Spis treści
Incydenty związane z naruszeniem ochrony danych osobowych mogą wystąpić w każdej organizacji – niezależnie od jej skali czy charakteru działalności. To, co ma kluczowe znaczenie, to sposób, w jaki administrator danych podejmie działania po wykryciu takiego zdarzenia. Przepisy RODO jasno określają obowiązki w zakresie postępowania z naruszeniami, w tym konieczność ich zgłaszania do organu nadzorczego – dlatego warto wiedzieć, gdzie zgłosić naruszenie RODO, jakie informacje zawrzeć w zgłoszeniu oraz kiedy jest ono wymagane.
Czym jest naruszenie ochrony danych?
RODO definiuje naruszenie ochrony danych osobowych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Oznacza to, że naruszeniem może być zarówno atak hakerski, jak i błąd ludzki – na przykład wysłanie e-maila z danymi do niewłaściwego odbiorcy czy utrata nośnika zawierającego dane.
Aby dane zdarzenie zostało uznane za naruszenie ochrony danych osobowych, muszą być spełnione łącznie trzy przesłanki:
- Incydent musi dotyczyć danych osobowych, które są przesyłane, przechowywane lub przetwarzane przez podmiot, którego to naruszenie dotyczy.
- Jego skutkiem może być zniszczenie, utrata, zmodyfikowanie, nieuprawnione ujawnienie lub dostęp do danych.
- Naruszenie musi wynikać z naruszenia zasad bezpieczeństwa – na przykład braku odpowiednich zabezpieczeń technicznych lub organizacyjnych.
Tylko spełnienie tych trzech warunków łącznie pozwala zakwalifikować zdarzenie jako naruszenie ochrony danych w rozumieniu RODO.
Gdzie zgłosić naruszenie RODO?
Zgłoszenie naruszenia ochrony danych osobowych odbywa się w dwóch etapach: wewnętrznym i zewnętrznym. W pierwszej kolejności, podmiot przetwarzający lub pracownik, który stwierdził incydent, ma obowiązek niezwłocznie poinformować administratora danych. To administrator ponosi odpowiedzialność za ocenę sytuacji oraz dalsze działania.
Administrator danych powinien osiągnąć odpowiedni poziom pewności, że incydent bezpieczeństwa rzeczywiście miał miejsce i wpłynął na dane osobowe. Taka ocena powinna być poprzedzona możliwie szybkim postępowaniem wyjaśniającym, którego celem jest ustalenie, czy incydent spełnia definicję naruszenia w rozumieniu RODO.
Jeśli administrator uzna, że nastąpiło naruszenie i może ono skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, ma obowiązek zgłosić ten fakt organowi nadzorczemu właściwemu. Zgłoszenia należy dokonać bez zbędnej zwłoki – w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (stwierdzenie naruszenia, a wystąpienie naruszenia to dwa różne pojęcia!).
Jeśli zgłoszenie zostanie przekazane po upływie 72 godzin, administrator musi dodatkowo załączyć uzasadnienie przyczyn opóźnienia.
W sytuacji, gdy naruszenie danych osobowych dotyczy osób z różnych państw członkowskich UE, Prezes UODO nie zawsze będzie organem właściwym do rozpatrzenia sprawy. Może, ale nie musi pełnić roli tzw. organu wiodącego. W przypadku transgranicznego charakteru naruszenia, administrator ma obowiązek przeanalizować, który z europejskich organów nadzorczych jest właściwy dla czynności przetwarzania objętych naruszeniem – i czy jest to Prezes UODO, czy inny organ nadzorczy w Unii Europejskiej.
W jaki sposób można dokonać zgłoszenia?
Zanim podejmiesz formalne kroki, warto wiedzieć, gdzie zgłosić naruszenie RODO i jakie są dostępne kanały komunikacji z organem nadzorczym.
Zgłoszenia można dokonać:
- elektronicznie – poprzez dedykowany formularz dostępny na stronie internetowej Urzędu Ochrony Danych Osobowych: www.uodo.gov.pl,
- osobiście w siedzibie urzędu,
- pisemnie – wysyłając zgłoszenie na adres siedziby UODO.
Kiedy nie trzeba zgłaszać naruszenia do PUODO / organu właściwego?
Jeżeli administrator po przeprowadzeniu analizy uzna, że naruszenie nie wiąże się z prawdopodobieństwem wystąpienia ryzyka dla praw lub wolności osób fizycznych, nie ma obowiązku zgłaszania go do PUODO. W takiej sytuacji wystarczające jest udokumentowanie incydentu w wewnętrznym rejestrze naruszeń ochrony danych osobowych, który w razie kontroli pozwoli wykazać, że obowiązki zostały należycie wypełnione.
Zawiadamianie osób, których dane zostały naruszone
Jeśli naruszenie ochrony danych osobowych może skutkować poważnym zagrożeniem dla praw lub wolności osób fizycznych, administrator ma obowiązek poinformować te osoby o zaistniałym incydencie bez zbędnej zwłoki. Komunikat powinien być jasny, zrozumiały i zawierać wszystkie istotne informacje, w tym opis naruszenia, możliwe konsekwencje oraz działania podjęte w celu ograniczenia skutków.
RODO przewiduje jednak sytuacje, w których taki obowiązek nie występuje. Zawiadomienie nie jest konieczne, gdy:
- administrator zastosował skuteczne środki techniczne lub organizacyjne (np. szyfrowanie), które sprawiły, że dane są niezrozumiałe dla osób nieuprawnionych;
- indywidualne poinformowanie wszystkich osób byłoby niewspółmiernie trudne – w takim przypadku dopuszczalne jest zastosowanie komunikatu publicznego lub innego środka, który zapewni równie skuteczne poinformowanie.
Od incydentu do zgłoszenia
Naruszenia ochrony danych osobowych to nie tylko spektakularne incydenty, takie jak ataki hakerskie — równie ryzykowne są codzienne błędy, które mogą narazić organizację na konsekwencje prawne i reputacyjne. Kluczowe znaczenie ma szybka reakcja, profesjonalna ocena ryzyka i odpowiednia dokumentacja.
Administrator nie tylko ma obowiązek zgłaszania poważniejszych naruszeń do PUODO, lecz także, w określonych przypadkach, musi poinformować osoby, których dane dotyczą. Zaniedbanie tych obowiązków może skutkować poważnymi sankcjami finansowymi.
W razie jakichkolwiek wątpliwości — dotyczących konieczności zgłoszenia, sposobu oceny ryzyka, formy komunikacji czy tego, gdzie zgłosić naruszenie RODO — warto skorzystać z prawnego wsparcia.
Ratio‑Go oferuje:
- kompleksowe wdrożenie RODO: audyt, analizę ryzyka, dokumentację, procedury i szkolenia,
- audyt zgodności i analizę ryzyka, która pomaga zidentyfikować słabe punkty procesów przetwarzania,
- doradztwo, outsourcing Inspektora Ochrony Danych, szkolenia i wsparcie przy incydentach.
Sprawdź naszą ofertę!
Ostatnie wpisy
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.