Przewodnik po zgodności z RGPD (RODO/GDPR) dla firm we Francji
Kary do 20 mln EUR lub 4% przychodów. Praktyczny przewodnik RGPD dla firm działających we Francji: zgoda, IOD, rejestr przetwarzania, powiadomienie o naruszeniu w 72h, DPIA.
Przewodnik po zgodności z RGPD dla firm we Francji
Ogólne rozporządzenie o ochronie danych (RODO/GDPR), we Francji znane jako RGPD, obowiązuje od 2018 roku, ale wiele firm wciąż nie osiągnęło pełnej zgodności. Przy karach do 20 milionów euro lub 4% globalnego rocznego obrotu i zaostrzeniu egzekwowania przez francuski organ CNIL, zgodność nie jest już opcją.
Ten przewodnik obejmuje kluczowe obowiązki i ostatnie zmiany, w tym wymagania przejrzystości AI na 2025 rok.
Dlaczego to ważne
| Rodzaj naruszenia | Maksymalna kara |
|---|---|
| Naruszenia techniczne | 10 mln EUR lub 2% obrotu |
| Naruszenia praw | 20 mln EUR lub 4% obrotu |
CNIL nałożyła ponad 400 milionów euro kar od wejścia RGPD w życie. MŚP nie są zwolnione — sankcje od 50 000 do 500 000 EUR regularnie dotykają organizacje każdej wielkości.
7 podstawowych obowiązków
1. Świadoma zgoda
Zgoda musi być:
- Dobrowolna — bez wstępnie zaznaczonych pól
- Konkretna — jedna zgoda na cel
- Świadoma — jasne wyjaśnienie wykorzystania danych
- Jednoznaczna — wymagane pozytywne działanie użytkownika
2. Rejestr czynności przetwarzania
Obowiązkowy dla organizacji z ponad 250 pracownikami, ale zalecany dla wszystkich. Musi zawierać cele, kategorie danych, odbiorców, okresy przechowywania i środki bezpieczeństwa.
3. Inspektor Ochrony Danych (IOD/DPO)
Wymagany dla organów publicznych, organizacji przetwarzających dane na dużą skalę oraz tych obsługujących dane wrażliwe. Nawet bez obowiązku, wyznaczenie IOD jest najlepszą praktyką.
4. Ocena skutków dla ochrony danych (DPIA)
Wymagana, gdy przetwarzanie może powodować wysokie ryzyko dla praw osób. Przykłady: monitoring wideo, profilowanie, przetwarzanie danych zdrowotnych.
5. Powiadomienie o naruszeniu
W przypadku naruszenia danych:
- 72 godziny na powiadomienie CNIL
- Powiadomienie osób dotkniętych przy wysokim ryzyku
- Dokumentowanie każdego naruszenia, nawet drobnego
6. Prawo do informacji
Każda osoba musi wiedzieć, jakie dane są gromadzone, dlaczego, jak długo przechowywane, kto ma dostęp i jak korzystać ze swoich praw (dostęp, sprostowanie, usunięcie, przenoszenie).
7. Przejrzystość AI (Nowość 2025)
Od 2025 roku organizacje wykorzystujące AI do automatycznych decyzji muszą informować osoby, wyjaśniać zastosowaną logikę i umożliwiać kwestionowanie decyzji.
Bezpieczne udostępnianie dokumentów zgodności
Dokumenty zgodności RGPD zawierają wrażliwe informacje: rejestry przetwarzania, oceny skutków, raporty audytowe, korespondencję z regulatorami.
Wysyłanie zwykłym e-mailem tworzy dodatkowe ryzyko. LOCK.PUB umożliwia utworzenie linku chronionego hasłem z automatycznym wygaśnięciem, aby bezpiecznie udostępniać dokumenty IOD, prawnikowi lub CNIL. Wyślij link przez WhatsApp — wygodnie i bezpiecznie.
Bezpłatne narzędzia CNIL
CNIL oferuje kilka bezpłatnych narzędzi:
- PIA: oprogramowanie do oceny skutków open-source
- Szablon rejestru przetwarzania (do pobrania z cnil.fr)
- Przewodnik dla podwykonawców (obowiązki podmiotów przetwarzających)
- Ramy sektorowe (zdrowie, HR, klienci)
Lista kontrolna zgodności RGPD
- Aktualny rejestr przetwarzania
- Opublikowana polityka prywatności
- Zgodny baner cookie
- Udokumentowane procesy zgody
- Wyznaczony IOD (jeśli wymagany)
- Procedura powiadamiania o naruszeniach
- Umowy z dostawcami z klauzulami RGPD
- Szkolenie personelu
- DPIA dla przetwarzania wysokiego ryzyka
- Proces odpowiadania na żądania podmiotów danych
Częste błędy
- Mylenie zgody z uzasadnionym interesem — to dwie różne podstawy prawne
- Nadmierne przechowywanie danych — trzymanie danych "na wszelki wypadek" jest nielegalne
- Zapominanie o dostawcach — jesteś odpowiedzialny za swoich przetwarzających
- Zaniedbywanie bezpieczeństwa — RGPD wymaga odpowiednich środków technicznych
- Ignorowanie praw podmiotów danych — masz 1 miesiąc na odpowiedź
Podsumowanie
Zgodność z RGPD to ciągły proces, nie jednorazowy projekt. Zasady się zmieniają, CNIL zaostrza egzekwowanie, a oczekiwania obywateli dotyczące prywatności stale rosną.
Zacznij od podstaw — rejestr, przejrzystość, bezpieczeństwo — i buduj na tym. Gdy musisz udostępnić wrażliwe dokumenty zgodności, użyj LOCK.PUB.
Ochrona danych to nie tylko obowiązek prawny. To zobowiązanie wobec klientów i pracowników.
Keywords
You might also like
Hiszpańskie RGPD i LOPDGDD: przewodnik po ochronie danych dla firm
Praktyczny przewodnik po zgodności z GDPR/LOPDGDD dla firm działających w Hiszpanii. AEPD, zgoda, DPO, powiadomienia o naruszeniach i kary.
Planowanie dziedzictwa cyfrowego: jak uporządkować swoje cyfrowe aktywa
Bankowość online, media społecznościowe, kryptowaluty, subskrypcje... Czy Twoja rodzina mogłaby to wszystko odnaleźć i zarządzać?
Cyfrowi Grabarze w Korei: Branża Usuwająca Twoją Przeszłość Online
Poznaj koreańską branżę cyfrowych grabarzy — profesjonalistów usuwających niechciane treści z internetu.
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free