie RODO
Dla firm budujących pełen system zgodności — przy wejściu na nowy rynek lub skalowaniu operacji. Dostajesz komplet procedur, dokumentacji i model zarządzania danymi.
Pakiet DPIA — procesy i AI
Dla zespołów wdrażających procesy high-risk, scoring, profilowanie lub automatyzację z AI. Dostajesz pakiet DPIA, rejestr ryzyk i rekomendacje zabezpieczeń.
Przegląd umów powierzenia i transferów
Dla organizacji z rozbudowaną siecią dostawców, które zmieniły narzędzia lub jurysdykcje. Dostajesz przegląd DPA, SCC/TIA i mapę transferów poza EOG.
Stałe wsparcie RODO
Dla firm, które po wdrożeniu potrzebują stałego nadzoru nad zgodnością. Dostajesz cykliczny nadzór, aktualizacje dokumentacji i wsparcie incydentowe.
ekspert prowadzący obszar RODO
W projektach RODO łączymy perspektywę prawną, operacyjną i technologiczną, aby szybciej przejść od ryzyk do mierzalnych rezultatów.
Wsparcie eksperckie od etapu diagnozy
- Priorytetyzacja ryzyk i decyzji zarządczych
- Szybkie domknięcie krytycznych luk compliance
- Stałe wsparcie na styku biznesu, IT i prawa
Atuty zespołu Legal Geek
- Doświadczenie w projektach RODO dla e-commerce, IT i fintech
- Integracja RODO z AI Act, DORA, NIS2 i AML
- Wsparcie przy incydentach oraz kontrolach organu
Kontakt w sprawie RODO
Zofia Babicka-Klecor
Founder
Lawyer, e-commerce expert
Zofia is the founder of Legal Geek and an expert in consumer rights and e-services law. She advises on e-commerce, digital business models, and data protection. As a Partner at Legal Geek she leads legal support for e-commerce and GDPR matters.
LinkedIn
FAQ: najczęstsze pytania zarządu i zespołów
Poniżej zebraliśmy pytania, które najczęściej pojawiają się przy projektach wdrożeniowych i audytowych.
Czy każda firma podlega RODO?
Jeżeli przetwarzasz dane osobowe osób fizycznych, RODO co do zasady ma zastosowanie niezależnie od wielkości firmy. Wyjątki są wąskie — dotyczą głównie działalności czysto osobistej lub domowej.
Kiedy DPIA jest obowiązkowe?
Gdy proces może powodować wysokie ryzyko dla praw i wolności osób, np. profilowanie, monitoring na dużą skalę lub rozwiązania AI przetwarzające dane osobowe. UODO publikuje listę typów operacji, które zawsze wymagają DPIA — warto ją sprawdzić przed uruchomieniem nowego projektu.
Co oznacza termin 72 godziny?
To maksymalny czas na zgłoszenie naruszenia do organu nadzorczego (UODO) po stwierdzeniu incydentu spełniającego przesłanki notyfikacji. Jeśli w ciągu 72 godzin nie masz jeszcze wszystkich danych, możesz złożyć zgłoszenie wstępne i uzupełnić je później.
Jak zorganizować DSAR w praktyce?
Potrzebne są: procedura, formularz, weryfikacja tożsamości, rejestr spraw i jasne SLA między działami.
Czy SCC i TIA są nadal wymagane?
Tak, przy transferach poza EOG na SCC konieczna jest ocena ryzyka transferu (TIA) i bieżący monitoring zmian.
Jak połączyć AI i art. 22 RODO?
Trzeba ocenić wpływ zautomatyzowanych decyzji, zapewnić transparentność i wdrożyć adekwatny nadzór człowieka.
Kiedy DPO jest obowiązkowy?
M.in. gdy działalność obejmuje regularne monitorowanie na dużą skalę lub przetwarzanie szczególnych kategorii danych na dużą skalę.
Czy da się wdrożyć RODO etapami?
Tak. Najpierw diagnoza i luki krytyczne, potem plan etapów 0-9 z priorytetami biznesowymi. Takie podejście pozwala szybko domknąć najważniejsze ryzyka, zanim zostanie ukończona pełna dokumentacja.
Jak wygląda gotowość na kontrolę?
Organizacja ma aktualną dokumentację, działające procedury, rejestry decyzji i potwierdzony cykl audytu oraz szkoleń.
materiały RODO na każdym etapie wdrożenia
Zostawiamy praktyczne materiały, które pomagają szybciej wystartować z diagnozą, uporządkować dokumentację i przygotować zespół do działań operacyjnych.
Przewodnik prawny RODO
Start dla etapów 0-2: zakres stosowalności, role i podstawowe obowiązki administratora.
Pobierz przewodnikInfografika i checklista
Szybka lista kontrolna do etapów 1-4: ROPA, klauzule, prawa osób i DPIA.
Pobierz checklistęWebinary i praktyka wdrożeń
Materiały dla etapów 5-9: transfery, naruszenia, governance i integracja z AI Act.
Zobacz webinaryskontaktuj się w sprawie wdrożenia RODO
Dobierzemy właściwy etap prac: diagnoza, wdrożenie docelowe albo model utrzymania zgodności i wsparcia incydentowego.