Firma z Mazowsza odkrywa w piątek wieczorem, że baza danych klientów wyciekła do sieci. Dane osobowe kilku tysięcy osób – imiona, adresy e-mail, numery telefonów – są dostępne publicznie. Administrator ma 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych. Zegar już tyka.
Naruszenie ochrony danych osobowych zobowiązuje administratora do zgłoszenia incydentu do UODO w ciągu 72 godzin od jego stwierdzenia – na podstawie artykułu 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Obowiązek ten dotyczy każdego administratora przetwarzającego dane osobowe, niezależnie od wielkości organizacji. Naruszenie terminu grozi karą administracyjną do 10 mln EUR lub 2% rocznego obrotu.
Ten alert wyjaśnia, kiedy powstaje obowiązek zgłoszenia, jak prawidłowo przeprowadzić procedurę i jakie błędy najczęściej kosztują firmy najwięcej. Trzy sekcje – trzy konkretne działania.
Kiedy 72 godziny zaczynają biec i kogo dotyczy obowiązek zgłoszenia?
Obowiązek zgłoszenia powstaje w momencie stwierdzenia naruszenia – nie jego wystąpienia. To rozróżnienie ma ogromne znaczenie praktyczne. Administrator „stwierdza" naruszenie, gdy dysponuje wystarczającą wiedzą, by ocenić, że doszło do incydentu w rozumieniu RODO. W praktyce – wiele firm o tym zapomina – moment stwierdzenia może nastąpić już wtedy, gdy pracownik IT zgłosi podejrzenie wycieku przełożonemu.
RODO definiuje naruszenie ochrony danych jako zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Obejmuje to zarówno cyberataki, jak i zagubiony laptop, błędnie zaadresowany e-mail czy nieautoryzowany dostęp pracownika. Zakres jest szeroki – niemal każdy poważniejszy incydent informatyczny wchodzi w tę definicję.
Obowiązek zgłoszenia do UODO dotyczy administratora danych, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest wysokie, administrator musi dodatkowo poinformować samych poszkodowanych bez zbędnej zwłoki. Podmiot przetwarzający (procesor) ma obowiązek zgłosić naruszenie administratorowi – bez zbędnej zwłoki, co w praktyce oznacza niezwłocznie po stwierdzeniu incydentu.
- Zgłoszenie do UODO: 72 godziny od stwierdzenia naruszenia
- Zawiadomienie osób poszkodowanych: bez zbędnej zwłoki (przy wysokim ryzyku)
- Dokumentacja wewnętrzna: każde naruszenie, nawet niezgłoszone
- Obowiązek procesora: niezwłoczne poinformowanie administratora
Dla podmiotów finansowych objętych rozporządzeniem DORA (Rozporządzenie UE 2022/2554, w życie od 17 stycznia 2025 r.) nakładają się dodatkowe obowiązki raportowania incydentów ICT do Komisji Nadzoru Finansowego. Termin na zgłoszenie poważnego incydentu do KNF wynosi 4 godziny od jego sklasyfikowania. To reżim surowszy niż RODO – i dotyczy banków, ubezpieczycieli, firm inwestycyjnych oraz ich dostawców ICT działających w Polsce.
Firma technologiczna z Trójmiasta wdrażająca system AI do analizy zachowań klientów powinna pamiętać, że AI Act (Rozporządzenie UE 2024/1689, w życie od 1 sierpnia 2024 r.) nakłada na dostawców systemów wysokiego ryzyka obowiązki zarządzania danymi treningowymi. Naruszenie ochrony tych danych może uruchomić jednocześnie procedury RODO, DORA i AI Act – trzy różne organy nadzoru, trzy różne terminy.
Jak prawidłowo zgłosić naruszenie do UODO – i jakie błędy są nieodwracalne?
Zgłoszenie do UODO składa się przez platformę e-PUAP lub bezpośrednio na adres uodo.gov.pl. Formularz wymaga podania konkretnych informacji: opisu charakteru naruszenia, kategorii i przybliżonej liczby osób, których dane dotyczą, kategorii i przybliżonej liczby rekordów, danych kontaktowych inspektora ochrony danych (IOD), opisu prawdopodobnych skutków naruszenia oraz środków zastosowanych lub proponowanych. Brak któregokolwiek z tych elementów może skutkować wezwaniem do uzupełnienia – a czas mija.
Jeśli administrator nie dysponuje wszystkimi informacjami w ciągu 72 godzin, może złożyć zgłoszenie etapowe. Pierwsza część zawiera dostępne dane, kolejne uzupełniają obraz w miarę postępu dochodzenia wewnętrznego. UODO akceptuje takie podejście – pod warunkiem, że pierwsza część wpłynie w terminie. W praktyce – firmy, które czekają na „pełny obraz", przekraczają termin i narażają się na sankcje.
Spółka z branży e-commerce z Wielkopolski zgłosiła w jesieni 2024 r. naruszenie z 48-godzinnym opóźnieniem, tłumacząc je trwającym audytem wewnętrznym. UODO wszczął postępowanie wyjaśniające. Kara nie musi być automatyczna – ale każde opóźnienie wymaga uzasadnienia, a organ ocenia je rygorystycznie.
Najczęstsze błędy w procedurze zgłoszeniowej:
- Mylenie momentu wystąpienia naruszenia z momentem jego stwierdzenia
- Oczekiwanie na pełne wyniki analizy forensycznej przed złożeniem zgłoszenia
- Brak wewnętrznej dokumentacji naruszeń niewymagających zgłoszenia do UODO
- Nieuwzględnienie obowiązku zawiadomienia osób poszkodowanych przy wysokim ryzyku
Dokumentacja wewnętrzna jest obowiązkowa dla każdego naruszenia – również tych, które nie wymagają zgłoszenia do UODO. Art. 33 ust. 5 RODO wprost nakłada ten obowiązek. UODO w toku kontroli weryfikuje rejestr naruszeń i ocenia, czy decyzja o niezgłaszaniu była uzasadniona. Brak rejestru sam w sobie stanowi naruszenie zasady rozliczalności.
Organizacje wdrażające systemy AI wysokiego ryzyka – objęte AI Act – powinny już teraz zintegrować procedury reagowania na incydenty RODO z rejestrem systemów AI. Naruszenie danych w systemie rekrutacyjnym opartym na AI uruchamia jednocześnie obowiązki wobec UODO i obowiązki monitorowania systemu wysokiego ryzyka wobec organu nadzoru rynku. Regulacja wyprzedza rynek – wiele firm jeszcze tego nie dostrzega.
Konkretna sytuacja Państwa firmy – wyciek danych, incydent ICT, podejrzenie nieuprawnionego dostępu – wymaga natychmiastowej oceny prawnej. Każda godzina zwłoki w stwierdzeniu naruszenia skraca czas na prawidłowe zgłoszenie i zwiększa ryzyko nieodwracalnych konsekwencji regulacyjnych.
Jeśli Państwa organizacja doświadczyła incydentu dotyczącego danych osobowych lub wdrażacie procedury reagowania na naruszenia – przeprowadzimy ocenę obowiązku zgłoszenia, przygotujemy dokumentację i reprezentujemy przed UODO: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każde naruszenie danych osobowych trzeba zgłaszać do UODO?
O: Nie. Artykuł 33 ustęp 1 RODO przewiduje obowiązek zgłoszenia tylko wtedy, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne – na przykład zaszyfrowane dane na zgubionym nośniku – zgłoszenie do UODO nie jest wymagane. Jednak każde naruszenie, nawet niezgłoszone, musi być odnotowane w wewnętrznym rejestrze administratora.
P: Co grozi za przekroczenie terminu 72 godzin?
O: UODO może nałożyć karę administracyjną do 10 mln EUR lub 2% rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa. Przekroczenie terminu nie jest automatycznie karane – organ bierze pod uwagę okoliczności, działania naprawcze i historię compliance. Jednak każde opóźnienie wymaga udokumentowanego uzasadnienia, a brak takiego uzasadnienia znacząco pogarsza sytuację administratora.
P: Czy inspektor ochrony danych (IOD) jest obowiązkowy dla każdej firmy?
O: Obowiązek wyznaczenia IOD dotyczy organów publicznych, podmiotów prowadzących regularne i systematyczne monitorowanie osób na dużą skalę oraz podmiotów przetwarzających na dużą skalę szczególne kategorie danych. Małe firmy przetwarzające dane klientów w zwykłym zakresie działalności najczęściej nie mają tego obowiązku. Mimo to wyznaczenie IOD jest dobrą praktyką – w postępowaniu przed UODO jego obecność działa na korzyść administratora.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.