Ogólne rozporządzenie o ochronie danych
Unijne ogólne rozporządzenie o ochronie danych (RODO) reguluje sposób przetwarzania i przekazywania danych osobowych w UE.
Czym jest RODO?
Unijne ogólne rozporządzenie o ochronie danych (RODO) to najostrzejsze na świecie przepisy o ochronie prywatności i bezpieczeństwie danych.
Zaktualizowało ono i unowocześniło przepisy dyrektywy o ochronie danych z 1995 r. Zostało przyjęte w 2016 r., a zaczęto je stosować 25 maja 2018 r.
RODO definiuje:
- prawa podstawowe osób fizycznych w epoce cyfrowej
- obowiązki podmiotów przetwarzających dane
- sposoby egzekwowania przepisów
- kary dla naruszających przepisy.
Prawa osób fizycznych
RODO wylicza prawa osób, których dane dotyczą, czyli osób, których dane są przetwarzane. Prawa te są szersze niż poprzednio – dają takim osobom większą kontrolę nad dotyczącymi ich informacjami. Osoby te mogą m.in.:
- decydować, czy ich dane wolno przetwarzać (wymóg zgody na przetwarzanie)
- mieć łatwiejszy dostęp do swoich danych osobowych
- zażądać sprostowania lub usunięcia danych (prawo do „bycia zapomnianym”)
- sprzeciwić się np. wykorzystywaniu danych osobowych do profilowania
- przenieść dane do innego usługodawcy.
W rozporządzeniu o ochronie danych określono prawa osób fizycznych oraz obowiązki podmiotów przetwarzających dane i podmiotów odpowiedzialnych za ich przetwarzanie.
Obowiązki firm i organizacji
RODO określa ogólne obowiązki administratora danych i podmiotu przetwarzającego te dane w jego imieniu.
Muszą oni m.in. wdrożyć środki bezpieczeństwa odpowiednie do ryzyka, które wiąże się z wykonywanymi przez nich operacjami przetwarzania.
W niektórych przypadkach administratorzy są również zobowiązani do powiadamiania o naruszeniach ochrony danych osobowych. Wszystkie organy publiczne i firmy, które dokonują pewnych ryzykownych operacji przetwarzania, muszą wyznaczyć inspektora ochrony danych.
Stosowanie przepisów o ochronie danych
W rozporządzeniu utrzymano wymóg, by każde państwo członkowskie powołało krajowy niezależny organ nadzorczy, oraz ustanowiono mechanizm gwarantujący spójne stosowanie przepisów o ochronie danych w całej UE.
W sprawach transgranicznych, w które zaangażowane są organy nadzorcze różnych państw, będzie zapadać jedna decyzja nadzorcza. Zasada ta – tzw. mechanizm kompleksowej współpracy – oznacza, że firma mająca oddziały w różnych państwach członkowskich będzie wyjaśniać sprawę tylko z organem ochrony danych, który mieści się w państwie jej głównej jednostki organizacyjnej.
O pełne i spójne stosowanie RODO dba Europejska Rada Ochrony Danych. Jest to organ złożony z przedstawicieli wszystkich 27 niezależnych organów nadzorczych.
17 listopada 2025 r. Rada przyjęła akt prawny UE, który powinien wejść w życie w 2026 r. Przepisy te sprawiają, że współpraca między krajowymi organami ochrony danych jest szybsza i skuteczniejsza przy rozpatrywaniu transgranicznych skarg na podstawie RODO, które dotyczą kilku państw UE. Przepisy upraszczają procedury administracyjne i mają na celu zapewnienie:
- szybkiego rozpatrywania skarg transgranicznych oraz lepszej współpracy
- badania praw skarżących oraz stron postępowania.
RODO przewiduje surowe sankcje wobec administratorów lub podmiotów przetwarzających, którzy naruszą przepisy o ochronie danych. Administratorowi grozi kara finansowa sięgająca 20 mln euro lub 4% jego rocznego światowego obrotu.
Ponadto osoby fizyczne mogą złożyć skargę do organu nadzorczego oraz mają prawo do środka ochrony prawnej przed sądem i do odszkodowania. Od decyzji organu ochrony danych mogą się odwołać do własnego sądu krajowego, bez względu na to, w którym państwie członkowskim administrator danych ma siedzibę.
- Europejska Rada Ochrony Danych
- Rada przyjmuje nowe unijne przepisy o przyspieszeniu rozpatrywania transgranicznych skarg dotyczących ochrony danych (komunikat prasowy z 17 listopada 2025)
- Ochrona danych: Rada uzgadnia stanowisko co do przepisów o egzekwowaniu RODO (komunikat prasowy z 13 czerwca 2024)
Przekazywanie danych do krajów spoza UE
RODO reguluje też przekazywanie danych osobowych do krajów spoza UE i organizacji międzynarodowych. Poziom ochrony oferowanej przez dane terytorium lub dany sektor przetwarzający dane w kraju spoza UE ocenia Komisja Europejska.
Jeżeli nie podejmie ona decyzji stwierdzającej, że terytorium lub sektor zapewniają należytą ochronę, przekazanie danych osobowych jest możliwe jedynie w szczególnych sytuacjach lub po zapewnieniu odpowiednich zabezpieczeń.
Więcej informacji
Ochrona danych w UE
Ochrona danych w ściganiu przestępstw
Ostatnia aktualizacja: 22 maja 2026