Firma dystrybucyjna z Mazowsza zgłosiła się do nas jesienią 2024 roku. Zarząd był przekonany, że dokumentacja RODO jest kompletna – polityki prywatności opublikowane, zgody zebrane, rejestr czynności prowadzony. Audyt wykazał coś innego. W ciągu trzech tygodni zidentyfikowaliśmy siedem krytycznych luk, z których każda mogła samodzielnie uzasadniać wszczęcie postępowania przez Urząd Ochrony Danych Osobowych.

Audyt RODO (Rozporządzenie UE 2016/679, RODO) to systematyczna weryfikacja zgodności przetwarzania danych osobowych z wymogami unijnego prawa. Każda polska firma przetwarzająca dane klientów, pracowników lub kontrahentów podlega tym przepisom bez wyjątku. UODO może nałożyć karę do 20 milionów euro lub 4% rocznego światowego obrotu – zależnie od tego, która kwota jest wyższa.

Ten materiał przedstawia anonimizowane studium przypadku z naszej praktyki. Omawiamy tło sprawy, przyjętą strategię naprawczą, przebieg procesu oraz wnioski, które można przenieść bezpośrednio na grunt każdej polskiej organizacji. Szczególną uwagę poświęcamy lukom, które powtarzają się najczęściej – niezależnie od branży i skali działalności.

Tło sprawy – dlaczego audyt ujawnił więcej, niż oczekiwano?

Klient prowadził działalność dystrybucyjną z siecią ponad 40 kontrahentów w Polsce i trzech krajach UE. Zatrudniał 180 pracowników. Dokumentacja RODO powstała w 2018 roku – tuż przed wejściem rozporządzenia w życie – i od tamtej pory nie była aktualizowana. To klasyczny schemat: wdrożenie jednorazowe, brak przeglądu cyklicznego.

Audyt objął cztery obszary: podstawy prawne przetwarzania, umowy powierzenia, transfery danych poza EOG oraz rejestry czynności. Już w pierwszym tygodniu okazało się, że firma przekazuje dane osobowe pracowników do zewnętrznego systemu kadrowego obsługiwanego przez podmiot z siedzibą w Zjednoczonych Emiratach Arabskich – bez żadnego mechanizmu legalizującego transfer. Mechanizmy transferu danych z Polski do ZEA opisujemy szerzej w osobnym materiale o transferach danych z Polski do ZEA.

Równolegle stwierdzono brak umów powierzenia z trzema dostawcami usług IT. Każdy z nich miał dostęp do danych klientów. Żaden nie podpisał umowy wymaganej przez art. 28 RODO. To nie był błąd techniczny – to nieodwracalna ekspozycja prawna trwająca sześć lat.

Firma nie prowadziła też oceny skutków dla ochrony danych (DPIA) dla żadnego z procesów wysokiego ryzyka. Profilowanie klientów na potrzeby kampanii marketingowych odbywało się bez wymaganej analizy. UODO wielokrotnie wskazywał brak DPIA jako samodzielną podstawę do wszczęcia postępowania.

Jakie luki compliance powtarzają się najczęściej w polskich firmach?

Na podstawie tego i kilkunastu podobnych audytów wyróżniamy pięć luk, które pojawiają się niemal zawsze. Każda z nich jest samodzielnym ryzykiem – razem tworzą ekspozycję, której nie da się zbagatelizować.

Pierwsza i najczęstsza luka to brak aktualnych umów powierzenia. Art. 28 RODO wymaga pisemnej umowy z każdym podmiotem przetwarzającym dane w imieniu administratora. W praktyce wiele firm podpisało umowy w 2018 roku i nie aktualizowało ich po zmianie zakresu usług lub dostawcy. Umowa sprzed sześciu lat często nie obejmuje nowych kategorii danych ani nowych systemów IT.

Druga luka to nieaktualne rejestry czynności przetwarzania. Rejestr wymagany przez art. 30 RODO powinien odzwierciedlać rzeczywisty stan przetwarzania – nie stan z dnia wdrożenia. Nowe procesy, nowe systemy, nowi pracownicy – każda zmiana powinna znaleźć odzwierciedlenie w rejestrze. W audytowanej firmie rejestr nie uwzględniał czterech procesów uruchomionych po 2020 roku.

Trzecia luka dotyczy transferów poza EOG. Polskie firmy coraz częściej korzystają z chmury, narzędzi SaaS i systemów kadrowych obsługiwanych spoza Unii. Każdy taki transfer wymaga mechanizmu legalizującego: standardowych klauzul umownych (SCC), decyzji o adekwatności lub innego instrumentu z art. 46 RODO. Brak mechanizmu to naruszenie niezależne od skali transferu.

  • Brak lub nieaktualne umowy powierzenia (art. 28 RODO)
  • Rejestry czynności nieodzwierciedlające rzeczywistości
  • Transfery danych poza EOG bez mechanizmu legalizującego
  • Brak DPIA dla procesów wysokiego ryzyka
  • Klauzule informacyjne niezgodne z art. 13–14 RODO

Czwarta luka – brak DPIA – jest szczególnie kosztowna. Ocena skutków dla ochrony danych jest obowiązkowa m.in. przy profilowaniu, monitoringu pracowników i przetwarzaniu danych wrażliwych na dużą skalę. Pominięcie DPIA nie jest błędem formalnym – to brak dowodu, że administrator w ogóle analizował ryzyko. Piąta luka to klauzule informacyjne pisane raz i nigdy nieaktualizowane. Zmiana celu przetwarzania, nowy odbiorca danych, nowy podmiot przetwarzający – każda taka zmiana powinna znaleźć odzwierciedlenie w klauzuli.

Jak przebiegał proces naprawczy i jakie lekcje z niego wynikają?

Strategia naprawcza objęła 90 dni i trzy priorytety: natychmiastowe usunięcie ryzyk krytycznych, aktualizację dokumentacji oraz wdrożenie procedury cyklicznego przeglądu. Pierwszeństwo miały transfery do ZEA i brak umów powierzenia – oba ryzyka mogły uzasadniać natychmiastowe działanie UODO.

W ciągu pierwszych 30 dni podpisano umowy powierzenia z wszystkimi dostawcami IT. Dla transferu do ZEA wdrożono standardowe klauzule umowne zgodnie z decyzją Komisji Europejskiej z 2021 roku. Rejestr czynności zaktualizowano o cztery brakujące procesy. Łączny koszt etapu pierwszego – około 18 000 PLN brutto w honorariach doradczych – był ułamkiem potencjalnej kary.

W kolejnych 60 dniach przeprowadzono DPIA dla trzech procesów wysokiego ryzyka: profilowania klientów, monitoringu poczty elektronicznej pracowników i przetwarzania danych zdrowotnych w ramach benefitów. Zaktualizowano klauzule informacyjne na stronie internetowej, w umowach z klientami i w dokumentacji pracowniczej. Firma wdrożyła też procedurę rocznego przeglądu dokumentacji RODO – z przypisaną osobą odpowiedzialną i terminem w kalendarzu.

Wniosek generalny jest prosty. Compliance RODO to proces, nie dokument. Jednorazowe wdrożenie z 2018 roku nie chroni przed odpowiedzialnością w 2026 roku. Każda zmiana w organizacji – nowy system, nowy dostawca, nowy produkt – powinna uruchamiać weryfikację dokumentacji. Firmy, które o tym zapominają, tracą możliwość wykazania zgodności w momencie, gdy UODO zadaje pytania. To stracona szansa na obronę, której nie można odzyskać.

Warto też pamiętać o szerszym kontekście regulacyjnym. Firmy z sektora finansowego podlegają dodatkowo wymogom DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 roku nakłada obowiązki w zakresie zarządzania ryzykiem ICT. Systemy AI stosowane do profilowania klientów wchodzą w zakres AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku. Audyt RODO powinien uwzględniać te warstwy regulacyjne – szczególnie gdy firma korzysta z zaawansowanych narzędzi analitycznych. Trendy egzekwowania przez UODO analizujemy szerzej w materiale o karach RODO w Polsce.

Dla firm z udziałem zagranicznym dodatkowym czynnikiem ryzyka jest dystrybucja zysku. Jeśli dane osobowe przepływają między spółką polską a zagranicznym udziałowcem – np. w ramach raportowania – taki przepływ wymaga osobnej analizy pod kątem RODO. Zagadnienie to omawiamy w kontekście zasad wypłaty dywidendy przez polskie spółki.

Co zabrać z tego studium przypadku? Trzy rzeczy: audyt ujawnia więcej niż samoocena, luki powtarzają się niezależnie od branży, a koszt naprawy jest zawsze niższy niż koszt postępowania przed UODO.

Co przygotować przed audytem RODO:

  • Rejestr czynności przetwarzania z datami ostatniej aktualizacji
  • Lista wszystkich podmiotów przetwarzających z kopiami umów powierzenia
  • Wykaz transferów danych poza EOG z przypisanymi mechanizmami legalizującymi
  • Dokumentacja DPIA dla procesów wysokiego ryzyka

Konkretna sytuacja Państwa firmy wymaga indywidualnej analizy. Luki zidentyfikowane zbyt późno – po wszczęciu postępowania przez UODO – zamykają drogę do dobrowolnej korekty i mogą skutkować nieodwracalną odpowiedzialnością administracyjną.

Jeśli Państwa spółka nie przeprowadzała przeglądu dokumentacji RODO od ponad roku lub korzysta z dostawców spoza EOG – przeprowadzimy audyt wstępny, zidentyfikujemy krytyczne luki i przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Jak często polska firma powinna przeprowadzać audyt RODO?

O: Rozporządzenie UE 2016/679 nie wskazuje sztywnej częstotliwości, ale przyjęta praktyka to przegląd co najmniej raz w roku oraz po każdej istotnej zmianie organizacyjnej – nowym systemie IT, zmianie dostawcy lub rozszerzeniu działalności na nowe rynki. Firmy z sektora finansowego, objęte dodatkowo wymogami DORA, powinny integrować przegląd RODO z cyklicznym audytem ryzyka ICT. Brak cyklicznego przeglądu jest sam w sobie argumentem obciążającym w postępowaniu przed UODO.

P: Czy małe firmy też muszą prowadzić rejestr czynności przetwarzania?

O: Powszechne przekonanie, że rejestr dotyczy tylko dużych organizacji, jest błędne. Artykuł 30 ustęp 5 Rozporządzenia RODO zwalnia z obowiązku prowadzenia rejestru wyłącznie podmioty zatrudniające mniej niż 250 osób – ale tylko jeśli przetwarzanie nie jest regularne, nie dotyczy szczególnych kategorii danych i nie stwarza ryzyka dla praw osób fizycznych. W praktyce większość firm, nawet małych, nie spełnia wszystkich trzech warunków zwolnienia jednocześnie. Bezpieczniejszym rozwiązaniem jest prowadzenie rejestru niezależnie od liczby pracowników.

P: Ile kosztuje audyt RODO i ile trwa?

O: Zakres i czas trwania zależą od wielkości organizacji i złożoności procesów przetwarzania. Dla firmy zatrudniającej do 200 pracowników audyt wstępny trwa zazwyczaj od dwóch do czterech tygodni. Koszt honorarium doradczego w takim zakresie wynosi zwykle od 8 000 do 25 000 PLN netto. Dla porównania – minimalna kara administracyjna nakładana przez UODO w sprawach dotyczących braku umów powierzenia przekraczała w ostatnich latach 100 000 PLN. Koszt audytu jest więc wielokrotnie niższy niż koszt postępowania.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa własności intelektualnej i regulacji technologicznych, w tym AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.