Firma e-commerce z Mazowsza – ponad 80 pracowników, sklep internetowy z bazą kilkudziesięciu tysięcy klientów – była przekonana, że wdrożyła RODO w 2018 roku i temat jest zamknięty. Audyt przeprowadzony w lutym 2025 r. ujawnił coś innego. Zgody marketingowe były zbierane w formie domyślnie zaznaczonych checkboxów. Umowy powierzenia przetwarzania z dostawcami chmury nie istniały. Rejestr czynności przetwarzania liczył dwie pozycje – zamiast kilkudziesięciu.
Audyt RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) ujawnia w polskich firmach powtarzające się luki: brak aktualnych umów powierzenia, nieprawidłowe podstawy prawne przetwarzania oraz niekompletny rejestr czynności. Urząd Ochrony Danych Osobowych (UODO) może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu. Większość naruszeń daje się usunąć w ciągu 30–60 dni od audytu – jeśli działanie zostanie podjęte wystarczająco wcześnie.
Poniżej opisujemy tło tej sprawy, przyjętą strategię naprawczą oraz wnioski, które można przenieść na każdą polską firmę przetwarzającą dane osobowe. Schemat jest powtarzalny – i właśnie dlatego warto go znać.
Tło sprawy – co ujawnił audyt?
Klient zgłosił się do kancelarii po tym, jak UODO wszczął wobec niego postępowanie wyjaśniające. Impulsem było zgłoszenie osoby, której dane były przetwarzane. Spółka dysponowała polityką prywatności opublikowaną na stronie, wewnętrznym regulaminem i nominowanym inspektorem ochrony danych (IOD). Na papierze wyglądało to przyzwoicie.
Rzeczywistość była inna. Audyt wewnętrzny – przeprowadzony w ciągu 10 dni roboczych – zidentyfikował cztery krytyczne obszary. Po pierwsze, zgody marketingowe zbierane przez formularz rejestracyjny nie spełniały wymogu dobrowolności z art. 7 RODO: checkbox był domyślnie zaznaczony, a odmowa zgody blokowała rejestrację konta. Po drugie, spółka korzystała z trzech zewnętrznych procesorów danych (dostawca CRM, platforma e-mail marketingowa, firma hostingowa) – bez pisemnych umów powierzenia przetwarzania. Po trzecie, rejestr czynności przetwarzania (RCP) był prowadzony w wersji z 2018 r. i nie uwzględniał nowych procesów: programu lojalnościowego, analizy zachowań użytkowników czy systemu kadrowego wdrożonego w 2022 r. Po czwarte, procedura zgłaszania naruszeń nie określała wewnętrznej ścieżki eskalacji – pracownicy nie wiedzieli, do kogo i w jakim terminie raportować incydenty.
To klasyczny obraz polskiej firmy po „jednorazowym wdrożeniu" RODO. Kancelaria IP Warszawa regularnie spotyka ten wzorzec – szczególnie w sektorze e-commerce i MŚP zatrudniających od 50 do 200 pracowników.
Jaką strategię naprawczą przyjęto?
Priorytetem było zatrzymanie postępowania UODO, zanim organ przejdzie do fazy decyzyjnej. Termin był napięty – urząd wyznaczył 21 dni na złożenie wyjaśnień. Strategia opierała się na trzech filarach: natychmiastowym usunięciu naruszeń formalnych, udokumentowaniu działań naprawczych i proaktywnej komunikacji z organem.
W pierwszym tygodniu spółka usunęła domyślne zaznaczenie checkboxów i oddzieliła zgodę marketingową od warunków korzystania z usługi. Jednocześnie sporządzono i podpisano umowy powierzenia przetwarzania z wszystkimi trzema procesorami – dokumenty zawierały klauzule wymagane przez art. 28 RODO, w tym prawo do audytu i obowiązek informowania o podpowierzeniu. Łączny czas: 6 dni roboczych.
W drugim tygodniu zaktualizowano RCP. Nowy rejestr obejmował 34 czynności przetwarzania, uwzględniał podstawy prawne, okresy retencji i kategorie odbiorców. Opracowano też procedurę wewnętrznego zgłaszania naruszeń z 24-godzinnym terminem eskalacji do IOD – zgodnym z 72-godzinnym oknem zgłoszenia do UODO wynikającym z art. 33 RODO.
Do organu trafiło pismo wyjaśniające z załączoną dokumentacją naprawczą. UODO zakończył postępowanie wyjaśniające bez wszczęcia formalnego postępowania administracyjnego. Spółka uniknęła kary – choć skala naruszeń teoretycznie uzasadniała sankcję finansową.
Warto przy tym zwrócić uwagę na kontekst regulacyjny. Firmy z sektora finansowego muszą równolegle spełniać wymogi DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 r.) w zakresie zarządzania ryzykiem ICT. Natomiast podmioty wdrażające systemy AI powinny już teraz analizować zgodność z AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r. Obie regulacje krzyżują się z RODO w obszarze danych osobowych – audyt RODO to dobry moment, by sprawdzić wszystkie trzy płaszczyzny jednocześnie.
Jakie wnioski można przenieść na każdą polską firmę?
Sprawa ujawniła wzorzec, który KORDECKI & Partners obserwuje w kolejnych audytach: firmy traktują wdrożenie RODO jako zdarzenie jednorazowe, a nie proces ciągły. Tymczasem każda zmiana systemu IT, nowy dostawca usług czy nowy produkt to potencjalnie nowa czynność przetwarzania – wymagająca aktualizacji RCP i weryfikacji podstawy prawnej.
Trzy wnioski są szczególnie transferowalne. Pierwszy: umowy powierzenia muszą poprzedzać faktyczne przekazanie danych procesorowi – nie można ich podpisywać retroaktywnie po audycie, choć w praktyce wiele firm tak robi. Drugi: zgoda jako podstawa prawna jest najsłabszą opcją – tam, gdzie można oprzeć się na uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO) lub wykonaniu umowy (art. 6 ust. 1 lit. b RODO), warto z tego skorzystać, bo zgoda może być w każdej chwili cofnięta. Trzeci: procedura obsługi naruszeń powinna być ćwiczona – podobnie jak próbne alarmy przeciwpożarowe.
Osobną kwestią jest ochrona danych w kontekście własności intelektualnej. Firmy technologiczne przetwarzające dane w ramach systemów opartych na oprogramowaniu powinny łączyć audyt RODO z analizą praw do kodu. Więcej o tej zależności – w artykule o ochronie oprogramowania i prawach autorskich w polskim prawie.
Firmy objęte obowiązkami AML powinny z kolei pamiętać, że przetwarzanie danych w ramach procedur przeciwdziałania praniu pieniędzy ma własne podstawy prawne – niezależne od zgody. Szczegóły w analizie dotyczącej obowiązków AML i compliance w polskich firmach.
- Zweryfikuj, czy wszystkie umowy powierzenia przetwarzania są podpisane i aktualne.
- Sprawdź, czy RCP obejmuje procesy wdrożone po 2018 r.
- Oceń, czy zgody marketingowe spełniają wymóg dobrowolności i oddzielności.
- Upewnij się, że procedura zgłaszania naruszeń jest znana pracownikom.
- Rozważ jednoczesny przegląd zgodności z AI Act i DORA, jeśli firma działa w sektorze finansowym lub technologicznym.
Znak towarowy i inne prawa własności intelektualnej firmy technologicznej są warte tyle, ile wynosi zaufanie klientów do sposobu przetwarzania ich danych. Naruszenie RODO uderza w obie wartości jednocześnie.
Konkretna sytuacja Państwa firmy może różnić się od opisanego przypadku – ale luki, które ujawnia audyt, są zadziwiająco podobne w firmach z różnych branż i regionów. Zwlekanie z audytem nie eliminuje ryzyka; przesuwa jedynie moment, w którym staje się ono nieodwracalne.
Jeśli Państwa spółka nie przeprowadzała audytu RODO od czasu wdrożenia w 2018 r. lub wdrożyła nowe systemy IT bez aktualizacji dokumentacji – przeprowadzimy szybki audyt luk, przygotujemy plan naprawczy i zaktualizujemy RCP: info@kordeckipartners.com.
Często zadawane pytania
P: Ile trwa audyt RODO w małej lub średniej firmie?
O: Podstawowy audyt luk można przeprowadzić w ciągu 5–10 dni roboczych. Obejmuje przegląd dokumentacji, wywiad z osobami odpowiedzialnymi za przetwarzanie danych oraz analizę umów z procesorami. Pełny audyt zgodności – obejmujący weryfikację systemów IT i procedur operacyjnych – trwa zwykle 3–4 tygodnie.
P: Czy firma musi mieć inspektora ochrony danych (IOD)?
O: Obowiązek powołania IOD wynika z artykułu 37 RODO i dotyczy trzech kategorii podmiotów: organów publicznych, firm przetwarzających dane na dużą skalę jako działalność podstawową oraz firm przetwarzających dane wrażliwe na dużą skalę. W praktyce wiele firm e-commerce spełnia to kryterium – a mimo to nie powołuje IOD, błędnie zakładając, że obowiązek ich nie dotyczy. To jeden z najczęstszych błędów ujawnianych w audytach.
P: Czy samo podpisanie umowy powierzenia przetwarzania wystarczy, żeby być zgodnym z RODO?
O: Nie. Umowa powierzenia to warunek konieczny, ale niewystarczający. Artykuł 28 RODO wymaga, by umowa określała przedmiot i czas przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz obowiązki i prawa administratora. Firma musi też faktycznie weryfikować, czy procesor przestrzega warunków umowy – na przykład poprzez audyty lub żądanie certyfikatów zgodności. Dokument bez faktycznego nadzoru nie chroni przed odpowiedzialnością.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa własności intelektualnej i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.