Firma z Trójmiasta odkrywa w piątek wieczorem, że serwer z danymi klientów był dostępny publicznie przez ostatnie 72 godziny. W poniedziałek rano upływa 72-godzinny termin na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych. Czas nagli, a decyzje podjęte w weekend będą miały nieodwracalne konsekwencje.
Naruszenie danych osobowych zobowiązuje administratora do zgłoszenia incydentu do Prezesa UODO w ciągu 72 godzin od jego wykrycia – na podstawie art. 33 Rozporządzenia UE 2016/679 (RODO). Obowiązek ten dotyczy każdego administratora, którego naruszenie może powodować ryzyko dla praw i wolności osób fizycznych. Niezgłoszenie naruszenia w terminie grozi karą administracyjną do 10 mln EUR lub 2% globalnego obrotu.
Ten przewodnik wyjaśnia procedurę krok po kroku – od wewnętrznej oceny incydentu, przez zgłoszenie do UODO, aż po powiadomienie osób, których dane dotyczą. Omówimy trzy scenariusze biznesowe, najczęstsze błędy i pytania, które klienci zadają nam najczęściej.
Jak ocenić, czy naruszenie wymaga zgłoszenia do UODO?
Pierwsza decyzja jest zarazem najtrudniejsza. Administrator musi ocenić, czy incydent „może powodować ryzyko naruszenia praw lub wolności osób fizycznych". Jeśli odpowiedź brzmi tak – lub nie jest pewna – zgłoszenie do UODO staje się obowiązkowe. Wątpliwość należy rozstrzygać na korzyść zgłoszenia.
RODO wskazuje trzy kategorie naruszeń: poufności (nieuprawniony dostęp), integralności (nieuprawniona modyfikacja) oraz dostępności (utrata lub zniszczenie danych). Każda z nich może – ale nie musi – generować ryzyko. Ocena ryzyka powinna uwzględniać charakter danych, liczbę osób, których dotyczy naruszenie, oraz prawdopodobne skutki.
Dane szczególnych kategorii (zdrowie, dane biometryczne, przekonania polityczne) automatycznie podnoszą poziom ryzyka. Naruszenie dotyczące 50 numerów PESEL niesie inne ryzyko niż ujawnienie 50 adresów e-mail. Praktycznie rzecz biorąc – każde naruszenie dotyczące danych szczególnych kategorii wymaga zgłoszenia.
W praktyce kancelaria IP Warszawa spotyka się z przypadkami, gdy administratorzy błędnie zakładają, że „małe" naruszenie nie wymaga reakcji. To błąd. UODO ocenia nie rozmiar zdarzenia, lecz potencjalne skutki dla osób fizycznych. Dokumentuj ocenę ryzyka zawsze – nawet gdy decydujesz się nie zgłaszać.
- Naruszenie poufności: dane trafiły do nieuprawnionej osoby lub podmiotu
- Naruszenie integralności: dane zostały zmienione bez upoważnienia
- Naruszenie dostępności: dane zostały utracone lub zniszczone
- Dane szczególnych kategorii: ryzyko domyślnie wysokie
- Brak pewności co do ryzyka: zgłoś i udokumentuj ocenę
Trzy scenariusze, które ilustrują różne poziomy ryzyka: firma produkcyjna z Wielkopolski traci zaszyfrowany laptop z danymi 200 pracowników – ryzyko niskie, brak obowiązku zgłoszenia, ale dokumentacja obowiązkowa. Startup IT z Warszawy odkrywa wyciek danych logowania do systemu CRM – ryzyko wysokie, zgłoszenie do UODO konieczne w ciągu 72 godzin. Inwestor zagraniczny prowadzący sklep internetowy w Polsce ujawnia numery kart płatniczych – ryzyko bardzo wysokie, wymagane również powiadomienie osób, których dane dotyczą.
Jak przebiega procedura zgłoszenia naruszenia do UODO krok po kroku?
Zgłoszenie do Prezesa UODO składa się przez platformę elektroniczną dostępną na stronie urzędu. Termin 72 godzin liczy się od momentu, gdy administrator powziął wiedzę o naruszeniu – nie od chwili jego faktycznego wystąpienia. To rozróżnienie ma istotne znaczenie praktyczne: wiedza podmiotu przetwarzającego (procesora) nie jest automatycznie wiedzą administratora, choć procesor musi niezwłocznie poinformować administratora zgodnie z art. 33 ust. 2 RODO.
Jeżeli 72 godziny nie wystarczają na zebranie pełnych informacji, administrator może złożyć zgłoszenie etapowe. Pierwsza część zawiera informacje dostępne w momencie zgłoszenia. Druga część – uzupełnienie – powinna wpłynąć do UODO bez zbędnej zwłoki. Zgłoszenie etapowe chroni przed zarzutem przekroczenia terminu, pod warunkiem że opóźnienie jest uzasadnione.
Zgłoszenie musi zawierać cztery elementy obowiązkowe: opis charakteru naruszenia (w tym kategorie i przybliżoną liczbę osób oraz rekordów), dane kontaktowe inspektora ochrony danych (IOD) lub innego punktu kontaktowego, opis prawdopodobnych skutków naruszenia oraz opis zastosowanych lub proponowanych środków zaradczych. Brak któregokolwiek z tych elementów naraża administratora na wezwanie do uzupełnienia i opóźnienie procedury.
W przypadku podmiotów finansowych objętych rozporządzeniem DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 r.) zgłoszenie do UODO może zbiegać się z obowiązkiem raportowania incydentów ICT do KNF. Oba obowiązki mają różne terminy i formularze – nie wolno ich mylić ani składać jednego zamiast drugiego.
Kiedy trzeba powiadomić osoby, których dane dotyczą?
Samo zgłoszenie do UODO to nie koniec procedury. Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, administrator musi również bezpośrednio powiadomić te osoby – bez zbędnej zwłoki, na podstawie art. 34 RODO. Próg jest wyższy niż przy zgłoszeniu do organu nadzorczego: wymaga oceny, czy naruszenie może prowadzić do poważnych szkód.
Powiadomienie powinno zawierać: imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego, opis prawdopodobnych skutków naruszenia oraz opis środków podjętych lub zaproponowanych przez administratora. Komunikat kierowany do osób fizycznych musi być napisany jasnym, prostym językiem – nie żargonem prawniczym.
Istnieją trzy wyjątki od obowiązku powiadamiania osób. Po pierwsze – administrator wdrożył odpowiednie techniczne środki ochrony (np. szyfrowanie). Po drugie – podjął następcze działania eliminujące wysokie ryzyko. Po trzecie – powiadomienie wymagałoby niewspółmiernie dużego wysiłku; wówczas wystarczy publiczny komunikat. Każdy z tych wyjątków wymaga udokumentowania.
Micro-case z praktyki: firma e-commerce z Mazowsza jesienią 2024 r. ujawniła w wyniku błędu konfiguracyjnego dane adresowe 3 000 klientów. Administrator powiadomił UODO w terminie 68 godzin, a następnie rozesłał e-maile do poszkodowanych klientów. UODO nie nałożył kary – doceniając szybką reakcję i transparentność. To pokazuje, że terminowe działanie realnie redukuje ryzyko sankcji.
Warto pamiętać o systemach AI przetwarzających dane osobowe. AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.) nakłada dodatkowe obowiązki na dostawców i operatorów systemów AI wysokiego ryzyka. Naruszenie danych w systemie AI klasyfikowanym jako wysokiego ryzyka – np. w rekrutacji lub scoringu kredytowym – może generować równoległe obowiązki raportowe wynikające zarówno z RODO, jak i z AI Act.
Jakie błędy najczęściej popełniają administratorzy danych?
Najkosztowniejszy błąd to zwłoka. Administratorzy czekają na „pewność" co do skali naruszenia, zanim zdecydują się zgłosić incydent. Tymczasem RODO wymaga działania już w momencie powzięcia wiedzy – nie po zakończeniu wewnętrznego dochodzenia. Każda godzina opóźnienia ponad 72-godzinny termin zwiększa ryzyko kary administracyjnej.
Drugi częsty błąd: brak wewnętrznej procedury reagowania na naruszenia. Firma odkrywa incydent w piątek wieczorem – i nie wie, kto ma podjąć decyzję, jak wypełnić formularz, ani czy wyznaczyła IOD. W praktyce – wiele firm o tym zapomina – procedura powinna być przetestowana co najmniej raz w roku, najlepiej w formie ćwiczenia symulacyjnego.
Trzeci błąd to nieprawidłowa ocena ryzyka. Administratorzy albo bagatelizują naruszenie (i nie zgłaszają, gdy powinni), albo zgłaszają każdy drobny incydent bez oceny ryzyka (co obciąża UODO i nie świadczy o dojrzałości systemu ochrony danych). Obie skrajności są problematyczne. Ocena ryzyka musi być udokumentowana i uzasadniona.
Czwarty błąd dotyczy podmiotów przetwarzających. Procesor, który wykryje naruszenie, jest zobowiązany niezwłocznie poinformować administratora. Jeżeli umowa powierzenia przetwarzania nie reguluje tej kwestii precyzyjnie – z terminem i sposobem powiadomienia – administrator może dowiedzieć się o naruszeniu zbyt późno, by dotrzymać 72-godzinnego terminu. Sprawdź umowy z podprocesorem dziś.
Naruszenia dotyczące ochrony własności intelektualnej – np. kradzież bazy danych zawierającej chroniony know-how – mogą generować równoległe roszczenia z tytułu naruszenia znaku towarowego lub praw autorskich, niezależnie od postępowania przed UODO.
Checklist: co przygotować przed zgłoszeniem do UODO?
Przed złożeniem zgłoszenia administrator powinien zebrać konkretne informacje. Formularz UODO jest szczegółowy – brak danych w kluczowych polach skutkuje wezwaniem do uzupełnienia i wydłuża procedurę. Poniżej lista elementów niezbędnych do sprawnego zgłoszenia.
- Opis naruszenia: co się wydarzyło, kiedy, w jakich okolicznościach
- Kategorie i przybliżona liczba osób oraz rekordów danych
- Dane kontaktowe IOD lub osoby odpowiedzialnej za ochronę danych
- Ocena ryzyka: prawdopodobne skutki naruszenia dla osób fizycznych
- Środki zaradcze: działania już podjęte i planowane
Koszty formalne zgłoszenia do UODO wynoszą zero – procedura jest bezpłatna. Rzeczywiste koszty to czas prawników i specjalistów IT, ewentualne koszty powiadomienia osób, których dane dotyczą, oraz – w razie postępowania – opłaty sądowe w Polsce, jeśli sprawa trafi na drogę sądową. Kara administracyjna może wynieść do 10 mln EUR lub 2% globalnego rocznego obrotu – w zależności od tego, która wartość jest wyższa.
Micro-case: firma logistyczna z Dolnego Śląska wiosną 2025 r. zgłosiła naruszenie danych pracowników po ataku ransomware. Dzięki przygotowanej wcześniej procedurze i wyznaczonemu IOD zgłoszenie wpłynęło do UODO po 58 godzinach. Postępowanie wyjaśniające UODO zakończyło się bez kary – organ docenił kompletność dokumentacji i szybkość reakcji.
Jeżeli Twoja firma przetwarza dane osobowe w kontekście usług finansowych, sprawdź również wymagania DORA dotyczące raportowania incydentów ICT do KNF. Oba reżimy – RODO i DORA – działają równolegle i żaden nie zastępuje drugiego.
Administratorzy korzystający z zewnętrznych dostawców technologicznych powinni upewnić się, że umowy powierzenia przetwarzania zawierają klauzule zobowiązujące procesora do powiadomienia w ciągu maksymalnie 24 godzin od wykrycia naruszenia. To daje administratorowi czas na własną ocenę i terminowe zgłoszenie do UODO.
Jeśli w Państwa spółce doszło do naruszenia danych osobowych lub chcą Państwo przygotować procedurę reagowania, konkretna analiza sytuacji jest niezbędna przed podjęciem jakichkolwiek decyzji. Nieodwracalne konsekwencje braku zgłoszenia – kary finansowe i utrata reputacji – są niewspółmierne do kosztów profesjonalnego doradztwa.
Jeśli Państwa spółka wykryła naruszenie danych lub potrzebuje procedury gotowości na incydenty – przeprowadzimy ocenę ryzyka, przygotujemy zgłoszenie do UODO i zaproponujemy środki zaradcze: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każde naruszenie danych osobowych trzeba zgłaszać do UODO?
O: Nie. Obowiązek zgłoszenia powstaje tylko wtedy, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne – administrator dokumentuje ocenę i nie zgłasza incydentu. Jednak brak dokumentacji tej oceny jest sam w sobie naruszeniem obowiązków wynikających z artykułu 33 ustęp 1 Rozporządzenia UE 2016/679 (RODO). W razie wątpliwości bezpieczniejszym rozwiązaniem jest zgłoszenie.
P: Co się dzieje, gdy zgłoszenie wpłynie po upływie 72 godzin?
O: Spóźnione zgłoszenie nie zwalnia z obowiązku jego złożenia – należy je złożyć niezwłocznie z wyjaśnieniem przyczyn opóźnienia. UODO może wszcząć postępowanie wyjaśniające i nałożyć karę, jednak terminowość i jakość zgłoszenia są brane pod uwagę przy miarkowaniu sankcji. Opóźnienie uzasadnione obiektywnymi trudnościami w zebraniu informacji jest traktowane łagodniej niż celowe zwlekanie. Kara może wynieść do 10 mln EUR lub 2% globalnego rocznego obrotu.
P: Czy małe firmy i jednoosobowe działalności gospodarcze też muszą zgłaszać naruszenia do UODO?
O: Tak. Rozporządzenie RODO nie przewiduje wyjątku ze względu na rozmiar przedsiębiorstwa. Każdy administrator danych – niezależnie od wielkości – podlega tym samym obowiązkom. Mikroprzedsiębiorcy często nie wyznaczają inspektora ochrony danych, co jest dopuszczalne, ale muszą wskazać punkt kontaktowy w zgłoszeniu. Brak wyznaczonego IOD nie zwalnia z obowiązku zgłoszenia naruszenia w ciągu 72 godzin.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.