Firma technologiczna z Mazowsza odkrywa w piątek wieczorem, że jej baza klientów – zawierająca adresy e-mail, numery telefonów i dane płatnicze – wyciekła do sieci. Zegar zaczyna tykać natychmiast. Rozporządzenie (UE) 2016/679 – RODO – daje administratorowi danych dokładnie 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych (UODO). Nie od poniedziałku rano. Nie od momentu zakończenia wewnętrznego dochodzenia. Od chwili, gdy organizacja powzięła wiadomość o incydencie.

Naruszenie ochrony danych osobowych to każde zdarzenie prowadzące do przypadkowego lub bezprawnego zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Obowiązek zgłoszenia do UODO wynika bezpośrednio z artykułu 33 RODO i co do zasady obejmuje wszystkich administratorów danych przetwarzających dane na terytorium Unii Europejskiej. Termin 72 godzin jest nieprzekraczalny – jego przekroczenie skutkuje ryzykiem administracyjnej kary pieniężnej sięgającej 10 000 000 EUR lub 2% globalnego rocznego obrotu.

Poniżej omawiamy pełen cykl postępowania: od rozpoznania incydentu, przez ocenę ryzyka, po złożenie zgłoszenia i relacje z osobami, których dane dotyczą. Zwracamy uwagę na pułapki proceduralne, scenariusze transgraniczne i nowe obowiązki wynikające z AI Act oraz DORA – regulacji, które nakładają się na reżim RODO i komplikują obraz odpowiedzialności.

Czym jest naruszenie danych osobowych i kiedy powstaje obowiązek zgłoszenia?

Odpowiedź jest precyzyjna, lecz wymagająca: naruszenie istnieje od chwili utraty kontroli nad danymi, a nie od momentu potwierdzenia szkody. RODO definiuje naruszenie szeroko – obejmuje ono incydenty poufności (nieuprawniony dostęp), integralności (modyfikacja danych) i dostępności (utrata lub zniszczenie danych). Administrator musi zgłosić incydent do UODO w ciągu 72 godzin, chyba że naruszenie jest mało prawdopodobne, by skutkowało ryzykiem dla praw lub wolności osób fizycznych. Ciężar dowodu spoczywa na administratorze.

Praktyka UODO – i analogicznych organów w UE, w tym Prezesa Urzędu – wskazuje, że zwolnienie z obowiązku zgłoszenia dotyczy wąskiego spektrum przypadków. Utrata zaszyfrowanego pendrive'a, do którego klucz pozostaje wyłącznie u administratora, może nie wymagać zgłoszenia. Ale już wyciek bazy danych klientów do nieznanych osób – nawet jeśli administrator sądzi, że dane nie zostały faktycznie odczytane – co do zasady obowiązek ten generuje.

Trzy kategorie incydentów generują obowiązek zgłoszenia najczęściej:

  • ataki ransomware z szyfrowaniem lub eksfiltracja danych przez złośliwe oprogramowanie,
  • nieuprawniony dostęp pracownika lub osoby trzeciej do systemów kadrowych lub CRM,
  • błędne wysłanie dokumentów zawierających dane osobowe do niewłaściwego odbiorcy.

Warto odnotować, że UODO rozróżnia dwa poziomy reakcji. Zgłoszenie do organu nadzorczego (art. 33 RODO) jest obowiązkiem administratora wobec regulatora. Zawiadomienie osób, których dane dotyczą (art. 34 RODO), jest odrębnym obowiązkiem – i wchodzi w grę tylko wtedy, gdy naruszenie może powodować wysokie ryzyko dla tych osób. Oba progi wymagają odrębnej oceny ryzyka.

W Polsce organem nadzorczym właściwym dla zgłoszeń na podstawie artykułu 33 RODO jest Prezes UODO. Zgłoszenie składa się elektronicznie przez platformę UODO lub tradycyjnie – jednak droga elektroniczna jest zdecydowanie szybsza i pozwala zachować dowód daty złożenia. To istotne, gdy 72 godziny upływają w weekend.

Jak przebiega procedura zgłoszenia do UODO w ciągu 72 godzin?

Procedura ma cztery etapy: identyfikacja incydentu, ocena ryzyka, sporządzenie zgłoszenia i dokumentacja wewnętrzna. Każdy z nich musi zostać przeprowadzony równolegle, nie sekwencyjnie. Zgłoszenie złożone po terminie – nawet o kilka godzin – wymaga uzasadnienia opóźnienia, które UODO ocenia indywidualnie. Kary za opóźnione zgłoszenie sięgają 10 000 000 EUR lub 2% globalnego obrotu, w zależności od tego, która kwota jest wyższa.

Etap pierwszy to identyfikacja i izolacja incydentu. Zespół ds. bezpieczeństwa (lub podmiot przetwarzający, jeśli to on wykrył naruszenie) musi niezwłocznie poinformować administratora. Zgodnie z art. 33 ust. 2 RODO, podmiot przetwarzający ma obowiązek zawiadomić administratora bez zbędnej zwłoki po stwierdzeniu naruszenia. Ten obowiązek powinien być wprost uregulowany w umowie powierzenia przetwarzania – jego brak to jeden z najczęstszych błędów audytowanych przez kancelarię przy audycie RODO w polskich firmach.

Etap drugi to ocena ryzyka. Administrator ocenia, czy naruszenie może skutkować ryzykiem dla praw i wolności osób fizycznych. Ocena uwzględnia: rodzaj naruszonych danych (dane zwykłe versus szczególne kategorie danych z art. 9 RODO), liczbę osób, których dane dotyczą, oraz prawdopodobieństwo i powagę potencjalnych skutków. Dane medyczne, finansowe lub dotyczące dzieci automatycznie podwyższają poziom ryzyka.

Etap trzeci to sporządzenie i złożenie zgłoszenia. Formularz UODO wymaga podania: opisu charakteru naruszenia, kategorii i przybliżonej liczby osób i rekordów, danych kontaktowych inspektora ochrony danych (IOD), opisu prawdopodobnych konsekwencji oraz środków zaradczych już zastosowanych lub planowanych. Zgłoszenie można składać etapowo – art. 33 ust. 4 RODO dopuszcza uzupełnienie informacji bez zbędnej zwłoki, jeśli wszystkie fakty nie są jeszcze znane w ciągu 72 godzin.

Etap czwarty to dokumentacja wewnętrzna. Art. 33 ust. 5 RODO nakłada na administratora obowiązek dokumentowania wszystkich naruszeń – nawet tych, które nie wymagają zgłoszenia. Rejestr naruszeń musi zawierać fakty, skutki i podjęte działania zaradcze. Brak rejestru jest samodzielną podstawą do wszczęcia postępowania przez UODO.

Konkretna sytuacja Państwa organizacji wymaga oceny, czy procedura wewnętrzna jest wystarczająca – jej brak w momencie incydentu nieodwracalnie wydłuża czas reakcji i zwiększa ryzyko kary. Jeśli Państwa firma przetwarza dane osobowe klientów lub pracowników i nie posiada udokumentowanej procedury obsługi naruszeń – skontaktuj się z nami przed pierwszym incydentem: info@kordeckipartners.com.

Jakie pułapki proceduralne najczęściej kosztują firmy kary UODO?

Pułapki są dobrze znane praktykom – i powtarzają się w niemal każdym postępowaniu administracyjnym prowadzonym przez UODO. Najpoważniejsza z nich to mylenie momentu powzięcia wiadomości z momentem pewności co do zakresu naruszenia. RODO nie wymaga pełnego dochodzenia przed złożeniem zgłoszenia. Wystarczy uzasadnione przekonanie, że do naruszenia doszło. Firmy, które czekają na zakończenie analizy forensic, regularnie przekraczają termin 72 godzin.

Firma produkcyjna z Dolnego Śląska – obsługiwana przez kancelarię w pierwszym kwartale 2025 r. – zgłosiła naruszenie do UODO po 96 godzinach od wykrycia ataku ransomware. Uzasadnieniem była konieczność ustalenia zakresu eksfiltrowanych danych. UODO wszczął postępowanie wyjaśniające i wezwał do złożenia wyjaśnień. Sprawa zakończyła się upomnieniem, ale koszty obsługi postępowania przekroczyły 40 000 PLN.

Drugi typowy błąd dotyczy umów powierzenia przetwarzania. Wiele organizacji korzysta z zewnętrznych dostawców usług IT, chmurowych lub kadrowych – i nie zawarło z nimi klauzul zobowiązujących do niezwłocznego powiadomienia o incydentach. W praktyce oznacza to, że administrator dowiaduje się o naruszeniu z opóźnieniem, które już wyczerpuje dostępny czas na zgłoszenie.

Trzecia pułapka to brak oceny ryzyka dla osób fizycznych. Część administratorów zakłada, że skoro dane nie zostały na pewno odczytane przez nieuprawnioną osobę, obowiązek zgłoszenia nie powstaje. To błąd. Sama możliwość dostępu – potwierdzona logami systemowymi – może wystarczyć do uznania, że ryzyko istnieje. UODO w swoich decyzjach konsekwentnie stosuje podejście prewencyjne.

Czwartym problemem jest zaniedbanie obowiązku zawiadomienia osób, których dane dotyczą. Jeśli naruszenie dotyczy danych medycznych, finansowych lub danych dzieci, próg wysokiego ryzyka z art. 34 RODO jest niemal zawsze osiągnięty. Zaniechanie zawiadomienia tych osób – nawet przy prawidłowym zgłoszeniu do UODO – stanowi odrębne naruszenie i może skutkować dodatkową karą.

Jak AI Act i DORA zmieniają obowiązki przy naruszeniu danych?

Dla organizacji objętych Rozporządzeniem (UE) 2024/1689 – AI Act – oraz Rozporządzeniem (UE) 2022/2554 – DORA – naruszenie danych osobowych może uruchamiać równoległe obowiązki sprawozdawcze, niezależne od reżimu RODO. To kluczowa zmiana dla sektora finansowego i podmiotów wdrażających systemy sztucznej inteligencji wysokiego ryzyka. Przeoczenie jednego z tych reżimów może skutkować podwójną odpowiedzialnością administracyjną.

DORA weszła w życie 17 stycznia 2025 r. i obejmuje instytucje finansowe: banki, firmy inwestycyjne, zakłady ubezpieczeń i dostawców usług ICT dla sektora finansowego. Art. 19 DORA nakłada obowiązek zgłaszania poważnych incydentów ICT do Komisji Nadzoru Finansowego (KNF) – w terminie krótszym niż 72 godziny przewidziane przez RODO. Wstępne powiadomienie musi nastąpić w ciągu 4 godzin od sklasyfikowania incydentu jako poważnego. Oznacza to, że bank lub firma inwestycyjna musi prowadzić jednoczesne postępowanie wobec UODO i KNF.

AI Act – obowiązujący od 1 sierpnia 2024 r. z fazowaną aplikacją do 2027 r. – wprowadza dodatkowe wymagania dla systemów AI wysokiego ryzyka. Systemy stosowane w ocenie kredytowej, rekrutacji kadrowej czy biometrii wymagają oceny zgodności przed wdrożeniem. Naruszenie danych przetwarzanych przez taki system może uruchamiać obowiązki sprawozdawcze wobec Urzędu ds. AI (European AI Office), niezależnie od UODO. Regulacja wyprzedza rynek – wiele firm wdrożyło już systemy AI, nie przeprowadzając oceny ich ryzyka pod kątem AI Act.

Dla organizacji działających transgranicznie – np. polskich spółek z oddziałami w Niemczech lub Czechach – właściwość organu nadzorczego określa art. 56 RODO (zasada one-stop-shop). Wiodącym organem nadzorczym jest organ państwa, w którym administrator ma główną jednostkę organizacyjną. Jeśli polska spółka przetwarza dane obywateli UE przez serwer w Niemczech, a jej zarząd podejmuje decyzje w Warszawie – właściwym organem może być UODO, nie Bundesdatenschutzbeauftragte. Ta kwestia bywa rozstrzygana odmiennie przez różne organy i warto ją ustalić przed pierwszym incydentem.

Warto też pamiętać, że w kontekście zgodności regulacyjnej ochrona danych osobowych łączy się z innymi obszarami compliance. Podobnie jak nowe definicje w podatku od nieruchomości mogą zaskakiwać przedsiębiorców, tak nakładające się na siebie reżimy regulacyjne w obszarze danych i technologii wymagają skoordynowanego podejścia.

Konkretna sytuacja Państwa organizacji – zwłaszcza jeśli przetwarza dane w systemach AI lub świadczy usługi finansowe – wymaga mapowania wszystkich obowiązków sprawozdawczych przed incydentem. Nieodwracalne konsekwencje podwójnego naruszenia (RODO + DORA) mogą obejmować kary łącznie przekraczające 20 000 000 EUR. Jeśli Państwa firma wdraża systemy AI wysokiego ryzyka lub podlega DORA – przeprowadzimy analizę nakładających się obowiązków: info@kordeckipartners.com.

Scenariusze transgraniczne – kto zgłasza naruszenie i gdzie?

Dla zagranicznych inwestorów wchodzących na rynek polski lub polskich spółek z operacjami w kilku krajach UE kwestia właściwości organu nadzorczego jest jednym z najczęstszych źródeł błędów. Zasada one-stop-shop z art. 56 RODO upraszcza procedurę – ale tylko wtedy, gdy administrator prawidłowo ustalił, który organ jest organem wiodącym. W praktyce wiele organizacji błędnie zakłada, że właściwy jest organ państwa, w którym doszło do incydentu technicznego.

Startup IT z Krakowa – obsługiwany przez kancelarię latem 2024 r. – świadczył usługi SaaS dla klientów w Polsce, Niemczech i Francji. Po wycieku danych użytkowników z serwera hostowanego w Irlandii zarząd spółki zastanawiał się, czy zgłosić incydent do UODO, irlandzkiego Data Protection Commission, czy do wszystkich trzech organów. Właściwa analiza wykazała, że główna jednostka organizacyjna spółki – miejsce, gdzie podejmowane są decyzje dotyczące przetwarzania – znajdowała się w Krakowie. Wiodącym organem był zatem UODO.

Mechanizm one-stop-shop nie eliminuje jednak obowiązku informowania organów w państwach, których obywateli dotyczy naruszenie. Organy te mogą wyrażać sprzeciw wobec decyzji organu wiodącego i wnosić o wszczęcie postępowania spornego przed Europejską Radą Ochrony Danych (EROD). Dla organizacji z operacjami w wielu krajach UE oznacza to konieczność monitorowania postępowania nie tylko przed UODO, ale i przed EROD.

Osobną kategorię stanowią organizacje spoza UE przetwarzające dane obywateli UE – np. ukraińskie firmy technologiczne obsługujące polskich klientów. Na podstawie art. 3 ust. 2 RODO podlegają one reżimowi RODO i muszą wyznaczyć reprezentanta w UE. Naruszenie danych po stronie takiego podmiotu uruchamia obowiązek zgłoszenia przez reprezentanta – do organu państwa, w którym reprezentant ma siedzibę. Kancelaria koordynuje obsługę takich przypadków przez Ukrainian Desk i CIS Desk.

Lista kontrolna: co przygotować przed zgłoszeniem do UODO?

Skuteczne zgłoszenie naruszenia wymaga zebrania konkretnych informacji w ciągu kilku godzin od wykrycia incydentu. Brak przygotowania proceduralnego oznacza, że czas przeznaczony na analizę jest zużywany na poszukiwanie podstawowych danych – zamiast na sporządzenie zgłoszenia. Poniższa lista kontrolna obejmuje minimum wymagane przez formularz UODO i wytyczne Europejskiej Rady Ochrony Danych.

  • Opis incydentu: data i godzina wykrycia, źródło informacji o naruszeniu, rodzaj naruszenia (poufność, integralność, dostępność), systemy i procesy dotknięte incydentem.
  • Zakres danych: kategorie danych osobowych (zwykłe, szczególne kategorie z art. 9 RODO, dane dzieci), przybliżona liczba rekordów i liczba osób, których dane dotyczą.
  • Dane kontaktowe IOD: imię, nazwisko, adres e-mail i numer telefonu inspektora ochrony danych lub osoby kontaktowej w sprawach ochrony danych.
  • Ocena ryzyka: udokumentowana analiza prawdopodobnych konsekwencji naruszenia dla osób fizycznych, w tym ocena, czy konieczne jest zawiadomienie tych osób (próg wysokiego ryzyka).
  • Środki zaradcze: opis działań już podjętych (izolacja systemu, zmiana haseł, powiadomienie dostawców) oraz planowanych (audyt forensic, aktualizacja zabezpieczeń, szkolenia).

Organizacje objęte DORA muszą równolegle przygotować wstępne powiadomienie dla KNF – w terminie 4 godzin od sklasyfikowania incydentu. Formularz KNF różni się od formularza UODO i wymaga danych technicznych dotyczących infrastruktury ICT. Obie procedury powinny być prowadzone przez odrębne osoby w ramach zespołu kryzysowego.

Rejestr naruszeń – wymagany przez art. 33 ust. 5 RODO – powinien być aktualizowany równolegle ze zgłoszeniem. Zawiera on nie tylko incydenty zgłoszone do UODO, ale wszystkie stwierdzone naruszenia, łącznie z tymi uznanymi za niepodlegające zgłoszeniu. Brak rejestru lub jego niekompletność to najczęstsza nieprawidłowość stwierdzana podczas kontroli UODO.

Często zadawane pytania

P: Co grozi za niezgłoszenie naruszenia danych do UODO w terminie 72 godzin?

O: Prezes UODO może nałożyć administracyjną karę pieniężną do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa. Niezależnie od kary finansowej, UODO może nakazać administratorowi wdrożenie konkretnych środków naprawczych i objąć organizację stałym nadzorem. Samo opóźnienie – bez zaniechania zgłoszenia – może skutkować wszczęciem postępowania wyjaśniającego i upomnieniem. Warto pamiętać, że artykuł 83 ustęp 4 RODO wymienia naruszenie obowiązku zgłoszenia jako jedno z naruszeń zagrożonych karą niższą (do 10 mln EUR), podczas gdy naruszenia zasad przetwarzania danych zagrożone są karą do 20 mln EUR.

P: Czy każde naruszenie danych osobowych musi być zgłoszone do UODO?

O: Nie – to częste nieporozumienie. Obowiązek zgłoszenia do UODO powstaje tylko wtedy, gdy naruszenie jest prawdopodobne, że skutkuje ryzykiem dla praw lub wolności osób fizycznych. Jeśli ryzyko takie jest mało prawdopodobne – na przykład utrata zaszyfrowanego urządzenia, do którego klucz jest bezpieczny – administrator może odstąpić od zgłoszenia, ale musi to udokumentować w rejestrze naruszeń. Ocena ryzyka musi być przeprowadzona i udokumentowana w każdym przypadku, niezależnie od tego, czy zgłoszenie jest składane. Brak dokumentacji tej oceny jest samodzielną nieprawidłowością.

P: Jak długo trwa postępowanie UODO po zgłoszeniu naruszenia?

O: Postępowanie wyjaśniające UODO może trwać od kilku tygodni do kilkunastu miesięcy, w zależności od złożoności sprawy i skali naruszenia. W prostych przypadkach – gdy zgłoszenie jest kompletne, środki zaradcze zostały szybko wdrożone i liczba osób dotkniętych naruszeniem jest ograniczona – UODO często zamyka sprawę bez wszczynania formalnego postępowania administracyjnego. Przy naruszeniach masowych (powyżej kilkudziesięciu tysięcy osób) lub dotyczących szczególnych kategorii danych, UODO regularnie wszczyna postępowanie i żąda dodatkowych wyjaśnień w terminie 14 dni od wezwania.

Złożona siatka obowiązków – RODO, AI Act, DORA, właściwość organu wiodącego, zawiadomienie osób fizycznych – sprawia, że obsługa naruszenia danych osobowych wymaga koordynacji prawnej, technicznej i komunikacyjnej jednocześnie. Konkretna sytuacja Państwa organizacji może wymagać działania w ciągu kilku godzin, a błędy popełnione w pierwszej dobie incydentu są trudne do naprawienia na późniejszym etapie postępowania.

Jeśli Państwa spółka przetwarza dane osobowe klientów, pracowników lub użytkowników i nie posiada przetestowanej procedury obsługi naruszeń – przeprowadzimy przegląd gotowości incydentowej, przygotujemy procedurę zgłoszenia i przejmiemy kontakt z UODO w razie incydentu: info@kordeckipartners.com.

Szczegółowe informacje o najczęstszych lukach w dokumentacji RODO, które ujawniają się dopiero podczas incydentu, znajdą Państwo w naszej analizie: audyt RODO – najczęstsze luki w polskich firmach.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, regulacji AI i zgodności technologicznej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autorem artykułu jest Jakub Górski, adwokat specjalizujący się w prawie własności intelektualnej, technologiach i regulacjach AI. Data publikacji: 02.01.2026.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.