RODO w małej firmie - jak przygotować firmę do audytu prywatności - hero image

RODO w małej firmie – jak przygotować firmę do audytu prywatności

Czym jest audyt prywatności i kiedy go zrobić?

Audyt prywatności w obszarze RODO w małej firmie to uporządkowane sprawdzenie dokumentów, procesów i praktyki przetwarzania danych, charakteryzujące się mapą procesów, oceną podstaw prawnych i kontrolą zabezpieczeń. Punktem odniesienia są RODO, UODO i EUR-Lex; rozporządzenie 2016/679 ma 99 artykułów, a przy naruszeniu art. 33 przewiduje termin 72 godzin na zgłoszenie do organu, jeżeli naruszenie może powodować ryzyko dla praw lub wolności osób fizycznych (źródło: EUR-Lex, 2016; UODO, 2026).

„Administrator odpowiada za zgodność z zasadami przetwarzania i musi móc ją wykazać.” – RODO, art. 5 ust. 2, 2016

Czy mała firma potrzebuje audytu RODO?

Tak, jeżeli przetwarzanie danych nie jest incydentalne. Sklep internetowy, gabinet usługowy, biuro projektowe, agencja marketingowa, kancelaria, firma remontowa z bazą klientów albo spółka zatrudniająca pracowników zwykle przetwarzają dane stale. Zasada rozliczalności oznacza, że przedsiębiorca powinien umieć pokazać, dlaczego zbiera dane, komu je przekazuje, jak długo je trzyma i jak reaguje na wniosek klienta.

  • Nowy sklep internetowy – audyt powinien objąć formularz zamówienia, płatności, firmę kurierską, faktury, konto klienta i retencję historii zakupów.
  • Wdrożenie CRM – Pipedrive, HubSpot, Livespace lub podobny system wymaga sprawdzenia ról użytkowników, eksportów danych i umowy powierzenia.
  • Newsletter – MailerLite, GetResponse lub FreshMail oznacza weryfikację zgód marketingowych, źródła zapisu i mechanizmu wypisu.
  • Monitoring w biurze lub magazynie – kamery wymagają celu, oznaczeń, retencji nagrań i ograniczenia dostępu do plików.
  • Zatrudnienie pracowników – kadry oznaczają dane z Kodeksu pracy, akta osobowe, badania medycyny pracy i upoważnienia.
  • Skarga klienta lub incydent – po wysłaniu faktury do złego adresata trzeba sprawdzić procedurę naruszeń, nie tylko przeprosić odbiorcę.

Kiedy audyt jest praktycznie konieczny?

Audyt należy wykonać przed istotną zmianą, a nie dopiero po problemie. Przykład: firma wprowadza formularz leadowy na stronie i przekazuje dane handlowcowi, agencji reklamowej oraz systemowi mailingowemu. Jeden formularz tworzy co najmniej 3 procesy: obsługę zapytania, marketing własny i analitykę. Jeżeli klauzula informacyjna mówi tylko o kontakcie, a dane trafiają także do kampanii remarketingowej, dokumentacja nie odpowiada praktyce.

Czy audyt musi być bardzo formalny?

Nie zawsze. Mikrofirmie często wystarczy zwięzła tabela, lista ryzyk, potwierdzenia od dostawców i plan poprawek. Formalność rośnie, gdy pojawiają się dane szczególnej kategorii z art. 9 RODO, monitoring, windykacja, profilowanie, transfer poza EOG albo spór z klientem. Treść tego artykułu nie zastępuje konsultacji z prawnikiem, zwłaszcza przy kontroli UODO, reklamacji, sporze pracowniczym albo naruszeniu ochrony danych.

Rodzaj audytu Co sprawdza Przykład w małej firmie
Prawny Podstawy z art. 6 RODO, klauzule informacyjne, zgody, umowy powierzenia. Polityka prywatności nie obejmuje newslettera i remarketingu.
Organizacyjny Role pracowników, upoważnienia, retencję danych, procedury wniosków i incydentów. Były pracownik nadal ma dostęp do skrzynki firmowej i CRM.
Techniczny Hasła, MFA, kopie zapasowe, szyfrowanie, logi i dostęp administratorów. Jedno konto administratora w Google Workspace jest używane przez 3 osoby.

Lista danych i procesów do sprawdzenia

Mapa procesów danych to praktyczny wykaz czynności, w których firma zbiera, wykorzystuje, przekazuje, archiwizuje albo usuwa dane osobowe. W małej firmie powinna łączyć opis biznesowy z wymaganiami RODO: cel, zakres danych, podstawę prawną, odbiorców, system, okres przechowywania i osobę odpowiedzialną.

Od czego zacząć audyt RODO?

Dowiedz się więcejPublikacja wizerunku pracownika - jak przygotować firmę do audytu prywatności

Najpierw trzeba wypisać kategorie osób, a dopiero potem dokumenty. Z praktyki redakcyjno-prawnej wynika, że wiele firm zaczyna od kopiowania polityki prywatności, choć nie wie jeszcze, jakie dane faktycznie zbiera. Lepszy początek to rozmowa z właścicielem, księgowością, sprzedażą, marketingiem i osobą obsługującą stronę internetową.

  • Klienci – proces obejmuje zapytania, zamówienia, reklamacje, faktury, historię kontaktu i ewentualne dochodzenie roszczeń.
  • Leady sprzedażowe – proces obejmuje formularz, telefon, e-mail, źródło kontaktu, zgodę na komunikację i termin usunięcia.
  • Pracownicy – proces obejmuje dokumentację kadrową, listy płac, badania lekarskie, szkolenia BHP i dostęp do systemów.
  • Kandydaci do pracy – proces obejmuje CV, korespondencję, zgodę na przyszłe rekrutacje i usunięcie po zakończeniu naboru.
  • Kontrahenci B2B – proces obejmuje dane osób kontaktowych, pełnomocników, członków zarządu i podpisujących umowy.
  • Użytkownicy strony – proces obejmuje adresy IP, cookies, formularze, logi serwera, analitykę i narzędzia reklamowe.

Jakie dane wpisać do mapy procesów?

Dla każdego procesu należy wpisać minimum: cel, podstawę prawną, zakres danych, system, odbiorców, osobę odpowiedzialną, termin retencji i ryzyka. Przykład: reklamacja klienta może obejmować imię, nazwisko, adres, numer zamówienia, opis wady, zdjęcia produktu i korespondencję. Cel to obsługa reklamacji, podstawa może wynikać z obowiązku prawnego lub umowy, a retencja bywa powiązana z terminami roszczeń.

Przy procesach ryzykownych opis powinien być dokładniejszy. Dotyczy to marketingu mailowego, monitoringu, windykacji, kopii dokumentów tożsamości, danych zdrowotnych pracowników i plików przesyłanych przez klientów. Jeżeli firma prowadzi równolegle sprzedaż, newsletter, rekrutację i monitoring, jedna ogólna klauzula informacyjna nie wystarczy.

Czy Excel wystarczy do rejestru czynności?

Excel, Google Sheets albo prosty arkusz w Microsoft 365 może wystarczyć, jeżeli tabela jest aktualna, dostęp kontrolowany, a wpisy konkretne. Rejestr czynności przetwarzania z art. 30 RODO nie zawsze musi mieć formę rozbudowanego systemu. Trzeba jednak pamiętać, że wyjątek dla podmiotów zatrudniających mniej niż 250 osób nie działa automatycznie, gdy przetwarzanie nie jest sporadyczne, obejmuje szczególne kategorie danych albo może powodować ryzyko dla osób (źródło: RODO, art. 30; UODO, 2026).

Praktyczny arkusz audytowy ma zwykle 10-15 kolumn i powinien być aktualizowany co najmniej raz w roku oraz po zmianie narzędzia. W publikacji firmowej można połączyć go z checklistą procedura RODO krok po kroku, aby właściciel widział nie tylko braki, ale też kolejność działań.

Podstawy prawne, informacje i zgody

Legalność przetwarzania to zgodność konkretnej czynności z jedną podstawą z art. 6 RODO, a przy danych szczególnej kategorii także z wyjątkiem z art. 9 RODO. Audyt nie powinien kończyć się stwierdzeniem „mamy zgodę”, bo zgoda jest tylko jedną z podstaw i często bywa używana błędnie.

Jak sprawdzić podstawy prawne z art. 6 RODO?

Każdy proces powinien mieć przypisaną jedną dominującą podstawę. Sprzedaż produktu zwykle opiera się na wykonaniu umowy. Faktury i dokumentacja podatkowa wynikają z obowiązku prawnego. Dochodzenie roszczeń może opierać się na prawnie uzasadnionym interesie. Newsletter marketingowy często wymaga zgody na komunikację elektroniczną, a sama analiza RODO nie zamyka tematu, bo wchodzi także Prawo komunikacji elektronicznej z 12 lipca 2024 r. (Dz.U. 2024 poz. 1221).

Podstawa Kiedy pasuje Typowy błąd
Umowa Realizacja zamówienia, usługi, reklamacji związanej z kontraktem. Dodanie marketingu do tej samej podstawy bez osobnej analizy.
Obowiązek prawny Faktury, podatki, dokumentacja pracownicza i obowiązki księgowe. Trzymanie danych dłużej niż wymaga tego cel i przepisy.
Zgoda Dobrowolny newsletter, przyszła rekrutacja, niektóre działania marketingowe. Jeden checkbox dla regulaminu, RODO i marketingu jednocześnie.
Uzasadniony interes Obrona roszczeń, podstawowa analityka, bezpieczeństwo, kontakt B2B. Brak testu równowagi i informacji o prawie sprzeciwu.

Kiedy zgoda jest wadliwa?

Zgoda jest wadliwa, gdy nie jest dobrowolna, konkretna, świadoma i możliwa do wycofania równie łatwo, jak została udzielona. Błąd pojawia się przy domyślnie zaznaczonych checkboxach, zgodzie ukrytej w regulaminie, braku daty zapisu albo braku wersji treści zgody. Przy audycie trzeba sprawdzić nie tylko aktualny formularz, ale też historię zgód w CRM i systemie mailingowym.

  • Checkbox newslettera – powinien być oddzielony od akceptacji regulaminu i nie może być zaznaczony z góry.
  • Data zgody – system powinien zapisywać dzień, godzinę, adres formularza i wersję komunikatu zgody.
  • Źródło zgody – baza z targów, webinaru lub konkursu wymaga udokumentowania, skąd pochodzi kontakt.
  • Wycofanie zgody – link wypisu lub procedura rezygnacji musi działać bez zbędnych przeszkód.
  • Komunikacja elektroniczna – e-mail, SMS i telefon marketingowy wymagają sprawdzenia przepisów poza samym RODO.

Czy uzasadniony interes trzeba dokumentować?

Tak, zwłaszcza gdy firma opiera na nim marketing, monitoring, dochodzenie roszczeń albo bezpieczeństwo systemów. Test równowagi powinien pokazać interes administratora danych, wpływ na osobę, możliwe sprzeciwy i środki ograniczające ingerencję. W klauzuli informacyjnej trzeba jasno napisać, jaki interes realizuje firma i że osoba ma prawo wnieść sprzeciw.

Przykład: sklep chce wysyłać klientom przypomnienia o podobnych produktach po zakupie. Audyt powinien rozdzielić podstawę przetwarzania danych klienta, zgodę na kanał komunikacji oraz informację o prawie sprzeciwu. Przy wątpliwościach pomocny będzie osobny opis zgoda RODO w firmie, bo zgody marketingowe są jednym z najczęściej kwestionowanych elementów dokumentacji.

Dostawcy, bezpieczeństwo i incydenty

Dostawcy w audycie RODO to podmioty, które mają dostęp do danych firmy albo przetwarzają je w jej imieniu, charakteryzujące się wpływem na poufność, dostępność i rozliczalność danych. W małej firmie najczęściej są to biuro rachunkowe, hosting, poczta, CRM, system fakturowy, agencja marketingowa i firma IT.

„Podmiot przetwarzający powinien zapewniać wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych.” – UODO, omówienie art. 28 RODO, dostęp 2026

Jak audytować dostawców w małej firmie?

Najpierw trzeba ustalić, czy dostawca jest odrębnym administratorem, podmiotem przetwarzającym czy tylko odbiorcą danych. Biuro rachunkowe, hosting i system CRM często wymagają umowy powierzenia z art. 28 RODO. Kancelaria prawna w konkretnej sprawie może działać jako odrębny administrator, a nie procesor, dlatego automatyczne wysyłanie wszystkim jednego wzoru umowy bywa błędem.

  • Biuro rachunkowe – należy sprawdzić umowę, zakres danych pracowników i klientów oraz kanał przekazywania dokumentów.
  • Hosting strony – należy sprawdzić lokalizację serwerów, logi, backupy i dostęp administratorów technicznych.
  • Poczta firmowa – Google Workspace lub Microsoft 365 wymagają kontroli kont, MFA, aliasów i retencji skrzynek.
  • CRM – należy sprawdzić role użytkowników, eksporty CSV, integracje z formularzami i usuwanie leadów.
  • Agencja marketingowa – należy ustalić, czy widzi bazę klientów, piksele reklamowe, listy odbiorców i panel newslettera.
  • System fakturowy – inFakt, Fakturownia lub Comarch ERP Optima wymagają kontroli kont, uprawnień i historii zmian.

Jeżeli umowy nie ma, trzeba przygotować lub zaktualizować dokument umowa powierzenia danych. Umowa powinna określać przedmiot, czas trwania, charakter, cel przetwarzania, rodzaj danych, kategorie osób oraz obowiązki i prawa administratora.

Jakie zabezpieczenia są absolutnym minimum?

Minimum organizacyjne i techniczne zależy od ryzyka, ale kilka elementów powinno pojawić się niemal zawsze. Unikalne konta dla pracowników, hasła o długości co najmniej 12 znaków, MFA dla poczty i paneli administratora, zasada najmniejszych uprawnień, kopie zapasowe oraz szybkie odbieranie dostępów po zakończeniu współpracy to praktyczny standard. Art. 32 RODO nie daje jednej listy narzędzi, lecz wymaga środków odpowiednich do ryzyka.

Przykład: firma ma 8 pracowników, jedną skrzynkę „biuro@”, wspólny login do sklepu i kopie faktur na prywatnym Dysku Google właściciela. Taki model utrudnia ustalenie, kto pobrał plik, kto wysłał dane i kto powinien stracić dostęp po odejściu z pracy. Audyt powinien zamienić wspólne konta na konta imienne, włączyć MFA i ustalić cykl przeglądu uprawnień, na przykład co 3 miesiące.

Czy każdy incydent trzeba zgłaszać do UODO?

Nie każdy, ale każdy trzeba ocenić i udokumentować. Zgodnie z art. 33 RODO naruszenie zgłasza się bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu, chyba że jest mało prawdopodobne, aby skutkowało ryzykiem naruszenia praw lub wolności osób. Jeżeli ryzyko jest wysokie, może dojść także obowiązek zawiadomienia osób, których dane dotyczą (źródło: RODO, art. 33-34; UODO, 2026).

Przykład: wysłanie newslettera z widocznymi adresami 240 odbiorców w polu DW może wymagać analizy ryzyka, wpisu do rejestru naruszeń, a czasem zgłoszenia do UODO. Zagubienie zaszyfrowanego laptopa z włączonym BitLockerem, silnym hasłem i bez ujawnienia klucza może mieć inny poziom ryzyka. Przy skardze lub kontroli UODO pomocny będzie materiał skarga lub kontrola UODO, ale w konkretnej sprawie warto skonsultować ocenę z prawnikiem.

Raport z audytu i plan naprawczy

Raport z audytu RODO to dokument podsumowujący ustalenia, ryzyka, dowody i zalecenia, charakteryzujący się przypisaniem odpowiedzialnych osób, terminów oraz mierzalnych kryteriów wykonania. Nie powinien być zbiorem ogólnych haseł, lecz listą decyzji, które właściciel firmy może wdrożyć.

Jak powinien wyglądać raport z audytu RODO?

Raport powinien łączyć opis stanu faktycznego z oceną ryzyka. Jeżeli audyt wykazał brak klauzuli dla kandydatów do pracy, dowodem będzie zrzut formularza rekrutacyjnego, treść ogłoszenia i brak informacji w stopce. Jeżeli problemem jest dostęp byłego pracownika do Microsoft 365, dowodem będzie lista aktywnych kont i data rozwiązania umowy.

  • Ustalenie – raport powinien wskazywać konkretny brak, na przykład „brak umowy powierzenia z hostingiem”.
  • Ryzyko – raport powinien określać skutek, na przykład brak kontroli nad procesorem lub utrudnione wykazanie zgodności.
  • Dowód – raport powinien zawierać zrzut ekranu, kopię formularza, listę dostawców albo numer umowy.
  • Właściciel zadania – raport powinien przypisać odpowiedzialność konkretnej funkcji, na przykład właściciel, księgowość, IT albo marketing.
  • Termin – raport powinien podawać datę, a nie ogólną deklarację „do poprawy”.
  • Dowód wykonania – raport powinien wymagać potwierdzenia, na przykład podpisanej umowy, nowej klauzuli lub logu szkolenia.

Jak ustalać priorytety poprawek?

Mała firma nie powinna poprawiać wszystkiego jednocześnie. Priorytet wysoki mają braki podstawy prawnej, wycieki danych, brak umów powierzenia przy realnym dostępie do danych, wadliwe zgody marketingowe i brak procedury naruszeń. Priorytet średni mogą mieć nieaktualne klauzule, zbyt szerokie uprawnienia albo brak cyklicznego przeglądu dostawców. Priorytet niski obejmuje porządkowanie nazewnictwa dokumentów lub kosmetyczne zmiany w polityce prywatności.

Termin Zakres prac Przykład zadania
30 dni Ryzyka wysokie i braki blokujące rozliczalność. Zawarcie umowy powierzenia z hostingiem i wyłączenie kont byłych pracowników.
60 dni Dokumenty, klauzule, rejestr czynności i zgody. Aktualizacja polityki prywatności oraz testu równowagi dla monitoringu.
90 dni Szkolenia, przeglądy cykliczne i porządkowanie systemów. Szkolenie zespołu, test procedury naruszeń i audyt uprawnień w CRM.

Kiedy audyt wymaga pomocy zewnętrznej?

Pomoc prawnika, IOD lub specjalisty IT jest wskazana, gdy firma przetwarza dane zdrowotne, prowadzi monitoring na większą skalę, wykonuje intensywny marketing, korzysta z transferów poza EOG, ma spór z pracownikiem albo otrzymała pismo od UODO. Prawnik ocenia podstawy prawne, klauzule, umowy i ryzyka odpowiedzialności. IOD pomaga przy stałym nadzorze, konflikcie interesów i procedurach. Specjalista IT sprawdza logi, kopie zapasowe, konfigurację MFA, szyfrowanie i podatności.

Po wdrożeniu poprawek trzeba zachować dowody: nowe procedury, potwierdzenia od dostawców, zrzuty formularzy, listy obecności ze szkoleń i daty przeglądów. Dla publikacji na stronie można przygotować dane strukturalne Article, FAQPage, HowTo, LegalService i BreadcrumbList, ale schema markup nie naprawi braków w realnym procesie. Najpierw zgodność, potem techniczne oznaczenia SEO.

Najczęściej zadawane pytania

Czy audyt RODO w małej firmie jest obowiązkowy?

RODO nie nakazuje każdej małej firmie cyklicznego audytu wprost. W praktyce audyt pomaga wykazać rozliczalność, czyli zdolność pokazania, że firma działa legalnie i kontroluje ryzyka. Przy stałym przetwarzaniu danych klientów, pracowników lub leadów brak audytu zwiększa ryzyko błędów dokumentacyjnych i organizacyjnych.

Jak często robić audyt prywatności?

Rozsądne minimum to raz w roku oraz po istotnej zmianie, na przykład wdrożeniu CRM, newslettera, monitoringu, nowego hostingu albo agencji marketingowej. Przy większym ryzyku przegląd powinien być częstszy, na przykład co 6 miesięcy. Po incydencie audyt powinien objąć nie tylko skutek, ale też przyczynę naruszenia.

Czy rejestr czynności przetwarzania jest potrzebny w mikrofirmie?

Często tak, jeżeli przetwarzanie nie jest sporadyczne albo obejmuje dane pracowników, klientów, użytkowników strony, reklamacje lub działania marketingowe. Sam fakt zatrudniania mniej niż 250 osób nie zawsze zwalnia z obowiązku z art. 30 RODO. Nawet gdy formalny obowiązek jest dyskusyjny, prosty rejestr pomaga wykazać porządek w danych.

Co jest największym błędem podczas audytu RODO?

Najczęściej problemem jest rozbieżność między dokumentami a praktyką. Firma ma politykę prywatności, ale faktycznie zbiera inne dane, przekazuje je innym dostawcom albo przechowuje je dłużej, niż wynika z dokumentów. Audyt powinien więc sprawdzać formularze, systemy, umowy i konta użytkowników, a nie tylko treść plików PDF.

Czy audyt może wykonać pracownik firmy?

Może, jeżeli ma wiedzę, dostęp do informacji i wystarczającą niezależność organizacyjną. Przy prostych procesach wewnętrzna checklista bywa wystarczająca. Przy sporze, danych wrażliwych, kontroli UODO, transferach poza EOG lub większym marketingu bezpieczniej zaangażować prawnika, IOD albo specjalistę IT.

Co powinien zawierać plan naprawczy po audycie?

Plan naprawczy powinien wskazywać konkretny brak, poziom ryzyka, osobę odpowiedzialną, termin i dowód wykonania. Ogólne sformułowanie „poprawić RODO” nie wystarcza, bo nie pokazuje, co ma się zmienić. Dobre zadanie brzmi: „do 30 czerwca podpisać umowę powierzenia z dostawcą hostingu i zapisać ją w rejestrze dostawców”.

Źródła i literatura

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, RODO, EUR-Lex, w szczególności art. 5, 6, 9, 12, 13, 14, 28, 30, 32, 33 i 34: https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=pl.
  2. UODO, Rejestr czynności przetwarzania na podstawie art. 30 RODO, dostęp 2026: https://uodo.gov.pl/pl/676/4244.
  3. UODO, Obowiązki administratora i podmiotu przetwarzającego, w tym art. 28 RODO, dostęp 2026: https://uodo.gov.pl/pl/676/4258.
  4. UODO, Zgłaszanie naruszeń ochrony danych osobowych i termin 72 godzin, dostęp 2026: https://uodo.gov.pl/pl/525/2584.
  5. Ustawa z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, Dz.U. 2024 poz. 1221, w zakresie komunikacji marketingowej: https://eli.gov.pl/eli/DU/2024/1221/ogl/pol.

Powiązane wpisy:

  1. Publikacja wizerunku pracownika – jak przygotować firmę do audytu prywatności
  2. RODO w małej firmie – jak wdrożyć procedurę krok po kroku
  3. Publikacja wizerunku pracownika – jak wdrożyć procedurę krok po kroku
Podziel się swoją opinią
admin
admin
Artykuły: 143

Podobne wpisy