Działamy globalnie na terenie całego świata
+48 601 211 238
biuro@doit.biz.pl

Audyt RODO krok po kroku — kompletny przewodnik dla organizacji

Spis treści:

Audyt RODO to dziś nie formalność, lecz realne narzędzie zarządzania ryzykiem. Z naszej praktyki jako Certyfikowanego Inspektora Ochrony Danych (członka GRAI przy Ministerstwie Cyfryzacji) wynika, że ponad 70% polskich organizacji, które zgłaszają się do nas po pierwszy audyt, funkcjonuje w przekonaniu o zgodności z RODO — tymczasem po kilku godzinach analizy okazuje się, że brakuje podstawowych elementów: aktualnego rejestru czynności, umów powierzenia z dostawcami chmury, a często nawet prawidłowo zbudowanej analizy podstaw prawnych. W niniejszym przewodniku przeprowadzimy Państwa krok po kroku przez pełen proces audytu zgodności z RODO, tak jak realizujemy go u naszych Klientów.

Niezależnie od tego, czy planują Państwo pierwszy audyt, czy odświeżenie dokumentacji po trzech latach od wdrożenia — poniższa instrukcja pozwoli zrozumieć, czego oczekiwać, jak się przygotować i jakie obszary są kluczowe dla realnego bezpieczeństwa danych osobowych. Na końcu znajdą Państwo sekcję FAQ oraz konkretne wskazówki, co zrobić, jeśli audyt wykryje nieprawidłowości.

Czym jest audyt RODO i dlaczego warto go przeprowadzić

Audyt RODO (zwany też audytem zgodności z ochroną danych osobowych) to ustrukturyzowana, niezależna weryfikacja tego, w jaki sposób Państwa organizacja przetwarza dane osobowe — w odniesieniu do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz ustawy o ochronie danych osobowych z 10 maja 2018 r. Celem audytu nie jest „zaliczenie kontroli”, ale uzyskanie realnego obrazu ryzyka i luk, zanim zrobi to Prezes UODO albo — co zdarza się coraz częściej — podmiot trzeci przeprowadzający audyt dostawcy w ramach procedur zakupowych.

W naszej codziennej pracy obserwujemy trzy główne powody, dla których polskie firmy decydują się na audyt RODO. Po pierwsze — wymóg kontrahenta, zwłaszcza gdy organizacja wchodzi do przetargu publicznego lub negocjuje umowę z dużą korporacją, która wymaga potwierdzenia zgodności. Po drugie — incydent lub skarga, które uświadamiają zarządowi, że dotychczasowa dokumentacja nie przystaje do rzeczywistości. Po trzecie — zmiana technologiczna: migracja do chmury, wdrożenie narzędzi AI, uruchomienie nowego systemu CRM. Każda z tych sytuacji wymaga aktualizacji mapy przetwarzania i ponownej oceny ryzyka.

Audyt RODO pozwala przede wszystkim uniknąć kar finansowych, które w 2025 r. w Polsce sięgnęły kilku milionów złotych dla największych naruszeń (szerzej piszemy o tym w artykule o karach RODO). Ale równie ważne są trzy inne efekty: udokumentowana rozliczalność wobec organu nadzorczego, uporządkowanie procesów wewnętrznych oraz budowa zaufania Klientów i partnerów biznesowych. To ostatnie staje się realnym argumentem sprzedażowym, zwłaszcza w branżach regulowanych — medycznej, finansowej, edukacyjnej i IT.

Krok 1. Przygotowanie audytu i mapowanie danych

Każdy audyt RODO zaczynamy od etapu, który w naszej metodologii nazywamy data discovery — czyli od odpowiedzi na pytanie: jakie dane osobowe, w jakich systemach i w jakim celu są przetwarzane w Państwa organizacji. Brzmi trywialnie, ale w praktyce jest to najbardziej pracochłonny i najbardziej odkrywczy etap całego procesu. Nasi audytorzy pracują wówczas bezpośrednio z właścicielami procesów biznesowych, a nie tylko z działem IT czy z zarządem.

Na tym etapie realizujemy kilka kluczowych działań. Po pierwsze — inwentaryzacja systemów przetwarzających dane osobowe: CRM, ERP, HR, system kadrowo-płacowy, poczta elektroniczna, narzędzia marketingowe, dyski sieciowe, pliki Excel na komputerach pracowników. Po drugie — identyfikacja kategorii osób, których dane dotyczą: pracownicy, kandydaci, Klienci, kontrahenci, osoby kontaktowe partnerów, użytkownicy strony, subskrybenci newslettera. Po trzecie — opis celów przetwarzania dla każdego systemu i każdej kategorii osób.

Efektem tego etapu jest mapa przetwarzania danych osobowych, która stanowi podstawę do budowy lub aktualizacji rejestru czynności przetwarzania. Z naszego doświadczenia wynika, że nawet organizacje liczące 20–50 osób odkrywają na tym etapie od 8 do 15 procesów przetwarzania, których wcześniej nie identyfikowały — najczęściej jest to nieautoryzowane użycie narzędzi SaaS (tzw. shadow IT), rekrutacje prowadzone na prywatnych skrzynkach mailowych, albo arkusze z danymi Klientów przechowywane poza oficjalnymi systemami.

Praktyczna wskazówka: przed wizytą audytora warto przygotować listę wszystkich subskrypcji SaaS opłacanych firmową kartą. To jeden z najszybszych sposobów wykrycia systemów, o których IT często nie wie. W naszych audytach regularnie znajdujemy w ten sposób narzędzia typu Asana, Monday, Notion, Slack, ChatGPT Team — używane przez pojedyncze działy bez świadomości, że przetwarzają w nich dane osobowe.

Krok 2. Analiza podstaw prawnych przetwarzania

Po zmapowaniu procesów przechodzimy do drugiego kroku: weryfikacji, na jakiej podstawie prawnej odbywa się każde przetwarzanie. Art. 6 ust. 1 RODO wymienia sześć podstaw (zgoda, umowa, obowiązek prawny, żywotne interesy, interes publiczny, uzasadniony interes administratora), a art. 9 dodaje szczególne warunki dla danych wrażliwych. W praktyce w polskich firmach 85–90% przetwarzań opiera się na trzech podstawach: umowie, obowiązku prawnym oraz uzasadnionym interesie.

Na tym etapie audytor sprawdza trzy rzeczy. Po pierwsze — czy deklarowana podstawa prawna faktycznie istnieje i jest właściwa. Przykład z naszej praktyki: firma deklaruje zgodę jako podstawę wysyłki newslettera do Klientów, ale nie potrafi wykazać, kiedy i w jaki sposób została ona udzielona. Po drugie — czy w przypadku uzasadnionego interesu został przeprowadzony test równowagi (LIA, Legitimate Interests Assessment), dokumentujący ważenie interesów administratora i osób, których dane dotyczą. Po trzecie — czy umowy i klauzule informacyjne odzwierciedlają rzeczywistą podstawę prawną.

Szczególnie istotnym elementem tego kroku jest przegląd umów powierzenia przetwarzania (art. 28 RODO). Każdy dostawca, który w Państwa imieniu przetwarza dane osobowe — od biura rachunkowego, przez hostingodawcę, po firmę sprzątającą mającą dostęp do biura — powinien mieć podpisaną aktualną umowę powierzenia. W polskich audytach najczęściej znajdujemy braki właśnie w tym obszarze: umowy sprzed 2018 r., umowy bez klauzul RODO, albo co gorsza — brak umowy z dostawcami chmurowymi spoza EOG.

Jeśli Państwa organizacja korzysta z Microsoft 365, Google Workspace, AWS, Azure czy Google Cloud — tematowi transferu danych do USA i mechanizmom Data Privacy Framework poświęciliśmy osobny, szczegółowy artykuł o RODO w chmurze.

Krok 3. Ocena środków technicznych i organizacyjnych

Trzeci krok audytu dotyczy tego, co najczęściej w pierwszej kolejności zainteresuje Prezesa UODO w razie kontroli: rzeczywistej skuteczności środków bezpieczeństwa. RODO nie wymaga konkretnych technologii, ale wymaga, by środki były „adekwatne do ryzyka”. Oznacza to, że audytor nie sprawdza wyłącznie obecności firewalla czy antywirusa, ale ocenia cały ekosystem: procesy, uprawnienia, szkolenia, politykę haseł, backupy, szyfrowanie, monitoring zdarzeń.

W naszej praktyce stosujemy listę kontrolną zawierającą ponad 80 punktów, podzielonych na dziewięć obszarów: kontrola dostępu fizycznego, uprawnienia logiczne, uwierzytelnianie i zarządzanie hasłami, szyfrowanie danych w spoczynku i w tranzycie, kopie zapasowe i odtwarzanie, zarządzanie incydentami, bezpieczeństwo stacji roboczych, bezpieczeństwo sieci i serwerów, a także ciągłość działania. Dla każdego punktu oceniamy trzy wymiary: czy środek istnieje, czy jest skutecznie wdrożony, czy jest udokumentowany.

Z naszych obserwacji z 2024 i 2025 r. wynika, że najczęściej zaniedbywane obszary w polskich organizacjach to: brak wieloskładnikowego uwierzytelniania (MFA) na kontach administratorów, brak segmentacji sieci pomiędzy systemami produkcyjnymi a siecią biurową, nieuporządkowane uprawnienia w udziałach plikowych (gdzie każdy ma dostęp do wszystkiego), brak procedury onboardingu i offboardingu pracowników uwzględniającej cofnięcie dostępu w dniu zakończenia umowy, oraz brak testowania kopii zapasowych (firmy mają backup, ale nigdy go nie przywracali).

Osobnym, coraz ważniejszym tematem są operacje o podwyższonym ryzyku, które wymagają przeprowadzenia oceny skutków dla ochrony danych. O tym, kiedy DPIA jest obowiązkowa i jak ją prawidłowo przeprowadzić, piszemy w osobnym przewodniku. Warto pamiętać, że w czasie audytu każde nowe wdrożenie z zakresu AI, monitoringu behawioralnego czy profilowania Klientów powinno zostać skonfrontowane z listą Prezesa UODO wymagającą DPIA.

Krok 4. Weryfikacja praw osób, których dane dotyczą

Czwarty krok koncentruje się na tym, jak w praktyce organizacja realizuje prawa osób, których dane dotyczą: prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia, sprzeciwu oraz prawo niepoddawania się decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu. Prezes UODO traktuje te obszary bardzo poważnie — większość kar nałożonych w ostatnich latach dotyczyła właśnie niewłaściwej realizacji żądań osób lub braku prawidłowej klauzuli informacyjnej.

Audytor sprawdza trzy warstwy. Pierwsza — klauzule informacyjne (art. 13 i 14 RODO): czy są kompletne, zrozumiałe, czy znajdują się w odpowiednich punktach styku (formularz kontaktowy, rekrutacja, podpis umowy, newsletter, monitoring wizyjny). Druga — procedura obsługi żądań: czy jest spisana, czy pracownicy wiedzą, jak reagować, w jakim terminie i do kogo przekazać zgłoszenie. Trzecia — dowody historyczne: czy organizacja prowadzi rejestr zrealizowanych żądań i czy można wykazać rozliczalność.

W naszej praktyce regularnie spotykamy się z sytuacją, w której pracownicy pierwszej linii kontaktu (recepcja, BOK, dział sprzedaży) nie wiedzą, jak rozpoznać żądanie RODO, albo uznają je za „skargę do przekazania prawnikom”. Tymczasem zegar 30-dniowy (z możliwością przedłużenia o kolejne 60 dni w szczególnych przypadkach) zaczyna tykać od momentu otrzymania żądania w dowolnej formie — telefonicznej, mailowej, listownej. W skrajnych przypadkach brak reakcji prowadzi do skarg i postępowania przed Prezesem UODO.

Krok 5. Raport z audytu i plan działań naprawczych

Ostatnim krokiem audytu RODO jest przygotowanie raportu końcowego i — co kluczowe — planu działań naprawczych. Sam raport bez planu to dokument, który trafia na półkę. Plan bez raportu — to działanie bez diagnozy. Dopiero połączenie obu elementów daje zarządowi realną podstawę do decyzji biznesowych.

Nasz raport audytowy zawiera zawsze pięć elementów: (1) streszczenie dla zarządu z oceną ogólnego poziomu zgodności w skali czterostopniowej (wysoki / średni / niski / krytyczny), (2) zestawienie zidentyfikowanych niezgodności z klasyfikacją ryzyka, (3) szczegółowy opis każdej niezgodności wraz z podstawą prawną i rekomendacją, (4) mapę procesów przetwarzania z oznaczeniem obszarów wymagających działania, oraz (5) harmonogram wdrożenia rekomendacji z podziałem na trzy horyzonty: działania natychmiastowe (do 14 dni), krótkoterminowe (do 60 dni) i średnioterminowe (do 6 miesięcy).

Jakie działania najczęściej trafiają do koszyka „natychmiastowe”? W 2025 r. były to przede wszystkim: podpisanie brakujących umów powierzenia, włączenie MFA dla administratorów, aktualizacja klauzul informacyjnych na stronie internetowej oraz wdrożenie procedury zgłaszania naruszeń zgodnej z 72-godzinnym terminem z art. 33 RODO. Krótkoterminowe — aktualizacja polityki bezpieczeństwa, przegląd uprawnień w systemach, szkolenie pracowników. Średnioterminowe — DPIA dla operacji wysokiego ryzyka, wdrożenie DLP, rewizja retencji danych.

Dla Klientów, którzy decydują się na dalszą współpracę, oferujemy kompletny proces wdrożenia RODO oparty bezpośrednio na raporcie z audytu — tak, aby nie zostawiać organizacji samej z listą rekomendacji. Koszt audytu i zakres oferty znajdą Państwo na stronie cennik RODO.

Najczęstsze błędy wykrywane podczas audytu RODO

Na podstawie kilkuset audytów zrealizowanych w ostatnich latach możemy wskazać pięć błędów, które powtarzają się u ponad połowy audytowanych organizacji. Dzielimy się nimi po to, aby mogli Państwo sprawdzić swoją organizację jeszcze przed rozpoczęciem formalnego audytu:

  • Nieaktualny rejestr czynności przetwarzania — dokument przygotowany kiedyś w 2018 r., nigdy nieaktualizowany mimo wdrożenia nowych systemów i narzędzi. To najszybciej wykrywany problem.
  • Brak umów powierzenia z kluczowymi dostawcami — szczególnie z biurami rachunkowymi, agencjami marketingowymi, firmami serwisującymi IT oraz dostawcami chmury.
  • Nadmiarowe uprawnienia w systemach — użytkownicy mają dostęp do zasobów, których nie potrzebują do wykonywania swoich obowiązków (naruszenie zasady minimalizacji i „need to know”).
  • Brak procedury obsługi naruszeń — organizacja nie wie, jak w ciągu 72 godzin zgłosić naruszenie do Prezesa UODO, kto jest odpowiedzialny, jak udokumentować zdarzenie.
  • Przetwarzanie bez właściwej klauzuli informacyjnej — zwłaszcza w rekrutacji, formularzach kontaktowych i monitoringu wizyjnym.

Warto zwrócić uwagę, że każdy z tych błędów sam w sobie może stanowić podstawę do kary finansowej. Dobra wiadomość — wszystkie są relatywnie łatwe do naprawienia, jeśli zidentyfikują je Państwo wcześnie. Zła wiadomość — jeśli wykryje je kontrola UODO, okoliczności łagodzące będą już ograniczone.

FAQ — najczęściej zadawane pytania

Ile trwa audyt RODO?
W przypadku małej lub średniej organizacji (do 50 pracowników) kompleksowy audyt zajmuje zwykle od 3 do 6 tygodni. Dla dużych organizacji z rozbudowaną infrastrukturą IT — od 2 do 4 miesięcy. W naszej praktyce sam etap pracy audytora to zwykle 30–60% całkowitego czasu; reszta to oczekiwanie na dokumenty i odpowiedzi właścicieli procesów.

Czy audyt RODO jest obowiązkowy?
RODO nie wprowadza formalnego obowiązku cyklicznego audytu. Jednak art. 24 i art. 32 RODO nakładają obowiązek wykazania rozliczalności i ciągłego doskonalenia środków ochrony. W praktyce oznacza to, że organizacja powinna okresowo weryfikować zgodność — a audyt jest najprostszym narzędziem do spełnienia tego wymogu.

Jak często powtarzać audyt?
Rekomendujemy pełny audyt raz na 2–3 lata oraz audyt wycinkowy (np. po wdrożeniu nowego systemu lub po incydencie) w razie potrzeby. Organizacje z branż regulowanych (finanse, zdrowie) powinny rozważyć cykl roczny.

Czy audyt może przeprowadzić wewnętrzny IOD?
Formalnie tak, ale w praktyce istnieje ryzyko konfliktu interesów, zwłaszcza gdy IOD był zaangażowany we wdrożenie sprawdzanych procesów. Dlatego wiele organizacji decyduje się na audyt zewnętrzny lub łączy role: wewnętrzny zespół zbiera dane, zewnętrzny audytor je ocenia. Rozwiązanie z zewnętrznym IOD łączy ciągłość nadzoru z niezależnością oceny.

Ile kosztuje audyt RODO?
W DOIT.BIZ audyt RODO rozpoczyna się od 1 200 zł netto dla małych organizacji i może sięgać kilkunastu tysięcy złotych dla dużych struktur z wieloma lokalizacjami. Szczegółowy zakres i orientacyjne ceny znajdą Państwo na stronie cennik RODO.

Podsumowanie

Audyt RODO to nie kontrola, której należy się bać — to narzędzie, które daje zarządowi realną wiedzę o ryzykach w obszarze ochrony danych i pozwala podejmować świadome decyzje. Pięć kroków opisanych powyżej (mapowanie, podstawy prawne, środki bezpieczeństwa, prawa osób, raport i plan) tworzy spójną metodykę, którą stosujemy w praktyce u naszych Klientów od ponad dekady.

Jeśli chcieliby Państwo porozmawiać o audycie RODO dla swojej organizacji — zapraszamy do kontaktu. Jako Certyfikowany Inspektor Ochrony Danych i członek Grupy Roboczej ds. Sztucznej Inteligencji przy Ministerstwie Cyfryzacji oferujemy audyty oparte na aktualnych wytycznych EROD, stanowiskach Prezesa UODO oraz realnych doświadczeniach z polskiego rynku. Dane kontaktowe: zakładka Kontakt, telefon +48 601 211 238, e-mail biuro@doit.biz.pl.

Audyt wewnętrzny czy zewnętrzny — jak wybrać właściwy model

Jedno z częstszych pytań, jakie otrzymujemy od Klientów rozważających pierwszy audyt, brzmi: czy lepszy jest audyt wewnętrzny czy zewnętrzny. Odpowiedź nigdy nie jest zero-jedynkowa — zależy od wielkości organizacji, dojrzałości procesów, branży oraz celu samego audytu. Pozwolą Państwo, że podzielę się z perspektywy praktyka, co w naszej opinii sprawdza się w polskich realiach.

Audyt wewnętrzny — realizowany przez własnego IOD lub zespół compliance — ma dwie wyraźne zalety. Po pierwsze, dostępna wiedza o procesach organizacyjnych: wewnętrzny zespół zna kontekst biznesowy, decyzje historyczne, nieformalne obiegi dokumentów. Po drugie, niższy koszt bezpośredni (chociaż nie zawsze niższy koszt całkowity, gdy uwzględnimy czas pracowników i ryzyko przeoczenia tematów).

Audyt zewnętrzny ma natomiast cztery przewagi, które w naszej opinii przeważają w większości przypadków. Po pierwsze — niezależność oceny, która daje zarządowi realny obraz, nieskażony wewnętrznymi zależnościami. Po drugie — benchmarking: zewnętrzny audytor widzi, jak wygląda to samo zagadnienie w dziesiątkach innych organizacji tej samej wielkości. Po trzecie — aktualna wiedza o wytycznych EROD, stanowiskach Prezesa UODO i najnowszych karach, co trudno utrzymać pracując wyłącznie w jednej firmie. Po czwarte — wartość dowodowa: raport od zewnętrznego podmiotu ma znacznie większe znaczenie w kontaktach z kontrahentami wymagającymi potwierdzenia zgodności.

W naszej praktyce rekomendujemy Klientom model hybrydowy: pierwszy audyt realizowany w całości przez zewnętrznego audytora (my lub inny niezależny podmiot), a następnie coroczne audyty wycinkowe prowadzone przez wewnętrznego IOD w oparciu o metodykę i listy kontrolne opracowane podczas audytu zerowego. Taki model łączy głębokość zewnętrznej oceny z efektywnością kosztową bieżącego nadzoru — i jednocześnie tworzy warunki do ciągłego doskonalenia, czego wymaga art. 24 RODO. Organizacje, które nie mają własnego IOD, mogą rozważyć współpracę w modelu zewnętrznego Inspektora Ochrony Danych, co daje ciągły nadzór bez konieczności zatrudniania pracownika na etacie.

Centrala - Poznań:

DOIT.BIZ sp. z o.o.
ul. Unii Lubelskiej 1
Poznań 61-249

Polska

biuro@doit.biz.pl
+48 601 211 238

Białystok Bydgoszcz Gdańsk Gorzów Wielkopolski Katowice Kielce Kraków Lublin Łódź Olsztyn Opole Poznań Rzeszów Szczecin Toruń Warszawa Wrocław Zielona Góra

Dane rejestrowe

DOIT.BIZ sp. z o.o.
ul. Wrzosowa 28
Borówiec 62-023 gm. Kórnik

REGON: 369454650
NIP: 7773307804
KRS:0000731305
kapitał zakładowy: 70 000 zł

Londyn
Berlin
Paryż
Bruksela
Amsterdam


Przetwarzanie danych

Polityka prywatności

Ustawienia cookies


Nasze projekty:

Cyfrowa tarcza bezpieczeństwa

DOIT.AI

Generator wypowiedzeń

Audyt i Wdrożenie RODO | Obsługa RODO dla Firm – DOIT.BIZ Sp. z o.o. © 2026

Audyty RODO, Wdrożenia RODO, Outsourcing IOD, Szkolenia RODO

📞 Zadzwoń teraz 📨 Wyślij zapytanie