4crypto.eu
Bezpłatna konsultacja
Kompetencja · Ochrona danych · 2026

Audyt RODO w 2026 r. - środki techniczne, DPIA, naruszenia, transfer danych

Autor: dr inż. Adam CzubakCzas czytania: 11 minAktualizacja: 2026-05-13

RODO [1] (Rozporządzenie 2016/679) obowiązuje od 25 maja 2018 r. Po ośmiu latach krajobraz dojrzał - mamy setki orzeczeń CJEU, dziesiątki wytycznych EDPB [2][3], wyrok Schrems II [4] wywracający transfer do USA, i polski Prezes UODO publikujący coroczne sprawozdania [5] dokumentujące najczęstsze naruszenia i wysokie kary.

Audyt RODO nie jest sprawdzaniem, czy istnieje Polityka Ochrony Danych Osobowych. To systemowa ocena czterech filarów: (1) zasad (art. 5), (2) obowiązków administratora (art. 24, 25, 30, 35), (3) środków technicznych i organizacyjnych (art. 32), (4) obsługi naruszeń (art. 33-34). Artykuł porządkuje strukturę audytu, omawia kluczowe orzecznictwo (ang. Schrems II, dark patterns, legitimate interest) i pokazuje, na czym najczęściej wpadają polskie organizacje.

Filar 1 - Zasady (art. 5)

Art. 5 RODO definiuje 6 zasad + 1 metazasadę (rozliczalność, ust. 2):

  1. Zgodność z prawem, rzetelność i przejrzystość - istnieje podstawa prawna przetwarzania (art. 6: zgoda, umowa, obowiązek prawny, żywotne interesy, interes publiczny, prawnie uzasadniony interes), użytkownik jest informowany w sposób zrozumiały.
  2. Ograniczenie celu - dane zbierane do konkretnego celu, nie używane do innych. Repurposing (np. dane logistyczne dla marketingu) wymaga nowej podstawy.
  3. Minimalizacja danych - zbieramy tylko niezbędne. Najczęstszy błąd: formularze z 20 polami, z których 18 nie jest potrzebne do celu.
  4. Prawidłowość - dane są aktualne i dokładne. Procedura aktualizacji, sprostowania (art. 16) - funkcjonująca.
  5. Ograniczenie przechowywania - retention policy. Po upływie terminu - usuwamy. PUODO karze za przechowywanie "na wszelki wypadek" (np. CV kandydatów 5+ lat).
  6. Integralność i poufność - środki techniczne i organizacyjne (zob. Art. 32 niżej).
  7. Rozliczalność (meta) - dokumentujemy spełnienie powyższych. Bez dokumentacji = nie spełniamy.

Audyt sprawdza każdą zasadę przez wybrane przypadki - np. rekrutacja, marketing, monitoring wizyjny, monitoring poczty służbowej, system kart dostępu.

Filar 2 - Obowiązki administratora

  • Art. 24 - administrator wdraża odpowiednie środki techniczne i organizacyjne. Bez wskazania konkretnych - wymaga oceny ryzyka.
  • Art. 25 - privacy by design and by default. Najczęściej pominięty. Audyt sprawdza, czy nowe aplikacje/systemy mają privacy embedded od początku, czy dodawane "na koniec".
  • Art. 30 - rejestr czynności przetwarzania (RCP) i rejestr kategorii czynności (RKC, dla procesora). Najczęściej istnieje w polskich organizacjach, ale jest niekompletny - brakuje aktywności typu: monitoring CCTV, monitoring poczty, kontrola dostępu kartą, geolokalizacja pojazdów służbowych.
  • Art. 32 - najszerszy wymóg techniczny (osobna sekcja niżej).
  • Art. 35 - DPIA (ang. Data Protection Impact Assessment) - obowiązkowy gdy przetwarzanie "może powodować wysokie ryzyko". PUODO publikuje wykaz operacji wymagających DPIA - m.in. monitoring pracowników, profilowanie, dane wrażliwe na dużą skalę, automated decisions.
  • Art. 37-39 - Inspektor Ochrony Danych (IOD). Obowiązkowy m.in. dla podmiotów publicznych i podmiotów przetwarzających dane wrażliwe lub dane karne. IOD musi być niezależny, podlegać najwyższemu kierownictwu, nie konfliktować z innymi rolami.

Filar 3 - Środki techniczne i organizacyjne (art. 32)

Art. 32 jest rdzeniem audytu technicznego. Wymienia (niewyczerpująco):

  • Pseudonimizacja i szyfrowanie - w spoczynku (BitLocker, LUKS, szyfrowanie baz danych) i w tranzycie (TLS 1.2+, HTTPS, szyfrowane VPN). Kluczowy dowód: konfiguracja serwerów, urządzeń mobilnych, kopii zapasowych.
  • Zdolność zapewniania poufności, integralności, dostępności i odporności - CIA triad + odporność. Mapowanie do CIA: szyfrowanie + kontrola dostępu (C), hash + walidacja (I), backup + DRP (A), hardening + redundancja (odporność).
  • Zdolność szybkiego przywrócenia dostępności i dostępu po incydencie fizycznym lub technicznym - backup + plan DR. Zob. SOC 24/7.
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków - audyt, pentest, skanowanie podatności. Bez tego art. 32 nie jest spełniony. Zob. Audyt IT, Pentest, Skanowanie.

PUODO w sprawozdaniu 2023 [5] wskazuje, że najczęstszą podstawą kary jest właśnie brak art. 32(1)(d) - brak udokumentowanego testowania środków. Audyt dostarcza tego dowodu.

Filar 4 - Naruszenia (art. 33-34)

Naruszenie ochrony danych = przypadek naruszenia poufności, integralności lub dostępności danych osobowych. Obowiązki:

  • Art. 33 - zgłoszenie do PUODO w 72 godziny od stwierdzenia, chyba że mało prawdopodobne, by skutkowało ryzykiem.
  • Art. 34 - zawiadomienie osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko. Powiadomienie indywidualne, w jasnym języku.
  • Art. 33 ust. 5 - rejestr naruszeń (nawet tych niezgłoszonych - z uzasadnieniem decyzji).

EDPB Guidelines 9/2022 [2] doprecyzowują kryteria oceny ryzyka i przykłady scenariuszy. PUODO podaje kontaminacja danymi medycznymi, wyciek loginów, utrata laptopa z danymi jako scenariusze wymagające zgłoszenia.

Audyt sprawdza kompletność procedury: kto wykrywa, kto decyduje o zgłoszeniu, jak liczyć 72h (od "stwierdzenia", nie zgadywania), jak komunikować się z osobami dotkniętymi.

Schrems II i transfer poza EOG

Wyrok CJEU C-311/18 (ang. Schrems II) z 16 lipca 2020 [4] unieważnił Privacy Shield - wcześniejszą podstawę transferu danych do USA. Wymaga, by transfer poza EOG odbywał się tylko wtedy, gdy poziom ochrony jest "zasadniczo równoważny" z UE.

Praktyczne konsekwencje:

  • SCC (ang. Standard Contractual Clauses) - nadal podstawa, ale wymaga oceny dodatkowej (ang. Transfer Impact Assessment). Sam SCC nie wystarczy.
  • Adekwatność - KE może uznać państwo trzecie za zapewniające adekwatną ochronę (np. UK od 2021, Korea od 2022, EU-US Data Privacy Framework od 2023).
  • Wyjątki (art. 49) - wąsko interpretowane (zgoda, niezbędność do wykonania umowy).

Najczęstsze błędy audytowe w polskich organizacjach:

  • Korzystanie z usług z serwerami w USA bez TIA i bez wiedzy działu IODO.
  • Microsoft 365 / Google Workspace - "są dane przetwarzane w UE" - częściowo, część usług obsługiwana z USA.
  • Slack, Notion, ChatGPT, GitHub - wszystko z USA, niezawsze ze SCC + TIA.

Kary i orzecznictwo PUODO 2023-2024

Sprawozdanie PUODO 2023 [5] wymienia najwyższe kary:

  • Morele.net - 2,8 mln zł (incydent 2018 r., utrata danych 2,2 mln klientów).
  • PNP S.A. - 4,9 mln zł (brak adekwatnych środków bezpieczeństwa).
  • Pyzy Magdy - 600 tys. zł (sprzedaż danych marketingowych bez podstawy).

Wzorce kar:

  • Brak art. 32(1)(d) - brak testów skuteczności = standardowa podstawa.
  • Brak prawidłowo prowadzonego rejestru (art. 30) - częsta podwyższająca okoliczność.
  • Brak właściwego zarządzania naruszeniem (art. 33-34) - kara dodatkowa.

EDPB Guidelines 04/2022 [3] standardyzują obliczanie kar w UE: kategoryzacja naruszenia, kwota bazowa, modyfikatory (intencjonalność, działania naprawcze, współpraca z organem).

Najczęstsze błędy

  1. Polityka Ochrony Danych Osobowych = templatka z internetu. Bez dopasowania do realnej działalności, nie ma mocy. PUODO weryfikuje realne wdrożenie, nie istnienie dokumentu.
  2. Rejestr czynności przetwarzania nieaktualny. Najczęściej brakuje: monitoringu CCTV, monitoringu poczty, kontroli kartą, geolokalizacji, AI w rekrutacji.
  3. Brak DPIA dla operacji wysokoryzykownych. Monitoring pracowników, profilowanie, dane wrażliwe.
  4. Wycieki przez dostawców (procesorów). Brak weryfikacji art. 28 umowy, brak audytu procesorów.
  5. Transfer poza EOG bez TIA. Microsoft 365, ChatGPT Enterprise, AWS - wszystko trzeba udokumentować.
  6. IOD z konfliktem interesów. IOD nie może być jednocześnie CIO, kierownikiem IT, dyrektorem HR - czyli osobą decydującą o przetwarzaniu, której ma być niezależnym kontrolerem.
  7. Brak procedury obsługi praw osób (art. 12-23). 30-dniowy termin odpowiedzi jest pominięty często.

Checklist: 10 punktów audytu RODO

Lista high-impact - bez tych elementów ryzyko kary administracyjnej jest znaczne.

  1. Podstawa prawna każdego przetwarzania. Mapa: cel → kategorie danych → podstawa prawna art. 6 (i art. 9 dla wrażliwych). Bez podstawy - unlawful processing.
  2. Rejestr czynności przetwarzania (RCP). Kompletny, aktualizowany, obejmuje wszystkie monitoringi i nietypowe przetwarzania.
  3. Polityka Ochrony Danych Osobowych dopasowana do organizacji, nie templatka. Znana personelowi (szkolenia).
  4. DPIA dla wysokoryzykowych operacji. Monitoring pracowników, profilowanie, AI w decyzjach, dane wrażliwe.
  5. Środki art. 32 z dowodem testowania. MFA, szyfrowanie, backup z testem, hardening (zob. Hardening). Z audytu technicznego - bez tego art. 32(1)(d) nie jest spełniony.
  6. Procedura naruszeń (art. 33-34). 72h, rejestr naruszeń, kryteria oceny ryzyka, scenariusze treningowe. Zob. SOC 24/7.
  7. Procedura praw osób. Procedura 30-dniowa, formularze, system rejestracji, eskalacja do IOD.
  8. Umowy art. 28 z procesorami. Wszyscy dostawcy (cloud, IT, HR-tech, marketing) mają umowy. Brak = unlawful processing.
  9. Transfer poza EOG. Lista usług z transferem, SCC + TIA dla każdej, dokumentacja.
  10. Inspektor Ochrony Danych wyznaczony (jeśli wymagany), niezależny, bez konfliktu, raportujący do najwyższego kierownictwa. Zgłoszenie do PUODO.

Najczęściej zadawane pytania

Czy mała JST musi mieć IOD?

Tak, wszystkie podmioty publiczne (art. 37 ust. 1 lit. a). IOD może być pracownikiem etatowym lub na podstawie umowy zlecenia/usług (zewnętrzny). Mała gmina często wybiera zewnętrznego IOD kontraktowo - to dopuszczalne i bywa bardziej niezależne.

Czy audyt RODO i audyt KRI to to samo?

Częściowo się nakładają (art. 32 RODO ≈ § 20 KRI w warstwie technicznej), ale różny zakres: RODO to ochrona danych osobowych, KRI to ochrona systemu informatycznego. Audyt łączony jest możliwy i sensowny dla JST.

Czy ChatGPT/Copilot można używać do przetwarzania danych osobowych?

Zależy od subskrypcji. Wersje konsumenckie (ChatGPT Free, Plus) nie zapewniają wystarczających gwarancji - w praktyce nie powinno się wprowadzać tam danych osobowych. Wersje enterprise (ChatGPT Enterprise/Team, Copilot for Microsoft 365) mają SCC/DPA i mogą być używane po DPIA i z odpowiednimi limitami (np. nie dane wrażliwe).

Co to znaczy "testowanie środków" w art. 32?

PUODO interpretuje szeroko: audyt zewnętrzny, pentest, skanowanie podatności, table-top incydentowy, testy odzyskiwania backupu - każde z tych daje dowód. Minimum dla średniej organizacji: audyt roczny + skanowanie kwartalne + test backup roczny.

Co jeśli wykryliśmy naruszenie po 72h?

Zgłoś niezwłocznie z wyjaśnieniem opóźnienia. Lepiej zgłosić późno niż wcale. PUODO w EDPB 9/2022 [2] respektuje "rozsądne opóźnienia" (np. niedostępność po godzinach), ale wymaga udokumentowania powodu.

Czy monitoring poczty pracowniczej wymaga DPIA?

Najczęściej tak. Wymaga też podstawy prawnej (zazwyczaj prawnie uzasadniony interes z art. 6 ust. 1 lit. f), proporcjonalności i informacji dla pracownika (regulamin pracy / polityka). Audyt sprawdza, czy zakres monitoringu nie wykracza poza cele.

Ile kosztuje audyt RODO?

Średnia JST/firma 50-100 osób: 15-30 tys. zł za audyt zewnętrzny + plan naprawczy. Większe organizacje: 30-100 tys. zł. Konsulting roczny IOD: 24-60 tys. zł w zależności od skali.

PUODO przeprowadza kontrolę - na co konkretnie patrzy?

Sprawozdanie roczne PUODO 2023 [5] i orzecznictwo pokazują typowy zestaw 27-30 pytań:

  1. Rejestr czynności przetwarzania (art. 30) - kompletność, aktualność, wszystkie operacje uwzględnione.
  2. Polityka Ochrony Danych Osobowych - czy istnieje, czy dopasowana, znana personelowi.
  3. Inspektor Ochrony Danych - wyznaczony (jeśli wymagany), zgłoszony do PUODO, niezależny, kompetencje.
  4. Środki techniczne i organizacyjne (art. 32) - szyfrowanie, MFA, kopie zapasowe, hardening.
  5. Procedura naruszeń (art. 33-34) - sposób wykrywania, klasyfikacji, raportowania w 72h, rejestr naruszeń.
  6. Umowy z procesorami (art. 28) - wszyscy dostawcy, treść umów, klauzule.
  7. Transfer poza EOG - lista usług, SCC + TIA (po Schrems II [4]).
  8. DPIA dla operacji wysokoryzykownych (art. 35).
  9. Procedura praw osób (art. 12-23) - formularze, 30-dniowe terminy.
  10. Audyt skuteczności środków (art. 32 (1) lit. d) - kiedy ostatni, jaki wynik.

Kontrola trwa 1-4 tygodnie, kończy się protokołem + zaleceniami lub decyzją administracyjną.

Czy każda strata laptopa to naruszenie wymagające zgłoszenia do PUODO?

Nie zawsze. EDPB Guidelines 9/2022 [2] definiują trzy kryteria oceny ryzyka:

  1. Charakter danych - czy dane były na laptopie? Jakie kategorie?
  2. Środki techniczne - czy dysk był zaszyfrowany (BitLocker, FileVault)?
  3. Kontekst - czy laptop pozostaje pod kontrolą organizacji (gdzie zginął, kiedy)?

Strata laptopa z zaszyfrowanym dyskiem + silnym passwordem/PIN-em = ryzyko niskie, można udokumentować decyzję o niezgłaszaniu (z uzasadnieniem w rejestrze naruszeń, art. 33 ust. 5). Strata laptopa z niezaszyfrowanym dyskiem i danymi osobowymi = zgłoszenie obowiązkowe w 72h. EDPB 9/2022 zawiera konkretne przykłady oceny.

Pracownik kupił ChatGPT Plus za swoje i używa do pracy - co zrobić?

Trzy ryzyka łącznie:

  1. Brak umowy art. 28 [1] z OpenAI dla wersji konsumenckiej - unlawful processing dla danych osobowych pojawiających się w prompts.
  2. Transfer poza EOG (USA) bez SCC + TIA dla ChatGPT Plus - naruszenie Schrems II [4].
  3. AI Act art. 4 [6] (od 2 lutego 2025) - wymóg "AI literacy" personelu - nawet legalne użycie wymaga przeszkolenia.

Działania: 1) zakaz w polityce Acceptable Use, 2) wdrożenie wersji enterprise (ChatGPT Enterprise/Team ma SCC, DPA, nie trenuje modelu na danych klienta) po DPIA, 3) szkolenie awareness (zob. Security Awareness).

Czy polityka prywatności na stronie WWW wystarczy do spełnienia obowiązków informacyjnych?

Nie sama w sobie. RODO art. 13-14 [1] wymagają informacji "w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem". Strona WWW jest jedną z form, ale:

  • Informacja musi być podana w momencie zbierania danych (formularz kontaktowy, rekrutacyjny, monitoring CCTV) - nie wystarczy link "Polityka prywatności".
  • Różne kategorie podmiotów (klient, pracownik, użytkownik newslettera) wymagają odrębnych klauzul informacyjnych - zwykle 3-7 wariantów.
  • CCTV wymaga widocznej tabliczki + pełnej informacji w łatwo dostępnym miejscu (EDPB Guidelines 3/2019).
  • Monitoring pracownika (art. 22³ Kodeksu pracy) wymaga zarządzenia + powiadomienia pracowników 2 tygodnie przed wdrożeniem.
Czy phishing simulation w mojej firmie wymaga zgody pracownika?

Nie wymaga zgody indywidualnej - to wynika z prawnie uzasadnionego interesu administratora (RODO art. 6 ust. 1 lit. f) i obowiązku zapewnienia środków technicznych i organizacyjnych (art. 32). Wymaga jednak:

  1. Klauzuli w regulaminie pracy lub PBI o prowadzeniu symulacji bezpieczeństwa.
  2. Klauzuli informacyjnej dla nowo zatrudnionych (RODO art. 13).
  3. Brak ujawniania wyników indywidualnych - agregaty zespołowe są ok, kara/upublicznienie pracownika klikającego jest niezgodne z zasadą proporcjonalności (art. 5 ust. 1 lit. c).
  4. Brak symulacji "z piekła" - scenariusze typu "zwolnienie", "premia za COVID" mogą naruszać dobra osobiste pracownika.

Zgodne z EDPB Guidelines 3/2019 (monitoring) i opinią PUODO w sprawozdaniu [5].

Potrzebujesz konsultacji w tym obszarze?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy potrzeby, skalę i ramowy harmonogram.

Zadzwoń: +48 691 122 312office@4crypto.eu

Powiązane treści

Pozostałe obszary kompetencyjne

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Standardy ISO/IEC, RFC IETF, dyrektywy UE i akty krajowe odsyłają do oryginalnych dokumentów.

  1. [1]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dziennik Urzędowy UE, L 119, 4.5.2016 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679
  2. [2]guidelineEuropean Data Protection Board (EDPB) (2023). Guidelines 9/2022 on personal data breach notification under GDPR (Version 2.0). EDPB · https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en
  3. [3]guidelineEuropean Data Protection Board (EDPB) (2023). Guidelines 04/2022 on the calculation of administrative fines under the GDPR. EDPB · https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en
  4. [4]regulationCourt of Justice of the European Union (2020). Judgment in Case C-311/18 (Data Protection Commissioner v. Facebook Ireland and Schrems II). CJEU, 16 lipca 2020 · https://curia.europa.eu/juris/document/document.jsf?docid=228677
  5. [5]reportPrezes UODO (2024). Sprawozdanie roczne z działalności Prezesa UODO za 2023 r.. UODO, Warszawa · https://uodo.gov.pl/pl/138/3270
  6. [6]regulationParlament Europejski, Rada UE (2024). Rozporządzenie (UE) 2024/1689 (AI Act) ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji. Dziennik Urzędowy UE, L seria, 12.7.2024 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689
  7. [7]reportEuropean Union Agency for Cybersecurity (ENISA) (2019). Pseudonymisation Techniques and Best Practices. ENISA · https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices
  8. [8]reportEuropean Union Agency for Cybersecurity (ENISA) (2018). Recommendations on shaping technology according to GDPR provisions. ENISA · https://www.enisa.europa.eu/publications/recommendations-on-shaping-technology-according-to-gdpr-provisions
  9. [9]standardNational Institute of Standards and Technology (NIST) (2020). NIST Privacy Framework Version 1.0. NIST CSWP 10. DOI: 10.6028/NIST.CSWP.10 · https://doi.org/10.6028/NIST.CSWP.10
  10. [10]standardMcCallister, E., Grance, T., Scarfone, K. (2010). NIST SP 800-122: Guide to Protecting the Confidentiality of Personally Identifiable Information (PII). NIST. DOI: 10.6028/NIST.SP.800-122 · https://doi.org/10.6028/NIST.SP.800-122
  11. [11]standardInternational Organization for Standardization (2019). ISO/IEC 27701:2019 - Privacy Information Management System (PIMS) - Requirements and guidelines. ISO/IEC · https://www.iso.org/standard/71670.html
  12. [12]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  13. [13]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  14. [14]standardInternational Organization for Standardization (2011). ISO/IEC 29100:2011 - Privacy framework. ISO/IEC · https://www.iso.org/standard/45123.html
  15. [15]reportCavoukian, A. (2011). Privacy by Design - The 7 Foundational Principles. Information & Privacy Commissioner of Ontario · https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
  16. [16]reportIBM Security, Ponemon Institute (2024). Cost of a Data Breach Report 2024. IBM Corporation · https://www.ibm.com/reports/data-breach
  17. [17]reportPrezes UODO (2024). Sprawozdanie roczne z działalności Prezesa UODO za 2023 r.. UODO, Warszawa · https://uodo.gov.pl/pl/138/3270
  18. [18]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024