Co robić, gdy firma rozwija się szybciej niż jej procedury, dokumenty i zabezpieczenia? Pan Robert, właściciel rozwijającej się agencji marketingowej, postanowił sprawdzić, czy jego spółka jest dobrze przygotowana na kolejny etap wzrostu – nie tylko operacyjnie, ale również pod względem prawnym i organizacyjnym. Audyt wykazał, że choć biznes działał sprawnie na co dzień, w kilku kluczowych obszarach brakowało uporządkowanych procedur i zabezpieczeń, które przy większej skali działalności mogłyby stać się realnym problemem.
Dlaczego rozwijająca się firma potrzebowała audytu prawnego – analizy zgodności?
Spółka dynamicznie rosła – przybywało klientów, projektów i osób zaangażowanych w obsługę kampanii. W praktyce oznaczało to coraz więcej umów, dostępów do kont reklamowych, danych klientów i współpracowników działających równolegle przy różnych projektach.
Problem polegał na tym, że wiele kluczowych obszarów nadal opierało się na rozwiązaniach wdrażanych „na szybko”, jeszcze na wcześniejszym etapie rozwoju firmy.
Część umów nie zabezpieczała spółki w sytuacjach konfliktowych, dostęp do danych był rozproszony pomiędzy prywatnymi urządzeniami współpracowników, a model współpracy B2B zaczynał przypominać relację etatową. Im większa stawała się firma, tym bardziej rosło ryzyko, że jeden konflikt z klientem, kontrola albo błąd organizacyjny może przełożyć się na straty finansowe i operacyjne.
Audyt, który nie ograniczył się do „sprawdzenia dokumentów”
Zakres badania był szeroki. Obejmował nie tylko dokumenty korporacyjne czy wzory umów, ale również obszary, które bezpośrednio wpływają na bezpieczeństwo codziennego działania firmy:
- sprawy korporacyjne,
- zobowiązania i umowy handlowe,
- umowy ze współpracownikami,
- własność intelektualną,
- cyberbezpieczeństwo,
- ochronę danych osobowych,
- możliwe modele wypłat ze spółki z o.o.
Dzięki temu zamiast punktowej kontroli jednego dokumentu powstała całościowa mapa ryzyk i rekomendacji.
Co ujawnił audyt?
1. Spółka działała na zbyt prostej umowie
Umowa spółki była poprawna formalnie, ale bardzo podstawowa. To typowe przy rejestracji spółki z o.o. przez S24 – szybko, prosto, ale bez dodatkowych mechanizmów, które później mogą oszczędzić czas, pieniądze i spory.
W rekomendacjach pojawiły się m.in. rozwiązania dotyczące zarządzania udziałami, dopłat wspólników i zasad działania spółki w sytuacjach kryzysowych lub właścicielskich. To zapisy, które pomagają firmie działać stabilniej, gdy pojawiają się zmiany właścicielskie, inwestycje albo potrzeba szybkiego dofinansowania.
Konsekwencja: Przy pierwszym poważnym sporze wspólników lub nagłej potrzebie dofinansowania firmy brak tych zapisów może oznaczać miesiące negocjacji i kosztów prawnych – zamiast gotowej procedury, którą można uruchomić od ręki.
2. Umowy z klientami nie zabezpieczały wystarczająco spółki
Wzór umowy o świadczenie usług reklamowych był poprawny, jednak brakowało w nim kilku praktycznych zabezpieczeń. Chodziło m.in. o:
- bezpieczne przekazywanie dostępów do kont reklamowych i social mediów,
- jasne skutki braku akceptacji materiałów przez klienta,
- przesuwanie terminów realizacji, gdy klient sam opóźnia współpracę,
- konsekwencje braku osoby decyzyjnej po stronie klienta,
- odsetki i koszty odzyskiwania należności przy opóźnieniach w płatnościach,
- karę umowną za naruszenie poufności,
- doprecyzowanie zasad zwrotu lub usuwania danych po zakończeniu współpracy.
Konsekwencja: Klient, który sam opóźnia dostarczenie materiałów, a potem reklamuje nieterminową realizację kampanii, ma przy takiej umowie realną podstawę do roszczeń – a agencja nie ma skutecznego narzędzia obrony.
3. Brak pisemnej umowy pomiędzy właścicielem a spółką
Brak pisemnej umowy między właścicielem a spółką to ryzyko, które może zmaterializować się podczas kontroli skarbowej lub sporu z urzędem. Organ może zakwestionować charakter świadczeń i naliczyć zaległości podatkowe wraz z odsetkami – bez możliwości skutecznej obrony, bo nie ma dokumentu, który opisuje zasady współpracy. To był jedyny punkt w raporcie oznaczony jako pilny do natychmiastowego działania.
Konsekwencja: W razie kontroli skarbowej urząd może zakwestionować charakter tych świadczeń i naliczyć zaległości podatkowe wraz z odsetkami – bez możliwości skutecznej obrony, bo nie ma dokumentu opisującego zasady współpracy.
4. Użyczenie lokalu mogło być podatkowo ryzykowne
Spółka korzystała z lokalu na podstawie umowy użyczenia. Prawnie – konstrukcja była możliwa. Podatkowo – pojawiało się ryzyko powstania przychodu z nieodpłatnych świadczeń po stronie spółki.
Dlatego rekomendacja była jasna: rozważyć zastąpienie użyczenia umową najmu i omówić wariant z doradcą podatkowym.
Konsekwencja: Pozornie darmowe rozwiązanie może skutkować koniecznością zapłaty podatku od przychodu, którego spółka faktycznie nigdy nie otrzymała – i to z odsetkami za poprzednie lata, jeśli kontrola sięgnie wstecz.
5. Współpraca B2B i zlecenia wymagały większej ostrożności
Raport wykazał, że część zapisów w umowach ze współpracownikami może nadmiernie przypominać relację pracowniczą, co w kontekście zmiany przepisów dotyczących kontroli umów mogłoby okazać się sporym problemem dla obydwu stron.
Ryzykowne były zwłaszcza:
- obowiązek dostępności w ściśle określonych godzinach,
- osobiste wykonywanie usług bez możliwości korzystania z podwykonawców, rozbudowane raportowanie godzin,
- sformułowania sugerujące podporządkowanie wykonawcy,
- praktyki organizacyjne, które mogły wzmacniać obraz „etatowego” modelu współpracy.
Konsekwencja: Kontrola ZUS z wnioskiem o przekwalifikowanie umów B2B na umowy o pracę oznacza dla spółki konieczność zapłaty wieloletnich zaległości składkowych – często liczonych w dziesiątkach tysięcy złotych – niezależnie od tego, czy współpraca już się zakończyła.
6. Firma korzystała z 2FA, ale samo uwierzytelnianie dwuskładnikowe nie zapewniało pełnego bezpieczeństwa danych
Agencja przetwarzała leady klientów poprzez formularze Meta Lead Ads i Google Sheets. Współpracownicy pracowali na własnych komputerach. Google Workspace był wdrożony, a uwierzytelnianie dwuskładnikowe aktywne – to dobry początek.
Jednak audyt pokazał, że warto pójść dalej i wdrożyć m.in.:
- prywatne domyślne ustawienia udostępniania,
- ograniczenie linków publicznych,
- szyfrowanie dysków,
- VPN,
- zdalne zarządzanie urządzeniami,
- zasadę czystego biurka i czystego ekranu,
- regularne szkolenia z cyberbezpieczeństwa,
- precyzyjne nadawanie i odbieranie dostępów do folderów i arkuszy.
Konsekwencja: Jeden skradziony lub zgubiony laptop współpracownika może oznaczać wyciek danych klientów, utratę dostępu do ich kont reklamowych i roszczenia odszkodowawcze – a agencja nie będzie miała możliwości wykazania, że dołożyła należytej staranności w ochronie tych danych.
7. RODO i cookies wymagały realnego wdrożenia
Audyt wykazał też kilka braków w dokumentacji RODO. Chodziło m.in. o:
- informacje o inspektorze ochrony danych albo braku jego powołania,
- doprecyzowanie kategorii danych,
- wskazanie prawa do cofnięcia zgody,
- zasady informowania o zmianach polityki,
- konkretne okresów przechowywania danych,
- brak pełnego, prawidłowego mechanizmu zgód cookies.
Szczególnie ważny był ostatni punkt. Raport wskazał, że użytkownik powinien mieć rzeczywisty wybór, a opcje dotyczące plików cookies nie mogą być pozorne ani domyślne.
Konsekwencja: Pozorny baner cookies – bez możliwości odmowy – to jeden z najczęstszych powodów wszczęcia postępowania przez Urząd Ochrony Danych Osobowych, który może nałożyć karę finansową nawet na małą firmę, jeśli naruszenie ma charakter systemowy.
8. Marka firmy zasługiwała na ochronę
Audyt zwrócił również uwagę na potrzebę zastrzeżenia znaku słowno-graficznego marki. To ważne nie tylko z perspektywy ochrony marki przed kopiowaniem przez konkurencję. Zarejestrowany znak towarowy wzmacnia wiarygodność firmy.
Konsekwencja: Bez zarejestrowanego znaku towarowego firma, która latami budowała markę, może nie mieć skutecznych narzędzi prawnych, gdy konkurent zacznie używać podobnej nazwy lub grafiki – i paradoksalnie to ona będzie musiała udowadniać pierwszeństwo.
Nasz plan działania po audycie
Raport nie skończył się na wskazaniu problemów. Ułożył je według pilności i pokazał, od czego warto zacząć.
Działania pilne:
- przygotowanie pisemnej umowy współpracy pomiędzy właścicielem a spółką,
- korekta umów B2B i zleceń pod kątem większej samodzielności współpracowników,
- wdrożenie brakującego mechanizmu cookies na stronach internetowych.
Działania wymagające wdrożenia:
- poprawa dokumentów RODO,
- wzmocnienie zasad cyberbezpieczeństwa,
- przeanalizowanie użyczenia lokalu z perspektywy podatkowej,
- wdrożenie polityki bezpieczeństwa informacji,
- zabezpieczenie marki poprzez rejestrację znaku.
Działania rozwojowe:
- rozszerzenie umowy spółki o określone mechanizmy,
- uporządkowanie zasad wypłat środków ze spółki,
- dopracowanie umów z klientami tak, by lepiej chroniły firmę w typowych sytuacjach biznesowych.
Efekt audytu? Nie ogólna opinia, tylko mapa decyzji
Audyt nie był „teoretycznym sprawdzeniem dokumentów”. Dał właścicielowi firmy konkretną odpowiedź na trzy pytania:
1. Co jest realnym ryzykiem już dziś?
2. Co warto uporządkować, zanim firma urośnie jeszcze bardziej?
3. Jakie działania mogą jednocześnie zmniejszyć ryzyko i poprawić codzienne funkcjonowanie spółki?
Dzięki temu firma otrzymała plan, który obejmował nie tylko bezpieczeństwo prawne, ale też większą przewidywalność operacyjną i lepsze przygotowanie do dalszego skalowania działalności.
Czy Twoja firma też rozwija się szybciej niż procedury, które ją chronią?
Rozwijający się biznes potrzebuje nie tylko sprzedaży, klientów i zespołu. Potrzebuje też uporządkowanych zasad. W tym przypadku audyt prawny pokazał, że spółka nie wymagała rewolucji, tylko kilku dobrze zaplanowanych korekt, które razem znacząco zwiększają bezpieczeństwo działania.
Analiza zgodności pozwala wychwycić takie ryzyka zanim zaczną realnie kosztować firmę: finansowo, organizacyjnie albo wizerunkowo.
Jeśli chcesz sprawdzić, czy Twoja spółka jest przygotowana na dalszy rozwój, umów się na bezpłatną konsultację i zobacz, które obszary warto uporządkować w pierwszej kolejności.
UMÓW SIĘ NA KONSULTACJĘ
