Audyt RODO – najczęstsze luki compliance w polskich firmach

Firma IT z Mazowsza zatrudniająca 120 osób była przekonana, że ma RODO pod kontrolą. Posiadała politykę prywatności, klauzule informacyjne i umowę z inspektorem ochrony danych. Audyt przeprowadzony przez nasz zespół ujawnił osiem krytycznych luk – w tym brak rejestru czynności przetwarzania i nielegalne przekazywanie danych do podmiotów trzecich. Ryzyko kary ze strony UODO sięgało kilku milionów złotych.

Audyt RODO (Rozporządzenie UE 2016/679) to systematyczna weryfikacja zgodności procesów przetwarzania danych osobowych z wymogami prawa. W polskich firmach najczęstsze luki dotyczą rejestru czynności przetwarzania, podstaw prawnych przetwarzania oraz umów powierzenia. UODO może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu rocznego.

Ten materiał opisuje anonimizowaną sprawę z naszej praktyki. Pokazuje, gdzie polskie firmy najczęściej tracą zgodność – i co można zrobić, zanim UODO zapuka do drzwi. Omawiamy tło sprawy, przyjętą strategię, przebieg audytu oraz wnioski, które mają zastosowanie w każdej organizacji przetwarzającej dane osobowe.

Tło sprawy – jak wygląda typowa firma przed audytem RODO?

Klient to polska spółka z o.o. z sektora IT, działająca na rynku od siedmiu lat. Firma przetwarzała dane klientów, pracowników i podwykonawców. Posiadała dokumentację wdrożoną w 2018 roku – tuż po wejściu RODO w życie – której nikt od tamtej pory nie aktualizował. W praktyce wiele firm o tym zapomina: RODO to nie jednorazowe wdrożenie, lecz ciągły proces.

Impulsem do audytu była zmiana modelu biznesowego. Firma zaczęła korzystać z narzędzi SaaS od dostawców spoza Europejskiego Obszaru Gospodarczego. Dział prawny – w ramach przygotowań do wdrożenia DORA (Rozporządzenie UE 2022/2554) – zidentyfikował potencjalne ryzyko związane z przepływem danych. Zlecono nam pełny audyt RODO zgodności. Termin realizacji: 30 dni roboczych.

Już podczas pierwszego spotkania z zarządem okazało się, że spółka nie prowadziła rejestru czynności przetwarzania (RCP) od ponad trzech lat. Dokumentacja nie uwzględniała nowych procesów: rekrutacji online, monitoringu e-mail pracowników ani profilowania klientów w systemie CRM. To typowy obraz polskiej firmy średniej wielkości.

Jakie luki compliance ujawnił audyt RODO?

Audyt objął pięć obszarów: dokumentację, podstawy prawne przetwarzania, umowy z podmiotami przetwarzającymi, przekazywanie danych poza EOG oraz procedury obsługi praw osób fizycznych. Każdy obszar wykazał nieprawidłowości. Łącznie zidentyfikowaliśmy jedenaście luk – osiem o charakterze krytycznym.

Najpoważniejsze problemy dotyczyły trzech kwestii. Po pierwsze, firma korzystała z narzędzia do analizy zachowań użytkowników hostowanego na serwerach w USA – bez ważnych standardowych klauzul umownych (SCC) wymaganych po wyroku Schrems II. Po drugie, umowy powierzenia przetwarzania z czterema podwykonawcami były niezgodne z art. 28 RODO – brakowało w nich kluczowych postanowień dotyczących podpowierzenia. Po trzecie, klauzule informacyjne dla pracowników nie obejmowały monitoringu służbowej poczty elektronicznej, który firma prowadziła od 18 miesięcy.

Wśród pozostałych luk znalazły się:

• brak oceny skutków dla ochrony danych (DPIA) dla systemu profilowania klientów
• nieaktualne zapisy w RCP – nieodzwierciedlające rzeczywistych procesów przetwarzania
• brak procedury reagowania na naruszenia ochrony danych w terminie 72 godzin wymaganym przez RODO
• niespójne okresy retencji danych w różnych systemach IT

Firma korzystała jednocześnie z narzędzi objętych zakresem AI Act (Rozporządzenie UE 2024/1689) – systemu rekomendacyjnego klasyfikowanego jako system wysokiego ryzyka w obszarze HR. Zgodnie z klasyfikacją systemów wysokiego ryzyka w AI Act, takie narzędzia wymagają dodatkowej oceny zgodności. Ta kwestia wykraczała poza zakres audytu RODO, ale wymagała osobnych działań.

Jak wyglądał przebieg naprawy i jakie były efekty?

Po dostarczeniu raportu audytowego ustaliliśmy z klientem plan naprawczy podzielony na trzy fazy. Faza pierwsza – działania natychmiastowe w ciągu 14 dni – obejmowała zawieszenie transferu danych do narzędzia w USA do czasu podpisania ważnych SCC oraz aktualizację klauzul informacyjnych dla pracowników. Obie kwestie były krytyczne z punktu widzenia potencjalnej odpowiedzialności.

Faza druga – 30 dni – dotyczyła przebudowy RCP, aktualizacji umów powierzenia i wdrożenia procedury 72-godzinnego zgłaszania naruszeń do UODO. Faza trzecia – 60 dni – obejmowała przeprowadzenie DPIA dla systemu CRM, ujednolicenie polityki retencji danych oraz szkolenie 45 pracowników z działów HR, IT i sprzedaży. Łączny koszt projektu naprawczego wyniósł mniej niż 1% potencjalnej kary.

Firma z Małopolski o podobnym profilu, z którą pracowaliśmy jesienią 2024 roku, zakończyła analogiczny projekt w 45 dni. Tam kluczowym problemem były umowy z agencjami marketingowymi – żadna z nich nie zawierała klauzul dotyczących podpowierzenia danych. Ryzyko zostało usunięte przed planowaną kontrolą sektorową KNF dotyczącą zgodności z DORA.

Dla firm z sektora technologicznego posiadających własność intelektualną warto przy okazji audytu RODO sprawdzić, czy dane osobowe nie są powiązane z aktywami IP. Kwestie te mogą się krzyżować – szczególnie przy projektach z udziałem zagranicznych partnerów, co opisujemy w kontekście ochrony IP dla firm technologicznych działających w Polsce.

Jakie wnioski mają zastosowanie w każdej polskiej firmie?

Audyt RODO to nie przegląd dokumentów. To weryfikacja rzeczywistych procesów przetwarzania danych – od rekrutacji przez obsługę klienta po zarządzanie podwykonawcami. Dokumentacja z 2018 roku jest dziś niewystarczająca w każdej firmie, która choć raz zmieniła narzędzia IT, model biznesowy lub strukturę zatrudnienia.

Co przygotować przed audytem RODO? Oto lista kontrolna:

• aktualny rejestr czynności przetwarzania (RCP) – wszystkie procesy, nie tylko te oczywiste
• umowy powierzenia przetwarzania z każdym podmiotem zewnętrznym otrzymującym dane osobowe
• dokumentacja transferów danych poza EOG – SCC lub inne mechanizmy z art. 46 RODO
• procedura obsługi naruszeń ochrony danych z terminem 72 godzin
• aktualne klauzule informacyjne – obejmujące wszystkie rzeczywiste procesy przetwarzania

Firmy planujące inwestycje w nieruchomości lub zmiany struktury własnościowej powinny pamiętać, że due diligence RODO jest coraz częściej elementem transakcji. Zagadnienie to pojawia się również przy nabywaniu nieruchomości w Polsce, gdy transakcja angażuje dane osobowe beneficjentów rzeczywistych wpisanych do CRBR.

Uważamy, że bezpieczniejszym rozwiązaniem jest audyt prewencyjny niż reaktywna naprawa po zawiadomieniu UODO. Postępowanie przed UODO trwa średnio od 12 do 24 miesięcy i generuje koszty prawne wielokrotnie wyższe niż koszt audytu. Odpowiedzialność zarządu za brak zgodności z RODO jest osobista – i nieodwracalna w przypadku nałożenia kary.

Konkretna sytuacja Państwa firmy może się różnić od opisanego przypadku. Luki compliance mają charakter indywidualny – zależą od branży, skali przetwarzania i stosowanych narzędzi. Brak działania dziś może zamknąć drogę do obrony w przyszłym postępowaniu przed UODO.

Jeśli Państwa spółka przetwarza dane osobowe pracowników, klientów lub podwykonawców i nie przeprowadzała audytu RODO po 2021 roku – przeprowadzimy pełną weryfikację zgodności, zidentyfikujemy luki krytyczne i opracujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Jak długo trwa audyt RODO w średniej firmie?

O: Standardowy audyt RODO w firmie zatrudniającej 50–200 osób trwa od 15 do 30 dni roboczych. Czas zależy od liczby systemów IT, złożoności procesów przetwarzania i dostępności dokumentacji. Audyt kończy się raportem z oceną ryzyka i planem naprawczym z konkretnymi terminami realizacji.

P: Czy firma bez inspektora ochrony danych (IOD) musi przeprowadzać audyt RODO?

O: To częste nieporozumienie. Obowiązek zgodności z Rozporządzeniem UE 2016/679 spoczywa na administratorze danych niezależnie od tego, czy powołał inspektora ochrony danych. Brak IOD nie zwalnia z prowadzenia rejestru czynności przetwarzania ani z obowiązku zawarcia umów powierzenia. W wielu przypadkach brak IOD jest sam w sobie naruszeniem – dotyczy to firm przetwarzających dane na dużą skalę lub dane szczególnych kategorii.

P: Ile kosztuje audyt RODO i czy jest obowiązkowy?

O: Rozporządzenie UE 2016/679 nie nakazuje wprost przeprowadzania audytów w określonych odstępach czasu. Jednak zasada rozliczalności z artykułu 5 ustęp 2 RODO wymaga, by administrator był w stanie wykazać zgodność w każdym momencie. Audyt jest więc narzędziem realizacji tego obowiązku. Koszt audytu w firmie średniej wielkości jest wielokrotnie niższy od minimalnej kary nakładanej przez UODO w sprawach systemowych naruszeń.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, compliance technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.