Audyt RODO brzmi jak coś, czego trzeba się bać. W praktyce to porządki - ktoś z zewnątrz przegląda Twoje procesy i mówi, co działa, a co trzeba poprawić, zanim zapuka kontrola UODO. Poniżej pokazujemy, jak wygląda audyt RODO krok po kroku w polskiej firmie B2B i co realnie znajdziesz w raporcie.

Kiedy audyt RODO ma sens

Audyt zlecasz w jednej z trzech sytuacji:

  • Pierwsze wdrożenie - kiedy firma rośnie i okazuje się, że dokumentacja powstała "na szybko" w 2018 r. nie odpowiada już rzeczywistości.
  • Zmiana modelu działalności - wdrożenie nowego produktu, integracja z nowym partnerem, ekspansja na rynki UE.
  • Reaudyt cykliczny - co 12-24 miesiące, żeby zweryfikować skuteczność wdrożonych procedur i wychwycić nowe luki.

Audyt nie jest zarezerwowany dla dużych korporacji. Praktyka pokazuje, że to mikro i małe firmy mają największe luki - nie z braku chęci, tylko dlatego, że nikt nie patrzy na te tematy systematycznie.

Etap 1 - Mapowanie procesów (audyt prawny)

Pierwszy etap jest rozmową, a nie zaglądaniem do kodu. Audytor pyta:

  • Jakie kategorie danych osobowych zbieracie? (klienci, pracownicy, kandydaci, kontrahenci)
  • Z jakich źródeł pochodzą i kto ma do nich dostęp?
  • Komu je przekazujecie - jakim systemom, dostawcom, integratorom?
  • Jaka jest podstawa prawna dla każdego z tych przepływów?

Wynik: mapa procesów przetwarzania. To kręgosłup późniejszego rejestru czynności (RCPD) wymaganego przez art. 30 RODO.

Najczęstsze odkrycie na tym etapie: firma korzysta z 8-12 systemów (Google Workspace, Slack, Mailchimp, narzędzia rekrutacyjne, hostingi, biura księgowe), ale umowy powierzenia art. 28 RODO podpisała z trzema. Reszta przetwarza dane "na słowo".

Etap 2 - Audyt informatyczny

Drugi etap to praktyczna inspekcja zabezpieczeń:

  • Uprawnienia w systemach - kto ma dostęp do czego i czy nie pozostali tam byli pracownicy.
  • Polityka haseł - czy faktycznie egzekwowana, czy istnieje na papierze.
  • Logowanie zdarzeń bezpieczeństwa - kto, kiedy, co zrobił z danymi.
  • Backup i szyfrowanie - gdzie kopie zapasowe i kto ma do nich dostęp.
  • Procedura reagowania na naruszenia - czy zespół wie, że ma 72 godziny na zgłoszenie do UODO.

Tu często wychodzą zaskoczenia. Standardowy hit: skrzynka info@ wspólna dla 15 osób, każdy widzi pełną treść CV kandydatów, choć HR-em zajmuje się jedna osoba.

Etap 3 - Wykrywanie luk

Audytor zestawia stan faktyczny (z etapów 1 i 2) z wymaganiami RODO i tworzy listę gapów. Każdy zapis ma trzy rzeczy:

  1. Co konkretnie brakuje lub działa niezgodnie z RODO.
  2. Z jakiego artykułu wynika obowiązek.
  3. Priorytet: krytyczny / wysoki / średni / niski.

Krytyczne to zazwyczaj: brak klauzuli informacyjnej dla klienta, brak rejestru czynności, brak procedury 72h, dane na zagranicznych serwerach bez SCC.

Etap 4 - Raport końcowy i rekomendacje

Raport, który dostajesz, nie jest tylko listą problemów - to plan wdrożenia. Każdej luce towarzyszy:

  • konkretna rekomendacja (np. "podpisać umowę powierzenia z dostawcą hostingu według wzoru z załącznika 4"),
  • oszacowanie czasu wdrożenia (godziny, dni, tygodnie),
  • decyzja: czy element robi audytor w ramach pakietu, czy klient samodzielnie.

Razem z raportem zwykle dostajesz pakiet szablonów - klauzule informacyjne, polityki, rejestr czynności, umowy powierzenia w wersji edytowalnej.

Co audyt NIE obejmuje

Audyt to nie wdrożenie. Nie napisze za Ciebie wszystkich procedur, nie poprawi konfiguracji serwera, nie przeszkoli pracowników. To są kolejne etapy - i powinny być wycenione osobno. Audytor, który obiecuje "audyt + wdrożenie + szkolenia" za jedną cenę ryczałtem, zwykle skraca każdą z tych części.

Czerwone flagi przy wyborze audytora

  • Wycena bez wcześniejszej rozmowy o skali firmy.
  • Brak referencji od firm Twojej wielkości.
  • Obietnica "100% zgodności" - nikt nie może tego zagwarantować w żywym biznesie.
  • Audyt prowadzony tylko zdalnie, bez rozmowy z administratorem IT.
  • Brak chęci podania w umowie konkretnego zakresu i terminu.

Następny krok

Jeśli zastanawiasz się, czy Twoja firma jest gotowa na kontrolę - umów bezpłatną rozmowę. W 30 minut przeglądamy bieżący stan i mówimy, czy potrzebujesz pełnego audytu, mini-audytu konkretnego obszaru, czy może tylko aktualizacji jednego dokumentu.

Zobacz pełną ofertę RODO lub napisz do nas - odpowiadamy w jednym dniu roboczym.