1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Kontrola UODO – jak wygląda w praktyce i jak się do niej przygotować
Wyszukiwanie...
Data publikacji: 31.01.2026

Kontrola UODO – jak wygląda w praktyce i jak się do niej przygotować

Spis treści

Kary za naruszenie przepisów RODO mogą sięgać nawet 20 mln euro lub 4% rocznego obrotu przedsiębiorstwa. Kontrola UODO to jeden z głównych instrumentów egzekwowania tych przepisów. Jeżeli Twoja firma przetwarza dane osobowe – klientów, pracowników, kontrahentów – musisz liczyć się z tym, że prędzej czy później możesz spotkać kontrolerów w swojej siedzibie.

Podstawy prawne kontroli UODO

Czynności kontrolne regulują m.in.:

  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.), w szczególności art. 79–88.
  • RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), w zakresie wspólnych działań organów nadzorczych państw UE.
  • Kodeks postępowania administracyjnego – przy sporządzaniu protokołów i przesłuchaniach (art. 67–71 oraz art. 83 k.p.a.).

Ustawa o ochronie danych osobowych jest przepisem szczególnym wobec ustawy Prawo przedsiębiorców. Oznacza to, że ograniczenia przewidziane dla kontroli przedsiębiorców w ustawie Prawo przedsiębiorców (np. limity czasu kontroli w roku) nie mają tu zastosowania.

Kto może przeprowadzić kontrolę

Zgodnie z art. 79 u.o.d.o., kontrolerami mogą być:

  • pracownicy UODO,
  • członkowie lub pracownicy organu nadzorczego innego państwa UE (przy wspólnych operacjach).

Jeśli kontrola wymaga wiedzy specjalistycznej, Prezes UODO może upoważnić do udziału w niej eksperta z odpowiednimi kompetencjami (art. 82 u.o.d.o.).

Obowiązek poufności – każdy kontrolujący jest zobowiązany do zachowania w tajemnicy informacji uzyskanych w toku kontroli.

Krok 1 – Wydanie imiennego upoważnienia

Bez imiennego upoważnienia kontrolerzy nie mogą przystąpić do czynności. Dokument ten musi zawierać m.in.:

  1. podstawę prawną kontroli,
  2. oznaczenie organu,
  3. imię, nazwisko, stanowisko służbowe i numer legitymacji kontrolera (lub dokumentu tożsamości – w przypadku kontrolera z innego kraju UE),
  4. zakres przedmiotowy kontroli,
  5. oznaczenie podmiotu kontrolowanego,
  6. datę rozpoczęcia i przewidywany termin zakończenia,
  7. podpis Prezesa UODO,
  8. pouczenie o prawach i obowiązkach kontrolowanego,
  9. datę i miejsce wystawienia.

Wzór upoważnienia jest określony w rozporządzeniu wykonawczym.

📌 Przykład z praktyki
Firma „Technosys” z Poznania otrzymała zapowiedź kontroli UODO. W upoważnieniu wskazano, że kontrola obejmuje proces przetwarzania danych klientów w systemie CRM oraz weryfikację procedur reagowania na incydenty bezpieczeństwa. Kontrola miała trwać 3 dni robocze.

Krok 2 – Czy UODO musi uprzedzać o kontroli?

Ustawa nie nakłada obowiązku wcześniejszego zawiadamiania o kontroli.
W praktyce UODO często kontynuuje zwyczaj GIODO i przekazuje informację telefonicznie – zwykle kilka dni wcześniej.
Wyjątkiem są sytuacje, gdy istnieje ryzyko ukrycia lub zniszczenia dowodów – wtedy kontrola może odbyć się bez zapowiedzi.

📌 Przykład
Sklep internetowy „EcoMarket” otrzymał kontrolę bez uprzedzenia, gdyż do UODO trafiły sygnały, że właściciel usuwa logi systemowe i próbuje zatrzeć ślady naruszeń.

Krok 3 – Okazanie legitymacji i upoważnienia

Przed rozpoczęciem czynności kontrolerzy muszą okazać:

  • legitymację służbową,
  • imienne upoważnienie.

Do czasu wydania nowego rozporządzenia w sprawie wzoru legitymacji, nadal obowiązują dokumenty według starego wzoru (rozporządzenie MSWiA z 22 kwietnia 2004 r.).

Krok 4 – Przekazanie kopii upoważnienia

Kontrolowany otrzymuje kopię dokumentu, w której znajdzie m.in. szczegóły zakresu kontroli i nazwiska kontrolerów. Warto od razu przeanalizować, czego dotyczy kontrola i przygotować dokumentację.

Praktyczne wskazówki na tym etapie

✔ Sprawdź uprawnienia kontrolerów – poproś o okazanie legitymacji i upewnij się, że nazwiska zgadzają się z upoważnieniem.
✔ Zachowaj spokój – pierwsze minuty kontroli to moment, w którym łatwo o niepotrzebne napięcia.
✔ Przygotuj miejsce i dokumenty – jeśli zapowiedziano kontrolę, wydziel pomieszczenie do pracy kontrolerów i przygotuj materiały w zakresie określonym w upoważnieniu.
✔ Wyznacz osobę do kontaktu – najlepiej, aby to był Inspektor Ochrony Danych lub inny kompetentny pracownik.

Uprawnienia kontrolerów podczas czynności

Zakres uprawnień kontrolujących określa art. 84 u.o.d.o.. Kontrolerzy mogą m.in.:

  • wejść na teren, gdzie przetwarzane są dane osobowe (budynki, pomieszczenia, serwerownie itp.),
  • żądać wglądu do dokumentów i informacji związanych z zakresem kontroli,
  • przeprowadzać oględziny miejsc, urządzeń, nośników danych i systemów informatycznych,
  • żądać pisemnych lub ustnych wyjaśnień od pracowników,
  • przesłuchiwać osoby,
  • zlecać sporządzenie ekspertyz i opinii,
  • rejestrować obraz i dźwięk w uzasadnionych przypadkach.

Godziny kontroli – od 6:00 do 22:00. Prawo nie przewiduje prowadzenia czynności w porze nocnej.

Obowiązki przedsiębiorcy podczas kontroli

Podmiot kontrolowany musi zapewnić kontrolerom warunki i środki niezbędne do pracy, w szczególności:

  • przygotować kopie lub wydruki żądanych dokumentów,
  • potwierdzić ich zgodność z oryginałem (odmowa jest odnotowywana w protokole),
  • umożliwić dostęp do pomieszczeń i urządzeń,
  • udzielać wyjaśnień,
  • wskazać osoby, które mogą odpowiedzieć na pytania kontrolerów.

📌 Przykład
Firma „LogiTrans” została skontrolowana w zakresie przetwarzania danych GPS pojazdów służbowych. Kontrolerzy poprosili o kopie umów z firmą hostingową, rejestr czynności przetwarzania i dokumentację z analizy ryzyka. Brak części dokumentów spowodował wpisanie tego faktu do protokołu.

Nowość – rejestrowanie obrazu i dźwięku

W uzasadnionych przypadkach kontrolerzy mogą utrwalać przebieg kontroli lub jej poszczególnych czynności. Mogą to robić przy pomocy kamer lub dyktafonów, po wcześniejszym poinformowaniu kontrolowanego.
Nagrania te stają się załącznikiem do protokołu.

Praktyczny tip: Jeżeli kontrola jest nagrywana, warto również prowadzić własne nagranie (np. wideo z telefonu służbowego) – oczywiście informując o tym kontrolerów.

Analiza dokumentacji – co sprawdza UODO

Kontrolerzy oceniają, czy działania administratora danych są zgodne z prawem, analizując m.in.:

  • Rejestr czynności przetwarzania
  • Rejestr naruszeń
  • dokumentację z analizy ryzyka
  • umowy powierzenia przetwarzania danych
  • oświadczenia zgód na przetwarzanie danych

Choć RODO nie wymaga już polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym (tak jak stara ustawa z 1997 r.), w praktyce ich posiadanie ułatwia wykazanie zgodności z zasadą rozliczalności.

📌 Przykład
Spółka „MediPrint” w trakcie kontroli okazała m.in. procedurę reagowania na incydenty, raport z analizy ryzyka i umowy powierzenia z dostawcami IT. Dzięki temu kontrola przebiegła sprawnie i zakończyła się bez zaleceń.

Przesłuchania świadków

Kontrolerzy mogą przesłuchiwać pracowników w zakresie niezbędnym do ustalenia stanu faktycznego. Z przesłuchania sporządza się protokół (art. 67–71 k.p.a.).
Świadek ma prawo zapoznać się z treścią protokołu i podpisać go dopiero po odczytaniu.

Oględziny

To czynności faktyczne – kontrolerzy uzyskują bezpośredni dostęp do urządzeń, pomieszczeń i systemów.
Oględziny służą np. weryfikacji zabezpieczeń w serwerowni, sprawdzeniu fizycznych zabezpieczeń dokumentów papierowych czy stanu systemów informatycznych.
Protokół oględzin może zawierać zrzuty ekranowe lub zdjęcia.

Ekspertyzy i opinie specjalistyczne

Jeżeli pojawi się zagadnienie wymagające wiedzy specjalistycznej (np. audyt bezpieczeństwa serwera), kontrolerzy mogą zlecić sporządzenie ekspertyzy lub opinii, która zostanie dołączona do materiału dowodowego.

Pomoc Policji

Jeżeli kontrolerzy napotkają opór – np. odmowę wpuszczenia na teren lub uniemożliwianie dostępu do dokumentów – mogą zwrócić się do Policji o pomoc w zapewnieniu bezpieczeństwa i dostępu do miejsca kontroli.

📌 Przykład
W firmie „SecureLog” pracownik ochrony nie chciał wpuścić kontrolerów do pomieszczenia z serwerami, twierdząc, że „nie było zapowiedzi”. Po interwencji Policji kontrola została przeprowadzona zgodnie z planem.

Sporządzanie protokołów cząstkowych

Każda ważna czynność kontrolna wymaga udokumentowania w formie protokołu, zgodnie z art. 67–71 Kodeksu postępowania administracyjnego.

1. Protokół analizy dokumentacji

Zawiera opis przeanalizowanych dokumentów (np. rejestrów, umów, procedur).
Do protokołu można dołączyć kopie dokumentów.
Tip: warto dopilnować, by kopie były kompletne i podpisane jako zgodne z oryginałem – to eliminuje ryzyko nieporozumień.

2. Protokół przesłuchania świadka

Powinien zawierać:

  • dane świadka i kontrolera,
  • datę i miejsce sporządzenia,
  • treść zeznań,
  • podpis świadka (po odczytaniu protokołu).

📌 Przykład
W firmie „DataCare” przesłuchano specjalistę IT w zakresie procedur backupu danych. W protokole znalazły się szczegółowe opisy harmonogramu tworzenia kopii zapasowych i ich lokalizacji.

3. Protokół oględzin

Zawiera opis przedmiotu oględzin i ustaleń faktycznych.
W przypadku systemów IT często dołącza się zrzuty ekranowe, które pokazują konfigurację lub zastosowane zabezpieczenia.

Ekspertyzy i opinie

Jeżeli kontrola wymagała ekspertyzy (np. test penetracyjny systemu), dokument ten jest przekazywany kontrolerowi, który go zlecił, i stanowi element materiału dowodowego w sprawie.

Udział Policji w czynnościach

Jeżeli Policja została wezwana, jej zadaniem jest:

  • zapewnienie bezpieczeństwa kontrolerów,
  • umożliwienie dostępu do miejsc przetwarzania danych,
  • utrzymanie porządku podczas kontroli.

Końcowy protokół kontroli

Zgodnie z art. 88 u.o.d.o., wszystkie czynności i ustalenia są ujmowane w końcowym protokole kontroli. Jest on przedstawiany podmiotowi kontrolowanemu.

Ważne:

  • Możesz wnieść zastrzeżenia do protokołu w określonym terminie (zwykle 7 dni).
  • Warto szczegółowo odnieść się do każdego punktu, z którym się nie zgadzasz, i załączyć dowody (np. brakujące dokumenty, zaktualizowane procedury).

📌 Przykład
Firma „Print4You” wniosła zastrzeżenia do protokołu, wskazując, że brak rejestru naruszeń wynikał z błędu formalnego – dokument istniał, ale nie został pierwotnie okazany. UODO uwzględnił zastrzeżenie.

Etap po kontroli – co dalej?

Po analizie protokołu Prezes UODO może:

  • nie podejmować działań, jeśli nie stwierdzono naruszeń,
  • wydać zalecenia usunięcia nieprawidłowości,
  • wszcząć postępowanie administracyjne w sprawie naruszenia przepisów RODO, co może zakończyć się nałożeniem kary.

Jak minimalizować ryzyko zaleceń i kar

✔ Regularne audyty wewnętrzne – sprawdzaj procedury i dokumentację co najmniej raz w roku.
✔ Szkolenia dla pracowników – zwłaszcza w obszarze reagowania na incydenty i obsługi żądań osób, których dane dotyczą.
✔ Aktualizacja rejestrów – upewnij się, że rejestr czynności przetwarzania i rejestr naruszeń są kompletne i aktualne.
✔ Kopie dokumentów – przechowuj elektroniczne i papierowe kopie ważnych procedur i umów w jednym miejscu.
✔ Współpraca z IOD – Inspektor Ochrony Danych powinien być aktywnie zaangażowany w monitorowanie zgodności.

Podsumowanie – kluczowe wnioski

  • UODO nie musi zapowiadać kontroli, choć zazwyczaj informuje o niej wcześniej.
  • Kontrolerzy mają szerokie uprawnienia, w tym dostęp do systemów IT i możliwość przesłuchiwania pracowników.
  • Warto przygotować procedury i dokumenty jeszcze przed wizytą kontrolerów.
  • Protokół końcowy można kwestionować, składając zastrzeżenia poparte dowodami.
  • Stałe utrzymywanie zgodności z RODO to najlepsza „obrona” przed negatywnymi wynikami kontroli.

Podstawa prawna

  • art. 47, art. 79–88 – Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.)
  • art. 62 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • art. 67–71, art. 83 – Kodeks postępowania administracyjnego

Tematy porad zawartych w poradniku

  • kontrola UODO przebieg
  • uprawnienia kontrolerów danych osobowych
  • przygotowanie firmy do kontroli RODO
  • obowiązki przedsiębiorcy podczas kontroli UODO

Przydatne linki

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: