RODO

RODO (Rozporządzenie Ogólne o Ochronie Danych) — польское название GDPR (General Data Protection Regulation) — главного европейского регламента о защите персональных данных. Действует с мая 2018 года. Касается всех фирм и JDG, которые собирают или обрабатывают данные физических лиц.

Что такое персональные данные

Dane osobowe — любая информация, позволяющая идентифицировать физлицо:

Имя, фамилия
PESEL
Adres
Email, телефон
Данные паспорта
Медицинская информация
Биометрические данные
IP-адрес, cookies
Фото, видео
Любые комбинации, позволяющие идентифицировать

Даже email “jan.kowalski@gmail.com” — dane osobowe, если по нему можно найти конкретного человека.

Коmу RODO

Применяется к:

Всем фирмам в ЕС (включая Польшу)
Всем JDG, собирающим dane osobowe клиентов/контрагентов
Иностранным фирмам, обрабатывающим dane резидентов ЕС
Физлицам (за некоторыми исключениями для личной деятельности)

Если у вас сайт, собирающий email через форму; магазин с клиентской базой; платформа с регистрацией — RODO касается вас.

Основные принципы

RODO требует, чтобы обработка данных была:

Zgodna z prawem — legal basis для обработки
Rzetelna — честная
Przejrzysta — пользователь знает, что с его данными
Celowa — для конкретной цели
Minimalna — только нужные данные
Prawidłowa — точная, актуальная
Ograniczona czasowo — хранится не дольше нужного
Integralna i poufna — безопасная

Podstawa prawna

Для сбора данных нужно одно из оснований:

Zgoda — согласие пользователя (явное, добровольное)
Wykonanie umowy — данные нужны для выполнения договора (например, доставка)
Obowiązek prawny — обязанность по закону (хранение fakтурus для налоговой)
Уzasadniony interes — законный интерес обработчика (маркетинг существующих клиентов с правом отказаться)
Żywotne интересы — защита жизни и здоровья
Zadanie w interesie публicznym — общественный интерес

Большинство фирм используют Zgoda (для marketing) или Wykonanie umowy (для клиентов).

Prawa osoby, której dane dotyczą

Пользователь имеет права:

Prawo dostępu — видеть, какие данные о нём хранят
Prawo do sprostowania — исправить неточные данные
Prawo do usunięcia (“prawo do bycia zapomnianym”) — удалить данные
Prawo do ograniczenia przetwarzania — ограничить обработку
Prawo do przenoszalności — получить данные в стандартном формате
Prawo sprzeciwu — запретить некоторые типы обработки (особенно marketing)
Prawo do niepodlegania automatycznemu przetwarzaniu — не быть объектом automatycznych decyzji

Фирма обязана ответить на запрос в 30 дней (может продлить до 90 в сложных случаях).

Obowiązki fiрмy

Как фирма обязаны:

Informacyjny obowiązek — при сборе данных объяснить: кто, зачем, как, долго
Polityka prywatności — документ на сайте с полной информацией
Zgoda — получать явное согласие (галочка, не pre-checked)
Rejestr czynności przetwarzania — реестр, кто, что, зачем
Ocena skutków (DPIA) — для особо рискованных обработок
Naruszenie danych — уведомлять UODO в 72 часа, если утечка
Zgłaszanie osobom — если утечка ваших данных, сообщить вам

IOD (Inspektor Ochrony Danych)

Для некоторых обработчиков обязателен IOD (Data Protection Officer):

Orgаны государственные
Обработчики масштабных особо чувствительных данных (медицина, религия, etc.)
Обработчики, где основная деятельность — массовое наблюдение

Для обычной JDG или mало spółки — не обязателен. Но можно назначить добровольно для лучшей защиты.

UODO — регулятор

Urząd Ochrony Danych Osobowych (UODO) — польский регулятор защиты данных. Заменил ранее GIODO.

UODO:

Рассматривает жалобы физлиц
Проводит контрольи
Накладывает штрафы
Издаёт рекомендации

Жалобу в UODO может подать любое физлицо, недовольное обработкой своих данных.

Kары за нарушение

GDPR/RODO известно огромными штрафами:

4% годового оборота или 20 миллионов EUR — то что больше
Для мелкой фирмы — менее значительные, но могут быть десятки и сотни тысяч zł
UODO наложил штрафы на несколько крупных польских фирм в 2019-2024

Практика:

Morele.net (2019) — ~3 млн zł за утечку данных клиентов
Medicover — штраф за некоторые нарушения (уточнить — возможно другой случай)
TP SA (2020) — большой штраф

Как соблюсти RODO (базовые шаги)

Для JDG/malej firmy:

Polityka prywatności на сайте — шаблоны есть (iab.org.pl, Legal IQ)
Cookies banner — информация и согласие на сайте
Klauzule informacyjne в договорах с клиентами — “Zgodnie z art. 13 RODO…”
Zgoda na newsletter — checkbox, нельзя pre-checked
Rejestr czynności przetwarzania — Word/Excel таблица
Szyfрование важных данных — пароли должны быть хешированы
Backup и disaster recovery
Szkolenie работников (если есть) — они могут нарушить

Это базовый уровень. Для e-commerce, fintech, medтех — намного больше требований.

RODO i marketing

Частые случаи:

Newsletter — нужна явная зgoda (без предустановленной галочки)
Cookies — информация + согласие (Cookie banner)
Remarketing — согласие (в том числе Facebook pixels, Google Ads)
E-mail marketing к существующим клиентам — legal basis “уzasadniony interes” с правом на opt-out
Telefoniczne kampanie — нужна явная zgoda

Нарушения marketing — главные источники жалоб в UODO.

RODO и cudzoziemcy

Для иностранцев-клиентов польских фирм:

Ваши данные защищены так же, как данные поляков
Можете подать жалобу в UODO (польский), в свой национальный DPA или во Франции (если данные в EU)
Ваши права те же

Для иностранцев-фирм, работающих с EU-резидентами:

RODO применяется к вам, независимо от места регистрации
Нужно соблюдать все обязательства
Иногда нужен представитель в EU (для не-EU фирм)

Мой совет

RODO — серьёзная, но управляемая вещь:

Начните с основ — polityka prywatności, cookies banner. Этого достаточно для простого JDG
Шаблоны — используйте проверенные, бесплатные (gov.pl, iab.pl) или платные (legaliq.pl)
Не игнорируйте — штрафы реальные, особенно если бизнес растёт
Обучайте работников (когда наймёте) — 90% утечек из-за человеческих ошибок
Для сложных случаев (медтех, fintech, e-commerce со сбором чувствительных данных) — нанимайте специалиста

Соответствие RODO — инвестиция в репутацию. Клиенты всё более чувствительны к защите данных. Фирмы, показывающие ответственность — выигрывают доверие.