Facebook
gofin.pl
Wydawnictwo Podatkowe
sobota, 12 lipca 2025 r.

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Planowane ułatwienia w RODO dla mikro-, małych i średnich przedsiębiorców
Serwis POLSKI ŁAD
Serwis TARCZA ANTYKRYZYSOWA
więcej na: tarcza.gofin.pl »
CN 2025
PKWiU 2015
POLECAMY
A A A  drukuj artykuł

Planowane ułatwienia w RODO dla mikro-, małych i średnich przedsiębiorców

Gazeta Podatkowa nr 55 (2243) z dnia 10.07.2025
Marta Stefanowicz - Wasilewska

Komisja Europejska rozpoczęła konsultacje publiczne dotyczące projektu rozporządzenia Omnibus IV, który przewiduje zmiany m.in. w RODO. Nowe przepisy mają ograniczyć obowiązki prawne dla mikro-, małych i średnich przedsiębiorstw (MŚP) oraz małych spółek o średniej kapitalizacji (SMC). Celem inicjatywy jest uproszczenie przepisów i ułatwienie rozwoju firm przy jednoczesnym zachowaniu wysokich standardów ochrony danych w UE.

Czym są czynności przetwarzania?

RODO nie zawiera definicji czynności przetwarzania. Prezes Urzędu Ochrony Danych Osobowych w publikacji "Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO", zamieszczonej na stronie www.uodo.gov.pl, stwierdził, że: "W kontekście obowiązku określonego w art. 30 ust. 1 RODO przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Tytułem przykładu: w przypadku rekrutacji pracowników, jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak: pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia, dokonywanie ich selekcji, uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp. Nie ma konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo »rekrutacja pracowników«, bo nie jest to konieczne dla scharakteryzowania przetwarzania w świetle wskazanych w art. 30 ust. 1 RODO kryteriów".

Dwa rodzaje rejestrów przetwarzania

Rejestr czynności przetwarzania oraz rejestr wszystkich kategorii czynności przetwarzania to dokumenty, do prowadzenia których mogą być zobowiązani administratorzy danych i podmioty przetwarzające. Każdą nową czynność przetwarzania należy ująć w odpowiednim rejestrze.

Obowiązek prowadzenia rejestru czynności przetwarzania wynika z art. 30 ust. 1 RODO, który stanowi, że każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. Motyw 82 RODO określa dwa podstawowe cele prowadzenia rejestru, tj.:

  • zachowanie przez administratora i podmiot przetwarzający zgodności z RODO,
  • umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania.

Rejestr prowadzony przez administratora danych powinien zawierać:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

e) gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

g) jeśli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Podmioty przetwarzające, tj. osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora, prowadzą rejestry wszystkich kategorii czynności przetwarzania wykonywanych w imieniu zlecających im je administratorów danych. Ich rejestry powinny zawierać:

a) imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

c) gdy ma to zastosowanie - informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

To, co odróżnia rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora prowadzony przez podmiot przetwarzający od rejestru prowadzonego przez administratora, to zakres zawartych w nim informacji. Podmiot przetwarzający nie określa w swoim rejestrze celu przetwarzania, nie podaje kategorii osób i danych oraz kategorii czynności przetwarzania, a także terminu usuwania danych, gdyż nie on, ale administrator tych danych decyduje o celu i zakresie ich przetwarzania. W odniesieniu do każdego z administratorów wskazane jest zatem nazwanie poszczególnych powierzeń (zleceń), a zatem rodzaju usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów. Uporządkowanie czynności wykonywanych w ramach powierzenia w kategorie, czyli ich pogrupowanie pod względem rodzaju usług świadczonych przez podmiot przetwarzający, umożliwia łatwy przegląd powierzeń.

Przykładem podmiotu, który musi prowadzić oba wspomniane rejestry, jest np. biuro rachunkowe. Biura rachunkowe z racji świadczonych usług posiadają status podmiotów przetwarzających, na które RODO nakłada szczególne obowiązki.

Złudne zwolnienie

Art. 30 ust. 5 RODO stwierdza, że obowiązek rejestrowania czynności przetwarzania (zarówno przez administratorów, jak i podmioty przetwarzające) nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Jednocześnie jednak wskazuje przesłanki, których zaistnienie przywraca obowiązek prowadzenia takiego rejestru. Wskazane w tym przepisie wyłączenia powodują, że również przedsiębiorcy i pracodawcy zatrudniający mniej niż 250 osób są obecnie zobowiązani prowadzić taki rejestr, jeżeli przetwarzanie:

  • którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych, lub
  • obejmuje dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Najwięcej wątpliwości budzi sformułowanie "sporadyczność przetwarzania danych osobowych". Sporadyczny oznacza występujący rzadko. W przypadku prowadzenia działalności gospodarczej czy wykonywania innej funkcji przez podmiot np. zatrudniający pracowników, trudno mówić o sporadycznym przetwarzaniu danych osobowych. Większość procesów przetwarzania danych osobowych, np. pracowników czy klientów, odbywa się bowiem w sposób ciągły. Podobny pogląd wyznaje Grupa Robocza Art. 29 (patrz ramka).

Stanowisko Grupy Roboczej Art. 29, w którym wskazano, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób nie są zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania

"Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych (...) przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.

Obowiązek ten trzeba realizować, gdy przetwarzanie:

może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie.

Wskazane podmioty muszą prowadzić rejestr czynności przetwarzania jedynie dla tych rodzajów przetwarzania, które spełniają powołane przesłanki, np. obejmują szczególne kategorie danych osobowych.

Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. Jak wskazuje, w rezultacie takie przetwarzanie nie może być uznane za sporadyczne i musi w związku z tym być zawarte w rejestrze czynności przetwarzania.

Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter sporadyczny, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych".

źródło: www.uodo.gov.pl

Będą zmiany w RODO

Komisja Europejska dokonała przeglądu szeregu przepisów unijnych w celu zidentyfikowania nakładających się, uciążliwych lub nieproporcjonalnych wymogów, w szczególności w odniesieniu do mikro-, małych i średnich przedsiębiorców oraz małych spółek o średniej kapitalizacji. Przegląd ujawnił szereg możliwości zapewnienia większej proporcjonalności małym przedsiębiorstwom o średniej kapitalizacji, a ponadto szeroko zakrojone konsultacje z zainteresowanymi stronami z branży i przedsiębiorstw przyczyniły się do opracowania wniosków dotyczących zmian.

Komisja Europejska chce, aby przepisy RODO były prostsze i bardziej dostosowane do możliwości mniejszych przedsiębiorstw. Projekt rozporządzenia Omnibus IV zawiera m.in. następujące propozycje:

  • wprowadzenie definicji małych i średnich przedsiębiorstw (MŚP) oraz małych spółek o średniej kapitalizacji (SMC) w RODO,
  • ograniczenie obowiązku prowadzenia rejestru czynności przetwarzania danych dla firm, które zatrudniają mniej niż 750 pracowników - tylko do przypadków, gdy przetwarzanie wiąże się z wysokim ryzykiem,
  • doprecyzowanie, że przetwarzanie szczególnych kategorii danych osobowych, które jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, samo w sobie nie powinno wymagać prowadzenia rejestru czynności przetwarzania.

Celem proponowanych zmian jest stworzenie przepisów, które będą łatwiejsze do zrozumienia i stosowania. Dzięki temu małe i średnie firmy będą mogły lepiej rozwijać się, a jednocześnie nadal dobrze chronić dane osobowe w Unii Europejskiej.

Pomysł uproszczenia obowiązku prowadzenia rejestrów jest odpowiedzią na potrzeby i wyzwania małych i średnich przedsiębiorstw i organizacji, przy jednoczesnym zapewnieniu ochrony praw osób fizycznych. Dlatego proponuje się zwolnienie, oprócz MŚP, małych i średnich przedsiębiorstw oraz organizacji zatrudniających mniej niż 750 pracowników.

MŚP, małe i średnie przedsiębiorstwa oraz organizacje zatrudniające mniej niż 750 pracowników będą zobowiązane do prowadzenia rejestrów tylko wtedy, gdy przetwarzanie danych osobowych będzie wiązało się z "wysokim ryzykiem" na podstawie RODO. Koncentrując wymogi dotyczące prowadzenia rejestrów na działaniach wysokiego ryzyka, organizacje będą mogły przeznaczyć swoje zasoby na obszary, w których ochrona danych ma największe znaczenie, przy jednoczesnym zachowaniu wysokich standardów ochrony danych.

Nowa kategoria przedsiębiorstw

Gdy MŚP zatrudniają więcej niż 250 pracowników, stają się dużymi przedsiębiorstwami zgodnie z obowiązującymi przepisami i stoją w obliczu wzrostu obowiązków. W związku z tym Komisja Europejska planuje wprowadzić nową kategorię przedsiębiorstw - małe spółki o średniej kapitalizacji, tj. przedsiębiorstwa zatrudniające mniej niż 750 pracowników oraz do 150 mln euro obrotu lub do 129 mln euro aktywów ogółem. Te małe spółki o średniej kapitalizacji - prawie 38.000 spółek w UE - po raz pierwszy uzyskają dostęp do niektórych istniejących korzyści dla MŚP, takich jak właśnie szczególne odstępstwa na mocy RODO.

Więcej na ten temat w zasobach płatnych:

Wskazówki dla przedsiębiorcy - czytaj także:

 
Przydatne linki
Portal Podatkowo-Księgowy

GOFIN.pl

Gofin.pl/PIT

Gofin.pl/Prawnik-Radzi

Gofin.pl/Rachunkowosc

Gofin.pl/Bilans

Gofin.pl/Podatki

Gofin.pl/Prawo-Pracy

Gofin.pl/Skladki-Zasilki
POMOCNIKI Księgowego

Aplikacja GOFIN NEWS

Interpretacje Urzędowe

Polski Ład

Schematy opodatkowania

Aplikacja GOFIN SGK

Kalkulatory

Przepisy Prawne

Terminy

Asystent Gofin

Klasyfikacje

Przewodnik Kadrowego

Wideopomocniki

Druki Gofin

Newslettery

Przewodnik Księgowego

Wskaźniki

Forum

Orzecznictwo dla firm

Przewodnik VAT

Wszystko dla Księgowych

Indeks Księgowań BUDŻET

Serwis Plan Kont

Pytania Czytelników

Indeks Księgowań FIRMA

Podcasty

Tarcza Antykryzysowa
Serwisy specjalistyczne

Czas Pracy

Podatek Dochodowy

Rozliczenie Delegacji

Vademecum Księgowego

Kalkulatory Podatkowe

Podatek VAT

Rozliczenia Podatkowe

Vademecum Podatnika

Kasa Fiskalna

Poradnik Księgowego

Rozliczenie Wynagrodzenia

Zakładamy Firmę

Kodeks Pracy

Porady Podatkowe

Vademecum Kadrowego

Zasiłki
więcej serwisów specjalistycznych
 
Sklep internetowy - sklep.gofin.pl
Promocje
Czasopisma i Gazeta
Serwisy internetowe
Inne produkty i usługi
Wydawnictwo Podatkowe GOFIN »
Biuro Obsługi Klienta »
Zamów egzemplarz bezpłatny »
Sklep internetowy»
 
O Wydawnictwie
Księgowi stawiają na GOFIN
Sklep internetowy
PoznajProdukty.gofin.pl
Regulamin
Reklama
Newslettery
Kontakt
Polityka prywatności
Procedura zgłoszeń wewnętrznych
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.