Firma IT z Krakowa przetwarzała dane klientów od pięciu lat. Rejestr czynności przetwarzania istniał – w Excelu, nieaktualizowanym od dwóch lat. Klauzule zgody w formularzu kontaktowym nie spełniały wymogów RODO. Gdy PUODO wszczął kontrolę, firma miała 14 dni na przedstawienie dokumentacji. Tych 14 dni okazało się za mało.

Audyt RODO pozwala zidentyfikować luki w przetwarzaniu danych osobowych zanim zrobi to organ nadzorczy. Podstawę prawną stanowi Rozporządzenie (UE) 2016/679 (RODO), stosowane bezpośrednio w Polsce od 25 maja 2018 roku. Kary za naruszenia sięgają 20 milionów euro lub 4% globalnego obrotu – w zależności od tego, która wartość jest wyższa.

Ten przewodnik opisuje krok po kroku, jakie obszary sprawdzić, jakie błędy pojawiają się najczęściej i jak przygotować firmę do audytu w ciągu 30 dni. Omawiamy trzy scenariusze biznesowe: firmę produkcyjną, spółkę IT i zagranicznego inwestora wchodzącego na rynek polski.

Od czego zacząć audyt RODO w polskiej firmie?

Każdy audyt zaczyna się od inwentaryzacji. Chodzi o ustalenie, jakie dane osobowe firma faktycznie przetwarza – nie jakie powinna przetwarzać zgodnie z polityką prywatności. Te dwie rzeczy często się nie pokrywają. Pierwszym krokiem jest weryfikacja rejestru czynności przetwarzania (RCP), wymaganego przez art. 30 RODO. Rejestr musi zawierać cele przetwarzania, kategorie danych, odbiorców i planowane terminy usunięcia.

W praktyce – wiele firm prowadzi RCP jako dokument formalny, a nie operacyjny. Wpisuje się do niego procesy z dnia wdrożenia, a potem nie aktualizuje przy każdej zmianie systemu CRM, nowym dostawcy chmury czy rozszerzeniu działalności. PUODO podczas kontroli żąda rejestru aktualnego na dzień kontroli, nie na dzień jego sporządzenia.

Trzy instytucje, które mogą zainicjować kontrolę zgodności z RODO w Polsce, to PUODO (Urząd Ochrony Danych Osobowych), KAS (Krajowa Administracja Skarbowa) przy przetwarzaniu danych w kontekście podatkowym oraz – od stycznia 2025 roku – KNF w odniesieniu do podmiotów finansowych objętych rozporządzeniem DORA. Znajomość ich uprawnień to punkt wyjścia dla każdego audytu.

Audyt powinien objąć co najmniej cztery obszary: podstawy prawne przetwarzania, umowy powierzenia, obowiązki informacyjne i procedury reagowania na naruszenia. Na wykonanie pełnego przeglądu w średniej firmie (50–250 pracowników) potrzeba od 10 do 20 dni roboczych.

Jakie są najczęstsze luki wykrywane podczas audytu RODO?

Pierwsza i najczęstsza luka to brak ważnej podstawy prawnej przetwarzania. Firmy opierają się na zgodzie tam, gdzie powinna być umowa, albo powołują się na „uzasadniony interes" bez przeprowadzenia testu równoważenia interesów. RODO w art. 6 wymaga jednoznacznego wskazania podstawy dla każdej czynności przetwarzania. Brak tej analizy to bezpośrednia ścieżka do decyzji PUODO nakazującej zaprzestanie przetwarzania.

Druga luka – umowy powierzenia przetwarzania danych. Każdy podmiot zewnętrzny, który przetwarza dane w imieniu firmy (dostawca chmury, firma kadrowa, zewnętrzny dział IT), musi mieć zawartą umowę powierzenia zgodną z art. 28 RODO. W praktyce wiele firm ma umowy sprzed 2018 roku, nigdy niezaktualizowane. Część nie ma ich w ogóle – bo dostawca to „zaufany partner od lat".

Trzecia luka dotyczy transferów danych poza EOG. Korzystanie z Google Workspace, Salesforce czy AWS może oznaczać transfer danych do USA. Po wyroku Schrems II i wdrożeniu Data Privacy Framework firmy muszą udokumentować mechanizm transferu – standardowe klauzule umowne (SCC) lub certyfikację DPF. PUODO kontroluje to coraz częściej.

Czwarta luka – brak procedury obsługi żądań podmiotów danych. Osoba fizyczna ma 30 dni na odpowiedź. Firmy, które nie wyznaczyły osoby odpowiedzialnej za obsługę żądań, przekraczają ten termin. Piąta luka to nieaktualna analiza ryzyka i brak DPIA tam, gdzie jest wymagana – szczególnie przy wdrożeniach systemów AI objętych rozporządzeniem AI Act (Rozporządzenie UE 2024/1689).

Trzy scenariusze biznesowe – gdzie szukać problemów?

Firma produkcyjna z Mazowsza zatrudniająca 180 osób przetwarza dane pracowników, kontrahentów i klientów końcowych. Najczęstszy problem: monitoring wizyjny bez spełnienia obowiązku informacyjnego z art. 13 RODO. Kamery na hali produkcyjnej i w biurze wymagają tabliczek informacyjnych, klauzuli informacyjnej w regulaminie pracy i wpisu do RCP. Brak tych elementów to naruszenie, które PUODO stwierdza rutynowo.

Spółka IT z Wrocławia świadcząca usługi SaaS dla klientów z UE działa jako podmiot przetwarzający (procesor) dla swoich klientów i jednocześnie jako administrator dla własnych danych pracowniczych. Dwa reżimy prawne działają równocześnie. Umowy z klientami muszą spełniać wymogi art. 28 RODO – a to oznacza szczegółowe postanowienia o podpowierzeniu, audytach i usunięciu danych po zakończeniu umowy. Wiele spółek IT pomija klauzule o podpowierzeniu, co blokuje możliwość korzystania z podwykonawców.

Zagraniczny inwestor wchodzący na rynek polski – na przykład fundusz z Niemiec otwierający spółkę zależną – musi pamiętać, że RODO stosuje się do każdego przetwarzania danych przez podmiot działający w UE. Lokalna spółka zależna to odrębny administrator. Wymaga własnego RCP, własnej polityki prywatności i własnego IOD (jeśli spełnia kryteria z art. 37 RODO). Struktury joint venture opisane w analizie prawa korporacyjnego wymagają osobnej oceny, kto jest administratorem wspólnym i jakie są zasady odpowiedzialności.

W każdym z tych scenariuszy kluczowe jest ustalenie, czy firma podlega obowiązkowi wyznaczenia Inspektora Ochrony Danych (IOD). Obowiązek ten wynika z art. 37 RODO i dotyczy m.in. podmiotów przetwarzających dane na dużą skalę lub przetwarzających szczególne kategorie danych.

Jak przeprowadzić audyt RODO krok po kroku – lista kontrolna?

Audyt RODO w 30 dni jest możliwy przy odpowiednim podziale pracy. Poniżej praktyczna lista kontrolna dla firm do 250 pracowników. Każdy punkt powinien zakończyć się pisemnym raportem cząstkowym – to dokumentacja na wypadek kontroli PUODO.

  • Dni 1–5: Inwentaryzacja procesów przetwarzania danych. Wywiady z działami: HR, IT, sprzedaż, marketing. Aktualizacja lub stworzenie RCP.
  • Dni 6–10: Weryfikacja podstaw prawnych każdej czynności przetwarzania. Analiza zgód, umów i uzasadnionych interesów. Test równoważenia dla art. 6 ust. 1 lit. f RODO.
  • Dni 11–15: Przegląd umów powierzenia z dostawcami zewnętrznymi. Identyfikacja transferów poza EOG. Weryfikacja mechanizmów transferu (SCC lub DPF).
  • Dni 16–22: Ocena obowiązków informacyjnych (klauzule na stronie, w umowach, w miejscu pracy). Weryfikacja procedur obsługi żądań podmiotów danych i zgłaszania naruszeń do PUODO (72 godziny).
  • Dni 23–30: Przegląd DPIA dla procesów wysokiego ryzyka. Ocena gotowości na wymogi AI Act przy systemach AI w firmie. Raport końcowy z planem naprawczym.

Koszt zewnętrznego audytu RODO w kancelarii prawnej waha się od 8 000 do 30 000 PLN w zależności od wielkości firmy i złożoności procesów. Audyt wewnętrzny jest tańszy, ale wymaga dedykowanego zasobu przez minimum 3 tygodnie. Firmy z sektora finansowego podlegają dodatkowo wymogom DORA (Rozporządzenie UE 2022/2554) – audyt RODO powinien być wtedy skoordynowany z przeglądem zgodności ICT.

Uważamy, że bezpieczniejszym rozwiązaniem jest audyt zewnętrzny co 2 lata, uzupełniony wewnętrznym przeglądem rocznym. Jeden poważny incydent danych – z obowiązkiem zgłoszenia do PUODO i powiadomienia osób – kosztuje firmę wielokrotnie więcej niż prewencyjny audyt. Podmioty zainteresowane regulacją kryptoaktywów mogą też sprawdzić, jak MiCA wpływa na przetwarzanie danych przez dostawców usług kryptoaktywów – to obszar, gdzie RODO i nowe regulacje finansowe nakładają się.

Konkretna sytuacja Państwa firmy może oznaczać nieodwracalne konsekwencje, jeśli luki w zgodności z RODO zostaną wykryte przez PUODO przed zakończeniem audytu wewnętrznego. Każdy dzień zwłoki to dzień, w którym niezgodne przetwarzanie trwa i narasta ryzyko kary.

Jeśli Państwa spółka przetwarza dane osobowe pracowników lub klientów i nie przeprowadzała audytu RODO w ciągu ostatnich 24 miesięcy – przeprowadzimy pełny przegląd zgodności, zaktualizujemy RCP i umowy powierzenia oraz przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Jak długo trwa audyt RODO i ile kosztuje?

O: Audyt w firmie do 250 pracowników trwa od 3 do 6 tygodni przy zaangażowaniu zewnętrznego doradcy. Koszt wynosi zazwyczaj od 8 000 do 30 000 PLN netto. Firmy z sektora finansowego, objęte jednocześnie rozporządzeniem DORA, powinny liczyć się z wyższym budżetem – przegląd ICT i przegląd ochrony danych muszą być skoordynowane. Czas realizacji zależy od stopnia rozproszenia procesów i dostępności dokumentacji.

P: Czy każda polska firma musi wyznaczyć Inspektora Ochrony Danych?

O: Nie – to powszechne nieporozumienie. Obowiązek wyznaczenia Inspektora Ochrony Danych wynika z artykułu 37 RODO i dotyczy trzech kategorii: organów publicznych, podmiotów przetwarzających dane na dużą skalę w sposób systematyczny oraz podmiotów przetwarzających szczególne kategorie danych lub dane o wyrokach skazujących. Firma zatrudniająca 20 osób i prowadząca tradycyjną działalność handlową może nie mieć tego obowiązku. Jednak nawet bez obowiązku formalnego wiele firm wyznacza IOD dobrowolnie – jako punkt kontaktowy dla PUODO i osób, których dane dotyczą.

P: Co grozi firmie za brak umów powierzenia przetwarzania danych?

O: Brak umowy powierzenia z podmiotem zewnętrznym przetwarzającym dane w imieniu firmy stanowi naruszenie artykułu 28 RODO. PUODO może nałożyć karę administracyjną do 10 milionów euro lub 2% globalnego obrotu. W praktyce polskie decyzje PUODO w tym zakresie opiewają na kwoty od kilkudziesięciu tysięcy do kilku milionów złotych. Brak umowy powierzenia zamyka też drogę do skutecznej obrony w przypadku naruszenia danych przez podwykonawcę – firma odpowiada solidarnie za działania procesora.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Konkretna sytuacja Państwa firmy w zakresie zgodności z RODO wymaga indywidualnej oceny – zwłaszcza jeśli działacie Państwo w sektorze regulowanym lub korzystacie z systemów AI podlegających rozporządzeniu AI Act. Nieodwracalne skutki decyzji PUODO mogą objąć nie tylko karę finansową, ale i zakaz przetwarzania danych.

Jeśli Państwa spółka wdraża nowe narzędzia IT lub AI i nie zaktualizowała dokumentacji RODO w ciągu ostatnich 12 miesięcy – przeprowadzimy audyt zgodności, ocenimy ryzyko transferów danych i zaktualizujemy umowy z dostawcami: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.