Firma IT z Mazowsza obsługująca kilkaset podmiotów medycznych odkryła pewnego wtorku rano, że dane pacjentów – imiona, nazwiska, numery PESEL i wyniki badań – wyciekły przez niezabezpieczony endpoint API. Liczba osób, których dane zostały ujawnione, przekroczyła 3 000. Zarząd miał 72 godziny na zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych. Zegar już tykał.
Naruszenie ochrony danych osobowych w rozumieniu RODO (Rozporządzenie UE 2016/679) to zdarzenie prowadzące do przypadkowego lub bezprawnego zniszczenia, utracenia, zmodyfikowania lub nieuprawnionego ujawnienia danych. Administrator ma obowiązek zgłoszenia naruszenia do UODO w ciągu 72 godzin od jego wykrycia – o ile naruszenie stwarza ryzyko dla praw i wolności osób fizycznych. Zaniechanie zgłoszenia grozi karą administracyjną do 10 000 000 EUR lub 2% globalnego obrotu.
Poniżej opisujemy anonimizowaną sprawę prowadzoną przez KORDECKI & Partners: od odkrycia incydentu, przez strategię reakcji, aż po wnioski, które każdy administrator danych może zastosować w swojej organizacji. Sprawa dotyczyła sektora medycznego, lecz schemat działania jest uniwersalny.
Tło sprawy – jak doszło do naruszenia?
Klient – operator platformy telemedycznej z Mazowsza – korzystał z zewnętrznego dostawcy usług chmurowych. Podczas rutynowej aktualizacji systemu w lutym 2025 r. jeden z endpointów API został pozostawiony bez uwierzytelnienia. Przez ponad 36 godzin dane były dostępne publicznie. Incydent wykrył zewnętrzny pentester, który powiadomił klienta mailowo.
Pierwsza reakcja zarządu była typowa: niedowierzanie, próba wewnętrznego wyjaśnienia sprawy przed zgłoszeniem, presja na dział IT, by „sprawdził, czy ktoś naprawdę pobrał dane". To klasyczna pułapka. RODO nie wymaga potwierdzenia, że dane zostały pobrane – wystarczy, że mogły zostać pobrane. Moment wykrycia naruszenia uruchamia 72-godzinny termin bez względu na stopień pewności co do skali incydentu.
Sprawa komplikowała się z kilku powodów. Po pierwsze, dane obejmowały szczególne kategorie w rozumieniu art. 9 RODO – informacje o stanie zdrowia. Po drugie, klient pełnił rolę procesora dla kilkudziesięciu placówek medycznych, które same były administratorami. Po trzecie, platforma podlegała również wymogom sektorowym wynikającym z regulacji o cyberbezpieczeństwie. Złożoność prawna była więc znaczna.
Jak wyglądała strategia reakcji na incydent?
Strategia reakcji opierała się na trzech równoległych torach działania. Każdy miał inny horyzont czasowy i inny cel. Skoordynowanie wszystkich trzech w ciągu pierwszych 12 godzin było warunkiem skutecznej obrony przed zarzutami UODO.
Tor techniczny – izolacja i dokumentacja. W ciągu 4 godzin od zgłoszenia sprawy do kancelarii endpoint został zamknięty, logi serwera zabezpieczone, a dostawca chmury zobowiązany do pisemnego potwierdzenia zakresu dostępu. Logi wykazały 47 unikalnych adresów IP, które odpytały endpoint – w tym dwa z zagranicy. To była kluczowa informacja dla oceny ryzyka.
Tor prawny – ocena ryzyka i decyzja o zgłoszeniu. RODO wymaga, by administrator ocenił, czy naruszenie stwarza ryzyko dla praw i wolności osób. Dane medyczne automatycznie podnoszą poprzeczkę. Uważamy, że w przypadku danych zdrowotnych każde ujawnienie bez autoryzacji należy traktować jako naruszenie wymagające zgłoszenia do UODO – nawet jeśli prawdopodobieństwo rzeczywistego dostępu jest niskie. Ryzyko reputacyjne i sankcyjne przeważa nad wątpliwościami.
Tor komunikacyjny – powiadomienie administratorów i ocena obowiązku powiadamiania osób. Klient jako procesor musiał niezwłocznie powiadomić wszystkich administratorów (placówki medyczne) zgodnie z art. 33 ust. 2 RODO. Każda placówka miała następnie własny 72-godzinny termin. Koordynacja tej kaskady powiadomień zajęła ponad 8 godzin roboczych. Kancelaria przygotowała ujednolicony szablon zgłoszenia, który każda placówka mogła dostosować do swojej sytuacji.
Warto tu wspomnieć o kontekście regulacyjnym. Platforma obsługiwała podmioty z sektora ochrony zdrowia, który należy do kategorii podmiotów kluczowych pod NIS2 (Dyrektywa UE 2022/2555). Obowiązek zgłoszenia incydentu do właściwego CSIRT nakładał się więc na obowiązek wynikający z RODO. Dwa reżimy, dwa terminy, dwie procedury – jednocześnie.
Jak przebiega procedura zgłoszenia do UODO i czego unikać?
Zgłoszenie do UODO składa się przez formularz elektroniczny dostępny na stronie urzędu. Dokument musi zawierać: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorie i przybliżoną liczbę rekordów, dane kontaktowe inspektora ochrony danych (IOD), opis prawdopodobnych konsekwencji naruszenia oraz opis zastosowanych lub proponowanych środków zaradczych.
W omawianej sprawie zgłoszenie zostało złożone w 61. godzinie od wykrycia incydentu. Celowo nie czekaliśmy do ostatniej chwili – UODO odnotowuje czas zgłoszenia i może pytać o przyczyny zwłoki. Zgłoszenie było częściowe: w polu dotyczącym liczby pobranych rekordów wskazaliśmy zakres szacunkowy, zaznaczając, że analiza forensyczna jest w toku. RODO wprost dopuszcza zgłoszenia etapowe – art. 33 ust. 4 pozwala uzupełniać informacje bez zbędnej zwłoki.
Trzy błędy, których unikaliśmy:
- Zbyt długie oczekiwanie na „pewność" co do skali naruszenia – 72 godziny biegną od wykrycia, nie od wyjaśnienia.
- Pomijanie IOD w procesie decyzyjnym – jego rola w dokumentowaniu oceny ryzyka jest niezbywalna.
- Brak pisemnej dokumentacji oceny ryzyka – UODO może zażądać dowodów rozumowania, nie tylko samego zgłoszenia.
Sprawa dotknęła również kwestii ubezpieczenia od ryzyk cybernetycznych. Polisa klienta wymagała zgłoszenia incydentu ubezpieczycielowi w ciągu 24 godzin od wykrycia – termin krótszy niż wymagany przez RODO. Więcej o tym, co powinien wiedzieć polski zarząd o ubezpieczeniach, opisujemy w osobnym materiale.
Kwestia powiadamiania osób fizycznych wymagała osobnej analizy. Przy danych zdrowotnych próg jest niski – naruszenie „prawdopodobnie powoduje wysokie ryzyko" niemal zawsze. Placówki medyczne zdecydowały się na indywidualne powiadomienia wszystkich 3 000 pacjentów. Koszt operacyjny tej decyzji był znaczny, lecz alternatywą było ryzyko zarzutu zatajenia naruszenia.
Jakie wnioski można wyciągnąć z tej sprawy?
Sprawa z Mazowsza pokazuje kilka prawidłowości, które powtarzają się w incydentach danych w Polsce. Organizacje często mają dobre polityki bezpieczeństwa na papierze, lecz zawodzą na poziomie operacyjnym – szczególnie w obszarze zarządzania zewnętrznymi dostawcami. Dostawca chmury w tej sprawie nie miał obowiązku contractowego natychmiastowego powiadamiania klienta o błędach konfiguracyjnych. Luka w umowie powierzenia przetwarzania kosztowała klienta cenne godziny.
Drugi wniosek dotyczy AI Act i nowych regulacji technologicznych. Rozporządzenie UE 2024/1689 nakłada na dostawców systemów wysokiego ryzyka – a platformy medyczne mogą do nich należeć – dodatkowe wymogi dokumentacyjne i obowiązki w zakresie zarządzania incydentami. Organizacje wdrażające AI w sektorze zdrowia powinny już dziś mapować, czy ich systemy mieszczą się w definicji systemu wysokiego ryzyka. Incydent bezpieczeństwa może wtedy uruchomić trzy równoległe reżimy: RODO, NIS2 i AI Act jednocześnie.
Trzeci wniosek jest bardziej prozaiczny, lecz równie istotny. Firmy z sektora finansowego podlegające DORA (Rozporządzenie UE 2022/2554, w mocy od 17 stycznia 2025 r.) mają obowiązek raportowania poważnych incydentów ICT do KNF w ciągu 4 godzin od klasyfikacji. To termin znacznie krótszy niż 72 godziny z RODO. Podmioty działające na styku sektorów – np. fintech obsługujący placówki medyczne – muszą mieć jasno zdefiniowane procedury dla każdego reżimu osobno.
Checklist – co przygotować przed incydentem:
- Aktualna mapa przepływów danych z identyfikacją kategorii szczególnych.
- Umowy powierzenia przetwarzania z klauzulą natychmiastowego powiadamiania o incydentach.
- Procedura wewnętrzna z wyznaczonymi osobami odpowiedzialnymi i harmonogramem działań w pierwszych 72 godzinach.
- Kontakt do IOD i zewnętrznego doradcy prawnego dostępny poza godzinami pracy.
- Szablon zgłoszenia do UODO zatwierdzony przez IOD – nie wypełniaj go po raz pierwszy podczas kryzysu.
Więcej o obsłudze prawnej w obszarze IP i technologii, w tym ochrony danych i zgodności z RODO, znajdą Państwo na stronie praktyki IP/Tech kancelarii.
Konkretna sytuacja Państwa firmy może różnić się od opisanego przypadku – inne kategorie danych, inny sektor, inny model przetwarzania. Każde naruszenie ma swoją specyfikę. Zwłoka w ocenie prawnej jest tu nieodwracalna: termin 72 godzin nie podlega przywróceniu, a dokumentacja tworzona po fakcie ma znacznie mniejszą wartość dowodową przed UODO.
Jeśli Państwa organizacja wykryła naruszenie lub chce wdrożyć procedurę reakcji na incydenty przed ich wystąpieniem – przeprowadzimy ocenę ryzyka, przygotujemy dokumentację i będziemy obecni przy każdym kroku procesu zgłoszeniowego: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każde naruszenie bezpieczeństwa danych trzeba zgłaszać do UODO?
O: Nie każde – lecz próg jest niższy, niż większość administratorów sądzi. Zgłoszenie jest wymagane, gdy naruszenie może powodować ryzyko dla praw i wolności osób fizycznych. W przypadku danych zdrowotnych, danych dzieci lub danych finansowych ryzyko to jest niemal zawsze spełnione. Artykuł 33 ustęp 1 RODO zwalnia z obowiązku zgłoszenia tylko wtedy, gdy naruszenie „z małym prawdopodobieństwem" spowoduje takie ryzyko – a to wyjątek, nie reguła. Brak zgłoszenia w razie wątpliwości jest strategią wysokiego ryzyka.
P: Co grozi za niezgłoszenie naruszenia w terminie 72 godzin?
O: UODO może nałożyć karę administracyjną do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa. Poza karą finansową urząd może nakazać wstrzymanie przetwarzania danych, co dla wielu firm oznacza faktyczny paraliż operacyjny. Termin 72 godzin biegnie od chwili wykrycia naruszenia przez administratora – nie od chwili jego potwierdzenia.
P: Ile kosztuje obsługa prawna incydentu danych i jak długo trwa postępowanie przed UODO?
O: Koszt obsługi prawnej zależy od skali naruszenia, liczby podmiotów zaangażowanych i konieczności koordynacji z innymi reżimami regulacyjnymi. Sprawy proste – jedno zgłoszenie, brak dochodzenia – zamykają się w ciągu kilku tygodni. Postępowania wyjaśniające UODO mogą trwać od kilku miesięcy do ponad roku. Wczesne zaangażowanie prawnika skraca czas reakcji i redukuje ryzyko błędów proceduralnych, które przedłużają postępowanie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, zgodności z RODO, AI Act i DORA oraz kompleksowej obsługi IP/Tech. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.