Co to jest RODO i co obejmuje? Definicje i wyjaśnienia

Patrycja Busse – Grzybowska - 7 maja, 2026

Udostępnij:

RODO to ogólne rozporządzenie o ochronie danych, czyli unijne rozporządzenie 2016/679 przyjęte 27 kwietnia 2016 r. Jego pełny cel to ochrona osób fizycznych w związku z przetwarzaniem danych osobowych oraz zapewnienie swobodnego przepływu takich danych. W Polsce i w całej UE stosuje się je od 25 maja 2018 r.

To nie jest ustawa tylko o komputerach, newsletterach albo zgodach marketingowych. RODO reguluje bardzo szeroko to, jak firmy, urzędy, szkoły, przychodnie, fundacje i inni administratorzy mogą zbierać, używać, przechowywać, udostępniać i usuwać dane osobowe. Obejmuje więc praktycznie cały cykl życia danych.

Z tego artykułu dowiesz się:

czym dokładnie jest RODO
jakie dane obejmuje
kogo dotyczy
czego wymaga od firm i organizacji
jakie prawa daje osobom, których dane są przetwarzane
czego RODO nie obejmuje

Co to jest RODO?

Najprościej mówiąc – RODO to zestaw wspólnych zasad ochrony danych osobowych obowiązujących w Unii Europejskiej. Rozporządzenie określa, kiedy dane można przetwarzać, jakie obowiązki ma administrator, jakie prawa ma osoba, której dane dotyczą, oraz kiedy trzeba wdrożyć zabezpieczenia albo zgłosić naruszenie.

RODO nie służy temu, żeby zakazać używania danych osobowych. Ono mówi raczej, na jakich warunkach wolno to robić legalnie, rzetelnie i przejrzyście. Dlatego w praktyce RODO nie oznacza nie wolno przetwarzać danych, tylko wolno, ale według określonych reguł.

Co obejmuje RODO?

RODO obejmuje przetwarzanie danych osobowych osób fizycznych. To znaczy, że wchodzi w grę wszędzie tam, gdzie można zidentyfikować konkretną osobę albo da się ją zidentyfikować pośrednio. Oficjalny serwis UE wskazuje jako przykłady danych osobowych między innymi imię i nazwisko, adres, numer dokumentu, dochody, adres IP czy dane medyczne pozwalające zidentyfikować osobę.

W praktyce RODO obejmuje na przykład:

dane pracowników i kandydatów do pracy
dane klientów i pacjentów
dane użytkowników stron internetowych i aplikacji
monitoring, systemy logowania i bazy kontaktów
dokumentację papierową i elektroniczną
profilowanie, wysyłkę ofert, obsługę reklamacji i archiwizację danych, jeżeli dotyczą osób fizycznych

RODO obejmuje też bardzo różne operacje na danych. Przetwarzanie to nie tylko zbieranie danych, ale również ich przechowywanie, porządkowanie, modyfikowanie, udostępnianie, usuwanie i wiele innych działań wykonywanych na danych. Wynika to wprost z definicji przetwarzania w art. 4 RODO.

Jakie dane obejmuje RODO?

RODO chroni dane osobowe osób fizycznych. Chodzi o wszelkie informacje o osobie zidentyfikowanej lub możliwej do zidentyfikowania. To może być zarówno oczywisty identyfikator, jak imię i nazwisko, jak i dane pośrednie, które razem pozwalają ustalić, o kogo chodzi.

Są też dane szczególnie chronione, czyli tak zwane szczególne kategorie danych. Co do zasady zabronione jest przetwarzanie danych dotyczących między innymi pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności związkowej oraz danych genetycznych, biometrycznych i zdrowotnych, chyba że zachodzi szczególna podstawa przewidziana w RODO.

Kogo dotyczy RODO?

RODO dotyczy organizacji, które przetwarzają dane osobowe osób fizycznych. RODO stosuje się do firm i organizacji mających siedzibę w UE bez względu na miejsce faktycznego przetwarzania danych. Dotyczy też organizacji spoza UE, jeśli oferują towary lub usługi osobom w UE albo monitorują ich zachowanie.

To oznacza, że RODO dotyczy nie tylko wielkich korporacji. Obejmuje także:

jednoosobowe działalności
sklepy internetowe
biura rachunkowe
pracodawców
urzędy
szkoły
fundacje
przychodnie i gabinety medyczne, jeżeli przetwarzają dane osób fizycznych

Czego RODO nie obejmuje?

RODO nie działa w każdej sytuacji. Oficjalny serwis UE wskazuje, że nie stosuje się go między innymi wtedy, gdy dane dotyczą osoby zmarłej, osoby prawnej albo gdy są przetwarzane wyłącznie do celów osobistych, niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby, która je przetwarza.

W praktyce to oznacza, że:

dane spółki jako takiej nie są danymi osobowymi tylko dlatego, że dotyczą firmy
prywatny notes z adresami znajomych nie jest automatycznie sprawą pod RODO
ale już baza klientów, nawet w małej firmie, najczęściej pod RODO podlega

Jakie najważniejsze zasady wprowadza RODO?

Najważniejszy rdzeń RODO to zasady przetwarzania danych z art. 5. Dane muszą być przetwarzane zgodnie z prawem, rzetelnie i przejrzyście, zbierane w konkretnych celach, adekwatne i ograniczone do tego, co niezbędne, prawidłowe, przechowywane nie dłużej niż potrzeba oraz odpowiednio zabezpieczone. Administrator musi też umieć wykazać, że tych zasad przestrzega. To ostatnie nazywa się zasadą rozliczalności.

Najprościej można to zapamiętać tak:

trzeba wiedzieć po co zbiera się dane
nie wolno zbierać więcej niż potrzeba
nie wolno trzymać danych bez końca
trzeba dbać o ich bezpieczeństwo
trzeba umieć to wszystko udokumentować

Jakie obowiązki nakłada RODO?

RODO nie kończy się na samej klauzuli informacyjnej. W zależności od skali i rodzaju działalności administrator może mieć obowiązki związane z:

ustaleniem podstawy prawnej przetwarzania
przekazaniem informacji osobie, której dane dotyczą
realizacją praw tej osoby
zabezpieczeniem danych technicznie i organizacyjnie
zawarciem umów z podmiotami przetwarzającymi
prowadzeniem rejestru czynności przetwarzania
zgłaszaniem naruszeń ochrony danych
oceną ryzyka i czasem oceną skutków dla ochrony danych

W praktyce oznacza to, że RODO obejmuje nie tylko samo zbieranie danych, ale też cały porządek organizacyjny wokół danych w firmie czy urzędzie.

Jakie prawa daje RODO zwykłej osobie?

RODO daje osobie, której dane są przetwarzane, cały pakiet praw. Do najważniejszych należą:

prawo do informacji
prawo dostępu do danych
prawo do sprostowania
prawo do usunięcia danych w określonych sytuacjach
prawo do ograniczenia przetwarzania
prawo do przenoszenia danych
prawo sprzeciwu
prawo wniesienia skargi do organu nadzorczego, w Polsce do Prezesa UODO

To właśnie dlatego RODO obejmuje nie tylko obowiązki firm, ale też realne uprawnienia ludzi, których dane są używane.

Kto jest kim w RODO?

W podstawowym układzie występują dwa główne podmioty:

administrator danych decyduje o celu i sposobie przetwarzania
podmiot przetwarzający przetwarza dane w imieniu administratora

To bardzo ważne rozróżnienie, bo nie każdy, kto ma kontakt z danymi, odpowiada za to samo. Firma zlecająca hosting, księgowość czy system mailingowy musi wiedzieć, czy zewnętrzny partner działa jako odrębny administrator, czy jako procesor.

Dlaczego RODO budzi tyle emocji?

Bo obejmuje bardzo wiele codziennych sytuacji. Dotyka rekrutacji, sprzedaży, księgowości, marketingu, monitoringu, obsługi klienta, medycyny, edukacji i życia zawodowego. Jednocześnie jest aktem przekrojowym, więc nie daje jednej krótkiej odpowiedzi na każde pytanie. Zawsze trzeba sprawdzić cel przetwarzania, rodzaj danych, podstawę prawną, obowiązki informacyjne i ryzyko dla osoby, której dane dotyczą. To właśnie sprawia, że RODO jest jednocześnie bardzo szerokie i bardzo praktyczne.

Podsumowanie

RODO to unijne rozporządzenie o ochronie danych osobowych, które obowiązuje od 25 maja 2018 r. i reguluje, jak wolno przetwarzać dane osób fizycznych. Obejmuje nie tylko firmy z UE, ale też część podmiotów spoza UE, jeśli kierują ofertę do osób w Unii albo monitorują ich zachowanie. Dotyczy danych osobowych, w tym danych szczególnie chronionych, i obejmuje cały proces pracy na danych – od ich zebrania po usunięcie. Wprowadza zasady legalności, minimalizacji, ograniczenia celu, bezpieczeństwa i rozliczalności, nakłada obowiązki na administratorów i daje konkretne prawa osobom, których dane są przetwarzane. Najprościej mówiąc – RODO określa, kiedy i jak wolno korzystać z danych osobowych, żeby robić to zgodnie z prawem i z poszanowaniem prywatności.