Bezpłatna konsultacja
· 8 min czytania RODOCRMcompliancebezpieczeństwoPolskadane osobowe

CRM a RODO — kompletny checklist dla polskiej firmy (2025)

Jak wybrać CRM zgodny z RODO w 2025 roku? Kompletny checklist dla polskich firm: umowa powierzenia, lokalizacja danych, prawa podmiotów, transfer do USA. Pobierz i sprawdź swój system.

CRM to system, który z definicji przetwarza dane osobowe — imiona, nazwiska, adresy e-mail, numery telefonów, historię zakupów, notatki z rozmów. Z perspektywy RODO, każdy CRM jest narzędziem przetwarzającym dane osobowe w imieniu Twojej firmy.

To oznacza konkretne obowiązki: umowy powierzenia przetwarzania, rejestr czynności przetwarzania, prawa podmiotów danych, bezpieczeństwo danych i — w przypadku systemów chmurowych — kwestię transferu danych poza UE.

Poniżej kompletny checklist RODO dla firmowego CRM — sprawdź gdzie jesteś.

Dlaczego to ważne właśnie teraz?

W ostatnich latach UODO (Urząd Ochrony Danych Osobowych) nałożył kilkanaście kar na polskie firmy za nieprawidłowości w przetwarzaniu danych. Kary wahają się od kilkudziesięciu tysięcy do ponad miliona złotych.

Jednocześnie klienci B2B coraz częściej pytają swoich dostawców o RODO podczas procesu zakupowego — szczególnie w branżach regulowanych.

Część 1: Umowa powierzenia przetwarzania danych (DPA)

Każdy zewnętrzny system CRM (SaaS) jest podmiotem przetwarzającym dane w Twoim imieniu. Zgodnie z art. 28 RODO, musisz mieć podpisaną umowę powierzenia przetwarzania danych (Data Processing Agreement — DPA).

Checklist DPA

  • Mam podpisaną umowę DPA z dostawcą CRM
  • DPA jest dostępna w języku polskim lub angielskim (rozumiem jej treść)
  • DPA precyzuje cel przetwarzania i kategorie danych
  • DPA określa podprzetwarzającego (subprocessors) — np. AWS, Google Cloud
  • DPA zawiera zobowiązanie do usunięcia/zwrotu danych po zakończeniu umowy
  • DPA określa procedurę zgłaszania naruszeń danych (maksymalnie 72h)

Uwaga dla firm korzystających z HubSpot: HubSpot oferuje DPA jako standardowy załącznik do umowy, ale wymaga aktywacji przez portal klienta. Wiele firm płaci za HubSpot bez aktywowanego DPA.

Uwaga dla firm korzystających z Salesforce: Salesforce Data Processing Addendum jest dostępny, ale jego treść dopuszcza przetwarzanie danych w USA bez dodatkowych gwarancji na planach Starter/Pro.

Część 2: Lokalizacja danych

Artykuł 46 RODO zakazuje transferu danych osobowych do krajów trzecich (poza UE/EOG) bez odpowiednich zabezpieczeń. Po wyroku Schrems II (2020) sytuacja prawna transferów do USA jest skomplikowana, mimo że Data Privacy Framework (DPF) z 2023 roku częściowo ją normuje.

Checklist lokalizacji danych

  • Wiem gdzie fizycznie przechowywane są dane moich klientów
  • Jeśli dane są w USA — sprawdziłem czy dostawca jest certyfikowany w ramach EU-US Data Privacy Framework
  • Mam informację o wszystkich podprzetwarzających (subprocessors) i ich lokalizacji
  • Umowa DPA zawiera Standard Contractual Clauses (SCC) jeśli dane trafiają poza UE
  • W polityce prywatności poinformuję klientów o transferze danych do USA (jeśli dotyczy)

Gdzie są dane w popularnych systemach CRM:

SystemDomyślna lokalizacjaEU datacenter
HubSpotUSATak (od 2022, wymaga aktywacji)
SalesforceUSATak (EU add-on, niektóre plany)
PipedriveUSA/EstoniaTak (można wybrać EU)
Zoho CRMUSA/IndiaTak (EU datacenter opcjonalny)
Twenty CRM (self-hosted)Twój serwer✅ Domyślnie

Część 3: Rejestr czynności przetwarzania (RCP)

Art. 30 RODO wymaga prowadzenia rejestru czynności przetwarzania. CRM musi być w nim uwzględniony.

Checklist RCP

  • CRM jest wpisany do Rejestru Czynności Przetwarzania jako osobna czynność
  • Wpis zawiera: cel przetwarzania, kategorie danych, kategorie podmiotów, odbiorców, czas retencji
  • Wpis uwzględnia podstawę prawną (zgoda, umowa, prawnie uzasadniony interes)
  • Czas retencji danych w CRM jest określony i egzekwowany (np. usunięcie kontaktów po X latach nieaktywności)

Część 4: Prawa podmiotów danych

RODO daje osobom fizycznym szereg praw wobec swoich danych. CRM musi umożliwiać realizację tych praw.

Checklist praw podmiotów

  • Jestem w stanie szybko wyeksportować wszystkie dane konkretnej osoby (prawo dostępu)
  • Jestem w stanie usunąć wszystkie dane konkretnej osoby z CRM (prawo do bycia zapomnianym)
  • Jestem w stanie poprawić dane osoby w CRM (prawo do sprostowania)
  • Jestem w stanie wstrzymać przetwarzanie danych osoby (prawo do ograniczenia)
  • Mam procedurę odpowiedzi na żądania podmiotów danych (termin: 1 miesiąc)

Jak to wygląda w praktyce:

  • HubSpot: eksport kontaktu jest możliwy, usunięcie — tak, ale wymaga kilku kroków
  • Salesforce: eksport przez API lub interfejs admin, usunięcie przez Data Mask lub Delete
  • Twenty CRM (self-hosted): pełna kontrola, możesz usunąć bezpośrednio z bazy danych

Część 5: Bezpieczeństwo techniczne

Art. 32 RODO wymaga wdrożenia odpowiednich środków technicznych dla zapewnienia bezpieczeństwa danych.

Checklist bezpieczeństwa technicznego

  • Połączenie z CRM jest szyfrowane (HTTPS/TLS)
  • Dane w spoczynku są szyfrowane (encryption at rest)
  • MFA (wieloskładnikowe uwierzytelnienie) jest włączone dla wszystkich użytkowników CRM
  • Dostęp do CRM jest oparty na rolach — nie każdy widzi wszystkie dane
  • Logi dostępu do danych są prowadzone i archiwizowane
  • Polityka haseł jest egzekwowana (min. długość, rotacja)
  • Plan reagowania na incydenty bezpieczeństwa jest udokumentowany

Część 6: Zgody i podstawy prawne

Checklist podstaw przetwarzania

  • Dla każdej kategorii danych w CRM mam określoną podstawę prawną
  • Leady z formularzy webowych — mam zapis zgody + IP + timestamp
  • Dane z wizytówek/cold calling — opieram się na uzasadnionym interesie (art. 6 ust. 1 lit. f)
  • Klienci z umów — przetwarzanie na podstawie wykonania umowy (art. 6 ust. 1 lit. b)
  • Dane marketingowe — mam zgody lub stosowną klauzulę uzasadnionego interesu
  • Mechanizm opt-out z e-maili jest zintegrowany z CRM (wypisanie = aktualizacja w CRM)

Wynik checklisty i co dalej

Jeśli zaznaczyłeś <60% pozycji: Twoja firma ma istotne luki w zgodności RODO dla CRM. Warto przeprowadzić audyt z pomocą DPO lub specjalisty RODO.

Jeśli zaznaczyłeś 60–80% pozycji: Podstawy są, ale są konkretne obszary do poprawy. Zacznij od DPA i lokalizacji danych.

Jeśli zaznaczyłeś >80% pozycji: Dobry poziom zgodności. Regularnie przeglądaj i aktualizuj dokumentację.

Self-hosted CRM a RODO — dlaczego upraszcza sprawę

Jedną z głównych przyczyn wyboru self-hosted CRM przez polskie firmy jest właśnie RODO. Przy self-hosted:

  • Brak DPA z zewnętrznym dostawcą — jesteś administratorem i procesorem jednocześnie (o ile serwer jest u Ciebie lub w UE)
  • Pełna kontrola lokalizacji — dane nigdy nie opuszczają UE bez Twojej zgody
  • Brak subprocessors — nie ma łańcucha podprzetwarzania
  • Pełna kontrola retencji — sam decydujesz o usuwaniu danych
  • Logi dostępu — pełne logi aplikacji i bazy danych

Dla firm w sektorach regulowanych (finanse, prawo, zdrowie, publiczny) self-hosted CRM eliminuje wiele problemów prawnych zanim się pojawią.

Podsumowanie

RODO i CRM to obszar, który wiele firm traktuje po macoszemu — do momentu audytu UODO lub pytania od klienta. Powyższy checklist daje punkt wyjścia do oceny obecnej sytuacji.

Jeśli zastanawiasz się nad migracją na system, który domyślnie spełnia wymagania RODO — umów konsultację. Podczas 30-minutowej rozmowy oceniamy aktualny stan i pokazujemy jak wygląda konfiguracja Twenty CRM pod kątem compliance.

Sprawdź też kalkulator ROI — uwzględniamy w nim koszty compliance jako element TCO.

Sprawdź, ile Twoja firma może zaoszczędzić

Skorzystaj z kalkulatora ROI lub umów bezpłatną konsultację — wyliczamy oszczędności w 30 minut.

Kalkulator ROI → Bezpłatna konsultacja

Przeczytaj też

· 8 min czytania

Self-hosted CRM na własnym serwerze — wymagania techniczne i infrastruktura

Czytaj →
· 12 min czytania

Jak wybrać CRM dla firmy B2B — kompletny przewodnik (2025)

Czytaj →
· 7 min czytania

AI w CRM — co rzeczywiście działa, a co to marketing?

Czytaj →