Firma produkcyjna z Mazowsza zleca outsourcing kadr zewnętrznej agencji. Umowa o powierzeniu przetwarzania danych – wymagana przez RODO – nigdy nie została podpisana. Rok później kontrola PUODO ujawnia brak dokumentacji. Kara administracyjna i obowiązek wstrzymania przetwarzania na czas naprawczy paraliżują operacje na kilka tygodni.
Audyt RODO to ustrukturyzowany przegląd zgodności przetwarzania danych osobowych z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Obejmuje weryfikację podstaw prawnych przetwarzania, rejestrów czynności, umów powierzenia, polityk bezpieczeństwa i procedur zgłaszania naruszeń. Niezidentyfikowane luki mogą skutkować karami do 20 000 000 EUR lub 4% globalnego rocznego obrotu.
Ten przewodnik omawia cztery etapy audytu RODO, najczęstsze luki wykrywane w polskich firmach, trzy scenariusze branżowe oraz listę kontrolną gotowości. Każdy etap zawiera konkretne terminy i progi, które odróżniają firmy zgodne od tych narażonych na odpowiedzialność.
Czym jest audyt RODO i kiedy go przeprowadzić?
Audyt RODO to nie jednorazowe ćwiczenie dokumentacyjne. To cykliczny przegląd – zalecany co 12 miesięcy lub po każdej istotnej zmianie organizacyjnej, technologicznej albo po wejściu w życie nowych regulacji, takich jak AI Act (Rozporządzenie UE 2024/1689) czy DORA (Rozporządzenie UE 2022/2554). PUODO – Urząd Ochrony Danych Osobowych – jest polskim organem nadzorczym powołanym na podstawie RODO i to właśnie on prowadzi postępowania kontrolne wobec administratorów i podmiotów przetwarzających.
Trzy sytuacje wymagają natychmiastowego audytu. Po pierwsze – wdrożenie nowego systemu IT przetwarzającego dane osobowe. Po drugie – zmiana struktury organizacyjnej, np. przejęcie spółki lub outsourcing funkcji HR. Po trzecie – otrzymanie skargi od osoby, której dane dotyczą, lub wszczęcie przez PUODO postępowania wyjaśniającego. W każdym z tych przypadków okno reakcji wynosi najwyżej 30 dni roboczych.
Zakres audytu obejmuje cztery obszary: podstawy prawne przetwarzania, dokumentację organizacyjną, bezpieczeństwo techniczne oraz prawa osób, których dane dotyczą. Każdy obszar ma własne kryteria oceny i własne konsekwencje braków. Pominięcie choćby jednego obszaru sprawia, że audyt daje fałszywe poczucie bezpieczeństwa.
Warto zaznaczyć: audyt wewnętrzny przeprowadzony przez inspektora ochrony danych (IOD) ma ograniczoną wartość dowodową wobec PUODO, jeśli nie jest poparty niezależną weryfikacją zewnętrzną. Kancelaria IP Warszawa lub zewnętrzny doradca z doświadczeniem w ochronie danych nadaje audytowi walor obiektywności – co w praktyce przekłada się na skuteczniejszą obronę w razie kontroli.
Jakie luki najczęściej wykrywa audyt RODO w polskich firmach?
Polskie firmy powtarzają te same błędy. Audyty prowadzone w różnych sektorach wskazują na sześć kategorii luk, które pojawiają się niezależnie od wielkości przedsiębiorstwa. Każda z nich może samodzielnie uzasadniać wszczęcie postępowania przez PUODO lub narażać firmę na roszczenia cywilne ze strony osób, których dane dotyczą.
Brak lub niekompletny rejestr czynności przetwarzania (RCP). Art. 30 RODO nakłada obowiązek prowadzenia rejestru na administratorów zatrudniających co najmniej 250 osób – ale praktycznie każda firma powinna go mieć, bo wyjątki od tej reguły są wąskie. W praktyce wiele polskich firm prowadzi rejestr w Excelu, który nie był aktualizowany od momentu wdrożenia RODO w 2018 r. Brakuje w nim nowych procesów – np. monitoringu wizyjnego, systemów oceny pracowniczej czy narzędzi analityki marketingowej.
Umowy powierzenia przetwarzania danych. To najczęściej wykrywana luka. Firmy korzystają z dziesiątek dostawców SaaS, agencji rekrutacyjnych, biur rachunkowych – i nie zawierają z nimi umów powierzenia wymaganych przez art. 28 RODO. Dostawca chmurowy bez podpisanej umowy DPA (Data Processing Agreement) to administrator przetwarzający dane bez podstawy prawnej.
Brak oceny skutków dla ochrony danych (DPIA). DPIA jest wymagana, gdy przetwarzanie może powodować wysokie ryzyko dla praw osób fizycznych – np. przy profilowaniu klientów, monitoringu pracowników czy wdrożeniu systemów AI klasyfikowanych jako wysokiego ryzyka na mocy AI Act. Brak DPIA przy takich procesach to bezpośrednie naruszenie art. 35 RODO.
Pozostałe trzy kategorie luk to: nieaktualne klauzule informacyjne (brak wzmianki o profilowaniu lub transferach do państw trzecich), brak procedury obsługi praw osób (np. prawa do usunięcia danych w terminie 30 dni) oraz słabe zarządzanie incydentami – firmy nie są w stanie udowodnić, że zgłosiły naruszenie do PUODO w ciągu 72 godzin od jego wykrycia, jak wymaga art. 33 RODO.
Jak przeprowadzić audyt RODO krok po kroku?
Audyt RODO składa się z czterech etapów. Każdy ma określony czas trwania i produkt końcowy. Łączny czas audytu dla firmy zatrudniającej 50–200 pracowników to zazwyczaj 4–8 tygodni, zależnie od złożoności procesów i dostępności dokumentacji.
Etap 1 – Inwentaryzacja procesów (tydzień 1–2). Zebranie informacji o wszystkich procesach przetwarzania danych: kto przetwarza, jakie dane, w jakim celu, na jakiej podstawie prawnej, jak długo i komu przekazuje. Narzędziem jest kwestionariusz wypełniany przez każdy dział. Produkt końcowy: mapa procesów i wstępna wersja RCP.
Etap 2 – Analiza luk (tydzień 2–4). Porównanie stanu faktycznego z wymogami RODO, AI Act (dla systemów AI) i DORA (dla podmiotów finansowych). Identyfikacja braków w umowach, dokumentacji i procedurach. Produkt końcowy: raport luk z oceną ryzyka (wysoka/średnia/niska).
Etap 3 – Plan naprawczy (tydzień 4–5). Priorytetyzacja działań naprawczych według ryzyka. Luki wysokiego ryzyka – np. brak umów powierzenia z kluczowymi dostawcami – wymagają usunięcia w ciągu 14 dni. Luki średniego ryzyka – np. aktualizacja klauzul informacyjnych – w ciągu 30 dni. Produkt końcowy: harmonogram z przypisaniem odpowiedzialności.
Etap 4 – Wdrożenie i weryfikacja (tydzień 5–8). Podpisanie brakujących umów, aktualizacja dokumentacji, szkolenie pracowników, testy procedur incydentowych. Produkt końcowy: zaktualizowany RCP, komplet umów DPA, protokół z testów procedury 72-godzinnej. Ten etap jest często niedoceniany – firmy kończą audyt na raporcie luk i nie wdrażają rekomendacji.
Trzy scenariusze branżowe pokazują, jak różni się zakres audytu:
- Firma produkcyjna: kluczowe luki to monitoring wizyjny hal, dane biometryczne przy kontroli dostępu i brak DPIA dla systemów predykcyjnego utrzymania ruchu.
- Firma IT / SaaS: kluczowe luki to rola procesora vs. administratora, transfery danych do USA bez standardowych klauzul umownych (SCC) i zgodność systemów AI z AI Act.
- Inwestor zagraniczny wchodzący na rynek polski: kluczowe luki to rejestracja IOD w PUODO (jeśli wymagana), lokalizacja danych i dostosowanie polityk globalnych do wymogów RODO w polskiej wersji językowej. Osoby zatrudniane w Polsce – w tym cudzoziemcy – podlegają odrębnym regulacjom; szczegóły dotyczące zatrudniania cudzoziemców w Polsce opisujemy w osobnym opracowaniu.
Koszt zewnętrznego audytu RODO dla firmy do 200 pracowników wynosi zazwyczaj od 8 000 do 25 000 PLN netto, zależnie od liczby lokalizacji i złożoności procesów IT. To ułamek potencjalnej kary administracyjnej.
Konkretna sytuacja Państwa firmy może wymagać innych priorytetów niż te opisane w standardowym przewodniku. Nienaprawione luki – szczególnie brak umów powierzenia z dostawcami SaaS – mają charakter trwały i nieodwracalny do momentu ich eliminacji, a każdy dzień zwłoki wydłuża okres naruszenia brany pod uwagę przez PUODO przy wymiarze kary.
Jeśli Państwa spółka wdraża nowe systemy IT lub planuje outsourcing funkcji przetwarzających dane osobowe, przeprowadzimy inwentaryzację procesów, analizę luk i sporządzimy plan naprawczy z harmonogramem: info@kordeckipartners.com.
Jakie sankcje grożą za luki wykryte przez PUODO?
PUODO dysponuje szerokim katalogiem środków naprawczych i sankcyjnych. Kary administracyjne za naruszenia RODO dzielą się na dwa progi. Naruszenia mniej poważne – np. brak RCP lub niespełnienie obowiązku informacyjnego – zagrożone są karą do 10 000 000 EUR lub 2% globalnego rocznego obrotu. Naruszenia poważniejsze – np. przetwarzanie bez podstawy prawnej lub brak DPIA przy procesach wysokiego ryzyka – to kara do 20 000 000 EUR lub 4% obrotu.
W Polsce PUODO wydał w ostatnich latach kilkanaście decyzji nakładających kary na podmioty różnej wielkości – od małych spółek po duże organizacje. Decyzje PUODO są wykonalne natychmiastowo, choć podlegają zaskarżeniu do Wojewódzkiego Sądu Administracyjnego. Postępowanie sądowe nie wstrzymuje automatycznie obowiązku zapłaty kary.
Poza karami administracyjnymi firmy narażone są na odpowiedzialność cywilną wobec osób, których dane dotyczą. Art. 82 RODO przyznaje każdej osobie prawo do odszkodowania za szkodę materialną lub niematerialną wynikającą z naruszenia. W praktyce – coraz częściej pojawiają się pozwy zbiorowe i roszczenia indywidualne, szczególnie po naruszeniach bezpieczeństwa danych.
Firmy działające w sektorze finansowym muszą pamiętać o dodatkowej warstwie: DORA nakłada od 17 stycznia 2025 r. obowiązki w zakresie zarządzania ryzykiem ICT, w tym incydentami dotyczącymi danych osobowych. Naruszenie DORA zgłaszane jest do KNF, a nie do PUODO – ale te same dane osobowe mogą być przedmiotem równoległych postępowań obu organów. Podobnie firmy wdrażające systemy AI wysokiego ryzyka podlegają równolegle AI Act i RODO – brak DPIA dla systemu AI oceniającego pracowników to potencjalne naruszenie obu regulacji jednocześnie.
Odrębną kwestią jest naruszenie praw własności intelektualnej w kontekście danych. Firmy, które pobierają dane z zewnętrznych baz lub scrapeują treści chronione prawem autorskim, mogą naruszać zarówno RODO, jak i prawa wyłączne. Zagadnienie naruszenia znaku towarowego i środki prawne w Polsce omawiamy w osobnej analizie – w kontekście danych osobowych i IP ryzyko często nakłada się na siebie.
Lista kontrolna: co przygotować przed audytem RODO?
Przed zleceniem lub przeprowadzeniem audytu warto zebrać dokumentację bazową. Brak podstawowych dokumentów wydłuża audyt i zwiększa jego koszt. Poniższa lista obejmuje minimum, które każda polska firma powinna mieć gotowe:
- Aktualny rejestr czynności przetwarzania (RCP) – ze wskazaniem podstawy prawnej dla każdego procesu i planowanych terminów usunięcia danych.
- Komplet umów powierzenia przetwarzania (DPA) z wszystkimi dostawcami zewnętrznymi mającymi dostęp do danych osobowych – w tym dostawcami SaaS, agencjami HR i biurami rachunkowymi.
- Klauzule informacyjne stosowane wobec klientów, pracowników i kontrahentów – ze wskazaniem daty ostatniej aktualizacji.
- Dokumentacja DPIA dla procesów wysokiego ryzyka – w tym systemów monitoringu, profilowania i narzędzi AI.
- Procedura obsługi naruszeń danych osobowych – z rejestrem incydentów i dowodem na zdolność do zgłoszenia w ciągu 72 godzin od wykrycia.
Firma produkcyjna z Podkarpacia przeprowadziła audyt wewnętrzny wiosną 2024 r. Odkryła 23 dostawców SaaS bez podpisanych umów DPA. Negocjacje i podpisanie umów zajęły 6 tygodni. Bez audytu każdy z tych dostawców stanowił samodzielną podstawę do wszczęcia postępowania przez PUODO.
Spółka IT z Trójmiasta, zatrudniająca 80 programistów, wdrożyła narzędzie do analizy wydajności pracowników opartej na danych behawioralnych. Brak DPIA i brak zgody pracowników na przetwarzanie szczególnych kategorii danych wyszły na jaw dopiero przy audycie poprzedzającym przejęcie przez fundusz PE. Korekta opóźniła zamknięcie transakcji o 8 tygodni i podniosła koszt due diligence o kilkadziesiąt tysięcy złotych.
Konkretna sytuacja Państwa firmy – szczególnie jeśli obejmuje przetwarzanie danych pracowników, klientów lub systemy AI – wymaga indywidualnej oceny ryzyka. Brak udokumentowanej podstawy prawnej przetwarzania jest naruszeniem trwałym: każdy dzień bez korekty to kontynuacja naruszenia, którą PUODO może uwzględnić przy wymiarze kary.
Jeśli Państwa spółka przygotowuje się do audytu RODO, planuje wdrożenie systemu AI lub przechodzi due diligence transakcyjne – przeprowadzimy analizę luk, sporządzimy RCP i skompletujemy dokumentację DPA: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każda polska firma musi wyznaczyć inspektora ochrony danych (IOD)?
O: Nie – obowiązek wyznaczenia inspektora ochrony danych wynika z artykułu 37 RODO i dotyczy organów publicznych, podmiotów przetwarzających dane na dużą skalę lub przetwarzających szczególne kategorie danych. Firmy prywatne, które nie spełniają tych kryteriów, mogą wyznaczyć IOD dobrowolnie – co jest dobrą praktyką, ale nie wymogiem prawnym. Brak IOD przy spełnieniu przesłanek obowiązkowych to jednak samodzielna podstawa do wszczęcia postępowania przez PUODO.
P: Ile czasu zajmuje wdrożenie rekomendacji po audycie RODO?
O: Typowy czas wdrożenia rekomendacji po audycie RODO wynosi od 4 do 12 tygodni, zależnie od liczby wykrytych luk i złożoności struktury IT. Luki krytyczne – takie jak brak umów powierzenia z kluczowymi dostawcami – powinny być usunięte w ciągu 14 dni od wykrycia. Aktualizacja dokumentacji i szkoleń pracowniczych zajmuje zazwyczaj kolejne 4–6 tygodni. Koszt wdrożenia bywa wyższy niż sam audyt, jeśli firma odkrywa luki systemowe wymagające przebudowy procesów IT.
P: Czy audyt RODO obejmuje zgodność z AI Act?
O: Standardowy audyt RODO nie obejmuje automatycznie zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2024/1689, czyli AI Act. Są to odrębne regulacje z odrębnymi wymogami. Jednak systemy AI przetwarzające dane osobowe – np. narzędzia do rekrutacji, scoringu kredytowego czy monitoringu pracowników – podlegają równocześnie obydwu rozporządzeniom. W takich przypadkach audyt powinien obejmować zarówno ocenę skutków dla ochrony danych (DPIA) wymaganą przez RODO, jak i ocenę ryzyka wymaganą przez artykuł 9 AI Act dla systemów wysokiego ryzyka.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z RODO i regulacji technologicznych, w tym AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.