Skip to content

Rozliczalność w RODO: co firmy w UE muszą udokumentować

Rozliczalność w RODO to dowód zgodności, a nie sama deklaracja. Jakie dokumenty firmy w UE muszą prowadzić — rejestr czynności, DPIA, polityki — i jak je zbudować.

Rozproszone zapisy o przetwarzaniu danych scalające się w jeden kompletny, sprawdzony zestaw dokumentacji rozliczalności RODO, na tle wyblakłej mapy Europy — granat i koral na kremowym tle.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Większość firm traktuje zgodność z RODO jak stan, który się osiąga — podpisać politykę, dodać baner cookies i gotowe. Rozporządzenie traktuje ją jako coś, co trzeba umieć udowodnić. To zasada rozliczalności i zarazem ciche centrum całego prawa: zgodnie z art. 5 ust. 2 RODO firma jest odpowiedzialna za przestrzeganie zasad ochrony danych i musi być w stanie wykazać ich przestrzeganie [1]. W praktyce tym dowodem jest zestaw dokumentów — rejestrów, ocen, polityk i procedur, które rzetelnie i spójnie opisują, jak organizacja faktycznie postępuje z danymi osobowymi. Dla europejskiej firmy bez działu prawnego zbudowanie i utrzymanie tego zestawu to właściwe zadanie wynikające z RODO. Niniejszy przewodnik pokazuje, co składa się na ten zestaw, po co istnieje każdy element i jak obowiązek różni się w obrębie Europy — w tym dlaczego „europejski" to nie to samo co „brytyjski".

Szybka odpowiedź. Rozliczalność w RODO (art. 5 ust. 2) oznacza, że firma musi nie tylko przestrzegać prawa ochrony danych, lecz także umieć to wykazać — za pomocą dokumentacji. Trzon zestawu to rejestr czynności przetwarzania, warstwa podstawy prawnej i klauzul informacyjnych, umowy powierzenia oraz DPIA tam, gdzie ryzyko jest wysokie — a wszystko to utrzymywane rzetelnie, dostosowane do firmy i wewnętrznie spójne.

Co rozliczalność naprawdę oznacza w RODO

Większość obowiązków z RODO jest w zarysie znana: mieć podstawę prawną, informować ludzi o tym, co robi się z ich danymi, dbać o ich bezpieczeństwo, szanować ich prawa. Rozliczalność to zasada, która zamienia te obowiązki z deklaracji w coś sprawdzalnego. Art. 5 ust. 2 RODO czyni administratora „odpowiedzialnym za przestrzeganie" zasad ochrony danych i zdolnym do wykazania tej zgodności, a art. 24 wymaga wdrożenia odpowiednich środków oraz zdolności do wykazania, że przetwarzanie odbywa się zgodnie z rozporządzeniem [1]. Kluczowe są słowa być w stanie wykazać. Zgodność, której nie da się pokazać na papierze na żądanie, się nie liczy.

To przesunięcie ciężaru dowodu. Organ nadzorczy wszczynający postępowanie, korporacyjny klient prowadzący weryfikację dostawcy czy kontrahent negocjujący umowę nie zakłada na wstępie, że firma jest niezgodna z prawem — ale w chwili, gdy pada „proszę pokazać", to po stronie firmy, a nie po ich stronie, leży obowiązek przedstawienia spójnego dowodu. A stosowany przez nich test nie polega na ilości. Segregator ogólnych polityk nie robi na nikim wrażenia; organy szukają konkretności i wewnętrznej spójności — dokumentów, które opisują rzeczywiste przetwarzanie, wskazują faktyczne systemy i dostawców oraz nie przeczą sobie nawzajem. Wytyczne Komisji Europejskiej dla organizacji ujmują ten obowiązek dokładnie w tych kategoriach: wykazywanie zgodności poprzez rejestry, oceny skutków i dokumentację naruszeń [2].

Stawka kryjąca się za tym słowem nie jest abstrakcyjna. RODO wspiera rozliczalność administracyjnymi karami pieniężnymi w wysokości do 20 mln EUR lub 4 % całkowitego rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa — za najpoważniejsze naruszenia [1]. Dla większości małych firm i firm z segmentu średnich przedsiębiorstw dotkliwsza i częstsza presja jest jednak komercyjna, a nie regulacyjna: dział zakupów większego klienta lub jego proces weryfikacji dostawcy prosi o rejestr czynności przetwarzania, umowę powierzenia i dokumentację bezpieczeństwa, zanim cokolwiek podpisze — a transakcja grzęźnie w tym tygodniu, w którym nie da się ich przedstawić. Dokumentacja rozliczalności po cichu stała się warunkiem sprzedaży do większych organizacji, a ta sama logika obejmuje ubezpieczycieli i partnerów. Dlatego firmy coraz częściej budują ten zestaw proaktywnie, jako handlowe poświadczenie pozwalające kontrahentowi powierzyć im dane osobowe, zamiast czekać, aż zapyta o niego regulator.

Rozliczalność przestawia więc całe ćwiczenie. Pytanie nie brzmi już „czy jesteśmy zgodni?" w oderwaniu, lecz „co możemy pokazać, tu i teraz, o każdej czynności, którą wykonujemy na danych osobowych?". Wszystko poniżej jest odpowiedzią na to pytanie.

Zestaw dokumentacji: co europejskie firmy muszą pokazać

Nie istnieje jeden „certyfikat RODO". Rozliczalność potwierdza zamiast tego zestaw dokumentów — każdy powiązany z konkretnym obowiązkiem — które razem obejmują każdą czynność, w ramach której organizacja przetwarza dane osobowe. To, których elementów potrzeba, zależy od tego, co się robi — samo oparcie się na dostawcy wciąga umowę powierzenia, a przetwarzanie wysokiego ryzyka wciąga ocenę skutków — ale trzon jest spójny dla europejskich firm.

Mówiąc wprost, zestaw buduje się czynność po czynności:

  • Rejestr czynności przetwarzania, art. 30. Dokument szkieletowy: inwentarz każdej czynności przetwarzania — jakie dane, czyje, w jakim celu, na jakiej podstawie, komu są udostępniane, jak długo przechowywane, co je chroni. Organy krajowe, takie jak francuski CNIL, publikują szablony właśnie dlatego, że to narzędzie, po które sięgają jako pierwsze; jest to — mówiąc słowami organów — dokument o przeznaczeniu zarówno inwentaryzacyjnym, jak i analitycznym, który musi odzwierciedlać rzeczywistość przetwarzania [1][4].
  • Podstawa prawna dla każdej czynności, art. 6 — wraz z oceną prawnie uzasadnionego interesu. Każda czynność potrzebuje jednej z sześciu podstaw prawnych. Tam, gdzie podstawą jest prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO), trzeba udokumentować trójstopniowy test równowagi — cel, niezbędność oraz wyważenie wobec praw jednostki — dyscyplinę, którą Trybunał Sprawiedliwości potwierdził w wyroku z 2024 r. w sprawie KNLTB [1][9].
  • Klauzule informacyjne, art. 13–14. To, co przekazują Państwo osobom, których dane są przetwarzane, w zależności od tego, czy zebrano je bezpośrednio od nich, czy nie. Klauzula musi być zgodna z rejestrem czynności; rozbieżność między deklaracją a zapisem w rejestrze to właśnie ten rodzaj sprzeczności, którego szuka organ [1].
  • Umowy powierzenia przetwarzania, art. 28. Ilekroć dostawca przetwarza dane osobowe w imieniu Państwa firmy — biuro kadrowo-płacowe, dostawca chmury, platforma poczty — art. 28 wymaga umowy o określonej treści. Komisja publikuje oficjalne standardowe klauzule umowne właśnie do tego celu, na których zgodna z prawem umowa może się oprzeć [1][5].
  • Zabezpieczenia transferu, rozdział V. Jeśli dane osobowe opuszczają Europejski Obszar Gospodarczy, potrzebny jest ważny mechanizm transferu — decyzja stwierdzająca odpowiedni stopień ochrony albo standardowe klauzule umowne Komisji dla transferów międzynarodowych [1][6].
  • Ocena skutków dla ochrony danych (DPIA), art. 35. Wymagana tam, gdzie przetwarzanie może powodować wysokie ryzyko — szczególne kategorie danych na dużą skalę, systematyczne monitorowanie, zakrojone na szeroką skalę profilowanie. Europejskie wytyczne podają dziewięć kryteriów i traktują dwa lub więcej jako próg uruchamiający; każdy organ krajowy publikuje też własną listę obowiązkowych DPIA [1][3].
  • Procedury, nie tylko dokumenty. Wokół zestawu działają elementy operacyjne: proces obsługi żądań osób, których dane dotyczą, w terminie jednego miesiąca (art. 12–22), proces reagowania na naruszenia zdolny zgłosić je organowi w ciągu 72 godzin, gdy jest to wymagane (art. 33–34), oraz wewnętrzna polityka opisująca środki techniczne i organizacyjne, które zabezpieczają dane (art. 24, 32) [1].

Taka jest anatomia. Sztuką jest uczynić ją własną — tak by każde pole dało się prześledzić do czegoś prawdziwego o firmie — a nie folderem prawdopodobnie wyglądającego ogólnego tekstu.

Jedno rozporządzenie, wiele organów — obraz europejski

Tu właśnie europejskie ujęcie ma znaczenie i tu łatwo o pomyłkę, czytając porady skrojone pod Wielką Brytanię. RODO to rozporządzenie, a nie dyrektywa: Rozporządzenie (UE) 2016/679 stosuje się bezpośrednio w każdym państwie członkowskim UE i szerszym Europejskim Obszarze Gospodarczym, obejmującym Norwegię, Islandię i Liechtenstein [1][2]. Nośne artykuły — rozliczalność, podstawa prawna, rejestr czynności przetwarzania, DPIA, prawa osób, których dane dotyczą — to identyczny tekst w Niemczech, Francji, we Włoszech, w Hiszpanii, Polsce, na Słowacji i wszędzie indziej. Firma działająca w całej Europie buduje unijny trzon raz.

Zmienia się warstwa krajowa nadbudowana na tym trzonie. Każdy kraj ma własny organ nadzorczy — CNIL we Francji, Garante we Włoszech, AEPD w Hiszpanii, BfDI i organy krajów związkowych (Länder) w Niemczech, a w Polsce Prezes UODO — i każdy może wydać odrębności krajowe: wiek, w którym dziecko może wyrazić zgodę na usługi online (ustalony w przedziale od 13 do 16 lat w obrębie Unii), przepisy o danych pracowniczych oraz własną listę operacji, które zawsze wymagają DPIA. Spójność między tymi organami spaja Europejska Rada Ochrony Danych (EROD) oraz mechanizm kompleksowej współpracy (one-stop-shop), dzięki czemu trzon się nie rozpada [8]. Dla zestawu dokumentacji rozliczalności oznacza to, że struktura jest jednolita, a zmienność ograniczona: zmapuj unijny trzon, a potem nałóż garść krajowych odrębności dla każdego kraju, w którym działasz.

I właśnie dlatego „europejski" to nie to samo co „brytyjski". Od brexitu Wielka Brytania jest poza RODO. Stosuje własne UK GDPR obok Data Protection Act 2018, pod nadzorem ICO, i zaczęła odchodzić od tekstu unijnego w drodze reform krajowych. Szwajcaria, nigdy nienależąca do UE, ma własną zrewidowaną ustawę o ochronie danych (Federal Act on Data Protection). Firma skupiona na UE powinna więc traktować Wielką Brytanię i Szwajcarię jako odrębne, równoległe reżimy — osobne jurysdykcje wymagające własnej dokumentacji — a nie warianty lokalne unijnego rozporządzenia [2]. Wiele szeroko rozpowszechnionych porad „o RODO" to w istocie porady brytyjskie; dla przetwarzania osadzonego w UE i EOG właściwe rozporządzenie, organy i teksty źródłowe, na które należy się powoływać, są europejskie.

Gdzie rozliczalność staje się trudniejsza: AI i decyzje zautomatyzowane

Wdrożenie AI nie tworzy odrębnego wszechświata zgodności, ale dokłada ciężaru zestawowi dokumentacji rozliczalności. Liczą się trzy kwestie. Po pierwsze, zautomatyzowane podejmowanie decyzji i profilowanie, które wywołuje skutki prawne lub podobnie istotne wobec osób, podlega szczególnym zabezpieczeniom z art. 22 — w tym, w wielu przypadkach, prawu do interwencji człowieka [1]. Po drugie, AI przetwarzające dane osobowe na dużą skalę lub profilujące jednostki często spełnia kryteria z art. 35 i tym samym wymaga DPIA [1][3]. Po trzecie, do każdego trenowania lub wnioskowania na danych osobowych nadal potrzebna jest jasna, udokumentowana podstawa prawna.

Ponad RODO akt w sprawie sztucznej inteligencji (Rozporządzenie (UE) 2024/1689, „AI Act") wprowadza odrębną, opartą na ryzyku warstwę obowiązków wobec samych systemów AI [7]. Oba reżimy biegną równolegle: akt w sprawie sztucznej inteligencji reguluje system, a RODO reguluje dane osobowe, których ten system dotyka — i rozliczalność z RODO obowiązuje od chwili, gdy system AI przetwarza dane osobowe, niezależnie od tego, jak akt w sprawie sztucznej inteligencji go klasyfikuje. Praktyczny skutek jest taki, że organizacja przenosząca pracę do AI ma do udokumentowania więcej, a nie mniej. Szerszą zbieżność regulacyjną omawiamy w przewodniku po ładzie nad AI i regułach, które obowiązują, a model działania, który sprawia, że dowody powstają jako produkt uboczny zwykłej pracy — w tekście o firmie AI-nativeEN.

Uczciwe zastrzeżenie: dokumentacja jest konieczna, lecz niewystarczająca

Wygodnie byłoby powiedzieć, że gdy zestaw już istnieje, są Państwo zgodni z prawem. Tak nie jest — a udawanie, że jest inaczej, to klasyczny sposób, w jaki rozliczalność zawodzi. Trzy uczciwe ograniczenia.

Po pierwsze, dokumenty muszą odpowiadać rzeczywistości, a opisane praktyki trzeba realnie stosować. Polityka opisująca kontrole dostępu, których systemy nie egzekwują, albo rejestr pomijający monitoring na recepcji nie jest neutralny — jest dowodem niezgodności. Zestaw wykazuje rozliczalność tylko wtedy, gdy jest konkretny, wewnętrznie spójny i faktycznie stosowany. Po drugie, zestaw dokumentacji nie jest poradą prawną ani certyfikacją. Sporządzenie dokumentów wymaganych przez prawo to ustrukturyzowane redagowanie, a nie opinia prawna co do Państwa konkretnej sytuacji; nie istnieje też status „certyfikowanej zgodności z RODO" nadawany samym dobrym papierom — formalna ścieżka certyfikacji na podstawie art. 42 to odrębny, akredytowany mechanizm. Po trzecie, niektóre sytuacje wymagają specjalisty. Naprawdę złożona DPIA, sporna struktura transgraniczna czy toczące się postępowanie organu nadzorczego to nie obszar szablonów; właściwym krokiem jest wtedy zwrócenie się do wykwalifikowanego doradcy, a dobry proces rozliczalności podpowiada, kiedy.

Nazwanie tych ograniczeń nie jest asekuracją. To różnica między zestawem, który wytrzymuje kontrolę, a folderem, który rozsypuje się, gdy ktoś po raz pierwszy uważnie go przeczyta.

Jak zbudować zestaw dokumentacji rozliczalności

Realnie są trzy sposoby, by stworzyć ten zestaw. Kancelaria prawna lub konsultant pełniący funkcję inspektora ochrony danych dają dokładność i osąd, ale powoli i za cenę, która obciąża mniejszą firmę. Gotowe szablony są szybkie i tanie, lecz nie przechodzą testu konkretności i spójności, który organy faktycznie stosują — a sprzeczny lub pusty zestaw jest gorszy niż uczciwa luka. Trzecia droga to produktowy, generowany zestaw: odpowiadają Państwo na ustrukturyzowane pytania o firmę i jej czynności przetwarzania, a dostosowany, wewnętrznie spójny zestaw jest składany z biblioteki klauzul opartej na rozporządzeniu i oficjalnych wytycznych — szybko, jak szablony, lecz konkretnie dla Państwa, jak u prawnika.

Zbuduj zestaw bez harmonogramu kancelarii prawnej. GDPR Accountability Documentation od easyAI zamienia krótki, prowadzony kwestionariusz o Państwa firmie i sposobie, w jaki przetwarza dane osobowe, w dostosowany, wewnętrznie spójny zestaw dokumentacji rozliczalności — rejestr czynności przetwarzania, wewnętrzną politykę, klauzule informacyjne, umowy powierzenia, ocenę prawnie uzasadnionego interesu tam, gdzie jest potrzebna, oraz wstępną kwalifikację do DPIA — wygenerowany w kilka dni, po angielsku oraz w Państwa języku krajowym, za ułamek kosztu indywidualnego zlecenia. To wsparcie dokumentacyjne, a nie porada prawna czy certyfikacja, i zakłada, że stosują Państwo to, co opisuje. Jeśli Państwa kolejnym krokiem jest AI, a nie papiery, AI Foundation AuditEN wskazuje, gdzie automatyzacja się zwraca; warto zacząć od przykładowego raportuEN. Oba produkty działają na platformie easyAI pod adresem aiprioritymap.com.

Sekwencja po Państwa stronie jest prosta: zinwentaryzować każdą czynność dotykającą danych osobowych, ustalić dla każdej podstawę prawną, sporządzić opisujące je rejestry i klauzule, oprzeć na umowach relacje z dostawcami, ocenić przypadki wysokiego ryzyka i uruchomić procedury praw osób oraz reagowania na naruszenia — a następnie utrzymywać całość na bieżąco, w miarę jak zmienia się przetwarzanie. Rozliczalność nie jest projektem, który się kończy; to stan, który się utrzymuje. Ale pierwsze, najtrudniejsze 80 % — kompletny, spójny, dostosowany do firmy zestaw, który można przedstawić każdemu, kto o niego poprosi — to dokładnie ta część, którą można dziś wygenerować, zamiast budować ręcznie.

Najczęściej zadawane pytania

Podsumowanie

Rozliczalność w RODO — trzeba ją wykazać, nie tylko zadeklarować
│
├─ Zasada (art. 5 ust. 2 i art. 24)
│   ├─ Zgodność trzeba wykazać, a nie tylko zadeklarować
│   ├─ Ciężar dowodu spoczywa na Państwu — administratorze
│   └─ Organy badają konkretność i spójność, nie objętość
│
├─ Co trzeba umieć wykazać
│   ├─ Rejestr czynności przetwarzania — każda czynność (art. 30)
│   ├─ Podstawa prawna + ocena równowagi dla prawnie uzasadnionego interesu (art. 6)
│   ├─ Informacje · umowy z art. 28 · transfery (art. 13/14, 28, rozdz. V)
│   └─ DPIA przy wysokim ryzyku · prawa + procedury naruszeń
│
└─ Jedno rozporządzenie, wiele organów
    ├─ UE + EOG mają wspólny rdzeń — mapowany raz
    ├─ Krajowe organy dodają specyfikę — CNIL, Garante, AEPD…
    └─ To nie Wielka Brytania — UK GDPR i szwajcarska FADP są osobne

Powiązane materiały

Zapowiadane teksty w tym klastrze: jak zbudować rejestr czynności przetwarzania, kiedy i jak przeprowadzić DPIA, jak wybrać podstawę prawną, procedury praw osób, których dane dotyczą, umowa powierzenia przetwarzania z art. 28 oraz RODO dla AI i decyzji zautomatyzowanych.


Ostatnia aktualizacja: czerwiec 2026. Wersja 1.0.

Frequently Asked Questions

Czym jest zasada rozliczalności w RODO?
Rozliczalność określa art. 5 ust. 2 RODO: administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych i musi być w stanie wykazać ich przestrzeganie. Zasada ta przenosi ciężar dowodu na firmę. Nie wystarczy zgodnie z prawem przetwarzać dane osobowe — trzeba umieć dokumentami pokazać, jak i dlaczego się to robi. To właśnie ten dowód chce zobaczyć organ nadzorczy, klient lub kontrahent.
Jakich dokumentów RODO faktycznie wymaga?
Trzon dokumentacji rozliczalności to rejestr czynności przetwarzania (art. 30), podstawa prawna dla każdej czynności wraz z oceną prawnie uzasadnionego interesu tam, gdzie się na niej opiera (art. 6), klauzule informacyjne dla osób, których dane są przetwarzane (art. 13–14), umowy powierzenia przetwarzania z dostawcami (art. 28) oraz ocena skutków dla ochrony danych, gdy przetwarzanie może powodować wysokie ryzyko (art. 35). Wokół nich działają procedury obsługi praw osób oraz reagowania na naruszenia, a także wewnętrzna polityka opisująca środki techniczne i organizacyjne.
Czy RODO obowiązuje tak samo w całej Europie?
Trzon — tak. Rozporządzenie (UE) 2016/679 stosuje się bezpośrednio w całej UE i szerszym Europejskim Obszarze Gospodarczym — te same artykuły obowiązują w Niemczech, Francji, we Włoszech, na Słowacji i w każdym innym państwie członkowskim, a także w Norwegii, Islandii i Liechtensteinie. Różni się warstwa krajowa: każdy kraj ma własny organ nadzorczy oraz kilka odrębności krajowych, takich jak wiek zgody dziecka na usługi online, przepisy o danych pracowniczych czy lista operacji, które zawsze wymagają DPIA.
Czy Wielka Brytania jest objęta RODO?
Już nie. Po brexicie Wielka Brytania stosuje własne UK GDPR obok Data Protection Act 2018, pod nadzorem ICO, i zaczęła odchodzić od tekstu unijnego w drodze reform krajowych. Podobnie Szwajcaria ma własną zrewidowaną ustawę o ochronie danych. „Europejska" ochrona danych nie jest więc jednym reżimem: UE i EOG mają wspólny trzon, natomiast Wielka Brytania i Szwajcaria to odrębne, równoległe systemy, które firma skupiona na UE traktuje jak oddzielne jurysdykcje, a nie warianty lokalne.
Czy małe firmy i MŚP muszą prowadzić rejestr czynności przetwarzania?
Zwykle tak. Art. 30 ust. 5 z pozoru zwalnia podmioty zatrudniające poniżej 250 osób, ale wyłączenie to upada, jeśli przetwarzanie nie ma charakteru sporadycznego, może powodować ryzyko dla osób lub obejmuje szczególne kategorie danych — co opisuje niemal każdą firmę prowadzącą kadry i płace, posiadającą bazę klientów lub stosującą monitoring wizyjny. W praktyce większość MŚP nie jest zwolniona, a europejskie organy i tak zdecydowanie zalecają prowadzenie rejestru, bo to najużyteczniejsze narzędzie wykazania rozliczalności.
Kiedy firma potrzebuje oceny skutków dla ochrony danych (DPIA)?
DPIA jest wymagana na podstawie art. 35, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób — w szczególności przetwarzanie szczególnych kategorii danych na dużą skalę, systematyczne monitorowanie miejsc publicznych albo systematyczne i zakrojone na szeroką skalę profilowanie wywołujące skutki prawne lub podobnie istotne. Europejskie wytyczne podają dziewięć kryteriów ryzyka i traktują spełnienie dwóch lub więcej jako wyraźny sygnał potrzeby DPIA. Każdy organ krajowy publikuje też własną listę operacji, które zawsze jej wymagają.
Czy można po prostu użyć gotowych szablonów dokumentów RODO?
Szablony bywają punktem wyjścia, ale nie przechodzą testu, który organy faktycznie stosują, czyli konkretności i wewnętrznej spójności. Polityka opisująca zabezpieczenia, których systemy nie mają, albo rejestr pomijający monitoring na recepcji to dowód niezgodności, a nie jej potwierdzenie. Dokumenty muszą opisywać rzeczywiste przetwarzanie w organizacji, wskazywać faktyczne systemy i dostawców oraz nie przeczyć sobie nawzajem — a opisane praktyki trzeba następnie stosować.
Czy korzystanie z AI zmienia obowiązki wynikające z RODO?
Raczej podnosi stawkę, niż zastępuje reguły. Zautomatyzowane podejmowanie decyzji i profilowanie podlegają szczególnym zabezpieczeniom z art. 22, AI przetwarzające dane osobowe na dużą skalę często wymaga DPIA, a do każdego trenowania lub wnioskowania na danych osobowych nadal potrzebna jest jasna podstawa prawna. Akt w sprawie sztucznej inteligencji dokłada odrębną, opartą na ryzyku warstwę obowiązków wobec systemów AI, lecz rozliczalność z RODO obowiązuje od chwili, gdy system AI dotyka danych osobowych — dokumentacja ma po prostu więcej do ujęcia.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.