Firma handlowa z Mazowsza zleca zewnętrznemu partnerowi obsługę kampanii e-mailowej. Dane osobowe kilku tysięcy klientów trafiają do systemu, który nigdy nie był objęty umową powierzenia. Administratorem pozostaje spółka – ale dokumentacji nie ma żadnej. Kontrola Urzędu Ochrony Danych Osobowych (UODO) ujawnia lukę, która istniała od trzech lat.
Audyt RODO to systematyczny przegląd procesów przetwarzania danych osobowych w organizacji. Rozporządzenie UE 2016/679 (RODO) nakłada na administratora obowiązek rozliczalności – czyli udokumentowania zgodności z każdym wymogiem. Brak dokumentacji to brak dowodu zgodności, a kara administracyjna może sięgnąć 20 000 000 EUR lub 4% rocznego obrotu globalnego.
Ten przewodnik pokazuje, gdzie polskie firmy najczęściej popełniają błędy, jak przeprowadzić audyt krok po kroku i co zrobić z wynikami. Omawia trzy scenariusze biznesowe – producenta, firmę IT oraz zagranicznego inwestora – oraz praktyczną listę kontrolną.
Od czego zacząć audyt RODO – mapa procesów i rejestr czynności?
Każdy audyt RODO zaczyna się od tego samego pytania: co przetwarzamy i dlaczego? Odpowiedź powinna znaleźć się w Rejestrze Czynności Przetwarzania (RCP), który art. 30 RODO czyni obowiązkowym dla większości organizacji. Rejestr musi zawierać cel przetwarzania, kategorię danych, podstawę prawną oraz planowany termin usunięcia. Brak RCP to najczęstszy błąd stwierdzany przez UODO podczas kontroli.
Mapa procesów to praktyczny krok poprzedzający wypełnienie rejestru. Polega na zidentyfikowaniu wszystkich przepływów danych – od rekrutacji, przez obsługę klientów, po systemy kadrowe. W praktyce – wiele firm o tym zapomina – dane osobowe przetwarzane są w arkuszach Excel poza oficjalnymi systemami IT. Każdy taki arkusz to osobna czynność przetwarzania, która powinna trafić do RCP.
Dwa kluczowe elementy, które należy zebrać na starcie:
- lista systemów IT i aplikacji chmurowych przetwarzających dane osobowe
- wykaz podmiotów zewnętrznych, którym dane są przekazywane (podwykonawcy, dostawcy SaaS)
- kategorie danych szczególnych (zdrowie, biometria) wymagające wzmocnionych zabezpieczeń
Producent z Małopolski, który wdrożył system ERP z modułem kadrowym, odkrył podczas audytu siedem dodatkowych narzędzi przetwarzających dane pracowników – od komunikatora po zewnętrzną platformę szkoleń online. Żadne z nich nie figurowało w RCP. Uzupełnienie rejestru zajęło trzy tygodnie i wymagało zaangażowania działu IT oraz HR.
Gdzie najczęściej są luki – umowy powierzenia, zgody i transfer danych?
Trzy obszary generują największą liczbę naruszeń stwierdzanych przez UODO: umowy powierzenia przetwarzania (art. 28 RODO), podstawy prawne przetwarzania oraz transgraniczny transfer danych. Każdy z nich wymaga odrębnej analizy podczas audytu. Termin na zawarcie umowy powierzenia upływa w momencie przekazania danych – retroaktywne naprawianie sytuacji nie usuwa naruszenia.
Umowy powierzenia brakuje najczęściej przy usługach chmurowych. Dostawca SaaS z USA lub Irlandii przetwarza dane w imieniu polskiej spółki – bez pisemnej umowy spółka narusza art. 28 RODO. Co gorsza, sam fakt korzystania z usługi może oznaczać niedozwolony transfer danych poza EOG. W takim przypadku należy sprawdzić, czy dostawca oferuje standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską.
Kwestia transferu danych do państw trzecich to obszar, w którym compliance łączy się z praktyką transgraniczną. Szczegółowy opis mechanizmów prawnych transferu danych z Polski omawia artykuł o transferze danych z Polski do Szwecji – mechanizmy tam opisane stosują się szerzej do każdego transferu poza EOG.
Zgody marketingowe to osobna pułapka. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Zgoda domyślna (checkbox zaznaczony z góry), zgoda zbiorcza na „wszystkie cele marketingowe" lub brak możliwości wycofania zgody – każde z tych rozwiązań jest niezgodne z RODO. Firma e-commerce z Trójmiasta jesienią 2024 r. musiała ponownie zebrać zgody od ponad 80 000 subskrybentów po stwierdzeniu, że pierwotna baza była zbudowana na wadliwych formularzach.
Jak przeprowadzić audyt krok po kroku – harmonogram i koszty?
Audyt RODO w średniej firmie (50–250 pracowników) trwa od 4 do 8 tygodni. Składa się z czterech faz: inwentaryzacji, oceny ryzyka, weryfikacji dokumentacji oraz planu naprawczego. Każda faza powinna zakończyć się raportem cząstkowym. Całkowity koszt zewnętrznego audytu prawno-technicznego mieści się zazwyczaj w przedziale od 15 000 do 50 000 PLN, zależnie od skali organizacji.
Faza pierwsza – inwentaryzacja – trwa 1–2 tygodnie. Obejmuje wywiady z kluczowymi działami (IT, HR, marketing, sprzedaż) i mapowanie przepływów danych. Faza druga – ocena ryzyka – identyfikuje procesy wymagające oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. DPIA jest obowiązkowa przy przetwarzaniu na dużą skalę lub przy nowych technologiach profilowania.
Faza trzecia weryfikuje dokumentację: polityki prywatności, klauzule informacyjne, procedury obsługi żądań podmiotów danych (termin odpowiedzi: 30 dni), procedury zgłaszania naruszeń do UODO (termin: 72 godziny od stwierdzenia naruszenia). Faza czwarta to plan naprawczy z priorytetami i terminami wdrożenia.
Checklist – co przygotować przed audytem:
- aktualny Rejestr Czynności Przetwarzania lub jego projekt
- lista umów z podmiotami przetwarzającymi (podwykonawcami)
- wzory klauzul informacyjnych stosowanych wobec klientów i pracowników
- dokumentacja środków technicznych i organizacyjnych (polityka bezpieczeństwa IT)
- rejestr naruszeń ochrony danych (nawet jeśli dotychczas pusty)
Trzy scenariusze biznesowe – producent, firma IT i inwestor zagraniczny?
Różne modele biznesowe generują różne luki compliance. Producent przetwarza głównie dane pracowników i kontrahentów. Firma IT przetwarza dane klientów swoich klientów – stając się podmiotem przetwarzającym, a nie administratorem. Inwestor zagraniczny wchodzący na rynek polski mierzy się z polską specyfiką RODO i jurysdykcją UODO.
Producent z sektora przemysłowego – typowe luki to brak umów powierzenia z agencjami pracy tymczasowej, nieaktualne klauzule informacyjne w umowach o pracę (po nowelizacji Kodeksu pracy w 2023 r.) oraz brak procedury obsługi wniosków pracowników o dostęp do danych. Dodatkowe ryzyko pojawia się przy systemach monitoringu wizyjnego – regulamin monitoringu musi być dostępny dla pracowników minimum 2 tygodnie przed uruchomieniem.
Firma IT działająca jako podmiot przetwarzający – musi zadbać o to, by każda umowa z klientem zawierała klauzulę powierzenia przetwarzania spełniającą wymogi art. 28 RODO. Firma IT korzystająca z podwykonawców (np. infrastruktury chmurowej) powinna zawierać dalsze umowy powierzenia. Dla firm IT istotny jest też Akt o AI (Rozporządzenie UE 2024/1689), który od sierpnia 2026 r. nakłada dodatkowe obowiązki na dostawców systemów wysokiego ryzyka. Więcej o strategii ochrony IP w kontekście technologii zawiera artykuł o ochronie IP dla firm technologicznych w Polsce.
Zagraniczny inwestor wchodzący na rynek polski powinien pamiętać, że UODO jest organem nadzorczym właściwym dla przetwarzania danych przez polskie podmioty, nawet jeśli spółka matka ma siedzibę w innym państwie UE. Mechanizm one-stop-shop (jedno okienko) stosuje się tylko przy przetwarzaniu transgranicznym z główną jednostką organizacyjną w danym państwie. Inwestor, który zakłada fundację rodzinną w Polsce jako wehikuł majątkowy, powinien uwzględnić RODO w strukturze zarządzania – więcej na ten temat w artykule o fundacji rodzinnej w Polsce.
Często zadawane pytania
P: Czy każda firma w Polsce musi mieć Inspektora Ochrony Danych (IOD)?
O: Nie. Obowiązek wyznaczenia Inspektora Ochrony Danych wynika z artykułu 37 RODO i dotyczy podmiotów publicznych, firm przetwarzających dane na dużą skalę jako swoją główną działalność oraz firm przetwarzających szczególne kategorie danych (np. dane zdrowotne, biometryczne) na dużą skalę. Małe i średnie przedsiębiorstwa, które nie spełniają tych kryteriów, mogą wyznaczyć IOD dobrowolnie – co jest rozwiązaniem rekomendowanym przez UODO.
P: Ile kosztuje kara za naruszenie RODO i jak szybko UODO wszczyna postępowanie?
O: Kara administracyjna może wynieść do 20 000 000 EUR lub 4% rocznego globalnego obrotu – w zależności od tego, która kwota jest wyższa. UODO wszczyna postępowanie na podstawie skargi podmiotu danych lub z urzędu po własnych ustaleniach. Czas od wszczęcia do wydania decyzji wynosi zazwyczaj od 6 do 18 miesięcy, choć postępowania w sprawach poważnych naruszeń mogą trwać krócej.
P: Czy DORA wpływa na obowiązki RODO w firmach finansowych?
O: Rozporządzenie DORA (Rozporządzenie UE 2022/2554), które weszło w życie 17 stycznia 2025 r., nakłada na podmioty finansowe obowiązki w zakresie zarządzania ryzykiem ICT i raportowania incydentów do KNF. Incydent ICT może jednocześnie stanowić naruszenie ochrony danych w rozumieniu RODO – co oznacza równoległy obowiązek zgłoszenia do UODO w ciągu 72 godzin. Firmy finansowe powinny skoordynować procedury DORA i RODO w jednym dokumencie zarządzania incydentami.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu RODO przed – a nie po – kontrolą UODO. Każde naruszenie stwierdzone przez organ nadzorczy jest trudniejsze do obrony niż to, które firma sama wykryła i naprawiła. Rozliczalność z art. 5 ust. 2 RODO działa w obie strony: udokumentowana samokorekcja to argument na korzyść administratora.
Konkretna sytuacja Państwa firmy – liczba przetwarzanych kategorii danych, skala operacji, korzystanie z dostawców spoza EOG – determinuje zakres audytu i nieodwracalne ryzyko związane z opóźnieniem. Brak dokumentacji compliance w momencie kontroli zamyka drogę do skutecznej obrony przed karą.
Jeśli Państwa spółka nie przeprowadziła audytu RODO w ciągu ostatnich 12 miesięcy lub korzysta z dostawców SaaS bez umów powierzenia – przeprowadzimy przegląd RCP, weryfikację umów powierzenia i ocenę transferów danych: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i compliance cyfrowego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.