Firma technologiczna z Mazowsza odkryła w środku nocy, że zewnętrzny dostawca usług chmurowych ujawnił dane klientów. Logi systemowe wskazywały na nieuprawniony dostęp przez co najmniej 48 godzin. Zarząd miał jedno pytanie: ile czasu zostało na zgłoszenie do Urzędu Ochrony Danych Osobowych?

Zgodnie z Rozporządzeniem (UE) 2016/679 (RODO), administrator danych osobowych ma obowiązek zgłoszenia naruszenia do organu nadzorczego – w Polsce jest nim Urząd Ochrony Danych Osobowych (UODO) – bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Niedotrzymanie tego terminu grozi postępowaniem administracyjnym i karą finansową. Zegar zaczyna biec od momentu, gdy administrator powziął wiedzę – nie od momentu samego incydentu.

Poniżej opisujemy anonimizowaną sprawę, którą prowadziliśmy w kancelarii. Pokazuje ona, jak zadziałać sprawnie pod presją czasu i jakie błędy procesowe potrafią zamienić zarządzalne zdarzenie w poważny problem regulacyjny.

Tło sprawy – co się wydarzyło i kto był narażony?

Klient prowadził platformę SaaS obsługującą kilkaset małych firm. Baza danych zawierała imiona, adresy e-mail, numery telefonów oraz historię transakcji. Zewnętrzny dostawca infrastruktury chmurowej przez błąd konfiguracyjny udostępnił fragment tej bazy przez niezabezpieczony endpoint API przez dwie doby. Incydent wykrył wewnętrzny system monitoringu – przypadkowo, podczas rutynowej kontroli logów.

Administrator danych nie miał wdrożonej procedury reagowania na incydenty. Nie było jasne, kto jest odpowiedzialny za kontakt z UODO, kto ocenia wagę naruszenia i w jakiej kolejności powiadamia się osoby, których dane dotyczą. W praktyce – wiele firm o tym zapomina – brak procedury oznacza, że pierwsze godziny po odkryciu incydentu mijają na ustalaniu kompetencji, a nie na działaniu.

Dane nie obejmowały kategorii szczególnych w rozumieniu RODO. Nie ujawniono haseł ani danych płatniczych. To istotna okoliczność łagodząca przy ocenie ryzyka dla osób fizycznych – ale nie zwalniała z obowiązku zgłoszenia do UODO.

Jak wyglądała strategia reakcji w ciągu pierwszych 72 godzin?

Natychmiast po otrzymaniu zlecenia przeprowadziliśmy ocenę ryzyka według czteroczynnikowego modelu: charakter naruszenia, rodzaj danych, liczba osób dotkniętych i prawdopodobne konsekwencje. Wynik wskazywał na umiarkowane ryzyko dla praw i wolności osób fizycznych – wystarczające, by uruchomić obowiązek zgłoszenia do UODO, ale niewymagające natychmiastowego powiadomienia każdej z osób, których dane dotyczą.

W ciągu pierwszych 6 godzin od naszego zaangażowania klient zamknął podatny endpoint i zebrał kompletne logi dostępu. To działanie techniczne – choć oczywiste – ma znaczenie prawne: dokumentuje moment „opanowania" naruszenia i ograniczenia jego skutków. UODO ocenia nie tylko fakt naruszenia, ale też reakcję administratora.

Zgłoszenie złożono przez formularz elektroniczny na platformie UODO dokładnie w 68. godzinie od stwierdzenia incydentu. Zawierało: opis charakteru naruszenia, przybliżoną liczbę osób i rekordów danych, dane kontaktowe Inspektora Ochrony Danych, opis prawdopodobnych konsekwencji oraz środki zaradcze już wdrożone i planowane. Formularz UODO odpowiada strukturze art. 33 ust. 3 RODO – każdy element ma swoje miejsce i musi być wypełniony konkretnie, nie ogólnikowo.

Jakie lekcje wyniósł klient i co można zastosować w każdej firmie?

Sprawa zakończyła się bez wszczęcia postępowania administracyjnego przez UODO. Organ przyjął zgłoszenie, zadał trzy pytania uzupełniające i zamknął sprawę w ciągu sześciu tygodni. Kluczowe było to, że zgłoszenie wpłynęło w terminie, było kompletne i wskazywało na rzeczywiste działania naprawcze – a nie deklaracje.

Pierwsza lekcja: termin 72 godzin jest bezwzględny. Nawet jeśli administrator nie zna jeszcze pełnej skali naruszenia, powinien złożyć zgłoszenie wstępne i uzupełnić je w kolejnych dniach. RODO wprost dopuszcza zgłoszenia etapowe – lepiej zgłosić niepełne informacje w terminie niż kompletne po terminie.

Druga lekcja: ocena ryzyka musi poprzedzać decyzję o powiadomieniu osób fizycznych. Nie każde naruszenie wymaga indywidualnego zawiadomienia – wymaga go tylko naruszenie, które może powodować wysokie ryzyko dla praw i wolności. Rozróżnienie to ma znaczenie praktyczne i finansowe. Warto też pamiętać, że regulacje sektorowe – takie jak DORA dla instytucji finansowych (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 r.) – nakładają dodatkowe obowiązki raportowania incydentów do KNF, niezależnie od RODO.

Trzecia lekcja: dokumentacja wewnętrzna jest równie ważna jak zgłoszenie zewnętrzne. Art. 33 ust. 5 RODO nakłada na administratora obowiązek rejestrowania wszelkich naruszeń – także tych, które nie wymagają zgłoszenia do organu. Rejestr naruszeń to dowód na to, że administrator działa systemowo, a nie reaktywnie. Firmy wdrażające systemy AI klasyfikowane jako wysokiego ryzyka w rozumieniu AI Act (Rozporządzenie UE 2024/1689) powinny uwzględnić ten rejestr w szerszym systemie zarządzania ryzykiem.

  • Wdrożyć pisemną procedurę reagowania na incydenty z wyznaczonym koordynatorem.
  • Utrzymywać aktualny rejestr naruszeń zgodnie z art. 33 ust. 5 RODO.
  • Przygotować szablon zgłoszenia do UODO – wypełnienie go pod presją czasu jest trudne.
  • Sprawdzić, czy umowy z podmiotami przetwarzającymi nakładają na nie obowiązek natychmiastowego powiadamiania administratora o incydentach.
  • Ocenić, czy działalność podlega dodatkowym obowiązkom raportowania (DORA, AI Act, sektor telekomunikacyjny).

Ochrona danych osobowych i ochrona oprogramowania w polskim prawie to dwa obszary, które w firmach technologicznych przenikają się coraz częściej – szczególnie gdy incydent dotyczy kodu źródłowego lub baz danych chronionych prawem autorskim. Warto zadbać o spójność polityk w obu tych obszarach jednocześnie. Przy okazji przeglądów compliance warto też zweryfikować ekspozycję na polską ustawę sankcyjną z 2022 roku, która może wpływać na relacje z dostawcami infrastruktury spoza UE.

Uważamy, że bezpieczniejszym rozwiązaniem jest zawsze zgłoszenie wstępne w terminie niż oczekiwanie na kompletność danych. UODO wielokrotnie sygnalizował, że terminowość zgłoszenia jest oceniana surowiej niż jego niekompletność na etapie wstępnym.

Konkretna sytuacja Państwa firmy – rodzaj danych, skala naruszenia, relacje z podmiotami przetwarzającymi – wymaga indywidualnej oceny. Błędy popełnione w pierwszych godzinach po wykryciu incydentu mogą mieć nieodwracalne konsekwencje w postępowaniu administracyjnym przed UODO.

Jeśli Państwa spółka wykryła naruszenie ochrony danych lub chce wdrożyć procedury reagowania na incydenty przed ich wystąpieniem – przeprowadzimy ocenę ryzyka, przygotujemy dokumentację i złożymy zgłoszenie do UODO w Państwa imieniu: info@kordeckipartners.com.

Często zadawane pytania

P: Co zrobić, jeśli 72-godzinny termin mija w weekend lub święto?

O: Termin wynikający z RODO jest bezwzględny i nie ulega przedłużeniu z powodu dni wolnych. Formularz zgłoszeniowy UODO jest dostępny elektronicznie przez całą dobę. Zgłoszenie złożone w niedzielę jest równie skuteczne jak złożone w poniedziałek – liczy się data i godzina przesłania formularza. Zalecamy, by procedura wewnętrzna przewidywała możliwość działania poza godzinami roboczymi, z wyznaczonym dyżurnym koordynatorem incydentów.

P: Czy każde naruszenie danych osobowych wymaga powiadomienia osób, których dane dotyczą?

O: Nie. Powiadomienie osób fizycznych jest wymagane tylko wtedy, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Jest to wyższy próg niż obowiązek zgłoszenia do UODO, który uruchamia już samo ryzyko – niekoniecznie wysokie. W praktyce oznacza to, że większość naruszeń wymaga zgłoszenia do organu nadzorczego, ale tylko część z nich – indywidualnego powiadomienia osób. Ocena ryzyka musi być udokumentowana pisemnie.

P: Czy zgłoszenie do UODO automatycznie naraża firmę na karę finansową?

O: Samo zgłoszenie nie jest podstawą do nałożenia kary. UODO może wszcząć postępowanie i nałożyć sankcję, ale bierze pod uwagę m.in. szybkość reakcji, wdrożone środki zaradcze i współpracę z organem. Firmy, które zgłosiły naruszenie terminowo i wykazały aktywne działania naprawcze, były traktowane łagodniej niż te, które próbowały ukryć incydent. Brak zgłoszenia – przy jednoczesnym istnieniu obowiązku – jest okolicznością obciążającą.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologii i regulacji cyfrowych, w tym RODO, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.