Polityka RODO w firmie – aktualny wzór na rok 2026

Polityka RODO w firmie: kiedy jest potrzebna i co powinna zawierać?

Polityka RODO w firmie to dokument opisujący, w jaki sposób przedsiębiorstwo chroni dane osobowe klientów, pracowników, kontrahentów, kandydatów do pracy, użytkowników strony internetowej oraz innych osób, których dane przetwarza. W praktyce polityka RODO pomaga uporządkować zasady zbierania, przechowywania, wykorzystywania, udostępniania i usuwania danych osobowych w firmie.

Dokument jest szczególnie ważny w firmach, które prowadzą sprzedaż online, obsługują formularze kontaktowe, zatrudniają pracowników, prowadzą rekrutację, wysyłają newsletter, korzystają z systemów CRM, prowadzą marketing, obsługują klientów telefonicznie albo przetwarzają dane w ramach usług B2B. Dobrze przygotowana polityka powinna jasno określać jakie dane są przetwarzane, w jakim celu, na jakiej podstawie, kto ma do nich dostęp, jak są zabezpieczane, komu mogą być przekazywane i jak długo są przechowywane.

Polityka RODO nie powinna być dokumentem „dla samej formalności”. Powinna odpowiadać rzeczywistym procesom w firmie. Jeżeli przedsiębiorca ma sklep internetowy, pracowników, formularze, system mailingowy i zewnętrzne biuro rachunkowe, polityka powinna uwzględniać wszystkie te obszary, a nie ograniczać się do ogólnych deklaracji.

Czym jest polityka RODO w firmie?

Polityka RODO to wewnętrzny dokument firmy, który opisuje zasady ochrony danych osobowych. Może być częścią szerszej dokumentacji ochrony danych albo samodzielnym dokumentem porządkującym najważniejsze obowiązki i procedury. Jej celem jest pokazanie, że firma świadomie zarządza danymi osobowymi i stosuje odpowiednie zasady bezpieczeństwa.

W praktyce polityka może obejmować zarówno dane klientów, jak i pracowników, kandydatów do pracy, kontrahentów, osób kontaktowych po stronie firm, subskrybentów newslettera, użytkowników strony internetowej i innych osób. Dokument powinien być napisany tak, aby osoby w firmie rozumiały, jak postępować z danymi w codziennej pracy.

Polityka RODO może regulować między innymi

• zasady zbierania danych osobowych,
• cele i podstawy przetwarzania danych,
• dostęp pracowników i współpracowników do danych,
• zabezpieczenia techniczne i organizacyjne,
• przekazywanie danych podmiotom zewnętrznym,
• okresy przechowywania danych,
• procedurę reagowania na naruszenia ochrony danych.

Kiedy firma powinna przygotować politykę RODO?

Politykę RODO warto przygotować zawsze wtedy, gdy firma regularnie przetwarza dane osobowe. W praktyce dotyczy to większości przedsiębiorców, ponieważ już samo wystawianie faktur, prowadzenie korespondencji z klientami, zatrudnianie pracowników albo obsługa zapytań przez formularz oznacza przetwarzanie danych.

Dokument jest szczególnie potrzebny, gdy firma przetwarza większą liczbę danych, korzysta z wielu systemów, przekazuje dane zewnętrznym dostawcom, prowadzi działania marketingowe albo pracuje zdalnie. Polityka ułatwia zachowanie porządku i pokazuje, kto w firmie odpowiada za poszczególne działania.

Polityka jest szczególnie przydatna, gdy firma

• prowadzi sklep internetowy lub stronę z formularzami,
• zatrudnia pracowników albo współpracowników,
• prowadzi rekrutację,
• wysyła newsletter lub prowadzi marketing e-mailowy,
• korzysta z systemu CRM, narzędzi mailingowych lub chmury,
• przekazuje dane biuru rachunkowemu, agencji marketingowej lub firmie IT,
• chce uporządkować wewnętrzne procedury ochrony danych.

Co powinna zawierać polityka RODO?

Polityka RODO powinna zawierać opis podstawowych zasad przetwarzania danych w firmie. Warto wskazać administratora danych, rodzaje danych, cele przetwarzania, podstawy prawne, odbiorców danych, okresy przechowywania, zabezpieczenia, prawa osób, procedury wewnętrzne i osoby odpowiedzialne za ochronę danych.

Dokument powinien być dopasowany do konkretnej firmy. Inaczej będzie wyglądać polityka dla jednoosobowej działalności gospodarczej, inaczej dla sklepu internetowego, a inaczej dla firmy zatrudniającej wielu pracowników i korzystającej z rozbudowanych systemów informatycznych.

Praktyczna tabela: główne elementy polityki RODO

Administrator danych w firmie

W polityce RODO należy wskazać administratora danych osobowych. Najczęściej będzie nim przedsiębiorca prowadzący działalność, spółka, fundacja, stowarzyszenie albo inny podmiot, który decyduje o celach i sposobach przetwarzania danych.

W tej części warto podać pełną nazwę firmy, adres, NIP, KRS lub REGON, adres e-mail do kontaktu w sprawach danych osobowych oraz informację, kto wewnętrznie odpowiada za ochronę danych. W mniejszych firmach może to być właściciel, członek zarządu albo wyznaczony pracownik.

W danych administratora warto uwzględnić

• pełną nazwę firmy,
• adres siedziby lub działalności,
• NIP, REGON i KRS, jeśli dotyczy,
• adres e-mail do kontaktu w sprawach danych,
• osobę odpowiedzialną za ochronę danych w firmie,
• informację, czy powołano inspektora ochrony danych, jeśli dotyczy,
• zasady kontaktu w sprawach związanych z RODO.

Jakie dane osobowe przetwarza firma?

Polityka powinna wskazywać kategorie danych osobowych przetwarzanych w firmie. Mogą to być dane identyfikacyjne, kontaktowe, adresowe, rozliczeniowe, pracownicze, rekrutacyjne, marketingowe, techniczne, dane dotyczące zamówień, reklamacji i korespondencji.

Warto opisać dane według grup osób, których dotyczą. Inne dane firma przetwarza o klientach, inne o pracownikach, inne o kandydatkach i kandydatach do pracy, a jeszcze inne o osobach kontaktowych po stronie kontrahentów.

Praktyczna tabela: przykładowe kategorie danych

Cele przetwarzania danych osobowych

Firma powinna wiedzieć, po co przetwarza konkretne dane. Dane nie powinny być zbierane „na zapas”, bez jasno określonego celu. W polityce warto wymienić najważniejsze cele przetwarzania, takie jak realizacja umów, obsługa klientów, wystawianie faktur, prowadzenie księgowości, marketing, rekrutacja, zatrudnienie i dochodzenie roszczeń.

Cele powinny być opisane w sposób zrozumiały. Pracownik, współpracownik albo osoba odpowiedzialna za obsługę klienta powinna po przeczytaniu polityki wiedzieć, jakie dane może zbierać i do czego może je wykorzystywać.

Typowe cele przetwarzania danych w firmie

• zawarcie i wykonanie umowy,
• obsługa zamówień i zapytań klientów,
• wystawianie faktur i prowadzenie księgowości,
• obsługa reklamacji i zwrotów,
• prowadzenie rekrutacji,
• prowadzenie działań marketingowych,
• zabezpieczenie roszczeń i obrona przed roszczeniami.

Podstawy prawne przetwarzania danych

Polityka RODO powinna wskazywać, na jakich podstawach firma przetwarza dane. W praktyce mogą to być różne podstawy, w zależności od celu. Dane klienta mogą być potrzebne do wykonania umowy, dane księgowe do wykonania obowiązków prawnych, a dane marketingowe mogą być przetwarzane na podstawie zgody albo prawnie uzasadnionego interesu, zależnie od sytuacji.

Warto unikać automatycznego wpisywania jednej podstawy dla wszystkich procesów. Każdy obszar działalności powinien zostać przeanalizowany osobno. Dzięki temu dokument będzie bardziej wiarygodny i praktyczny.

Praktyczna tabela: przykładowe podstawy przetwarzania

Zasada minimalizacji danych

Jedną z ważnych zasad ochrony danych jest przetwarzanie tylko takich danych, które są potrzebne do konkretnego celu. Firma nie powinna zbierać nadmiarowych informacji, jeżeli nie ma dla nich uzasadnienia. W polityce warto opisać, że dane są zbierane w zakresie niezbędnym do realizacji określonych procesów.

Przykładowo formularz kontaktowy zwykle nie powinien wymagać danych, które nie są potrzebne do odpowiedzi na zapytanie. Formularz rekrutacyjny nie powinien zbierać informacji niezwiązanych z rekrutacją, a sklep internetowy powinien zbierać dane potrzebne do realizacji zamówienia i obowiązków rozliczeniowych.

W praktyce warto sprawdzić

• czy formularze nie zbierają zbyt wielu danych,
• czy dane są potrzebne do konkretnego celu,
• czy pracownicy nie kopiują danych bez potrzeby,
• czy firma usuwa dane, które nie są już potrzebne,
• czy dane marketingowe są oddzielone od danych sprzedażowych,
• czy rekrutacje nie gromadzą nadmiarowych informacji,
• czy dostęp do danych mają tylko właściwe osoby.

Okres przechowywania danych

Polityka RODO powinna określać, jak długo firma przechowuje dane osobowe. Okres przechowywania zależy od celu przetwarzania. Dane potrzebne do realizacji umowy mogą być przechowywane przez czas współpracy i później przez okres potrzebny do rozliczeń lub roszczeń. Dane księgowe zwykle trzeba przechowywać zgodnie z obowiązkami rozliczeniowymi. Dane marketingowe powinny być przechowywane do czasu wycofania zgody lub sprzeciwu, zależnie od podstawy.

Warto opisać ogólne zasady, ale także wskazać najważniejsze kategorie danych. Firma powinna wiedzieć, kiedy usuwać dane z systemów, poczty, CRM, dokumentacji papierowej, archiwum i kopii roboczych.

Praktyczna tabela: przykładowe okresy przechowywania

Dostęp do danych w firmie

Polityka powinna określać, kto w firmie ma dostęp do danych osobowych. Dostęp powinien być nadawany tylko osobom, które potrzebują danych do wykonywania swoich obowiązków. Inny zakres dostępu będzie miał pracownik obsługi klienta, inny księgowość, inny dział marketingu, a inny administrator systemu.

Warto stosować zasadę ograniczonego dostępu. Oznacza to, że pracownik nie powinien mieć dostępu do danych, których nie potrzebuje. Dotyczy to zarówno systemów elektronicznych, jak i dokumentów papierowych, plików na dysku, poczty e-mail i narzędzi chmurowych.

W dostępie do danych warto określić

• kto może przetwarzać dane osobowe,
• kto nadaje i odbiera dostępy,
• jak dokumentowane są upoważnienia,
• jak wygląda dostęp do systemów firmowych,
• czy stosowane są indywidualne konta użytkowników,
• kiedy odbiera się dostęp byłemu pracownikowi,
• kto kontroluje prawidłowość uprawnień.

Upoważnienia do przetwarzania danych

Osoby, które w firmie pracują z danymi osobowymi, powinny mieć jasno określone zasady dostępu. W praktyce można stosować upoważnienia do przetwarzania danych, rejestr upoważnień albo inne rozwiązanie organizacyjne, które pokazuje, kto i w jakim zakresie może przetwarzać dane.

Upoważnienie powinno odpowiadać rzeczywistym obowiązkom danej osoby. Jeżeli pracownik obsługuje tylko zamówienia, nie powinien mieć automatycznie dostępu do danych kadrowych. Jeżeli współpracownik kończy współpracę, jego dostęp powinien zostać odebrany.

Upoważnienie może obejmować

• imię i nazwisko osoby upoważnionej,
• zakres danych, do których ma dostęp,
• cel przetwarzania danych,
• systemy i dokumenty objęte dostępem,
• datę nadania upoważnienia,
• datę cofnięcia upoważnienia,
• zobowiązanie do zachowania poufności.

Podmioty zewnętrzne i powierzenie danych

Wiele firm korzysta z usług zewnętrznych dostawców, którzy mogą mieć dostęp do danych osobowych. Może to być biuro rachunkowe, firma hostingowa, system mailingowy, agencja marketingowa, firma IT, dostawca CRM, operator płatności, kurier, kancelaria prawna albo zewnętrzny konsultant.

W polityce warto opisać, komu dane mogą być przekazywane i w jakim celu. Jeżeli podmiot zewnętrzny przetwarza dane w imieniu firmy, zwykle warto zadbać o odpowiednią umowę powierzenia przetwarzania danych albo inne właściwe ustalenia, zależnie od charakteru współpracy.

Praktyczna tabela: przykładowi odbiorcy danych

Zabezpieczenia danych osobowych

Polityka RODO powinna opisywać zabezpieczenia techniczne i organizacyjne stosowane w firmie. Nie chodzi tylko o program antywirusowy. Ochrona danych obejmuje hasła, dostęp do systemów, kopie zapasowe, szyfrowanie, blokadę ekranów, ochronę dokumentów papierowych, ograniczenie dostępu i szkolenie osób pracujących z danymi.

Zabezpieczenia powinny być dopasowane do skali działalności i rodzaju danych. Inne rozwiązania będą wystarczające w małej firmie usługowej, a inne w sklepie internetowym przetwarzającym dużą liczbę zamówień.

Przykładowe zabezpieczenia danych

• indywidualne hasła do systemów,
• ograniczenie dostępu do danych według stanowiska,
• regularne kopie zapasowe,
• aktualizacje oprogramowania,
• zabezpieczenie komputerów i telefonów,
• zamykanie dokumentów papierowych w szafach lub archiwum,
• procedura odbierania dostępów po zakończeniu współpracy.

Praca zdalna a ochrona danych

Jeżeli firma dopuszcza pracę zdalną, polityka RODO powinna uwzględniać zasady korzystania z danych poza biurem. Dotyczy to szczególnie laptopów, telefonów, połączeń internetowych, dokumentów papierowych, dostępu do poczty, systemów firmowych i rozmów z klientami.

Warto określić, czy pracownik może korzystać z prywatnego sprzętu, czy musi używać urządzeń firmowych, jak zabezpieczać pliki, czy wolno drukować dokumenty w domu i jak postępować w razie zgubienia laptopa albo telefonu.

Przy pracy zdalnej warto ustalić

• czy można pracować na prywatnym sprzęcie,
• jak zabezpieczać laptop i telefon,
• czy wymagane jest połączenie VPN lub inne zabezpieczenia,
• czy można pobierać dane na dysk lokalny,
• czy można drukować dokumenty poza biurem,
• jak usuwać dokumenty papierowe,
• jak zgłaszać zgubienie sprzętu lub dostępów.

Naruszenie ochrony danych osobowych

Polityka powinna zawierać procedurę postępowania w razie naruszenia ochrony danych. Naruszeniem może być na przykład wysłanie danych do niewłaściwej osoby, utrata laptopa, zgubienie dokumentów, nieuprawniony dostęp do systemu, włamanie na skrzynkę e-mail, przypadkowe ujawnienie listy klientów albo błędne udostępnienie pliku.

Najważniejsze jest szybkie zgłoszenie incydentu wewnątrz firmy. Osoba, która zauważy problem, powinna wiedzieć, komu go zgłosić, jakie informacje przekazać i czego nie robić samodzielnie. Firma powinna ocenić ryzyko, udokumentować zdarzenie i podjąć odpowiednie działania.

Praktyczna tabela: przykłady naruszeń i reakcje

Prawa osób, których dane dotyczą

Polityka RODO powinna uwzględniać prawa osób, których dane firma przetwarza. Osoby te mogą zwracać się do firmy z różnymi żądaniami dotyczącymi ich danych. Firma powinna mieć procedurę obsługi takich żądań i wiedzieć, kto odpowiada za przygotowanie odpowiedzi.

W praktyce osoby mogą pytać o dostęp do danych, poprawienie danych, usunięcie danych, ograniczenie przetwarzania, sprzeciw wobec przetwarzania albo przeniesienie danych, zależnie od sytuacji. Nie każde żądanie zawsze będzie możliwe do spełnienia w całości, ale każde powinno zostać przeanalizowane.

W procedurze praw osób warto określić

• adres kontaktowy do spraw RODO,
• osobę odpowiedzialną za obsługę żądań,
• sposób weryfikacji osoby zgłaszającej żądanie,
• termin odpowiedzi,
• sposób dokumentowania zgłoszeń,
• kiedy można odmówić wykonania żądania,
• jak informować osobę o podjętych działaniach.

Rejestr czynności przetwarzania

W wielu firmach przydatny jest rejestr czynności przetwarzania. To dokument, który opisuje najważniejsze procesy przetwarzania danych, takie jak obsługa klientów, sprzedaż, księgowość, rekrutacja, zatrudnienie, marketing, newsletter, reklamacje i współpraca z kontrahentami.

Rejestr pomaga uporządkować dane i ułatwia przygotowanie polityki RODO. Nawet jeżeli firma nie prowadzi bardzo rozbudowanej dokumentacji, warto mieć przynajmniej praktyczne zestawienie procesów, danych, celów, podstaw, odbiorców i okresów przechowywania.

Rejestr może zawierać

• nazwę procesu przetwarzania,
• kategorię osób, których dane dotyczą,
• zakres danych,
• cel przetwarzania,
• podstawę prawną,
• odbiorców danych,
• okres przechowywania i zabezpieczenia.

Polityka RODO a polityka prywatności

Warto odróżnić wewnętrzną politykę RODO od polityki prywatności publikowanej na stronie internetowej. Polityka RODO w firmie jest zwykle dokumentem wewnętrznym, który opisuje procedury i zasady działania przedsiębiorstwa. Polityka prywatności jest najczęściej kierowana do użytkowników strony, klientów lub osób odwiedzających serwis.

Oba dokumenty powinny być ze sobą spójne. Jeżeli polityka prywatności informuje klientów, że dane są przekazywane firmie kurierskiej i operatorowi płatności, wewnętrzna dokumentacja firmy również powinna uwzględniać te procesy.

Praktyczna tabela: polityka RODO a polityka prywatności

Polityka RODO w sklepie internetowym

Sklep internetowy zwykle przetwarza dane klientów, dane zamówień, adresy dostawy, dane płatnicze, reklamacje, zwroty, dane newsletterowe, historię korespondencji i dane techniczne użytkowników. Dlatego polityka RODO dla e-commerce powinna uwzględniać cały proces sprzedaży online.

Warto opisać, jakie dane są zbierane podczas składania zamówienia, komu są przekazywane, jak obsługiwane są płatności, dostawy, reklamacje, konta klientów, newsletter i analityka strony. Należy też pamiętać o spójności z regulaminem sklepu, polityką prywatności i ustawieniami formularzy.

W sklepie internetowym warto uwzględnić

• dane potrzebne do realizacji zamówienia,
• operatorów płatności,
• firmy kurierskie i dostawców logistycznych,
• obsługę reklamacji i zwrotów,
• konto klienta i historię zamówień,
• newsletter i kody rabatowe,
• systemy analityczne i marketingowe.

Polityka RODO a pracownicy

Jeżeli firma zatrudnia pracowników lub współpracowników, polityka powinna obejmować dane kadrowe. Mogą to być dane z umów, list płac, ewidencji czasu pracy, zwolnień, urlopów, dokumentów podatkowych, szkoleń, badań i innych dokumentów związanych ze współpracą.

Warto opisać, kto ma dostęp do danych kadrowych, gdzie są przechowywane dokumenty, jak długo są archiwizowane, komu są przekazywane i jak zabezpiecza się dane wrażliwe lub szczególnie chronione, jeśli firma je przetwarza.

W obszarze kadrowym warto uwzględnić

• dane pracowników i współpracowników,
• dokumentację zatrudnienia,
• dane płacowe i podatkowe,
• dostęp działu kadr lub biura rachunkowego,
• zasady przechowywania akt osobowych,
• ochronę dokumentów papierowych,
• procedurę odbierania dostępów po zakończeniu współpracy.

Szkolenie pracowników z RODO

Nawet najlepsza polityka nie będzie skuteczna, jeżeli osoby w firmie nie wiedzą, jak ją stosować. Dlatego warto zadbać o szkolenie pracowników i współpracowników, którzy mają dostęp do danych osobowych. Szkolenie powinno być praktyczne i dopasowane do stanowiska.

Osoba obsługująca klienta powinna wiedzieć, jak bezpiecznie odpowiadać na zapytania. Pracownik marketingu powinien rozumieć zasady newslettera i zgód. Osoba pracująca z dokumentami kadrowymi powinna znać zasady poufności i przechowywania dokumentów.

Szkolenie może obejmować

• podstawowe zasady ochrony danych,
• bezpieczne korzystanie z poczty e-mail,
• zasady pracy z formularzami i CRM,
• rozpoznawanie naruszeń danych,
• bezpieczne przechowywanie dokumentów,
• reagowanie na żądania osób, których dane dotyczą,
• procedurę zgłaszania incydentów.

Najczęstsze błędy w polityce RODO

Najczęstszym błędem jest przygotowanie dokumentu, który nie odpowiada rzeczywistości. Firma pobiera gotowy, ogólny tekst, ale nie sprawdza, czy pasuje on do jej procesów, systemów, dostawców, formularzy i sposobu pracy.

Często brakuje również okresów przechowywania danych, listy podmiotów zewnętrznych, procedury naruszeń, zasad nadawania dostępów i opisu faktycznych zabezpieczeń. Problemem może być także brak spójności między polityką RODO, polityką prywatności, umowami powierzenia i praktyką w firmie.

Błędy, których warto unikać

• kopiowanie ogólnego dokumentu bez dopasowania do firmy,
• brak opisu rzeczywistych procesów przetwarzania,
• brak wskazania podmiotów zewnętrznych,
• brak okresów przechowywania danych,
• brak procedury naruszeń,
• brak zasad nadawania i odbierania dostępów,
• brak szkoleń pracowników,
• brak aktualizacji dokumentu po zmianach w firmie,
• niespójność z polityką prywatności na stronie,
• brak dokumentowania działań związanych z ochroną danych.

Jak przygotować politykę RODO krok po kroku?

Przygotowanie polityki warto rozpocząć od analizy, jakie dane firma przetwarza i w jakich procesach. Należy sprawdzić formularze, systemy, skrzynki e-mail, dokumenty papierowe, umowy z dostawcami, księgowość, marketing, rekrutację, obsługę klientów i pracę zdalną.

Następnie warto opisać cele, podstawy prawne, odbiorców, okresy przechowywania, zabezpieczenia, dostęp pracowników, procedurę naruszeń i zasady realizacji praw osób. Dokument powinien być aktualizowany, gdy firma zmienia systemy, dostawców, formularze albo sposób działania.

Praktyczna kolejność przygotowania

1. Ustal, jakie dane osobowe przetwarza firma.
2. Podziel dane według procesów, takich jak sprzedaż, marketing, kadry i rekrutacja.
3. Określ cele i podstawy przetwarzania danych.
4. Sprawdź, komu dane są przekazywane.
5. Ustal okresy przechowywania danych.
6. Opisz zabezpieczenia techniczne i organizacyjne.
7. Ustal zasady dostępu pracowników do danych.
8. Przygotuj procedurę naruszeń i obsługi żądań osób.
9. Sprawdź spójność z polityką prywatności i umowami z dostawcami.
10. Wprowadź dokument w firmie i aktualizuj go po zmianach.

Elementy, które warto sprawdzić przed wdrożeniem

Przed wdrożeniem polityki warto sprawdzić, czy dokument jest praktyczny. Powinien odpowiadać na pytania, które rzeczywiście pojawiają się w firmie: kto ma dostęp do danych, jak długo je przechowujemy, gdzie są dokumenty, komu przekazujemy dane, co robimy przy incydencie i kto odpowiada za kontakt w sprawach RODO.

Warto również upewnić się, że polityka nie jest sprzeczna z innymi dokumentami. Jeżeli polityka prywatności na stronie mówi coś innego niż wewnętrzna polityka RODO, może to powodować nieporządek i ryzyko błędów.

Najważniejsze elementy końcowej weryfikacji

• czy polityka odpowiada rzeczywistym procesom w firmie,
• czy wskazano administratora danych,
• czy opisano kategorie danych i cele przetwarzania,
• czy określono podstawy prawne,
• czy wskazano odbiorców i dostawców zewnętrznych,
• czy określono okresy przechowywania,
• czy opisano zabezpieczenia i dostępy,
• czy istnieje procedura naruszeń,
• czy dokument jest spójny z polityką prywatności i praktyką firmy.

Dlaczego dobrze przygotowana polityka RODO jest ważna?

Dobrze przygotowana polityka RODO pomaga firmie uporządkować ochronę danych osobowych i ograniczyć ryzyko przypadkowych błędów. Dzięki niej pracownicy i współpracownicy wiedzą, jak postępować z danymi, kto może mieć do nich dostęp, jak je zabezpieczać i co zrobić w razie naruszenia.

Najważniejsze jest, aby polityka zawierała dane administratora, zakres danych, cele i podstawy przetwarzania, odbiorców danych, okresy przechowywania, zasady dostępu, zabezpieczenia, procedurę naruszeń, realizację praw osób, powierzenie danych i zasady aktualizacji dokumentacji.

Starannie przygotowany dokument jest szczególnie ważny w firmach, które obsługują klientów online, zatrudniają pracowników, prowadzą marketing, korzystają z wielu systemów albo przekazują dane podmiotom zewnętrznym. Polityka RODO powinna być żywym dokumentem, który zmienia się razem z firmą i realnie pomaga w bezpiecznym przetwarzaniu danych osobowych.