Audyt RODO dla małej firmy. Co obejmuje i ile kosztuje?

Audyt RODO dla małej firmy. Co obejmuje i ile kosztuje?

Mała firma, kilku pracowników, baza klientów. Czy potrzebują audytu RODO i czy nie jest to wydatek na który nie stać. Krótka odpowiedź: tak, potrzebują. I tak, jest to wydatek na który stać każdą firmę która chce spać spokojnie.

Audyt RODO nie jest produktem dla korporacji. Jest produktem dla każdej firmy która przetwarza dane osobowe – a w 2026 roku nie ma firmy która ich nie przetwarza. Pracownicy, klienci, kontrahenci, kandydaci do pracy. Dane są wszędzie.

Pytanie więc nie brzmi "czy potrzebujemy audytu" tylko "co konkretnie audyt obejmuje i ile kosztuje przy naszej skali."

Co audyt RODO faktycznie obejmuje

Audyt nie jest jednym dokumentem. Jest procesem który składa się z kilku etapów.

Spotkanie i omówienie tego co dzieje się na danych w firmie.

Audyt zaczyna się od rozmowy. Audytor pyta o wszystko – jakie dane firma zbiera, od kogo, w jakim celu, gdzie są przechowywane, kto ma do nich dostęp, do kogo są przekazywane.

Brzmi prosto. Nie jest. Większość przedsiębiorców pierwszy raz przy takiej rozmowie uświadamia sobie ile rzeczy w firmie dotyka danych osobowych. Lista klientów w arkuszu na komputerze osobistym. Dane kandydatów w mailach. Zdjęcia pracowników na stronie internetowej. Monitoring wizyjny na zapleczu. Numer telefonu do księgowej z zewnątrz. Adresy mailowe dostawców w korespondencji.

To spotkanie jest mapą terenu. Bez niego dalsze etapy audytu mają luki.

Przejrzenie teczek pracowniczych.

 Czy zawierają tylko to co dopuszcza Kodeks pracy. Czy dane szczególnej kategorii – orzeczenia o niepełnosprawności, wyniki badań – są przechowywane w osobnym miejscu. Czy klauzule informacyjne były przekazane przy zatrudnieniu. Czy upoważnienia są aktualne.

Audytor przegląda strukturę akt, sprawdza wybrane przypadki, identyfikuje powtarzające się problemy.

Przejrzenie istniejącej dokumentacji ochrony danych.

Jeśli firma już ma jakąkolwiek dokumentację – polityki, procedury, rejestr czynności przetwarzania, klauzule informacyjne – audytor ją analizuje. Czy jest aktualna. Czy zgodna z aktualnym stanem firmy. Czy spełnia wymogi RODO.

W większości małych firm istniejąca dokumentacja pochodzi z 2018 roku i była tworzona w pośpiechu przed wejściem RODO. Sześć lat później – zazwyczaj wymaga aktualizacji lub całkowitego przepisania.

Przejrzenie umów z dostawcami mającymi dostęp do danych.

Biuro rachunkowe. Kancelaria prawna. Dostawca CRM. Hosting strony. Firma sprzątająca z kluczami do biura. Każdy z tych podmiotów potencjalnie przetwarza dane firmy.

Audytor sprawdza – czy są zawarte umowy powierzenia z art. 28 RODO. Czy umowy są kompletne. Czy nie ma luk – dostawców których firma używa ale z którymi nigdy nie podpisała umowy powierzenia.

Przejrzenie formularzy zbierania danych i klauzul informacyjnych.

Wszystkie punkty styku firmy z osobami od których zbiera dane. Formularze kontaktowe na stronie. Formularze rekrutacyjne. Karty klienta. Newslettery. Programy lojalnościowe.

Każdy z nich powinien zawierać klauzulę informacyjną i być zbudowany zgodnie z zasadą minimalizacji.

Przejrzenie strony internetowej.

Polityka prywatności – czy istnieje, czy aktualna, czy odzwierciedla to co firma faktycznie robi. Baner cookies – czy działa zgodnie z aktualnymi wymogami. Formularze – jak omówione wyżej. Linki do regulaminów – czy są w jednym miejscu i czy są spójne z polityką prywatności.

Strona jest często pierwszym miejscem które klient zobaczy gdy będzie chciał złożyć skargę albo wykonać swoje prawa. Niezgodna strona to gwarantowane problemy.

Co audyt nie obejmuje

Żeby było uczciwie – audyt RODO dla małej firmy zazwyczaj nie obejmuje kilku elementów które bywają oferowane jako rozszerzenia. 

Pełnej DPIA dla skomplikowanych procesów przetwarzania – to jest osobna usługa. Nie dlatego że Audytorowi się nie chce, po prostu takie dokumenty wymagają regularnego przeglądu. Jeśli w firmie nie ma kogoś kto się na tym zna to są to pieniądze wydane w błoto.

Audytu bezpieczeństwa IT i testów penetracyjnych – wymaga innych kompetencji niż audyt zgodności RODO.

Stałej obsługi prawnej – audyt jest jednorazowy lub okresowy, nie zastępuje funkcji IOD czy radcy.

Co dostajesz na koniec

Klasyczna forma raportu z audytu RODO dla małej firmy to dokument z trzema częściami.

Część pierwsza: opis stanu faktycznego. Co firma robi z danymi, jakie procesy zostały zidentyfikowane, jaka jest aktualna dokumentacja.

Część druga: znalezione braki i ryzyka. Lista konkretnych problemów uporządkowana według ważności – krytyczne, istotne, drobne. Każdy problem z opisem dlaczego jest problemem i co RODO mówi w tej sprawie.

Część trzecia: rekomendacje. Konkretne kroki do podjęcia – co poprawić, w jakiej kolejności, czego potrzeba.

W mniejszych audytach raport bywa krótszy. Czasem przyjmuje formę szczegółowego maila ze wskazaniem braków i z dołączonymi wzorami dokumentów które firma może wykorzystać. Forma zależy od umowy z audytorem i od skali audytu.

Ile to faktycznie kosztuje

Tutaj sprawa się komplikuje bo widełki są szerokie i zależą od wielu zmiennych.

Najtańsza wersja: dokumentacja w ciemno.

Jeśli firma chce tylko podstawowe dokumenty bez wnikania w to co konkretnie robi – polityka prywatności, klauzule informacyjne dla pracowników i klientów, podstawowy rejestr czynności przetwarzania, wzór umowy powierzenia – takie pakiety można zamknąć w 500 zł.

To jest minimum minimum. Nie jest to audyt w sensie ścisłym. Jest to dostarczenie szablonów które firma musi sama zaadaptować do swojej sytuacji.

Dla mikrofirmy bez specyficznych procesów – to może wystarczyć. Dla firmy która faktycznie ma jakąkolwiek złożoność – to jest niewystarczające.

Pełny audyt firmy do 10 pracowników.

Jeśli mówimy o pełnym audycie obejmującym wszystkie elementy które wymieniłem wyżej – spotkanie wstępne, przejrzenie teczek pracowniczych, dokumentacji, umów z dostawcami, formularzy, strony internetowej, plus raport z rekomendacjami – realny koszt często zamyka się w okolicach 2000 - 3000 zł.

Dla firmy do 10 pracowników to jest racjonalna inwestycja. Mniej niż miesięczne wynagrodzenie jednego pracownika. Mniej niż średnia kara UODO za naruszenie. Mniej niż koszt obsługi prawnej jednego sporu z klientem.

Większe firmy.

Powyżej 10 pracowników koszty rosną nieliniowo. Firma z 25 pracownikami nie kosztuje 2,5 razy więcej niż firma z 10 pracownikami – kosztuje więcej bo skala procesów rośnie geometrycznie. Każdy dodatkowy dział to nowe procesy, nowi dostawcy, nowe ryzyka.

Dla średnich firm warto rozważyć nie tyle jednorazowy audyt co stałą obsługę w formie outsourcingu IOD – który omawiałem w osobnym artykule.

Dlaczego niska cena nie jest komplementem

Trzeba uczciwie powiedzieć – widziałem oferty audytów RODO dla małych firm w cenie 300 zł.

To są oferty od firm które wysyłają ankietę przedsiębiorcy, kopiują standardowe szablony i nazywają to audytem. Bez rozmowy. Bez sprawdzenia czegokolwiek. Bez analizy.

Wynik takiego "audytu" to plik PDF z ogólnikami które nijak się mają do rzeczywistości firmy. Gdy przyjdzie kontrola UODO i administrator pokaże ten dokument – będzie miał gorszą pozycję niż gdyby nie miał nic. Bo brak dokumentacji można tłumaczyć. Posiadanie dokumentacji która nie odzwierciedla rzeczywistości – jest dowodem że firma świadomie nie zarządzała ochroną danych.

Wybierając audytora warto pytać konkretnie. Ile czasu zajmie audyt. Czy będzie spotkanie. Co zostanie sprawdzone. Jaka będzie forma raportu. Kto będzie odpowiedzialny za audyt – konkretna osoba z imienia i nazwiska czy "zespół ekspertów."

Audyt RODO jest inwestycją w wiedzę o własnej firmie. Im uczciwiej zostanie przeprowadzony tym więcej wartości przyniesie.

Co zrobić po audycie

Audyt sam w sobie nie zmienia firmy. Zmieniają firmę działania podjęte na podstawie audytu.

Po otrzymaniu raportu warto przejść przez listę rekomendacji i zaplanować ich wdrożenie. Zacznij od kategorii "krytyczne" – tych braków które stwarzają największe ryzyko przy ewentualnej kontroli. Potem przejdź do "istotnych." "Drobne" są ważne ale mogą poczekać.

W większości przypadków część rekomendacji firma jest w stanie wdrożyć sama – aktualizacja klauzul, dodanie checkboxów w formularzu, zmiana układu strony. Inne wymagają wsparcia – podpisanie nowych umów powierzenia, wdrożenie nowych procedur, szkolenie pracowników.

Dobry audytor po zakończeniu audytu jest dostępny do wsparcia we wdrożeniu. Albo robi to sam w ramach umowy, albo wskazuje konkretne kroki które firma podejmie sama. Audytor który dostarcza raport i znika – nie pomaga firmie tylko zarobił na jednym dokumencie.

Kiedy audyt powinien być powtarzany

Audyt RODO nie jest jednorazową akcją.

Dla małej firmy z ustabilizowanymi procesami – powtórzenie audytu co 2-3 lata jest racjonalne. Sprawdza czy zmiany w firmie nie wyprzedziły dokumentacji.

Dla firmy która się dynamicznie rozwija – co rok. Bo każdy rok przynosi nowe procesy, nowych dostawców, nowe systemy IT, nowe rodzaje danych.

Dla firmy która właśnie zatrudniła pierwszych pracowników, otworzyła sklep internetowy, zaczęła współpracować z nowym dostawcą obsługującym dane klientów – natychmiast. Bo każda istotna zmiana w sposobie przetwarzania danych jest okazją do tego żeby istniejąca dokumentacja przestała być aktualna.

Mała firma która regularnie audytuje swój stan compliance ma niższe ryzyko niż duża firma która zrobiła to raz w 2018 roku i od tego czasu nic nie sprawdzała.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.