Firma e-commerce z Mazowsza przeprowadza rutynowy przegląd umów z dostawcami IT. Okazuje się, że trzy z nich przetwarzają dane osobowe klientów bez ważnych umów powierzenia. Żadna z tych umów nie zawiera klauzul wymaganych przez RODO. PUODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu – w zależności od tego, która kwota jest wyższa.

Audyt RODO ujawnia luki, które w polskich firmach powtarzają się niezależnie od branży i wielkości przedsiębiorstwa. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO – obowiązuje od maja 2018 roku, jednak Urząd Ochrony Danych Osobowych (PUODO) konsekwentnie wskazuje na te same kategorie naruszeń. Kary sięgają milionów złotych, a ich skutki są nieodwracalne dla reputacji firmy.

Poniżej omawiamy trzy obszary, w których polskie firmy najczęściej tracą kontrolę nad zgodnością z RODO. Każdy z nich to realna furtka dla postępowania PUODO. Każdy można zamknąć – jeśli działasz teraz, a nie po otrzymaniu zawiadomienia o kontroli.

Co się zmieniło i kogo dotyczy nowe ryzyko?

RODO nie zmieniło się od 2018 roku – zmieniło się otoczenie regulacyjne. Rozporządzenie UE 2024/1689 (AI Act) weszło w życie 1 sierpnia 2024 roku i nakłada nowe obowiązki na firmy wykorzystujące systemy sztucznej inteligencji do profilowania klientów, rekrutacji lub oceny kredytowej. Systemy wysokiego ryzyka wymagają oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. Jeśli Twoja firma wdrożyła chatbota lub system rekomendacji – DPIA jest obowiązkowa.

Równolegle, od 17 stycznia 2025 roku obowiązuje DORA (Rozporządzenie UE 2022/2554). Podmioty finansowe – banki, firmy ubezpieczeniowe, domy maklerskie – muszą teraz raportować incydenty ICT do KNF w ściśle określonych terminach. Każdy incydent ICT, który dotyczy danych osobowych, jest jednocześnie naruszeniem RODO wymagającym zgłoszenia do PUODO w ciągu 72 godzin od stwierdzenia naruszenia.

Kto jest najbardziej narażony? Przede wszystkim firmy z trzech sektorów:

  • e-commerce i platformy cyfrowe przetwarzające dane behawioralne użytkowników
  • pracodawcy monitorujący pracowników zdalnych – tu pomocna jest praktyka prawa pracy KORDECKI & Partners
  • podmioty finansowe objęte jednocześnie DORA i RODO

W praktyce – wiele firm o tym zapomina – samo posiadanie polityki prywatności na stronie internetowej nie wyczerpuje obowiązków administratora. PUODO w ostatnich postępowaniach koncentruje się na realnych procesach, nie na dokumentach.

Jakie luki najczęściej wykrywa audyt RODO w polskich firmach?

Trzy kategorie naruszeń powtarzają się w niemal każdym audycie. Pierwsza to brak lub wadliwość umów powierzenia przetwarzania danych. Art. 28 RODO wymaga pisemnej umowy z każdym podmiotem przetwarzającym dane w imieniu administratora – dostawcą chmury, firmą kadrową, agencją marketingową. Umowa musi zawierać katalog obowiązkowych postanowień. Brak choćby jednego z nich to naruszenie, które PUODO traktuje poważnie.

Druga kategoria to nieprowadzenie lub nieaktualizowanie Rejestru Czynności Przetwarzania (RCP). Obowiązek wynika z art. 30 RODO i dotyczy każdego administratora zatrudniającego powyżej 250 pracowników – ale też mniejszych firm, jeśli przetwarzają dane wrażliwe lub dane na dużą skalę. Firma produkcyjna z Dolnego Śląska zapłaciła latem 2024 roku karę przekraczającą 200 000 PLN właśnie za brak aktualnego RCP.

Trzecia luka to niewykonywanie DPIA dla nowych procesów. Ocena skutków dla ochrony danych jest obowiązkowa wszędzie tam, gdzie przetwarzanie może powodować wysokie ryzyko dla osób fizycznych. Systemy monitoringu pracowników, profilowanie na potrzeby marketingu behawioralnego, automatyczne podejmowanie decyzji – każdy z tych procesów wymaga DPIA przed uruchomieniem, nie po. Kwestia ochrony danych osobowych łączy się tu bezpośrednio z regulacją AI Act, który dla systemów wysokiego ryzyka czyni DPIA warunkiem legalnego wdrożenia.

Warto też sprawdzić, czy firma posiada aktualną dokumentację dotyczącą ochrony praw własności intelektualnej – naruszenia znaku towarowego często ujawniają się właśnie przy przeglądzie procesów przetwarzania danych w systemach IT. Znak towarowy i dane osobowe to dwa obszary, które w praktyce audytu IT nakładają się na siebie.

Co zrobić teraz – lista kontrolna na 30 dni?

Audyt RODO nie musi trwać miesięcy. Dobrze przeprowadzony przegląd podstawowych obszarów można zamknąć w 30 dni roboczych. Poniżej lista działań, które powinny być priorytetem dla każdego administratora danych w Polsce:

  • Zidentyfikuj wszystkich procesorów i zweryfikuj umowy powierzenia – sprawdź, czy zawierają postanowienia wymagane przez art. 28 RODO
  • Zaktualizuj Rejestr Czynności Przetwarzania – uwzględnij nowe procesy wprowadzone po 2022 roku, w tym systemy AI i narzędzia HR
  • Przeprowadź DPIA dla każdego systemu wysokiego ryzyka w rozumieniu AI Act – termin na dostosowanie systemów AI upływa stopniowo do 2027 roku
  • Sprawdź procedurę zgłaszania naruszeń – 72-godzinny termin zgłoszenia do PUODO jest nieprzekraczalny
  • Zweryfikuj klauzule informacyjne – czy odzwierciedlają rzeczywiste procesy przetwarzania?

Kancelaria IP Warszawa z doświadczeniem w prawie technologicznym może przeprowadzić taki audyt jako zewnętrzny podmiot – co w wielu przypadkach jest skuteczniejsze niż przegląd wewnętrzny. Zewnętrzny audytor widzi luki, które wewnętrzny zespół traktuje jako standard.

Regulacja wyprzedza rynek – i właśnie dlatego firmy, które nie przeprowadziły audytu RODO w ostatnich 18 miesiącach, działają w obszarze podwyższonego ryzyka. Każdy miesiąc zwłoki to miesiąc, w którym PUODO może wszcząć postępowanie z urzędu.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny. Brak aktualnego audytu RODO to luka, którą PUODO może wykorzystać w każdej chwili – a skutki postępowania są nieodwracalne dla reputacji i finansów przedsiębiorstwa.

Jeśli Państwa firma nie przeprowadzała audytu RODO w ostatnich 18 miesiącach lub wdrożyła nowe systemy AI po sierpniu 2024 roku – przeprowadzimy pełny przegląd zgodności, zidentyfikujemy luki i przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda polska firma musi mieć Inspektora Ochrony Danych (IOD)?

O: Nie – obowiązek wyznaczenia IOD dotyczy organów publicznych, podmiotów przetwarzających dane na dużą skalę jako główną działalność oraz firm przetwarzających szczególne kategorie danych (art. 37 RODO). Jednak nawet firmy bez obowiązku posiadania IOD muszą realizować wszystkie pozostałe obowiązki administratora. Brak IOD nie zwalnia z prowadzenia rejestru czynności przetwarzania ani z wykonywania ocen skutków dla ochrony danych.

P: Ile czasu zajmuje audyt RODO i ile kosztuje?

O: Rzetelny audyt RODO dla firmy zatrudniającej do 100 pracowników trwa od 15 do 30 dni roboczych. Koszt zależy od złożoności procesów przetwarzania i liczby systemów IT. Firmy z sektora finansowego objęte jednocześnie rozporządzeniem DORA powinny uwzględnić dodatkowy zakres dotyczący zarządzania ryzykiem ICT. Inwestycja w audyt jest wielokrotnie niższa niż minimalna kara administracyjna nakładana przez PUODO.

P: Czy wdrożenie narzędzi AI wymaga aktualizacji dokumentacji RODO?

O: Tak – każde nowe narzędzie AI przetwarzające dane osobowe wymaga aktualizacji rejestru czynności przetwarzania i oceny, czy konieczna jest DPIA. Rozporządzenie UE 2024/1689 (AI Act) klasyfikuje niektóre systemy jako wysokiego ryzyka – dla nich ocena skutków dla ochrony danych jest warunkiem legalnego wdrożenia. Dotyczy to systemów rekrutacyjnych, narzędzi do oceny kredytowej i systemów biometrycznych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.