ServiceQuote

25 czerwca 2026

Autor: Radosław Anioł, ServiceQuote

RODO po kilku latach: co może się zdezaktualizować w firmie?

Jak sprawdzić, które elementy RODO mogły się zdezaktualizować po zmianie systemów, dostawców, formularzy, procesów HR lub marketingu.

RODOdokumentacjaprocesy

W wielu firmach RODO było porządkowane raz: przy pierwszym wdrożeniu, po zmianie przepisów, przy starcie strony internetowej albo przy okazji większej aktualizacji dokumentów. Potem dokumentacja została zapisana w folderze, polityka prywatności trafiła na stronę, a umowy powierzenia zaczęły funkcjonować jako stały element współpracy z dostawcami.

Po kilku latach problemem zwykle nie jest to, że firma „nie ma RODO”. Częściej problem polega na tym, że organizacja działa już inaczej niż wtedy, gdy dokumenty były przygotowywane.

Zmieniły się systemy, formularze, narzędzia marketingowe, procesy rekrutacyjne, dostawcy IT albo sposób obsługi klientów. Dokumentacja może nadal istnieć, ale nie zawsze odpowiada temu, jak dane są faktycznie przetwarzane dzisiaj.

Dlatego przed rozmową z wykonawcą warto nie tylko zebrać dokumenty, ale też zastanowić się, co w firmie mogło się zmienić od czasu ostatniego uporządkowania RODO.

RODO dezaktualizuje się razem z firmą

Dokumentacja RODO nie starzeje się wyłącznie dlatego, że mija czas. Najczęściej dezaktualizuje się dlatego, że firma zmienia sposób działania.

Nowy system CRM może oznaczać inne źródła danych kontaktowych. Nowy formularz rekrutacyjny może zmienić zakres informacji zbieranych od kandydatów. Zewnętrzne narzędzie mailingowe może wprowadzić nowego dostawcę, który powinien być uwzględniony w umowach i opisach procesów. Rozbudowa sklepu internetowego, panelu klienta albo systemu zgłoszeń może zmienić sposób, w jaki dane trafiają do firmy i kto ma do nich dostęp.

Z zewnątrz to nadal może wyglądać jak ten sam temat: „RODO w firmie”. W praktyce zmienił się jednak stan faktyczny, a to on decyduje o tym, czy dokumenty i procedury nadal są spójne z rzeczywistością.

W RODO najczęściej nie dezaktualizuje się sam dokument. Dezaktualizuje się jego zgodność z tym, jak firma realnie zbiera, wykorzystuje i przekazuje dane.

Obszary, które najczęściej wymagają ponownego sprawdzenia

Nie każda zmiana w firmie oznacza konieczność przebudowy całej dokumentacji. Warto jednak wiedzieć, które obszary najczęściej powodują rozjazd między dokumentami a praktyką.

ObszarCo mogło się zmienićCo warto sprawdzić przed rozmową
Systemy i narzędziaNowy CRM, ERP, system HR, sklep, newsletter, helpdeskCzy dokumenty opisują aktualne systemy i przepływy danych
DostawcyNowe firmy IT, hosting, marketing, księgowość, rekrutacjaCzy są aktualne umowy powierzenia i lista dostawców
FormularzeNowe formularze kontaktowe, zapisy, zgłoszenia, rekrutacjaCzy zakres danych i zgody odpowiadają temu, co firma faktycznie zbiera
Marketing i sprzedażNowe kampanie, bazy kontaktów, automatyzacje, remarketingCzy komunikaty, zgody i źródła danych są spójne
HR i rekrutacjaNowe narzędzia, procesy onboardingu, dokumenty pracowniczeCzy opisano aktualny sposób pracy z danymi kandydatów i pracowników
Incydenty i żądania osóbZmiany w odpowiedzialności lub brak jasnej proceduryCzy wiadomo, kto reaguje i gdzie trafiają zgłoszenia
Polityka prywatnościNowe procesy na stronie lub w aplikacjiCzy treść polityki odpowiada realnym kanałom zbierania danych

Taka lista nie zastępuje przeglądu wykonanego przez specjalistę. Pomaga jednak zorientować się, czy firma rozmawia o drobnej aktualizacji, czy o szerszym sprawdzeniu obecnego stanu.

Mapa obszarów RODO, które mogą się zdezaktualizować po zmianach w firmie

Mapa pokazuje obszary, w których dokumentacja RODO może przestać odpowiadać aktualnej praktyce firmy.

Przykład: dokumenty są, ale firma działa już inaczej

Wyobraźmy sobie firmę, która uporządkowała RODO kilka lat temu. Wtedy miała prostą stronę internetową, jeden formularz kontaktowy, podstawowy proces rekrutacyjny i kilku stałych dostawców.

Po czasie firma uruchomiła newsletter, zmieniła system CRM, zaczęła korzystać z zewnętrznego narzędzia do rekrutacji i przeniosła część obsługi klienta do nowego systemu zgłoszeń. Doszły też kampanie marketingowe prowadzone przez zewnętrzną agencję.

Formalnie dokumenty RODO nadal istnieją. W praktyce część z nich może już nie opisywać aktualnych procesów. Polityka prywatności może nie uwzględniać nowych formularzy. Lista dostawców może być niepełna. Umowy powierzenia mogą nie obejmować nowych narzędzi. Osoby w firmie mogą też nie wiedzieć, kto odpowiada za aktualizację tych elementów.

W takiej sytuacji samo pytanie „czy mamy RODO?” jest zbyt ogólne. Lepsze pytanie brzmi: które elementy RODO nadal odpowiadają temu, jak firma działa dzisiaj?

Co zebrać przed rozmową z wykonawcą

Przed rozmową nie trzeba tworzyć pełnej analizy ani samodzielnie rozstrzygać, czy wszystkie dokumenty są poprawne. Warto jednak przygotować podstawowe informacje o zmianach, które zaszły w firmie.

Pomocne będą odpowiedzi na kilka pytań:

  • Kiedy ostatnio przeglądano dokumentację RODO?
  • Czy od tego czasu zmieniły się systemy, formularze albo dostawcy?
  • Czy firma uruchomiła nowe działania marketingowe, sprzedażowe albo rekrutacyjne?
  • Czy pojawiły się nowe kategorie danych lub nowe grupy osób, których dane są przetwarzane?
  • Czy aktualna polityka prywatności opisuje wszystkie ważne formularze i kanały kontaktu?
  • Czy wiadomo, kto w firmie odpowiada za zgody, umowy powierzenia, żądania osób i incydenty?
  • Czy istnieje aktualna lista dostawców, którzy mają dostęp do danych osobowych?
  • Czy dokumenty są w jednym miejscu, czy są rozproszone między działami?

Jeżeli odpowiedzi są niepełne, nie musi to oznaczać dużego problemu. To raczej sygnał, że przed rozmową warto jasno nazwać, czego firma nie jest pewna.

Czego nie trzeba rozstrzygać samodzielnie

Częsty błąd polega na tym, że firma próbuje najpierw sama ocenić, czy jest „zgodna z RODO”, a dopiero później zgłosić się do wykonawcy. To może niepotrzebnie opóźniać rozmowę.

Na etapie przygotowania zapytania nie trzeba samodzielnie:

  • oceniać poprawności wszystkich klauzul i zgód,
  • tworzyć pełnej mapy procesów przetwarzania danych,
  • przesądzać, które umowy są kompletne, a które wymagają zmian,
  • interpretować szczegółowych obowiązków prawnych,
  • przygotowywać gotowego zakresu prac dla wykonawcy.

Wystarczy zebrać fakty: co się zmieniło, jakie dokumenty istnieją, czego firma nie jest pewna i kto po jej stronie może uzupełnić brakujące informacje.

Jeżeli zmian było dużo i nie wiadomo, od czego zacząć, naturalnym punktem wyjścia może być rozmowa o diagnozie obecnego stanu RODO. Jeżeli firma ma już listę konkretnych elementów do poprawy, łatwiej przejść do rozmowy o zakresie i wycenie prac.

Najważniejsze ryzyko: dokumenty oderwane od praktyki

W RODO samo posiadanie dokumentów nie wystarcza, jeśli nie opisują one aktualnego sposobu działania firmy. Największe ryzyko pojawia się wtedy, gdy dokumentacja żyje własnym życiem, a procesy operacyjne własnym.

Przykładem może być polityka prywatności, która opisuje tylko formularz kontaktowy, mimo że firma prowadzi newsletter, rekrutację online i korzysta z narzędzi analitycznych. Innym przykładem jest lista dostawców, która nie obejmuje nowych systemów używanych przez marketing, HR albo obsługę klienta.

W rozmowie z wykonawcą warto więc pokazać nie tylko dokumenty, ale też realne zmiany w firmie. To pozwala szybciej ustalić, czy potrzebna jest aktualizacja pojedynczych elementów, czy szersze uporządkowanie obszaru.

Podsumowanie

RODO po kilku latach rzadko wymaga sprawdzania „od zera” tylko dlatego, że minął czas. Częściej warto wrócić do tematu dlatego, że zmieniła się firma: jej systemy, dostawcy, formularze, procesy HR, marketing, sprzedaż albo obsługa klienta.

Dobrze przygotowana rozmowa nie musi zaczynać się od gotowej listy poprawek. Wystarczy zebrać informacje o tym, co się zmieniło, które dokumenty istnieją i których elementów firma nie jest pewna.

Najważniejsze jest dopasowanie dokumentów i procesów do aktualnej praktyki. To właśnie tam najczęściej pojawia się różnica między „mamy RODO” a „RODO nadal odpowiada temu, jak firma działa dzisiaj”.

Nie wiesz, od której ścieżki zacząć?

ServiceQuote pomaga uporządkować zapytanie i skierować firmę do właściwej ścieżki: audytu albo wyceny wdrożenia.