Naruszenie danych osobowych wykryte w piątek wieczór. IT informuje zarząd w sobotę rano. W poniedziałek mija 48 godzin od incydentu – a 72-godzinny termin zgłoszenia do Urzędu Ochrony Danych Osobowych biegnie nieprzerwanie przez weekend. Wiele firm odkrywa w tym momencie, że nie ma gotowej procedury, nie wiadomo kto podpisuje zgłoszenie i czy w ogóle naruszenie kwalifikuje się do notyfikacji.

RODO (Rozporządzenie UE 2016/679) nakłada na administratora danych obowiązek zgłoszenia naruszenia do organu nadzorczego – w Polsce do Urzędu Ochrony Danych Osobowych (UODO) – w ciągu 72 godzin od jego wykrycia. Obowiązek powstaje, gdy naruszenie może powodować ryzyko dla praw i wolności osób fizycznych. Brak zgłoszenia lub przekroczenie terminu grozi karą administracyjną do 10 000 000 EUR lub 2% rocznego obrotu globalnego.

Ten alert wyjaśnia, kogo dotyczy obowiązek, jak liczyć termin i jakie kroki podjąć natychmiast po wykryciu incydentu. Procedura ma znaczenie nie tylko dla zgodności z RODO – wpływa też na ryzyko odpowiedzialności cywilnej wobec osób, których dane dotyczą.

Kiedy powstaje obowiązek zgłoszenia do UODO?

Obowiązek zgłoszenia nie jest automatyczny przy każdym incydencie. Administratorem danych jest podmiot, który samodzielnie lub wspólnie z innymi decyduje o celach i sposobach przetwarzania – to on odpowiada za ocenę ryzyka. Podmiot przetwarzający (procesor) ma natomiast obowiązek niezwłocznego poinformowania administratora o naruszeniu, bez zbędnej zwłoki.

Próg zgłoszenia wyznacza art. 33 ust. 1 RODO: naruszenie należy zgłosić, gdy jest prawdopodobne, że spowoduje ryzyko dla praw i wolności osób fizycznych. Ryzyko to ocenia się według trzech kryteriów: rodzaju naruszonych danych, liczby osób dotkniętych incydentem oraz potencjalnych konsekwencji dla tych osób.

Praktycznie – wyciek danych wrażliwych (dane zdrowotne, biometryczne, dotyczące wyroków skazujących) niemal zawsze kwalifikuje się do zgłoszenia. Utrata zaszyfrowanego laptopa z danymi pracowników może nie wymagać notyfikacji, jeśli klucz szyfrujący pozostaje bezpieczny. W razie wątpliwości UODO rekomenduje zgłoszenie – lepiej zgłosić i opisać podjęte środki zaradcze, niż narazić się na zarzut zaniechania.

Firmy działające w sektorze finansowym muszą pamiętać o dodatkowej warstwie obowiązków. DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r., nakłada na podmioty finansowe osobny reżim zgłaszania incydentów ICT do Komisji Nadzoru Finansowego (KNF) – niezależnie od zgłoszenia do UODO. Oba terminy mogą biec równolegle.

Jak liczyć 72 godziny i co grozi za przekroczenie terminu?

Termin 72 godzin biegnie od momentu, gdy administrator powziął wiedzę o naruszeniu – nie od chwili jego faktycznego wystąpienia. Moment powzięcia wiedzy to czas, gdy osoba odpowiedzialna w organizacji (np. inspektor ochrony danych, IOD, lub zarząd) uzyskała wystarczające informacje, by stwierdzić, że do naruszenia doszło. Termin biegnie przez całą dobę, również w weekendy i święta.

Jeśli 72 godziny miną bez zgłoszenia, administrator może nadal je złożyć – ale musi wyjaśnić przyczyny opóźnienia. UODO ocenia takie wyjaśnienia rygorystycznie. Brak zgłoszenia lub rażące opóźnienie to naruszenie art. 33 RODO, za które grozi kara do 10 000 000 EUR lub 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – stosuje się kwotę wyższą.

Mikro-przypadek z praktyki: spółka e-commerce z Mazowsza wykryła wiosną 2024 r. wyciek danych logowania klientów. Zgłoszenie do UODO wpłynęło po 96 godzinach. Organ wszczął postępowanie wyjaśniające i zażądał dokumentacji oceny ryzyka. Sprawa zakończyła się upomnieniem, lecz pochłonęła trzy tygodnie pracy działu prawnego.

Osobny obowiązek dotyczy zawiadomienia samych osób, których dane dotyczą. Powstaje on, gdy naruszenie może powodować wysokie ryzyko – wyższy próg niż przy zgłoszeniu do UODO. Zawiadomienie musi być jasne i napisane prostym językiem. Opóźnienie w poinformowaniu osób fizycznych może skutkować roszczeniami odszkodowawczymi na podstawie art. 82 RODO – odpowiedzialność cywilna jest tu niezależna od sankcji administracyjnej.

Warto też pamiętać o powiązaniu z regulacjami technologicznymi. Systemy AI wysokiego ryzyka, objęte AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., przetwarzają dane biometryczne lub dane dotyczące zatrudnienia – naruszenie w takim systemie może jednocześnie uruchomić obowiązki z RODO i AI Act. Więcej o zarządzaniu ryzykiem ICT w kontekście DORA przeczytasz w naszym opracowaniu.

Co zrobić natychmiast po wykryciu naruszenia?

Pierwsze godziny po wykryciu incydentu decydują o tym, czy organizacja zmieści się w terminie i czy będzie w stanie wykazać należytą staranność przed UODO. Działanie ad hoc, bez ustalonej procedury, prawie zawsze prowadzi do chaosu i błędów w dokumentacji.

Mikro-przypadek: firma IT z Trójmiasta wykryła latem 2023 r. nieautoryzowany dostęp do bazy danych klientów korporacyjnych. Dzięki wcześniej przygotowanemu planowi reagowania zgłoszenie do UODO wpłynęło po 61 godzinach, a zawiadomienie klientów – w ciągu 5 dni roboczych. UODO nie wszczął postępowania.

Poniżej lista działań, które należy podjąć natychmiast:

  • Udokumentuj moment wykrycia – zapisz datę i godzinę powzięcia wiedzy przez osobę odpowiedzialną; to punkt startowy biegu terminu.
  • Zawiadom IOD lub osobę odpowiedzialną za ochronę danych – jeśli organizacja nie ma IOD, obowiązek oceny spada bezpośrednio na administratora.
  • Przeprowadź wstępną ocenę ryzyka – ustal rodzaj danych, liczbę osób i potencjalne konsekwencje; wynik decyduje o obowiązku zgłoszenia.
  • Zabezpiecz dowody – logi systemowe, kopie komunikacji, raporty z systemów bezpieczeństwa; są niezbędne do wypełnienia formularza UODO i ewentualnej obrony w postępowaniu.
  • Złóż zgłoszenie przez portal UODO – formularz jest dostępny online; można złożyć zgłoszenie wstępne i uzupełnić je w ciągu kolejnych dni, jeśli nie wszystkie informacje są jeszcze znane.

Jeśli organizacja działa w branży regulowanej – finanse, ochrona zdrowia, infrastruktura krytyczna – równolegle sprawdź obowiązki sektorowe. Podmioty objęte DORA zgłaszają incydenty ICT do KNF według odrębnego harmonogramu. Podmioty objęte NIS2 (Dyrektywa UE 2022/2555, której termin transpozycji upłynął 17 października 2024 r.) mogą mieć jeszcze inne terminy wobec właściwych organów. W przypadku sporu z UODO lub roszczeń osób fizycznych – zapoznaj się z naszą praktyką sporów w Polsce.

Konkretna sytuacja Państwa firmy wymaga oceny, czy naruszenie przekracza próg zgłoszenia i czy równolegle biegną obowiązki sektorowe. Opóźnienie lub błąd w dokumentacji może mieć nieodwracalne skutki – zarówno finansowe, jak i reputacyjne.

Jeśli Państwa organizacja wykryła incydent lub chce przygotować procedurę reagowania przed jego wystąpieniem – przeprowadzimy ocenę ryzyka, przygotujemy zgłoszenie do UODO i zabezpieczymy dokumentację: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każde naruszenie bezpieczeństwa danych trzeba zgłaszać do UODO?

O: Nie. Obowiązek zgłoszenia powstaje tylko wtedy, gdy naruszenie może powodować ryzyko dla praw i wolności osób fizycznych – wynika to z artykułu 33 ustęp 1 RODO. Jeśli ryzyko jest mało prawdopodobne (np. dane były zaszyfrowane, klucz bezpieczny), administrator dokumentuje tę ocenę wewnętrznie, bez zgłoszenia do UODO. Dokumentacja oceny jest jednak obowiązkowa niezależnie od decyzji o zgłoszeniu.

P: Co grozi za złożenie zgłoszenia po terminie 72 godzin?

O: Przekroczenie terminu nie zamyka drogi do zgłoszenia – można je złożyć później z wyjaśnieniem przyczyn opóźnienia. UODO ocenia wyjaśnienia indywidualnie. Kara administracyjna za naruszenie artykułu 33 RODO wynosi do 10 000 000 EUR lub 2% rocznego obrotu globalnego. Równolegle mogą pojawić się roszczenia odszkodowawcze od osób, których dane dotyczą, na podstawie artykułu 82 RODO.

P: Czy procesor (podmiot przetwarzający) sam zgłasza naruszenie do UODO?

O: Nie bezpośrednio. Procesor ma obowiązek niezwłocznie poinformować administratora o wykrytym naruszeniu – bez zbędnej zwłoki, a w praktyce jak najszybciej, by administrator zdążył z 72-godzinnym terminem. To administrator składa zgłoszenie do UODO. Umowa powierzenia przetwarzania powinna precyzować tryb i czas przekazania informacji przez procesora – brak takich postanowień to typowy błąd compliance.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, regulacji AI i cyberbezpieczeństwa. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.