Kontrola UODO – jak się przygotować i co sprawdza kontroler

mar 30, 2026 | Poradniki o RODO i iGDPR dla praktyków i początkujących

Kontrola danych osobowych w firmie dotyczy nie tylko dokumentów, ale całego sposobu zarządzania danymi na co dzień. Kontrola UODO to jedno z tych zdarzeń, które wywołują niepotrzebny stres — niepotrzebny, bo organizacja, która na co dzień zarządza RODO w sposób uporządkowany, nie ma powodów do obaw. Problem pojawia się tam, gdzie dokumentacja istnieje tylko formalnie, a rzeczywiste przetwarzanie danych odbywa się bez kontroli i bez aktualnych procedur.

W tym artykule wyjaśniamy, jak przebiega kontrola UODO, co konkretnie sprawdza kontroler, jakie dokumenty masz mieć pod ręką i jak przygotować organizację — zarówno na kontrolę zapowiedzianą, jak i niezapowiedzianą.

Jak przebiega kontrola UODO

Urząd Ochrony Danych Osobowych przeprowadza dwa rodzaje kontroli:

Kontrola planowa — wynikająca z rocznego planu kontroli sektorowych UODO, ogłaszanego na początku każdego roku. UODO wskazuje w nim branże i typy podmiotów, które będą kontrolowane. Organizacja objęta planem kontroli dostaje zawiadomienie z wyprzedzeniem.

Kontrola doraźna — wszczynana w odpowiedzi na skargę osoby fizycznej, sygnał o naruszeniu lub z własnej inicjatywy UODO. Może być niezapowiedziana.

Kontrola może mieć formę:

  • kontroli w siedzibie organizacji — kontroler UODO przybywa na miejsce i weryfikuje dokumentację, systemy i procesy,
  • kontroli zdalnej — organizacja przesyła żądane dokumenty i odpowiada na pytania drogą elektroniczną,
  • kontroli mieszanej — łączącej obie formy.

Czas trwania kontroli zależy od jej zakresu — od kilku dni do kilku tygodni.

Co sprawdza UODO podczas kontroli

Co sprawdza UODO podczas kontroli — to pytanie, które zadaje sobie większość administratorów stojących przed wizytą urzędników. Kontrola UODO nie polega wyłącznie na przeglądaniu dokumentów. Kontroler weryfikuje, czy dokumentacja jest zgodna z rzeczywistością — czy procesy opisane w rejestrze czynności przetwarzania faktycznie tak wyglądają, czy upoważnienia są aktualne, czy procedury są stosowane w praktyce.

Obszary najczęściej weryfikowane podczas kontroli:

Rejestr czynności przetwarzania — czy istnieje, czy jest kompletny, aktualny i zawiera wszystkie wymagane elementy z art. 30 RODO. To jeden z pierwszych dokumentów żądanych przez kontrolera.

Ewidencja upoważnień — kto ma dostęp do danych osobowych i na jakiej podstawie. Kontroler może poprosić o weryfikację konkretnych osób — czy nadal pracują i czy ich zakres dostępu jest właściwy.

Umowy powierzenia przetwarzania danych — czy organizacja zawarła umowy ze wszystkimi podmiotami zewnętrznymi przetwarzającymi dane w jej imieniu. Brak umów z dostawcami SaaS, hostingiem czy biurem rachunkowym to jeden z najczęstszych braków.

Analiza ryzyka i DPIA — czy organizacja przeprowadza ocenę ryzyka dla czynności przetwarzania i czy jest ona aktualna. Przy przetwarzaniu wysokiego ryzyka — czy przeprowadzono DPIA.

Procedura obsługi naruszeń — czy organizacja ma wdrożoną procedurę reagowania na naruszenia ochrony danych, czy pracownicy o niej wiedzą i czy incydenty są rejestrowane.

Procedura realizacji praw osób — jak organizacja obsługuje żądania dostępu do danych, usunięcia, sprostowania. Kontroler może sprawdzić konkretne przypadki.

Środki bezpieczeństwa — techniczne (szyfrowanie, kontrola dostępu, kopie zapasowe) i organizacyjne (szkolenia pracowników, polityki bezpieczeństwa).

Inspektor Ochrony Danych — czy organizacja wyznaczyła IOD (jeśli jest to obowiązkowe) i czy jest on prawidłowo zgłoszony do UODO.

Dokumenty, które musisz mieć pod ręką

Przygotowanie do kontroli UODO oznacza przede wszystkim możliwość szybkiego dostarczenia kluczowych dokumentów. Oto co powinno być gotowe:

Dokumentacja obowiązkowa:

Dokumentacja dodatkowa — często weryfikowana:

  • polityka prywatności i klauzule informacyjne stosowane wobec klientów i pracowników,
  • rejestr naruszeń ochrony danych (nawet jeśli nie było żadnych — brak rejestru sam w sobie budzi wątpliwości),
  • dokumentacja dotycząca cookies i zarządzania zgodami na stronie internetowej.

Kontrola RODO – jak się przygotować: checklista

Poniższy audyt RODO — checklista kluczowych obszarów — pozwoli ocenić, czy organizacja jest gotowa. Przed kontrolą odpowiedz na poniższe pytania. Każde „nie” lub „nie wiem” to obszar wymagający natychmiastowej uwagi:

☐ Czy posiadasz aktualny rejestr czynności przetwarzania z kompletem wpisów?

☐ Czy ewidencja upoważnień jest aktualna — czy zawiera tylko osoby aktualnie zatrudnione?

☐ Czy masz podpisane umowy powierzenia ze wszystkimi zewnętrznymi dostawcami?

☐ Czy przeprowadziłeś analizę ryzyka dla każdej czynności przetwarzania?

☐ Czy procedura naruszeń jest wdrożona i znana pracownikom?

☐ Czy pracownicy wiedzą, jak obsługiwać żądania osób dotyczące ich danych?

☐ Czy stosowane środki bezpieczeństwa są udokumentowane?

☐ Czy IOD (jeśli wymagany) jest prawidłowo wyznaczony i zgłoszony do UODO?

☐ Czy polityka prywatności i klauzule informacyjne są aktualne?

☐ Czy masz rejestr naruszeń ochrony danych — nawet jeśli nie doszło do żadnych incydentów?

Największy błąd: dokumenty bez rzeczywistości

UODO nie sprawdza tylko tego, czy masz dokumenty. Sprawdza, czy dokumenty opisują to, co faktycznie się dzieje w organizacji.

Rejestr czynności przetwarzania, który nie był aktualizowany od trzech lat i nie uwzględnia nowych systemów IT — nie chroni. Polityka bezpieczeństwa, której nikt nie czytał i której nikt nie stosuje — nie chroni. Upoważnienia nadane pracownikom, którzy odeszli z firmy rok temu — aktywnie szkodzą.

Inspektor UODO może zadać konkretne pytania pracownikom podczas kontroli — np. jak reagują na naruszenie ochrony danych albo do kogo zgłaszają żądanie osoby o usunięcie danych. Jeśli pracownicy nie wiedzą, dokumenty nic nie dają.

Co się dzieje po kontroli UODO

Po zakończeniu kontroli pracownik UODO sporządza protokół — dokument opisujący przebieg kontroli i ustalenia. Protokół jest podpisywany przez obie strony.

Na jego podstawie UODO może:

Wydać zalecenia — wskazać obszary wymagające poprawy bez nakładania kary, z terminem na wdrożenie zmian.

Wszcząć postępowanie administracyjne — jeśli stwierdzone naruszenia są poważne. Postępowanie może zakończyć się nakazem wdrożenia zmian, ostrzeżeniem lub karą finansową.

Nałożyć karę administracyjną — do 20 mln euro lub 4% rocznego obrotu w przypadku poważnych naruszeń. W praktyce kary nakładane na polskie podmioty wahają się od kilkunastu tysięcy do kilku milionów złotych.

Decyzje UODO są publikowane na stronie urzędu i indeksowane przez wyszukiwarki — co oznacza, że konsekwencje reputacyjne trwają długo po zakończeniu postępowania.

Jak iGDPR pomaga w przygotowaniu do kontroli UODO

iGDPR pozwala prowadzić całą dokumentację RODO w jednym miejscu — rejestr czynności przetwarzania, ewidencję upoważnień, umowy powierzenia, analizy ryzyka i rejestr naruszeń są ze sobą powiązane i zawsze aktualne.

Podczas kontroli zamiast przeszukiwać foldery i maile, masz dostęp do kompletnej, uporządkowanej dokumentacji gotowej do okazania kontrolerowi. System generuje raporty i dokumenty PDF dla każdego obszaru — co znacznie skraca czas odpowiedzi na żądania UODO.

Podsumowanie

Kontrola UODO nie musi być źródłem stresu — pod warunkiem że organizacja zarządza RODO na co dzień, a nie tylko przy okazji audytu lub zapowiedzi kontroli. Dokumentacja jest ważna, ale ważniejsza jest jej spójność z rzeczywistością.

Kluczowe zasady:

  • kontrola UODO może być zarówno zapowiedziana, jak i niezapowiedziana,
  • kontroler weryfikuje nie tylko dokumenty, ale ich zgodność z rzeczywistymi procesami,
  • najczęstsze braki to: nieaktualny rejestr, brak umów powierzenia i brak aktualnej ewidencji upoważnień,
  • decyzje UODO są publiczne — konsekwencje reputacyjne trwają długo po kontroli,
  • przygotowanie do kontroli powinno być stanem ciągłym, nie jednorazowym działaniem.

Często zadawane pytania o kontrolę UODO

Czy UODO zapowiada kontrolę?

Nie zawsze. Kontrole planowe są zapowiadane z wyprzedzeniem. Kontrole doraźne — wynikające ze skarg lub własnej inicjatywy UODO — mogą być niezapowiedziane.

Jak długo trwa kontrola UODO?

Od kilku dni do kilku tygodni, w zależności od zakresu kontroli i liczby obszarów weryfikowanych przez pracownika UODO.

Czy mała firma też może mieć kontrolę UODO?

Tak — RODO obowiązuje wszystkie podmioty przetwarzające dane osobowe, niezależnie od wielkości. UODO prowadzi kontrole zarówno dużych korporacji, jak i małych firm i instytucji publicznych.

Czy można dostać karę podczas pierwszej kontroli?

Tak — jeśli stwierdzone naruszenia są poważne. UODO może nałożyć karę już po pierwszej kontroli, bez wcześniejszych ostrzeżeń.

Co jest najczęściej stwierdzane jako naruszenie podczas kontroli?

Brak aktualnego rejestru czynności przetwarzania, brak umów powierzenia z dostawcami, nieaktualna ewidencja upoważnień i brak procedury obsługi naruszeń ochrony danych.

Jak szybko można przygotować się do kontroli?

Zależy od stanu dokumentacji. Jeśli dokumentacja jest rozproszona i nieaktualna — kilka tygodni. Jeśli organizacja korzysta z systemu zarządzania RODO — przygotowanie do kontroli to kwestia godzin.

Bądź gotowy na kontrolę UODO — w każdej chwili

iGDPR pozwala prowadzić kompletną dokumentację RODO w jednym miejscu — rejestr czynności przetwarzania, upoważnienia, umowy powierzenia, analizę ryzyka i rejestr naruszeń. Podczas kontroli masz wszystko pod ręką, gotowe do okazania kontrolerowi UODO. Sprawdź, jak działa w praktyce.

Testuj teraz — 21 dni bezpłatnie

Filtry

Polecane treści