Czy dokumenty są zgodne z prawem?

Oparte na RODO (UE 2016/679), ustawie o świadczeniu usług drogą elektroniczną i ustawie o prawach konsumenta. Szablony edytowalne — nie stanowią porady prawnej.

Ile kosztuje polityka prywatności?

Polityka prywatności kosztuje 49 PLN jednorazowo. Pakiet startowy (polityka prywatności + regulamin) kosztuje 79 PLN.

Ile czasu zajmuje wypełnienie formularza?

4 kroki: dane firmy, co zbierasz, jakich usług używasz, wybór pakietu. Łącznie ok. 5 minut.

Czy potrzebuję konta?

Zero rejestracji. Podajesz email dostawy przy zakupie — tam trafiają dokumenty.

Czy mogę zwrócić zakup?

Zgodnie z art. 38 ust. 1 pkt 13 ustawy o prawach konsumenta prawo odstąpienia nie przysługuje przy treściach cyfrowych, jeśli konsument wyraził zgodę na natychmiastowe dostarczenie.

Dla kogo jest ten generator?

Sklepy online, strony B2C, SaaS-y, blogi — każdy kto zbiera dane osobowe i chce to robić zgodnie z prawem.

Rejestr Czynności Przetwarzania — co to jest, kto musi go prowadzić i jak go zrobić

Czym jest Rejestr Czynności Przetwarzania?

Rejestr Czynności Przetwarzania (RCP) to wewnętrzny dokument, który każdy administrator danych osobowych jest zobowiązany prowadzić na podstawie art. 30 Rozporządzenia RODO (UE 2016/679). To rodzaj ewidencji — lista wszystkich procesów, w których Twoja firma przetwarza dane osobowe.

Wyobraź sobie RCP jako spis treści Twojej polityki prywatności, ale bardziej szczegółowy i przeznaczony do celów wewnętrznych i kontrolnych — nie do publikowania na stronie.

Kto musi prowadzić RCP?

Zgodnie z art. 30 ust. 5 RODO, obowiązek prowadzenia rejestru formalnie nie dotyczy firm zatrudniających mniej niż 250 osób — chyba że:

przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób,

przetwarzanie nie jest sporadyczne,

obejmuje szczególne kategorie danych (zdrowie, biometria, dane o wyrokach).

W praktyce oznacza to, że niemal każda firma prowadząca sklep internetowy, serwis z formularzem kontaktowym, newsletter lub używająca Google Analytics powinna prowadzić RCP. Prezes UODO wielokrotnie potwierdzał, że zaleca prowadzenie rejestru przez wszystkich administratorów.

Co musi zawierać Rejestr Czynności Przetwarzania?

Zgodnie z art. 30 ust. 1 RODO, rejestr prowadzony przez administratora powinien zawierać:

Imię i nazwisko / nazwę administratora oraz dane kontaktowe

Cel przetwarzania — np. obsługa zamówień, newsletter, analityka

Kategorie osób, których dane dotyczą — klienci, subskrybenci, pracownicy

Kategorie danych — imię, email, adres, dane transakcyjne

Kategorie odbiorców — firmy, którym przekazujesz dane (Stripe, Google, Mailchimp)

Informacje o przekazywaniu do państw trzecich — np. USA (Google, Meta, Stripe)

Planowane terminy usunięcia danych

Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

Jak wygląda RCP w praktyce — przykład

Poniżej przykład jednej czynności przetwarzania dla sklepu internetowego:

Element	Wartość
Cel	Realizacja zamówień i obsługa klientów
Kategorie danych	Imię, adres, email, telefon, historia zamówień
Podstawa prawna	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)
Odbiorcy	Firma kurierska, biuro rachunkowe, Stripe Inc.
Przekazanie do państw trzecich	Stripe Inc. (USA) — na podstawie SCC
Okres przechowywania	5 lat (wymogi podatkowe)
Środki bezpieczeństwa	Szyfrowanie TLS, kontrola dostępu, backup

Jak często aktualizować RCP?

Rejestr powinien być aktualizowany przy każdej istotnej zmianie sposobu przetwarzania danych:

Wdrożenie nowego narzędzia analitycznego (np. Hotjar, Meta Pixel)

Zmiana podmiotu przetwarzającego (np. zmiana bramki płatności)

Nowy cel przetwarzania (np. uruchomienie newslettera)

Zakończenie przetwarzania w danym celu

Zalecany przegląd rejestru: raz na rok lub po każdej istotnej zmianie.

Konsekwencje braku RCP

Brak prowadzenia rejestru lub prowadzenie go w sposób niepełny może skutkować:

Decyzją administracyjną Prezesa UODO nakazującą uzupełnienie rejestru

Karą finansową — teoretycznie do 10 mln EUR lub 2% rocznego obrotu (art. 83 ust. 4 RODO)

Utrudnieniem w przypadku kontroli lub zgłoszenia naruszenia danych

W praktyce UODO w pierwszej kolejności wydaje ostrzeżenia i nakazy uzupełnienia — kary za sam brak RCP u małych firm są rzadkie, ale ryzyko rośnie w przypadku naruszenia danych osobowych.

RCP a polityka prywatności — różnica

Wiele firm myli te dwa dokumenty:

Dokument	Przeznaczenie	Gdzie
Polityka prywatności	Informowanie użytkowników o przetwarzaniu danych	Publiczna — na stronie internetowej
Rejestr Czynności Przetwarzania	Dokumentacja wewnętrzna dla UODO	Wewnętrzny — nie publikuje się

Polityka prywatności to dokument skierowany do użytkowników Twojej strony. RCP to dokument wewnętrzny, który przechowujesz i udostępniasz wyłącznie na żądanie organu nadzorczego (Prezesa UODO).

Jak przygotować RCP dla małej firmy?

Małe firmy mają dwie opcje:

1. Własnoręcznie w Excel / Google Sheets — możliwe, ale czasochłonne. Trzeba znać wszystkie procesy, podstawy prawne i odbiorców dla każdego celu.

2. Generator dokumentów — szybsza opcja. Na regulaminrodo.pl możesz wygenerować spersonalizowany RCP na podstawie odpowiedzi w formularzu. Generator uwzględnia Twoje narzędzia (Google Analytics, Stripe, Mailchimp) i automatycznie wypełnia tabele czynności, podstawy prawne i informacje o przekazywaniu danych do USA.

Podsumowanie

Rejestr Czynności Przetwarzania to obowiązek, który dotyczy praktycznie każdej firmy przetwarzającej dane osobowe — nawet małego sklepu czy bloga z newsletterem. Dokument nie jest publiczny, ale musi być gotowy do okazania na żądanie Prezesa UODO. Wygeneruj spersonalizowany RCP dla swojej firmy w 5 minut na [regulaminrodo.pl](/generate).