Wiosną 2024 roku warszawska firma z sektora e-commerce odkryła, że przez ponad 72 godziny dane klientów – adresy e-mail, numery telefonów i historia zamówień – były dostępne dla nieautoryzowanego podmiotu zewnętrznego. Dział IT zidentyfikował lukę w systemie. Zarząd wiedział jedno: zegar tyka.
Rozporządzenie UE 2016/679 (RODO) nakłada na administratora danych obowiązek zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od jego wykrycia. Obowiązek ten wynika bezpośrednio z artykułu 33 RODO. Niedopełnienie terminu grozi karą administracyjną do 10 milionów euro lub 2% rocznego obrotu – w zależności od tego, która kwota jest wyższa.
Poniżej opisujemy anonimizowaną sprawę, którą obsługiwaliśmy w KORDECKI & Partners. Pokazuje ona, jak wygląda prawidłowa reakcja na naruszenie – krok po kroku – i jakie błędy najczęściej kosztują firmy najwięcej.
Tło sprawy – co się wydarzyło i jakie dane były zagrożone?
Klient prowadził sklep internetowy obsługujący ponad 40 000 aktywnych użytkowników. W piątek wieczorem administrator systemu zauważył anomalię w logach dostępu. Dane osobowe klientów były dostępne przez niezabezpieczony endpoint API. Luka istniała od środy rano – co oznaczało, że naruszenie trwało już ponad 60 godzin przed wykryciem.
Kategorie danych objętych naruszeniem obejmowały: imiona i nazwiska, adresy e-mail, numery telefonów oraz historię transakcji. Nie ujawniono danych finansowych ani haseł. UODO klasyfikuje takie naruszenia jako incydenty o średnim poziomie ryzyka – jednak zakres podmiotowy (40 000 osób) automatycznie podnosił wagę sprawy.
Firma nie miała opracowanej procedury reagowania na incydenty. Brak wewnętrznego rejestru naruszeń – wymaganego przez RODO – utrudniał odtworzenie chronologii zdarzeń. To właśnie brak dokumentacji, a nie sama luka techniczna, stanowił największe ryzyko prawne na etapie zgłoszenia do UODO.
Jaką strategię przyjęliśmy i dlaczego termin 72 godzin był krytyczny?
Termin 72 godzin z artykułu 33 ustęp 1 RODO biegnie od momentu, gdy administrator powziął wiedzę o naruszeniu – nie od jego faktycznego zaistnienia. W tej sprawie oznaczało to, że od piątkowego wieczoru do poniedziałkowego poranka pozostawało mniej niż 36 godzin na złożenie kompletnego zgłoszenia. Działaliśmy natychmiast.
Pierwszym krokiem było zabezpieczenie logów systemowych i sporządzenie wewnętrznej notatki incydentowej z dokładnymi znacznikami czasu. Równolegle przeprowadziliśmy wstępną ocenę ryzyka dla osób, których dane dotyczyły. To kluczowy element – UODO oczekuje, że zgłoszenie będzie zawierało nie tylko opis zdarzenia, ale też ocenę prawdopodobnych konsekwencji dla podmiotów danych.
Strategia obejmowała trzy filary. Pierwszy – terminowe zgłoszenie do UODO, nawet jeśli nie wszystkie informacje były jeszcze dostępne (RODO dopuszcza uzupełnienie zgłoszenia). Drugi – analiza, czy naruszenie wymaga powiadomienia samych osób, których dane dotyczą (art. 34 RODO). Trzeci – natychmiastowe wdrożenie środków naprawczych dokumentowanych na piśmie. W sprawach dotyczących systemów zintegrowanych z algorytmami rekomendacyjnymi warto też sprawdzić, czy incydent ma wymiar związany z AI Act i klasyfikacją systemów wysokiego ryzyka.
Zgłoszenie do UODO złożyliśmy w niedzielę – w 58. godzinie od wykrycia naruszenia. Termin został dotrzymany.
Jak przebiegł proces zgłoszenia i co sprawdza UODO?
Zgłoszenie do UODO składa się przez dedykowany formularz elektroniczny dostępny na stronie urzędu. Formularz wymaga podania: opisu charakteru naruszenia, kategorii i przybliżonej liczby osób, których dane dotyczą, kategorii i przybliżonej liczby rekordów, danych kontaktowych inspektora ochrony danych (IOD), opisu prawdopodobnych konsekwencji oraz środków zastosowanych lub proponowanych.
W tej sprawie firma nie miała powołanego IOD – co samo w sobie mogło być naruszeniem obowiązku wynikającego z RODO, jeśli profil działalności to uzasadniał. UODO zwrócił uwagę na ten brak w toku postępowania wyjaśniającego. Inspektor ochrony danych pełni funkcję zbliżoną do oficera compliance – jego brak w podmiocie przetwarzającym dane na dużą skalę to sygnał ostrzegawczy dla organu nadzorczego.
UODO w praktyce weryfikuje trzy rzeczy: czy termin 72 godzin został dotrzymany, czy administrator prawidłowo ocenił ryzyko dla osób fizycznych oraz czy podjął adekwatne środki naprawcze. Organ nie oczekuje perfekcji – oczekuje rzetelności i proaktywności. Firmy działające w sektorach objętych rozporządzeniem DORA (Rozporządzenie UE 2022/2554) mają równolegle obowiązki raportowania incydentów do KNF, co komplikuje koordynację zgłoszeń. Dla podmiotów przetwarzających dane w kontekście nieruchomości lub inwestycji – np. przy due diligence transakcyjnym – pomocne może być zapoznanie się z przewodnikiem po nabywaniu nieruchomości w Polsce.
Po złożeniu zgłoszenia UODO prowadził postępowanie przez 4 miesiące. Ostatecznie nie nałożono kary – ze względu na terminowe zgłoszenie i wdrożone środki naprawcze. Firma otrzymała zalecenia pokontrolne dotyczące wdrożenia procedury reagowania na incydenty i powołania IOD.
Jakie wnioski wyciągnąć z tej sprawy?
Ta sprawa pokazuje, że UODO nie karze za sam fakt naruszenia. Karze za brak procedur, przekroczenie terminu i nieudokumentowane działania naprawcze. Firmy, które mają wdrożoną politykę reagowania na incydenty, są w znacznie lepszej pozycji – nawet gdy dojdzie do poważnego wycieku danych.
Dla firm technologicznych działających transgranicznie – w tym dostarczających oprogramowanie na rynki europejskie – warto pamiętać, że RODO stosuje się do każdego administratora przetwarzającego dane obywateli UE, niezależnie od siedziby. Zagadnienie to omawia szerzej przewodnik po strategii ochrony IP dla firm technologicznych w Polsce.
Przygotuj się na naruszenie, zanim do niego dojdzie. Oto minimalna lista kontrolna:
- Wewnętrzna procedura reagowania na incydenty z wyznaczonym koordynatorem
- Rejestr naruszeń prowadzony na bieżąco (wymóg RODO)
- Ocena, czy wymagane jest powołanie IOD
- Szablon zgłoszenia do UODO wypełniany w pierwszych godzinach incydentu
- Analiza, czy incydent wymaga powiadomienia osób, których dane dotyczą
Sprawa e-commerce z 2024 roku zakończyła się bez kary finansowej. Ale ten sam scenariusz – bez terminowego zgłoszenia i dokumentacji – mógł kosztować firmę do 10 milionów euro. Różnica leżała w 36 godzinach i dobrze przeprowadzonej procedurze.
Konkretna sytuacja Państwa firmy – zwłaszcza gdy doszło już do incydentu lub system rejestracji naruszeń nie istnieje – wymaga natychmiastowej oceny prawnej. Zwłoka w zgłoszeniu do UODO jest nieodwracalna: termin 72 godzin nie podlega przywróceniu.
Jeśli Państwa spółka wykryła naruszenie danych osobowych lub chce wdrożyć procedurę reagowania na incydenty przed pierwszym incydentem – przeprowadzimy audyt, przygotujemy dokumentację i złożymy zgłoszenie do UODO: info@kordeckipartners.com.
Często zadawane pytania
P: Co dokładnie liczy się jako moment „powzięcia wiedzy" o naruszeniu – od kiedy biegnie termin 72 godzin?
O: Termin biegnie od chwili, gdy administrator danych lub wyznaczony pracownik uzyskał wystarczające informacje, aby stwierdzić, że doszło do naruszenia ochrony danych osobowych. Nie jest to moment wykrycia anomalii technicznej, lecz moment potwierdzenia jej charakteru jako naruszenia w rozumieniu artykułu 4 punktu 12 Rozporządzenia UE 2016/679. W praktyce oznacza to, że wewnętrzna procedura weryfikacji incydentu musi być przeprowadzona jak najszybciej – każda godzina weryfikacji skraca czas na sporządzenie zgłoszenia.
P: Czy każde naruszenie danych osobowych trzeba zgłaszać do UODO?
O: Nie. Artykuł 33 ustęp 1 Rozporządzenia UE 2016/679 wprowadza wyjątek: zgłoszenie nie jest wymagane, jeśli naruszenie jest mało prawdopodobne, by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jednak administrator musi to ryzyko ocenić i udokumentować ocenę w wewnętrznym rejestrze naruszeń – nawet gdy decyduje o niezgłaszaniu incydentu. Brak dokumentacji tej oceny jest traktowany przez UODO jako naruszenie samo w sobie.
P: Ile kosztuje brak zgłoszenia naruszenia danych osobowych do UODO w terminie?
O: Maksymalna kara administracyjna za naruszenie obowiązku zgłoszenia wynosi 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – stosuje się kwotę wyższą. UODO w Polsce nakładał kary w przedziale od kilkudziesięciu tysięcy do kilku milionów złotych. Wysokość kary zależy od charakteru naruszenia, liczby poszkodowanych osób, stopnia współpracy z organem i wdrożonych środków naprawczych.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, cyberbezpieczeństwa i zgodności z RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.