Audyt RODO – najczęstsze luki w polskich firmach

Firma e-commerce z Mazowsza uruchamia nowy sklep internetowy. Regulamin gotowy, koszyk działa, płatności skonfigurowane. Brakuje jednej rzeczy: nikt nie sprawdził, czy przetwarzanie danych osobowych klientów jest zgodne z RODO. Pierwsze wezwanie od PUODO pojawia się trzy miesiące po starcie.

Audyt RODO to systematyczny przegląd procesów przetwarzania danych osobowych w organizacji pod kątem zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 – czyli RODO. Obejmuje on weryfikację podstaw prawnych przetwarzania, dokumentacji, umów powierzenia i środków technicznych. Kary administracyjne mogą sięgać 20 milionów euro lub 4% rocznego obrotu światowego – w zależności od tego, która kwota jest wyższa.

W praktyce polskie firmy popełniają podobne błędy – niezależnie od branży i wielkości. Ten przewodnik pokazuje, gdzie są najczęstsze luki, jak przeprowadzić audyt krok po kroku i co zrobić z wynikami. Omawiamy trzy scenariusze biznesowe: firmę produkcyjną, software house i zagranicznego inwestora wchodzącego na rynek polski.

Od czego zacząć audyt RODO w polskiej firmie?

Audyt RODO zaczyna się od mapowania procesów, nie od dokumentów. Podstawa prawna każdego procesu przetwarzania musi być zidentyfikowana zanim sięgnie się po wzory klauzul. Rozporządzenie UE 2016/679 wymaga, by każde przetwarzanie opierało się na jednej z sześciu przesłanek – zgoda, umowa, obowiązek prawny, żywotny interes, zadanie publiczne lub prawnie uzasadniony interes. Brak tej analizy to najczęstszy punkt wyjścia dla naruszeń wykrywanych przez PUODO.

Punkt startowy to Rejestr Czynności Przetwarzania (RCP). Obowiązek jego prowadzenia wynika bezpośrednio z art. 30 RODO. W polskich firmach RCP albo nie istnieje, albo był stworzony raz – przy wdrożeniu RODO w 2018 r. – i od tamtej pory nie był aktualizowany. Tymczasem każde wdrożenie nowego narzędzia SaaS, zmiana dostawcy kadr czy uruchomienie monitoringu to zdarzenia wymagające wpisu.

Praktyczny schemat pierwszego etapu audytu obejmuje cztery kroki:

• Zebranie listy wszystkich systemów IT przetwarzających dane osobowe
• Weryfikacja, kto jest administratorem, a kto podmiotem przetwarzającym
• Porównanie stanu faktycznego z treścią RCP
• Identyfikacja procesów bez podstawy prawnej lub z podstawą wątpliwą

Firma produkcyjna z Dolnego Śląska przeprowadziła taki przegląd wiosną 2024 r. i odkryła 14 systemów SaaS nieujętych w RCP. Każdy z nich miał dostęp do danych pracowników lub kontrahentów. Bez audytu żaden z tych dostawców nie miał podpisanej umowy powierzenia przetwarzania danych. To klasyczna luka – i PUODO traktuje ją jako naruszenie art. 28 RODO.

Na tym etapie warto zaangażować dział IT i HR jednocześnie. Dane osobowe przepływają przez oba obszary, a każdy z nich ma własną mapę systemów. Audyt prowadzony wyłącznie przez prawnika – bez wglądu w architekturę techniczną – będzie niepełny. Regulacja wyprzedza rynek, ale luka między prawem a praktyką IT pozostaje bardzo szeroka.

Jakie są najczęstsze luki w dokumentacji i umowach?

Dokumentacja RODO to nie tylko polityka prywatności na stronie www. Obejmuje ona umowy powierzenia, upoważnienia dla pracowników, procedury obsługi żądań podmiotów danych i analizy ryzyka. Brak choćby jednego z tych elementów może skutkować karą administracyjną. PUODO w swoich decyzjach wielokrotnie wskazywał, że niepodpisanie umowy powierzenia z dostawcą usług chmurowych stanowi samodzielną podstawę do nałożenia sankcji – nawet gdy samo przetwarzanie danych było prawidłowe.

Najczęściej spotykane luki dokumentacyjne w polskich firmach to:

• Brak umów powierzenia z dostawcami SaaS i HR (art. 28 RODO)
• Nieaktualne lub zbyt ogólne klauzule informacyjne (art. 13–14 RODO)
• Brak lub nieaktualny Rejestr Czynności Przetwarzania
• Upoważnienia dla pracowników wystawione raz i nigdy nieaktualizowane
• Brak udokumentowanych analiz ryzyka dla nowych procesów

Software house z Krakowa – zatrudniający 80 programistów – przeprowadził audyt latem 2024 r. Okazało się, że umowy powierzenia z klientami zagranicznymi zawierały standardowe klauzule umowne (SCC) w wersji z 2010 r. Komisja Europejska zastąpiła je nowymi SCC w czerwcu 2021 r. Stare klauzule nie zapewniają już wystarczającej podstawy dla transferu danych do państw trzecich. Firma musiała aneksować kilkadziesiąt umów w ciągu 60 dni.

Osobny problem to klauzule informacyjne. Wiele firm korzysta z szablonów przygotowanych w 2018 r. Od tamtej pory zmieniły się praktyki PUODO, orzecznictwo TSUE i zakres przetwarzanych danych. Klauzula, która nie informuje o profilowaniu, zautomatyzowanym podejmowaniu decyzji ani o przekazywaniu danych do państw trzecich, jest niezgodna z art. 13 RODO – nawet jeśli formalnie istnieje.

Warto też sprawdzić, czy firma korzysta z narzędzi objętych zakresem DORA (Rozporządzenie UE 2022/2554). Podmioty finansowe – banki, towarzystwa ubezpieczeniowe, domy maklerskie – od 17 stycznia 2025 r. muszą spełniać dodatkowe wymogi dotyczące zarządzania ryzykiem ICT. DORA nakłada obowiązki wobec KNF i wymaga szczegółowych umów z dostawcami usług ICT. Dla tych firm audyt RODO i audyt DORA powinny być prowadzone łącznie.

W kontekście nowych regulacji technologicznych nie można też pominąć AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r. Systemy AI wysokiego ryzyka – np. narzędzia do rekrutacji, scoringu kredytowego czy biometrii – wymagają oceny zgodności. Wiele z nich przetwarza dane osobowe, co oznacza kumulację obowiązków z RODO i AI Act jednocześnie.

Zgodność z regulacjami antykorupcyjnymi i compliance wewnętrznym często pokrywa się z obszarami audytu RODO – szczególnie w zakresie przetwarzania danych pracowników i sygnalistów. Więcej o ramach compliance przeczytasz w materiale: Antykorupcja – ramy prawne i program compliance.

Jak przebiega audyt RODO krok po kroku – harmonogram i koszty?

Rzetelny audyt RODO trwa od 4 do 12 tygodni – w zależności od wielkości organizacji i liczby procesów przetwarzania. Dla firmy do 50 pracowników realistyczny harmonogram to 4–6 tygodni. Dla organizacji zatrudniającej ponad 250 osób lub przetwarzającej dane szczególnych kategorii – minimum 8 tygodni. Koszty zewnętrznego audytu prawno-technicznego wahają się od 8 000 PLN do ponad 50 000 PLN, zależnie od zakresu i liczby lokalizacji.

Harmonogram audytu dzieli się na trzy fazy:

• Faza 1 – inwentaryzacja (tygodnie 1–2): zebranie danych od działów IT, HR, marketingu i sprzedaży; aktualizacja RCP; identyfikacja podmiotów przetwarzających
• Faza 2 – analiza prawna (tygodnie 3–5): weryfikacja podstaw prawnych, umów powierzenia, klauzul informacyjnych, procedur obsługi żądań; ocena transferów do państw trzecich
• Faza 3 – raport i wdrożenie (tygodnie 6–8): raport z lukami i rekomendacjami; plan naprawczy z priorytetami i terminami; szkolenie pracowników

Dla zagranicznego inwestora – np. funduszu private equity z Niemiec wchodzącego na rynek polski poprzez nabycie spółki – audyt RODO jest elementem due diligence. W praktyce wycenia się go jako oddzielną pozycję w budżecie transakcji. Brak audytu RODO przed zamknięciem transakcji oznacza przejęcie nieznanych zobowiązań regulacyjnych. To ryzyko, które kupujący coraz częściej przenosi na sprzedającego poprzez mechanizmy reps and warranties.

Koszty wdrożenia rekomendacji to osobna kategoria. Uzupełnienie dokumentacji i renegocjacja umów to wydatek rzędu kilku tysięcy złotych. Wdrożenie nowych środków technicznych – szyfrowania, pseudonimizacji, systemów zarządzania zgodami – może kosztować wielokrotnie więcej. Uważamy, że bezpieczniejszym rozwiązaniem jest zaplanowanie budżetu wdrożeniowego już na etapie zlecania audytu, nie po otrzymaniu raportu.

Warto też pamiętać, że audyt RODO to nie zdarzenie jednorazowe. PUODO oczekuje, że organizacje prowadzą ciągły monitoring zgodności. Optymalny cykl dla firm MŚP to przegląd co 18–24 miesiące lub po każdej istotnej zmianie organizacyjnej – fuzji, przejęciu, wdrożeniu nowego systemu IT lub wejściu na nowy rynek.

Jeśli Państwa firma rozważa działalność w obszarze kryptoaktywów lub fintech, warto równolegle zapoznać się z regulacją MiCA: MiCA – regulacja kryptoaktywów w Polsce.

Jakie błędy najczęściej wykrywają kontrole PUODO?

PUODO przeprowadza kontrole zarówno z urzędu, jak i na skutek skarg podmiotów danych. Skargi dotyczą najczęściej trzech obszarów: braku odpowiedzi na żądanie dostępu do danych (termin: 30 dni od wpłynięcia żądania), nieuprawnionego udostępnienia danych osobom trzecim oraz trudności z cofnięciem zgody marketingowej. Każdy z tych przypadków może zakończyć się decyzją administracyjną z karą finansową.

Kontrole sektorowe PUODO ujawniają powtarzające się wzorce naruszeń. W sektorze e-commerce dominują problemy z podstawą prawną dla marketingu bezpośredniego i brakiem mechanizmu wycofania zgody. W sektorze HR – nadmierne zbieranie danych na etapie rekrutacji i brak procedury usuwania danych kandydatów. W sektorze medycznym – nieodpowiednie zabezpieczenie danych szczególnych kategorii i brak umów powierzenia z podmiotami zewnętrznymi.

Trzy najpoważniejsze błędy – te, które najczęściej prowadzą do wysokich kar – to:

• Brak zgłoszenia naruszenia ochrony danych do PUODO w ciągu 72 godzin (art. 33 RODO)
• Transfer danych osobowych do państw trzecich bez odpowiedniej podstawy prawnej
• Przetwarzanie danych szczególnych kategorii bez wyraźnej zgody lub innej przesłanki z art. 9 RODO

W praktyce – wiele firm o tym zapomina – obowiązek zgłoszenia naruszenia do PUODO biegnie od momentu, gdy organizacja powzięła wiedzę o naruszeniu, nie od momentu jego faktycznego wystąpienia. Procedura wewnętrzna musi więc zawierać jasne zasady eskalacji: kto informuje kogo i w jakim czasie. 72 godziny to bardzo krótki termin, gdy nie ma gotowego szablonu zgłoszenia i osoby odpowiedzialnej za kontakt z organem nadzorczym.

Dla firm działających w branżach objętych DORA – instytucji finansowych nadzorowanych przez KNF – naruszenie ochrony danych ma dodatkowy wymiar. Incydenty ICT mające wpływ na dane osobowe muszą być raportowane zarówno do PUODO, jak i do KNF. Brak koordynacji tych dwóch ścieżek raportowania to błąd, który audyt powinien wykryć i naprawić zanim dojdzie do incydentu.

Co przygotować przed audytem RODO – lista kontrolna?

Przygotowanie do audytu skraca jego czas i obniża koszty. Organizacja, która przystępuje do audytu z kompletną inwentaryzacją systemów i aktualnym RCP, oszczędza co najmniej 2–3 tygodnie pracy audytorów. Lista dokumentów do zebrania przed audytem jest konkretna i możliwa do przygotowania wewnętrznie.

Lista kontrolna – co przygotować przed audytem RODO:

• Aktualny Rejestr Czynności Przetwarzania (lub jego projekt, jeśli nigdy nie był prowadzony)
• Wszystkie umowy z podmiotami zewnętrznymi mającymi dostęp do danych osobowych (SaaS, outsourcing, kadry)
• Wzory klauzul informacyjnych stosowanych wobec klientów, pracowników i kandydatów
• Procedura obsługi żądań podmiotów danych (dostęp, sprostowanie, usunięcie, przenoszenie)
• Dokumentacja wszelkich naruszeń ochrony danych z ostatnich 24 miesięcy

Firmy, które wdrożyły systemy zarządzania bezpieczeństwem informacji zgodne z normą ISO 27001, mają zwykle lepiej przygotowaną dokumentację techniczną. Nie zastępuje ona jednak analizy prawnej. Norma ISO i RODO nakładają się, ale nie są tożsame. Audyt RODO musi ocenić podstawy prawne przetwarzania – to element, którego ISO 27001 nie obejmuje.

Odrębną kwestią jest ochrona danych osobowych w kontekście własności intelektualnej i technologii. Firmy rozwijające własne oprogramowanie lub korzystające z narzędzi AI powinny sprawdzić, czy dane treningowe i dane przetwarzane przez systemy AI są objęte odpowiednimi podstawami prawnymi. AI Act wprowadza dodatkowe obowiązki dla systemów wysokiego ryzyka – a wiele z nich operuje na danych osobowych. Pojęcia takie jak znak towarowy czy ochrona danych zazębiają się, gdy firma buduje markę opartą na danych klientów.

Kancelaria IP Warszawa z praktyką w prawie technologii może przeprowadzić audyt RODO łącznie z przeglądem zgodności z AI Act i DORA. Takie podejście jest szczególnie wartościowe dla firm z sektora fintech, healthtech i legaltech, gdzie regulacje nakładają się na siebie i wymagają skoordynowanej analizy.

Często zadawane pytania

P: Czy każda polska firma musi przeprowadzać audyt RODO i jak często?

O: Rozporządzenie UE 2016/679 nie narzuca obowiązku przeprowadzania audytu w określonych odstępach czasu. Wymaga jednak, by administrator był w stanie wykazać zgodność przetwarzania z RODO – co w praktyce oznacza konieczność regularnego przeglądu. Dla firm MŚP optymalny cykl to przegląd co 18–24 miesiące. Każda istotna zmiana organizacyjna lub technologiczna – wdrożenie nowego systemu, fuzja, wejście na nowy rynek – powinna uruchamiać przegląd doraźny, niezależnie od harmonogramu.

P: Ile kosztuje audyt RODO i co wpływa na jego cenę?

O: Koszt zewnętrznego audytu RODO zależy przede wszystkim od liczby procesów przetwarzania, liczby lokalizacji i zakresu transferów danych do państw trzecich. Dla firmy do 50 pracowników realistyczny koszt to 8 000–15 000 PLN. Dla organizacji powyżej 250 pracowników lub działającej w sektorach regulowanych – od 25 000 PLN wzwyż. Błędem jest zakładanie, że tańszy audyt jest wystarczający: powierzchowny przegląd nie wykrywa luk w umowach powierzenia ani w procedurach zgłaszania naruszeń, a to właśnie tam PUODO szuka podczas kontroli.

P: Czy audyt RODO chroni firmę przed karą od PUODO?

O: Przeprowadzenie audytu nie zwalnia z odpowiedzialności, ale istotnie zmniejsza ryzyko nałożenia kary i – w razie kontroli – stanowi dowód na działanie w dobrej wierze. PUODO przy wymierzaniu kar bierze pod uwagę stopień współpracy administratora z organem nadzorczym oraz podjęte działania naprawcze. Organizacja, która przeprowadziła audyt, wdrożyła rekomendacje i potrafi to udokumentować, jest w znacznie lepszej pozycji procesowej niż firma, która nigdy nie dokonała przeglądu zgodności. Nieodwracalne skutki naruszenia – utrata danych klientów, naruszenie tajemnicy handlowej – są znacznie trudniejsze do naprawienia niż koszt prewencyjnego audytu.

Konkretna sytuacja Państwa firmy wymaga oceny, które procesy przetwarzania są najbardziej narażone na zarzuty PUODO. Brak aktualnej dokumentacji RODO zamyka drogę do skutecznej obrony w razie kontroli – a naruszeń nie można cofnąć po ich ujawnieniu.

Jeśli Państwa firma nie przeprowadzała audytu RODO od ponad 18 miesięcy lub wdrożyła nowe narzędzia SaaS i systemy AI bez aktualizacji dokumentacji – przeprowadzimy pełny przegląd zgodności z RODO, AI Act i DORA, przygotujemy plan naprawczy i wesprzemy wdrożenie: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologii i zgodności regulacyjnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.