Firma z branży e-commerce odkrywa w piątek wieczór, że dane logowania kilkuset klientów wyciekły przez lukę w systemie płatności. Czas na reakcję jest liczony w godzinach – nie dniach. Procedura zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych (UODO) ma ścisłe ramy czasowe, a ich przekroczenie grozi karą administracyjną sięgającą 10 milionów euro lub 2% globalnego obrotu.

Naruszenie danych osobowych w rozumieniu RODO (Rozporządzenie UE 2016/679) to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych. Administrator ma obowiązek zgłosić naruszenie do UODO w ciągu 72 godzin od jego wykrycia. Brak zgłoszenia – gdy jest ono wymagane – stanowi samodzielną podstawę do nałożenia kary finansowej.

Ten alert wyjaśnia, kiedy obowiązek zgłoszenia powstaje, jak przebiega procedura krok po kroku i co zrobić, gdy 72 godziny już minęły. Omówiono też sytuacje szczególne wynikające z DORA i AI Act.

Kiedy naruszenie danych osobowych trzeba zgłosić do UODO?

Obowiązek zgłoszenia powstaje, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. To kryterium jest szersze, niż się wydaje. RODO nie wymaga pewności szkody – wystarczy realne prawdopodobieństwo. UODO, podobnie jak inne organy nadzorcze w UE, stosuje tę przesłankę rygorystycznie.

Zgłoszenia nie wymaga naruszenie, które z dużym prawdopodobieństwem nie spowoduje ryzyka dla osób. Przykład: zaszyfrowany laptop skradziony pracownikowi, gdzie klucz szyfrowania pozostaje bezpieczny. W praktyce jednak administratorzy zbyt często kwalifikują zdarzenia jako „niskie ryzyko" bez rzetelnej analizy. To błąd, który UODO dostrzega w toku kontroli.

Osobne progi obowiązują podmioty objęte DORA (Rozporządzenie UE 2022/2554). Instytucje finansowe – banki, zakłady ubezpieczeń, firmy inwestycyjne – od 17 stycznia 2025 r. podlegają równolegle obowiązkowi raportowania incydentów ICT do Komisji Nadzoru Finansowego (KNF). Terminy i zakres raportowania DORA różnią się od wymogów RODO. Prowadzenie jednego rejestru incydentów dla obu reżimów to rozwiązanie, które rekomendujemy klientom z sektora finansowego.

Systemy AI wysokiego ryzyka w rozumieniu AI Act (Rozporządzenie UE 2024/1689) – np. stosowane w rekrutacji, scoringu kredytowym lub biometrii – mogą generować naruszenia danych o szczególnie dotkliwych skutkach dla osób. Naruszenie w takim systemie niemal zawsze przekracza próg „ryzyka dla praw i wolności", co automatycznie uruchamia obowiązek zgłoszenia do UODO.

  • Scoring kredytowy oparty na AI: naruszenie danych wejściowych może wpłynąć na decyzje finansowe dziesiątek osób.
  • Systemy rekrutacyjne: ujawnienie danych kandydatów naraża ich na dyskryminację.
  • Biometria: każde naruszenie danych biometrycznych to automatycznie kategoria danych szczególnych z art. 9 RODO.

Firmy prowadzące działalność z zakresu ochrony własności intelektualnej i gromadzące dane o naruszeniach znaku towarowego lub wzorów przemysłowych powinny pamiętać, że takie bazy danych – jeśli zawierają dane osobowe naruszycieli – również podlegają RODO i wymogom zgłoszeniowym.

Jak przeprowadzić zgłoszenie w 72 godziny – procedura krok po kroku?

72 godziny biegnie od momentu, gdy administrator powziął wiedzę o naruszeniu. Nie od chwili, gdy naruszenie faktycznie nastąpiło. To rozróżnienie jest istotne: jeśli incydent miał miejsce w poniedziałek, a dział IT poinformował zarząd w środę rano, termin upływa w piątek rano. Każda godzina ma znaczenie.

Zgłoszenie składa się przez portal UODO (zgłoszenia.uodo.gov.pl) lub w formie pisemnej. Formularz wymaga podania: kategorii i przybliżonej liczby osób dotkniętych naruszeniem, kategorii i przybliżonej liczby rekordów danych, opisu prawdopodobnych konsekwencji oraz zastosowanych lub planowanych środków zaradczych. Inspektor Ochrony Danych (IOD) powinien być zaangażowany od pierwszej godziny.

Procedura w praktyce wygląda następująco:

  • Godziny 0–4: identyfikacja i izolacja incydentu, powiadomienie IOD i zarządu.
  • Godziny 4–24: wstępna ocena ryzyka, zebranie faktów, decyzja o obowiązku zgłoszenia.
  • Godziny 24–48: przygotowanie treści zgłoszenia, weryfikacja prawna.
  • Godziny 48–72: złożenie zgłoszenia do UODO, ocena konieczności powiadomienia osób.

Spółka z Mazowsza działająca w branży HR jesienią 2024 r. zgłosiła naruszenie po 68 godzinach – tuż przed upływem terminu. Zdążyła, ale UODO wezwało ją do uzupełnienia dokumentacji w ciągu 7 dni. Brak kompletnych danych w pierwotnym zgłoszeniu nie jest błędem dyskwalifikującym, ale wydłuża postępowanie i zwiększa ryzyko nałożenia sankcji.

Gdy naruszenie może powodować wysokie ryzyko dla osób – np. wyciek danych finansowych lub medycznych – administrator musi dodatkowo powiadomić same osoby dotknięte naruszeniem. Powiadomienie powinno być jasne, napisane prostym językiem i zawierać dane kontaktowe IOD. Nie ma sztywnego terminu, ale UODO oczekuje działania „bez zbędnej zwłoki".

Administratorzy rozważający restrukturyzację lub zmianę formy prawnej powinni wiedzieć, że obowiązki RODO – w tym rejestry naruszeń – przechodzą na podmiot przejmujący. Szczegółowe zasady sukcesji opisujemy przy okazji likwidacji sp. z o.o., gdzie kwestia danych osobowych bywa pomijana na liście obowiązków likwidatora.

Firmy objęte DORA powinny prowadzić równoległy rejestr incydentów ICT. Incydent raportowany do KNF może jednocześnie stanowić naruszenie danych osobowych wymagające zgłoszenia do UODO. Oba organy mogą prowadzić odrębne postępowania wyjaśniające w tej samej sprawie.

Producent oprogramowania z Trójmiasta wiosną 2025 r. nie poinformował osób o wycieku danych dostępowych. UODO wszczęło postępowanie z urzędu po anonimowym zgłoszeniu od jednego z klientów. Kara administracyjna objęła zarówno brak powiadomienia osób, jak i nieprawidłowe prowadzenie rejestru naruszeń – łącznie dwa odrębne naruszenia RODO.

Jeśli Państwa firma korzysta z usług procesora danych (np. zewnętrznego dostawcy chmury), procesor ma obowiązek niezwłocznie – w praktyce: w ciągu 24 godzin – poinformować administratora o wykrytym naruszeniu. Umowa powierzenia przetwarzania powinna precyzyjnie regulować ten obowiązek. Brak odpowiednich klauzul to luka, którą UODO traktuje jako brak środków organizacyjnych wymaganych przez RODO.

Konkretna sytuacja Państwa firmy może wymagać oceny, czy naruszenie przekracza próg obowiązku zgłoszenia. Zaniechanie zgłoszenia – gdy było ono wymagane – zamyka drogę do obrony przed karą administracyjną i naraża zarząd na odpowiedzialność osobistą.

Jeśli Państwa spółka wykryła incydent bezpieczeństwa danych i nie jest pewna, czy obowiązek zgłoszenia do UODO powstał – przeprowadzimy analizę prawną zdarzenia, ocenę ryzyka i przygotujemy kompletną dokumentację zgłoszeniową: info@kordeckipartners.com.

Często zadawane pytania

P: Co zrobić, jeśli 72 godziny już minęły i naruszenie nie zostało zgłoszone?

O: Spóźnione zgłoszenie jest lepsze niż brak zgłoszenia. Artykuł 33 ustęp 1 RODO przewiduje możliwość zgłoszenia po terminie z podaniem przyczyn opóźnienia. UODO ocenia opóźnienie jako okoliczność obciążającą, ale jego brak – jako samodzielną podstawę do nałożenia kary. Rekomendujemy złożenie zgłoszenia niezwłocznie wraz z wyjaśnieniem przyczyn zwłoki i opisem podjętych działań naprawczych.

P: Czy każde naruszenie danych osobowych wymaga powiadomienia osób, których dane dotyczą?

O: Nie. Powiadomienie osób jest wymagane tylko wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności – próg wyższy niż przy zgłoszeniu do UODO. Powszechnym błędem jest utożsamianie obu obowiązków. Wyciek zaszyfrowanych danych, gdzie klucz pozostaje bezpieczny, może wymagać zgłoszenia do UODO, ale nie powiadomienia osób. Każdy przypadek wymaga odrębnej oceny.

P: Ile kosztuje postępowanie UODO i jak długo trwa?

O: Samo zgłoszenie naruszenia jest bezpłatne. Postępowanie wyjaśniające UODO może trwać od kilku miesięcy do ponad roku. Kary administracyjne za naruszenie obowiązku zgłoszenia sięgają 10 milionów euro lub 2% globalnego rocznego obrotu dla podmiotów niebędących organami publicznymi. Koszty obsługi prawnej postępowania zależą od jego złożoności i liczby podmiotów zaangażowanych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, regulacji AI Act i DORA oraz cyberbezpieczeństwa. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.