Checklist RODO na 2026 r dla firm

 

Aktualna, praktyczna lista kontrolna zgodności z RODO (stan na 2026 r.), z uwzględnieniem różnic branżowych i realiów biznesowych.

---

1. Checklist RODO – część ogólna (dla każdej firmy)

A. Podstawy organizacyjne

• ⬜ Wyznaczono administratora danych (ADO) i jasno opisano jego rolę w szczególności
          w relacji: ADO ↔ADO lub ADO ↔Procesor
• ⬜ Sprawdzono, czy konieczne jest powołanie IOD (Inspektora Ochrony Danych)
• ⬜ Zakres obowiązków IOD jest aktualny i faktycznie realizowany
• ⬜ Personel ma jasno przypisane role w przetwarzaniu danych

B. Dokumentacja RODO

• ⬜ Rejestr czynności przetwarzania (RCzP) – aktualny i kompletny
• ⬜ Polityka ochrony danych osobowych – zaktualizowana
• ⬜ Polityka bezpieczeństwa IT / informacji
• ⬜ Procedura nadawania i odbierania upoważnień
• ⬜ Procedura realizacji praw osób, których dane dotyczą
• ⬜ Procedura naruszeń ochrony danych (72h)
• ⬜ Procedura retencji i usuwania danych

C. Podstawy prawne przetwarzania

• ⬜ Każdy proces ma przypisaną właściwą podstawę prawną (art. 6 / 9 RODO)
• ⬜ Zgody są dobrowolne, konkretne, możliwe do wycofania
• ⬜ Zgody nie są „domyślne” ani ukryte w regulaminach

D. Obowiązek informacyjny

• ⬜ Klauzule informacyjne są aktualne (strona WWW, formularze, umowy)
• ⬜ Klauzule są napisane prostym językiem
• ⬜ Osoby są informowane o wszystkich celach przetwarzania

E. Umowy i podmioty przetwarzające

• ⬜ Zidentyfikowano wszystkich procesorów (IT, księgowość, HR, marketing)
• ⬜ Umowy powierzenia są aktualne i zgodne z art. 28 RODO
• ⬜ Zweryfikowano dalsze powierzenia
• ⬜ Sprawdzono transfery danych poza UE (SCC, TIA)

F. Bezpieczeństwo danych

• ⬜ Wdrożono adekwatne środki techniczne i organizacyjne
• ⬜ Stosowane są MFA, silne hasła, szyfrowanie
• ⬜ Backupy są regularne i testowane
• ⬜ Dostępy są nadawane wg zasady minimalizacji

G. Prawa osób fizycznych

• ⬜ Firma obsługuje wnioski w terminach RODO
• ⬜ Istnieje rejestr żądań
• ⬜ Personel wie, jak reagować na żądania

H. Szkolenia i świadomość

• ⬜ Regularne szkolenia RODO (min. raz w roku)
• ⬜ Szkolenia onboardingowe dla nowych pracowników
• ⬜ Testy wiedzy / potwierdzenia udziału

I. Audyty i ryzyko

• ⬜ Regularna analiza ryzyka
• ⬜ DPIA tam, gdzie wymagane
• ⬜ Audyt wewnętrzny RODO min. raz w roku

---

2. Checklist branżowa – dodatki

IT / SaaS / Software House

• ⬜ Jasny podział ról: ADO vs procesor
• ⬜ Privacy by design & by default w produktach
• ⬜ Logi i monitoring zgodne z zasadą minimalizacji
• ⬜ Procedury dla testów, środowisk DEV/TEST
• ⬜ Retencja danych klientów po zakończeniu umowy

E-commerce

• ⬜ Zgodne cookies i CMP (Consent Management Platform)
• ⬜ Zgody marketingowe oddzielone od regulaminu
• ⬜ Retencja danych klientów i kont nieaktywnych
• ⬜ Integracje z firmami kurierskimi i płatniczymi
• ⬜ Remarketing zgodny z RODO i ePrivacy

HR / Rekrutacja

• ⬜ Odrębne klauzule dla kandydatów i pracowników
• ⬜ Zgody na przyszłe rekrutacje
• ⬜ Dane wrażliwe (badania, niepełnosprawność) – szczególna ochrona
• ⬜ Okresy przechowywania CV

Marketing / Agencje

• ⬜ Jasne role: administrator czy procesor
• ⬜ Zgody na marketing zgodne z RODO i ustawami sektorowymi
• ⬜ Profilowanie opisane w klauzulach
• ⬜ Legalność baz danych

Medycyna / Zdrowie

• ⬜ Przetwarzanie danych szczególnych kategorii
• ⬜ Ograniczony dostęp do dokumentacji medycznej
• ⬜ DPIA dla systemów IT
• ⬜ Ścisła kontrola personelu i uprawnień

Edukacja / Szkolenia

• ⬜ Dane dzieci i młodzieży – dodatkowe zabezpieczenia
• ⬜ Zgody rodziców (jeżeli wymagane)
• ⬜ Wizerunek (zdjęcia, nagrania)
• ⬜ Platformy e-learningowe i dostawcy IT

---

3. Co szczególnie ważne w 2026 r.

• 🔍 Większy nacisk organów na realne stosowanie RODO, nie tylko dokumenty
• 🔍 Kontrole cookies, marketingu i transferów poza UE
• 🔍 Odpowiedzialność zarządu
• 🔍 Integracja RODO z NIS2, AI Act i cyberbezpieczeństwem

---

4. Najczęstsze błędy RODO w 2026 r.

• ❌ „RODO na papierze” – dokumentacja jest, ale procedury nie działają w praktyce
• ❌ Nieaktualny rejestr czynności przetwarzania (nowe systemy, narzędzia, integracje)
• ❌ Brak analizy ryzyka po wdrożeniu nowych technologii (AI, automatyzacje, monitoring)
• ❌ Niewłaściwe podstawy prawne – nadużywanie zgody zamiast umowy lub obowiązku prawnego
• ❌ Zgody marketingowe niezgodne z RODO i przepisami sektorowymi (cookies, e-mail, SMS)
• ❌ Brak DPIA tam, gdzie jest wymagane (profilowanie, dane wrażliwe, monitoring)
• ❌ Niedostosowane umowy powierzenia (stare wzory, brak dalszych powierzeń)
• ❌ Transfery danych poza UE bez realnej oceny ryzyka (TIA tylko „dla formalności”)
• ❌ Brak regularnych szkoleń – pracownicy nie wiedzą, jak reagować na incydenty i wnioski
• ❌ Niedotrzymywanie terminów realizacji praw osób, których dane dotyczą
• ❌ Brak testów procedury naruszeń (firma nie wie, co zrobić w 72h)
• ❌ Zbyt szerokie dostępy do danych (brak zasady minimalizacji)
• ❌ Brak powiązania RODO z cyberbezpieczeństwem, NIS2 i AI Act

---

5. Najczęstsze błędy RODO w 2026 r. – MŚP

(małe i średnie przedsiębiorstwa)

• ❌ Przekonanie „nas RODO nie dotyczy, bo jesteśmy mali”
• ❌ Kopiowanie dokumentów RODO z Internetu lub od innej firmy
• ❌ Brak rejestru czynności przetwarzania „bo nie ma czasu”
• ❌ Łączenie zgody z umową (np. klient musi wyrazić zgodę marketingową)
• ❌ Brak umów powierzenia z księgową, IT, hostingiem, CRM
• ❌ Nieświadome przekazywanie danych poza UE (narzędzia SaaS)
• ❌ Brak procedury naruszeń – panika zamiast działania
• ❌ Brak wiedzy, czym jest DPIA i kiedy jest wymagana
• ❌ Dostęp do danych „dla wszystkich, bo tak wygodniej”
• ❌ Brak szkoleń – RODO zna tylko właściciel
• ❌ Brak retencji danych (CV, klienci, maile przechowywane latami)
• ❌ Nieuaktualnione klauzule informacyjne na stronie WWW