Kompleksowy Przegląd i Doradztwo RODO/GDPR
83% polskich firm ma niezgodności RODO które mogą skutkować karą. Audyt RODO identyfikuje ryzyka, dostarczamy priorytetyzowany plan naprawczy i gotowe szablony dokumentacji. Unikasz kar i budujesz zaufanie klientów.
Czym jest kompleksowy przegląd i doradztwo z zakresu RODO/GDPR?
To kompleksowa ocena zgodności organizacji z Rozporządzeniem o Ochronie Danych Osobowych (EU 2016/679), obejmująca inwentaryzację przetwarzania danych, weryfikację podstaw prawnych, przegląd umów powierzenia i ocenę środków technicznych. nFlo dostarcza raport z gap analysis, priorytetyzowany plan naprawczy oraz gotowe szablony dokumentacji (polityki prywatności, rejestry czynności przetwarzania, procedury naruszeń), chroniąc przed karami UODO sięgającymi 20 mln EUR.
Kary RODO to nawet 20 mln EUR - UODO już kontroluje
Kompleksowy audyt i wdrożenie RODO
Audyt RODO
Identyfikacja wszystkich niezgodności
Dokumentacja
Polityki, procedury, rejestry, zgody
Szkolenia
Awareness dla pracowników i zarządu
Czym jest Przegląd i doradztwo RODO/GDPR?
Przegląd i doradztwo RODO/GDPR to kompleksowa ocena zgodności z Rozporządzeniem o Ochronie Danych Osobowych obejmująca inwentaryzację przetwarzania, podstawy prawne, prawa osób, umowy powierzenia i środki techniczne ochrony danych.
| Atrybut | Wartość |
|---|---|
| Regulacja | RODO (GDPR) - EU 2016/679 |
| Zakres | Procesy, dokumentacja, środki techniczne |
| Deliverable | Raport z rekomendacjami + szablony |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 35 000 PLN (stan na 2026) |
Kontrola UODO ujawniła 15 naruszeń - kara 250 000 PLN
E-commerce nie miał rejestru czynności przetwarzania, nie informował klientów o prawach, przekazywał dane do USA bez odpowiednich zabezpieczeń. UODO przeprowadził kontrolę po zgłoszeniu klienta. Znaleziono 15 naruszeń RODO. Kara: 250 000 PLN + nakaz usunięcia nieprawidłowości w 30 dni + kontrola follow-up.
Bez zgodności z RODO:
- Ryzykujesz kary do 20 mln EUR lub 4% rocznego obrotu
- Tracisz zaufanie klientów po wyciekach danych
- Nie możesz współpracować z kontrahentami wymagającymi compliance
- Pozwy zbiorowe od osób których dane naruszono (GDPR class actions)
Od audytu do pełnej zgodności RODO
Nie zostawiamy Cię z raportem pełnym paragrafów. Tłumaczymy RODO prostym językiem, dostarczamy gotowe szablony dokumentacji dopasowane do Twojej branży i pomagamy wdrożyć praktyczne procedury które działają.
Co dostajesz:
- Audyt przetwarzania danych osobowych w organizacji
- Inwentaryzację wszystkich zbiorów i procesów przetwarzania
- Gap analysis względem wymagań RODO i identyfikację ryzyk
- Ocenę podstaw prawnych przetwarzania (umowa, zgoda, interes prawny)
- Przegląd umów powierzenia z dostawcami (hosting, CRM, marketing)
- Ocenę środków technicznych i organizacyjnych (szyfrowanie, backup, kontrola dostępu)
- Plan naprawczy - priorytetyzowane działania z deadlines
- Gotowe szablony: polityka prywatności, klauzule informacyjne, zgody, rejestry
- Procedury: naruszenia, prawa osób, transfer międzynarodowy
- Szkolenia dla pracowników i zarządu (awareness RODO)
- Wsparcie w przygotowaniu do kontroli UODO
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Przetwarzasz dane osobowe klientów, pracowników, kontrahentów
- Nie masz rejestru czynności przetwarzania (wymagany dla >250 pracowników)
- Nie aktualizowałeś dokumentacji RODO od 2018 roku
- Planujesz kontrolę UODO lub dostałeś zgłoszenie od osoby
- Chcesz mieć pewność że spełniasz wymogi i unikniesz kar
Kluczowe obszary RODO
1. Podstawy prawne przetwarzania
Każde przetwarzanie musi mieć podstawę z Art. 6 RODO:
- Umowa - dane konieczne do wykonania umowy (np. dostawa towaru)
- Zgoda - dobrowolna, konkretna, świadoma (najsłabsza podstawa)
- Obowiązek prawny - wymagany przez prawo (np. rachunkowość)
- Interes prawny - uzasadniony interes administratora (np. marketing)
- Interes życiowy - ochrona życia lub zdrowia
- Zadanie publiczne - wykonywanie władzy publicznej
Najczęstszy błąd: Wszystko na zgody (powinno być: umowa + interes prawny)
2. Obowiązek informacyjny
Musisz poinformować osoby o przetwarzaniu PRZED zbieraniem danych:
- Administrator i kontakt do IOD
- Cele i podstawy prawne
- Odbiorcy danych (kto dostanie dane)
- Okres przechowywania
- Prawa osób (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie)
- Prawo do skargi do UODO
- Czy podanie danych jest obowiązkowe
Gdzie: Klauzula informacyjna przy formularzach, polityka prywatności
3. Rejestry czynności przetwarzania
Wymagany dla organizacji >250 pracowników LUB przetwarzających dane wrażliwe:
- Nazwa i dane kontaktowe administratora i IOD
- Cele przetwarzania
- Kategorie osób i danych
- Kategorie odbiorców (komu przekazujesz)
- Transfery międzynarodowe
- Terminy usunięcia
- Środki bezpieczeństwa
Format: Może być Excel, nie musi być skomplikowany
4. Umowy powierzenia przetwarzania
Wymagane z każdym podmiotem który przetwarza dane w Twoim imieniu:
- Hosting / cloud providers (AWS, Azure, nazwa.pl)
- CRM / marketing automation (HubSpot, Mailchimp, Salesforce)
- Biuro rachunkowe
- Agencje marketingowe z dostępem do danych
- Call center / outsourcing obsługi
Wymagania: Art. 28 RODO - szczegółowe zapisy o bezpieczeństwie
5. Prawa osób których dane dotyczą
Musisz umożliwić realizację praw w terminie 1 miesiąc:
- Prawo dostępu - kopia danych (bezpłatnie pierwsze żądanie)
- Prawo do sprostowania - poprawienie błędnych danych
- Prawo do usunięcia (“prawo do bycia zapomnianym”)
- Prawo do ograniczenia - wstrzymanie przetwarzania
- Prawo do przenoszenia - otrzymanie danych w formacie maszynowym
- Prawo sprzeciwu - wobec marketingu i profilowania
Procedura: Jak weryfikujesz tożsamość? Kto odpowiada? W jakim terminie?
6. Zgłaszanie naruszeń
Naruszenie ochrony danych = incydent bezpieczeństwa z wpływem na dane osobowe:
- Do UODO: 72 godziny od stwierdzenia (jeśli wysokie ryzyko)
- Do osób: Bez zbędnej zwłoki (jeśli wysokie ryzyko dla praw)
- Dokumentacja: Rejestr wszystkich naruszeń (nawet niezgłoszonych)
Przykłady: Ransomware, wyciek bazy, zgubiony laptop, wysłanie do złego odbiorcy
7. DPIA - Ocena skutków dla ochrony danych
Wymagana przed wdrożeniem systemów/procesów wysokiego ryzyka:
- Systematyczne profilowanie i automatyczne decyzje
- Przetwarzanie wrażliwych danych na dużą skalę
- Systematyczne monitorowanie (monitoring, CCTV)
- Nowe technologie (AI, biometria)
Proces: Opis, konieczność, proporcjonalność, ocena ryzyka, zabezpieczenia
Częste błędy RODO
Błąd #1: Marketing bez podstawy prawnej
“Zgoda na newsletter” w checkboxie przy rejestracji (pre-checked) = NIEWAŻNA Prawidłowo: Osobny, dobrowolny checkbox z konkretną informacją
Błąd #2: Brak umów powierzenia
Używasz Google Analytics, Mailchimp, hosting - brak umów powierzenia Ryzyko: Nielegalny transfer do USA, brak kontroli nad danymi
Błąd #3: Przechowywanie “na zawsze”
Dane klientów z 2010 roku nadal w systemie mimo braku aktywności Prawidłowo: Okresy przechowywania i automatyczne usuwanie
Błąd #4: Brak procedury naruszeń
Wyciek danych - firma nie wie co robić, nie zgłasza do UODO w 72h Ryzyko: Podwójne kary (za naruszenie + brak zgłoszenia)
Błąd #5: Transfery do USA
Używanie Google/Meta/AWS bez odpowiednich zabezpieczeń SCC Prawidłowo: Standard Contractual Clauses + Transfer Impact Assessment
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Skontaktuj się z opiekunem
Porozmawiaj o Kompleksowy Przegląd i Doradztwo RODO/GDPR z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Audyt
Przegląd przetwarzania danych i zgodności
Gap Analysis
Identyfikacja niezgodności i ocena ryzyka
Plan naprawczy
Priorytetyzowane działania z timeline
Wdrożenie
Dokumentacja, procedury, szkolenia
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Unikasz kar UODO
Do 20 mln EUR lub 4% obrotu
Zaufanie klientów
Transparentność przetwarzania danych
Gotowość do kontroli
Dokumentacja zgodna z wymogami
Uporządkowane procesy
Jasne procedury i odpowiedzialności
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Bezpieczeństwo OT/ICS w energetyce — dlaczego podejście znane z IT tu nie działa
Sieci sterowania w energetyce rządzą się inną logiką niż systemy biurowe — tu liczy się ciągłość procesu, a nie poufność danych. Pokazujemy, dlaczego narzędzia i odruchy przeniesione z IT zawodzą w środowisku OT i jak budować ochronę zgodną z IEC 62443 oraz wymaganiami KSC/NIS2.
Czytaj więcej →Smart metering i AMI: nowa powierzchnia ataku w inteligentnych sieciach energetycznych
Inteligentne liczniki i infrastruktura AMI to miliony nowych punktów styku z siecią — i tyle samo nowych punktów wejścia. Wyjaśniamy, dlaczego smart metering powiększa powierzchnię ataku, jak podatność w warstwie aplikacji może sięgnąć warstwy fizycznej i jak takie środowisko odpowiedzialnie testować.
Czytaj więcej →Tygodnie niezauważonej obecności — czego realne incydenty w sieciach OT uczą operatorów energetycznych
Najgroźniejsze ataki na infrastrukturę energetyczną nie zaczynają się od spektakularnej awarii, lecz od cichej, niewykrytej obecności napastnika w sieci. Wyjaśniamy, czym jest czas przebywania, dlaczego w środowiskach OT bywa wyjątkowo długi i jak go skracać dzięki właściwemu monitorowaniu.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Kompleksowy Przegląd i Doradztwo RODO/GDPR.
Ile trwa audyt RODO i co dokładnie dostanę?
Audyt trwa 2-4 tygodnie. Otrzymujesz raport z gap analysis, priorytetyzowany plan naprawczy z deadlines oraz gotowe szablony dokumentacji (polityka prywatności, klauzule informacyjne, rejestry czynności przetwarzania).
Czy audyt RODO jest potrzebny jeśli mamy dokumentację z 2018 roku?
Tak - RODO ewoluuje poprzez decyzje UODO, wyroki TSUE i nowe wytyczne EROD. Dokumentacja z 2018 roku nie uwzględnia m.in. aktualnych wymogów transferu danych do USA (Data Privacy Framework) ani nowych kar UODO.
Ile kosztuje audyt RODO i czy obejmuje wdrożenie?
Audyt z planem naprawczym i szablonami dokumentacji zaczyna się od 35 000 PLN. Wsparcie przy wdrożeniu (szkolenia, procedury, przygotowanie do kontroli UODO) wyceniamy osobno w zależności od zakresu.
Czy pomagacie w przypadku kontroli UODO lub zgłoszenia naruszenia?
Tak. Przygotowujemy procedurę zgłaszania naruszeń (72h do UODO), wspieramy w przygotowaniu do kontroli i możemy uczestniczyć w procesie jako doradcy. Dla stałego wsparcia rekomendujemy outsourcing IOD.
Jakie branże najczęściej potrzebują audytu RODO?
Każda firma przetwarzająca dane osobowe, ale szczególnie e-commerce, HR/rekrutacja, ochrona zdrowia, finanse i firmy z transferem danych do USA. Branże te są najczęściej kontrolowane przez UODO.