Firma z branży e-commerce odkrywa w piątek wieczorem, że dane logowania kilku tysięcy klientów wyciekły przez niezabezpieczony endpoint API. Administratorzy systemu potwierdzają incydent o 22:00. Zegar rusza natychmiast – i nie czeka na poniedziałek.

Naruszenie ochrony danych osobowych zobowiązuje administratora do zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od jego wykrycia. Obowiązek wynika bezpośrednio z artykułu 33 Rozporządzenia (UE) 2016/679 (RODO). Niedotrzymanie terminu grozi karą administracyjną do 10 milionów euro lub 2% globalnego obrotu rocznego – w zależności od tego, która kwota jest wyższa.

Poniżej znajdą Państwo trzy bloki: co dokładnie zmienia się w praktyce zgłaszania naruszeń, kogo dotyczą nowe progi odpowiedzialności, oraz jakie kroki należy podjąć w ciągu pierwszych 72 godzin. Alert obejmuje również wymagania wynikające z DORA i AI Act, które nakładają na wybrane podmioty dodatkowe obowiązki raportowania incydentów.

Co zmienia się w praktyce zgłaszania naruszeń danych – RODO, DORA i AI Act?

Przez lata wiele firm traktowało art. 33 RODO jako formalność. UODO weryfikuje to podejście poprzez rosnącą liczbę postępowań i kar. Samo RODO (Rozporządzenie UE 2016/679) weszło w życie w 2018 roku, ale praktyka egzekucyjna dojrzewa – i to wyraźnie. Termin 72 godzin biegnie od momentu, gdy administrator powziął wiedzę o naruszeniu, nie od chwili jego faktycznego wystąpienia.

Obok RODO pojawiły się dwa nowe reżimy raportowania. DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku i dotyczy podmiotów finansowych – banków, firm inwestycyjnych, zakładów ubezpieczeń, dostawców usług płatniczych. Dla nich incydent związany z ICT podlega trójstopniowemu raportowaniu do KNF: wstępne powiadomienie, raport pośredni i raport końcowy. Terminy są krótsze niż w RODO – wstępne powiadomienie musi trafić do KNF w ciągu 4 godzin od klasyfikacji incydentu jako poważnego.

AI Act (Rozporządzenie UE 2024/1689) wprowadza kolejną warstwę. Dostawcy systemów AI wysokiego ryzyka – np. stosowanych w scoringu kredytowym, rekrutacji lub biometrii – mają obowiązek raportowania poważnych incydentów do właściwego organu nadzoru. W Polsce rolę tę pełni UODO w zakresie danych osobowych, a dla innych aspektów AI – organy sektorowe. Regulacja AI Act wyprzedza rynek: wiele firm dopiero teraz identyfikuje, które ich systemy kwalifikują się jako wysokiego ryzyka.

W praktyce firma może być jednocześnie zobowiązana do zgłoszenia incydentu na trzech podstawach: RODO (72h do UODO), DORA (4h do KNF) i AI Act. Brak wewnętrznych procedur koordynujących te ścieżki to błąd, który zamyka drogę do skutecznej obrony w postępowaniu nadzorczym.

Kogo dotyczą obowiązki i jakie progi odpowiedzialności obowiązują?

Obowiązek zgłoszenia naruszenia do UODO spoczywa na administratorze danych – każdym podmiocie, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania. Podmiot przetwarzający (procesor) ma inny obowiązek: musi poinformować administratora bez zbędnej zwłoki, co w praktyce oznacza nie później niż w ciągu 24 godzin od wykrycia incydentu, aby administrator zdążył z 72-godzinnym terminem do UODO.

Progi odpowiedzialności finansowej są zróżnicowane. Za naruszenie art. 33 RODO grozi kara do 10 milionów euro lub 2% całkowitego rocznego obrotu światowego. Za naruszenie art. 34 RODO – obowiązku powiadomienia osób, których dane dotyczą – sankcja jest taka sama. Najpoważniejsze naruszenia (np. brak podstawy prawnej przetwarzania) zagrożone są karą do 20 milionów euro lub 4% obrotu. UODO może nałożyć karę nawet wtedy, gdy naruszenie nie spowodowało realnej szkody po stronie osób fizycznych.

Szczególne obowiązki ciążą na podmiotach objętych DORA. Instytucje finansowe nadzorowane przez KNF muszą prowadzić rejestr wszystkich incydentów ICT – nie tylko tych poważnych. Rejestr podlega kontroli KNF. Brak dokumentacji może skutkować odpowiedzialnością osobistą członków zarządu, co stanowi nieodwracalne ryzyko dla kadry kierowniczej.

Warto odnotować, że ustawa o sygnalistach z 14 czerwca 2024 roku nakłada na pracodawców zatrudniających 50 lub więcej pracowników obowiązek posiadania wewnętrznego kanału zgłoszeń. Kanał ten może być pierwszym miejscem, w którym pracownik zgłosi podejrzenie naruszenia danych – zanim trafi do UODO. Brak kanału to dodatkowe ryzyko regulacyjne.

Jakie działania podjąć w ciągu 72 godzin od wykrycia naruszenia?

Pierwsze 72 godziny decydują o tym, czy administrator wywiąże się z obowiązku ustawowego i czy będzie mógł skutecznie wykazać działanie w dobrej wierze. UODO ocenia nie tylko fakt zgłoszenia, ale też jego kompletność i terminowość. Zgłoszenie niekompletne złożone w terminie jest lepsze niż kompletne złożone po czasie – można je uzupełnić, wskazując przyczynę opóźnienia.

Obowiązkowa lista działań w pierwszych 72 godzinach:

  • Udokumentowanie momentu wykrycia naruszenia – data, godzina, osoba zgłaszająca, źródło informacji.
  • Ocena ryzyka dla praw i wolności osób fizycznych – czy naruszenie może skutkować dyskryminacją, stratą finansową, utratą reputacji lub innym realnym uszczerbkiem.
  • Zgłoszenie do UODO przez portal e-UODO, jeśli ryzyko jest prawdopodobne – formularz wymaga opisu kategorii danych, szacunkowej liczby osób i zastosowanych środków zaradczych.
  • Ocena, czy osoby fizyczne muszą zostać powiadomione indywidualnie (art. 34 RODO – gdy ryzyko jest wysokie).
  • Powiadomienie KNF w trybie DORA, jeśli podmiot jest instytucją finansową i incydent spełnia kryteria poważnego incydentu ICT.

Firma z sektora IT, która wiosną 2025 roku w Warszawie wykryła wyciek danych klientów korporacyjnych, zdołała złożyć zgłoszenie do UODO w ciągu 58 godzin – dzięki wcześniej przygotowanej procedurze response plan. UODO odnotował terminowość i nie wszczął postępowania karnego. Brak procedury w analogicznej sytuacji oznaczałby nieodwracalne przekroczenie terminu.

Przekazywanie danych poza EOG komplikuje obraz. Jeśli naruszenie dotyczy danych transferowanych do państw trzecich – np. przez dostawcę chmurowego z siedzibą poza UE – zastosowanie mają dodatkowe mechanizmy ochronne. Szczegółowe zasady transferów do Szwajcarii opisujemy w materiale dotyczącym transferu danych z Polski do Szwajcarii, a mechanizmy transferów na Cypr – w odrębnym opracowaniu o transferach do Cypru. Naruszenie obejmujące dane transferowane do państwa trzeciego może wymagać równoległego powiadomienia tamtejszego organu nadzoru.

Uważamy, że bezpieczniejszym rozwiązaniem jest posiadanie gotowego szablonu zgłoszenia do UODO i wewnętrznej matrycy decyzyjnej – zanim dojdzie do incydentu. Przygotowanie tych dokumentów zajmuje kilka godzin. Ich brak w momencie kryzysu kosztuje znacznie więcej.

Konkretna sytuacja Państwa firmy może wymagać jednoczesnego działania na kilku frontach regulacyjnych – RODO, DORA, AI Act – a każdy błąd proceduralny zamyka drogę do skutecznej obrony przed UODO lub KNF.

Jeśli Państwa spółka przetwarza dane osobowe i nie posiada aktualnej procedury reagowania na naruszenia – przeprowadzimy audyt gotowości, przygotujemy szablon zgłoszenia do UODO i opracujemy matrycę decyzyjną: info@kordeckipartners.com.

Często zadawane pytania

P: Od kiedy biegnie termin 72 godzin na zgłoszenie naruszenia do UODO?

O: Termin biegnie od momentu, gdy administrator powziął wiedzę o naruszeniu – nie od chwili jego faktycznego wystąpienia. Jeśli naruszenie wykryje podmiot przetwarzający (procesor), musi on poinformować administratora bez zbędnej zwłoki, praktycznie w ciągu 24 godzin, aby administrator zdążył z własnym zgłoszeniem. Artykuł 33 ustęp 1 Rozporządzenia (UE) 2016/679 nie przewiduje wyjątków dla weekendów ani dni wolnych.

P: Czy każde naruszenie danych trzeba zgłaszać do UODO?

O: Nie. Obowiązek zgłoszenia powstaje tylko wtedy, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne – np. zaszyfrowane dane zostały utracone bez możliwości odszyfrowania przez osoby nieuprawnione – zgłoszenie do UODO nie jest wymagane. Administrator musi jednak udokumentować tę ocenę i przechowywać dokumentację na wypadek kontroli. Brak dokumentacji jest traktowany przez UODO jako naruszenie samo w sobie.

P: Jakie są konsekwencje przekroczenia terminu 72 godzin?

O: Przekroczenie terminu nie jest automatycznie karane, ale UODO bierze je pod uwagę przy ocenie naruszenia i wymiarze kary. Administrator powinien wskazać przyczyny opóźnienia w treści zgłoszenia. Kara za naruszenie obowiązku zgłoszenia może sięgnąć 10 milionów euro lub 2% rocznego globalnego obrotu. Dla podmiotów finansowych objętych rozporządzeniem DORA konsekwencje mogą być surowsze – KNF może wszcząć odrębne postępowanie nadzorcze.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z RODO, DORA i AI Act oraz reagowania na naruszenia danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.