Audyt RODO – najczęstsze luki compliance w polskich firmach

Firma IT z Mazowsza przeprowadza audyt RODO po raz pierwszy od trzech lat. Efekt: brak aktualnych umów powierzenia przetwarzania, rejestry czynności nieaktualizowane od 18 miesięcy, a klauzule zgody skopiowane z internetu – nieważne. To nie wyjątek. To polska norma.

Audyt RODO (Rozporządzenie UE 2016/679) ujawnia w polskich firmach powtarzalne luki: nieaktualne rejestry czynności przetwarzania, wadliwe umowy powierzenia i brak procedur obsługi żądań podmiotów danych. Urząd Ochrony Danych Osobowych (UODO) może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu. Termin na odpowiedź na żądanie osoby fizycznej wynosi 30 dni.

Poniżej omawiamy trzy kategorie najczęstszych luk, wskazujemy, kogo dotyczą i jakie działania należy podjąć natychmiast. Alert obejmuje również wpływ AI Act oraz DORA na obowiązki compliance w polskich organizacjach.

Jakie luki RODO najczęściej wykrywa audyt w polskich firmach?

Odpowiedź jest prosta: rejestry, umowy i zgody. Każda z tych kategorii generuje odrębne ryzyko. Razem tworzą schemat, który UODO zna doskonale – i który coraz częściej kończy się postępowaniem.

Pierwsza luka to rejestr czynności przetwarzania (RCP). Obowiązek jego prowadzenia wynika bezpośrednio z art. 30 RODO. W praktyce – wiele firm tworzy rejestr raz, przy wdrożeniu, i nie aktualizuje go latami. Nowe systemy CRM, nowe aplikacje HR, nowi podwykonawcy – żadne z tych zdarzeń nie trafia do dokumentacji. UODO podczas kontroli pyta o RCP jako pierwszą rzecz.

Druga luka to umowy powierzenia przetwarzania danych. Firma korzysta z zewnętrznego dostawcy chmury, systemu kadrowego lub agencji marketingowej – i nie ma podpisanej umowy powierzenia zgodnej z art. 28 RODO. Albo ma umowę sprzed 2018 roku, która nie spełnia aktualnych wymogów. To naruszenie formalne, ale kara może być dotkliwa.

Trzecia luka to podstawy prawne przetwarzania. Zgody pobrane w formule „zaznacz, jeśli nie chcesz" są nieważne. Zgody domyślnie zaznaczone – również. Przetwarzanie danych pracowników na podstawie zgody zamiast art. 6 ust. 1 lit. b lub c RODO to błąd systemowy, który zmienia całą architekturę compliance.

• Brak aktualnego RCP lub jego niekompletność
• Umowy powierzenia nieistniejące lub przestarzałe
• Wadliwe lub nieważne zgody na przetwarzanie
• Brak procedury obsługi żądań podmiotów danych (DSAR)
• Nieudokumentowane transfery danych poza EOG

Każda z tych luk może być podstawą do wszczęcia postępowania przez UODO. Łącznie – tworzą profil ryzyka, który uzasadnia pilny audyt wewnętrzny lub zewnętrzny.

Kogo dotyczą nowe obowiązki i co zrobić w ciągu 30 dni?

RODO obowiązuje każdego administratora danych w Polsce – niezależnie od wielkości firmy. Jednak skala ryzyka różni się w zależności od branży i profilu przetwarzania. Firmy technologiczne, podmioty finansowe i pracodawcy zatrudniający powyżej 50 osób są narażeni najbardziej.

W kontekście AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.) pojawia się nowy wymiar compliance. Systemy AI wysokiego ryzyka – stosowane w rekrutacji, scoringu kredytowym lub biometrii – wymagają oceny zgodności. Jeśli taki system przetwarza dane osobowe, obowiązki z RODO i AI Act nakładają się. Organizacja musi prowadzić dokumentację dla obu reżimów jednocześnie. To nie jest odległa przyszłość – to stan obecny.

Podmioty finansowe muszą uwzględnić również DORA (Rozporządzenie UE 2022/2554, stosowane od 17 stycznia 2025 r.). DORA wymaga zarządzania ryzykiem ICT i raportowania incydentów do KNF. Incydent ICT często jest jednocześnie naruszeniem ochrony danych w rozumieniu RODO. Brak skoordynowanej procedury reagowania na incydenty to podwójne ryzyko regulacyjne.

Dla firm prowadzących działalność w obszarze własności intelektualnej lub technologii – w tym tych, które szukają ochrony IP na rynkach zagranicznych – warto zapoznać się z naszym materiałem o strategii ochrony IP dla firm technologicznych wchodzących na rynek polski. Compliance RODO i ochrona IP często idą w parze przy ekspansji transgranicznej.

Co zrobić natychmiast? Trzy działania w ciągu 30 dni:

• Zweryfikuj RCP – czy obejmuje wszystkie systemy i podwykonawców aktywnych dziś?
• Przejrzyj umowy powierzenia z dostawcami IT, HR i marketingowymi
• Sprawdź, czy procedura DSAR (odpowiedź na żądanie w 30 dni) jest wdrożona i testowana

Firmy, które prowadzą dochodzenia wewnętrzne lub zarządzają incydentami bezpieczeństwa, powinny zapoznać się z naszym przewodnikiem po metodologii dochodzeń wewnętrznych dla polskich spółek. Naruszenie RODO często wychodzi na jaw właśnie podczas takiego dochodzenia.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu RODO przed kontrolą UODO niż reagowanie na wezwanie. Koszty prewencji są wielokrotnie niższe niż koszty postępowania administracyjnego.

Firmy technologiczne działające na rynkach Europy Środkowej – w tym na Węgrzech – znajdą dodatkowe wskazówki w materiale o strategii IP dla firm z Węgier operujących w Polsce. Transgraniczne przetwarzanie danych wymaga koordynacji compliance w każdej jurysdykcji.

Konkretna sytuacja Państwa firmy może wymagać natychmiastowej reakcji. Luki RODO wykryte przez UODO podczas kontroli prowadzą do nieodwracalnych konsekwencji – postępowania administracyjnego, kary finansowej i obowiązku publicznego ujawnienia naruszenia.

Jeśli Państwa spółka nie przeprowadzała audytu RODO w ciągu ostatnich 12 miesięcy lub wdraża systemy AI albo narzędzia ICT objęte DORA – przeprowadzimy przegląd dokumentacji, mapowanie luk i plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Jak często polska firma powinna przeprowadzać audyt RODO?

O: Rozporządzenie UE 2016/679 nie określa sztywnej częstotliwości. W praktyce audyt powinien odbywać się co najmniej raz w roku oraz każdorazowo przy istotnej zmianie procesów przetwarzania – wdrożeniu nowego systemu IT, zmianie podwykonawców lub rozszerzeniu działalności. Firmy objęte DORA powinny synchronizować audyt RODO z przeglądem ryzyka ICT.

P: Czy mała firma (poniżej 50 pracowników) musi prowadzić rejestr czynności przetwarzania?

O: Co do zasady artykuł 30 ustęp 5 Rozporządzenia UE 2016/679 przewiduje wyjątek dla podmiotów zatrudniających mniej niż 250 osób – ale tylko jeśli przetwarzanie nie jest regularne, nie dotyczy szczególnych kategorii danych i nie stwarza ryzyka dla praw osób fizycznych. W praktyce większość firm IT, e-commerce i pracodawców nie spełnia warunków tego wyjątku. Bezpieczniej jest prowadzić rejestr.

P: Ile czasu ma firma na odpowiedź na żądanie osoby, której dane dotyczą?

O: Zgodnie z artykułem 12 ustęp 3 Rozporządzenia UE 2016/679 termin wynosi 30 dni od otrzymania żądania. W uzasadnionych przypadkach można go przedłużyć o kolejne 60 dni, informując o tym osobę przed upływem pierwszego terminu. Brak odpowiedzi w terminie jest samodzielną podstawą do złożenia skargi do UODO.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance RODO, AI Act, DORA oraz ochrony danych osobowych w środowiskach technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.