Firma IT z Mazowsza wdraża nowy system CRM. Dane klientów płyną przez trzy zewnętrzne procesory, dwa z nich poza EOG. Umowy powierzenia przetwarzania? Podpisane dwa lata temu, nigdy nieaktualizowane. Klauzule informacyjne? Skopiowane z internetu w 2018 roku. Audyt RODO ujawnia to wszystko w ciągu jednego dnia roboczego – ale tylko wtedy, gdy ktoś go przeprowadza.
Audyt RODO to ustrukturyzowany przegląd zgodności organizacji z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Obejmuje weryfikację podstaw prawnych przetwarzania, rejestru czynności, umów powierzenia, środków technicznych i organizacyjnych oraz procedur reagowania na naruszenia. Urząd Ochrony Danych Osobowych (UODO) może wszcząć kontrolę w każdym czasie – bez uprzedzenia.
Ten przewodnik opisuje najczęstsze luki wykrywane podczas audytów w polskich firmach. Przejdziemy przez procedurę krok po kroku, typowe błędy trzech typów przedsiębiorstw oraz pytania, które zadają klienci przed pierwszym spotkaniem z prawnikiem.
Od czego zacząć audyt RODO i ile czasu to zajmuje?
Audyt RODO dzieli się na cztery fazy. Pierwsza – inwentaryzacja – trwa zwykle 3 do 7 dni roboczych i polega na zebraniu dokumentacji: rejestru czynności przetwarzania (RCP), polityk, umów z podmiotami zewnętrznymi i struktury IT. Druga faza to analiza luk – porównanie stanu faktycznego z wymogami RODO. Trzecia – raport z rekomendacjami. Czwarta – wdrożenie poprawek, z harmonogramem od 30 do 90 dni w zależności od skali firmy.
Całość dla średniej firmy (50–250 pracowników) zajmuje od 6 do 10 tygodni. Koszt zewnętrznego audytu waha się od kilku do kilkudziesięciu tysięcy złotych – zależnie od liczby lokalizacji, systemów IT i transferów danych poza EOG. Wewnętrzny audyt przeprowadzony przez IOD jest tańszy, ale rzadko obiektywny.
UODO jako krajowy organ nadzorczy może wszcząć postępowanie z urzędu lub na skutek skargi. Kara administracyjna sięga 20 milionów euro lub 4% globalnego rocznego obrotu – zależnie od tego, która kwota jest wyższa. Dla polskich MŚP to kwota, która może zagrozić płynności finansowej firmy.
Przed przystąpieniem do audytu warto zebrać:
- aktualny rejestr czynności przetwarzania (art. 30 RODO);
- wszystkie umowy powierzenia przetwarzania z podmiotami zewnętrznymi;
- politykę bezpieczeństwa i procedurę reagowania na naruszenia;
- dokumentację oceny skutków (DPIA) dla procesów wysokiego ryzyka;
- klauzule informacyjne stosowane wobec klientów i pracowników.
Jakie luki najczęściej wykrywa audyt RODO w polskich firmach?
Pierwsze miejsce na liście zajmuje niekompletny lub nieaktualny rejestr czynności przetwarzania. Obowiązek jego prowadzenia wynika wprost z RODO, a mimo to znaczna część firm posiada dokument sporządzony przy wdrożeniu RODO w 2018 roku – nieaktualizowany od tamtej pory. Nowe procesy, nowe systemy, nowi podwykonawcy – wszystko to powinno znaleźć się w RCP.
Drugie miejsce: brak lub wadliwe umowy powierzenia przetwarzania. W praktyce – wiele firm o tym zapomina – każdy zewnętrzny dostawca SaaS, firma księgowa, hostingodawca czy agencja marketingowa przetwarza dane osobowe w imieniu administratora. Bez pisemnej umowy powierzenia (art. 28 RODO) administrator odpowiada za naruszenia popełnione przez procesora.
Trzecia luka to nieprawidłowe klauzule informacyjne. Skopiowane szablony z 2018 roku często nie zawierają informacji o transferach poza EOG, o profilowaniu, o zautomatyzowanym podejmowaniu decyzji ani o aktualnych danych kontaktowych IOD. UODO w decyzjach z ostatnich lat wielokrotnie nakładał kary właśnie za niekompletne obowiązki informacyjne.
Czwarta luka to brak oceny skutków dla ochrony danych (DPIA) tam, gdzie jest ona wymagana. Firmy stosujące monitoring wizyjny, profilowanie behawioralne, przetwarzające dane wrażliwe na dużą skalę lub korzystające z nowych technologii – w tym systemów AI – są zobowiązane do przeprowadzenia DPIA przed uruchomieniem procesu.
Tu warto wspomnieć o rosnącym znaczeniu umów SaaS i klauzul odpowiedzialności w kontekście RODO. Dostawcy oprogramowania jako usługi przetwarzają dane klientów – a warunki tej współpracy muszą być precyzyjnie uregulowane umownie.
Firma produkcyjna z Dolnego Śląska latem 2024 roku wdrożyła system monitoringu pracowników połączony z analizą wydajności opartą na AI. Audyt wykazał brak DPIA, brak klauzuli informacyjnej dla pracowników i brak umowy powierzenia z dostawcą oprogramowania. Trzy luki – jeden system – potencjalna odpowiedzialność osobista IOD i zarządu.
Jak RODO łączy się z AI Act i DORA – co zmienia się od 2025 roku?
AI Act – Rozporządzenie UE 2024/1689 – wszedł w życie 1 sierpnia 2024 roku. Pierwsze obowiązki (zakazy stosowania systemów AI wysokiego ryzyka) obowiązują od 2 lutego 2025 roku. Dla administratorów danych osobowych oznacza to nową warstwę compliance: systemy AI przetwarzające dane osobowe muszą spełniać jednocześnie wymogi RODO i AI Act.
Systemy AI zaliczone do kategorii wysokiego ryzyka – w tym narzędzia do rekrutacji, scoringu kredytowego i biometrii – wymagają oceny zgodności przed wdrożeniem. Ta ocena powinna być zintegrowana z DPIA. Dwie odrębne procedury, jeden zestaw dokumentów – to podejście, które rekomendujemy jako bardziej efektywne.
DORA – Rozporządzenie UE 2022/2554 – obowiązuje od 17 stycznia 2025 roku podmioty finansowe nadzorowane przez KNF. Nakłada wymogi zarządzania ryzykiem ICT, w tym obowiązek klasyfikacji incydentów i raportowania do KNF. Naruszenie bezpieczeństwa danych w podmiocie finansowym może jednocześnie uruchomić obowiązki z RODO (zgłoszenie do UODO w ciągu 72 godzin) i z DORA (raportowanie do KNF według odrębnego schematu).
Firma fintech z Krakowa wiosną 2025 roku odkryła wyciek danych klientów. Procedura RODO wymagała zgłoszenia do UODO w ciągu 72 godzin. DORA wymagała równoległego raportu do KNF. Brak zsynchronizowanych procedur oznaczał opóźnienie w jednym z raportów – i wszczęcie postępowania wyjaśniającego przez organ nadzorczy.
Kwestie podatkowe związane z kosztami wdrożenia systemów compliance – w tym audytów RODO i systemów AI – warto skonsultować z praktyką podatkową. Szczegóły dotyczące rozliczania kosztów doradztwa prawnego i IT znajdą Państwo w ramach doradztwa podatkowego dla firm w Polsce.
Trzy scenariusze – jak wygląda audyt RODO w różnych typach firm?
Firma produkcyjna zatrudniająca 150 osób przetwarza dane pracowników, dane kontrahentów B2B i dane z monitoringu hal produkcyjnych. Najczęstsze luki: brak aktualizacji RCP po zmianie dostawców ERP, niekompletne klauzule informacyjne dla pracowników tymczasowych, brak umowy powierzenia z firmą obsługującą monitoring. Czas naprawy: 4–6 tygodni. Koszt audytu zewnętrznego: 8 000–15 000 PLN.
Firma IT świadcząca usługi SaaS dla klientów z UE przetwarza dane osobowe jako procesor lub współadministrator – zależnie od architektury systemu. Najczęstsze luki: nieprecyzyjne określenie roli (administrator vs. procesor), brak standardowych klauzul umownych (SCC) dla transferów do USA, brak procedury obsługi żądań osób, których dane dotyczą (DSR). Czas naprawy: 6–10 tygodni. Koszt audytu: 15 000–30 000 PLN.
Zagraniczny inwestor wchodzący na rynek polski (scenariusz cross-border) staje przed podwójnym wyzwaniem. Musi dostosować globalną politykę prywatności do wymogów polskiego organu nadzorczego UODO i jednocześnie zapewnić zgodność z lokalnymi przepisami sektorowymi – np. ustawą o ochronie danych osobowych z 10 maja 2018 r. Dla inwestora z Niemiec dodatkowym wyzwaniem jest rozbieżność między praktyką UODO a praktyką BfDI. Audyt wejściowy powinien objąć oba systemy.
Każdy z tych scenariuszy łączy jedno: ryzyko odpowiedzialności zarządu za brak nadzoru nad procesami przetwarzania danych. Odpowiedzialność ta – podobnie jak w przypadku zaległości podatkowych regulowanych przez art. 116 § 1 Ordynacji podatkowej – może mieć charakter osobisty i nieodwracalny.
Często zadawane pytania
P: Ile kosztuje audyt RODO i czy jego koszt można zaliczyć do kosztów uzyskania przychodu?
O: Koszt zewnętrznego audytu RODO dla średniej firmy wynosi od 8 000 do 30 000 PLN – zależnie od skali działalności i liczby systemów IT. Wydatek na doradztwo prawne i compliance jest co do zasady kosztem uzyskania przychodu zgodnie z artykułem 15 ustęp 1 ustawy o CIT, pod warunkiem że jest poniesiony w celu zabezpieczenia źródła przychodów. Rekomendujemy uzyskanie indywidualnej interpretacji podatkowej przy wyższych kwotach.
P: Czy firma zatrudniająca mniej niż 250 pracowników musi prowadzić rejestr czynności przetwarzania?
O: To częste nieporozumienie. Rozporządzenie 2016/679 przewiduje wyjątek od obowiązku prowadzenia rejestru dla podmiotów zatrudniających mniej niż 250 osób – ale tylko wtedy, gdy przetwarzanie nie jest regularne, nie dotyczy szczególnych kategorii danych i nie stwarza ryzyka dla praw osób fizycznych. W praktyce większość firm – nawet małych – przetwarza dane pracowników i klientów w sposób regularny. Wyjątek ma zatem bardzo wąskie zastosowanie.
P: Jak często należy przeprowadzać audyt RODO?
O: RODO nie określa sztywnej częstotliwości audytów. Przyjętą praktyką jest przeprowadzanie pełnego audytu raz na 12–24 miesiące oraz audytu cząstkowego po każdej istotnej zmianie – wdrożeniu nowego systemu IT, zmianie dostawców, rozszerzeniu działalności na nowe rynki lub wejściu w życie nowych regulacji (jak AI Act od 2025 roku). Brak regularnych przeglądów jest sam w sobie argumentem obciążającym administratora w postępowaniu przed UODO.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – zwłaszcza gdy procesy przetwarzania danych zmieniły się od ostatniego audytu lub gdy firma wdraża nowe technologie oparte na AI. Brak aktualnej dokumentacji RODO zamyka drogę do skutecznej obrony w postępowaniu przed UODO i może prowadzić do nieodwracalnych konsekwencji finansowych i reputacyjnych.
Jeśli Państwa spółka nie przeprowadzała audytu RODO od ponad 18 miesięcy lub wdraża systemy AI wysokiego ryzyka – przeprowadzimy pełny przegląd zgodności, identyfikację luk i harmonogram naprawczy: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, compliance technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.