Firma z branży e-commerce z Mazowsza przez dwa lata działała bez aktualnego rejestru czynności przetwarzania. Dokumentacja ochrony danych pochodziła z 2018 roku – z dnia wejścia RODO w życie – i nikt jej od tamtej pory nie aktualizował. Audyt przeprowadzony przed planowaną transakcją M&A ujawnił kilkanaście luk. Część z nich mogła uzasadniać karę administracyjną ze strony PUODO.

Audyt RODO to usystematyzowany przegląd procesów przetwarzania danych osobowych w organizacji, oceniający zgodność z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 – czyli RODO. Obejmuje weryfikację dokumentacji, podstaw prawnych przetwarzania, umów powierzenia, środków technicznych i organizacyjnych oraz procedur reagowania na naruszenia. Urząd Ochrony Danych Osobowych (PUODO) może nałożyć karę do 20 mln EUR lub 4% globalnego rocznego obrotu za najpoważniejsze naruszenia.

Ten przewodnik opisuje krok po kroku, jak przeprowadzić audyt RODO w polskiej firmie: od zakresu i metodyki, przez najczęstsze luki, aż po trzy scenariusze branżowe i listę kontrolną. Szczególną uwagę poświęcamy obszarom, które w ostatnich dwóch latach generują największą liczbę postępowań przed PUODO.

Od czego zacząć audyt RODO i co obejmuje jego zakres?

Audyt RODO powinien zaczynać się od mapowania procesów – czyli identyfikacji wszystkich czynności przetwarzania danych osobowych w organizacji. Podstawą jest art. 30 RODO: każdy administrator i podmiot przetwarzający prowadzi rejestr czynności przetwarzania (RCP). PUODO podczas kontroli weryfikuje RCP jako pierwszy dokument. Brak aktualnego rejestru to najczęstszy punkt wyjścia do dalszych naruszeń.

Zakres audytu obejmuje cztery warstwy. Pierwsza to warstwa prawna: podstawy przetwarzania danych (art. 6 i art. 9 RODO), klauzule informacyjne, zgody i ich odwoływalność. Druga to warstwa umowna: umowy powierzenia przetwarzania (art. 28 RODO) z podwykonawcami, dostawcami IT, firmami księgowymi. Trzecia to warstwa techniczna: szyfrowanie, kontrola dostępu, logi systemowe, polityki backupu. Czwarta to warstwa organizacyjna: procedury naruszenia ochrony danych, szkolenia pracowników, rola Inspektora Ochrony Danych (IOD).

Czas trwania audytu zależy od wielkości organizacji. Dla małej firmy (do 50 pracowników) – od 5 do 10 dni roboczych. Dla średniej firmy – od 3 do 6 tygodni. Dla dużego podmiotu z wieloma lokalizacjami i systemami IT – nawet 3 miesiące. Koszty audytu zewnętrznego wahają się między 8 000 PLN a 60 000 PLN, w zależności od zakresu i liczby systemów.

W praktyce – wiele firm o tym zapomina – audyt nie kończy się na dokumentacji. Równie ważna jest weryfikacja faktycznych praktyk: jak pracownicy postępują z danymi klientów, gdzie zapisują pliki, czy stosują szyfrowanie dysków. Papierowa zgodność bez realnego wdrożenia to pułapka, którą PUODO rozpoznaje podczas kontroli.

Instytucje kluczowe dla audytu w Polsce to PUODO (organ nadzorczy), KAS (w zakresie danych pracowniczych w systemach podatkowych) oraz KRS (weryfikacja podmiotów przetwarzających). Warto też sprawdzić, czy firma podlega DORA (Rozporządzenie UE 2022/2554) – w takim przypadku wymagania dotyczące zarządzania ryzykiem ICT nakładają się na obowiązki RODO.

Jakie są najczęstsze luki w dokumentacji RODO polskich firm?

Luki dokumentacyjne stanowią najliczniejszą kategorię naruszeń wykrywanych przez PUODO. Trzy obszary generują powtarzające się problemy: rejestr czynności przetwarzania, umowy powierzenia i klauzule informacyjne. Każdy z nich niesie ryzyko kary – od upomnienia do kilkuset tysięcy złotych.

Rejestr czynności przetwarzania jest nieaktualny lub niekompletny w większości firm, które nie przeprowadzały audytu od 2018 roku. Typowy błąd: firma wdrożyła nowy system CRM, narzędzie marketingowe lub platformę HR, ale nie dodała odpowiadającego wpisu do RCP. Czynność przetwarzania istnieje faktycznie, lecz nie istnieje na papierze.

Umowy powierzenia przetwarzania (art. 28 RODO) to kolejna masowa luka. Firmy korzystają z dziesiątek usług SaaS – narzędzi do e-mail marketingu, obsługi klienta, analityki webowej – bez podpisanych umów powierzenia. Dostawca przetwarza dane osobowe klientów firmy, ale brak formalnej podstawy. W kontekście umów SaaS na polskim rynku kwestia powierzenia danych pojawia się jako jeden z najważniejszych elementów negocjacyjnych – i jeden z najczęściej pomijanych.

Klauzule informacyjne (art. 13 i art. 14 RODO) są często przestarzałe lub niekompletne. Najczęstsze braki: brak informacji o odbiorcach danych, nieprawidłowy okres retencji, brak informacji o prawie do sprzeciwu. Firmy kopiują wzory z 2018 roku bez aktualizacji o nowe systemy i nowych dostawców.

  • Brak aktualnego rejestru czynności przetwarzania (RCP)
  • Umowy powierzenia niepodpisane z dostawcami SaaS i IT
  • Przestarzałe klauzule informacyjne bez informacji o odbiorcach
  • Brak oceny skutków dla ochrony danych (DPIA) przy ryzykownych procesach
  • Nieudokumentowane podstawy prawne przetwarzania dla poszczególnych celów

Ocena skutków dla ochrony danych (DPIA, art. 35 RODO) jest wymagana przy przetwarzaniu danych na dużą skalę, profilowaniu i monitorowaniu pracowników. Firmy wdrażające systemy AI do analizy zachowań klientów lub rekrutacji powinny przeprowadzić DPIA przed uruchomieniem systemu – nie po kontroli PUODO. AI Act (Rozporządzenie UE 2024/1689) dodatkowo nakłada obowiązki oceny ryzyka dla systemów AI wysokiego ryzyka, co nakłada się na wymagania RODO.

Trzy scenariusze branżowe – gdzie luki bolą najbardziej?

Rodzaj naruszeń zależy od branży. Firma produkcyjna, spółka IT i zagraniczny inwestor wchodzący na rynek polski mierzą się z różnymi zestawami ryzyk. Identyfikacja właściwego profilu ryzyka skraca czas audytu i obniża jego koszt.

Scenariusz 1: Firma produkcyjna z Wielkopolski. Zakład zatrudnia 200 pracowników. Monitoring wizyjny obejmuje hale produkcyjne i parking. Problem: brak DPIA dla monitoringu, brak aktualnych informacji dla pracowników o przetwarzaniu wizerunku, dane z kamer przechowywane przez 90 dni zamiast ustawowych maksymalnie 3 miesięcy – ale bez udokumentowanego uzasadnienia. Audyt przeprowadzony wiosną 2024 roku ujawnił brak umowy powierzenia z firmą ochroniarską obsługującą systemy CCTV. Koszt naprawy: około 15 000 PLN za dokumentację i szkolenia.

Scenariusz 2: Spółka IT świadcząca usługi SaaS. Firma przetwarza dane klientów swoich klientów – jest podmiotem przetwarzającym. Najczęstszy błąd: brak polityki podpowierzenia (art. 28 ust. 2 RODO), czyli brak zgody administratora na angażowanie kolejnych podwykonawców (sub-procesorów). Firma korzysta z AWS, Sendgrid i Datadog – każdy z tych dostawców to sub-procesor. Jeśli umowa z klientem nie zawiera odpowiedniej klauzuli, firma narusza RODO przy każdym transferze danych. Podmioty przetwarzające podlegające DORA muszą dodatkowo spełnić wymagania art. 28 i 29 tego rozporządzenia w zakresie zarządzania ryzykiem ICT.

Scenariusz 3: Zagraniczny inwestor wchodzący na rynek polski. Dla inwestora z Niemiec lub USA wchodzącego na rynek polski kwestia transferu danych osobowych do państwa trzeciego (art. 44–49 RODO) jest krytyczna. Dane pracowników i klientów przesyłane do centrali poza EOG wymagają odpowiedniej podstawy transferu: standardowych klauzul umownych (SCC) lub innego mechanizmu. PUODO kontroluje transfery do USA po wyroku Schrems II. Brak dokumentacji SCC to ryzyko kary i zakazu przetwarzania.

W każdym z tych scenariuszy audyt RODO powinien zakończyć się planem naprawczym z konkretnymi terminami. Nie raportem, który trafia do szuflady – ale listą zadań z właścicielami i datami wykonania.

Jak wygląda krok po kroku procedura audytu RODO?

Audyt RODO przebiega w pięciu etapach. Każdy etap ma określone produkty i czas realizacji. Poniżej praktyczny opis – bez teorii, z konkretnymi terminami i zakresem działań.

Etap 1: Kickoff i zbieranie danych (tydzień 1–2). Przegląd istniejącej dokumentacji: polityki ochrony danych, RCP, umowy powierzenia, klauzule informacyjne, zgody. Wywiady z kluczowymi działami: HR, IT, marketing, sprzedaż. Inwentaryzacja systemów przetwarzających dane osobowe. Na tym etapie powstaje mapa danych – wykaz przepływów danych w organizacji.

Etap 2: Analiza luk (tydzień 2–3). Porównanie stanu faktycznego z wymaganiami RODO. Ocena każdej czynności przetwarzania: podstawa prawna, cel, zakres danych, okres retencji, odbiorcy. Identyfikacja umów powierzenia do podpisania lub aktualizacji. Weryfikacja transferów danych poza EOG.

Etap 3: Ocena środków technicznych i organizacyjnych (tydzień 3–4). Przegląd polityki haseł, szyfrowania, kontroli dostępu, logowania zdarzeń. Weryfikacja procedury obsługi żądań podmiotów danych (prawo dostępu, prawo do usunięcia – odpowiedź w ciągu 30 dni od żądania). Ocena procedury zgłaszania naruszeń do PUODO w terminie 72 godzin od ich wykrycia.

Etap 4: Raport audytowy (tydzień 4–5). Dokument zawierający wyniki analizy luk, ocenę ryzyka dla każdego naruszenia, priorytety działań naprawczych. Raport powinien zawierać macierz ryzyka: prawdopodobieństwo × skutek dla każdej luki. Najważniejsze luki wymagają usunięcia w ciągu 30 dni. Mniej krytyczne – w ciągu 90 dni.

Etap 5: Wdrożenie i weryfikacja (tydzień 5–8). Aktualizacja dokumentacji, podpisanie umów powierzenia, szkolenia pracowników. Weryfikacja wdrożenia przez audytora. Ten etap jest często pomijany – firmy kończą na raporcie. Tymczasem PUODO ocenia stan rzeczywisty, nie papierowy.

Warto też sprawdzić, czy firma korzysta z samofakturowania w systemach finansowych – samofakturowanie w systemie KSeF wiąże się z przetwarzaniem danych kontrahentów, co wymaga odpowiedniej podstawy prawnej i umowy powierzenia z operatorem KSeF.

Często zadawane pytania

P: Jak często firma powinna przeprowadzać audyt RODO?

O: RODO nie określa sztywnej częstotliwości audytów, ale przyjętą praktyką jest przeprowadzanie pełnego audytu co 2 lata oraz audytu cząstkowego po każdej istotnej zmianie organizacyjnej lub technologicznej. Zmiana systemu IT, fuzja, wdrożenie nowego produktu – każde z tych zdarzeń może tworzyć nowe czynności przetwarzania wymagające weryfikacji. PUODO oczekuje, że administrator danych prowadzi ciągły przegląd zgodności, a nie jednorazowe działanie z 2018 roku.

P: Czy mała firma (poniżej 250 pracowników) musi prowadzić rejestr czynności przetwarzania?

O: Artykuł 30 ustęp 5 RODO przewiduje wyjątek dla podmiotów zatrudniających poniżej 250 osób – ale tylko jeśli przetwarzanie nie jest regularne, nie dotyczy szczególnych kategorii danych (art. 9 RODO) i nie stwarza ryzyka dla praw osób. W praktyce większość małych firm e-commerce, pracodawców czy sklepów internetowych prowadzi regularne przetwarzanie danych klientów i pracowników. Wyjątek rzadko ma zastosowanie. Uważamy, że bezpieczniejszym rozwiązaniem jest prowadzenie uproszczonego rejestru nawet przez podmioty, które formalnie mogłyby z niego zrezygnować.

P: Ile kosztuje audyt RODO i czy można go przeprowadzić wewnętrznie?

O: Audyt zewnętrzny przeprowadzony przez kancelarię lub doradcę RODO kosztuje od 8 000 PLN do 60 000 PLN – w zależności od liczby systemów, działów i lokalizacji. Audyt wewnętrzny jest możliwy, jeśli firma dysponuje wykwalifikowanym Inspektorem Ochrony Danych i zasobami. Ryzyko audytu wewnętrznego to brak obiektywności i możliwość pominięcia obszarów, które pracownicy uznają za oczywiste. Przed transakcją M&A lub kontrolą PUODO rekomendujemy audyt zewnętrzny – jego wyniki mają większą wartość dowodową.

Lista kontrolna: co przygotować przed audytem RODO?

Poniższa lista kontrolna obejmuje dokumenty i informacje niezbędne na etapie zbierania danych. Skompletowanie ich przed audytem skraca czas i obniża koszt całego procesu.

  • Aktualny rejestr czynności przetwarzania (RCP) – lub lista systemów przetwarzających dane, jeśli RCP nie istnieje
  • Wszystkie umowy powierzenia przetwarzania danych z dostawcami IT, SaaS, księgowości, HR
  • Klauzule informacyjne stosowane wobec klientów, pracowników i kontrahentów
  • Procedura obsługi naruszeń ochrony danych i rejestr naruszeń (art. 33 i 34 RODO)
  • Dokumentacja przeprowadzonych szkoleń pracowników z ochrony danych osobowych

Jeśli któregoś z tych dokumentów brakuje – audyt i tak może się odbyć, ale jego zakres będzie szerszy, a czas trwania dłuższy. Luki dokumentacyjne są zazwyczaj widoczne już na etapie pierwszego wywiadu z działem IT lub HR.

Konkretna sytuacja Państwa firmy – liczba systemów, branża, skala przetwarzania – determinuje zarówno zakres audytu, jak i prawdopodobne obszary naruszeń. Brak aktualnej dokumentacji przed kontrolą PUODO jest błędem nieodwracalnym w tym sensie, że organ ocenia stan na dzień kontroli, a nie na dzień złożenia wyjaśnień.

Jeśli Państwa spółka nie przeprowadzała audytu RODO od ponad 2 lat lub planuje transakcję M&A, wdrożenie AI albo ekspansję zagraniczną – przeprowadzimy pełny audyt zgodności z RODO, identyfikację luk i wdrożenie planu naprawczego: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.