Firma IT z Mazowsza wdrożyła nowy system CRM, zintegrowała go z narzędziem do e-mail marketingu i – nie wykonując audytu RODO – zaczęła wysyłać kampanie do bazy kontaktów zebranych trzy lata wcześniej. UODO wszczął postępowanie po skardze jednego klienta. Kara? Kilkadziesiąt tysięcy złotych i konieczność wstrzymania całej kampanii na czas kontroli. Procedura, która mogła kosztować kilka tygodni pracy prawnika, finalnie kosztowała kilka miesięcy przestoju.
Audyt RODO to ustrukturyzowany przegląd procesów przetwarzania danych osobowych w organizacji, oparty na wymogach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – czyli RODO. Obowiązek zapewnienia zgodności spoczywa na administratorze danych od 25 maja 2018 roku. Brak udokumentowanej weryfikacji procesów zamyka drogę do skutecznej obrony przed zarzutami UODO i naraża spółkę na kary do 20 mln EUR lub 4% rocznego globalnego obrotu.
Ten przewodnik prowadzi krok po kroku przez najczęstsze luki compliance wykrywane w polskich firmach – od problemów z rejestrem czynności przetwarzania, przez umowy powierzenia, po nowe ryzyka związane z AI Act i DORA. Każda sekcja zawiera punkty kontrolne, które można zastosować od razu.
Od czego zacząć audyt RODO w polskiej firmie?
Audyt RODO w praktyce zaczyna się od jednego dokumentu: rejestru czynności przetwarzania (RCP). Jego prowadzenie wynika wprost z art. 30 RODO i jest obowiązkowe dla każdego administratora zatrudniającego powyżej 250 osób – a w praktyce zalecane dla każdej firmy przetwarzającej dane w sposób niesporadyczny. UODO w toku kontroli sięga po RCP jako pierwszy dowód dojrzałości compliance organizacji.
W polskich firmach RCP najczęściej istnieje – ale jest nieaktualny. Wdrożono nowy system HR, zmieniono dostawcę chmury obliczeniowej, rozszerzono działalność o nowy kraj UE. Rejestr pozostał taki sam jak w 2018 roku. To błąd, który kosztuje: brak aktualnego RCP uniemożliwia ocenę ryzyka i projektowanie skutecznych środków technicznych.
Praktyczny punkt startowy to mapa procesów. Warto przeprowadzić wywiady z działami: HR, IT, sprzedaż, marketing i obsługa klienta. Każdy dział przetwarza dane inaczej i często nie wie, że jest współadministratorem lub podmiotem przetwarzającym. W efekcie – umowy powierzenia danych nie istnieją tam, gdzie powinny.
Trzy pierwsze działania przy każdym audycie RODO:
- Zebranie i weryfikacja aktualności RCP – każdy proces z ostatnich 12 miesięcy powinien znaleźć odzwierciedlenie w rejestrze.
- Identyfikacja podmiotów zewnętrznych przetwarzających dane – dostawcy SaaS, kancelarie, firmy kurierskie, call center.
- Weryfikacja podstaw prawnych przetwarzania – zgoda, umowa, prawnie uzasadniony interes czy obowiązek prawny.
Dla firm korzystających z usług dostawców spoza EOG – np. amerykańskich platform chmurowych – niezbędna jest również weryfikacja mechanizmów transferu danych. Standardowe klauzule umowne (SCC) muszą być podpisane i dostosowane do aktualnej wersji z 2021 roku. Więcej o transferach danych do państw trzecich – w tym do Szwajcarii – opisujemy w analizie mechanizmów transferu danych z Polski do Szwajcarii.
Jakie są najczęstsze luki compliance RODO w polskich firmach?
Audyty przeprowadzone w różnych sektorach – od produkcji przez e-commerce po usługi finansowe – wskazują na powtarzający się zestaw problemów. Nie są to błędy wynikające ze złej woli. Wynikają z braku aktualizacji dokumentacji po zmianach operacyjnych i z niedostatecznego zrozumienia, kto w organizacji odpowiada za compliance RODO na co dzień.
Pierwsza i najczęstsza luka: brak lub nieaktualne umowy powierzenia przetwarzania danych (art. 28 RODO). Firma korzysta z dziesiątek narzędzi SaaS – systemu do zarządzania projektami, platformy do wideokonferencji, narzędzia do e-podpisu – i nie ma podpisanych umów z żadnym z dostawców. Każde takie narzędzie, jeśli przetwarza dane osobowe pracowników lub klientów, wymaga umowy powierzenia.
Druga luka: klauzule informacyjne (art. 13–14 RODO) pisane raz i nigdy nieaktualizowane. Tymczasem zmiana celu przetwarzania, nowy współadministrator lub nowy podmiot przetwarzający – każda z tych zmian wymaga aktualizacji klauzuli i poinformowania osób, których dane dotyczą. W praktyce – wiele firm o tym zapomina – klauzule z 2018 roku nadal wiszą na stronach internetowych, choć firma zmieniła model biznesowy.
Trzecia luka: brak procedur obsługi żądań podmiotów danych. Prawo dostępu, prawo do usunięcia, prawo do przenoszenia danych – każde z nich wymaga odpowiedzi w ciągu 30 dni. Firmy, które nie mają wyznaczonej osoby odpowiedzialnej ani procedury eskalacji, przekraczają ten termin. Każde przekroczenie to potencjalna skarga do UODO.
Czwarta luka: niezgłaszanie naruszeń ochrony danych. Art. 33 RODO nakłada obowiązek zgłoszenia naruszenia do UODO w ciągu 72 godzin od jego wykrycia – jeśli naruszenie stwarza ryzyko dla praw i wolności osób fizycznych. Firmy często nie wiedzą, że wyciek danych z konta e-mail pracownika lub zgubienie niezaszyfrowanego laptopa to naruszenie wymagające zgłoszenia.
Piąta luka – szczególnie istotna dla sektora IT i fintech – to brak oceny skutków dla ochrony danych (DPIA) przy wdrożeniu systemów opartych na algorytmach. Od 1 sierpnia 2024 roku obowiązuje AI Act (Rozporządzenie UE 2024/1689). Systemy AI wysokiego ryzyka stosowane w rekrutacji, scoringu kredytowym czy biometrii wymagają zarówno DPIA na gruncie RODO, jak i oceny zgodności na gruncie AI Act. Te dwa reżimy prawne nakładają się – i wiele firm nie zdaje sobie z tego sprawy.
Jak wygląda krok po kroku procedura audytu RODO?
Audyt RODO przeprowadzony rzetelnie trwa od 4 do 8 tygodni, w zależności od wielkości organizacji i liczby przetwarzanych zbiorów danych. Dla małej firmy (do 50 pracowników) wystarczą 3–4 tygodnie. Dla organizacji z kilkoma oddziałami i złożoną infrastrukturą IT – 6–8 tygodni. Koszt zewnętrznego audytu prawno-technicznego waha się zazwyczaj od 8 000 do 30 000 PLN netto.
Etap 1 – Inwentaryzacja (tydzień 1–2). Zebranie dokumentacji: RCP, polityki ochrony danych, umowy powierzenia, klauzule informacyjne, procedury obsługi żądań, rejestry naruszeń. Przeprowadzenie wywiadów z kluczowymi działami. Mapowanie przepływów danych – skąd dane wpływają, gdzie są przechowywane, kiedy są usuwane.
Etap 2 – Analiza luk (tydzień 2–4). Porównanie stanu faktycznego z wymogami RODO. Ocena ryzyka dla każdego procesu przetwarzania. Identyfikacja procesów wymagających DPIA. Weryfikacja mechanizmów transferu danych poza EOG.
Etap 3 – Raport i plan naprawczy (tydzień 4–6). Sporządzenie raportu z audytu z priorytetyzacją działań: krytyczne (do naprawy w ciągu 30 dni), ważne (90 dni), zalecane (do 12 miesięcy). Plan naprawczy powinien zawierać osoby odpowiedzialne i terminy.
Etap 4 – Wdrożenie i weryfikacja (tydzień 6–8). Aktualizacja dokumentacji, podpisanie brakujących umów powierzenia, aktualizacja klauzul informacyjnych, szkolenie pracowników. Weryfikacja skuteczności wdrożonych zmian.
Trzy scenariusze biznesowe pokazują, jak różnie wygląda audyt w zależności od branży. Firma produkcyjna z Podkarpacia (150 pracowników) odkryła podczas audytu latem 2025 roku, że nie ma umów powierzenia z dostawcą systemu ERP ani z biurem rachunkowym – dwa krytyczne naruszenia art. 28 RODO. Startup IT z Trójmiasta wdrożył narzędzie do rekrutacji oparte na AI bez DPIA – klasyczny błąd na styku RODO i AI Act. Firma e-commerce z Łódzkiego przetwarzała dane behawioralne klientów na podstawie zgody, której treść nie spełniała wymogów dobrowolności – zgoda była warunkiem korzystania z serwisu, co wyklucza jej ważność.
Dla firm z sektora finansowego i ubezpieczeniowego od 17 stycznia 2025 roku dochodzi dodatkowa warstwa: DORA (Rozporządzenie UE 2022/2554). Zarządzanie ryzykiem ICT i wymogi dotyczące incydentów operacyjnych nakładają się na obowiązki wynikające z RODO. Audyt compliance powinien obejmować oba reżimy jednocześnie – szczególnie w zakresie zarządzania dostawcami zewnętrznymi. Analogiczne kwestie dotyczą firm technologicznych wchodzących na rynek polski – o czym piszemy w kontekście strategii ochrony IP dla włoskich firm technologicznych w Polsce.
Jakie błędy najczęściej dyskwalifikują firmy podczas kontroli UODO?
Kontrola UODO to nie audyt akademicki. Inspektor weryfikuje dokumenty, ale też pyta o procedury operacyjne: kto konkretnie odpowiada za obsługę żądań podmiotów danych, jak firma wykrywa naruszenia, co się dzieje z danymi po zakończeniu umowy z klientem. Odpowiedź „mamy politykę, ale nikt jej nie stosuje" jest gorsza niż brak polityki – bo świadczy o pozornym compliance.
Błąd numer jeden: brak Inspektora Ochrony Danych (IOD) tam, gdzie jest wymagany. Art. 37 RODO nakłada obowiązek wyznaczenia IOD m.in. na podmioty publiczne, firmy przetwarzające dane na dużą skalę i firmy przetwarzające szczególne kategorie danych (art. 9 RODO). Wiele polskich firm z sektora medycznego, HR-tech i fintech nie wyznaczyło IOD, choć są do tego zobowiązane.
Błąd numer dwa: niespójność między klauzulami informacyjnymi a RCP. Klauzula mówi, że dane są przechowywane przez 3 lata. RCP wskazuje 5 lat. Faktycznie dane są w systemie od 2017 roku i nikt ich nie usunął. To trzy różne informacje i każda z nich może stać się podstawą zarzutu.
Błąd numer trzy: brak dokumentacji szkoleń pracowników. RODO wymaga, aby osoby upoważnione do przetwarzania danych były przeszkolone. Brak listy upoważnień i brak potwierdzeń odbycia szkoleń to luka, którą inspektor UODO dostrzeże w ciągu pierwszych 30 minut kontroli.
Checklist – co przygotować przed kontrolą UODO:
- Aktualny rejestr czynności przetwarzania (RCP) z datą ostatniej aktualizacji.
- Umowy powierzenia przetwarzania danych ze wszystkimi zewnętrznymi dostawcami.
- Dokumentacja szkoleń pracowników i listy upoważnień do przetwarzania danych.
- Rejestr naruszeń ochrony danych (nawet jeśli nie było zgłoszeń do UODO).
- Procedura obsługi żądań podmiotów danych z wyznaczoną osobą odpowiedzialną.
Dla pracodawców zatrudniających pracowników zdalnych lub cudzoziemców dochodzą dodatkowe kwestie związane z przetwarzaniem danych w procesach administracyjnych – m.in. dokumentacji pobytowej i zezwoleń na pracę. Koszty kadrowe wpływają na model przetwarzania danych pracowniczych, co opisujemy szczegółowo w analizie wpływu minimalnego wynagrodzenia 2026 na koszty pracodawcy w Polsce.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu proaktywnie – przed kontrolą UODO – niż reaktywnie, po wszczęciu postępowania. Kara administracyjna i obowiązek naprawczy nałożone przez UODO zamykają drogę do negocjacji warunków wdrożenia. Audyt prewencyjny daje organizacji czas i swobodę działania.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny procesów przetwarzania, stanu dokumentacji i ryzyk sektorowych. Brak audytu RODO to nieodwracalna utrata możliwości obrony przed zarzutami UODO – każdy miesiąc zwłoki to kolejne procesy przetwarzania bez weryfikacji zgodności.
Jeśli Państwa spółka przetwarza dane osobowe pracowników, klientów lub partnerów i nie przeprowadziła audytu RODO w ostatnich 24 miesiącach – przeprowadzimy przegląd dokumentacji, mapowanie procesów i raport z priorytetyzacją działań naprawczych: info@kordeckipartners.com.
Często zadawane pytania
P: Ile kosztuje audyt RODO i jak długo trwa?
O: Koszt zewnętrznego audytu prawno-technicznego dla małej i średniej firmy waha się zazwyczaj od 8 000 do 30 000 PLN netto, w zależności od liczby procesów przetwarzania i złożoności infrastruktury IT. Czas trwania to od 3 tygodni dla organizacji do 50 pracowników do 8 tygodni dla firmy wielooddziałowej. Warto uwzględnić w budżecie również koszty wdrożenia zaleceń – aktualizacji dokumentacji i ewentualnych szkoleń pracowników.
P: Czy każda firma musi mieć Inspektora Ochrony Danych?
O: Nie – obowiązek wyznaczenia Inspektora Ochrony Danych wynika z artykułu 37 Rozporządzenia (UE) 2016/679 i dotyczy podmiotów publicznych, organizacji przetwarzających dane na dużą skalę oraz tych, które regularnie przetwarzają szczególne kategorie danych. W praktyce jednak wiele firm – szczególnie z sektora medycznego, HR i fintech – błędnie zakłada, że obowiązek ich nie dotyczy. Wyznaczenie IOD jest zawsze dopuszczalne dobrowolnie i może stanowić element strategii compliance.
P: Czy AI Act zmienia coś w obowiązkach RODO?
O: Tak – AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku, nakłada na dostawców i użytkowników systemów AI wysokiego ryzyka obowiązek przeprowadzenia oceny zgodności. Systemy stosowane w rekrutacji, scoringu kredytowym i biometrii podlegają zarówno tej ocenie, jak i ocenie skutków dla ochrony danych (DPIA) na gruncie RODO. Oba reżimy działają równolegle – brak DPIA przy wdrożeniu systemu AI wysokiego ryzyka to naruszenie RODO, nie tylko AI Act.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do audytów RODO, wdrożeń AI Act i compliance technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.