Firma e-commerce z Mazowsza wdrożyła nowy system CRM w marcu 2025 r. Trzy miesiące później PUODO wszczął postępowanie – nie dlatego, że doszło do wycieku, ale dlatego, że firma nie potrafiła wskazać podstawy prawnej przetwarzania danych klientów. Brak dokumentacji okazał się droższy niż sam incydent. Audyt RODO ujawnił cztery krytyczne luki – każdą możliwą do usunięcia w ciągu 30 dni, gdyby firma działała wcześniej.

Rozporządzenie UE 2016/679 (RODO) nakłada na każdego administratora danych obowiązek bieżącego dokumentowania i weryfikowania procesów przetwarzania. Audyt RODO to nie jednorazowa formalność – to systematyczny przegląd zgodności, który powinien odbywać się co najmniej raz w roku. Organ nadzorczy w Polsce, czyli PUODO, może nałożyć karę do 20 000 000 EUR lub 4% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa.

Ten alert wskazuje, które luki PUODO wykrywa najczęściej w polskich firmach, kogo dotyczą i jakie działania należy podjąć natychmiast. Dotyczy to zarówno małych przedsiębiorców przetwarzających dane pracowników, jak i dużych platform zbierających dane konsumentów.

Które luki RODO pojawiają się najczęściej w polskich firmach?

Audyt RODO ujawnia trzy kategorie problemów: brak podstawy prawnej przetwarzania, niekompletny rejestr czynności przetwarzania (RCP) oraz nieaktualne umowy powierzenia. Każda z tych luk stanowi samodzielną podstawę do wszczęcia postępowania przez PUODO. Polskie firmy najczęściej „dziedziczą" te problemy po poprzednich wdrożeniach z 2018 r., które nigdy nie zostały zaktualizowane.

Pierwsza i najczęstsza luka to brak aktualnego rejestru czynności przetwarzania. Art. 30 RODO nakłada obowiązek prowadzenia RCP na każdego administratora zatrudniającego powyżej 250 osób – ale też na każdego, kto przetwarza dane szczególnych kategorii lub dane mogące powodować ryzyko dla praw osób fizycznych. W praktyce dotyczy to niemal każdej firmy B2C i każdego pracodawcy. Rejestr musi zawierać cele przetwarzania, kategorie danych i – co często pomijane – planowane terminy usunięcia danych.

Druga luka to nieaktualne lub brakujące umowy powierzenia przetwarzania. Każdy podmiot zewnętrzny mający dostęp do danych osobowych – chmura, CRM, system kadrowy, firma kurierska – wymaga pisemnej umowy powierzenia zgodnej z art. 28 RODO. Audyty przeprowadzone przez kancelarie IP Warszawa i inne podmioty doradcze wskazują, że ponad połowa polskich firm nie zaktualizowała tych umów po zmianie dostawców lub po wejściu w życie nowych standardowych klauzul umownych (SCC) Komisji Europejskiej z 2021 r.

Trzecia luka dotyczy klauzul informacyjnych. Obowiązek informacyjny z art. 13 i 14 RODO wymaga wskazania m.in. okresu retencji danych i podstawy prawnej. Wiele firm stosuje klauzule z 2018 r., które nie uwzględniają ani nowych procesów przetwarzania, ani wymogów wynikających z AI Act (Rozporządzenie UE 2024/1689) dotyczących zautomatyzowanego podejmowania decyzji.

Kogo dotyczą te obowiązki i jakie działania podjąć natychmiast?

Obowiązki RODO dotyczą każdego administratora danych – niezależnie od wielkości firmy. Progi ilościowe (250 pracowników) wyznaczają jedynie zakres obowiązku prowadzenia RCP, nie zwalniają z pozostałych wymogów. Firmy objęte DORA (Rozporządzenie UE 2022/2554), czyli podmioty finansowe i ich dostawcy ICT, mają od 17 stycznia 2025 r. dodatkowe obowiązki w zakresie zarządzania ryzykiem danych – co oznacza, że audyt RODO i audyt DORA powinny być przeprowadzane łącznie.

Działania priorytetowe obejmują cztery kroki. Należy wykonać je w ciągu 30 dni od identyfikacji luki:

  • Zaktualizować rejestr czynności przetwarzania – uwzględnić wszystkie nowe systemy wdrożone po 2021 r.
  • Zweryfikować umowy powierzenia z każdym podmiotem zewnętrznym mającym dostęp do danych osobowych.
  • Przejrzeć klauzule informacyjne pod kątem zgodności z aktualnym stanem faktycznym i wymogami AI Act.
  • Sprawdzić procedury reagowania na naruszenia – zgłoszenie do PUODO musi nastąpić w ciągu 72 godzin od wykrycia incydentu.

Ochrona danych to nie tylko kwestia dokumentacji. Firmy, które w 2025 r. wdrożyły systemy AI do profilowania klientów lub rekrutacji, muszą przeprowadzić ocenę skutków dla ochrony danych (DPIA) przed uruchomieniem systemu – nie po. Naruszenie tego wymogu jest jednym z najczęstszych powodów wszczęcia postępowania przez PUODO w ostatnich 12 miesiącach. Warto też pamiętać, że naruszenie znaku towarowego i naruszenie danych osobowych mogą wystąpić równocześnie – np. przy bezprawnym użyciu wizerunku osoby fizycznej w celach komercyjnych.

Firmy z sektora nieruchomości i budowlanego, które przetwarzają dane w związku z planowaniem przestrzennym i zagospodarowaniem terenu, często pomijają obowiązek informacyjny wobec właścicieli nieruchomości sąsiednich. To kolejna luka, którą PUODO zaczął weryfikować od 2024 r.

Konkretna sytuacja Państwa firmy może oznaczać, że część luk ma charakter nieodwracalny – np. brak DPIA przed wdrożeniem systemu AI uniemożliwia retroaktywne „naprawienie" procesu i może stanowić samodzielną podstawę kary. Każdy dzień zwłoki zwiększa ryzyko wszczęcia postępowania z urzędu.

Jeśli Państwa spółka przetwarza dane osobowe w systemach wdrożonych po 2021 r. i nie przeprowadziła audytu RODO w ciągu ostatnich 12 miesięcy – przeprowadzimy przegląd dokumentacji, zidentyfikujemy luki i przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała firma zatrudniająca 10 osób musi prowadzić rejestr czynności przetwarzania?

O: Formalny próg 250 pracowników z artykułu 30 ustęp 5 RODO nie zwalnia małych firm z obowiązku prowadzenia rejestru, jeśli przetwarzają dane szczególnych kategorii (np. dane zdrowotne pracowników) lub dane mogące powodować ryzyko dla praw osób fizycznych. W praktyce większość pracodawców – niezależnie od wielkości – powinna prowadzić przynajmniej uproszczony rejestr. Brak rejestru to jedna z pierwszych rzeczy, których szuka PUODO podczas kontroli.

P: Jak długo trwa audyt RODO i ile kosztuje?

O: Czas trwania audytu zależy od liczby procesów przetwarzania i złożoności infrastruktury IT. Dla firmy zatrudniającej do 50 osób audyt obejmujący dokumentację i wywiady z kluczowymi pracownikami zajmuje zwykle od 5 do 10 dni roboczych. Koszt zewnętrznego audytu prawnego waha się od kilku do kilkudziesięciu tysięcy złotych – znacznie mniej niż minimalna kara administracyjna nakładana przez PUODO, która w sprawach proceduralnych wynosi do 10 000 000 EUR.

P: Czy wdrożenie systemu AI w firmie automatycznie wymaga oceny skutków DPIA?

O: Nie automatycznie, ale w większości przypadków tak. Ocena skutków dla ochrony danych jest wymagana, gdy przetwarzanie „może powodować wysokie ryzyko" dla praw osób fizycznych. Systemy AI stosowane do profilowania, rekrutacji lub monitorowania pracowników prawie zawsze spełniają ten próg. Wymogi AI Act (Rozporządzenie UE 2024/1689) dotyczące systemów wysokiego ryzyka nakładają się na obowiązki RODO – co oznacza, że DPIA i ocena zgodności z AI Act powinny być przeprowadzane łącznie.

O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, AI Act i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.