Specjalizacja
RODO bez teatru
— zgodność, która faktycznie działa.
RODO to nie segregator pełen procedur, którego nikt nie czyta. To system, który ma chronić Twoich klientów i Twoją firmę — od kar UODO, od reklamacji, od wycieków. Wdrażam go praktycznie i utrzymuję realnie.
Dlaczego to się opłaca
Najtańszy moment na RODO
jest zawsze przed kontrolą.
Większość firm zaczyna myśleć o RODO dopiero gdy: (a) klient zgłosi skargę do PUODO, (b) wycieknie baza danych, (c) pracownik zażąda usunięcia jego danych i nie wiadomo jak na to odpowiedzieć. To są najdroższe momenty, żeby zaczynać porządkowanie zgodności.
Polski Urząd Ochrony Danych Osobowych nałożył w 2024 r. kary o łącznej wartości ponad 4 milionów złotych. Najczęstsze przyczyny: brak rejestru czynności przetwarzania, naruszenia obowiązku informacyjnego, niewystarczające zabezpieczenia techniczne. Wszystkie te rzeczy daje się ograć wcześniej, taniej i spokojniej.
Wdrażam RODO w sposób praktyczny, dopasowany do realiów firmy klienta — nie kopiuję polityki z internetu, nie produkuję makulatury. Robimy to, co firma faktycznie musi mieć i będzie używać.
Zakres wsparcia
Sześć rzeczy, które robię w obszarze RODO.
Wdrożenie RODO od zera
Inwentaryzacja procesów przetwarzania, analiza ryzyka, opracowanie polityki bezpieczeństwa danych, rejestru czynności (RCP), procedur obsługi praw osób, których dane dotyczą. Dla firm, które dotąd nie miały żadnej dokumentacji.
Funkcja IODO (Inspektor Ochrony Danych)
Pełnienie funkcji IODO na podstawie umowy outsourcingowej — dla podmiotów zobowiązanych do jego powołania (jednostki publiczne, podmioty przetwarzające szczególne kategorie danych na dużą skalę).
Audyt zgodności z RODO
Niezależna ocena: co działa zgodnie, co wymaga poprawy, gdzie są realne ryzyka kar UODO. Raport z konkretnymi rekomendacjami uporządkowanymi według priorytetu — co dziś, co w 3 miesiące, co w 12.
Szkolenia pracowników
Praktyczne szkolenia dla zespołów (1–2 godz.), dopasowane do branży klienta — kadry, marketing, IT, obsługa klienta. Zakończone testem i certyfikatem (wymóg art. 39 RODO + dokumentowanie zgodności).
Obsługa naruszeń ochrony danych
Po wykrytym incydencie: analiza, czy podlega zgłoszeniu (72 godz. do PUODO), przygotowanie zgłoszenia, komunikacja z osobami, których dane dotyczą, reprezentacja w postępowaniu przed UODO.
Umowy powierzenia i analizy DPIA
Opracowywanie i opiniowanie umów powierzenia przetwarzania danych (art. 28 RODO), umów z procesorami chmurowymi (Google, Microsoft, AWS), transferów do państw trzecich (klauzule SCC, mechanizmy adekwatności). Oceny skutków dla ochrony danych (DPIA) dla wysokoryzykownych projektów.
Dla kogo
Z kim najczęściej pracuję.
Firmy prywatne
Sklepy internetowe, agencje marketingowe, kancelarie i biura księgowe, firmy IT, służba zdrowia.
Jednostki samorządu terytorialnego
Urzędy gmin, miast, starostwa, jednostki oświatowe, ośrodki pomocy społecznej.
Placówki edukacyjne i medyczne
Szkoły, przedszkola, kliniki, gabinety lekarskie — przetwarzanie szczególnych kategorii danych.
Stowarzyszenia i fundacje
Organizacje pozarządowe przetwarzające dane członków, beneficjentów, darczyńców.
Najczęstsze pytania
Sześć pytań, które słyszę najczęściej.
Czy moja mała firma musi w ogóle wdrażać RODO?
+
Tak — RODO obowiązuje każdą firmę przetwarzającą dane osób fizycznych w UE, niezależnie od wielkości. Jednoosobowa działalność wystawiająca faktury z imienia i nazwiska klienta już przetwarza dane osobowe. Różni się zakres wymagań: mała firma nie musi mieć IODO ani prowadzić DPIA dla większości procesów, ale obowiązek informacyjny, podstawa prawna i bezpieczeństwo danych — obowiązują wszystkich.
Czy muszę powołać Inspektora Ochrony Danych (IODO)?
+
Obowiązek wynika z art. 37 RODO i dotyczy: (a) organów i podmiotów publicznych, (b) podmiotów, których główna działalność polega na systematycznym monitorowaniu osób na dużą skalę, lub (c) przetwarzaniu szczególnych kategorii danych (zdrowie, wyznanie, biometria) na dużą skalę. Sklep internetowy, kawiarnia czy agencja marketingowa — zwykle nie. Klinika, duża szkoła, urząd gminy — tak. W razie wątpliwości lepiej zweryfikować, bo niespełniony obowiązek IODO to często pierwsza rzecz, którą sprawdza PUODO przy kontroli.
Ile kosztuje audyt RODO?
+
Zależy od skali — mała firma (do 20 pracowników, standardowe procesy) to zwykle kilka tysięcy złotych za pełny audyt z raportem. Dla większych podmiotów audyt skalowany — wycena po wstępnej rozmowie. Pełnienie funkcji IODO jako stałej obsługi rozliczam miesięcznym ryczałtem (zwykle 800–2500 zł/mc w zależności od skali).
Otrzymałem żądanie usunięcia danych. Co mam zrobić?
+
Najpierw sprawdź na jakiej podstawie przetwarzasz te dane. Jeśli to zgoda — co do zasady musisz usunąć. Jeśli umowa lub obowiązek prawny (np. ustawa o rachunkowości każe trzymać faktury 5 lat) — możesz odmówić, podając podstawę. Masz 30 dni na odpowiedź (z możliwością przedłużenia o 60 dni przy skomplikowanych żądaniach). Pomogę Ci sformułować odpowiedź — to jeden z najczęstszych przedmiotów kontroli i skarg do PUODO.
Wyciekły dane. Mam 72 godziny — co dalej?
+
Tak — od stwierdzenia naruszenia masz 72 godziny na zgłoszenie do PUODO (chyba że naruszenie nie powoduje ryzyka dla osób, ale takie wyłączenie trzeba dobrze uzasadnić). Krytyczna pierwsza godzina: ograniczyć szkodę (odciąć dostęp, zmienić hasła), zabezpieczyć dowody, ustalić zakres. Pomagam przeprowadzić to po godzinach i w weekendy — incydenty nie czekają na poniedziałek.
Czy strona internetowa potrzebuje banera cookies?
+
Tak, jeśli korzysta z czegokolwiek poza plikami niezbędnymi do działania (np. Google Analytics, Meta Pixel, Hotjar, mapy Google, czcionki Google z CDN). Wymaga to aktywnej zgody przed załadowaniem skryptów — popularny baner "korzystając z witryny zgadzasz się…" jest niezgodny z RODO i już od kilku lat nie chroni przed karami. Robię to dobrze: pomagam wdrożyć Consent Mode (Google), Cookiebot, lub własne rozwiązania zgodne z TTDSG/ePrivacy.
Posprzątajmy RODO w Twojej firmie.
Zacznę od bezpłatnej rozmowy: 30 minut, w której orientacyjnie określimy stan zgodności i co jest realnie do zrobienia. Bez zobowiązań i bez sprzedaży "pakietu premium".