Firma logistyczna z Mazowsza przetwarzała dane kierowców przez trzy lata – bez podstawy prawnej, bez rejestru czynności i bez umów powierzenia z podwykonawcami. Kontrola PUODO trwała sześć tygodni. Wynik: nakaz usunięcia danych i wszczęcie postępowania w sprawie kary. Wszystko to można było wykryć podczas jednodniowego audytu RODO.
Audyt RODO to systematyczna weryfikacja zgodności przetwarzania danych osobowych z wymogami Rozporządzenia (UE) 2016/679 – RODO. Obejmuje analizę podstaw prawnych, rejestru czynności przetwarzania, umów powierzenia, środków technicznych i organizacyjnych oraz polityk wewnętrznych. Brak audytu nie zwalnia administratora z odpowiedzialności – PUODO może wszcząć postępowanie z urzędu w każdym czasie.
Ten przewodnik pokazuje krok po kroku, gdzie polskie firmy najczęściej tracą zgodność, jak przeprowadzić audyt własnym siłami lub z pomocą zewnętrzną, ile to kosztuje i jakie błędy są najdroższe. Omówiono też scenariusze dla firm produkcyjnych, IT i inwestorów zagranicznych.
Czym jest audyt RODO i dlaczego polskie firmy go zaniedbują?
Audyt RODO to nie jednorazowy projekt. To cykliczna ocena, którą administrator danych powinien przeprowadzać co najmniej raz na 12–18 miesięcy – lub po każdej istotnej zmianie procesów biznesowych. Obowiązek wynika wprost z zasady rozliczalności przewidzianej w art. 5 ust. 2 RODO. Administrator musi nie tylko przestrzegać przepisów, ale też być w stanie wykazać ich przestrzeganie.
W praktyce – wiele firm o tym zapomina – audyt odkłada się „na po sezonie" lub „po wdrożeniu nowego systemu". Tymczasem PUODO prowadzi kontrole zarówno z urzędu, jak i na skutek skarg osób fizycznych. W 2024 roku urząd wydał kilkanaście decyzji nakładających kary – od kilkudziesięciu tysięcy do kilku milionów złotych.
Trzy główne powody zaniedbań w polskich firmach:
- brak wyznaczonego Inspektora Ochrony Danych (IOD) lub wyznaczenie osoby bez odpowiednich kompetencji,
- przekonanie, że jednorazowe wdrożenie RODO z 2018 roku nadal obowiązuje bez aktualizacji,
- brak budżetu na regularny przegląd dokumentacji i systemów IT.
Regulacja wyprzedza rynek. Firmy, które nie zaktualizowały dokumentacji po wejściu w życie strategii ochrony IP dla firm technologicznych, często mają te same luki w obszarze danych osobowych – bo oba obszary dotyczą zarządzania aktywami niematerialnymi i wymagają podobnej dyscypliny proceduralnej.
Jakie luki compliance wykrywa audyt RODO najczęściej?
Analiza decyzji PUODO z ostatnich trzech lat wskazuje na powtarzające się wzorce. Najczęstsze luki nie są techniczne – są organizacyjne. Można je wykryć bez specjalistycznego oprogramowania, wystarczy ustrukturyzowana lista kontrolna i 2–3 dni pracy zespołu.
Pierwsza i najczęstsza luka: brakujące lub nieaktualne umowy powierzenia przetwarzania danych. Art. 28 RODO wymaga pisemnej umowy z każdym podmiotem przetwarzającym dane w imieniu administratora. Dotyczy to chmury, kadr, marketingu, obsługi IT. Firmy podpisują umowy raz – i nie aktualizują ich przez lata, mimo zmian zakresu usług.
Druga luka: rejestr czynności przetwarzania (RCP) niekompletny lub nieistniejący. Art. 30 RODO nakłada obowiązek prowadzenia RCP na każdego administratora zatrudniającego ponad 250 osób – ale w praktyce prowadzenie rejestru jest zalecane każdej firmie. Brak RCP uniemożliwia wykazanie rozliczalności w trakcie kontroli.
Trzecia luka: podstawy prawne przetwarzania nieadekwatne do celu. Firmy nagminnie powołują się na zgodę (art. 6 ust. 1 lit. a RODO) tam, gdzie właściwą podstawą byłby uzasadniony interes (lit. f) lub wykonanie umowy (lit. b). Błędna podstawa prawna oznacza, że całe przetwarzanie jest niezgodne z RODO – nawet jeśli dane są bezpieczne technicznie.
Czwarta luka: naruszenia w obszarze transferów danych do państw trzecich. Korzystanie z amerykańskich narzędzi SaaS (marketing automation, CRM, analityka) bez weryfikacji mechanizmu transferu – standardowych klauzul umownych (SCC) lub decyzji adekwatności – to jeden z najczęściej wskazywanych przez PUODO problemów.
Jak przeprowadzić audyt RODO krok po kroku?
Audyt RODO można przeprowadzić w czterech fazach. Cały proces – dla firmy zatrudniającej do 100 osób – zajmuje od 5 do 15 dni roboczych. Koszt audytu zewnętrznego waha się od 8 000 do 25 000 PLN netto, w zależności od złożoności procesów i liczby systemów IT.
Faza 1 – mapowanie procesów (2–3 dni). Identyfikacja wszystkich procesów, w których przetwarzane są dane osobowe: kadry, sprzedaż, marketing, obsługa klienta, IT, monitoring. Efektem jest mapa przepływu danych, która staje się podstawą do weryfikacji RCP.
Faza 2 – weryfikacja dokumentacji (2–4 dni). Przegląd umów powierzenia, polityki bezpieczeństwa, procedury zgłaszania naruszeń, klauzul informacyjnych i upoważnień. Sprawdzenie, czy dokumenty odpowiadają rzeczywistości – bo często nie odpowiadają.
Faza 3 – ocena środków technicznych (1–3 dni). Weryfikacja kontroli dostępu, szyfrowania, kopii zapasowych, zarządzania incydentami. Tu przydatna jest wiedza o regulacjach takich jak DORA (Rozporządzenie UE 2022/2554), które dla instytucji finansowych nakłada szczególne wymogi zarządzania ryzykiem ICT od 17 stycznia 2025 roku.
Faza 4 – raport i plan naprawczy (1–2 dni). Raport powinien zawierać listę luk z oceną ryzyka (wysoki/średni/niski), rekomendacje działań naprawczych i harmonogram wdrożenia. Dobry raport audytowy jest dokumentem żywym – aktualizowanym po każdym wdrożeniu zaleceń.
Co przygotować przed audytem:
- aktualny schemat organizacyjny i lista systemów IT,
- wszystkie umowy z podmiotami zewnętrznymi przetwarzającymi dane,
- dotychczasowy rejestr czynności przetwarzania (jeśli istnieje),
- dokumentacja incydentów bezpieczeństwa z ostatnich 12 miesięcy,
- wzory klauzul informacyjnych używanych na stronie i w umowach.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu z udziałem zewnętrznego prawnika – szczególnie gdy firma korzysta z narzędzi AI. AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku, wprowadza nowe obowiązki w zakresie systemów wysokiego ryzyka. Ich przecięcie z RODO wymaga specjalistycznej analizy.
Firmy działające w modelu transgranicznym – np. polskie spółki z udziałem kapitału zagranicznego – powinny dodatkowo sprawdzić, czy ochrona tajemnicy przedsiębiorstwa jest spójna z polityką ochrony danych. Dane klientów i know-how to często ten sam zasób – chroniony różnymi reżimami prawnymi.
Trzy scenariusze biznesowe – gdzie compliance najczęściej się sypie?
Każda branża ma swoje specyficzne luki. Poniżej trzy scenariusze, które pokazują, jak różnie RODO manifestuje się w praktyce.
Scenariusz 1 – firma produkcyjna. Zakład z Podkarpacia zatrudnia 180 pracowników. Monitoring wizyjny obejmuje halę produkcyjną i parking. Problem: brak oceny skutków dla ochrony danych (DPIA) wymaganej przy monitoringu na dużą skalę. Brak klauzul informacyjnych przy wejściu. Nagrania przechowywane przez 90 dni zamiast maksymalnych 3 miesięcy wskazanych w kodeksie pracy. Audyt ujawnia trzy odrębne naruszenia – każde z potencjalną karą.
Scenariusz 2 – firma IT / SaaS. Startup z Wrocławia przetwarza dane użytkowników w chmurze AWS (region Frankfurt). Wydaje się bezpiecznie. Ale firma korzysta też z Google Analytics 4, Salesforce i Mailchimp – wszystkie z siedzibą w USA. Mechanizm SCC jest w umowach – ale nikt nie zweryfikował, czy rzeczywiście dane nie trafiają do regionów poza EOG. Dla firm technologicznych, które rozważają ekspansję, pomocna jest analiza restrukturyzacji zapobiegawczej w Polsce – bo zmiana modelu biznesowego zawsze pociąga za sobą nowe obowiązki w zakresie danych.
Scenariusz 3 – inwestor zagraniczny. Niemiecka spółka otwiera oddział w Polsce. Zakłada, że wdrożenie RODO z centrali wystarczy. Nie wystarczy – polska spółka jest odrębnym administratorem danych. Wymaga własnych klauzul informacyjnych po polsku, własnego RCP, własnej procedury obsługi żądań podmiotów danych (termin: 30 dni od wpłynięcia żądania) i własnej rejestracji IOD w PUODO, jeśli wyznaczenie IOD jest obowiązkowe.
Compliance to proces, nie dokument. Każda zmiana struktury organizacyjnej, wdrożenie nowego systemu IT lub wejście na nowy rynek wymaga aktualizacji dokumentacji RODO – nie tylko jednorazowego przeglądu.
Często zadawane pytania
P: Jak długo trwa audyt RODO i ile kosztuje dla małej firmy?
O: Dla firmy zatrudniającej do 50 osób, z kilkoma podstawowymi procesami, audyt trwa zazwyczaj 3–5 dni roboczych. Koszt audytu zewnętrznego wynosi od 5 000 do 12 000 PLN netto. Audyt wewnętrzny jest tańszy, ale wymaga osoby z wiedzą o RODO i dostępem do wszystkich systemów. Brak audytu może kosztować wielokrotnie więcej – PUODO nakładał kary sięgające kilkuset tysięcy złotych nawet na podmioty średniej wielkości.
P: Czy każda firma musi wyznaczyć Inspektora Ochrony Danych?
O: Nie każda. Artykuł 37 Rozporządzenia (UE) 2016/679 nakłada obowiązek wyznaczenia Inspektora Ochrony Danych w trzech przypadkach: gdy przetwarzania dokonuje organ publiczny, gdy główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, lub gdy główna działalność polega na przetwarzaniu szczególnych kategorii danych na dużą skalę. Wiele firm wyznacza IOD dobrowolnie – co jest dobrą praktyką, ale nie zwalnia z obowiązku zapewnienia mu niezależności i zasobów.
P: Czy wdrożenie RODO z 2018 roku nadal wystarczy?
O: Zdecydowanie nie. Od 2018 roku zmieniły się: orzecznictwo TSUE w zakresie transferów danych (wyrok Schrems II i następne), wytyczne Europejskiej Rady Ochrony Danych (EROD), przepisy sektorowe – w tym DORA dla sektora finansowego obowiązujące od 17 stycznia 2025 roku – oraz wymogi AI Act wchodzące w życie etapami do 2027 roku. Dokumentacja RODO sprzed 2020 roku wymaga gruntownej aktualizacji niemal w każdym przypadku.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny. Brak aktualnej dokumentacji RODO to nieodwracalne ryzyko – w razie kontroli PUODO nie ma możliwości wstecznego uzupełnienia rejestru czynności czy umów powierzenia z datą sprzed zdarzenia. Każdy dzień bez audytu zwiększa ekspozycję na odpowiedzialność administracyjną i finansową.
Jeśli Państwa spółka przetwarza dane pracowników, klientów lub korzysta z narzędzi SaaS i nie przeprowadzała audytu RODO w ciągu ostatnich 18 miesięcy – przeprowadzimy pełny przegląd dokumentacji, mapowanie procesów i raport z planem naprawczym: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.