Firma z branży e-commerce z Mazowsza odkrywa w piątkowe południe, że baza danych klientów – imiona, adresy e-mail, numery zamówień – wyciekła na zewnętrzny serwer. Zegarek wskazuje 12:04. Administrator danych ma 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych. Każda minuta bezczynności skraca margines na zebranie dowodów, ocenę ryzyka i sporządzenie kompletnego zgłoszenia.

Naruszenie ochrony danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO – to każde zdarzenie skutkujące przypadkowym lub bezprawnym zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do danych osobowych. Obowiązek zgłoszenia naruszenia organowi nadzorczemu, tj. Prezesowi Urzędu Ochrony Danych Osobowych (UODO), wynika z artykułu 33 RODO. Termin wynosi 72 godziny od chwili stwierdzenia naruszenia.

Ten przewodnik omawia krok po kroku procedurę zgłoszenia, terminy i najczęstsze błędy. Uwzględnia też scenariusze z perspektywy firmy produkcyjnej, operatora IT i zagranicznego inwestora. Znajdziesz tu również wskazówki dotyczące powiązań z AI Act oraz DORA – regulacjami, które nakładają własne obowiązki w zakresie ochrony danych i zarządzania incydentami.

Czym jest naruszenie danych i kiedy trzeba je zgłosić do UODO?

RODO rozróżnia trzy rodzaje naruszeń: naruszenie poufności (dostęp nieuprawniony), naruszenie integralności (modyfikacja danych) oraz naruszenie dostępności (zniszczenie lub utrata). Każde z nich może – choć nie musi – uruchamiać obowiązek zgłoszenia. Decyduje ocena ryzyka.

Administrator danych musi zgłosić naruszenie do UODO, gdy istnieje prawdopodobieństwo, że zdarzenie wywoła ryzyko naruszenia praw lub wolności osób fizycznych. Gdy ryzyko jest wysokie – administrator musi dodatkowo powiadomić samych poszkodowanych. Dwie różne ścieżki, dwa różne terminy. Brak zgłoszenia przy wysokim ryzyku to jeden z najpoważniejszych błędów proceduralnych.

Skąd pochodzi termin 72 godzin? Artykuł 33 ustęp 1 RODO liczy czas od momentu stwierdzenia naruszenia – nie od chwili jego wystąpienia. W praktyce UODO przyjmuje, że „stwierdzenie" następuje, gdy administrator dysponuje wystarczającymi informacjami, by ocenić charakter zdarzenia. Wewnętrzny alert systemowy z piątku może więc uruchamiać bieg terminu nawet wtedy, gdy pełna analiza trwa do poniedziałku.

Trzy sytuacje, które NIE wymagają zgłoszenia do UODO:

  • Dane były szyfrowane i klucz szyfrujący nie wyciekł – brak ryzyka dla osób fizycznych.
  • Naruszenie dotyczyło tylko danych pracownika, który sam zgłosił incydent i wyraził zgodę na brak powiadomienia.
  • Ryzyko dla praw i wolności jest znikome – np. utrata zaszyfrowanej kopii zapasowej bez dostępu osób trzecich.

W każdym przypadku administrator musi jednak udokumentować swoją ocenę ryzyka. UODO w toku kontroli weryfikuje nie tylko to, czy zgłoszono naruszenie, ale też czy decyzja o niezgłoszeniu była uzasadniona. Brak dokumentacji może kosztować więcej niż samo zgłoszenie. W Polsce UODO nałożył w poprzednich latach kary przekraczające 1 000 000 PLN za brak właściwego zarządzania incydentami.

Jak krok po kroku zgłosić naruszenie do UODO?

Procedura zgłoszenia składa się z czterech etapów: identyfikacja i wstępna ocena, zebranie informacji wymaganych przez RODO, złożenie zgłoszenia przez platformę ePUAP lub formularz UODO, a następnie monitorowanie i ewentualne uzupełnienie zgłoszenia. Termin 72 godzin jest bezwzględny – opóźnienie wymaga wyjaśnienia przyczyn.

Etap 1 – identyfikacja (0–4 godziny). Powołaj wewnętrzny zespół incydentowy. Zidentyfikuj kategorie danych, liczbę osób, których dotyczą, oraz przybliżony czas trwania naruszenia. Zabezpiecz logi systemowe – to dowody, które można łatwo nadpisać.

Etap 2 – ocena ryzyka (4–24 godziny). Oceń prawdopodobieństwo i powagę ryzyka dla osób fizycznych. Weź pod uwagę: kategorie danych (dane wrażliwe z art. 9 RODO podnoszą ryzyko automatycznie), liczbę poszkodowanych, możliwość identyfikacji sprawcy, dostępność danych w sieci. Udokumentuj każdy wniosek.

Etap 3 – złożenie zgłoszenia (do 72 godzin od stwierdzenia). Formularz UODO wymaga podania: opisu charakteru naruszenia, kategorii i przybliżonej liczby osób, danych kontaktowych inspektora ochrony danych (IOD), opisu prawdopodobnych konsekwencji oraz środków zaradczych. Jeśli w chwili zgłoszenia nie masz wszystkich danych – zgłoś etapowo. Artykuł 33 ustęp 4 RODO wprost dopuszcza przekazanie informacji „etapami, bez zbędnej zwłoki".

Etap 4 – uzupełnienie i zamknięcie. W ciągu kolejnych 72 godzin uzupełnij brakujące informacje. Zachowaj całą dokumentację przez co najmniej 3 lata – tyle wynosi standardowy okres przedawnienia roszczeń w sprawach administracyjnych przed UODO.

W praktyce – wiele firm o tym zapomina – zgłoszenie do UODO to nie koniec procedury. Jeśli naruszenie dotyczy podmiotów przetwarzających dane w imieniu administratora (procesorów), administrator musi poinformować ich niezwłocznie. Z kolei procesor ma obowiązek powiadomić administratora bez zbędnej zwłoki po stwierdzeniu naruszenia – art. 33 ust. 2 RODO.

Uważamy, że bezpieczniejszym rozwiązaniem jest zawsze złożenie zgłoszenia wstępnego w ciągu 48 godzin, nawet jeśli informacje są niepełne. Lepiej uzupełniać zgłoszenie, niż tłumaczyć opóźnienie.

Jeśli Państwa firma wdraża systemy AI, warto sprawdzić, jak AI Act nakłada dodatkowe obowiązki w zakresie zarządzania incydentami dla systemów wysokiego ryzyka.

Trzy scenariusze biznesowe – jakie błędy popełniają firmy?

Każda branża inaczej doświadcza naruszeń danych. Procedura jest jedna, ale pułapki różne. Poniżej trzy scenariusze oparte na typowych sytuacjach z polskiej praktyki.

Scenariusz 1 – Firma produkcyjna z Podkarpacia (jesień 2024). Producent części przemysłowych stwierdził, że były pracownik skopiował bazę kontrahentów – kilka tysięcy rekordów z danymi osobowymi przedstawicieli handlowych. Firma czekała 5 dni na opinię prawną zanim złożyła zgłoszenie. UODO wszczął postępowanie wyjaśniające. Lekcja: wewnętrzna procedura zarządzania incydentami musi działać bez czekania na zewnętrzne opinie. Opinia prawna może być równoległa, nie sekwencyjna.

Scenariusz 2 – Firma IT z Trójmiasta (wiosna 2025). Operator chmury dla sektora zdrowotnego odkrył lukę w API, przez którą przez 48 godzin możliwy był dostęp do danych pacjentów. Dane obejmowały numery PESEL i informacje o stanie zdrowia – dane wrażliwe z art. 9 RODO. Firma złożyła zgłoszenie w 68. godzinie, ale nie powiadomiła poszkodowanych pacjentów. UODO nałożył karę za naruszenie art. 34 RODO. Lekcja: przy danych wrażliwych obowiązek powiadomienia osób fizycznych jest niemal automatyczny.

Scenariusz 3 – Zagraniczny inwestor wchodzący na rynek polski. Dla inwestora z Niemiec wchodzącego na rynek polski RODO jest znane, ale UODO – jako organ nadzorczy – ma własną praktykę decyzyjną. Formularze zgłoszeń są dostępne wyłącznie po polsku. Termin 72 godzin biegnie tak samo jak w całej UE, ale komunikacja z UODO wymaga znajomości lokalnych procedur. Inwestor, który nie wyznaczył lokalnego IOD i nie przetłumaczył wewnętrznych procedur na język polski, może mieć problem z terminowym złożeniem kompletnego zgłoszenia.

Trzy błędy powtarzają się najczęściej niezależnie od scenariusza:

  • Brak udokumentowanej oceny ryzyka przy decyzji o niezgłaszaniu naruszenia.
  • Pomylenie roli procesora i administratora – procesor nie zgłasza naruszenia do UODO, tylko do administratora.
  • Niezgłoszenie naruszenia etapami – czekanie na kompletne informacje zamiast złożenia wstępnego zgłoszenia.

W kontekście regulacji sektorowych warto pamiętać, że podmioty finansowe objęte DORA (Rozporządzenie UE 2022/2554, w życie od 17 stycznia 2025 r.) mają równoległe obowiązki zgłaszania incydentów ICT do Komisji Nadzoru Finansowego (KNF). Naruszenie danych osobowych w banku lub firmie inwestycyjnej może więc uruchamiać jednocześnie procedurę RODO do UODO i procedurę DORA do KNF. Terminy są różne – nie można złożyć jednego zgłoszenia dla obu organów.

Jeśli naruszenie danych doprowadziło do sporu z kontrahentem lub klientem, sprawdź, kiedy mediacja gospodarcza może być skuteczniejsza niż postępowanie sądowe.

Jakie kary grożą za brak lub nieterminowe zgłoszenie naruszenia?

RODO przewiduje dwa progi sankcji administracyjnych. Za naruszenie obowiązku zgłoszenia naruszenia (art. 33 i 34 RODO) Prezes UODO może nałożyć karę do 10 000 000 EUR lub – w przypadku przedsiębiorcy – do 2% całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego, jeśli ta kwota jest wyższa. To niższy próg. Wyższy próg – 20 000 000 EUR lub 4% obrotu – dotyczy naruszeń podstawowych zasad przetwarzania danych.

Sama kara finansowa to nie jedyne ryzyko. UODO może nakazać ograniczenie lub zakaz przetwarzania danych. Dla firmy e-commerce taki nakaz może oznaczać faktyczne wstrzymanie działalności operacyjnej – skutek nieodwracalny w perspektywie tygodni.

Odpowiedzialność cywilna to osobna ścieżka. Artykuł 82 RODO daje osobom fizycznym prawo do odszkodowania za szkodę majątkową i niemajątkową wynikłą z naruszenia. Roszczenia indywidualne mogą być kumulowane. W sprawach o większej liczbie poszkodowanych – a naruszenia baz danych klientów mogą dotyczyć dziesiątek tysięcy osób – łączna ekspozycja może przewyższyć karę administracyjną.

Istotne jest też powiązanie z AI Act (Rozporządzenie UE 2024/1689, w życie od 1 sierpnia 2024 r.). Systemy AI wysokiego ryzyka – np. narzędzia do oceny ryzyka kredytowego czy rekrutacji – przetwarzają duże ilości danych osobowych. Naruszenie bezpieczeństwa takiego systemu może uruchamiać zarówno obowiązki z RODO, jak i obowiązki notyfikacyjne wynikające z AI Act. Organy nadzorcze mogą działać równolegle.

Uważamy, że największe ryzyko nie leży w samej karze finansowej, lecz w reputacyjnym efekcie publicznej decyzji UODO. Decyzje organu są publikowane. Dla firmy działającej w sektorze B2C jedna opublikowana decyzja może spowodować utratę klientów trudną do wyceny – i trudną do odwrócenia.

Często zadawane pytania

P: Czy każde naruszenie danych osobowych trzeba zgłaszać do UODO?

O: Nie. Obowiązek zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych powstaje tylko wtedy, gdy naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne – na przykład dlatego, że dane były szyfrowane lub dotyczyły wyłącznie wewnętrznych zasobów bez dostępu osób trzecich – zgłoszenie nie jest wymagane. Administrator musi jednak udokumentować ocenę ryzyka i przechowywać tę dokumentację. Brak dokumentacji przy niezgłoszonym naruszeniu to jeden z najczęstszych powodów wszczęcia postępowania przez UODO.

P: Ile kosztuje obsługa prawna zgłoszenia naruszenia danych do UODO?

O: Koszt obsługi prawnej zależy od stopnia skomplikowania incydentu, liczby poszkodowanych i zakresu wymaganej dokumentacji. Proste zgłoszenie przy dobrze udokumentowanym incydencie to zazwyczaj kilka godzin pracy prawnika. Skomplikowane sprawy – z dużą liczbą poszkodowanych, danymi wrażliwymi lub równoległymi obowiązkami wynikającymi z DORA albo AI Act – mogą wymagać kilkudziesięciu godzin. Warto porównać koszt obsługi prawnej z potencjalną karą: nawet 2% rocznego obrotu przy średniej firmie to wielokrotność kosztów doradztwa.

P: Czy podmiot przetwarzający (procesor) zgłasza naruszenie bezpośrednio do UODO?

O: Nie. Podmiot przetwarzający, który stwierdzi naruszenie ochrony danych, ma obowiązek powiadomić administratora danych bez zbędnej zwłoki – zgodnie z artykułem 33 ustęp 2 RODO. To administrator decyduje, czy zdarzenie spełnia przesłanki zgłoszenia do Prezesa UODO i ewentualnie powiadomienia osób fizycznych. Procesor nie składa samodzielnie zgłoszenia do organu nadzorczego, chyba że sam pełni równocześnie rolę administratora wobec określonych kategorii danych.

Co przygotować przed złożeniem zgłoszenia – lista kontrolna

Dobra przygotowanie skraca czas reakcji i zmniejsza ryzyko niekompletnego zgłoszenia. Poniższa lista obejmuje minimum dokumentacyjne wymagane przez UODO.

  • Opis zdarzenia: kiedy naruszenie nastąpiło, kiedy je stwierdzono, jakie systemy były objęte.
  • Kategorie i przybliżona liczba osób, których dane zostały naruszone (dane zwykłe vs. dane wrażliwe z art. 9 RODO).
  • Dane kontaktowe inspektora ochrony danych (IOD) lub osoby odpowiedzialnej za kontakt z UODO.
  • Ocena ryzyka dla praw i wolności osób fizycznych – udokumentowana na piśmie.
  • Opis podjętych lub planowanych środków zaradczych, w tym środków ograniczających skutki naruszenia.

Jeśli któregoś z elementów brakuje w chwili składania zgłoszenia – nie czekaj. Złóż zgłoszenie wstępne z dostępnymi informacjami i uzupełnij je w możliwie najkrótszym czasie. UODO akceptuje zgłoszenia etapowe. Opóźnienie z powodu oczekiwania na kompletne dane jest traktowane surowiej niż niekompletne zgłoszenie złożone w terminie.

Konkretna sytuacja Państwa firmy może wymagać równoległego działania na kilku frontach jednocześnie – zgłoszenia do UODO, powiadomienia poszkodowanych i ewentualnie notyfikacji do KNF lub innych organów branżowych. Brak koordynacji między tymi procedurami prowadzi do nieodwracalnych błędów proceduralnych, które trudno naprawić po upływie ustawowych terminów.

Jeśli Państwa firma stoi przed koniecznością zgłoszenia naruszenia danych, musi ocenić ryzyko dla poszkodowanych lub wdrożyć procedury zarządzania incydentami – przeprowadzimy analizę prawną i przygotujemy kompletną dokumentację: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, wdrożeń RODO, zarządzania incydentami oraz compliance technologicznego, w tym AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI. Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.