Firma z Warszawy wdraża nowy system CRM. Dane klientów przepływają przez trzy systemy, dwa zewnętrzne procesory i aplikację mobilną. Nikt nie zaktualizował rejestru czynności przetwarzania od dwóch lat. PUODO wszczyna kontrolę. Kara – do 20 milionów euro lub 4% globalnego obrotu – staje się realną perspektywą, nie abstrakcją.
Audyt RODO to systematyczny przegląd zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO. Obowiązek przestrzegania przepisów o ochronie danych spoczywa na każdym administratorze, niezależnie od wielkości firmy. PUODO może wszcząć kontrolę w każdym czasie, a brak aktualnej dokumentacji to najczęściej pierwsza i najkosztowniejsza luka.
Poniżej wskazujemy trzy obszary, w których polskie firmy najczęściej popełniają błędy – oraz co zrobić natychmiast, zanim pojawi się kontroler.
Gdzie polskie firmy tracą kontrolę nad danymi?
Rejestr czynności przetwarzania (RCP) to fundament każdego audytu RODO. W praktyce – wiele firm tworzy go raz, przy wdrożeniu w 2018 roku, i nigdy nie aktualizuje. Tymczasem każda nowa usługa, każdy nowy procesor danych i każda zmiana systemu IT wymaga wpisu. Brak aktualnego RCP to naruszenie art. 30 RODO – bezpośrednia podstawa do nałożenia kary administracyjnej przez PUODO.
Drugą powszechną luką są umowy powierzenia przetwarzania danych (UPP). Firmy korzystają z dziesiątek zewnętrznych dostawców – chmury, systemy HR, platformy mailingowe. Każdy z nich przetwarza dane osobowe w imieniu administratora. Bez podpisanej UPP administrator odpowiada za naruszenia po stronie procesora. Umowy zawarte przed 2021 rokiem często nie spełniają wymogów standardowych klauzul umownych zaktualizowanych przez Komisję Europejską.
Trzecia luka dotyczy transferów danych poza Europejski Obszar Gospodarczy. Korzystasz z amerykańskiego oprogramowania SaaS? Twoje dane mogą trafiać do USA. Bez odpowiedniego mechanizmu transferu – standardowych klauzul umownych lub decyzji o adekwatności – każdy taki transfer narusza RODO. Po wyroku Schrems II sądy i organy nadzorcze traktują tę kwestię priorytetowo.
- Nieaktualny rejestr czynności przetwarzania (art. 30 RODO)
- Brak lub nieaktualne umowy powierzenia przetwarzania
- Niezabezpieczone transfery danych poza EOG
- Brak procedury zgłaszania naruszeń w ciągu 72 godzin
- Nieaktualne klauzule informacyjne na stronie internetowej
Uważamy, że największym ryzykiem jest właśnie ta pozorna „normalność" – firma działa, nic się nie dzieje, więc nikt nie wraca do dokumentacji. Kontrola PUODO zmienia tę perspektywę w ciągu jednego dnia.
Jak AI Act i DORA zmieniają krajobraz ochrony danych w 2026 roku?
Rozporządzenie w sprawie sztucznej inteligencji – AI Act (Rozporządzenie UE 2024/1689) – weszło w życie 1 sierpnia 2024 roku. Systemy wysokiego ryzyka, takie jak narzędzia do rekrutacji czy scoringu kredytowego, wymagają oceny zgodności i dokumentacji, która w dużej mierze pokrywa się z wymogami RODO. Jeśli Twoja firma wdraża AI w HR lub finansach, audyt RODO musi objąć również warstwę AI Act.
DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku dla podmiotów finansowych nadzorowanych przez KNF. Wymogi dotyczące zarządzania ryzykiem ICT i raportowania incydentów bezpośrednio nakładają się na obowiązki RODO w zakresie zgłaszania naruszeń. Dla banków, firm ubezpieczeniowych i instytucji płatniczych audyt RODO bez uwzględnienia DORA jest niekompletny.
Dla firm spoza sektora finansowego kluczowe pozostaje NIS2 – dyrektywa o cyberbezpieczeństwie, której termin transpozycji minął 17 października 2024 roku. Podmioty kluczowe i ważne muszą wdrożyć środki zarządzania ryzykiem, które obejmują ochronę danych osobowych. Brak koordynacji między działem IT a działem prawnym to przepis na podwójną ekspozycję – zarówno przed PUODO, jak i przed organem właściwym dla NIS2.
Rejestracja znaku towarowego i ochrona danych to pozornie odległe obszary. W praktyce kancelaria IP Warszawa coraz częściej doradza firmom technologicznym, gdzie ochrona marki i zgodność z RODO idą w parze – szczególnie przy wdrożeniach AI generatywnej. Więcej o procedurach rejestracyjnych znajdziesz w naszym artykule o rejestracji znaku towarowego w UPRP.
Co zrobić w ciągu najbliższych 30 dni?
Pierwszym krokiem jest audyt dokumentacyjny. Zbierz aktualny RCP, wszystkie UPP i klauzule informacyjne. Sprawdź daty ostatniej aktualizacji. Jeśli którykolwiek dokument pochodzi sprzed 2022 roku – wymaga przeglądu. Termin 72 godzin na zgłoszenie naruszenia do PUODO jest nieprzekraczalny. Brak procedury wewnętrznej oznacza, że ten termin realnie nie jest dotrzymywany.
Drugim krokiem jest mapa przepływu danych. Zidentyfikuj wszystkich zewnętrznych procesorów i sprawdź, czy dla każdego istnieje podpisana UPP. Zwróć szczególną uwagę na dostawców spoza EOG. Zarząd spółki powinien wiedzieć, że odpowiedzialność osobista za naruszenia RODO może wynikać z tych samych mechanizmów, które opisujemy w kontekście ubezpieczenia odpowiedzialności zarządu.
Trzecim krokiem jest wyznaczenie lub weryfikacja Inspektora Ochrony Danych (IOD). Nie każda firma ma obowiązek jego powołania – ale każda firma powinna wiedzieć, kto odpowiada za koordynację zgodności z RODO. Brak jasnego przypisania odpowiedzialności to luka organizacyjna, którą PUODO traktuje jako czynnik obciążający przy wymierzaniu kar.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – luki w dokumentacji RODO mogą prowadzić do nieodwracalnych konsekwencji finansowych i reputacyjnych, zanim kontrola PUODO zostanie nawet zapowiedziana.
Jeśli Państwa spółka nie przeprowadzała audytu RODO od ponad roku lub wdraża nowe systemy IT i AI – przeprowadzimy przegląd dokumentacji, mapę przepływu danych i ocenę ryzyka w ramach jednego zlecenia: info@kordeckipartners.com.
Często zadawane pytania
P: Jak często polska firma powinna przeprowadzać audyt RODO?
O: Rozporządzenie (UE) 2016/679 nie określa sztywnej częstotliwości audytów. W praktyce audyt należy przeprowadzić przy każdej istotnej zmianie – nowy system IT, nowy procesor danych, zmiana zakresu przetwarzania. Minimalny cykl to raz na 12 miesięcy. Firmy wdrażające systemy AI powinny audytować zgodność przed uruchomieniem każdego nowego narzędzia.
P: Czy małe firmy (do 10 pracowników) muszą prowadzić rejestr czynności przetwarzania?
O: To częste nieporozumienie. Artykuł 30 ustęp 5 RODO przewiduje wyjątek dla podmiotów zatrudniających mniej niż 250 osób – ale tylko wtedy, gdy przetwarzanie nie jest regularne, nie dotyczy szczególnych kategorii danych i nie stwarza ryzyka dla praw osób. W praktyce większość firm, nawet małych, przetwarza dane pracowników i klientów w sposób regularny. Wyjątek jest węższy, niż się wydaje.
P: Ile kosztuje audyt RODO w kancelarii prawnej?
O: Koszt zależy od wielkości firmy i liczby systemów przetwarzania danych. Dla małej firmy (do 50 pracowników, kilka systemów IT) audyt dokumentacyjny to zazwyczaj od kilku do kilkunastu tysięcy złotych. Dla średniej firmy z rozbudowaną infrastrukturą IT koszt może być wyższy. Uważamy, że koszt audytu jest zawsze niższy niż minimalna kara administracyjna PUODO, która w sprawach mniejszych naruszeń zaczyna się od kilkudziesięciu tysięcy złotych.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z RODO, AI Act i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.