Kompleksowy Przegląd i Doradztwo RODO/GDPR

Czym jest Przegląd i doradztwo RODO/GDPR?

Przegląd i doradztwo RODO/GDPR to kompleksowa ocena zgodności z Rozporządzeniem o Ochronie Danych Osobowych obejmująca inwentaryzację przetwarzania, podstawy prawne, prawa osób, umowy powierzenia i środki techniczne ochrony danych.

Atrybut	Wartość
Regulacja	RODO (GDPR) - EU 2016/679
Zakres	Procesy, dokumentacja, środki techniczne
Deliverable	Raport z rekomendacjami + szablony
Czas realizacji	2-4 tygodnie
Cena	od 35 000 PLN (stan na 2026)

nFlo oferuje przegląd i doradztwo rodo/gdpr dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.

Problem

Kontrola UODO ujawniła 15 naruszeń - kara 250 000 PLN

E-commerce nie miał rejestru czynności przetwarzania, nie informował klientów o prawach, przekazywał dane do USA bez odpowiednich zabezpieczeń. UODO przeprowadził kontrolę po zgłoszeniu klienta. Znaleziono 15 naruszeń RODO. Kara: 250 000 PLN + nakaz usunięcia nieprawidłowości w 30 dni + kontrola follow-up.

Bez zgodności z RODO:

• Ryzykujesz kary do 20 mln EUR lub 4% rocznego obrotu
• Tracisz zaufanie klientów po wyciekach danych
• Nie możesz współpracować z kontrahentami wymagającymi compliance
• Pozwy zbiorowe od osób których dane naruszono (GDPR class actions)

Nasze rozwiązanie

Od audytu do pełnej zgodności RODO

Nie zostawiamy Cię z raportem pełnym paragrafów. Tłumaczymy RODO prostym językiem, dostarczamy gotowe szablony dokumentacji dopasowane do Twojej branży i pomagamy wdrożyć praktyczne procedury które działają.

Co dostajesz:

• Audyt przetwarzania danych osobowych w organizacji
• Inwentaryzację wszystkich zbiorów i procesów przetwarzania
• Gap analysis względem wymagań RODO i identyfikację ryzyk
• Ocenę podstaw prawnych przetwarzania (umowa, zgoda, interes prawny)
• Przegląd umów powierzenia z dostawcami (hosting, CRM, marketing)
• Ocenę środków technicznych i organizacyjnych (szyfrowanie, backup, kontrola dostępu)
• Plan naprawczy - priorytetyzowane działania z deadlines
• Gotowe szablony: polityka prywatności, klauzule informacyjne, zgody, rejestry
• Procedury: naruszenia, prawa osób, transfer międzynarodowy
• Szkolenia dla pracowników i zarządu (awareness RODO)
• Wsparcie w przygotowaniu do kontroli UODO

Dla kogo?

Ta usługa jest dla Ciebie, jeśli:

• Przetwarzasz dane osobowe klientów, pracowników, kontrahentów
• Nie masz rejestru czynności przetwarzania (wymagany dla >250 pracowników)
• Nie aktualizowałeś dokumentacji RODO od 2018 roku
• Planujesz kontrolę UODO lub dostałeś zgłoszenie od osoby
• Chcesz mieć pewność że spełniasz wymogi i unikniesz kar

Kluczowe obszary RODO

1. Podstawy prawne przetwarzania

Każde przetwarzanie musi mieć podstawę z Art. 6 RODO:

• Umowa - dane konieczne do wykonania umowy (np. dostawa towaru)
• Zgoda - dobrowolna, konkretna, świadoma (najsłabsza podstawa)
• Obowiązek prawny - wymagany przez prawo (np. rachunkowość)
• Interes prawny - uzasadniony interes administratora (np. marketing)
• Interes życiowy - ochrona życia lub zdrowia
• Zadanie publiczne - wykonywanie władzy publicznej

Najczęstszy błąd: Wszystko na zgody (powinno być: umowa + interes prawny)

2. Obowiązek informacyjny

Musisz poinformować osoby o przetwarzaniu PRZED zbieraniem danych:

• Administrator i kontakt do IOD
• Cele i podstawy prawne
• Odbiorcy danych (kto dostanie dane)
• Okres przechowywania
• Prawa osób (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie)
• Prawo do skargi do UODO
• Czy podanie danych jest obowiązkowe

Gdzie: Klauzula informacyjna przy formularzach, polityka prywatności

3. Rejestry czynności przetwarzania

Wymagany dla organizacji >250 pracowników LUB przetwarzających dane wrażliwe:

• Nazwa i dane kontaktowe administratora i IOD
• Cele przetwarzania
• Kategorie osób i danych
• Kategorie odbiorców (komu przekazujesz)
• Transfery międzynarodowe
• Terminy usunięcia
• Środki bezpieczeństwa

Format: Może być Excel, nie musi być skomplikowany

4. Umowy powierzenia przetwarzania

Wymagane z każdym podmiotem który przetwarza dane w Twoim imieniu:

• Hosting / cloud providers (AWS, Azure, nazwa.pl)
• CRM / marketing automation (HubSpot, Mailchimp, Salesforce)
• Biuro rachunkowe
• Agencje marketingowe z dostępem do danych
• Call center / outsourcing obsługi

Wymagania: Art. 28 RODO - szczegółowe zapisy o bezpieczeństwie

5. Prawa osób których dane dotyczą

Musisz umożliwić realizację praw w terminie 1 miesiąc:

• Prawo dostępu - kopia danych (bezpłatnie pierwsze żądanie)
• Prawo do sprostowania - poprawienie błędnych danych
• Prawo do usunięcia (“prawo do bycia zapomnianym”)
• Prawo do ograniczenia - wstrzymanie przetwarzania
• Prawo do przenoszenia - otrzymanie danych w formacie maszynowym
• Prawo sprzeciwu - wobec marketingu i profilowania

Procedura: Jak weryfikujesz tożsamość? Kto odpowiada? W jakim terminie?

6. Zgłaszanie naruszeń

Naruszenie ochrony danych = incydent bezpieczeństwa z wpływem na dane osobowe:

• Do UODO: 72 godziny od stwierdzenia (jeśli wysokie ryzyko)
• Do osób: Bez zbędnej zwłoki (jeśli wysokie ryzyko dla praw)
• Dokumentacja: Rejestr wszystkich naruszeń (nawet niezgłoszonych)

Przykłady: Ransomware, wyciek bazy, zgubiony laptop, wysłanie do złego odbiorcy

7. DPIA - Ocena skutków dla ochrony danych

Wymagana przed wdrożeniem systemów/procesów wysokiego ryzyka:

• Systematyczne profilowanie i automatyczne decyzje
• Przetwarzanie wrażliwych danych na dużą skalę
• Systematyczne monitorowanie (monitoring, CCTV)
• Nowe technologie (AI, biometria)

Proces: Opis, konieczność, proporcjonalność, ocena ryzyka, zabezpieczenia

Częste błędy RODO

Błąd #1: Marketing bez podstawy prawnej

“Zgoda na newsletter” w checkboxie przy rejestracji (pre-checked) = NIEWAŻNA Prawidłowo: Osobny, dobrowolny checkbox z konkretną informacją

Błąd #2: Brak umów powierzenia

Używasz Google Analytics, Mailchimp, hosting - brak umów powierzenia Ryzyko: Nielegalny transfer do USA, brak kontroli nad danymi

Błąd #3: Przechowywanie “na zawsze”

Dane klientów z 2010 roku nadal w systemie mimo braku aktywności Prawidłowo: Okresy przechowywania i automatyczne usuwanie

Błąd #4: Brak procedury naruszeń

Wyciek danych - firma nie wie co robić, nie zgłasza do UODO w 72h Ryzyko: Podwójne kary (za naruszenie + brak zgłoszenia)

Błąd #5: Transfery do USA

Używanie Google/Meta/AWS bez odpowiednich zabezpieczeń SCC Prawidłowo: Standard Contractual Clauses + Transfer Impact Assessment

Często zadawane pytania

Czy muszę mieć IOD (Inspektora Ochrony Danych)?

Tak, jeśli: (1) jesteś organem publicznym, (2) przetwarzasz dane wrażliwe na dużą skalę, (3) systematycznie monitorujesz osoby. Większość firm prywatnych NIE musi mieć IOD, ale może wyznaczyć dobrowolnie.

Ile kosztuje audyt RODO?

Audyt: 15 000 - 40 000 PLN (zależnie od wielkości i złożoności). Wdrożenie kompletnej dokumentacji: 20 000 - 60 000 PLN. Szkolenia: 3 000 - 8 000 PLN. Outsourcing IOD: 2 000 - 8 000 PLN/miesiąc.

Czy mogę używać Google Analytics po Schrems II?

Tak, ale musisz: (1) mieć Standard Contractual Clauses z Google, (2) przeprowadzić Transfer Impact Assessment, (3) wdrożyć dodatkowe zabezpieczenia (pseudonimizacja IP, szyfrowanie), (4) poinformować użytkowników w polityce cookies.

Jak długo mogę przechowywać dane?

Zależy od celu i podstawy prawnej. Dane do umowy: przez czas trwania + przedawnienie roszczeń (zwykle 3-6 lat). Marketing: do wycofania zgody/sprzeciwu. Księgowość: 5 lat (obowiązek prawny). Nie ma uniwersalnej odpowiedzi - ustal dla każdego celu.

Co zrobić po otrzymaniu żądania dostępu do danych?

(1) Zweryfikuj tożsamość osoby, (2) Przygotuj kopię danych w czytelnej formie (PDF, Excel), (3) Dołącz informacje o przetwarzaniu (cele, podstawy, odbiorcy, okres), (4) Wyślij w terminie 1 miesiąca (można przedłużyć o 2 m-ce jeśli złożone). Pierwsza kopia = bezpłatnie.