Firma IT z Trójmiasta przeprowadziła wewnętrzny audyt RODO wiosną 2025 r. Wynik: trzy aktywne systemy przetwarzania danych osobowych bez podstawy prawnej, dwa procesory bez podpisanych umów powierzenia, a rejestr czynności przetwarzania nieaktualizowany od 2021 r. Żadna z tych luk nie była widoczna na co dzień – ujawniła je dopiero systematyczna weryfikacja dokumentacji.
Audyt RODO to ustrukturyzowana weryfikacja zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679. Obowiązek prowadzenia rejestru czynności przetwarzania wynika bezpośrednio z artykułu 30 RODO. Organ nadzorczy – Urząd Ochrony Danych Osobowych (UODO) – może nałożyć karę do 20 000 000 EUR lub do 4% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.
Poniżej omawiamy trzy kategorie luk, które UODO i europejskie organy nadzorcze identyfikują najczęściej w polskich firmach. Każda z nich ma konkretny termin działania i realne konsekwencje finansowe.
Jakie luki dokumentacyjne wykrywa audyt RODO najczęściej?
Podstawowym problemem jest niekompletny lub nieaktualny rejestr czynności przetwarzania. Artykuł 30 RODO wymaga, by rejestr odzwierciedlał rzeczywisty stan przetwarzania – nie stan sprzed trzech lat. Firmy wdrażają nowe narzędzia SaaS, zmieniają podwykonawców, uruchamiają kampanie marketingowe – i zapominają zaktualizować dokumentację. UODO traktuje tę lukę jako samodzielną podstawę do wszczęcia postępowania.
Druga kategoria to brak lub wadliwe umowy powierzenia przetwarzania. Każdy zewnętrzny podmiot przetwarzający dane w imieniu administratora – chmura, biuro rachunkowe, agencja HR – musi działać na podstawie umowy spełniającej wymogi artykułu 28 RODO. W praktyce wiele firm ma umowy podpisane w 2018 r., które nie uwzględniają ani standardowych klauzul umownych dla transferów poza EOG, ani wymagań wynikających z późniejszych decyzji Europejskiej Rady Ochrony Danych (EROD). Taka umowa formalnie istnieje, ale nie zapewnia zgodności.
Trzecia luka to nieaktualne klauzule informacyjne. Obowiązek informacyjny z artykułów 13 i 14 RODO dotyczy każdego kanału zbierania danych – formularzy www, aplikacji mobilnych, umów z pracownikami, systemów monitoringu. Firma produkcyjna z Mazowsza, którą audytowaliśmy latem 2024 r., miała na stronie internetowej klauzulę z 2019 r. – bez wzmianki o nowych kategoriach odbiorców ani o czasie retencji danych. Aktualizacja zajęła 14 dni roboczych i kosztowała ułamek potencjalnej kary.
Warto też sprawdzić, czy firma stosuje AI Act. Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 r. Systemy AI przetwarzające dane osobowe podlegają jednocześnie RODO i AI Act – podwójny reżim compliance, który wymaga osobnej analizy ryzyka.
Kogo dotyczą obowiązki i jakie terminy trzeba znać?
Obowiązki wynikające z RODO dotyczą każdego administratora danych osobowych – niezależnie od wielkości firmy. Zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania przysługuje wyłącznie podmiotom zatrudniającym mniej niż 250 osób, które przetwarzają dane jedynie sporadycznie, nie przetwarzają danych wrażliwych i nie przetwarzają danych o wyrokach skazujących. W praktyce większość firm – nawet małych – nie spełnia łącznie wszystkich trzech warunków zwolnienia.
Dla podmiotów finansowych istotne jest też Rozporządzenie (UE) 2022/2554 – DORA, obowiązujące od 17 stycznia 2025 r. DORA nakłada na instytucje finansowe nadzorowane przez KNF obowiązki w zakresie zarządzania ryzykiem ICT, które bezpośrednio przecinają się z wymogami RODO dotyczącymi bezpieczeństwa danych. Audyt RODO w banku lub towarzystwie ubezpieczeniowym musi dziś uwzględniać oba reżimy.
Terminy, które mają znaczenie natychmiastowe:
- 72 godziny – maksymalny czas na zgłoszenie naruszenia ochrony danych do UODO od momentu jego stwierdzenia (artykuł 33 RODO)
- 30 dni – standardowy termin odpowiedzi na żądanie osoby, której dane dotyczą (artykuł 12 RODO)
- Bez zwłoki – obowiązek aktualizacji rejestru czynności przetwarzania po każdej istotnej zmianie procesu
Przekroczenie terminu 72 godzin na zgłoszenie naruszenia jest jedną z najczęściej karanych nieprawidłowości w Polsce. UODO wydał w tej kwestii kilkanaście decyzji administracyjnych. Brak procedury obsługi naruszeń – lub procedura istniejąca tylko na papierze – to luka, którą audyt powinien wykryć w pierwszej kolejności. Zagadnienia związane z podwójną istotnością w raportowaniu ESG coraz częściej nakładają się na audyt RODO w dużych spółkach, gdzie dane pracownicze i środowiskowe są przetwarzane łącznie.
Firmy posiadające zarejestrowane znaki towarowe powinny pamiętać, że bazy danych klientów i kontrahentów to aktywa podlegające jednocześnie ochronie z tytułu RODO i prawa własności intelektualnej. Kwestie związane z naruszeniem znaku towarowego i środkami prawnymi w Polsce mogą pojawić się w kontekście bezprawnego przetwarzania danych identyfikujących markę.
Konkretna sytuacja Państwa firmy może oznaczać, że luki dokumentacyjne lub procesowe są już dziś podstawą do wszczęcia postępowania przez UODO. Każdy miesiąc zwłoki z audytem to miesiąc, w którym naruszenie trwa – a kary liczone są od daty jego stwierdzenia, nie od daty audytu.
Jeśli Państwa spółka nie przeprowadzała audytu RODO od ponad 12 miesięcy lub wdrożyła nowe systemy IT bez weryfikacji zgodności – przeprowadzimy szybką analizę luk, zaktualizujemy rejestr czynności przetwarzania i przygotujemy plan naprawczy: info@kordeckipartners.com.
Często zadawane pytania
P: Czy mała firma zatrudniająca 15 osób musi prowadzić rejestr czynności przetwarzania?
O: Tak, jeśli przetwarza dane wrażliwe (np. dane zdrowotne pracowników), dane o wyrokach skazujących lub prowadzi przetwarzanie, które nie ma charakteru sporadycznego. Zwolnienie z artykułu 30 ustęp 5 RODO wymaga spełnienia łącznie trzech warunków – brak chociażby jednego z nich oznacza obowiązek prowadzenia rejestru. W praktyce większość firm spoza sektora mikroprzedsiębiorstw powinna rejestr prowadzić.
P: Ile kosztuje audyt RODO i jak długo trwa?
O: Czas i koszt zależą od skali przetwarzania. Dla firmy zatrudniającej do 50 osób audyt podstawowy trwa zazwyczaj od 5 do 10 dni roboczych. Obejmuje weryfikację rejestru czynności przetwarzania, umów powierzenia, klauzul informacyjnych i procedury obsługi naruszeń. Koszt audytu jest wielokrotnie niższy niż minimalna kara administracyjna nakładana przez UODO, która w 2024 r. wynosiła kilkadziesiąt tysięcy złotych.
P: Czy wdrożenie systemu AI w firmie wymaga osobnego audytu poza RODO?
O: Tak. Rozporządzenie (UE) 2024/1689 – AI Act – wprowadza obowiązki niezależne od RODO, w tym ocenę zgodności dla systemów wysokiego ryzyka stosowanych np. w rekrutacji lub scoringu kredytowym. Systemy AI przetwarzające dane osobowe podlegają jednocześnie obu reżimom. Audyt RODO nie zastępuje oceny zgodności z AI Act – wymagana jest odrębna analiza, najlepiej przeprowadzana równolegle przez kancelarię IP Warszawa z doświadczeniem w regulacjach technologicznych.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, regulacji AI i compliance technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.