RODO w praktyce – Rzeczy, o których większość firm nie ma pojęcia (a powinna)

RODO obowiązuje od 2018 roku, ale w większości firm i instytucji wygląda tak samo jak pierwszego dnia: gdzieś istnieją jakieś „polityki”, ktoś kiedyś zrobił wdrożenie „na dokumentach”, a dane osobowe… no cóż, żyją własnym życiem.

Im dłużej pracuję z organizacjami, tym bardziej widzę, że RODO nie jest problemem prawnym. RODO jest problemem organizacyjno-technicznym.
A to oznacza, że sama znajomość przepisów nic nie daje – trzeba wiedzieć jak zorganizować dane, procesy, ludzi i systemy, żeby nie powstawały ryzyka.

Poniżej znajdziesz praktyczny przewodnik, który pokazuje, gdzie firmy najczęściej popełniają błędy i co tak naprawdę oznacza zgodność z RODO w 2025 roku.

1. RODO to nie dokumenty. RODO to procesy i odpowiedzialność

Najczęściej spotykany schemat:

• firma zamawia „wdrożenie RODO”,
• dostaje segregator + PDF,
• odkłada na półkę,
• nikt nie wie, co tam jest,
• nikt tego nie stosuje.

A potem przychodzi incydent, były pracownik wynosi dane, laptop zostaje skradziony albo ktoś wysyła e-mail do 150 osób w UDW.

I w tej chwili zaczyna się prawdziwe RODO:
czy potrafimy udowodnić, że wiedzieliśmy, co robimy?

RODO to system:

• co zbieramy,
• po co,
• na jakiej podstawie,
• kto ma dostęp,
• kiedy usuwamy,
• jak zabezpieczamy,
• jak reagujemy na incydenty,
• jak współpracujemy z dostawcami.

To nie jest jednorazowy projekt – to cykl, w którym odpowiadamy za dane od początku do końca.

2. „Mamy RODO” ≠ „jesteśmy zgodni z RODO”

To, że w firmie istnieje polityka bezpieczeństwa, nie znaczy, że firma ją stosuje.
Regulatorzy i audytorzy patrzą na rzeczywistość, a nie na to, co jest w segregatorze.

Najczęstsze grzechy:

• polityka mówi o szyfrowaniu – nikt nie szyfruje,
• polityka mówi o retencji – nikt nie usuwa danych,
• polityka mówi o kopiach – kopie nie działają albo nikt nie testuje odtwarzania,
• jest lista uprawnień – ale konta pracowników po odejściu nadal działają,
• dokumentacja opisuje „instrukcję reagowania na incydent” – nikt jej nie zna.

Prawdziwa zgodność zaczyna się wtedy, gdy:

• polityki odpowiadają rzeczywistości (a nie odwrotnie),
• procesy są realne, krótkie, proste,
• da się je wdrożyć bez MBA i doktoratu z prawa.

3. Dane osobowe są wszędzie – nawet tam, gdzie nikt ich nie widzi

Przykłady z prawdziwych firm:

• katalog „/backup_old/” sprzed 8 lat z pełnymi skanami dowodów,
• Excel „Kopia (3)” z danymi klientów na prywatnym laptopie księgowej,
• Google Sheets współdzielony z byłym pracownikiem,
• USB z bazą klientów w szufladzie,
• logi serwera zawierające e-maile, IP i identyfikatory,
• nagrania z kamer trzymane przez lata „na wszelki wypadek”,
• faktury z danymi klientów w Dropboxie bez hasła.

RODO nie mówi: „masz mieć dokumenty”.
RODO mówi: masz panować nad danymi.

4. Dostawcy i podwykonawcy – największa bomba czasowa

Firmy uwielbiają mówić:

„to nie my, to dostawca”.

Problem polega na tym, że RODO mówi coś dokładnie odwrotnego:

Jeżeli firma korzysta z usług podmiotu przetwarzającego, to firma odpowiada za jego bezpieczeństwo.

A teraz pomyśl:

• hosting,
• księgowość online,
• CRM,
• e-mail,
• marketing automation,
• chmury,
• call center,
• system monitoringu,
• nawet serwisant od drukarek.

Każdy z nich przetwarza dane.
Każdy generuje ryzyko.
Każdego trzeba zweryfikować – i to cyklicznie.

5. Incydenty – 80% firm nie realizuje procedury, którą posiada

Papier mówi:
„Incydent informatyczny należy zgłosić do Administratora Danych Osobowych w ciągu 24 godzin”.

Rzeczywistość:

Ludzie nie wiedzą:

• co to jest incydent,
• komu to zgłosić,
• że wysłanie e-maila do złej osoby to incydent (tak),
• że zgubiony laptop to incydent (tak),
• że wyciek hasła to incydent (tak),
• że czasem trzeba to raportować do UODO,
• kiedy raportować (72 godziny – często za mało bez przygotowania).

W praktyce działa wyłącznie:

• krótka checklista,
• prosty kanał zgłaszania,
• osoba odpowiedzialna, która realnie wie, co robi.

6. Cyberbezpieczeństwo i RODO są nierozerwalne

Najważniejsza rzecz, o której mało kto mówi:

RODO to nic innego jak zarządzanie ryzykiem + cyberbezpieczeństwo.

Art. 32 RODO:

• szyfrowanie,
• pseudonimizacja,
• poufność,
• integralność,
• odporność systemów,
• testy bezpieczeństwa,
• przywracanie danych po incydencie.

Brzmi jak ISO 27001? Jak NIST? Jak CMMC Level 1/2?

Bo to jest dokładnie to samo.

Problem zaczyna się wtedy, gdy:

• dokumenty robi prawnik,
• technikalia robi IT,
• a pomiędzy nimi nie ma mostu.

RODO działa dopiero wtedy, gdy:

• prawo,
• procedury,
• infrastruktura,
• cyber,
• backupy,
• dostawcy,
• użytkownicy

tworzą spójny system.

7. Najważniejsze pytanie: czy firma potrafi pokazać dowody?

RODO w 2025 roku to evidencing – umiejętność pokazania dowodów na to, że procedury działają.

Nie:

• „mamy napisane”,
• „powinno działać”,
• „IT powiedział, że jest OK”.

Ale:

• logi,
• rejestry,
• procedury,
• screeny,
• potwierdzenia szkoleń,
• testy backupu,
• rejestr incydentów,
• dowody na weryfikację dostawców.

Dokumenty to 20%. Dowody to 80%.

8. RODO w małych i średnich firmach – czego naprawdę potrzeba

Wbrew pozorom, większość firm nie potrzebuje 300-stronicowego wdrożenia.

To, czego potrzebują naprawdę:

• krótkie, realne polityki,
• procesy, które każdy rozumie,
• szyfrowanie, backupy i segmentacja,
• prosta ocena ryzyk,
• przegląd dostawców,
• rzeczowy monitoring,
• ktoś, kto faktycznie nad tym czuwa.

W praktyce firmy potrzebują zewnętrznego operatora bezpieczeństwa danych, który ogarnia wszystko holistycznie: od procedur po firewalla i backup.

9. RODO nie musi być trudne, ale musi być spójne

Wdrożenia nie działają, gdy:

• dokumenty są z kosmosu,
• polityki i infrastruktura mówią co innego,
• nie ma osoby odpowiedzialnej,
• dostawcy działają poza kontrolą,
• nie ma reakcji na incydenty,
• nikt nie monitoruje ryzyk.

Działa, gdy:

• ktoś patrzy na dane jak na proces techniczno-prawny,
• cyber, prawo, OT/IT, procedury i ludzie współpracują,
• jest prostota, technika i odpowiedzialność.

10. Przyszłość RODO to automatyzacja i cyberbezpieczeństwo

Świat idzie w kierunku:

• automatycznej retencji,
• automatycznego wykrywania incydentów,
• automatycznych polityk dostępu,
• automatycznych raportów,
• automatycznych testów backupu.

RODO przestaje być papierowe, a staje się cybernetyczne.

Firmy, które zostaną przy dokumentach i „ładnych segregatorach”, zostaną z tyłu.
Te, które przeniosą RODO na poziom:

• procesów,
• systemów,
• logów,
• dowodów

będą spokojne niezależnie od zmian w przepisach.

Podsumowanie

RODO nie jest czarną magią, ale wymaga:

• wiedzy technicznej,
• umiejętności projektowania procesów,
• zrozumienia ryzyk,
• doświadczenia w incydentach,
• praktyki w IT/OT,
• pracy z dokumentami i dowodami.

To połączenie cyberbezpieczeństwa, informatyki śledczej i zarządzania ryzykiem.

Firmy, które chcą spać spokojnie, szukają kogoś, kto potrafi połączyć te światy –
a nie tylko napisać dokumenty.

📞 Skontaktuj się

Zadbaj o bezpieczeństwo swojej firmy.
Pomagam w doborze, wdrożeniu i audycie skutecznych rozwiązań ochronnych.

📧 biuro@wichran.pl
📞 +48 515 601 621

Autor: Piotr Wichrań – Biegły sądowy z zakresu informatyki, ekspert cyberbezpieczeństwa IT/OT, licencjonowany detektyw
@Informatyka.Sledcza