Firma IT z Mazowsza wdraża nowy system CRM. Dział HR zbiera zgody marketingowe od kandydatów do pracy. Zewnętrzny dostawca chmury przetwarza dane klientów bez podpisanej umowy powierzenia. Żaden z tych elementów nie wygląda groźnie – dopóki nie pojawia się kontrola PUODO lub skarga osoby, której dane dotyczą.

Audyt RODO pozwala zidentyfikować luki w zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO – zanim zrobi to organ nadzorczy. W polskich firmach najczęściej brakuje aktualnych rejestrów czynności przetwarzania, kompletnych umów powierzenia i udokumentowanych podstaw prawnych dla poszczególnych operacji. Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć karę do 20 milionów EUR lub 4% rocznego obrotu globalnego.

Ten przewodnik omawia krok po kroku, jak przeprowadzić audyt RODO w polskiej firmie: od inwentaryzacji danych przez analizę umów aż po wdrożenie planu naprawczego. Wskazujemy typowe błędy w trzech sektorach – produkcja, IT i inwestycje zagraniczne – oraz podajemy konkretne terminy i progi, które decydują o ryzyku.

Od czego zacząć audyt RODO – inwentaryzacja i mapa danych?

Każdy audyt RODO zaczyna się od pytania: jakie dane osobowe firma w ogóle przetwarza i gdzie one są. Bez aktualnego rejestru czynności przetwarzania (RCP) odpowiedź na to pytanie jest niemożliwa. Obowiązek prowadzenia RCP wynika bezpośrednio z art. 30 RODO i dotyczy każdego administratora danych – niezależnie od wielkości firmy, z wyjątkiem podmiotów zatrudniających poniżej 250 osób, które spełniają ściśle określone warunki wyłączenia. W praktyce – wiele firm o tym zapomina – wyłączenie to jest węższe, niż się wydaje.

Mapa danych to nie tylko lista systemów IT. Obejmuje również papierowe archiwa, skrzynki e-mail pracowników, arkusze Excel na dyskach lokalnych i dane przekazywane podmiotom zewnętrznym. Producent mebli z Małopolski odkrył podczas audytu wiosną 2024 r., że dane jego klientów detalicznych były przechowywane w czterech różnych systemach – bez spójnej polityki retencji i bez wyznaczonego okresu przechowywania dla żadnego z nich.

Pierwszy etap audytu obejmuje zazwyczaj:

  • wywiad z kluczowymi działami (HR, sprzedaż, IT, marketing, finanse),
  • zebranie i weryfikację istniejącej dokumentacji RODO,
  • mapowanie przepływów danych – wewnętrznych i do podmiotów zewnętrznych,
  • identyfikację kategorii szczególnych (dane zdrowotne, biometryczne, dotyczące wyroków skazujących).

Na tym etapie kluczowe jest ustalenie, kto jest administratorem, a kto podmiotem przetwarzającym. To rozróżnienie decyduje o tym, jakie umowy muszą zostać zawarte i jakie obowiązki informacyjne należy spełnić. Termin na wdrożenie środków naprawczych po audycie wewnętrznym warto ustalić z góry – zalecamy nie dłużej niż 90 dni od zakończenia inwentaryzacji.

PUODO podczas kontroli zawsze weryfikuje RCP jako pierwszy dokument. Brak aktualnego rejestru lub rejestr niezgodny ze stanem faktycznym to najszybsza droga do wszczęcia postępowania administracyjnego. Warto też pamiętać, że nowe definicje podatkowe od 2025 roku zmieniają sposób kwalifikacji aktywów – co ma znaczenie przy audytach łączonych, obejmujących zarówno dane, jak i infrastrukturę IT.

Jakie umowy powierzenia przetwarzania najczęściej zawierają błędy?

Umowa powierzenia przetwarzania danych osobowych (art. 28 RODO) to dokument, który w polskich firmach najczęściej albo w ogóle nie istnieje, albo jest przestarzały, albo nie odpowiada rzeczywistemu zakresowi przetwarzania. PUODO nakładał kary w sprawach, gdzie administrator korzystał z usług chmurowych bez jakiejkolwiek umowy powierzenia – a dane były przetwarzane przez dostawcę zagranicznego, często poza Europejskim Obszarem Gospodarczym (EOG).

Firma technologiczna z Trójmiasta w lecie 2023 r. uniknęła kary dopiero po pilnym zawarciu umów powierzenia z pięcioma dostawcami SaaS – wszystkich wykryto podczas audytu zleconego przez nowego inwestora przed zamknięciem rundy finansowania. Koszt naprawczy był wielokrotnie wyższy niż koszt audytu przeprowadzonego rok wcześniej.

Najczęstsze błędy w umowach powierzenia to:

  • brak określenia przedmiotu i czasu trwania przetwarzania,
  • brak klauzuli dotyczącej podpowierzenia (art. 28 ust. 2 RODO wymaga zgody administratora),
  • brak zobowiązania do usunięcia lub zwrotu danych po zakończeniu usługi,
  • umowy zawarte przed 25 maja 2018 r. i nigdy nieaktualizowane.

Osobnym problemem jest transfer danych do państw trzecich. Jeśli dostawca przetwarza dane poza EOG, administrator musi zapewnić odpowiedni mechanizm transferu – standardowe klauzule umowne (SCC) lub decyzję Komisji Europejskiej o adekwatności. Po wyroku Schrems II z 2020 r. samo powołanie się na Privacy Shield jest niewystarczające. PUODO konsekwentnie egzekwuje ten obowiązek.

Regulacje DORA (Rozporządzenie UE 2022/2554), które weszły w życie 17 stycznia 2025 r. dla podmiotów finansowych, nakładają dodatkowe wymagania na umowy z dostawcami ICT – w tym szczegółowe postanowienia dotyczące bezpieczeństwa danych i prawa do audytu. Dla banków, ubezpieczycieli i firm inwestycyjnych oznacza to, że umowy powierzenia RODO muszą być zsynchronizowane z umowami ICT wymaganymi przez DORA.

Gdzie kryją się luki w podstawach prawnych przetwarzania?

RODO wymaga, aby każda operacja przetwarzania danych osobowych opierała się na jednej z sześciu podstaw prawnych wymienionych w art. 6 ust. 1. W polskich firmach najczęstszym błędem jest nadużywanie zgody jako domyślnej podstawy – tam, gdzie w rzeczywistości przetwarzanie jest niezbędne do wykonania umowy lub wynika z prawnie uzasadnionego interesu administratora. Zgoda jest najsłabszą podstawą: może być cofnięta w dowolnym momencie, a jej zebranie musi spełniać rygorystyczne warunki dobrowolności, konkretności i świadomości.

Drugi powszechny błąd to niekompletne klauzule informacyjne (art. 13–14 RODO). Firma musi poinformować osobę, której dane dotyczą, m.in. o tożsamości administratora, celu i podstawie przetwarzania, odbiorcach danych, planowanym czasie przechowywania oraz prawach przysługujących tej osobie. W praktyce klauzule informacyjne na polskich stronach internetowych często pomijają informację o czasie retencji lub powołują się na nieistniejące kategorie odbiorców.

Trzy scenariusze biznesowe ilustrują ten problem dobrze. Producent przemysłowy z Wielkopolski stosował zgodę jako podstawę przetwarzania danych pracowników w systemie monitoringu wizyjnego – co jest błędem, bo zgoda pracownika nigdy nie może być uznana za dobrowolną wobec pracodawcy. Firma IT z Warszawy przetwarzała dane behawioralne użytkowników swojej aplikacji na podstawie uzasadnionego interesu, ale nigdy nie przeprowadziła testu wyważenia interesów (LIA – Legitimate Interests Assessment). Zagraniczny inwestor wchodzący na rynek polski zakładał, że zgoda zbierana w kraju macierzystym jest ważna w Polsce – co nie jest prawdą, jeśli formularz nie spełniał wymogów RODO.

Rejestracja znaku towarowego i ochrona własności intelektualnej to osobny obszar compliance, który bywa powiązany z audytem RODO – szczególnie gdy firma przetwarza dane klientów w kontekście licencjonowania lub sprzedaży produktów chronionych. Więcej o tej procedurze: rejestracja znaku towarowego w UPRP – procedura.

Audyt podstaw prawnych powinien zakończyć się macierzą: każda czynność przetwarzania – jedna podstawa prawna – dokumentacja potwierdzająca. Bez tej macierzy firma nie jest w stanie wykazać rozliczalności wymaganej przez art. 5 ust. 2 RODO.

Jak AI Act i nowe technologie zmieniają obowiązki w zakresie ochrony danych?

AI Act – Rozporządzenie UE 2024/1689 – wszedł w życie 1 sierpnia 2024 r. i wprowadza nową warstwę obowiązków dla firm stosujących systemy sztucznej inteligencji. Systemy wysokiego ryzyka (m.in. AI w rekrutacji, scoringu kredytowym, biometrii) wymagają oceny zgodności przed wdrożeniem. Jeśli taki system przetwarza dane osobowe, obowiązki wynikające z AI Act i RODO nakładają się – i oba muszą być spełnione jednocześnie.

W praktyce oznacza to, że firma używająca AI do selekcji CV musi nie tylko przeprowadzić ocenę skutków dla ochrony danych (DPIA – art. 35 RODO), ale również spełnić wymogi przejrzystości i nadzoru ludzkiego wynikające z AI Act. Termin na pełne stosowanie przepisów dotyczących systemów wysokiego ryzyka upływa w sierpniu 2026 r. – firmy mają więc ograniczone okno czasowe na dostosowanie.

Co sprawdzić w obszarze AI i nowych technologii podczas audytu RODO:

  • czy stosowane algorytmy rekomendacyjne lub decyzyjne podlegają wymogom DPIA,
  • czy umowy z dostawcami AI zawierają postanowienia o przetwarzaniu danych treningowych,
  • czy profilowanie użytkowników spełnia warunki art. 22 RODO (automatyczne podejmowanie decyzji),
  • czy system jest zakwalifikowany jako wysokiego ryzyka w rozumieniu AI Act.

Regulacja wyprzedza rynek – i to jest problem. Wiele polskich firm wdrożyło narzędzia AI w 2023–2024 r., zanim opublikowano ostateczny tekst AI Act. Audyt powinien objąć retrospektywną ocenę tych wdrożeń. Kancelaria IP Warszawa, doradzająca w sprawach technologicznych, coraz częściej łączy audyt RODO z przeglądem zgodności z AI Act jako jednym zleceniem – co jest podejściem bardziej efektywnym kosztowo niż dwa oddzielne projekty.

Jak wygląda plan naprawczy po audycie i ile kosztuje zgodność?

Audyt RODO bez planu naprawczego jest dokumentem archiwalnym, a nie narzędziem zarządzania ryzykiem. Plan naprawczy powinien zawierać priorytety działań według poziomu ryzyka, osoby odpowiedzialne, terminy realizacji i wskaźniki weryfikacji. Zalecamy strukturę trzystopniową: działania natychmiastowe (do 14 dni), krótkoterminowe (do 90 dni) i długoterminowe (do 12 miesięcy).

Co powinno znaleźć się na liście kontrolnej przed wdrożeniem planu naprawczego:

  • aktualizacja lub stworzenie rejestru czynności przetwarzania,
  • zawarcie lub aktualizacja wszystkich umów powierzenia,
  • weryfikacja i korekta podstaw prawnych dla każdej czynności przetwarzania,
  • aktualizacja klauzul informacyjnych na stronie internetowej i w dokumentach wewnętrznych,
  • szkolenie pracowników z nowych procedur – minimum 2 godziny dla działów przetwarzających dane wrażliwe.

Koszt audytu RODO w polskiej firmie średniej wielkości (50–250 pracowników) wynosi zazwyczaj od 8 000 do 25 000 PLN brutto, zależnie od złożoności struktury danych i liczby systemów IT. Wdrożenie planu naprawczego to osobna pozycja – od 5 000 PLN dla firm o prostej strukturze do kilkudziesięciu tysięcy złotych przy konieczności renegocjacji wielu umów z dostawcami zagranicznymi.

Dla porównania: minimalna kara nałożona przez PUODO w ostatnich latach sięgała kilkudziesięciu tysięcy złotych, a kary w sprawach dotyczących poważnych naruszeń przekraczały milion złotych. Nieodwracalnym skutkiem naruszenia nie jest tylko kara finansowa – to również obowiązek powiadomienia osób, których dane dotyczą, i ryzyko pozwów cywilnych o odszkodowanie. Odpowiedzialność osobista zarządu za brak wdrożenia odpowiednich środków technicznych i organizacyjnych jest realna, szczególnie po połączeniu przepisów RODO z odpowiedzialnością wynikającą z art. 293 § 1 k.s.h.

Konkretna sytuacja Państwa firmy wymaga oceny, które luki są krytyczne i jakie działania naprawcze zamykają drogę do odpowiedzialności. Brak dokumentacji rozliczalności to ryzyko nieodwracalne w momencie kontroli – nie można jej uzupełnić wstecz.

Jeśli Państwa spółka nie przeprowadziła audytu RODO w ciągu ostatnich 24 miesięcy lub wdrożyła nowe systemy AI lub chmurowe bez oceny zgodności – przeprowadzimy przegląd dokumentacji, mapowanie danych i przygotujemy plan naprawczy z priorytetami: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe firmy zatrudniające mniej niż 250 osób muszą prowadzić rejestr czynności przetwarzania?

O: Co do zasady firmy poniżej 250 pracowników są zwolnione z obowiązku prowadzenia rejestru – ale wyłącznie wtedy, gdy przetwarzanie nie jest regularne, nie dotyczy kategorii szczególnych danych (np. zdrowotnych) i nie stwarza ryzyka naruszenia praw osób. W praktyce większość firm handlowych, IT i usługowych nie spełnia warunków wyłączenia, bo przetwarza dane pracowników regularnie. Artykuł 30 ustęp 5 rozporządzenia RODO przewiduje to wyłączenie, ale organy nadzorcze – w tym PUODO – interpretują je wąsko. Bezpieczniejszym rozwiązaniem jest prowadzenie rejestru niezależnie od progu zatrudnienia.

P: Ile czasu zajmuje audyt RODO i od czego zależy jego koszt?

O: Standardowy audyt RODO w firmie zatrudniającej 50–250 pracowników trwa od 3 do 6 tygodni. Na czas wpływają liczba systemów IT, liczba dostawców zewnętrznych i kompletność istniejącej dokumentacji. Koszt waha się od 8 000 do 25 000 PLN brutto za sam audyt – bez wdrożenia planu naprawczego. Firmy z branży finansowej, objęte jednocześnie rozporządzeniem DORA, powinny liczyć się z wyższym zakresem prac, bo audyt musi obejmować zarówno wymogi RODO, jak i wymogi zarządzania ryzykiem ICT.

P: Czy zgoda pracownika może być podstawą prawną przetwarzania jego danych przez pracodawcę?

O: To częste nieporozumienie. Zgoda pracownika jest uznawana za dobrowolną tylko wyjątkowo – gdy przetwarzanie przynosi mu wyraźną korzyść i nie ma żadnych negatywnych konsekwencji odmowy. Europejska Rada Ochrony Danych (EROD) konsekwentnie wskazuje, że relacja podległości służbowej wyklucza dobrowolność zgody w typowych sytuacjach pracowniczych. Podstawą dla monitoringu, ocen pracowniczych czy przetwarzania danych w systemach kadrowych powinien być prawnie uzasadniony interes administratora lub obowiązek prawny – nie zgoda.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, zgodności z AI Act i DORA oraz audytów RODO dla firm z sektorów IT, produkcji i finansów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.