Kontakt
rodo a zarządzanie projektami - Patrycja Myśliwiec

RODO a Zarządzanie Projektami — Odpowiedzi na pytania, które spędzają sen z powiek Project Managerom

  • Narzędzia
  • 23 października 2025

Wybierasz idealne rozwiązanie pod kątem funkcjonalności, ale z tyłu głowy pojawia się niepokojąca myśl: a co z ochroną danych osobowych? Czyli jak łączy się RODO i zarządzanie projektami?

Wielu project managerów i właścicieli firm zadaje sobie te same pytania. Czy nowe narzędzie będzie bezpieczne? Jakie dane mogę w nim przechowywać? Kto ponosi odpowiedzialność w razie wycieku? Te wątpliwości są w pełni uzasadnione. Niewłaściwy wybór lub konfiguracja narzędzia może prowadzić nie tylko do chaosu w projektach, ale również do poważnych konsekwencji prawnych i finansowych.

W tym artykule, opartym na rozmowie z ekspertką od ochrony danych osobowych, Patrycją Myśliwiec reprezentująca Kancelarię Prawną Kantorowski, Głąb i Wspólnicy, odpowiemy na najczęściej zadawane pytania dotyczące RODO w zarządzaniu projektami. Przejdziemy krok po kroku przez kluczowe aspekty, na które musisz zwrócić uwagę, aby spać spokojnie.

Pytanie 1: „Do tej pory używaliśmy maila i Excela. Teraz chcemy przejść na profesjonalne narzędzie. Na co zwrócić uwagę od strony formalnej?”

Wybór narzędzia to nie tylko kwestia funkcjonalności. Gdy przechodzimy z prostych rozwiązań na zaawansowaną platformę SaaS (Software as a Service), wchodzimy w nową relację prawną z dostawcą. I tutaj diabeł tkwi w szczegółach.

Po pierwsze: Umowa i Regulamin. To absolutna podstawa. Zanim klikniesz „akceptuję”, musisz (lub ktoś w Twojej firmie, kto zna się na prawie) przeczytać umowę licencyjną i regulamin świadczenia usług. Zwróć szczególną uwagę na:

  • Zakres odpowiedzialności dostawcy: Wielu dostawców, zwłaszcza tych dużych, stosuje tzw. disclaimery, czyli klauzule ograniczające lub całkowicie wyłączające ich odpowiedzialność. Mogą one dotyczyć np. utraconych korzyści w wyniku awarii systemu. Wyobraź sobie, że przez błąd narzędzia Twój kluczowy projekt opóźnia się o miesiąc, co generuje ogromne straty. Czy dostawca weźmie za to odpowiedzialność? Jego regulamin może mówić co innego.
  • Umowa Powierzenia Przetwarzania Danych (UPPD / DPA): To najważniejszy dokument z perspektywy RODO. Jeśli w narzędziu będziesz przetwarzać jakiekolwiek dane osobowe (a na pewno będziesz – choćby imiona i nazwiska członków zespołu), dostawca staje się procesorem (podmiotem przetwarzającym) tych danych, a Twoja firma – administratorem. Prawo wymaga, aby taka relacja była uregulowana umową powierzenia. Sprawdź, czy dostawca ją oferuje, gdzie jest dostępna i co zawiera.

Po drugie: Lokalizacja serwerów. Gdzie fizycznie będą przechowywane Twoje dane? Jeśli serwery znajdują się na terenie Europejskiego Obszaru Gospodarczego (EOG), sprawa jest prosta. Jeśli jednak są poza EOG (np. w USA), wchodzimy w temat transferu danych do państw trzecich, co wiąże się z dodatkowymi wymogami. Wrócimy do tego w jednym z kolejnych pytań.

Pytanie 2: „Jakie certyfikaty bezpieczeństwa powinna mieć firma dostarczająca narzędzie i jak je zweryfikować?”

Certyfikaty to dowód na to, że dostawca poważnie podchodzi do kwestii bezpieczeństwa. Choć nie ma jednej, zamkniętej listy obowiązkowych certyfikatów, istnieją standardy, które są wyznacznikiem jakości i wiarygodności.

Przykładowe certyfikaty udostępnione przez firmę monday.com na stronie https://monday.com/lang/pl/trustcenter

Najważniejsze certyfikaty, na które warto zwrócić uwagę:

  • ISO/IEC 27001: To międzynarodowy standard dla systemów zarządzania bezpieczeństwem informacji (SZBI). Posiadanie tego certyfikatu świadczy o tym, że firma ma wdrożone rygorystyczne procedury ochrony danych, regularnie przeprowadza audyty i zarządza ryzykiem.
  • ISO/IEC 27017 i 27018: To rozszerzenia normy 27001, skupiające się specyficznie na bezpieczeństwie usług w chmurze (27017) oraz ochronie danych osobowych w chmurze publicznej (27018).
  • SOC 2 (Service Organization Control 2): To amerykański standard audytowy, który ocenia, jak dostawca usług zarządza danymi klientów w oparciu o pięć zasad: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność. Raport SOC 2 jest bardzo szczegółowy, ale zazwyczaj poufny. Czasem firmy udostępniają raport SOC 3, który jest jego publiczną, mniej szczegółową wersją.

Jak zweryfikować takie certyfikaty?

Wielu dostawców chwali się logotypami certyfikatów na swoich stronach internetowych. Ale jak sprawdzić, czy to nie tylko marketing?

  1. Sprawdź sekcję „Trust Center” / „Security” / „Compliance” na stronie dostawcy. Renomowane firmy mają dedykowane strony, gdzie szczegółowo opisują swoje standardy bezpieczeństwa i często udostępniają publiczne wersje raportów (np. SOC 3).
  2. Zapytaj wprost. Jeśli nie możesz znaleźć informacji, napisz do działu sprzedaży lub wsparcia i poproś o potwierdzenie posiadania certyfikatów oraz, jeśli to możliwe, o udostępnienie odpowiednich dokumentów.
  3. Sprawdź ważność. Certyfikaty są wydawane na określony czas. Upewnij się, że te, którymi chwali się dostawca, są wciąż aktualne.

Pytanie 3: „Jakie dane mogę swobodnie wprowadzać do narzędzia, a jakich absolutnie unikać?”

To jedno z kluczowych i najczęściej zaniedbywanych zagadnień w kontekście RODO w zarządzaniu projektami. Złota zasada RODO brzmi: minimalizacja danych. Oznacza to, że powinieneś przetwarzać tylko te dane, które są absolutnie niezbędne do osiągnięcia celu.

Dane, które zazwyczaj możesz bezpiecznie przetwarzać:

  • Imię i nazwisko (pracowników, klientów w kontekście biznesowym)
  • Służbowy adres e-mail
  • Służbowy numer telefonu
  • Stanowisko
  • Nazwa firmy

Są to standardowe dane biznesowe, niezbędne do komunikacji i realizacji zadań projektowych.

Dane, których powinieneś kategorycznie unikać:

  • Dane wrażliwe (szczególnych kategorii): Informacje o stanie zdrowia, poglądach politycznych, przynależności do związków zawodowych, orientacji seksualnej, dane genetyczne czy biometryczne. Wprowadzenie takich danych do typowego narzędzia PM jest ogromnym ryzykiem i w 99,9% przypadków całkowicie nieuzasadnione.
  • Prywatne dane kontaktowe: Prywatne numery telefonów, adresy e-mail czy adresy zamieszkania.
  • Numery identyfikacyjne: PESEL, numer dowodu osobistego, numer paszportu.
  • Dane finansowe: Numery kart kredytowych, numery kont bankowych (chyba że narzędzie jest specyficznie do tego przeznaczone i ma odpowiednie zabezpieczenia, np. certyfikat PCI DSS).

Pamiętaj, że nawet z pozoru niewinna informacja, np. notatka w zadaniu „Zadzwonić do Jana Kowalskiego w sprawie jego zwolnienia lekarskiego”, może już stanowić przetwarzanie danych o zdrowiu. Uczul swój zespół, aby unikał takich sformułowań.

Pytanie 4: „Wdrożyliśmy nowe narzędzie. Czy muszę zmieniać regulamin pracy lub inne wewnętrzne dokumenty?”

Wdrożenie nowego narzędzia IT rzadko kiedy wymaga zmiany regulaminu pracy czy regulaminu wynagradzania. Jednak z perspektywy RODO, pojawiają się nowe obowiązki.

Najważniejszym z nich jest aktualizacja Rejestru Czynności Przetwarzania (RCP). Każdy administrator danych (czyli Twoja firma) ma obowiązek prowadzić taki rejestr. Wdrożenie nowego narzędzia to nowa czynność przetwarzania (lub modyfikacja istniejącej), którą trzeba w tym rejestrze opisać. Musisz tam wskazać m.in.:

  • Jakie kategorie danych będą przetwarzane w narzędziu.
  • Jaki jest cel tego przetwarzania (np. zarządzanie projektami i zadaniami).
  • Kim są odbiorcy danych (np. dostawca narzędzia).
  • Czy dane są transferowane poza EOG.
  • Jakie środki bezpieczeństwa zostały wdrożone.

Co więcej, przed wdrożeniem narzędzia powinieneś przeprowadzić analizę ryzyka oraz, w niektórych przypadkach, ocenę skutków dla ochrony danych (DPIA). Ma to na celu zidentyfikowanie potencjalnych zagrożeń dla praw i wolności osób, których dane przetwarzasz, i zaplanowanie działań, które te ryzyka zminimalizują.

Pytanie 5: „Kto ponosi odpowiedzialność w razie wycieku danych – my czy dostawca narzędzia?”

To pytanie, które zadaje sobie każdy manager. Odpowiedź jest złożona, ale fundamentalna zasada RODO jest jasna: to administrator danych (czyli Twoja firma) jest odpowiedzialny za zapewnienie zgodności z przepisami i ponosi główną odpowiedzialność przed osobami, których dane dotyczą, oraz przed organem nadzorczym.

Dostawca (procesor) odpowiada tylko w takim zakresie, w jakim nie dopełnił obowiązków nałożonych na niego przez RODO lub w jakim działał niezgodnie z Twoimi instrukcjami zawartymi w umowie powierzenia.

Co to oznacza w praktyce?

Jeśli dojdzie do wycieku danych z powodu błędu w zabezpieczeniach po stronie dostawcy, on poniesie za to odpowiedzialność. Ale jeśli Ty, jako administrator, wybrałeś dostawcę, który nie dawał wystarczających gwarancji bezpieczeństwa (np. nie miał certyfikatów, nie oferował umowy powierzenia), albo jeśli Twoi pracownicy używali narzędzia w sposób niezgodny z zasadami (np. wprowadzali tam dane wrażliwe), to odpowiedzialność spadnie na Ciebie.

Słynny przypadek firmy Panek (car-sharing) pokazał, że organ nadzorczy potrafi nałożyć kary na obie strony – zarówno na administratora za niewystarczający nadzór, jak i na podmiot przetwarzający za błędy techniczne.

Pytanie 6: „Wiele narzędzi chwali się funkcjami AI. Czy ich używanie nakłada na mnie dodatkowe obowiązki?”

Tak, zdecydowanie tak. Wejście sztucznej inteligencji do narzędzi do zarządzania projektami otwiera nowe możliwości, ale również nowe obszary ryzyka z perspektywy RODO.

Jeśli funkcje AI w Twoim narzędziu będą podejmować decyzje, które mają skutek prawny lub w podobny sposób istotnie wpływają na osoby (np. automatyczna ocena wydajności pracownika na podstawie jego aktywności w systemie), wchodzimy w obszar zautomatyzowanego podejmowania decyzji.

RODO daje osobom, których dane dotyczą, prawo do tego, by nie podlegać takim decyzjom opartym wyłącznie na automatycznym przetwarzaniu. Musisz:

  • Poinformować pracowników lub klientów o tym, że takie procesy mają miejsce.
  • Zapewnić im prawo do uzyskania interwencji ludzkiej, wyrażenia własnego stanowiska i zakwestionowania decyzji podjętej przez AI.
  • Przeprowadzić szczegółową ocenę skutków dla ochrony danych (DPIA), aby ocenić ryzyko związane z wykorzystaniem AI.

Nawet jeśli AI pełni tylko funkcje pomocnicze (np. generowanie podsumowań, proponowanie zadań), transparentność jest kluczowa. Zawsze informuj swój zespół i klientów, w jaki sposób ich dane mogą być przetwarzane przez algorytmy AI.

Podsumowanie: Twoja checklista RODO w zarządzaniu projektami

Wdrożenie nowego narzędzia do zarządzania projektami to duży krok naprzód dla każdej firmy. Aby zrobić go bezpiecznie, pamiętaj o kilku kluczowych zasadach:

  1. Weryfikuj dostawcę: Sprawdź jego reputację, certyfikaty (ISO 27001, SOC 2) i politykę bezpieczeństwa.
  2. Czytaj umowy: Przeanalizuj regulamin i upewnij się, że masz podpisaną Umowę Powierzenia Przetwarzania Danych (UPPD/DPA).
  3. Minimalizuj dane: Wprowadzaj do systemu tylko te dane, które są absolutnie niezbędne. Uczul na to cały zespół.
  4. Aktualizuj dokumentację: Odnotuj nowe narzędzie w Rejestrze Czynności Przetwarzania i przeprowadź analizę ryzyka.
  5. Bądź transparentny: Informuj zespół (i ewentualnie klientów) o tym, jak dane są przetwarzane, zwłaszcza jeśli w grę wchodzi sztuczna inteligencja.
  6. Kontroluj dostęp: Nadawaj uprawnienia zgodnie z zasadą „need-to-know” – każdy powinien mieć dostęp tylko do tego, co jest mu niezbędne do pracy.

Pamiętaj, że RODO w zarządzaniu projektami to nie jednorazowy audyt, ale ciągły proces. Świadome podejście do wyboru i użytkowania narzędzi to najlepsza inwestycja w bezpieczeństwo Twojej firmy i spokój ducha.

Masz więcej pytań o RODO w zarządzaniu projektami? A może stoisz przed wyborem narzędzia i potrzebujesz wsparcia w analizie umów i ocenie ryzyka? Napisz do mnie lub umówmy się na bezpłatną konsultację – chętnie pomożemy Ci przejść przez ten proces bezpiecznie i bez stresu.

Poprzedni wpis

Witaj w Project Makers!

Cześć, jestem Artur.
Założyciel marki Project Makers.

Moją misją jest przenosić polskie firmy w przyszłość.

Chociaż początki nie były łatwe…
Znam doskonale to uczucie, gdy lista nieprzeczytanych maili puchnie, a kalendarz jest wypchany po brzegi spotkaniami.

Na szczęście można to zmienić! Odzyskać spokój i kontrolę nad zadaniami.

O tym właśnie jest Project Makers!

Znajdź na blogu

    Kurs o budowaniu Harmonogramu oraz Checklista z 15 typowymi Problemami w Zarządzaniu Zadaniami ⬇️

    PRZEJDŹ DO KURSU

    Zobacz to w akcji! Dołącz do Project Makers na YouTube

    youtube project makers

    Blog Project Makers powstaje przy współpracy z twórcami topowych rozwiązań IT dla biznesu ⬇️

    ZOBACZ CAŁĄ LISTĘ

    Najnowsze wpisy

    • All Post
    • Definiowanie wymagań
    • Narzędzia
    • Planowanie
    • Praca z celami
    • Rekomendacje
    • Rozmowy z ekspertami
    • Zarządzanie budżetem
    • Zarządzanie jakością
    • Zarządzanie zespołem

    Szukasz ciekawych treści o Narzędziach i Automatyzacji w Zarządzaniu Projektami?

    Najnowsze trendy, ciekawostki, narzędzia.
    Tylko sprawdzone treści.

    Zapisz się do Newslettera Project Makers i odbierz dostęp do kursu „Budowanie Harmonogramu Projektu od A do Z” 

    Zobacz najnowsze narzędzia i ich funkcje w akcji!
    Zasubskrybuj kanał Project Makers na YouTube!

    Dołączam do Newslettera
    Oglądam na YouTube

    Współpracuję z:

    Project Makers
    u. Dworcowa 8
    44-240 Żory
    artur@projectmakers.pl

    Linkedin Youtube Envelope

    Project Makers

    Blog

    Newsletter

    Materiały do pobrania

    O mnie

    Kontakt

    Bezpłatne Konsultacje

    Kontakt

    Oferta

    Wdrażanie narzędzi i optymalizacja procesów

    Formalności

    Polityka prywatności

    Regulamin

    Regulamin Newslettera

    Copyright © 2025 Project Makers