RODO już dawno weszło w życie. Problemy wciąż wracają. Od momentu rozpoczęcia stosowania RODO minęło już kilka lat. Wiele firm zdążyło wdrożyć procedury ochrony danych, przeszkolić pracowników i przygotować dokumentację. Na pierwszy rzut oka mogłoby się wydawać, że temat jest już dobrze opanowany.
Audytorzy oraz inspektorzy ochrony danych widzą jednak zupełnie inny obraz. W trakcie audytów bardzo często pojawiają się te same błędy, które były obecne także w pierwszych latach obowiązywania przepisów. Problem polega na tym, że RODO nie jest projektem jednorazowym. Dokumentacja i procedury muszą być regularnie aktualizowane. Firmy rozwijają nowe usługi, wdrażają nowe narzędzia informatyczne i przetwarzają coraz więcej danych. Jeśli dokumentacja nie nadąża za zmianami, pojawiają się ryzyka prawne. W 2026 roku dochodzi do tego jeszcze jeden element. Coraz więcej organizacji korzysta z narzędzi sztucznej inteligencji, które przetwarzają dane osobowe.
Rejestr czynności przetwarzania. Dokument, który często przestaje być aktualny
Jednym z podstawowych obowiązków wynikających z RODO jest prowadzenie rejestru czynności przetwarzania danych.
To dokument, który powinien pokazywać:
- jakie dane osobowe przetwarza firma
- w jakim celu dane są wykorzystywane
- jaka jest podstawa prawna przetwarzania
- kto ma dostęp do danych
- jak długo dane są przechowywane
W wielu firmach rejestr został przygotowany kilka lat temu, często przy okazji pierwszego wdrożenia RODO. Problem polega na tym, że od tego czasu organizacje wdrożyły nowe systemy i procesy.
Audytorzy bardzo często znajdują sytuacje takie jak:
- nowe systemy HR, których nie ma w rejestrze
- nowe narzędzia marketingowe przetwarzające dane klientów
- outsourcing usług IT bez aktualizacji dokumentacji
- nowe integracje między systemami
Ciekawostka z praktyki audytowej: w części firm rejestr czynności nie był aktualizowany przez kilka lat, mimo że infrastruktura IT całkowicie się zmieniła.
Brak DPIA. Ocena skutków dla ochrony danych
Kolejnym częstym problemem jest brak DPIA, czyli oceny skutków dla ochrony danych. DPIA powinna być przygotowana w sytuacjach, gdy przetwarzanie danych może powodować wysokie ryzyko dla praw i wolności osób fizycznych.
Typowe sytuacje wymagające takiej analizy to między innymi:
- monitoring pracowników
- systemy biometryczne
- przetwarzanie dużych zbiorów danych
- profilowanie użytkowników
- nowe technologie analityczne
W praktyce wiele firm pomija ten etap, traktując DPIA jako formalność. Audytorzy podkreślają, że brak takiej analizy bywa jednym z najczęściej wskazywanych uchybień w trakcie kontroli. Ciekawostka: w części państw europejskich organy nadzorcze publikują listy operacji przetwarzania danych, które niemal zawsze wymagają przeprowadzenia DPIA.
Chaos w uprawnieniach pracowników
Jednym z najbardziej niedocenianych obszarów bezpieczeństwa danych są uprawnienia dostępu do systemów.
W wielu firmach dostęp do danych osobowych jest przyznawany szybko, ale rzadko kiedy jest systematycznie przeglądany.
Typowe problemy, które pojawiają się podczas audytów, to:
- pracownicy mają dostęp do systemów, których już nie używają
- dostęp do danych klientów posiadają osoby z innych działów
- brak procedury odbierania uprawnień po zmianie stanowiska
- brak dokumentacji nadawania i cofania dostępów
W skrajnych przypadkach pracownicy mają dostęp do danych, których nigdy nie powinni widzieć. Ciekawostka z raportów bezpieczeństwa: błędy w zarządzaniu uprawnieniami należą do najczęstszych przyczyn naruszeń danych osobowych w firmach.
Sztuczna inteligencja i RODO. Nowy obszar ryzyka
W ostatnich latach pojawił się jeszcze jeden obszar, który zaczyna interesować audytorów. Chodzi o wykorzystanie narzędzi sztucznej inteligencji przetwarzających dane osobowe.
Coraz częściej w firmach pojawiają się systemy AI używane do:
- analizy zachowań klientów
- automatycznego profilowania użytkowników
- wspierania rekrutacji
- automatyzacji obsługi klienta
- analizy dokumentów
Jeżeli takie systemy przetwarzają dane osobowe, muszą być objęte zasadami RODO.
Najczęstsze problemy w tym obszarze to:
- brak informacji o wykorzystaniu AI w dokumentacji RODO
- brak oceny ryzyka związanego z profilowaniem
- brak kontroli nad danymi przekazywanymi do narzędzi AI
- brak analizy transferów danych poza Europejski Obszar Gospodarczy
W wielu przypadkach pracownicy korzystają z narzędzi AI samodzielnie, bez jasnych zasad organizacyjnych.
Dokumentacja to nie wszystko
Audytorzy zwracają uwagę na jeszcze jeden problem. W części firm dokumentacja RODO istnieje, ale nie odzwierciedla rzeczywistości.
Można spotkać sytuacje, w których:
- procedury istnieją tylko na papierze
- pracownicy nie znają zasad ochrony danych
- incydenty bezpieczeństwa nie są zgłaszane
- szkolenia odbyły się tylko raz, kilka lat temu
RODO zakłada podejście oparte na odpowiedzialności administratora danych. Oznacza to, że firma musi nie tylko posiadać dokumentację, lecz także realnie stosować jej zasady.
Dlaczego audyty wciąż wykrywają te same błędy
Powody powtarzających się problemów są często bardzo podobne.
Najczęściej wskazuje się:
- brak regularnych audytów wewnętrznych
- brak aktualizacji dokumentacji po zmianach w organizacji
- traktowanie RODO jako projektu jednorazowego
- brak współpracy między działami IT, HR i prawnym
W efekcie dokumentacja przygotowana kilka lat wcześniej przestaje odpowiadać rzeczywistym procesom przetwarzania danych.
RODO w 2026 roku. Czas na aktualizację podejścia
W 2026 roku ochrona danych osobowych zaczyna coraz silniej łączyć się z tematami technologii i sztucznej inteligencji. Firmy wdrażają nowe systemy analityczne, automatyzują procesy biznesowe i korzystają z narzędzi opartych na AI. Każda taka zmiana powinna być analizowana również pod kątem ochrony danych. Dlatego coraz więcej organizacji wraca do podstaw.
Najczęściej zaczyna się od kilku kroków:
- aktualizacji rejestru czynności przetwarzania
- przeglądu uprawnień dostępu do systemów
- analizy nowych technologii pod kątem DPIA
- uporządkowania zasad korzystania z narzędzi AI
Dobrze przeprowadzony audyt wewnętrzny potrafi ujawnić problemy, które przez lata pozostawały niewidoczne. A w świecie rosnących regulacji technologicznych uporządkowanie obszaru RODO staje się jednym z fundamentów bezpiecznego rozwoju firmy.
