Firma z branży e-commerce z Mazowsza odkrywa podczas rutynowej kontroli wewnętrznej, że przez dwa lata przetwarzała dane klientów bez ważnej podstawy prawnej. Rejestr czynności przetwarzania – wymagany przez RODO – nie był aktualizowany od startu działalności. Klauzule informacyjne na stronie internetowej odnosiły się do nieistniejących już procesów. PUODO zostaje zawiadomiony przez jednego z klientów.
Audyt RODO ujawnia luki w ochronie danych, które mogą prowadzić do administracyjnych kar finansowych sięgających 20 milionów euro lub 4% globalnego obrotu rocznego na podstawie Rozporządzenia UE 2016/679. Polskie firmy najczęściej nie prowadzą aktualnego rejestru czynności przetwarzania, nie wdrażają umów powierzenia z procesorami i ignorują obowiązki informacyjne wobec osób, których dane dotyczą. Sankcje są nieodwracalne – każdy dzień niezgodności to osobne naruszenie.
Ten materiał opisuje anonimizowaną sprawę z praktyki KORDECKI & Partners, pokazując tło naruszenia, przyjętą strategię naprawczą, przebieg procesu oraz lekcje, które można zastosować w każdej polskiej firmie. Omawiamy też powiązania z AI Act i DORA, które od 2025 roku nakładają dodatkowe warstwy obowiązków na organizacje przetwarzające dane.
Tło sprawy: jak dochodzi do systemowych luk w audycie RODO?
Klient – spółka z o.o. zatrudniająca 80 pracowników – wdrożył polityki RODO w 2018 roku, tuż przed wejściem rozporządzenia w życie. Dokumentacja powstała szybko, pod presją czasu. Nikt nie wyznaczył właściciela procesu odpowiedzialnego za bieżące aktualizacje. Przez cztery lata firma rosła, wdrażała nowe systemy CRM i analitykę marketingową – ale dokumentacja RODO stała w miejscu.
PUODO, jako polski organ nadzorczy, prowadzi coraz więcej postępowań z własnej inicjatywy. W 2024 roku urząd zakończył kilkanaście spraw dotyczących właśnie e-commerce. Kary wynosiły od kilkudziesięciu tysięcy do ponad miliona złotych. Brak aktualizacji rejestru czynności przetwarzania – wymaganego przez art. 30 RODO – był wspólnym mianownikiem niemal każdej decyzji.
W opisywanej sprawie dodatkowym problemem okazały się umowy z dostawcami usług IT. Firma korzystała z trzech zewnętrznych procesorów danych – chmury obliczeniowej, systemu e-mail marketingu i platformy obsługi klienta – bez podpisanych umów powierzenia przetwarzania. To naruszenie art. 28 RODO. Każdy z tych podmiotów przetwarzał dane osobowe klientów przez ponad 24 miesiące bez właściwej podstawy umownej. Skala naruszenia była znaczna.
Dla firm wchodzących na nowe rynki – jak opisujemy w kontekście transgranicznego połączenia spółek i dyrektywy UE o mobilności – luki w ochronie danych ujawniają się szczególnie boleśnie podczas due diligence. Potencjalny nabywca lub partner widzi wtedy pełen obraz zaległości.
Strategia naprawcza: co zrobić w ciągu pierwszych 30 dni?
Audyt RODO w tej sprawie trwał 14 dni roboczych. Zespół kancelarii przeanalizował 47 kategorii przetwarzanych danych, zidentyfikował 12 aktywnych procesorów i ocenił zgodność 9 podstaw prawnych przetwarzania. Wynik: 6 obszarów wymagało natychmiastowej interwencji, 4 – działań w ciągu 30 dni.
Strategia naprawcza opierała się na trzech filarach. Po pierwsze – zatrzymanie naruszeń trwających. Umowy powierzenia z trzema kluczowymi procesorami podpisano w ciągu 7 dni. Po drugie – aktualizacja dokumentacji. Rejestr czynności przetwarzania odtworzono od zera, uwzględniając wszystkie systemy aktywne na dzień audytu. Po trzecie – wdrożenie mechanizmu ciągłości. Wyznaczono wewnętrznego koordynatora ds. ochrony danych z kwartalnym obowiązkiem przeglądu.
Firmy działające w sektorach objętych rozporządzeniem DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 roku) muszą pamiętać, że obowiązki dotyczące zarządzania ryzykiem ICT nakładają się na RODO. Incydent bezpieczeństwa danych to jednocześnie zdarzenie do zgłoszenia pod DORA i potencjalne naruszenie ochrony danych pod RODO. Dwa reżimy, jeden problem – i dwa organy nadzoru.
Warto też śledzić regulacje kryptoaktywów – jak analizujemy w materiale o MiCA i regulacji kryptoaktywów w Polsce – gdzie przetwarzanie danych klientów platform crypto podlega zarówno RODO, jak i nowym wymogom KYC.
Jakie luki najczęściej wykrywa audyt RODO w polskich firmach?
Na podstawie kilkudziesięciu audytów przeprowadzonych przez KORDECKI & Partners można wskazać powtarzające się wzorce. Nie są to przypadkowe błędy – to systemowe zaniedbania wynikające z traktowania RODO jako jednorazowego projektu, a nie ciągłego procesu compliance.
Najczęstsze luki to:
- Brak aktualnego rejestru czynności przetwarzania – dokumentacja z 2018 roku, nieaktualizowana po wdrożeniu nowych systemów
- Niekompletne umowy powierzenia – procesorzy działają bez art. 28 RODO lub na przestarzałych wzorach sprzed nowelizacji
- Błędne klauzule informacyjne – cele przetwarzania opisane zbyt ogólnie, brak informacji o profilowaniu lub zautomatyzowanym podejmowaniu decyzji
- Brak procedury obsługi żądań podmiotów danych – firma nie wie, kto i w jakim terminie odpowiada na wnioski o dostęp lub usunięcie danych
- Nieudokumentowane transfery danych poza EOG – korzystanie z usług chmurowych dostawców spoza Unii bez standardowych klauzul umownych
AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 roku) dodaje nowy wymiar. Firmy wdrażające systemy AI wysokiego ryzyka – np. w HR czy scoringu kredytowym – muszą przeprowadzić ocenę zgodności, która obejmuje również aspekty RODO. Ochrona danych staje się elementem obowiązkowego audytu AI, nie osobnym procesem. Znak towarowy i własność intelektualna modeli AI to kolejna warstwa, którą kancelaria IP Warszawa powinna analizować łącznie z RODO.
Jakie lekcje wyciągnąć z tej sprawy?
Sprawa e-commerce z Mazowsza zakończyła się bez kary finansowej. PUODO przyjął plan naprawczy i zamknął postępowanie po 90 dniach od pierwszego kontaktu. To możliwe tylko wtedy, gdy firma reaguje szybko, dokumentuje działania naprawcze i współpracuje z organem. Bierność lub opóźnienie zamykają tę drogę nieodwracalnie.
Lekcja pierwsza: audyt RODO to nie projekt jednorazowy. Wymaga właściciela procesu, budżetu i harmonogramu przeglądów – co najmniej raz na 12 miesięcy. Lekcja druga: procesorzy danych to nie podwykonawcy w tradycyjnym sensie. Każdy z nich wymaga umowy zgodnej z art. 28 RODO, a jej brak to osobne naruszenie. Lekcja trzecia: im szybsza reakcja na sygnał naruszenia, tym większa szansa na uniknięcie kary.
Firma produkcyjna z Dolnego Śląska, którą obsługiwaliśmy wiosną 2024 roku, zapłaciła 180 000 złotych kary właśnie dlatego, że przez sześć miesięcy ignorowała wewnętrzne sygnały o nieszczelności systemu. Audyt RODO przeprowadzony wcześniej kosztowałby ułamek tej kwoty.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – każda organizacja przetwarza inne kategorie danych i korzysta z innych procesorów. Zwłoka w identyfikacji luk może mieć nieodwracalne konsekwencje finansowe i reputacyjne.
Jeśli Państwa spółka nie przeprowadzała audytu RODO w ciągu ostatnich 12 miesięcy lub korzysta z zewnętrznych procesorów bez aktualnych umów powierzenia – przeprowadzimy pełny audyt, przygotujemy plan naprawczy i wesprzemy komunikację z PUODO: info@kordeckipartners.com.
Często zadawane pytania
P: Jak długo trwa audyt RODO i ile kosztuje?
O: Standardowy audyt RODO dla firmy zatrudniającej do 100 pracowników trwa od 10 do 20 dni roboczych. Koszt zależy od liczby systemów przetwarzania danych i złożoności struktury procesorów. W praktyce – dla spółki z o.o. o prostej strukturze – to wydatek rzędu kilkunastu tysięcy złotych. Znacznie mniej niż minimalna kara administracyjna nakładana przez PUODO.
P: Czy każda firma musi prowadzić rejestr czynności przetwarzania?
O: Rozporządzenie UE 2016/679 zwalnia z tego obowiązku podmioty zatrudniające mniej niż 250 osób – ale tylko pod warunkiem, że przetwarzanie nie jest regularne, nie dotyczy szczególnych kategorii danych i nie stwarza ryzyka dla praw osób fizycznych. W praktyce większość firm handlowych i usługowych nie spełnia tych warunków łącznie. Bezpieczniejszym rozwiązaniem jest prowadzenie rejestru niezależnie od wielkości firmy.
P: Czy AI Act zmienia obowiązki z zakresu RODO?
O: Artykuł 9 i 10 Rozporządzenia UE 2024/1689 nakładają na dostawców systemów AI wysokiego ryzyka obowiązki dotyczące zarządzania danymi treningowymi. Te obowiązki nakładają się na zasady minimalizacji danych i ograniczenia celu z RODO. Firmy wdrażające AI w rekrutacji, scoringu lub biometrii muszą przeprowadzić ocenę skutków dla ochrony danych (DPIA) – niezależnie od oceny zgodności wymaganej przez AI Act.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, prawa własności intelektualnej i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.