Firma IT z Mazowsza wdrożyła nowe narzędzie do analizy zachowań użytkowników. Nikt nie sprawdził, czy dostawca podpisał umowę powierzenia przetwarzania danych. Pół roku później – kontrola PUODO, wezwanie do wyjaśnień i realne ryzyko kary. To nie jest scenariusz wyjątkowy. To codzienność polskich przedsiębiorstw, które traktują RODO jak jednorazowe zadanie do odhaczenia, a nie ciągły proces.

Audyt zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO – pozwala zidentyfikować luki zanim zrobi to organ nadzorczy. Obowiązek przestrzegania przepisów o ochronie danych spoczywa na administratorze od chwili wejścia rozporządzenia w życie. PUODO może nałożyć karę do 20 milionów EUR lub 4% globalnego obrotu rocznego – zależnie od tego, która kwota jest wyższa.

Ten przewodnik opisuje, gdzie polskie firmy najczęściej popełniają błędy, jak krok po kroku przeprowadzić audyt wewnętrzny oraz kiedy warto sięgnąć po wsparcie zewnętrzne. Omawia trzy scenariusze biznesowe – producenta, firmę IT i inwestora zagranicznego – i wskazuje konkretne terminy oraz koszty działań naprawczych.

Od czego zacząć audyt RODO w polskiej firmie?

Audyt RODO zaczyna się od jednego pytania: czy wiemy, jakie dane przetwarzamy i na jakiej podstawie prawnej? Odpowiedź „tak, mniej więcej" to odpowiedź nieprawidłowa. RODO wymaga precyzji – każdy proces przetwarzania musi mieć udokumentowaną podstawę z art. 6 ust. 1 rozporządzenia, a w przypadku danych szczególnych kategorii – także z art. 9. PUODO w toku kontroli jako pierwsze żąda właśnie rejestru czynności przetwarzania.

Rejestr czynności przetwarzania (RCP) to fundament. Obowiązek jego prowadzenia wynika wprost z art. 30 RODO. W praktyce – wiele firm albo nie ma go wcale, albo ma wersję sprzed trzech lat, która nie odzwierciedla aktualnych procesów. Każda nowa aplikacja, każdy nowy system HR, każda integracja z zewnętrznym dostawcą powinna znaleźć odzwierciedlenie w RCP w ciągu 30 dni od uruchomienia.

Krok pierwszy: inwentaryzacja procesów. Krok drugi: przyporządkowanie podstaw prawnych. Krok trzeci: weryfikacja umów powierzenia. Krok czwarty: przegląd klauzul informacyjnych. Krok piąty: ocena środków technicznych i organizacyjnych. Taki schemat – realizowany raz w roku lub przy każdej istotnej zmianie organizacyjnej – daje obraz rzeczywistego stanu zgodności. Dla firm liczących powyżej 250 pracowników lub przetwarzających dane szczególnych kategorii wyznaczenie Inspektora Ochrony Danych (IOD) jest obowiązkowe.

Firma produkcyjna z Dolnego Śląska przeprowadziła taki audyt jesienią 2024 r. Odkryła, że jej dział HR korzystał z aplikacji do planowania grafiku, której dostawca – firma spoza EOG – nigdy nie podpisał standardowych klauzul umownych (SCC). Naprawienie tego zajęło 6 tygodni i kosztowało około 8 000 PLN w obsłudze prawnej. Alternatywa – postępowanie PUODO – mogłaby pochłonąć wielokrotność tej kwoty.

Jakie luki najczęściej wykrywa audyt RODO?

Praktyka audytowa wskazuje kilka obszarów, które niemal zawsze generują niezgodności. Nie są to kwestie skomplikowane technicznie – to błędy procesowe, które nawarstwiają się przez miesiące. Ich wspólny mianownik to brak aktualizacji dokumentacji po zmianach w firmie.

Pierwsza i najczęstsza luka: brak lub nieaktualne umowy powierzenia przetwarzania. Art. 28 RODO wymaga zawarcia umowy z każdym podmiotem, któremu administrator powierza dane – księgową, dostawcą oprogramowania, agencją marketingową, firmą kurierską. W polskich firmach MŚP odsetek zawartych umów powierzenia bywa alarmująco niski. Brak umowy to automatyczna niezgodność, niezależnie od tego, jak dobrze dostawca faktycznie zabezpiecza dane.

Druga luka: przestarzałe lub niekompletne klauzule informacyjne. Klauzula z 2018 r. nie uwzględnia ani nowych kategorii odbiorców, ani zmian w polityce retencji. Szczególnie ryzykowne są strony internetowe z formularzami kontaktowymi – zbierają dane, ale klauzula informacyjna odsyła do dokumentu, który nie istnieje lub jest nieaktualny.

Trzecia luka dotyczy transferów danych poza Europejski Obszar Gospodarczy. Korzystanie z usług chmurowych dostawców spoza EOG – bez weryfikacji mechanizmu transferu – to naruszenie, które PUODO traktuje poważnie. Po unieważnieniu Privacy Shield wiele firm nie zaktualizowało umów o standardowe klauzule umowne zatwierdzone przez Komisję Europejską.

Czwarta luka: brak procedury reagowania na naruszenia. Art. 33 RODO wymaga zgłoszenia naruszenia do PUODO w ciągu 72 godzin od jego wykrycia. Firmy, które nie mają wewnętrznej procedury, tracą te 72 godziny na ustalanie, kto w ogóle jest odpowiedzialny za zgłoszenie.

  • Brak lub nieaktualne umowy powierzenia przetwarzania (art. 28 RODO)
  • Przestarzałe klauzule informacyjne nieodzwierciedlające aktualnych procesów
  • Transfery danych poza EOG bez odpowiedniego mechanizmu prawnego
  • Brak procedury 72-godzinnego zgłaszania naruszeń do PUODO
  • Nieaktualny lub nieistniejący rejestr czynności przetwarzania

Warto tu wspomnieć o nowym kontekście regulacyjnym. Rozporządzenie MiCA i inne regulacje sektorowe – takie jak DORA (Rozporządzenie UE 2022/2554, stosowane od 17 stycznia 2025 r.) czy AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.) – nakładają dodatkowe wymagania w zakresie ochrony danych. Firma wdrażająca system AI wysokiego ryzyka musi przeprowadzić ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. To nie jest opcja – to obowiązek.

Konkretny przykład: spółka fintech z Krakowa wdrożyła wiosną 2025 r. moduł scoringowy oparty na uczeniu maszynowym. AI Act klasyfikuje scoring kredytowy jako system wysokiego ryzyka. RODO wymaga DPIA. Spółka nie przeprowadziła żadnej z tych ocen. Po audycie wewnętrznym musiała wstrzymać wdrożenie na 8 tygodni – kosztem opóźnienia w przychodach.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny zakresu naruszeń i planu naprawczego. Nieusunięte luki w umowach powierzenia lub procedurach transferowych mogą prowadzić do nieodwracalnych konsekwencji w postaci wszczęcia postępowania przez PUODO.

Jeśli Państwa spółka przetwarza dane osobowe w ramach usług IT, HR lub marketingu i nie przeprowadziła audytu w ciągu ostatnich 12 miesięcy – przeprowadzimy przegląd dokumentacji, identyfikację luk i plan działań naprawczych: info@kordeckipartners.com.

Jak przeprowadzić audyt RODO krok po kroku – trzy scenariusze biznesowe?

Procedura audytu różni się w zależności od profilu firmy. Trzy scenariusze – producent, firma IT i inwestor zagraniczny – pokazują, że te same przepisy generują różne priorytety i inne harmonogramy działań.

Scenariusz 1: Firma produkcyjna (250 pracowników, Dolny Śląsk). Główne kategorie danych to dane pracownicze, dane kontrahentów i dane klientów B2B. Audyt powinien zacząć się od przeglądu umów z dostawcami systemów ERP i kadrowo-płacowych. Następnie – weryfikacja klauzul informacyjnych dla pracowników, w tym klauzul dotyczących monitoringu wizyjnego. Monitoring w miejscu pracy regulują przepisy Kodeksu pracy – warto sprawdzić, czy regulamin monitoringu jest aktualny i czy pracownicy zostali o nim poinformowani. Czas realizacji pełnego audytu: 4–6 tygodni. Szacowany koszt obsługi prawnej: 12 000–18 000 PLN.

Scenariusz 2: Firma IT (30 pracowników, Warszawa). Firma przetwarza dane klientów jako procesor – na podstawie umów powierzenia. Kluczowe pytanie: czy jej własne podumowy z podprocesorami (chmura, monitoring aplikacji, helpdesk) są zgodne z wymaganiami art. 28 ust. 4 RODO? Dodatkowo – czy firma korzysta z narzędzi analitycznych, które transferują dane do USA? Jeśli tak, czy ma zawarte SCC? Audyt IT-firmy trwa zwykle 2–3 tygodnie i kosztuje 8 000–14 000 PLN. Pracodawcy z sektora IT powinni też sprawdzić, czy umowy z pracownikami i współpracownikami B2B zawierają właściwe klauzule dotyczące poufności i ochrony danych.

Scenariusz 3: Inwestor zagraniczny wchodzący na rynek polski. Dla niemieckiego lub ukraińskiego inwestora zakładającego spółkę w Polsce RODO działa od pierwszego dnia działalności. Rejestracja w KRS nie zwalnia z obowiązku posiadania RCP, klauzul informacyjnych i polityki bezpieczeństwa. Jeśli spółka-matka ma siedzibę poza EOG i zamierza przesyłać dane polskich pracowników do centrali, potrzebuje mechanizmu transferowego – SCC lub wiążących reguł korporacyjnych. Wdrożenie RODO od podstaw przy zakładaniu spółki: 3–5 tygodni, koszt 10 000–20 000 PLN.

We wszystkich trzech scenariuszach kluczowym elementem jest lista kontrolna przed zakończeniem audytu:

  • Rejestr czynności przetwarzania aktualny i podpisany przez administratora
  • Umowy powierzenia zawarte ze wszystkimi podmiotami zewnętrznymi
  • Klauzule informacyjne zaktualizowane i dostępne w punktach zbierania danych
  • Procedura zgłaszania naruszeń opisana i przypisana do konkretnej osoby
  • Transfery poza EOG objęte właściwym mechanizmem prawnym (SCC lub inne)

Jakie sankcje grożą za naruszenie RODO i jak ich uniknąć?

RODO przewiduje dwa poziomy kar administracyjnych. Naruszenia przepisów dotyczących podstaw prawnych przetwarzania, zgód, praw podmiotów danych czy transferów – to górny pułap: 20 milionów EUR lub 4% całkowitego rocznego obrotu w skali globalnej. Naruszenia obowiązków organizacyjnych, takich jak brak RCP czy brak umowy powierzenia, zagrożone są karą do 10 milionów EUR lub 2% obrotu.

PUODO – Urząd Ochrony Danych Osobowych – jest polskim organem nadzorczym wyznaczonym na mocy art. 51 RODO. Urząd prowadzi kontrole zarówno z urzędu, jak i na podstawie skarg osób fizycznych. Liczba skarg rośnie rok do roku. W praktyce – większość postępowań kończy się nie karą finansową, lecz nakazem usunięcia naruszenia. Ale nakaz to też koszt: czas, zasoby i reputacja.

Odpowiedzialność cywilna to osobny rozdział. Art. 82 RODO przyznaje podmiotom danych prawo do odszkodowania za szkodę – majątkową i niemajątkową – wyrządzoną naruszeniem rozporządzenia. Polskie sądy zaczynają zasądzać odszkodowania za naruszenia RODO. Kwoty są jeszcze stosunkowo niskie, ale trend jest wyraźny.

Jak uniknąć sankcji? Przede wszystkim – nie czekać na kontrolę. Audyt prewencyjny, przeprowadzony przed wszczęciem postępowania przez PUODO, daje możliwość dobrowolnego usunięcia naruszeń. Organ nadzorczy bierze pod uwagę działania naprawcze podjęte z własnej inicjatywy administratora. To jeden z czynników miarkujących wysokość ewentualnej kary, wskazanych wprost w art. 83 ust. 2 RODO.

Regulacje sektorowe zaostrzają ten obraz. Podmioty finansowe objęte DORA muszą zarządzać ryzykiem ICT w sposób zintegrowany z polityką ochrony danych. Firmy wdrażające systemy AI wysokiego ryzyka zgodnie z AI Act muszą przeprowadzić DPIA. Znak towarowy chroniony w UE nie zastąpi polityki prywatności – ochrona danych to odrębna i równorzędna dziedzina compliance. Kancelaria IP Warszawa świadcząca usługi technologiczne powinna mieć własne procedury RODO tak samo jak klient, któremu doradza.

Często zadawane pytania

P: Jak często należy przeprowadzać audyt RODO?

O: Rozporządzenie 2016/679 nie określa sztywnego harmonogramu. Przyjętą praktyką jest audyt raz w roku oraz każdorazowo przy istotnej zmianie organizacyjnej – wdrożeniu nowego systemu IT, zmianie profilu działalności lub nawiązaniu współpracy z nowym podmiotem przetwarzającym dane poza Europejskim Obszarem Gospodarczym. Firmy objęte DORA lub AI Act powinny synchronizować audyt RODO z przeglądami wymaganymi przez te rozporządzenia.

P: Czy mała firma zatrudniająca 10 osób musi wyznaczyć Inspektora Ochrony Danych?

O: Nie zawsze. Obowiązek wyznaczenia Inspektora Ochrony Danych wynika z artykułu 37 rozporządzenia RODO i dotyczy organów publicznych, podmiotów przetwarzających dane na dużą skalę oraz podmiotów przetwarzających dane szczególnych kategorii lub dane o wyrokach skazujących. Mała firma IT przetwarzająca dane wyłącznie swoich 10 pracowników i kilku kontrahentów B2B formalnie nie ma takiego obowiązku. Jednak dobrowolne wyznaczenie IOD – lub skorzystanie z zewnętrznej usługi IOD – znacząco obniża ryzyko niezgodności i jest sygnałem dla klientów, że firma traktuje ochronę danych poważnie.

P: Ile kosztuje audyt RODO przeprowadzony przez zewnętrzną kancelarię?

O: Koszt zależy od wielkości firmy, liczby procesów przetwarzania i zakresu audytu. Dla małej firmy (do 50 pracowników) pełny audyt z raportem i planem naprawczym to wydatek rzędu 8 000–15 000 PLN. Dla średniej firmy (50–250 pracowników) – 15 000–30 000 PLN. Firmy, które nie przeprowadziły żadnego audytu od 2018 r., powinny liczyć się z wyższymi kosztami naprawczymi, ponieważ zakres niezgodności jest zwykle szerszy. Koszt postępowania PUODO – łącznie z obsługą prawną i ewentualną karą – wielokrotnie przekracza koszt audytu prewencyjnego.

Konkretna sytuacja Państwa firmy wymaga oceny, które z opisanych luk są dla niej najbardziej istotne. Brak działania przy zidentyfikowanych niezgodnościach może prowadzić do nieodwracalnych konsekwencji – wszczęcia postępowania przez PUODO i nałożenia kary, której nie da się cofnąć.

Jeśli Państwa spółka nie przeprowadziła audytu RODO w ciągu ostatnich 12 miesięcy lub wdraża nowe technologie objęte AI Act lub DORA – przeprowadzimy przegląd dokumentacji, identyfikację luk i opracujemy plan naprawczy dostosowany do Państwa profilu działalności: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.