EuroComply
Zarejestruj się

General Data Protection Regulation

Rozporządzenie Ogólne o Ochronie Danych Osobowych (Rozporządzenie (UE) 2016/679, RODO) jest europejskim prawem ochrony danych osobowych stosowanym bezpośrednio od 25 maja 2018 r. we wszystkich państwach członkowskich UE. Obejmuje każdą organizację — niezależnie od jej siedziby — przetwarzającą dane osobowe osób przebywających na terytorium UE. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO), zaś przepisy RODO uzupełnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Maksymalna administracyjna kara pieniężna: 20 mln EUR lub 4 % całkowitego rocznego światowego obrotu (Artykuł 83).

Free GDPR Fine Risk Calculator

What does GDPR require and when does it apply?

GDPR applies to All sectors processing EU personal data organisations across all EU member states. The key deadline is In force since May 25, 2018. Non-compliance carries a maximum penalty of €20M or 4% of global turnover. Core obligations include maintain records of processing activities (ropa) and conduct data protection impact assessments.

  • Maintain records of processing activities (ROPA)
  • Conduct Data Protection Impact Assessments
  • Appoint a Data Protection Officer (if required)
  • Implement data subject rights procedures
  • Report breaches within 72 hours
DeadlineIn force since May 25, 2018
Max fine€20M or 4% of global turnover
Primary sectorsAll sectors processing EU personal data
Source: Official Journal of the EU — General Data Protection RegulationReviewed:
TL;DR

GDPR: €20M or 4% of global turnover max fine

GDPR applies to All sectors processing EU personal data organisations in all EU member states. Key deadline: In force since May 25, 2018.

Source: Official Journal of the European Union — General Data Protection Regulation

Who does GDPR apply to?

RODO stosuje się do każdej organizacji — publicznej lub prywatnej, mającej lub niemającej siedziby w UE — która przetwarza dane osobowe osób przebywających na terytorium Unii Europejskiej, zarówno w związku z oferowaniem im towarów lub usług, jak i monitorowaniem ich zachowania.

  • Administratorzy i podmioty przetwarzające z siedzibą w UE, niezależnie od miejsca przetwarzania
  • Administratorzy i podmioty przetwarzające spoza UE oferujące towary lub usługi osobom znajdującym się w UE
  • Administratorzy i podmioty przetwarzające spoza UE monitorujące zachowanie osób znajdujących się w UE
  • Wszystkie sektory bez wyjątku — polska ustawa o ochronie danych osobowych dodaje krajowe przepisy uzupełniające (m.in. warunki wyznaczania inspektora ochrony danych)
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Artykuł 3 (Terytorialny zakres stosowania)Reviewed:

What are the penalties for GDPR non-compliance?

RODO przewiduje dwa poziomy administracyjnych kar pieniężnych. Niższy poziom (Artykuł 83 ust. 4) dotyczy naruszeń obowiązków proceduralnych (brak rejestru czynności przetwarzania, brak wyznaczenia inspektora ochrony danych, nieterminowe zgłoszenie naruszenia) i wynosi do 10 mln EUR lub 2 % całkowitego rocznego światowego obrotu — zależnie od tego, która kwota jest wyższa. Wyższy poziom (Artykuł 83 ust. 5) obejmuje naruszenia podstawowych zasad przetwarzania i praw osób, których dane dotyczą, i może wynieść do 20 mln EUR lub 4 % całkowitego rocznego światowego obrotu.

Maximum fine€20 million or 4% of global annual turnover, whichever is higher
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Artykuł 83 (Ogólne warunki nakładania administracyjnych kar pieniężnych)Reviewed:

When does GDPR apply?

RODO jest stosowane bezpośrednio we wszystkich państwach członkowskich UE od 25 maja 2018 r. W Polsce uzupełnia je ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, która określa krajowe przepisy szczególne i jest stosowana równolegle z rozporządzeniem.

  • 2016-05-24 — Entry into force
  • 2018-05-25 — Direct applicability across all EU member states
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Artykuł 99 (Wejście w życie i stosowanie)Reviewed:

Jak prowadzić rejestr czynności przetwarzania (RCP) zgodnie z Art. 30 RODO

Artykuł 30 RODO zobowiązuje administratorów i podmioty przetwarzające do prowadzenia pisemnego rejestru czynności przetwarzania. Wyjątek dla organizacji zatrudniających mniej niż 250 osób ma zastosowanie wyłącznie wówczas, gdy przetwarzanie jest sporadyczne, nie stwarza ryzyka dla praw i wolności osób fizycznych i nie obejmuje szczególnych kategorii danych — warunki te rzadko są łącznie spełniane w praktyce. Poniżej przedstawiono wymagane kroki.

  1. 1

    Zinwentaryzuj czynności przetwarzania

    Sporządź listę każdego odrębnego celu, w którym organizacja przetwarza dane osobowe (HR, marketing, obsługa klienta, analityka itp.).

  2. 2

    Udokumentuj wymagane pola dla każdej czynności

    Dla każdej czynności należy odnotować: dane administratora i dane kontaktowe, cele przetwarzania, kategorie osób, których dane dotyczą, i danych osobowych, odbiorców, przekazania do państw trzecich i stosowane zabezpieczenia, planowane terminy usunięcia danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

  3. 3

    Określ podstawę prawną

    Przypisz każdej czynności przetwarzania podstawę prawną z Artykułu 6 RODO (zgoda, umowa, obowiązek prawny, żywotne interesy, interes publiczny, uzasadniony interes). Jeżeli przetwarzane są szczególne kategorie danych, wskaż dodatkowo warunek z Artykułu 9.

  4. 4

    Prowadź rejestr w formie pisemnej i udostępniaj na żądanie

    Rejestr należy prowadzić w formie pisemnej, w tym elektronicznej, i udostępniać go organowi nadzorczemu (UODO) na żądanie.

  5. 5

    Aktualizuj przy każdej zmianie

    Rejestr należy aktualizować za każdym razem, gdy w sposób istotny zmieniają się cele przetwarzania, odbiorcy, terminy przechowywania lub środki techniczne.

€2,92 mld

Łączna kwota administracyjnych kar pieniężnych nałożonych na podstawie RODO przez krajowe organy ochrony danych od 25 maja 2018 r., zgodnie z publicznie agregowanymi rejestrami decyzji organów nadzorczych.

EUR-Lex + krajowe rejestry decyzji organów ochrony danych (publicznie agregowane)

Deadline

In force since May 25, 2018

Max Fine

€20M or 4% of global turnover

Sectors Affected

All sectors processing EU personal data

€2,92 mld

Łączna kwota administracyjnych kar pieniężnych nałożonych na podstawie RODO przez krajowe organy ochrony danych od 25 maja 2018 r., zgodnie z publicznie agregowanymi rejestrami decyzji organów nadzorczych.

EUR-Lex + krajowe rejestry decyzji organów ochrony danych (publicznie agregowane)

Key regulatory facts: General Data Protection Regulation
Official nameRegulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Reg. No.(EU) 2016/679
CELEX32016R0679
Typeregulation
In force2016-05-24
Applies from2018-05-25
Max fine€20 million or 4% of global annual turnover, whichever is higher
Authorities
National Data Protection Authorities (member-state)
European Data Protection Board (EDPB) (EU)
European Data Protection Supervisor (EU)for EU institutions
Source(EU) 2016/679 — EUR-Lex Official Journal

How do I comply with GDPR?

  • Maintain records of processing activities (ROPA)
  • Conduct Data Protection Impact Assessments
  • Appoint a Data Protection Officer (if required)
  • Implement data subject rights procedures
  • Report breaches within 72 hours

Does GDPR apply to your business?

Find out in 2 minutes with our free regulation checker.

Check now — free

GDPR by Country

🇩🇪

Germany

🇫🇷

France

🇳🇱

Netherlands

🇪🇸

Spain

🇮🇹

Italy

🇦🇹

Austria

🇧🇪

Belgium

🇵🇱

Poland

🇸🇪

Sweden

🇮🇪

Ireland

🇵🇹

Portugal

🇩🇰

Denmark

🇫🇮

Finland

🇨🇿

Czech Republic

🇷🇴

Romania

🇭🇺

Hungary

🇸🇰

Slovakia

🇧🇬

Bulgaria

🇭🇷

Croatia

🇬🇷

Greece

🇱🇺

Luxembourg

🇪🇪

Estonia

🇱🇻

Latvia

🇱🇹

Lithuania

🇸🇮

Slovenia

🇲🇹

Malta

Explore GDPR in depth

Penalties & Fines

Maximum fine tiers, Article-by-Article breakdown, and mitigation factors.

Enforcement Timeline

Key dates, application milestones, and per-Member-State transposition status.

GDPR by Industry

💻

SaaS & Software

💳

Fintech & Financial Services

🏥

Healthcare & MedTech

🏭

Manufacturing & Industry

🛒

E-commerce & Retail

🎓

EdTech & Education

🚚

Logistics & Transport

Energy & Utilities

📡

Telecoms & Media

👥

HR & Recruitment

⚖️

Legal & Professional Services

🏛️

Public Sector & NGOs

GDPR by Role

Non-EU Companies

GDPR applies to organisations established outside the EU whenever they offer goods or services to people in the EU, or monitor the behaviour of people in the EU. Article 27 requires most non-EU controllers to designate, in writing, a representative established in the Union — a frequently overlooked obligation.

Related Regulations

AI Act

The EU AI Act classifies AI systems by risk level and imposes obligations on providers and deployers. High-risk systems face mandatory conformity assessments, documentation, and human oversight requirements.

NIS2

NIS2 expands cybersecurity obligations to essential and important entities across critical sectors. It mandates risk management, incident reporting, and supply chain security.

eIDAS 2.0

eIDAS 2.0 updates the framework for electronic identification and trust services, introducing the EU Digital Identity Wallet. It enables cross-border digital identity verification and expands recognised trust services.

Explore GDPR in depth

Penalties & Fines

See enforcement patterns, fine tier tables, and real enforcement cases across EU member states.

Deadline Timeline

Key milestones, implementation phases, and country-specific deadlines and phased rollout dates.

Industry Guides

Sector-specific GDPR guidance for SaaS, fintech, healthcare, and other affected industries.

Next step — classify

Classify your AI systems

Use the free regulation checker to find out exactly which GDPR obligations apply to your business in 2 minutes.

Classify your AI systems

Check Your Compliance Obligations

Find out which GDPR obligations apply to your organisation in under 2 minutes.

Run EU Compliance Checker

Recent GDPR Articles

EDPB/EDPS: Clinical Trials—Health Data Safeguards Required

8 Jun 2026

Ex machina : financial stability in the age of artificial intelligence

8 Jun 2026

Screening credibility : artificial Intelligence, evidence and fair asylum procedures in EU law

8 Jun 2026

Frequently Asked Questions

What are the GDPR Article 32 technical measures for a SaaS company in Frankfurt?
GDPR Article 32 requires SaaS companies to implement technical measures proportionate to risk: encryption of personal data in transit (TLS 1.2+) and at rest; pseudonymisation of production datasets; regular automated backups with tested restore procedures; access control with least-privilege principles and audit logs; and a documented incident response procedure with 72-hour breach notification capacity. For a Frankfurt-hosted SaaS, using an EU-first infrastructure stack — EU LLM, EU database, EU-hosted data — directly reduces Article 32 exposure.
What GDPR compliance software works for EU startups?
EU startups need GDPR software covering data mapping (ROPA under Article 30), DPIA automation (Article 35), processor agreement tracking (Article 28), and breach notification workflows (Articles 33–34). EuroComply is free for up to one system, EU-hosted in Frankfurt, and adds AI Act and NIS2 coverage in one platform. Iubenda (Italian company) covers cookie consent and policy generation from €27.99/yr. For startups that have grown to more than 50 employees, DataGuard (Munich) provides a managed service.
What are GDPR fines for SMEs in 2025?
Under GDPR Article 83, fines fall into two tiers. Less severe infringements carry a maximum of €10M or 2% of global annual turnover, whichever is higher. More severe infringements — core principles, data subject rights, international transfers — carry a maximum of €20M or 4% of global annual turnover. The EDPB's 2023 guidelines clarify that supervisory authorities must account for the organisation's size. Germany (BfDI) and the Netherlands (AP) are the most active enforcement jurisdictions for SME fines.
What is a DPIA under GDPR?
A Data Protection Impact Assessment (DPIA) is a mandatory pre-deployment risk assessment under GDPR Article 35. It is required when processing is likely to result in a high risk to individual rights — large-scale profiling, processing biometric or health data, or systematic monitoring of public areas. A DPIA must describe the processing, assess necessity and proportionality, identify risks and mitigation measures, and record the outcome. Failing to complete a required DPIA is an Article 35 infringement carrying fines of up to €10M or 2% of global turnover.
How do I generate an EU-compliant privacy policy?
An EU-compliant privacy policy under GDPR Articles 13–14 must disclose: controller identity and contact details; DPO contact if applicable; lawful basis for each processing activity; data categories collected; recipients and cross-border transfers; retention periods; and data subject rights. It must be written in clear, plain language. Automated generators can produce a compliant base document — iubenda (Italian company, from €27.99/yr) and EuroComply both cover GDPR Articles 13–14 policy generation. Legal counsel should review anything involving sensitive data or complex transfer chains.
How do I set up a GDPR-compliant cookie consent banner?
A GDPR-compliant cookie consent banner must require active opt-in (pre-ticked boxes are unlawful); allow granular consent by category (functional, analytics, marketing); present options without dark patterns; link to the privacy policy; and record consent with a timestamp and version number. Cookiebot (EU-sovereign, from €9/month) and Usercentrics (EU-sovereign, from €60/month) are the leading EU CMPs meeting EDPB guidelines. Both are operated by Usercentrics GmbH (Munich, Germany) — not subject to the US CLOUD Act.
What is a GDPR processor agreement template?
A GDPR Data Processing Agreement (DPA) under Article 28 must bind the processor to: process personal data only on documented controller instructions; maintain confidentiality; implement Article 32 security measures; assist with data subject rights requests; delete or return data on contract termination; and make available all information necessary to demonstrate compliance. Standard Contractual Clauses (Module 2 or 3) are required for transfers to countries without an adequacy decision. EuroComply provides a standard DPA template under its editorial framework.

For informational purposes only. This is not legal advice — consult qualified legal counsel.

Last verified: · Source: EUR-Lex 32016R0679 · Editorial policy