Najczęstsze błędy RODO w firmach nie wynikają z braku znajomości przepisów — wynikają z braku ich stosowania w praktyce. Organizacja może mieć polityki, procedury, wzory i całą teczkę dokumentów, ale jeśli nikt z nich nie korzysta, dokumentacja nie chroni ani danych osobowych, ani samego administratora.

UODO podczas kontroli nie sprawdza tego, co jest zapisane w dokumentach. Sprawdza, jak organizacja działa w rzeczywistości — czy dostępy do danych są kontrolowane, czy wnioski RODO są obsługiwane, czy procedury są stosowane, a nie tylko archiwizowane.

Poniżej omawiamy dziesięć błędów, które pojawiają się najczęściej — zarówno podczas kontroli UODO, jak i w praktyce codziennego zarządzania danymi

1. Brak kontroli nad dostępem do danych — nieaktualna ewidencja upoważnień

To jeden z pierwszych obszarów weryfikowanych podczas kontroli UODO. Pytanie „kto ma dostęp do danych i na jakiej podstawie?” powinno mieć konkretną, natychmiastową odpowiedź. W większości organizacji jej nie ma.

Dostępy są nadawane raz — przy zatrudnieniu — i nigdy nie są weryfikowane. Pracownik zmienia stanowisko, odchodzi z firmy, a jego dostęp do systemów i danych pozostaje aktywny. Ewidencja upoważnień, jeśli w ogóle istnieje, opisuje stan sprzed roku lub kilku lat.

To naruszenie zasady minimalizacji dostępu i rozliczalności jednocześnie. Szczegółowe omówienie znajdziesz w artykule o upoważnieniach do przetwarzania danych.

2. Brak umów powierzenia z dostawcami

Firmy korzystają z dziesiątek zewnętrznych narzędzi i usług — hostingu, systemu CRM, oprogramowania kadrowego, biura rachunkowego, systemu mailingowego. W większości przypadków dane klientów lub pracowników są przetwarzane przez te podmioty na zlecenie administratora — co oznacza obowiązek zawarcia umowy powierzenia z art. 28 RODO.

Brak tych umów to jeden z najłatwiejszych do wykrycia błędów podczas kontroli — i jeden z najczęstszych. Wiele firm po prostu nie zdaje sobie sprawy, że kliknięcie „Akceptuję regulamin” przy rejestracji w SaaS to za mało, jeśli regulamin nie zawiera pełnej treści DPA.

Kiedy umowa powierzenia jest obowiązkowa i co powinna zawierać — sprawdź w artykule o umowie powierzenia przetwarzania danych.

3. Nieaktualny lub niekompletny rejestr czynności przetwarzania

Rejestr czynności przetwarzania stworzony przy wdrożeniu RODO i od tamtej pory nieaktualizowany to jeden z najczęstszych problemów. Nowe systemy IT, nowi dostawcy, nowe procesy — żadne z tych zmian nie znalazło odzwierciedlenia w rejestrze.

Podczas kontroli UODO rejestr jest jednym z pierwszych żądanych dokumentów. Jeśli opisuje rzeczywistość sprzed trzech lat — nie chroni administratora, a wręcz dokumentuje brak zgodności.

Jak prowadzić rejestr poprawnie i co musi zawierać każdy wpis — szczegółowo w artykule o rejestrze czynności przetwarzania.

4. Błędny baner cookies — brak równorzędnej opcji odmowy

Banery cookies to obszar, w którym UODO i europejskie organy nadzorcze działają coraz aktywniej. Najczęstszy błąd to baner oferujący tylko przycisk „Akceptuję” — bez równorzędnej, równie widocznej opcji odmowy. Drugi częsty błąd: skrypty śledzące (Google Analytics, Meta Pixel) uruchamiają się przed udzieleniem zgody.

Oba przypadki naruszają wymogi dotyczące zgody — zgoda musi być dobrowolna, świadoma i jednoznaczna. Baner, który utrudnia odmowę, nie spełnia żadnego z tych kryteriów.

Jak wdrożyć prawidłowy baner cookies — sprawdź w artykule o banerze cookies RODO.

5. Brak obsługi wniosków RODO — przekroczenie terminu

Wnioski o dostęp do danych, usunięcie, sprostowanie lub przeniesienie trafiają do firm w najróżniejszych formach — mailowo, przez formularz kontaktowy, telefonicznie. Problem polega na tym, że nie są traktowane jako formalne żądania RODO. Nie są rejestrowane, nie mają przypisanego właściciela, a termin — jeden miesiąc — mija niezauważony.

Przekroczenie terminu odpowiedzi to naruszenie RODO, nawet jeśli wniosek ostatecznie zostanie zrealizowany. UODO może nałożyć karę wyłącznie za nieterminowość — bez względu na to, czy dane zostały ostatecznie usunięte.

Jak wdrożyć proces obsługi wniosków RODO — szczegółowo w artykule o prawach osób RODO.

6. Brak polityki retencji — dane przechowywane bez terminu

„Na wszelki wypadek” to najczęstsze uzasadnienie przechowywania danych osobowych w organizacjach. Dane klientów z pięciu lat temu, CV kandydatów sprzed dekady, listy mailingowe bez aktywności od lat — wszystkie nadal są w systemach, bo nikt nie podjął decyzji o ich usunięciu.

To naruszenie zasady ograniczenia przechowywania z art. 5 RODO. Podczas kontroli UODO pytanie „dlaczego te dane nadal są przetwarzane?” musi mieć konkretną odpowiedź. Brak okresu retencji w rejestrze i brak realnego usuwania danych to dwa oddzielne naruszenia.

Szczegółowe okresy retencji dla pracowników, klientów i faktur — w artykule o retencji danych osobowych.

7. Brak analizy ryzyka lub DPIA przeprowadzonej po fakcie

Wiele organizacji przeprowadza analizę ryzyka jednorazowo, przy wdrożeniu RODO, i nigdy jej nie aktualizuje. Nowe systemy, nowi dostawcy, nowe procesy przetwarzania — żadna z tych zmian nie uruchomiła ponownej oceny.

Drugi częsty błąd: DPIA (ocena skutków dla ochrony danych) przeprowadzona po uruchomieniu przetwarzania wysokiego ryzyka, a nie przed nim. RODO wymaga, żeby DPIA poprzedzała przetwarzanie — nie dokumentowała stan faktyczny po fakcie.

Jak przeprowadzić analizę ryzyka i kiedy wymagana jest DPIA — sprawdź w artykule o analizie ryzyka RODO.

8. Brak procedury obsługi naruszeń ochrony danych

RODO nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych do UODO w ciągu 72 godzin od jego wykrycia — jeśli naruszenie może powodować ryzyko dla praw i wolności osób. W praktyce wiele organizacji nie ma żadnej procedury: nie wiadomo, kto ocenia zdarzenie, kto podejmuje decyzję o zgłoszeniu i jak dokumentować przebieg działań.

Brak procedury ujawnia się dokładnie w momencie, gdy jest najbardziej potrzebna — po incydencie bezpieczeństwa. Wtedy brak procesu generuje dodatkowe ryzyko: przekroczenie 72-godzinnego terminu i brak dokumentacji działań naprawczych.

9. Polityka prywatności oderwana od rzeczywistości

Skopiowana z internetu lub wygenerowana przez narzędzie AI polityka prywatności, która nie opisuje rzeczywistych procesów, narzędzi i dostawców — to jeden z najczęstszych błędów w małych firmach. Polityka wymienia narzędzia, których firma nie używa, i nie wspomina o tych, których używa naprawdę.

Obowiązek informacyjny z art. 13 i 14 RODO wymaga, żeby osoba, której dane dotyczą, otrzymała rzetelne i kompletne informacje. Polityka prywatności, która nie opisuje rzeczywistości, tego obowiązku nie spełnia.

10. RODO jako jednorazowy projekt, a nie ciągły proces

Największy błąd nie dotyczy pojedynczego dokumentu ani procedury. Dotyczy podejścia. RODO bardzo często traktowane jest jako projekt do „wdrożenia i zamknięcia” — po czym dokumentacja trafia do szuflady i nikt do niej nie wraca.

Tymczasem RODO to ciągły proces zarządzania danymi. Rejestr wymaga aktualizacji przy każdej zmianie. Upoważnienia muszą być weryfikowane. Umowy powierzenia — odnawiane. Retencja — egzekwowana. Bez podejścia procesowego organizacja zawsze będzie reagować dopiero wtedy, gdy pojawi się problem — lub kontrola.

Jak wdrożyć RODO w sposób procesowy i utrzymać go w czasie — sprawdź w artykule o wdrożeniu RODO w małej firmie.

Jak uniknąć błędów RODO w praktyce

Wspólny mianownik wszystkich opisanych błędów jest jeden: brak systemu. Dokumenty istnieją, ale nie są aktualizowane. Procedury są napisane, ale nie są stosowane. Terminy są określone, ale nikt ich nie pilnuje.

Rozwiązaniem nie jest kolejny audyt ani kolejna teczka z dokumentami — ale podejście systemowe, które porządkuje dokumentację, przypisuje odpowiedzialności, przypomina o aktualizacjach i pozwala w każdej chwili wykazać zgodność z RODO.

Często zadawane pytania o błędy RODO