Przejdź do treści
Rozwiązania

Zgodność z RODO
zarządzanie dokumentami

To nie tylko „odhaczenie” wymogów GDPR. Każda decyzja architektoniczna — gdzie mieszkają dane, jak przetwarza je AI, jak działa szyfrowanie — została podjęta z myślą o prawie UE. Ponieważ jesteśmy firmą z UE i to jedyny sposób, w jaki chcemy to budować.

Ostatnia aktualizacja: kwiecień 2026

Czy naprawdę potrzebujesz DMS zgodnego z RODO?

  • Jeśli Twoja firma przechowuje dokumenty zawierające dane osobowe — nazwiska, adresy, dane finansowe, akta pracownicze — RODO Cię dotyczy. Nie ma znaczenia, czy masz 5 klientów, czy 50 000. Kary za brak zgodności sięgnęły 1,145 miliarda euro tylko w 2025 roku, a organy nadzorcze coraz częściej biorą na cel MŚP, a nie tylko gigantów technologicznych.
  • System zarządzania dokumentami zgodny z RODO sam w sobie nie czyni Cię zgodnym z przepisami. Usuwa jednak bariery techniczne, które uniemożliwiają zachowanie zgodności: wiedzę o tym, jakie dane posiadasz, znajdowanie ich na żądanie, kontrolowanie dostępu i usuwanie ich, gdy jest to wymagane.
  • Konkluzja: Jeśli przechowujesz dokumenty z danymi osobowymi na Dysku Google, Dropboxie lub w udostępnionym folderze NAS, masz problem z RODO, o którym możesz nie wiedzieć. Dedykowany DMS z hostingiem w UE, szyfrowaniem i ścieżkami audytu daje Ci fundament techniczny, którego wymagają przepisy.

7 zasad RODO i co oznaczają one dla zarządzania dokumentami

Artykuł 5 RODO definiuje siedem zasad, które rządzą każdym przetwarzaniem danych osobowych. Każdy system zarządzania dokumentami, którego używasz, musi wspierać te zasady — w przeciwnym razie budujesz zgodność na fundamencie, który nie przetrwa kontroli. Oto co każda zasada oznacza w praktyce przy przechowywaniu, organizowaniu i pobieraniu dokumentów zawierających dane osobowe.

Zasada Artykuł GDPR Znaczenie dla zarządzania dokumentami
Zgodność z prawem, rzetelność i przejrzystość Art. 5(1)(a) Musisz mieć podstawę prawną do przechowywania każdego dokumentu z danymi osobowymi. Twój DMS powinien jasno określać, jakie dane są przechowywane i jak przetwarzane — ścieżki audytu i logi aktywności służą spełnieniu wymogu przejrzystości.
Ograniczenie celu Art. 5 ust. 1 lit. b Dokumenty zebrane w jednym celu (np. w celu realizacji umowy) nie mogą być wykorzystane do innych celów bez nowej podstawy prawnej. Twój DMS nie może wykorzystywać treści dokumentów do celów niezwiązanych — takich jak trenowanie modeli AI na Twoich danych.
Minimalizacja danych Art. 5 ust. 1 lit. c Przechowuj tylko te dokumenty, które są adekwatne, stosowne i niezbędne. DMS z wyszukiwaniem pełnotekstowym i klasyfikacją AI pomaga zidentyfikować zbędne lub niepotrzebne dokumenty i usunąć je — zamiast trzymać wszystko „na wszelki wypadek”.
Prawidłowość Art. 5 ust. 1 lit. d Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Gdy osoba, której dane dotyczą, zażąda sprostowania na podstawie art. 16, musisz zlokalizować każdy dokument zawierający jej nieaktualne informacje. Wyszukiwanie pełnotekstowe w całym archiwum sprawia, że jest to wykonalne.
Ograniczenie przechowywania Art. 5 ust. 1 lit. e Dane osobowe nie mogą być przechowywane dłużej, niż jest to konieczne. Wymaga to harmonogramów retencji oraz możliwości znajdowania i usuwania dokumentów według daty, typu i osoby. Bez systemu DMS egzekwowanie retencji w rozproszonych folderach jest praktycznie niemożliwe.
Integralność i poufność Art. 5 ust. 1 lit. f Dokumenty muszą być chronione przed nieuprawnionym dostępem, przypadkową utratą lub zniszczeniem. Oznacza to szyfrowanie danych w spoczynku i w transmisji, kontrolę dostępu opartą na rolach oraz bezpieczeństwo infrastruktury — a nie tylko hasło do wspólnego folderu.
Rozliczalność Art. 5 ust. 2 Musisz być w stanie wykazać zgodność, a nie tylko o niej zapewniać. Niezbędne są ścieżki audytu, które rejestrują, kto, kiedy i jaki dokument przeglądał oraz jakie działania podjął. Jeśli organ nadzorczy poprosi o dowód, odpowiedź „przestrzegamy najlepszych praktyk” nie wystarczy.

Wymagania techniczne dla zarządzania dokumentami zgodnego z RODO

RODO nie narzuca konkretnych technologii — Artykuł 32 wymaga „odpowiednich środków technicznych i organizacyjnych” w oparciu o stan wiedzy technicznej, koszt i ryzyko. W praktyce, dla systemów zarządzania dokumentami przetwarzających dane osobowe, cztery możliwości techniczne stały się standardem oczekiwanym przez organy nadzorcze. Standaryzowany szablon DPIA (v1.0) wydany przez EROD w marcu 2026 r. wzmacnia to podejście, wymagając od administratorów dokumentowania dokładnie tych środków przy ocenie ryzyka przetwarzania.

Szyfrowanie danych w spoczynku i podczas przesyłania

Artykuł 32 ust. 1 lit. a wskazuje na szyfrowanie jako odpowiedni środek bezpieczeństwa. Standardem branżowym jest szyfrowanie AES-256 dla danych w spoczynku oraz TLS 1.2+ dla danych w przesyłaniu. Veluvanto wykorzystuje SSE-C (Server-Side Encryption with Customer-Provided Keys) dla danych w spoczynku oraz TLS dla wszystkich danych w przesyłaniu. Twoje dokumenty są szyfrowane od momentu opuszczenia przeglądarki do momentu ich zapisania — a klucze szyfrujące nie są udostępniane dostawcy infrastruktury.

Kontrola dostępu i uwierzytelnianie

Artykuł 32 ust. 1 lit. b wymaga zdolności do zapewnienia ciągłej poufności systemów przetwarzania. W praktyce oznacza to kontrolę dostępu opartą na rolach (RBAC): nie każdy w Twojej organizacji powinien widzieć każdy dokument. Veluvanto wdraża uprawnienia na poziomie obszaru roboczego z rolami Administratora, Edytora i Widza. Każdy użytkownik uwierzytelnia się indywidualnie — brak współdzielonych loginów, brak anonimowego dostępu. Każde działanie jest powiązane ze zweryfikowaną tożsamością.

Ścieżki audytu i rejestry czynności przetwarzania

Artykuł 30 wymaga od administratorów prowadzenia rejestru czynności przetwarzania. W przypadku zarządzania dokumentami przekłada się to na automatyczne logowanie informacji o tym, kto uzyskał dostęp do dokumentu, kiedy i jakie działanie wykonał (wyświetlenie, edycja, pobranie, usunięcie). Veluvanto prowadzi logi aktywności dla każdego obszaru roboczego, które stanowią podstawę Twojej dokumentacji zgodnie z art. 30. Logi te nie podlegają edycji i nie mogą zostać usunięte przez członków obszaru roboczego.

Umowy powierzenia przetwarzania danych i podprocesorzy

Artykuł 28 wymaga zawarcia umowy powierzenia przetwarzania danych (DPA) z każdym podmiotem przetwarzającym dane osobowe w Twoim imieniu. Dotyczy to dostawcy DMS, dostawcy infrastruktury chmurowej oraz wszelkich usług AI wykorzystywanych do przetwarzania dokumentów. Przetwarzanie AI w Veluvanto wykorzystuje Google Gemini Enterprise API na podstawie umowy o zerowej retencji danych — Twoje dokumenty są przetwarzane w pamięci operacyjnej i natychmiast usuwane. Nigdy nie są przechowywane na serwerach Google ani wykorzystywane do trenowania modeli.

Obsługa żądań osób, których dane dotyczą: proces w 4 krokach

Zgodnie z RODO osoby fizyczne mają prawo do dostępu do swoich danych (art. 15), sprostowania (art. 16), usunięcia (art. 17) oraz otrzymania danych w ustrukturyzowanym formacie (art. 20). Na odpowiedź masz 30 dni. W firmach polegających na archiwach e-mail, dyskach współdzielonych lub papierowych segregatorach, samo zlokalizowanie wszystkich dokumentów dotyczących jednej osoby może zająć dni. DMS z wyszukiwaniem pełnotekstowym skraca ten czas do minut.

1

Identyfikacja: Znajdź każdy dokument zawierający dane osoby

Wyszukaj imię i nazwisko, adres e-mail lub inne identyfikatory osoby w całym archiwum dokumentów. Wyszukiwanie pełnotekstowe Veluvanto obejmuje treść każdego dokumentu — w tym zeskanowane pliki PDF przetworzone przez OCR. Pozwala to odnaleźć faktury, umowy, korespondencję i wszelkie inne dokumenty wspominające o danej osobie, niezależnie od nazwy pliku czy lokalizacji folderu.

2

Przegląd: Oceń, co należy ujawnić, zachować lub usunąć

Nie każdy dokument musi zostać ujawniony lub usunięty. Obowiązki prawne (wymogi retencji podatkowej, trwające zobowiązania umowne) mogą nadrzędnie wpływać na prawo do usunięcia danych zgodnie z art. 17 ust. 3. Przejrzyj wyniki wyszukiwania i skategoryzuj je: dokumenty do ujawnienia, dokumenty do usunięcia oraz dokumenty, które musisz prawnie zachować. Udokumentuj swoje uzasadnienie — wymaga tego zasada rozliczalności z art. 5 ust. 2.

3

Działanie: Eksport, sprostowanie lub usunięcie — ze ścieżką audytu

W przypadku żądań dostępu (art. 15): wyeksportuj odpowiednie dokumenty w powszechnie używanym formacie. Eksport z Veluvanto dostarcza oryginalne pliki wraz ze ustrukturyzowanymi metadanymi. W przypadku sprostowania (art. 16): zaktualizuj lub zastąp nieprawidłowe dokumenty. W przypadku usunięcia (art. 17): usuń zidentyfikowane dokumenty. Każde działanie — eksport, edycja, usunięcie — jest rejestrowane w ścieżce aktywności Veluvanto z sygnaturą czasową i tożsamością użytkownika.

4

Potwierdzenie: Odpowiedz osobie i zachowaj dowód zgodności

Odpowiedz osobie w terminie 30 dni, potwierdzając podjęte działania. Zachowaj wpisy ze ścieżki audytu jako dowód realizacji żądania. Jeśli organ nadzorczy przeprowadzi później kontrolę, musisz wykazać nie tylko, że odpowiedziałeś, ale także jak szukałeś, co znalazłeś i co z tym zrobiłeś. Dziennik aktywności służy jako taki dowód.

Hosting w UE vs USA: Konsekwencje prawne dla zarządzania dokumentami

Lokalizacja serwerów zarządzania dokumentami to nie tylko szczegół techniczny — to decyzja prawna niosąca realne konsekwencje. Zgodnie z amerykańską ustawą CLOUD Act (2018), władze USA mogą zmusić każdą firmę z siedzibą w USA do przekazania danych przechowywanych na jej serwerach, niezależnie od ich fizycznej lokalizacji. Oznacza to, że przechowywanie dokumentów w Google Drive, Dropbox, OneDrive czy Notion — czyli w firmach amerykańskich — naraża Twoje dane na potencjalny dostęp rządu USA, nawet jeśli serwery znajdują się w UE. Wyrok Schrems II (TSUE, lipiec 2020) unieważnił Tarczę Prywatności UE-USA właśnie z tego powodu: amerykańskie przepisy dotyczące nadzoru uznano za niezgodne z prawami podstawowymi UE. Ramy ochrony danych UE-USA przyjęte w 2023 r. stanowią nową decyzję stwierdzającą odpowiedni stopień ochrony, ale wyzwania prawne trwają, a EROD nadal zaleca dodatkowe środki przy transferach danych do USA.

Veluvanto całkowicie eliminuje tę złożoność prawną. Jako czeska spółka zarejestrowana i działająca zgodnie z prawem UE, Veluvanto przechowuje wszystkie dane wyłącznie w centrach danych na terenie UE. Nie ma amerykańskiej spółki matki, filii ani struktury korporacyjnej, która poddawałaby Twoje dane pod CLOUD Act. Przetwarzanie AI wykorzystuje Google Gemini Enterprise API na podstawie umowy o zerowej retencji — dokumenty są przetwarzane w pamięci operacyjnej w UE i natychmiast usuwane. Żadne dane osobowe nie są przesyłane ani przechowywane w Stanach Zjednoczonych w żadnym momencie. Dla organizacji, które muszą wykazać zgodność z RODO przed klientami, partnerami lub organami nadzorczymi, hosting wyłącznie w UE przez firmę z UE jest najbezpieczniejszą pozycją prawną.

Lista kontrolna zgodności z RODO: Jak wypada Veluvanto

Przejrzystość buduje zaufanie. Zamiast deklarować ogólną zgodność, przedstawiamy rzetelną ocenę tego, jak Veluvanto realizuje kluczowe wymogi RODO w zakresie zarządzania dokumentami. Tam, gdzie mamy braki, mówimy o tym otwarcie.

Czy wszystkie dane są przechowywane na terenie UE? — Tak. Wszystkie dokumenty i kopie zapasowe znajdują się w centrach danych w UE. Żadne dane nie opuszczają UE. Veluvanto to czeska firma — brak amerykańskiego podmiotu nadrzędnego, brak ekspozycji na CLOUD Act.
Czy dane są szyfrowane w spoczynku i w transmisji? — Tak. Szyfrowanie SSE-C (AES-256) w spoczynku z kluczami dostarczonymi przez klienta. Szyfrowanie TLS dla wszystkich danych w transmisji. Klucze szyfrujące nie są udostępniane dostawcy infrastruktury.
Czy osoby, których dane dotyczą, mogą korzystać ze swoich praw (dostęp, usunięcie, przenoszenie)? — Tak. Pełny eksport danych wspiera przenoszenie (art. 20). Usuwanie dokumentów ze ścieżką audytu wspiera prawo do bycia zapomnianym (art. 17). Wyszukiwanie pełnotekstowe umożliwia lokalizację wszystkich danych osoby przy żądaniach dostępu (art. 15).
Czy czynności przetwarzania są rejestrowane (art. 30)? — Tak. Dzienniki aktywności rejestrują, kto uzyskał dostęp, zmodyfikował lub usunął każdy dokument, wraz z sygnaturami czasowymi. Dzienniki te są niezmienne i stanowią podstawę Twoich rejestrów czynności przetwarzania.
Czy przetwarzanie AI jest zgodne z wymogami ochrony danych? — Tak. AI korzysta z Google Gemini Enterprise API z umową o zerowej retencji. Dokumenty są przetwarzane w pamięci i natychmiast usuwane — nigdy nie są przechowywane, buforowane ani używane do trenowania modeli. System jest również projektowany pod kątem zgodności z EU AI Act.
Czy dostępne są automatyczne zasady retencji i usuwania? — Jeszcze nie. Veluvanto obecnie nie oferuje automatycznych harmonogramów retencji ani reguł usuwania opartych na czasie. Możesz ręcznie usuwać dokumenty i używać wyszukiwania do identyfikacji przeterminowanych rekordów, ale automatyczne egzekwowanie ograniczenia przechowywania (art. 5 ust. 1 lit. e) jest w planach rozwoju, a nie w obecnej wersji.
Czy Veluvanto posiada certyfikat ISO 27001 lub SOC 2? — Nie. Samo Veluvanto nie posiada certyfikatu ISO 27001 ani SOC 2. Nasz dostawca infrastruktury posiada certyfikat ISO 27001. Wdrażamy środki bezpieczeństwa zgodne z tymi standardami, ale nie przeszliśmy niezależnej certyfikacji. Jeśli Twoja organizacja wymaga certyfikacji dostawcy, jest to brak.
Czy Veluvanto udostępnia szablon umowy powierzenia (DPA)? — Nie jako szablon samoobsługowy. Umowa DPA obejmująca przetwarzanie Twoich danych przez Veluvanto jest dostępna na żądanie. Obecnie nie udostępniamy gotowego szablonu DPA dla Twoich własnych relacji administrator-procesor z podmiotami trzecimi.

Kiedy Veluvanto nie jest właściwym wyborem dla zgodności z RODO

Veluvanto to system zarządzania dokumentami dla freelancerów, rodzin i małych firm. Zapewnia techniczne fundamenty dla zgodnego z RODO przechowywania i wyszukiwania dokumentów. Nie jest to jednak platforma do zarządzania zgodnością (compliance) dla korporacji i istnieją scenariusze, w których może być niewystarczająca.

Przetwarzasz dane szczególnych kategorii na dużą skalę (art. 9) — Jeśli przetwarzasz duże ilości dokumentacji medycznej, danych biometrycznych, genetycznych lub danych ujawniających pochodzenie rasowe, potrzebujesz systemu z kontrolą dostępu klasy medycznej, dedykowaną infrastrukturą audytową i prawdopodobnie certyfikatami branżowymi (np. ISO 27799). Kontrola dostępu w Veluvanto odbywa się na poziomie obszaru roboczego, a nie poszczególnych pól danych.
Potrzebujesz automatycznych zasad retencji z blokadą prawną (legal hold) — Jeśli Twój program zgodności wymaga automatycznego usuwania dokumentów po określonym czasie — z wyjątkami dla blokad prawnych podczas sporów — potrzebujesz oprogramowania klasy enterprise do zarządzania rekordami (np. OpenText, M-Files). Veluvanto nie obsługuje jeszcze automatycznej retencji ani funkcji legal hold.
Twoi klienci lub regulatorzy wymagają certyfikacji ISO 27001 lub SOC 2 — Niektóre branże i procesy zakupowe w dużych firmach wymagają od dostawców posiadania certyfikatu ISO 27001 lub SOC 2 Type II. Veluvanto nie posiada tych certyfikatów. Jeśli jest to twardy wymóg w Twoim procesie wyboru dostawcy, Veluvanto nie przejdzie pozytywnie Twojego kwestionariusza bezpieczeństwa.

Szczerość w kwestii ograniczeń jest częścią budowania zaufania. Jeśli Twoje potrzeby wykraczają poza to, co oferuje Veluvanto, wolimy powiedzieć o tym otwarcie, niż pozwolić Ci to odkryć po migracji dokumentów. Dla większości freelancerów, rodzin i małych firm Veluvanto stanowi solidną podstawę zgodną z RODO. Dla regulowanych przedsiębiorstw o złożonych wymogach lepszym wyborem będą dedykowane platformy korporacyjne.

Powiązane poradniki

Cyfrowa archiwizacja dokumentów

Retencja, ścieżki audytu i długoterminowe przechowywanie — jak cyfrowe archiwum wspiera zgodność z RODO.

Oprogramowanie do zarządzania dokumentami

Co robi oprogramowanie DMS, jak je wybrać i dlaczego AI zmienia wszystko w 2026 roku.

Dyrektywa NIS2 a zarządzanie dokumentami

NIS2 i RODO mają wiele wspólnych punktów w zakresie dokumentacji — oto co dodaje dyrektywa o cyberbezpieczeństwie.

Często zadawane pytania

Gdzie dokładnie są przechowywane moje dane?
Wszystkie dane są przechowywane w centrach danych w UE, obsługiwanych przez dostawców infrastruktury z siedzibą w UE. Kopie zapasowe są przechowywane u oddzielnego dostawcy w UE. Żadne dane — dokumenty, metadane ani dane wejściowe do AI — nigdy nie opuszczają Unii Europejskiej. Veluvanto jest zarejestrowane w Czechach i nie posiada amerykańskiej spółki matki ani filii.
Czy przetwarzanie AI wysyła moje dane poza UE?
Nie. Przetwarzanie AI wykorzystuje Google Gemini Enterprise API na podstawie umowy o zerowej retencji danych. Dokumenty są przetwarzane w pamięci operacyjnej i natychmiast usuwane — nigdy nie są przechowywane na serwerach Google, buforowane ani używane do trenowania modeli. Przetwarzanie odbywa się na terenie UE.
Czy mogę wyeksportować wszystkie dane, jeśli zrezygnuję z usługi?
Tak. Veluvanto wspiera pełny eksport danych zgodnie z Artykułem 20 (prawo do przenoszenia danych). Otrzymasz wszystkie oryginalne dokumenty w ich pierwotnych formatach oraz ustrukturyzowane metadane (tagi, daty, wyodrębnione podmioty). Standardowe formaty, brak blokady dostawcy (vendor lock-in), brak konieczności kontaktu z pomocą techniczną.
Czy Veluvanto posiada certyfikaty (ISO 27001, SOC 2)?
Nie. Samo Veluvanto nie posiada certyfikatu ISO 27001 ani SOC 2. Nasz dostawca infrastruktury posiada certyfikat ISO 27001. Wdrażamy środki bezpieczeństwa zgodne z tymi standardami — szyfrowanie w spoczynku (SSE-C/AES-256), TLS w transmisji, RBAC, niezmienne dzienniki audytu — ale nie przeszliśmy niezależnej certyfikacji. Jeśli certyfikacja dostawcy jest wymogiem zakupowym w Twojej organizacji, jest to brak, o którym informujemy otwarcie.
Jak Veluvanto wypada w porównaniu z alternatywami hostowanymi w USA pod kątem RODO?
Usługi hostowane w USA (Google Drive, Dropbox, Notion, Evernote) są obsługiwane przez firmy amerykańskie podlegające ustawie CLOUD Act, która pozwala władzom USA na dostęp do danych niezależnie od lokalizacji serwera. Wyrok Schrems II uznał to za niezgodne z prawami podstawowymi UE. Veluvanto to czeska firma z danymi wyłącznie w UE — obowiązuje tylko prawo unijne. Brak niepewności prawnej.
Co się dzieje w przypadku naruszenia ochrony danych?
Zgodnie z Artykułem 33, administratorzy muszą zgłosić naruszenie organowi nadzorczemu w ciągu 72 godzin od jego stwierdzenia. Dzienniki aktywności i rekordy dostępu Veluvanto pomagają ocenić zakres incydentu — które dokumenty zostały dotknięte, kto miał do nich dostęp i kiedy. Jako podmiot przetwarzający, Veluvanto powiadomi Cię bez zbędnej zwłoki o stwierdzeniu naruszenia dotyczącego Twoich danych, dostarczając informacji niezbędnych do wypełnienia Twoich obowiązków zgłoszeniowych.
Czy muszę przeprowadzić ocenę skutków dla ochrony danych (DPIA), aby korzystać z Veluvanto?
To zależy od charakteru i ilości przetwarzanych danych osobowych. Zgodnie z Artykułem 35, DPIA jest wymagana, gdy przetwarzanie „może powodować wysokie ryzyko” dla praw osób fizycznych — na przykład przy systematycznym monitorowaniu lub przetwarzaniu danych wrażliwych na dużą skalę. Dla większości freelancerów i małych firm przechowujących faktury, umowy i korespondencję biznesową, DPIA nie jest wymagana. EROD opublikował w marcu 2026 r. ustandaryzowany szablon DPIA (v1.0), który upraszcza ten proces, jeśli zajdzie taka potrzeba.
Czy Veluvanto jest zgodne z EU AI Act?
Funkcje AI w Veluvanto — klasyfikacja dokumentów, ekstrakcja metadanych i asystent AI — są projektowane z myślą o zgodności z EU AI Act. System AI jest przejrzysty (widzisz, co AI wyodrębniło i możesz to zmienić), nie podejmuje autonomicznych decyzji wywołujących skutki prawne i wykorzystuje przetwarzanie z zerową retencją, więc Twoje dokumenty nigdy nie służą do trenowania modeli. Użycie AI jest rejestrowane i audytowalne.

Przestań polować na dokumenty. Zacznij je znajdować.

Wypróbuj za darmo. Karta kredytowa nie jest wymagana. Przejdź na wyższy plan tylko wtedy, gdy będziesz gotowy.

Wypróbuj za darmo — bez karty Zobacz cennik

🔒 Chmura w UE · Bez karty kredytowej · 14-dniowa gwarancja zwrotu pieniędzy