Firma e-commerce z Mazowsza dostaje wezwanie od PUODO. Powód? Brak aktualnej dokumentacji przetwarzania danych osobowych i nieudokumentowane podstawy prawne dla trzech kluczowych procesów. Kara administracyjna – do 20 milionów euro lub 4% globalnego obrotu – jest realna. W praktyce wiele polskich firm traktuje RODO jako projekt zakończony w maju 2018 roku. To błąd, który kosztuje.

Audyt RODO to systematyczny przegląd zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO. Obowiązek prowadzenia aktualnej dokumentacji, rejestrów czynności przetwarzania i procedur naruszenia danych spoczywa na każdym administratorze danych, niezależnie od wielkości firmy. Organ nadzorczy w Polsce – Urząd Ochrony Danych Osobowych (UODO) – może wszcząć kontrolę z urzędu lub na podstawie skargi w każdym czasie.

Poniżej przedstawiamy trzy obszary, w których polskie firmy najczęściej mają luki. Dla każdego wskazujemy konkretne ryzyko i działanie, które należy podjąć w ciągu 30 dni.

Jakie luki w dokumentacji RODO wykrywa PUODO najczęściej?

Pierwsza i najczęstsza luka to nieaktualny lub niekompletny rejestr czynności przetwarzania (RCP). RODO nakłada obowiązek prowadzenia RCP na każdego administratora zatrudniającego powyżej 250 osób – ale również na mniejsze podmioty, jeśli przetwarzanie może powodować ryzyko dla praw osób fizycznych. W praktyce PUODO stwierdza, że RCP nie odzwierciedla rzeczywistych procesów: brakuje wpisów dla działań marketingowych, systemów HR lub monitoringu wizyjnego.

Druga luka to brak lub nieaktualność umów powierzenia przetwarzania danych. Każda firma korzystająca z zewnętrznych dostawców – chmury obliczeniowej, systemów kadrowych, agencji marketingowych – musi mieć zawartą umowę powierzenia spełniającą wymogi art. 28 RODO. Brak takiej umowy z dostawcą oprogramowania SaaS to jeden z najczęstszych błędów wykrywanych podczas kontroli.

Trzecia luka dotyczy procedury reagowania na naruszenia. Administrator ma 72 godziny na zgłoszenie naruszenia ochrony danych do PUODO – liczonych od momentu stwierdzenia naruszenia. Wiele firm nie ma wdrożonej żadnej procedury wewnętrznej. Gdy dochodzi do incydentu, traci się czas na ustalenie, kto jest odpowiedzialny za zgłoszenie.

  • Nieaktualny rejestr czynności przetwarzania (RCP)
  • Brak umów powierzenia z zewnętrznymi dostawcami IT
  • Brak procedury obsługi naruszeń w terminie 72 godzin
  • Nieudokumentowane podstawy prawne przetwarzania danych marketingowych

Firma produkcyjna z Dolnego Śląska, zatrudniająca 180 pracowników, w trakcie audytu przeprowadzonego jesienią 2024 roku odkryła, że jej umowy powierzenia z trzema dostawcami chmurowymi wygasły lub nigdy nie zostały zaktualizowane po zmianie zakresu usług. Koszt naprawy – kilka tygodni pracy prawnika i działu IT. Koszt zaniechania – potencjalna kara i utrata zaufania klientów.

Jak AI Act i DORA zmieniają zakres audytu ochrony danych?

Audyt RODO w 2026 roku to już nie tylko przegląd dokumentacji z 2018 roku. Dwa nowe rozporządzenia unijne bezpośrednio wpływają na zakres wymaganej zgodności w obszarze ochrony danych. Rozporządzenie (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku i wprowadza obowiązki dotyczące systemów sztucznej inteligencji, które przetwarzają dane osobowe.

Jeśli firma korzysta z narzędzi AI do rekrutacji, scoringu kredytowego lub biometrii, musi przeprowadzić ocenę zgodności jako system wysokiego ryzyka. To bezpośrednie połączenie z RODO – ocena skutków dla ochrony danych (DPIA) staje się obowiązkowa. Brak DPIA przy wdrożeniu systemu AI do selekcji CV to naruszenie zarówno AI Act, jak i RODO jednocześnie.

Rozporządzenie (UE) 2022/2554 – DORA – obowiązuje od 17 stycznia 2025 roku dla podmiotów finansowych nadzorowanych przez KNF. Wprowadza wymogi zarządzania ryzykiem ICT, które nakładają się na obowiązki RODO w zakresie bezpieczeństwa danych. Instytucje finansowe muszą teraz raportować incydenty ICT do KNF – a każdy incydent ICT dotyczący danych osobowych jednocześnie uruchamia 72-godzinny termin zgłoszenia do PUODO.

Firma technologiczna z Krakowa obsługująca klientów z sektora finansowego, wiosną 2025 roku, musiała przeprojektować swój system zarządzania incydentami. Jeden incydent – dwa równoległe obowiązki raportowania: do KNF na podstawie DORA i do PUODO na podstawie RODO. Brak skoordynowanej procedury oznaczał ryzyko przekroczenia obu terminów jednocześnie.

Warto też pamiętać o znaku towarowym i ochronie oprogramowania w kontekście danych. Systemy zbierające dane o użytkownikach i jednocześnie chronione prawem autorskim wymagają podwójnej analizy – zarówno pod kątem ochrony oprogramowania i praw autorskich w polskim prawie, jak i zgodności z RODO.

Dla firm planujących restrukturyzację lub zmianę struktury właścicielskiej – co może wiązać się z transferem baz danych – istotna jest również analiza exit tax i planowania wyjścia, ponieważ przeniesienie aktywów obejmujących dane osobowe generuje osobne obowiązki RODO.

Co zrobić w ciągu 30 dni, jeśli audyt RODO nie był przeprowadzany od ponad roku?

Priorytetem jest weryfikacja trzech elementów: aktualności RCP, kompletności umów powierzenia oraz istnienia procedury 72-godzinnej. To minimum, które pozwala ocenić poziom ryzyka bez angażowania zewnętrznych zasobów. Kancelaria IP Warszawa specjalizująca się w ochronie danych może przeprowadzić taki przegląd w ciągu 5–7 dni roboczych.

Jeśli firma korzysta z systemów AI lub należy do sektora finansowego regulowanego przez KNF, zakres audytu musi objąć również zgodność z AI Act i DORA. Pominięcie tych warstw regulacyjnych w audycie RODO to najczęstszy błąd popełniany przez polskie firmy w 2025 i 2026 roku.

  • Zaktualizuj rejestr czynności przetwarzania – termin: 14 dni
  • Zidentyfikuj wszystkich procesorów danych i zweryfikuj umowy powierzenia
  • Wdróż lub zaktualizuj procedurę obsługi naruszeń (72 godziny)
  • Przeprowadź DPIA dla każdego nowego systemu AI przetwarzającego dane osobowe
  • Skoordynuj procedury raportowania RODO i DORA (podmioty finansowe)

Konkretna sytuacja Państwa firmy może wymagać natychmiastowego działania. Brak aktualnej dokumentacji RODO w momencie kontroli PUODO jest nieodwracalną przesłanką do nałożenia kary administracyjnej – organ nie czeka na uzupełnienie dokumentów po wszczęciu postępowania.

Jeśli Państwa firma nie przeprowadzała audytu RODO od ponad 12 miesięcy lub wdrożyła systemy AI bądź nowe narzędzia SaaS bez aktualizacji dokumentacji – przeprowadzimy przegląd zgodności, zidentyfikujemy luki i przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda polska firma musi mieć inspektora ochrony danych (IOD)?

O: Nie każda. Obowiązek wyznaczenia inspektora ochrony danych wynika z artykułu 37 Rozporządzenia (UE) 2016/679 i dotyczy organów publicznych, podmiotów przetwarzających dane na dużą skalę oraz podmiotów przetwarzających szczególne kategorie danych. Firmy spoza tych kategorii mogą wyznaczyć IOD dobrowolnie – co jest rekomendowane przy zatrudnieniu powyżej 50 osób lub przy prowadzeniu rozbudowanej działalności marketingowej opartej na profilowaniu.

P: Ile kosztuje audyt RODO i jak długo trwa?

O: Czas i koszt zależą od wielkości organizacji i liczby procesów przetwarzania. Dla firmy zatrudniającej do 100 osób audyt podstawowy trwa od 5 do 10 dni roboczych. Zakres rozszerzony – obejmujący analizę zgodności z AI Act i DORA – wymaga od 15 do 30 dni. Koszt zaniechania jest nieporównywalnie wyższy: maksymalna kara administracyjna wynosi 20 milionów euro lub 4% globalnego rocznego obrotu.

P: Czy RODO z 2018 roku nadal obowiązuje bez zmian?

O: Samo rozporządzenie nie zmieniło się, ale jego stosowanie w praktyce uległo istotnej ewolucji. Nowe regulacje – AI Act i DORA – nakładają się na obowiązki RODO i rozszerzają zakres wymaganej dokumentacji. Firmy, które wdrożyły RODO w 2018 roku i nie aktualizowały dokumentacji, często nie uwzględniają systemów chmurowych, narzędzi AI ani nowych kanałów komunikacji marketingowej. To powszechne źródło luk wykrywanych przez PUODO podczas kontroli.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.