RODO dla jednoosobowych działalności 2026: co musisz spełnić
RODO nie dotyczy tylko dużych korporacji. Jeśli jako jednoosobowy przedsiębiorca wystawiasz faktury, prowadzisz bazę klientów, wysyłasz newslettery lub prowadzisz stronę internetową, przetwarzasz dane osobowe — i RODO ma do ciebie zastosowanie. Dobra wiadomość jest taka, że obowiązki jednoosobowych przedsiębiorców są znacznie prostsze niż w przypadku dużych firm. W tym przewodniku wyjaśnimy, co dokładnie musisz spełnić, czym natomiast nie musisz się przejmować i jak wypełnić swoje obowiązki przy minimum biurokracji.
Czym jest RODO i dlaczego dotyczy też jednoosobowych działalności
Ogólne rozporządzenie o ochronie danych (RODO — ang. General Data Protection Regulation) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, które obowiązuje bezpośrednio we wszystkich państwach członkowskich UE od 25 maja 2018 roku. W Polsce RODO uzupełnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Organem nadzorczym jest Urząd Ochrony Danych Osobowych (UODO).
Dlaczego RODO dotyczy jednoosobowych przedsiębiorców?
RODO ma zastosowanie do każdego, kto przetwarza dane osobowe — czyli wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jako jednoosobowy przedsiębiorca przetwarzasz dane osobowe co najmniej w następujących sytuacjach:
- Wystawiasz faktury zawierające imię, nazwisko, adres i NIP klientów.
- Prowadzisz ewidencję klientów — dane kontaktowe, historia zamówień.
- Komunikujesz się przez e-mail — adres e-mail jest daną osobową.
- Prowadzisz stronę internetową — adresy IP odwiedzających, cookies, formularze kontaktowe.
- Zatrudniasz pracowników — dokumentacja kadrowo-płacowa zawiera wrażliwe dane osobowe.
- Wysyłasz newsletter — adresy e-mail subskrybentów.
Jednoosobowy przedsiębiorca = administrator danych osobowych
W terminologii RODO jesteś jako jednoosobowy przedsiębiorca administratorem danych osobowych, ponieważ samodzielnie określasz cele i sposoby przetwarzania. Dotyczy to również sytuacji, gdy Twoją księgowością zajmuje się biuro rachunkowe — biuro rachunkowe jest wówczas podmiotem przetwarzającym, ale odpowiedzialność za ochronę danych spoczywa na Tobie.
Jakie dane osobowe typowo przetwarza jednoosobowy przedsiębiorca
Zanim przejdziemy do obowiązków, warto uświadomić sobie, z jakimi danymi jako przedsiębiorca pracujesz:
📊Typowe dane osobowe przetwarzane przez jednoosobowego przedsiębiorcę
NIP osoby fizycznej jest daną osobową
Uwaga — NIP nadany osobie fizycznej (jednoosobowemu przedsiębiorcy) jest uznawany za daną osobową, ponieważ bezpośrednio identyfikuje konkretną osobę fizyczną. Oznacza to, że nawet publicznie dostępne dane z rejestru działalności gospodarczej podlegają RODO, jeśli przetwarzasz je w sposób systematyczny.
Podstawowe zasady RODO, których musisz przestrzegać
RODO opiera się na sześciu podstawowych zasadach przetwarzania danych osobowych (artykuł 5 RODO). Zasady te obowiązują każdego administratora niezależnie od jego wielkości:
📋6 zasad przetwarzania danych osobowych
Podstawy prawne: na jakiej podstawie możesz przetwarzać dane
Każde przetwarzanie danych osobowych musi mieć podstawę prawną. RODO definiuje ich sześć. Dla jednoosobowych przedsiębiorców szczególnie istotne są następujące cztery:
1. Wykonanie umowy (art. 6 ust. 1 lit. b RODO)
To najczęstsza podstawa prawna dla jednoosobowych przedsiębiorców. Jeśli zawrzesz z klientem umowę (nawet ustną lub poprzez złożenie zamówienia w sklepie internetowym), możesz przetwarzać dane niezbędne do jej realizacji — imię, adres dostawy, dane kontaktowe do komunikacji w sprawie zamówienia.
2. Wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c RODO)
Wiele danych przetwarzasz dlatego, że nakłada na Ciebie ten obowiązek prawo. Na przykład:
- Przechowywanie dokumentów podatkowych (faktur) przez 5 lat — ustawa o podatku VAT, ustawa o rachunkowości.
- Dokumentacja kadrowo-płacowa pracowników — Kodeks pracy, ustawa o ubezpieczeniach społecznych.
- Ewidencja dla ZUS i Narodowego Funduszu Zdrowia.
3. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)
Ta podstawa umożliwia przetwarzanie danych, jeśli masz uzasadniony interes, który przeważa nad interesami osoby, której dane dotyczą. Przykłady:
- Wysyłanie komunikatów handlowych do obecnych klientów (którzy już u Ciebie kupowali).
- Ochrona mienia (monitoring wizyjny).
- Dochodzenie należności.
W przypadku prawnie uzasadnionego interesu musisz przeprowadzić test równowagi — pisemną ocenę tego, czy Twój interes przeważa nad prawem osoby do prywatności.
4. Zgoda (art. 6 ust. 1 lit. a RODO)
Zgody potrzebujesz wtedy, gdy nie masz innej podstawy prawnej. Typowo:
- Wysyłanie newslettera do osób, które jeszcze u Ciebie nie kupowały.
- Przetwarzanie danych w celach marketingowych wykraczających poza prawnie uzasadniony interes.
- Analityczne i marketingowe cookies na stronie internetowej.
Zgoda musi być dobrowolna i konkretna
Zgoda na przetwarzanie danych osobowych musi być:
- Dobrowolna — nie może być warunkiem świadczenia usługi.
- Konkretna — musi odnosić się do określonego celu.
- Świadoma — osoba musi wiedzieć, na co wyraża zgodę.
- Jednoznaczna — wymaga aktywnego zaznaczenia (wstępnie zaznaczone pole wyboru nie wystarczy).
- Odwoływalna — osoba musi mieć możliwość wycofania zgody w dowolnym momencie, równie łatwo jak jej udzielenia.
Rejestr czynności przetwarzania
Jednym z kluczowych obowiązków jest prowadzenie rejestru czynności przetwarzania (artykuł 30 RODO). Jest to wewnętrzny dokument opisujący, jakie dane osobowe przetwarzasz, w jakim celu, jak długo i w jaki sposób je chronisz.
Czy jednoosobowy przedsiębiorca musi prowadzić rejestr?
RODO zawiera wyjątek dla organizacji zatrudniających mniej niż 250 osób — nie muszą prowadzić rejestru, jeśli przetwarzanie:
- ma jedynie charakter sporadyczny,
- nie stwarza ryzyka naruszenia praw i wolności osób, których dane dotyczą,
- nie obejmuje szczególnych kategorii danych (danych wrażliwych).
Wyjątek w praktyce prawie nigdy nie ma zastosowania
Mimo że jesteś jednoosobowym przedsiębiorcą bez pracowników, wyjątek ten z największym prawdopodobieństwem nie ma do Ciebie zastosowania. Gdy przetwarzasz dane klientów na potrzeby fakturowania lub prowadzisz bazę kontaktów, mamy do czynienia z przetwarzaniem regularnym, a nie sporadycznym. Dlatego zalecamy prowadzenie rejestru czynności przetwarzania — nawet jeśli miałby liczyć tylko jedną stronę.
Co musi zawierać rejestr
📋Obowiązkowe elementy rejestru czynności przetwarzania
Przykład rejestru czynności przetwarzania dla typowego jednoosobowego przedsiębiorcy
Cel przetwarzania nr 1: Fakturowanie i prowadzenie ewidencji podatkowej
- Osoby, których dane dotyczą: Klienci (osoby fizyczne)
- Kategorie danych: Imię, adres, NIP, e-mail
- Podstawa prawna: Wykonanie umowy + wypełnienie obowiązku prawnego
- Odbiorcy: Biuro rachunkowe (podmiot przetwarzający), urząd skarbowy
- Okres przechowywania: 5 lat od końca roku podatkowego
- Zabezpieczenia: Komputer chroniony hasłem, tworzenie kopii zapasowych, zamykanie biura
Cel przetwarzania nr 2: Wysyłanie newslettera
- Osoby, których dane dotyczą: Subskrybenci newslettera
- Kategorie danych: E-mail, imię
- Podstawa prawna: Zgoda / prawnie uzasadniony interes (obecni klienci)
- Odbiorcy: Narzędzie mailingowe (podmiot przetwarzający)
- Okres przechowywania: Do momentu wycofania zgody
- Zabezpieczenia: Szyfrowana transmisja, dostęp chroniony hasłem
Obowiązek informacyjny: co musisz przekazać klientom
Jako administrator danych osobowych masz obowiązek informowania osób, których dane dotyczą, o tym, w jaki sposób przetwarzasz ich dane (artykuły 13 i 14 RODO). W praktyce oznacza to, że na stronie internetowej lub w regulaminie musisz zamieścić informacje o przetwarzaniu danych osobowych (często zwane „polityką prywatności" lub „privacy policy").
Co muszą zawierać informacje
| Element | Przykład | |------------|---------| | Tożsamość administratora | Jan Kowalski, NIP: 12345678, adres, e-mail | | Cele przetwarzania | Fakturowanie, wykonanie umowy, marketing | | Podstawa prawna | Wykonanie umowy, prawnie uzasadniony interes, zgoda | | Odbiorcy danych | Biuro rachunkowe, dostawca hostingu, narzędzie mailingowe | | Okres przechowywania | Faktury 5 lat, newsletter do wycofania zgody | | Prawa osób, których dane dotyczą | Prawo dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu | | Kontakt do realizacji praw | E-mail, telefon | | Możliwość wniesienia skargi | Urząd Ochrony Danych Osobowych (uodo.gov.pl) |
Czy jednoosobowy przedsiębiorca musi mieć inspektora ochrony danych (IOD)?
W większości przypadków nie. Inspektora (IOD — ang. Data Protection Officer) muszą mieć wyłącznie:
- Organy i podmioty publiczne.
- Administratorzy, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę.
- Administratorzy, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (danych dotyczących zdrowia, danych biometrycznych, danych o przestępstwach).
Typowy jednoosobowy przedsiębiorca nie potrzebuje inspektora
Jeśli jesteś grafikiem, programistą, księgowym, rzemieślnikiem, konsultantem lub prowadzisz mały sklep internetowy, inspektora ochrony danych nie potrzebujesz. Twoja główna działalność nie polega na przetwarzaniu danych osobowych, lecz na świadczeniu usług lub sprzedaży towarów. Inspektora potrzebowałbyś na przykład jako operator programu lojalnościowego z milionami klientów lub jako biuro detektywistyczne.
Bezpieczeństwo danych osobowych w praktyce
RODO wymaga, abyś wdrożył odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych. „Odpowiednie" oznacza proporcjonalne do ryzyka i charakteru danych — od jednoosobowego przedsiębiorcy nie oczekuje się tego samego poziomu zabezpieczeń co od banku.
Praktyczna lista kontrolna bezpieczeństwa dla jednoosobowego przedsiębiorcy
📋Minimalne zabezpieczenia danych osobowych dla jednoosobowego przedsiębiorcy
Cookies na stronie internetowej
Jeśli prowadzisz stronę internetową, prawdopodobnie używasz plików cookies. Zgodnie z polską ustawą Prawo telekomunikacyjne oraz dyrektywą ePrivacy wymagany jest uprzedni, aktywny wyraz zgody (opt-in) na cookies, które nie są niezbędne do działania strony.
Które cookies wymagają zgody
📊Kategorie cookies i wymóg zgody
Baner cookies musi umożliwiać odrzucenie
Baner cookies musi umożliwiać odwiedzającemu aktywne wyrażenie zgody lub odrzucenie nieobowiązkowych plików cookies. Wstępnie zaznaczone pola wyboru nie stanowią ważnej zgody. Odwiedzający musi mieć możliwość korzystania ze strony również bez wyrażenia zgody na cookies analityczne i marketingowe. Przycisk „Odrzuć" musi być równie łatwo dostępny jak przycisk „Akceptuj".
Co robić w przypadku naruszenia bezpieczeństwa danych (data breach)
Jeśli dojdzie do naruszenia bezpieczeństwa danych osobowych (utrata danych, włamanie hakerskie, kradzież laptopa z niezaszyfrowanym dyskiem), masz obowiązek:
📋Postępowanie w przypadku naruszenia bezpieczeństwa
72-godzinny termin biegnie od momentu wykrycia
72-godzinny termin na zgłoszenie naruszenia bezpieczeństwa do UODO rozpoczyna bieg od momentu, gdy dowiedziałeś się o naruszeniu — nie od momentu, gdy do niego doszło. Jeśli nie zdążysz zgłosić w ciągu 72 godzin, musisz podać przyczyny opóźnienia.
Prawa osób, których dane dotyczą: jak reagować na wnioski
Osoby, których dane przetwarzasz, mają szereg praw. Najczęściej spotkasz się z następującymi:
| Prawo | Co oznacza | Twoja reakcja | |-------|-----------|-------------| | Prawo dostępu | Osoba chce wiedzieć, jakie jej dane posiadasz | Przekazujesz kopię danych w ciągu 1 miesiąca | | Prawo do sprostowania | Osoba chce poprawić nieprawidłowe dane | Poprawiasz niezwłocznie | | Prawo do usunięcia | Osoba chce usunąć swoje dane | Usuwasz, o ile nie stoi temu na przeszkodzie obowiązek prawny (np. archiwizacja faktur) | | Prawo do ograniczenia przetwarzania | Osoba chce tymczasowo wstrzymać przetwarzanie | Oznaczasz dane i nie przetwarzasz ich do czasu rozstrzygnięcia | | Prawo do przenoszenia danych | Osoba chce dane w formacie nadającym się do odczytu maszynowego | Przekazujesz dane w powszechnie używanym formacie (CSV, JSON) | | Prawo do sprzeciwu | Osoba nie zgadza się na przetwarzanie na podstawie prawnie uzasadnionego interesu | Ponownie oceniasz zasadność interesu lub zaprzestasz przetwarzania |
Na wniosek musisz odpowiedzieć w ciągu 1 miesiąca. W skomplikowanych przypadkach termin można przedłużyć o kolejne 2 miesiące, jednak musisz o tym poinformować osobę, której wniosek dotyczy.
Umowy powierzenia przetwarzania
Jeśli do przetwarzania danych osobowych korzystasz z usług podmiotów trzecich (biuro rachunkowe, dostawca hostingu, narzędzie mailingowe), jesteś zobowiązany zawrzeć z nimi umowę powierzenia przetwarzania danych zgodnie z artykułem 28 RODO.
Z kim zawrzeć umowę powierzenia przetwarzania
- Biuro rachunkowe / doradca podatkowy — przetwarza dane z faktur i dokumentacji kadrowo-płacowej.
- Dostawca hostingu — na jego serwerach przechowywane są dane z Twojej strony internetowej.
- Narzędzie mailingowe (Mailchimp, GetResponse itp.) — przetwarza adresy e-mail subskrybentów.
- Magazyn w chmurze (Google Drive, OneDrive) — jeśli przechowujesz tam dokumenty zawierające dane osobowe.
- Oprogramowanie kadrowo-płacowe / biuro płac — przetwarza dane pracowników.
Duże platformy mają gotową umowę
Większość dużych dostawców usług (Google, Microsoft, Mailchimp, Shopify itp.) ma gotową umowę powierzenia przetwarzania (Data Processing Agreement/Addendum) jako część swoich warunków świadczenia usług. Nie musisz negocjować indywidualnej umowy — wystarczy zaakceptować ich DPA, zazwyczaj w ustawieniach konta. W przypadku biura rachunkowego lub mniejszej firmy zalecamy zawarcie odrębnej umowy powierzenia przetwarzania.
Kary za naruszenie RODO
RODO przewiduje maksymalne kary w wysokości 20 milionów euro lub 4% rocznego światowego obrotu. W praktyce jednak UODO nakłada na jednoosobowych przedsiębiorców i małe firmy kary znacznie niższe — rzędu kilku do kilkudziesięciu tysięcy złotych.
UODO podchodzi do jednoosobowych przedsiębiorców proporcjonalnie
Urząd Ochrony Danych Osobowych stosuje podejście proporcjonalne i nie dąży do niszczenia drobnych przedsiębiorców. Kary dla jednoosobowych działalności są wielokrotnie niższe niż dla dużych firm. Mimo to warto im zapobiegać — nawet kara w wysokości kilku tysięcy złotych jest uciążliwa, a do tego dochodzi obowiązek usunięcia naruszeń.
Często zadawane pytania (FAQ)
Czy muszę mieć na stronie politykę prywatności, jeśli strona nie zbiera żadnych danych?
Jeśli Twoja strona nie zbiera żadnych danych (brak formularza kontaktowego, brak cookies, brak analityki), teoretycznie nie masz obowiązku informacyjnego. W praktyce jednak niemal każda strona korzysta przynajmniej z podstawowej analityki lub formularza kontaktowego, dlatego zawsze zalecamy posiadanie polityki prywatności.
Czy mogę wysyłać e-maile handlowe do obecnych klientów bez ich zgody?
Tak, ustawa o świadczeniu usług drogą elektroniczną umożliwia wysyłanie komunikatów handlowych obecnym klientom bez uprzedniej zgody, jeśli komunikaty dotyczą podobnych produktów lub usług, a klient ma możliwość rezygnacji z każdej wiadomości. Jest to zastosowanie prawnie uzasadnionego interesu.
Jak długo mogę przechowywać dane z faktur?
Dokumenty podatkowe (faktury) musisz zgodnie z przepisami podatkowymi przechowywać przez 5 lat od końca roku podatkowego. Po upływie tych terminów powinieneś dane usunąć lub zanonimizować.
Czy potrzebuję zgody na przetwarzanie danych osobowych od każdego klienta?
Nie zawsze. Jeśli przetwarzasz dane klienta w celu wykonania umowy (wystawienie faktury, dostawa towaru) lub wypełnienia obowiązku prawnego (archiwizacja dokumentów), zgoda nie jest wymagana. Zgody potrzebujesz typowo do celów marketingowych w stosunku do osób, które jeszcze u Ciebie nie kupowały.
Co jeśli klient poprosi mnie o usunięcie wszystkich jego danych?
Prawo do usunięcia danych nie jest bezwzględne. Nie możesz usunąć danych, które masz obowiązek przechowywać z mocy prawa (faktury przez 5 lat). Możesz jednak usunąć dane, dla których nie masz innej podstawy prawnej — na przykład wypisać klienta z bazy marketingowej lub usunąć jego dane kontaktowe z systemu CRM po upływie okresu niezbędnego do celów fakturowania.
Zadbaj o swoje dokumenty z DokladBotem
RODO wymaga porządku w danych — a to zaczyna się od porządku w dokumentach. DokladBot pomoże Ci zachować przegląd faktur, płatności i terminów. Wystarczy sfotografować dokument przez WhatsApp, a DokladBot automatycznie go przetworzy. Żadnych zagubionych pap
Nechcete ztrácet čas s papírováním?
Vyzkoušejte DokladBot - účetnictví přes WhatsApp. První týden zdarma.
Powiązane artykuły
DPP a DPČ 2026: różnice, limity i nowości
Umowy o pracę wykonywaną poza stosunkiem pracy przeszły w 2026 roku kolejne zmiany. Dowiedz się, jakie są aktualne limity, składki i zasady dla DPP i DPČ.
Obowiązkowe dane na stronie przedsiębiorcy: braki = kara
Czy wiesz, że za brak numeru IČO lub informacji o wpisie do rejestru na stronie firmowej grozi kara do 100 000 Kč? Sprawdź, czy masz wszystkie wymagane przez prawo dane.
Podpis elektroniczny: jak go uzyskać i kiedy się opłaca
Podpis elektroniczny jest dziś potrzebny praktycznie każdej OSVČ – czy to do komunikacji z urzędami, podpisywania umów, czy składania zeznania podatkowego. Prezentujemy kompletny poradnik, jak uzyskać kwalifikowany certyfikat, ile kosztuje i kiedy warto go mieć.