Artykuły eksperckie
Artykuły eksperckie

Zmiana IOD krok po kroku. Jak wygląda audyt zerowy po przejęciu funkcji IOD przez naszą kancelarię?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

Radca prawny

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?

e-mail: kancelaria@afterlegal.pl

tel. +48 500 436 703

Opublikowano: 2 stycznia 2026

Decyzja o zmianie Inspektora Ochrony Danych lub przejściu z modelu wewnętrznego IOD na outsourcing to moment newralgiczny dla bezpieczeństwa firmy. Wielu przedsiębiorców obawia się luki w nadzorze i jednego wielkiego chaosu w dokumentacji. W Kancelarii After Legal proces ten mamy ustandaryzowany do poziomu procedury operacyjnej. Wiemy, że zmiana IOD to nie tylko formalność, ale przede wszystkim audyt otwarcia, który często ujawnia błędy i niedopatrzenia poprzedników. Poniżej prezentujemy harmonogram pierwszych 30 dni współpracy – od formalnego zgłoszenia w UODO, aż po audyt otwarcia i pełne objęcie nadzoru nad procesami przetwarzania danych w Twojej firmie.

Najważniejsze informacje w pigułce (TL;DR)

  • Ciągłość nadzoru: Zmiana IOD nie może powodować luki w bezpieczeństwie. Choć na formalne zgłoszenie zmiany do Prezesa UODO mamy ustawowo 14 dni, to samo powołanie następcy musi nastąpić tak, aby zachować ciągłość funkcji (nowy IOD powinien objąć stanowisko niezwłocznie po wygaśnięciu mandatu poprzednika).
  • Audyt zerowy: Przejęcie funkcji IOD zawsze zaczynamy od weryfikacji stanu zastanego. To moment, w którym identyfikujemy tzw. ,,trupy w szafie” i oceniamy ryzyko.
  • Przejęcie dokumentacji: Weryfikujemy Rejestr Czynności Przetwarzania (RCP), analizy ryzyka i umowy powierzenia. Często okazuje się, że dokumentacja nie przystaje do rzeczywistości firmy.
  • Komunikacja: Jako nowy IOD przejmujemy rolę punktu kontaktowego dla pracowników i Prezesa UODO.

Sprawdź również: Kara za brak skutecznego wyznaczenia Inspektora Ochrony Danych

Krok 1: Formalności w UODO (Pierwsze 48h)

Po podpisaniu umowy o outsourcing funkcji IOD, działamy błyskawicznie, aby zapewnić legalność naszych działań.

  1. Odwołanie poprzedniego IOD: Pomagamy przygotować dokumenty korporacyjne (uchwałę zarządu lub zarządzenie) odwołujące dotychczasowego inspektora ochrony danych osobowych. To kluczowe, aby zamknąć jego odpowiedzialność w konkretnej dacie.
  2. Powołanie nowego IOD: Następuje formalne wyznaczenie naszej osoby kontaktowej jako nowego Inspektora Ochrony Danych.
  3. Zgłoszenie do Prezesa UODO: W imieniu klienta (lub instruując go krok po kroku) dokonujemy aktualizacji danych w systemie ePUAP. Mamy na to ustawowo 14 dni, ale standardem w naszej kancelarii jest załatwienie tego w 48 godzin od startu współpracy.

Ważne: Od momentu zgłoszenia, nasze dane kontaktowe widnieją w oficjalnym rejestrze UODO. Jeśli urząd wyśle kontrolę lub zapytanie – trafi ono bezpośrednio do nas, zdejmując ten ciężar z barków Zarządu.

Ustanowienie kanałów komunikacji i dostępność IOD

IOD nie może być duchem. Musi być dostępny dla pracowników (,,zgubiłem laptopa z danymi klientów!”) i dla osób, których dane dotyczą (,,żądam usunięcia moich danych!”).

W ramach kroku 1 dodatkowo:

  1. Adres kontaktowy: Uruchamiamy dedykowany adres e-mail, obsługiwany przez nasz zespół.
  2. Spisana procedura na wypadek incydentu: Szkolimy kluczowych pracowników (HR, IT, Administracja, Marketing), co zrobić w przypadku wycieku danych. Czas reakcji to 72 godziny – pracownik musi wiedzieć, że ma dzwonić do nas, a nie próbować ukryć problem.
  3. Aktualizacja klauzul: Przesyłamy gotowe wzory stopek mailowych i klauzul informacyjnych z nowymi danymi IOD, do podmiany w systemach.

Sprawdź również: Czy prezes firmy może być jednocześnie Inspektorem Ochrony Danych (IOD)?

Krok 2: Audyt zerowy (Tydzień 1-2)

Nie można brać odpowiedzialności za coś, czego się nie zna. Dlatego kluczowym elementem onboardingu jest ,,Audyt zerowy”. Nie jest to pełny audyt zgodności z RODO (który trwa dłużej), ale precyzyjny przegląd stanu bezpieczeństwa.

Weryfikujemy 3 krytyczne obszary:

  1. Mapowanie procesów: Czy firma wie, jakie dane przetwarza? Często okazuje się, że dział marketingu wdrożył nowe narzędzie do automatyzacji, o którym poprzedni IOD nie miał zielonego pojęcia.
  2. Klauzule na stronach www: Sprawdzamy wszystkie strony internetowe firmy (od firmowej strony www, przez landing pages, po działające sklepy internetowe). Błędy w polityce prywatności czy zgodach na cookies są najłatwiejszym celem dla kontrolerów i konkurencji.
  3. Incydenty z przeszłości: Pytamy o historię naruszeń. Czy były zgłaszane? Czy rejestr naruszeń jest pusty (co jest podejrzane), czy prowadzony rzetelnie?

Efekt: Zarząd otrzymuje ,,Raport otwarcia” z listą czerwonych flag – rzeczy, które musimy naprawić natychmiast, ponieważ wprost grożą karą.

Krok 3: Przejęcie i weryfikacja dokumentacji (Tydzień 2-3)

Wyzwaniem, jakie często identyfikujemy na tym etapie, jest dysonans między przyjętą dokumentacją a realiami operacyjnymi przedsiębiorstwa. Dokumentacja ochrony danych nie może opierać się na generycznych szablonach; musi stanowić wierne odzwierciedlenie faktycznych procesów zachodzących w firmie.

Nasz zespół prawny przejmuje i poddaje weryfikacji merytorycznej:

  • Rejestr Czynności Przetwarzania (RCP): Weryfikujemy, czy obejmuje on wszystkie aktualne procesy (np. niedawno wdrożone systemy CRM czy narzędzia marketing automation).
  • Analizy ryzyka: Sprawdzamy, czy oceny ryzyka są aktualne i adekwatne do obecnej architektury IT oraz struktury organizacyjnej.
  • Umowy powierzenia: Audytujemy łańcuch podwykonawców – czy umowy z dostawcami usług (księgowość, hosting, niszczenie dokumentów) są prawnie skuteczne i zgodne z art. 28 RODO.

Często proces ten kończy się rekomendacją aktualizacji lub stworzenia nowych procedur, które zapewnią nie tylko formalną, ale i rzeczywistą zgodność prawną.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Krok 4: Bieżąca obsługa IOD dla Twojego zespołu

Po zakończeniu onboardingu, wchodzimy w tryb stałej współpracy i działamy w trybie ciągłym:

  • Opiniowanie umów: Dział handlowy negocjuje kontrakt z klientem? Sprawdzamy zapisy RODO.
  • Nowe projekty: IT wdraża rozwiązania chmurowe? Przeprowadzamy ocenę skutków dla ochrony danych (DPIA).
  • Newslettery: Marketing chce wysłać mailing? Weryfikujemy bazę zgód.

Naszym celem jest zdjęcie z zarządu ryzyka operacyjnego. To my jesteśmy ,,buforem” między firmą a przepisami.

Dlaczego warto powierzyć funkcję zewnętrznego IOD Kancelarii After Legal?

Przejęcie funkcji IOD przez naszą kancelarię to przejście z modelu ,,jakoś to będzie” na model profesjonalnego zarządzania ryzykiem.
Gwarantujemy:

  • Brak konfliktu interesów: Jesteśmy zewnętrznym podmiotem, niezależnym od Waszych działów IT, marketingu czy HR.
  • Ciągłość: Nie idziemy na urlop, nie chorujemy. Nad bezpieczeństwem Twojej firmy czuwa zespół, a nie jedna osoba.
  • Interdyscyplinarność: Łączymy wiedzę prawną (radcowie prawni i adwokaci) z wiedzą techniczną o bezpieczeństwie IT.

Zastanawiasz się nad zmianą IOD? Skontaktuj się z nami. Przeprowadzimy ten proces tak, abyś nawet nie poczuł biurokratycznego ciężaru, a zyskał realne bezpieczeństwo.