RODO dotyczy każdego przedsiębiorcy – także JDG bez pracowników, freelancera wystawiającego 5 faktur miesięcznie i startupu z dwuosobowym zespołem. Nie ma wyjątku „jestem za mały na RODO”. Jeśli masz klientów i zbierasz ich dane (imię, nazwisko, email, NIP, adres) – RODO Cię obowiązuje.
Dobra wiadomość: dla większości małych firm wdrożenie RODO to kilka konkretnych dokumentów i zdrowy rozsądek. Poniżej praktyczny przewodnik – co musisz mieć, czego nie musisz, i jak to wygląda, gdy korzystasz z wirtualnego biura 😉
Co konkretnie musisz zrobić jako JDG?
Zamiast przepisywać rozporządzenie – oto lista rzeczy, które realnie dotyczą jednoosobowej firmy:
1. Rejestr czynności przetwarzania
To dokument, w którym zapisujesz, jakie dane zbierasz, po co, od kogo, komu udostępniasz, jak długo przechowujesz i jak chronisz. Art. 30 RODO wymaga go od każdego administratora danych.
Dla JDG to zazwyczaj 1-2 strony: „przetwarzam dane klientów (imię, nazwisko, NIP, adres, email) w celu wystawiania faktur i realizacji umów, przechowuję 5 lat (obowiązek podatkowy), udostępniam biuru rachunkowemu i operatorowi wirtualnego biura (umowa powierzenia).” Nie musi to być 50-stronicowy dokument – liczy się treść, nie objętość.
2. Klauzula informacyjna
Gdy zbierasz dane od klienta (formularz kontaktowy, umowa, faktura), musisz go poinformować: kto jest administratorem danych, w jakim celu je przetwarzasz, jak długo je trzymasz i jakie ma prawa. To standardowy tekst, który dajesz na stronie internetowej, w stopce emaila lub jako załącznik do umowy.
Wzory klauzul informacyjnych znajdziesz na stronie UODO (uodo.gov.pl) – warto je dostosować do swojej działalności, a nie kopiować 1:1 z internetu.
3. Umowy powierzenia przetwarzania danych
Jeśli ktoś przetwarza dane Twoich klientów w Twoim imieniu (biuro rachunkowe, hosting strony, system CRM, operator wirtualnego biura), musisz mieć z nim umowę powierzenia (art. 28 RODO). To obowiązkowe – brak umowy powierzenia to jedno z najczęstszych naruszeń wykrywanych przez UODO.
Lista typowych podmiotów przetwarzających dla JDG:
- Biuro rachunkowe / księgowa online
- Operator wirtualnego biura (skanuje Twoją korespondencję, przetwarza dane z listów)
- Dostawca hostingu / poczty email
- Program do fakturowania (inFakt, wFirma, Fakturownia)
- System CRM, jeśli używasz
- Dostawca newslettera (MailerLite, Mailchimp)
4. Środki bezpieczeństwa
RODO nie wymaga konkretnych technologii – wymaga „odpowiednich środków technicznych i organizacyjnych”. Dla JDG to najczęściej: hasła na komputerze i telefonie, szyfrowanie dysku, regularne kopie zapasowe, zamykanie dokumentów na klucz (jeśli przechowujesz papierowe), ostrożność z publicznymi sieciami Wi-Fi.
5. Procedura zgłaszania naruszeń
Jeśli dojdzie do wycieku danych (np. wysłałeś fakturę nie temu klientowi, ktoś włamał się na email) – masz 72 godziny na zgłoszenie naruszenia do UODO. Musisz wiedzieć, jak to zrobić – formularz jest na stronie uodo.gov.pl.
Czego prawdopodobnie NIE musisz robić?
- Inspektor Ochrony Danych (IOD)– JDG nie musi powoływać IOD, chyba że jej główna działalność polega na przetwarzaniu danych na dużą skalę (np. prowadzisz bazę mailingową kilkudziesięciu tysięcy osób) lub przetwarzasz dane wrażliwe (zdrowie, orientacja seksualna, dane biometryczne) jako core biznesu. Freelancer projektujący strony? Nie potrzebuje IOD.
- Ocena skutków (DPIA)– wymagana tylko przy przetwarzaniu, które może powodować „wysokie ryzyko” dla praw osób. Wystawianie faktur i obsługa klientów to nie jest ten przypadek.
RODO a wirtualne biuro – umowa powierzenia i bezpieczeństwo korespondencji
Tu dochodzimy do tematu, który łączy RODO z codziennym korzystaniem z wirtualnego biura. Operator wirtualnego biura przetwarza dane osobowe w Twoim imieniu – bo odbiera Twoją korespondencję, skanuje ją i przesyła Ci elektronicznie. W tych listach mogą być dane Twoich klientów, kontrahentów, pracowników.
Co to oznacza w praktyce?
Musisz mieć umowę powierzenia z operatorem wirtualnego biura. To nie opcja – to obowiązek wynikający z art. 28 RODO. Umowa powinna określać: zakres i cel przetwarzania (obsługa korespondencji), kategorie danych (dane z listów), czas trwania, obowiązki operatora (poufność, bezpieczeństwo, usunięcie danych po zakończeniu współpracy).
U nas w Biurze dla MiŚa umowa powierzenia jest częścią standardowej dokumentacji. Nie musisz o nią prosić – dostajesz ją razem z umową coworkingową po rejestracji. Obejmuje przetwarzanie danych z korespondencji (skanowanie, przechowywanie oryginałów, przekierowanie).
Bezpieczeństwo korespondencji to element RODO. Kto ma fizyczny dostęp do Twoich listów? Jak są przechowywane skany? Czy operator kasuje dane po zakończeniu współpracy? To pytania, które powinieneś zadać.
U nas: korespondencja przechowywana w zamykanym pomieszczeniu, dostęp mają wyłącznie upoważnieni pracownicy, skany trafiają do aplikacji mobilnej zabezpieczonej loginem. Po zakończeniu współpracy oryginały wysyłamy do klienta lub niszczymy – zgodnie z jego decyzją. Sala konferencyjna (gdzie przechowujemy dokumenty) jest oddzielona od recepcji – osoby postronne nie mają do niej dostępu.
Kary – ile realnie grozi JDG?
Oryginalne RODO mówi o karach do 20 mln euro lub 4% rocznego obrotu. Ale w praktyce UODO stosuje kary proporcjonalne do skali naruszenia i wielkości firmy. Dla JDG kary są niższe – ale nie zerowe.
Najczęstsze naruszenia, za które małe firmy dostają kary:
- Brak współpracy z UODO podczas kontroli (ignorowanie korespondencji z urzędu – dlatego odbiór poczty jest taki ważny)
- Brak rejestru czynności przetwarzania
- Brak umów powierzenia z podmiotami przetwarzającymi
- Niezgłoszenie naruszenia w terminie 72 godzin
W 2024 roku UODO nałożyło karę 47 tys. zł na przedsiębiorcę, który nie współpracował z urzędem – po prostu nie odbierał listów. To jest powód, dla którego obsługa korespondencji w wirtualnym biurze to nie jest „nice to have”, tylko element compliance.
FAQ – RODO dla JDG i freelancerów
1. Czy JDG bez pracowników musi prowadzić rejestr czynności przetwarzania?
W większości przypadków tak. Art. 30 ust. 5 RODO zwalnia z obowiązku podmioty zatrudniające poniżej 250 osób, ale tylko jeśli przetwarzanie „nie jest regularne”. Wystawianie faktur i obsługa klientów to regularne przetwarzanie – więc rejestr jest wymagany. W praktyce to 1-2 strony.
2. Czy muszę mieć umowę powierzenia z wirtualnym biurem?
Tak – operator wirtualnego biura skanuje i przechowuje Twoją korespondencję, w której mogą być dane osobowe. To przetwarzanie danych w Twoim imieniu (art. 28 RODO). U nas umowa powierzenia jest częścią standardowej dokumentacji.
3. Czy JDG musi powoływać Inspektora Ochrony Danych?
Nie, chyba że główna działalność polega na przetwarzaniu danych na dużą skalę lub dotyczy danych wrażliwych. Typowy freelancer, konsultant, grafik czy programista nie musi powoływać IOD.
4. Co zrobić, gdy dostanę pismo z UODO?
Odpowiedzieć. Poważnie – najczęstszym powodem kar dla małych firm jest brak odpowiedzi na korespondencję z UODO. Pismo z urzędu przychodzi na adres siedziby firmy. Jeśli korzystasz z wirtualnego biura – upewnij się, że operator je odbierze i niezwłocznie Ci przekaże.
5. Gdzie znajdę wzory dokumentów RODO dla JDG?
Na stronie UODO (uodo.gov.pl) – poradnik „Jednoosobowa działalność gospodarcza a ochrona danych osobowych”. Są tam wzory klauzul informacyjnych, rejestru czynności przetwarzania i procedury zgłaszania naruszeń. Warto też skonsultować się z prawnikiem specjalizującym się w ochronie danych.
6. Ile kosztuje wdrożenie RODO w jednoosobowej firmie?
Jeśli robisz to sam na podstawie wzorów z UODO – zero złotych. Jeśli zlecasz prawnikowi przygotowanie kompletnej dokumentacji – od kilkuset do kilku tysięcy złotych, w zależności od złożoności przetwarzania. Dla typowej JDG to raczej dolna granica.
