Zgłoszenie naruszenia ochrony danych

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem:

• zniszczenia,
• utracenia,
• zmodyfikowania,
• nieuprawnionego ujawnienia,
• lub nieuprawnionego dostępu
• do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zakres obowiązków administratora zależy od charakteru i skutków naruszenia. Niezależnie od jego skali, administrator zawsze ma obowiązek:

• udokumentować każde naruszenie ochrony danych,
• opisać okoliczności zdarzenia, jego skutki oraz podjęte działania zaradcze.
• dokumentacja musi umożliwiać organowi nadzorczemu weryfikację zgodności działań administratora z RODO (zasada rozliczalności).

W zależności od sytuacji mogą pojawić się także dwa dodatkowe obowiązki:

• zgłoszenie naruszenia do organu nadzorczego,
• zawiadomienie osób, których dane dotyczą.

Nie. Zgodnie z art. 33 RODO administrator zgłasza naruszenie do Prezesa Urzędu Ochrony Danych Osobowych tylko wtedy, gdy istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli jest mało prawdopodobne, aby takie ryzyko wystąpiło, zgłoszenie nie jest wymagane – ale decyzja ta musi być udokumentowana.

Naruszenie należy zgłosić bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia. Jeżeli zgłoszenie następuje po tym terminie, administrator musi wyjaśnić przyczyny opóźnienia.

Zgodnie z art. 34 RODO, obowiązek zawiadomienia osób, których dane dotyczą, powstaje wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Nie każde zgłoszenie do PUODO oznacza automatycznie konieczność informowania osób – decyzja ta zależy od oceny poziomu ryzyka.

Administrator ma obowiązek przekazać informacje:

• charakterze naruszenia ochrony danych osobowych,
• danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego,
• możliwych konsekwencjach naruszenia,
• środkach zastosowanych lub planowanych w celu ograniczenia negatywnych skutków.

Komunikat musi być sformułowany jasnym i prostym językiem, tak aby osoba mogła zrozumieć, co się stało i jakie może to mieć dla niej znaczenie.

RODO nie zawiera zamkniętej listy kryteriów oceny ryzyka. W motywie 75 wskazuje jednak przykładowe skutki, takie jak:

• kradzież tożsamości,
• straty finansowe,
• dyskryminacja,
• szkoda majątkowa lub niemajątkowa,
• utrata kontroli nad danymi osobowymi.

W praktyce administratorzy danych posiłkują się:

• decyzjami Prezesa Urzędu Ochrony Danych Osobowych,
• orzecznictwem innych europejskich organów nadzorczych,
• metodykami oceny naruszeń, w szczególności rekomendacjami Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), uznawanymi przez PUODO jako pomocnicze narzędzie przy ocenie wagi naruszeń.

Tak. Pomagamy ocenić, czy w danej sytuacji istnieje obowiązek zgłoszenia naruszenia, a jeżeli tak to przygotowujemy kompletne zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych zgodnie z art. 33 RODO oraz aktualną praktyką organu nadzorczego. Wspieramy również w uporządkowaniu informacji i dokumentacji związanej z incydentem.

Tak. Wspieramy na każdym etapie postępowania lub kontroli prowadzonej przez PUODO od przygotowania wyjaśnień, przez odpowiedzi na wezwania, po bieżącą komunikację z organem nadzorczym, we współpracy z Twoją organizacją.

Tak. Po zakończeniu obsługi incydentu przygotowujemy zalecenia oraz aktualizujemy procedury ochrony danych, tak aby ograniczyć ryzyko podobnych zdarzeń w przyszłości i zapewnić zgodność procesów z przepisami RODO.

Jako naruszenie ochrony danych należy traktować takie zdarzenia, które prowadzą do zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia albo nieuprawnionego dostępu do danych osobowych. W praktyce najczęściej są to: błędna wysyłka e-maila, wysłanie niewłaściwego załącznika, utrata lub kradzież laptopa albo pendrive’a, wydanie dokumentów osobie nieuprawnionej, nieuprawniony dostęp pracownika, atak hakerski, phishing, błąd systemu, brak anonimizacji albo nieprawidłowa utylizacja dokumentów. Do Prezesa UODO zgłasza się te incydenty, które mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Nie zawsze. Obowiązek zawiadomienia osób pojawia się wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Sama konieczność zgłoszenia do PUODO nie oznacza jeszcze automatycznie obowiązku informowania wszystkich osób.

Proces zaczyna się od analizy incydentu w kontakcie 1:1, następnie oceniana jest skala naruszenia i obowiązki prawne, przygotowywane jest zgłoszenie do PUODO, ustalany jest ewentualny sposób poinformowania osób, a potem prowadzone są działania formalne, naprawcze i prewencyjne. W praktyce obejmuje to także wsparcie przy dokumentacji, terminach, komunikacji i ograniczaniu dalszych ryzyk.

Tak. Obsługa zaczyna się właśnie od ustalenia, czy incydent spełnia definicję naruszenia ochrony danych oraz jakie obowiązki powstają po stronie administratora. Taka analiza obejmuje również ocenę, czy organizacja potrafi wykazać rozliczalność swoich działań.

Tak. Jeżeli incydent ujawnia szersze braki systemowe, możliwe jest przeprowadzenie audytu zgodności i bezpieczeństwa, aktualizacja dokumentacji, szkolenie pracowników i kadry kierowniczej oraz objęcie organizacji wsparciem w zakresie zadań IOD.

Koszt usługi zaczyna się od 1000 zł netto.

Sprawy dotyczące naruszeń ochrony danych traktujemy priorytetowo – do 48 godzin od kontaktu podejmujemy działania w trybie pilnym. W praktyce zaczynamy od szybkiej analizy incydentu, oceny, czy zdarzenie spełnia definicję naruszenia, ustalenia obowiązków prawnych i przygotowania zgłoszenia do Prezesa UODO. To ważne, ponieważ samo RODO przewiduje, że zgłoszenie powinno nastąpić bez zbędnej zwłoki, a co do zasady nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.

Możesz zgłosić incydent bezpośrednio do nas – po kontakcie analizujemy zdarzenie, przygotowujemy treść zgłoszenia i prowadzimy Cię przez całą procedurę możliwie najwygodniejszą ścieżką. Z perspektywy formalnej zgłoszenie naruszenia do Prezesa UODO składa się elektronicznie, za pomocą dedykowanego formularza. Po naszej stronie cały proces obejmuje analizę, ocenę ryzyka, przygotowanie zgłoszenia i obsługę formalną.

Tak. Za naruszenia RODO mogą grozić administracyjne kary pieniężne w dwóch podstawowych progach: do 10 mln euro albo 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego oraz – przy najpoważniejszych naruszeniach – do 20 mln euro albo 4% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. Na wysokość kary wpływają m.in. charakter naruszenia, jego skala, czas trwania, liczba osób dotkniętych incydentem i to, jak organizacja zareagowała po wykryciu problemu.

Przykładowe kary za naruszenie ochrony danych:

• Poczta Polska S.A. – 27 124 816 zł (marzec 2025 r.) Najwyższa kara w historii polskiego RODO. Została nałożona za przetwarzanie danych osobowych z rejestru PESEL bez podstawy prawnej w związku z organizacją tzw. „wyborów kopertowych” w 2020 r.
• ING Bank Śląski S.A. – 18 418 360 zł (sierpień 2025 r.) Kara za nieuzasadnione i masowe skanowanie dokumentów tożsamości klientów (naruszenie zasady minimalizacji danych). Jest to najwyższa kara nałożona na podmiot prywatny w Polsce.
• McDonald’s Polska Sp. z o.o. – 16 932 657 zł (czerwiec 2025 r.) Nałożona za niewdrożenie adekwatnych środków technicznych i organizacyjnych, co doprowadziło do wycieku danych pracowników i franczyzobiorców (błędna konfiguracja serwera).
• Fortum Marketing and Sales Polska S.A. – 4 911 732 zł (styczeń 2022 r.) Kara za niezastosowanie odpowiednich środków bezpieczeństwa, co umożliwiło osobom nieuprawnionym dostęp do danych klientów w bazie (wykorzystanie luk w systemie przez podmiot przetwarzający).
• mBank S.A. – ok. 4 053 000 zł (940 000 EUR) (sierpień 2024 r.) Kara za niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, mimo wystąpienia wysokiego ryzyka naruszenia praw i wolności.
• Morele.net Sp. z o.o. – 3 835 155 zł (luty 2024 r. – ostateczna wysokość) Kara za niewystarczające zabezpieczenia techniczne, które doprowadziły do wycieku danych ponad 2 mln klientów. Kwota ta została ustalona po ponownym rozpatrzeniu sprawy nakazanym przez sąd (pierwotnie wynosiła 2,8 mln zł).
• P4 Sp. z o.o. (operator Virgin Mobile) – 1 599 395 zł (maj 2022 r.) Nałożona za niedostateczne testowanie systemów informatycznych, co skutkowało luką bezpieczeństwa i nieuprawnionym dostępem do danych abonentów.
• Santander Bank Polska S.A. – 1 440 549 zł (marzec 2024 r.) Kara za naruszenie zasady poufności danych poprzez umożliwienie nieuprawnionego dostępu do danych osobowych w systemie bankowości elektronicznej.
• Centrum Medyczne Ujastek sp. z o.o. – 1 145 891 zł (styczeń 2025 r.) Łączna suma kar (687 tys. zł oraz 458 tys. zł) za bezprawne stosowanie monitoringu wizyjnego oraz rażące braki w zabezpieczeniu systemów przetwarzających dane pacjentów.
• Cyfrowy Polsat S.A. – 1 136 975 zł (kwiecień 2021 r.) Kara za niewdrożenie właściwych środków organizacyjnych i technicznych służących bezpiecznemu przetwarzaniu danych przy współpracy z podmiotami trzecimi.

Jeżeli incydent powinien zostać zgłoszony, a organizacja tego nie zrobi albo zrobi to wadliwie, ryzyko dotyczy nie tylko samej oceny incydentu, ale też naruszenia obowiązków administratora wynikających z art. 33 i 34 RODO. Co do zasady taki brak zgłoszenia może wejść w próg kary do 10 mln euro albo 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli sprawa łączy się dodatkowo z naruszeniem podstawowych zasad przetwarzania albo niewykonaniem nakazu organu, górna granica może wzrosnąć do 20 mln euro albo 4% obrotu. W praktyce problemem bywa też to, że brak reakcji lub błędna kwalifikacja zdarzenia często okazują się bardziej kłopotliwe niż sam incydent.