Firma IT z Mazowsza odkrywa w piątkowe popołudnie, że jej serwer został skompromitowany. Dane klientów – imiona, adresy e-mail, numery telefonów – mogły trafić w niepowołane ręce. Zegar zaczyna tykać natychmiast. Od momentu wykrycia naruszenia administrator ma 72 godziny na zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych. Niedotrzymanie tego terminu to nie tylko ryzyko kary finansowej – to sygnał dla organu nadzorczego, że organizacja nie panuje nad swoimi procesami ochrony danych.
Naruszenie danych osobowych w rozumieniu RODO (Rozporządzenie UE 2016/679) to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych. Obowiązek zgłoszenia do UODO powstaje, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Termin na zgłoszenie wynosi 72 godziny od chwili stwierdzenia naruszenia przez administratora.
Poniższy przewodnik omawia kolejno: podstawy prawne i próg zgłoszeniowy, procedurę zgłoszenia krok po kroku, najczęstsze pułapki praktyczne, kwestie transgraniczne oraz listę kontrolną gotowości incydentowej. Każda sekcja zawiera konkretne wskazówki dla działów prawnych i compliance.
Kiedy powstaje obowiązek zgłoszenia naruszenia do UODO?
Obowiązek zgłoszenia nie powstaje automatycznie przy każdym incydencie. RODO wprowadza dwustopniowy test: najpierw ustal, czy zdarzenie jest naruszeniem ochrony danych, a następnie oceń, czy wiąże się z ryzykiem dla praw lub wolności osób fizycznych. Dopiero pozytywna odpowiedź na oba pytania uruchamia 72-godzinny termin wobec UODO. Jeśli ryzyko jest wysokie – obowiązek zawiadamiania obejmuje także samych poszkodowanych.
Naruszeniem jest nie tylko wyciek danych na zewnątrz. Obejmuje ono również przypadkowe usunięcie bazy danych bez kopii zapasowej (naruszenie dostępności) czy zaszyfrowanie danych przez ransomware (naruszenie integralności). W praktyce – wiele firm o tym zapomina – naruszenie poufności to tylko jeden z trzech rodzajów zdarzeń podlegających ocenie.
Przy ocenie ryzyka UODO oczekuje analizy co najmniej czterech czynników: rodzaju i wrażliwości danych, liczby osób, których dotyczy naruszenie, możliwych konsekwencji dla poszkodowanych oraz zastosowanych środków technicznych (np. szyfrowania). Dane zaszyfrowane silnym algorytmem, do których klucze nie zostały ujawnione, mogą obniżyć ocenę ryzyka poniżej progu zgłoszeniowego.
Instytucje finansowe podlegające DORA (Rozporządzenie UE 2022/2554) mają od 17 stycznia 2025 r. dodatkowe obowiązki. Poważne incydenty ICT muszą być raportowane do KNF w odrębnym trybie – niezależnie od zgłoszenia do UODO. Oba kanały raportowania działają równolegle i żaden nie zastępuje drugiego.
Jak przebiega procedura zgłoszenia do UODO w 72 godziny?
Zgłoszenie do UODO składa się przez elektroniczny formularz dostępny na platformie e-PUAP lub przez dedykowany portal UODO. Administrator musi podać: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów danych, dane kontaktowe inspektora ochrony danych (IOD) lub innego punktu kontaktowego, opis prawdopodobnych konsekwencji naruszenia oraz opis zastosowanych lub proponowanych środków zaradczych. Zgłoszenie niekompletne złożone w terminie jest dopuszczalne – można je uzupełniać etapowo, wskazując powody opóźnienia w dostarczeniu pełnych informacji.
Krok pierwszy to powołanie wewnętrznego zespołu reagowania. W ciągu pierwszych 4–6 godzin od wykrycia zdarzenia należy zabezpieczyć logi systemowe, odizolować zagrożone środowisko i zebrać wstępne fakty. Bez tych działań ocena ryzyka będzie opierać się na domysłach, co zwiększa prawdopodobieństwo błędnej kwalifikacji incydentu.
Krok drugi to formalna ocena ryzyka. Powinna ona trwać maksymalnie 12–18 godzin i zakończyć się pisemnym dokumentem zawierającym uzasadnienie decyzji o zgłoszeniu lub braku zgłoszenia. Dokument ten jest kluczowym dowodem w razie późniejszej kontroli UODO – organ nadzorczy weryfikuje nie tylko sam fakt zgłoszenia, ale jakość procesu decyzyjnego.
Krok trzeci to samo zgłoszenie. Jeśli 72-godzinny termin upływa przed zebraniem wszystkich informacji, złóż zgłoszenie wstępne z dostępnymi danymi i wyraźnie zaznacz, że jest ono uzupełniane. UODO akceptuje takie podejście, o ile kolejne uzupełnienia wpływają bez nieuzasadnionej zwłoki – praktycznie w ciągu kolejnych 24–48 godzin.
- Zabezpiecz logi i izoluj środowisko – pierwsze 6 godzin
- Oceń ryzyko i sporządź dokumentację – kolejne 12–18 godzin
- Złóż zgłoszenie wstępne przez e-PUAP lub portal UODO – przed upływem 72 godzin
- Uzupełnij zgłoszenie o brakujące informacje – w ciągu 24–48 godzin od zgłoszenia wstępnego
- Oceń obowiązek zawiadomienia osób fizycznych – bez zbędnej zwłoki, jeśli ryzyko jest wysokie
Zawiadomienie osób fizycznych jest wymagane, gdy naruszenie może powodować wysokie ryzyko dla ich praw lub wolności. Komunikat musi być sformułowany jasnym językiem i zawierać dane kontaktowe IOD, opis prawdopodobnych skutków naruszenia oraz opis środków podjętych przez administratora. Brak zawiadomienia poszkodowanych przy wysokim ryzyku to osobna podstawa do nałożenia kary przez UODO.
Jeśli Państwa spółka przetwarza dane w imieniu innego administratora jako podmiot przetwarzający, obowiązuje dodatkowy reżim. Podmiot przetwarzający musi poinformować administratora bez zbędnej zwłoki – w praktyce przyjmuje się termin 24 godzin – aby ten mógł dochować własnego terminu 72-godzinnego. Klauzule umowne regulujące ten obowiązek powinny znaleźć się w każdej umowie powierzenia przetwarzania danych.
Konkretna sytuacja Państwa firmy – w szczególności gdy incydent dotyczy danych szczególnych kategorii lub obejmuje ponad 1 000 osób – wymaga natychmiastowej oceny prawnej. Błędna kwalifikacja zdarzenia jako niewymagającego zgłoszenia może nieodwracalnie pogorszyć pozycję administratora w postępowaniu przed UODO.
Jeśli Państwa spółka stoi przed decyzją o zgłoszeniu incydentu lub analizuje ryzyko związane z niedawnym zdarzeniem – przeprowadzimy ocenę prawną i przygotujemy dokumentację zgłoszeniową: info@kordeckipartners.com.
Jakie są najczęstsze błędy przy zgłaszaniu naruszeń i jak ich unikać?
Najpoważniejszy błąd to opóźnienie w wykryciu naruszenia – nie w jego zgłoszeniu. RODO wymaga od administratorów wdrożenia procesów pozwalających na bezzwłoczne stwierdzanie incydentów. UODO analizuje, kiedy administrator dowiedział się o zdarzeniu i czy mógł dowiedzieć się wcześniej przy właściwych procedurach monitoringu. Brak systemów SIEM lub centralnego logowania to nie tylko ryzyko techniczne – to ryzyko prawne.
Drugi błąd to zbyt wąska definicja naruszenia stosowana wewnętrznie. Wiele organizacji traktuje jako naruszenie wyłącznie zewnętrzny atak hakerski. Tymczasem wysłanie wiadomości e-mail do niewłaściwego odbiorcy, zagubienie niezaszyfrowanego laptopa czy nieautoryzowany dostęp pracownika do bazy danych – każde z tych zdarzeń może spełniać definicję z art. 4 pkt 12 RODO i wymagać przynajmniej wewnętrznej dokumentacji.
Trzeci błąd dotyczy dokumentacji. Nawet jeśli administrator zdecyduje, że naruszenie nie wymaga zgłoszenia do UODO, musi udokumentować tę decyzję wraz z jej uzasadnieniem. Rejestr naruszeń – prowadzony wewnętrznie na podstawie art. 33 ust. 5 RODO – jest pierwszym dokumentem, o który prosi organ podczas kontroli. Jego brak lub niekompletność jest samodzielną podstawą do wszczęcia postępowania administracyjnego.
Czwarty błąd to ignorowanie wymiaru kontraktowego. Umowy SaaS zawierają zazwyczaj klauzule dotyczące powiadamiania o naruszeniach – warto sprawdzić, czy Państwa zobowiązania wobec klientów są spójne z wymogami RODO. Więcej o kluczowych klauzulach w umowach technologicznych piszemy w artykule Umowy SaaS – kluczowe klauzule na polskim rynku.
Piąty błąd – szczególnie kosztowny – to brak koordynacji między działem IT, prawnym i zarządem. Odpowiedzialność za zgłoszenie leży po stronie administratora, czyli w praktyce zarządu spółki. Zarząd, który nie wiedział o incydencie w czasie umożliwiającym terminowe zgłoszenie, może ponosić odpowiedzialność osobistą – analogicznie do mechanizmu z odpowiedzialności zarządu z art. 299 k.s.h. – jeśli brak zgłoszenia wyrządził szkodę osobom trzecim.
Jak wygląda transgraniczne naruszenie danych i procedura one-stop-shop?
Przedsiębiorstwa działające w kilku państwach UE podlegają mechanizmowi jednego okienka (one-stop-shop). Wiodącym organem nadzorczym jest organ państwa, w którym administrator ma główną jednostkę organizacyjną. Dla spółki z siedzibą w Polsce – nawet jeśli przetwarza dane obywateli Niemiec czy Francji – wiodącym organem pozostaje UODO, chyba że centrum decyzyjne dotyczące przetwarzania danych mieści się w innym państwie członkowskim.
W praktyce transgraniczne naruszenie wymaga złożenia zgłoszenia do organu wiodącego, który następnie informuje pozostałe zainteresowane organy. Jednak w przypadku pilnych środków ochronnych każdy organ lokalny może działać samodzielnie. Firma z Mazowsza obsługująca klientów w Austrii i Czechach musi zatem liczyć się z tym, że nawet przy zgłoszeniu wyłącznie do UODO, austriacki organ (DSB) lub czeski (ÚOOÚ) mogą podjąć własne działania wyjaśniające.
Instytucje finansowe objęte DORA mają tu dodatkową warstwę komplikacji. Raportowanie do KNF o poważnych incydentach ICT przebiega według własnego harmonogramu: wstępne powiadomienie w ciągu 4 godzin od sklasyfikowania incydentu jako poważnego, raport pośredni w ciągu 72 godzin, raport końcowy w ciągu miesiąca. Koordynacja tych terminów z 72-godzinnym oknem RODO wymaga precyzyjnych procedur wewnętrznych.
Systemy AI wysokiego ryzyka w rozumieniu AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.) przetwarzające dane biometryczne lub stosowane w rekrutacji podlegają ocenie zgodności. Naruszenie danych w takim systemie może jednocześnie uruchomić procedury RODO i obowiązki raportowe wynikające z AI Act – dwa reżimy, jeden incydent, różne terminy i organy.
Dla niemieckiego inwestora wchodzącego na rynek polski, który przetwarza dane pracowników zarówno w Polsce, jak i w Niemczech, pytanie o organ wiodący ma bezpośrednie konsekwencje finansowe. Błędne ustalenie organu wiodącego może prowadzić do sytuacji, w której naruszenie zostanie zgłoszone do niewłaściwego organu i tym samym termin 72-godzinny nie zostanie dochowany wobec organu właściwego.
Lista kontrolna gotowości na naruszenie danych
Gotowość organizacji na incydent danych to nie projekt jednorazowy – to stan ciągły. UODO podczas kontroli weryfikuje nie tylko to, co zrobiono po naruszeniu, ale przede wszystkim to, co organizacja wdrożyła przed nim. Poniższa lista kontrolna obejmuje elementy minimalne, które powinien posiadać każdy administrator przetwarzający dane osobowe w skali uzasadniającej ocenę skutków (DPIA).
- Procedura reagowania na incydenty z jasno przypisanymi rolami (IT, prawny, zarząd, IOD)
- Rejestr naruszeń prowadzony na bieżąco, z polami na uzasadnienie decyzji o niezgłoszeniu
- Szablony zgłoszeń do UODO i zawiadomień dla osób fizycznych gotowe do użycia
- Klauzule umowne z podmiotami przetwarzającymi regulujące termin powiadamiania (max 24 godziny)
- Testy procedury co najmniej raz w roku – symulacja incydentu z pomiarem czasu reakcji
Spółka produkcyjna z Podkarpacia przeprowadziła wiosną 2024 r. symulację incydentu ransomware. Okazało się, że czas od wykrycia do zebrania informacji niezbędnych do oceny ryzyka wynosił 38 godzin – zostawiając zaledwie 34 godziny na przygotowanie i złożenie zgłoszenia. Po reorganizacji procesu czas ten skrócono do 11 godzin, co dało realną rezerwę na weryfikację prawną przed złożeniem formularza do UODO.
Wdrożenie procedury incydentowej to jednocześnie element compliance w zakresie znaku towarowego i ochrony danych w kontekście kancelarii IP Warszawa – każda organizacja przetwarzająca dane w ramach działalności twórczej lub technologicznej powinna mapować ryzyki incydentowe jako część szerszego audytu IP i danych. Brak takiej mapy ryzyk to luka, którą UODO traktuje jako dowód systemowych zaniedbań.
Startup technologiczny z Krakowa odkrył latem 2025 r., że jego zewnętrzny dostawca chmury nie poinformował go o naruszeniu przez ponad 36 godzin. W efekcie spółka złożyła zgłoszenie do UODO z 12-godzinnym opóźnieniem. UODO wszczął postępowanie wyjaśniające – nie tylko wobec dostawcy, ale wobec samego administratora, kwestionując brak odpowiednich klauzul umownych. Potencjalna kara administracyjna może sięgnąć 10 000 000 EUR lub 2% rocznego obrotu globalnego – zależnie od tego, która kwota jest wyższa.
Konkretna sytuacja Państwa firmy – szczególnie gdy dotyczy incydentu w toku lub przygotowania procedur przed pierwszą kontrolą UODO – wymaga oceny prawnej dostosowanej do skali przetwarzania i branży. Każda zwłoka w budowaniu gotowości incydentowej nieodwracalnie zwiększa ekspozycję na sankcje organu nadzorczego.
Jeśli Państwa spółka przetwarza dane osobowe w skali wymagającej DPIA lub nie posiada aktualnej procedury incydentowej – przeprowadzimy audyt gotowości i przygotujemy komplet dokumentacji: info@kordeckipartners.com.
Często zadawane pytania
P: Co zrobić, gdy nie jestem pewien, czy zdarzenie spełnia definicję naruszenia danych osobowych?
O: Przeprowadź wewnętrzną ocenę ryzyka i udokumentuj ją niezależnie od wyniku. Artykuł 33 ustęp 5 RODO zobowiązuje administratora do prowadzenia rejestru naruszeń – w tym tych, które nie zostały zgłoszone do UODO. Jeśli po analizie nie możesz wykluczyć, że zdarzenie wiąże się z ryzykiem dla praw osób fizycznych, bezpieczniej jest złożyć zgłoszenie wstępne i uzupełnić je o dodatkowe informacje. Brak zgłoszenia przy późniejszym stwierdzeniu przez UODO, że było ono wymagane, jest oceniany surowiej niż zgłoszenie nadmiarowe.
P: Ile może wynieść kara za niezgłoszenie naruszenia danych do UODO w terminie?
O: RODO przewiduje dwa progi kar administracyjnych. Za naruszenie obowiązku zgłoszenia (artykuł 33 RODO) grozi kara do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu globalnego przedsiębiorstwa – zastosowanie ma kwota wyższa. Kara jest nakładana przez UODO w drodze decyzji administracyjnej i podlega zaskarżeniu do Wojewódzkiego Sądu Administracyjnego, a następnie do Naczelnego Sądu Administracyjnego. Oprócz kary administracyjnej administrator może ponosić odpowiedzialność odszkodowawczą wobec osób, których dane dotyczą.
P: Czy podmiot przetwarzający (procesor) ma własny obowiązek zgłoszenia naruszenia do UODO?
O: Podmiot przetwarzający nie zgłasza naruszenia bezpośrednio do UODO – jego obowiązkiem jest niezwłoczne powiadomienie administratora. Przyjęty w praktyce termin to 24 godziny od stwierdzenia naruszenia, choć rozporządzenie mówi jedynie o „bez zbędnej zwłoki". Obowiązek ten powinien być precyzyjnie uregulowany w umowie powierzenia przetwarzania danych. Brak takiej klauzuli lub klauzula nieprecyzująca terminu to ryzyko zarówno dla procesora, jak i dla administratora – obaj mogą odpowiadać za naruszenie przepisów RODO w razie opóźnionego zgłoszenia do organu nadzorczego.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, cyberbezpieczeństwa i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Data publikacji: 03.05.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.