Umów konsultację

Kto odpowiada za RODO w firmie? Dlaczego to nie tylko dział prawny

utworzone przez | kwi 22, 2026 | RODO | 0 komentarzy

W wielu organizacjach odpowiedź na pytanie o RODO pojawia się szybko: „tym zajmuje się dział prawny” albo „mamy inspektora ochrony danych”.

Formalnie wszystko się zgadza. Role są przypisane, dokumentacja istnieje, odpowiedzialność wydaje się określona.

Problem polega na tym, że kiedy dochodzi do realnej decyzji – o tym, jakie dane zbierać, jak je wykorzystywać, komu je udostępniać albo jak zareagować na incydent – dział prawny bardzo rzadko jest tym miejscem, w którym ta decyzja faktycznie zapada. I właśnie tu zaczyna się realne ryzyko.

Dlaczego „RODO = dział prawny” to jeden z najczęstszych błędów

Przekonanie, że za RODO odpowiada dział prawny, wynika z intuicji: skoro to regulacja, to powinna być „po stronie prawa”. W praktyce jednak ochrona danych nie polega na interpretowaniu przepisów, tylko na podejmowaniu decyzji operacyjnych. To nie dział prawny decyduje:

  • jakie dane zbiera marketing,
  • jak długo HR przechowuje dokumenty,
  • jakie uprawnienia ma użytkownik w systemie,
  • czy nowa funkcjonalność produktu wymaga dodatkowych danych.

Prawnicy mogą wskazać ryzyko, zaproponować rozwiązanie, uporządkować ramy. Nie zarządzają jednak codziennym przepływem danych w organizacji. Jeżeli firma traktuje RODO jako „obszar prawny”, oddaje odpowiedzialność w miejsce, które nie ma realnego wpływu na większość decyzji.

Gdzie naprawdę zapadają decyzje o danych

Dane osobowe nie „znajdują się” w jednym dziale. Są rozproszone po całej organizacji – i razem z nimi rozproszone są decyzje. W praktyce kluczowe decyzje zapadają w takich obszarach jak:

  • marketing – zakres zbieranych danych, profilowanie, komunikacja,
  • sprzedaż – sposób pracy z klientem i jego danymi,
  • HR – dane pracownicze, monitoring, narzędzia do oceny efektywności,
  • IT – dostęp do systemów, logi, backupy, bezpieczeństwo,
  • produkt / operacje – projektowanie procesów i usług.

To tam powstaje odpowiedź na pytania, które z perspektywy RODO są kluczowe:

  • czy te dane są w ogóle potrzebne,
  • kto ma do nich dostęp,
  • jak długo są przechowywane,
  • jakie ryzyko generuje ich wykorzystanie.

Jeżeli odpowiedzialność za RODO nie jest powiązana z tymi decyzjami, przestaje mieć znaczenie operacyjne.

Najczęstszy problem: odpowiedzialność istnieje, ale jest rozproszona

W wielu organizacjach nie mamy do czynienia z brakiem odpowiedzialności. Problem jest inny: odpowiedzialność jest „wszędzie”. Każdy dział zarządza swoimi danymi. Każdy podejmuje decyzje w swoim obszarze. Każdy zakłada, że ktoś inny „trzyma całość”. Efekt wygląda podobnie:

  • brak jednego właściciela ryzyka,
  • decyzje podejmowane bez pełnego obrazu,
  • trudność w reakcji, gdy coś pójdzie nie tak,
  • chaos w momencie incydentu lub kontroli.

RODO w takiej organizacji formalnie istnieje, ale operacyjnie nie działa jako system.

Dlaczego to widać dopiero w sytuacji problemu

Rozproszenie odpowiedzialności rzadko jest widoczne na co dzień. Procesy działają, systemy funkcjonują, dane krążą, a organizacja ma poczucie, że wszystko pozostaje pod kontrolą. Problem ujawnia się dopiero wtedy, gdy pojawia się napięcie: incydent bezpieczeństwa, zapytanie od osoby, której dane dotyczą, kontrola organu nadzorczego albo spór między działami co do sposobu przetwarzania danych. 

Właśnie w takich momentach okazuje się, że nie wiadomo, kto powinien podjąć decyzję, odpowiedzialność zaczyna być przerzucana, reakcja się opóźnia, a ryzyko rośnie w czasie rzeczywistym. Nie jest to zwykle problem braku procedur. Znacznie częściej chodzi o brak jasno przypisanej odpowiedzialności za ich stosowanie. 

Rola działu prawnego i IOD – ważna, ale inna niż się zakłada

To nie znaczy, że dział prawny czy inspektor ochrony danych nie mają znaczenia. Wręcz przeciwnie. Ich rola jest jednak inna niż „bycie właścicielem RODO”:

  • dział prawny definiuje ramy i interpretuje przepisy,
  • IOD monitoruje zgodność i wspiera organizację,
  • ale to biznes podejmuje decyzje i ponosi odpowiedzialność za ich skutki.

Przeniesienie odpowiedzialności na funkcje wspierające tworzy wygodną iluzję: „ktoś się tym zajmuje”. W praktyce oznacza brak realnego zarządzania ryzykiem.

Dojrzałe podejście: RODO jako element governance

RODO zaczyna działać dopiero wtedy, gdy zostaje osadzone w strukturze zarządczej organizacji. Oznacza to, że odpowiedzialność za dane nie jest przypisana wyłącznie do ról formalnych, lecz do tych miejsc w firmie, w których realnie rozstrzyga się o sposobie ich wykorzystywania. Kwestie związane z danymi muszą być powiązane z procesami biznesowymi, a zarząd powinien rozumieć, jakie ryzyka wiążą się z ich przetwarzaniem i jakie konsekwencje mogą z tego wynikać. 

Dopiero wtedy ochrona danych przestaje być „obszarem do obsłużenia”, a staje się częścią realnego zarządzania organizacją. W takim modelu RODO nie jest zadaniem jednego działu. Jest systemem, który łączy sposób działania różnych części firmy i porządkuje odpowiedzialność tam, gdzie ma ona rzeczywiste znaczenie. 

Podsumowanie

Pytanie „kto odpowiada za RODO” bardzo rzadko ma jedną, prostą odpowiedź. I właśnie dlatego w wielu firmach odpowiedzialność się rozmywa. Dopóki RODO jest przypisane do działu prawnego, pozostaje na poziomie dokumentów i interpretacji.

Dopiero gdy odpowiedzialność trafia tam, gdzie zapadają decyzje – do biznesu i zarządu – ochrona danych zaczyna działać w praktyce. RODO nie jest o tym, kto zna przepisy.
Jest o tym, kto podejmuje decyzje i kto ponosi ich konsekwencje.

Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.