Zgłoszenie naruszenia ochrony danych
Pomożemy Ci bezpiecznie zgłosić naruszenie ochrony danych do UODO
Zgodnie z art. 4 pkt 12 Rozporządzenia RODO, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, niezależnie od tego, czy dane są przesyłane, przechowywane czy przetwarzane w inny sposób.
Zgłosimy z Tobą naruszenie ochrony danych
naruszenia ochrony danych
Wystąpienie zdarzenia zakwalifikowanego jako naruszenie ochrony danych uruchamia konkretne obowiązki prawne po stronie administratora, w szczególności obowiązek dokonania oceny ryzyka oraz – w wielu przypadkach zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych. Brak reakcji lub błędna kwalifikacja zdarzenia często okazują się bardziej problematyczne niż sam incydent.
Najczęstsze zdarzenia kwalifikowane jako naruszenie ochrony danych:
a) Błędna wysyłka e-mail – przesłanie wiadomości zawierającej dane osobowe do nieuprawnionego adresata.
b) Ujawnienie danych w załączniku – prawidłowy adres e-mail, ale błędny plik (np. lista klientów, dane kadrowe).
c) Zgubiony lub skradziony pendrive / laptop – brak szyfrowania nośnika zawierającego dane osobowe.
d) Błędnie wydana dokumentacja – przekazanie dokumentacji (np. medycznej, kadrowej) osobie nieuprawnionej.
e) Zalanie lub pożar archiwum – zniszczenie dokumentacji papierowej zawierającej dane osobowe.
f) Nieuprawniony dostęp pracownika – dostęp do danych wykraczający poza zakres nadanych uprawnień.
g) Atak hakerski / phishing – przejęcie konta e-mail lub systemu informatycznego i dostęp do danych.
h) Błąd systemowy lub aplikacyjny – niezamierzone ujawnienie danych (np. widoczność cudzych danych po zalogowaniu).
i) Brak anonimizacji lub pseudonimizacji – udostępnienie danych w formie umożliwiającej identyfikację osób.
j) Nieprawidłowa utylizacja dokumentów – wyrzucenie dokumentów z danymi osobowymi bez ich zniszczenia.
Pomożemy Ci zgłosić naruszenie RODO - Wypełnij formularz
Zgłoszenie naruszenia ochrony danych do Urzędu Ochrony Danych Osobowych (UODO)
- Wypełnij formularz - skontaktuj się z nami
- Pomożemy Ci zmniejszyć ryzyko prawne
- Zadbamy o Twoją reputację
Jak wygląda pierwsza konsultacja w sprawie zgłoszenia naruszenia RODO?
Na pierwszym spotkaniu omówimy: charakter zdarzenia, zdecydujemy o zgłoszeniu lub braku zgłoszenia, przygotujemy działania naprawcze, ustalimy sposób komunikacji z PUODO oraz osobami, których dane dotyczą.
Ile kosztuje zgłoszenie naruszenia RODO?
Koszt zgłoszenia naruszenia ochrony danych osobowych: od 1000 zł netto.
Zgłoszenie naruszenia ochrony danych
Jak wygląda zgłoszenie naruszenia ochrony danych osobowych w praktyce?
Krok 1
Analiza incydentu razem z Tobą (kontakt 1:1)
Zaczynamy od rozmowy 1:1, w której prawnik zbiera od Ciebie kluczowe informacje o zdarzeniu: kiedy i jak je wykryto, jakie systemy/dane są objęte incydentem, kto miał dostęp, jakie działania już podjęto. Ten etap jest po to, żeby szybko uporządkować fakty i od razu wyeliminować typowe błędy (np. błędne procesy, brak dokumentacji, niezgodność z obowiązującymi przepisami).
krok 2
Ocena skali naruszenia i obowiązków prawnych
Na podstawie zebranych informacji prawnik ocenia, czy zdarzenie spełnia definicję naruszenia ochrony danych osobowych (art. 4 pkt 12 RODO) oraz jakie obowiązki powstają po stronie administratora.
W praktyce chodzi o decyzję, czy:a) naruszenie należy zgłosić do PUODO (art. 33 RODO),
b) trzeba zawiadomić osoby, których dane dotyczą (art. 34 RODO),
c) jakie działania organizacyjne i prawne należy wdrożyć „od ręki”,
d) sprawdzamy również wstępnie czy Twoja organizacja wykazuje rozliczalność zgodnie z art. 5 ust. 2 RODO.
krok 3
Przygotowanie zgłoszenia do PUODO
Jeżeli zgłoszenie jest zasadne, prawnik przygotowuje komplet zgłoszeniowy: opis zdarzenia, kategorie danych i osób, możliwe konsekwencje, zastosowane i planowane środki zaradcze oraz dane kontaktowe. Dbamy, aby treść była spójna, rzetelna i odporna na pytania organu, a także żeby nie tworzyła dodatkowych ryzyk prawnych, jesteśmy praktykami wdrożyliśmy RODO do ponad 200 polskich spółek.
krok 4
Poinformowanie osób, których dane dotyczą
Jeżeli incydent może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, powstaje obowiązek zawiadomienia osób (art. 34 RODO). Prawnik przygotowuje treść zawiadomień oraz scenariusz komunikacji: co i jak powiedzieć, aby spełnić wymogi prawa, a jednocześnie nie eskalować ryzyk prawnych i wizerunkowych.
krok 5
Zgłoszenie naruszenia do organu nadzorczego (PUODO) i obsługa formalna
RODO wymaga zgłoszenia do PUODO bez zbędnej zwłoki, a w wielu przypadkach w terminie do 72 godzin od stwierdzenia naruszenia (art. 33 RODO).
W tym etapie:
a) dopinamy formalności,
b) ustalamy, jak liczyć termin w Twojej sytuacji,
c) zapewniamy, że zgłoszenie jest kompletne i spójne z dokumentacją wewnętrzną.
krok 6
Minimalizacja odpowiedzialności i ryzyk prawnych
To nie jest „uniknięcie kary”, tylko zarządzanie ryzykiem i dowodami. Pomagamy tak zaplanować działania następcze, abyś mógł wykazać zasadę rozliczalności (art. 5 ust. 2 RODO), w tym: sensowność decyzji, adekwatność środków i realną reakcję na incydent. To kluczowe zarówno dla PUODO, jak i na wypadek roszczeń cywilnych.
krok 7
Negocjacje z osobami poszkodowanymi oraz działania wizerunkowe
Naruszenie może skutkować skargami, żądaniami, a czasem roszczeniami. Wspieramy Cię w komunikacji i negocjacjach: przygotowuje odpowiedzi, propozycje ugodowe (jeżeli zasadne) i treści oświadczeń. Celem jest ograniczenie eskalacji sporu oraz uporządkowanie komunikacji, żeby nie generować kolejnych ryzyk.
krok 8
Działania prewencyjne po incydencie
Po „ugaszeniu pożaru” wdrażamy zmiany, które realnie zmniejszają ryzyko powtórki: aktualizacja procedur, ról, upoważnień, zasad retencji, backupów, obiegu danych, a także rekomendacje środków organizacyjnych i technicznych (art. 32 RODO). Tłumaczymy to na konkret: co zmienić, w jakiej kolejności i jak to udokumentować.
krok 9
Twój punkt kontaktowy z PUODO po zgłoszeniu
Po zgłoszeniu często pojawiają się pytania organu lub prośby o przedstawienie dokumentacji.
W Ratio-Go:
a) koordynujemy odpowiedzi,
b) pilnujemy terminów,
c) dbamy o spójność stanowiska i argumentacji,
d) współpracujemy z Twoim IT/zarządem/HR.
krok 10
Poufność
Wszystkie informacje przekazane w związku z incydentem traktujemy jako poufne. Jesteśmy zawsze otwarci na podpisanie NDA.
krok 11
Pomoc po naruszeniu: audyt, szkolenia, wsparcie IOD
Jeżeli incydent ujawnił braki systemowe, możemy przejść w tryb „naprawczy”:
a) przeprowadzić audyt zgodności i bezpieczeństwa,
b) wdrożyć lub zaktualizować dokumentację (procedury, rejestry, upoważnienia, polityki),
c) przeszkolić pracowników i kadrę kierowniczą,
d)oraz - jeżeli to dla Ciebie optymalne - zapewnić wsparcie w zakresie zadań IOD (w zależności od modelu współpracy i Twoich potrzeb organizacyjnych).
Doświadczenie z ponad 300 organizacji
Wykorzystujemy praktyczną wiedzę zdobytą w ramach wdrożeń RODO, pełnienia funkcji IOD oraz obsługi naruszeń i audytów w różnych branżach.
Zapewniamy spokój i pewność
Odpowiadamy za prawidłowe funkcjonowanie procesów ochrony danych, odciążając kadrę zarządzającą oraz członków organizacji.
Wsparcie całego zespołu prawników
Masz dostęp nie do jednej osoby, lecz do wiedzy i doświadczenia całego zespołu kancelarii.
Monitorowanie zmian prawa
Na bieżąco śledzimy zmiany regulacyjne i z wyprzedzeniem dostosowujemy dokumentację oraz procesy przetwarzania danych.
Oszczędność czasu i zasobów
Odciążamy Twoją organizację w obszarze RODO, naruszeń i kontaktów z organami nadzorczymi.
Zgodność z obowiązującymi przepisami
Działamy zgodnie z RODO, ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych oraz innymi właściwymi przepisami prawa.
Możliwe konsekwencje naruszenia ochrony danych osobowych
Naruszenie przepisów RODO może prowadzić do równoległych konsekwencji administracyjnych i cywilnoprawnych. Odpowiedzialność administratora danych nie ogranicza się wyłącznie do relacji z organem nadzorczym, lecz może obejmować również roszczenia osób, których dane dotyczą.
Administracyjne kary pieniężne (art. 83 RODO)
Zgodnie z art. 83 RODO, w przypadku najpoważniejszych naruszeń przepisów o ochronie danych osobowych, organ nadzorczy może nałożyć administracyjną karę pieniężną w wysokości:
- do 20 000 000 EUR, albo
- w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – przy czym zastosowanie ma kwota wyższa.
Kary te mogą dotyczyć w szczególności naruszeń:
- podstawowych zasad przetwarzania danych, w tym legalności przetwarzania i warunków zgody (art. 5, 6, 7 oraz 9 RODO),
- praw osób, których dane dotyczą (art. 12–22 RODO),
- zasad przekazywania danych do państw trzecich lub organizacji międzynarodowych (art. 44–49 RODO),
- obowiązków wynikających z przepisów krajowych przyjętych na podstawie rozdziału IX RODO,
- nieprzestrzegania decyzji lub nakazów organu nadzorczego, w tym ograniczenia lub zakazu przetwarzania (art. 58 RODO).
Odpowiedzialność odszkodowawcza (art. 82 RODO)
Niezależnie od sankcji administracyjnych, zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła: szkodę majątkową lub szkodę niemajątkową (np. naruszenie prywatności, stres, utrata kontroli nad danymi), w wyniku naruszenia przepisów RODO, ma prawo dochodzić odszkodowania od administratora danych lub podmiotu przetwarzającego.
W praktyce oznacza to, że jeden incydent może skutkować:
a) postępowaniem przed PUODO,
b) karą administracyjną,
c) oraz roszczeniami cywilnymi ze strony osób, których dane zostały naruszone.
Alarmowe wsparcie prawne w zakresie RODO
Zapewniamy natychmiastowe wsparcie prawnika (we współpracy z zespołem IT, jeżeli sytuacja tego wymaga) w przypadku zdarzeń wymagających pilnej reakcji w szczególności związanych z RODO, bezpieczeństwem danych oraz kontrolami organów.
Oferujemy pomoc w każdej sytuacji, w której masz wątpliwości, czy Twoja organizacja prawidłowo realizuje obowiązki administratora danych, w tym m.in., gdy:
a) doszło do incydentu naruszającego bezpieczeństwo przetwarzania danych osobowych,
b) pojawiła się konieczność pilnej odpowiedzi na zapytanie kluczowego klienta lub kontrahenta,
c) masz niezapowiedziany audyt lub kontrolę,
d) Twoja organizacja padła ofiarą ataku hakerskiego, phishingu lub utraty danych,
e) potrzebujesz szybkiej decyzji, czy zdarzenie podlega zgłoszeniu do PUODO.
Po zgłoszeniu kontaktujesz się bezpośrednio z prawnikiem, który analizuje sytuację, porządkuje fakty i wskazuje dalsze kroki – bez schematów i bez przekierowywania pomiędzy działami.
naruszenie ochrony danych osobowych
Doradztwo prawne przy atakach hakerskich i naruszeniach ochrony danych osobowych
Ataki hakerskie i incydenty związane z bezpieczeństwem danych przestały być zdarzeniami wyjątkowymi. Coraz częściej prowadzą one do naruszenia ochrony danych osobowych, a to z kolei uruchamia konkretne obowiązki prawne po stronie administratora danych.
Jeżeli doszło do incydentu, kluczowe jest szybkie ustalenie, czy spełnia on definicję naruszenia w rozumieniu RODO oraz czy powstaje obowiązek jego zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W wielu przypadkach zaniechanie zgłoszenia lub jego opóźnienie stanowi odrębne naruszenie przepisów.
Nasza kancelaria zapewnia bezpośrednie wsparcie prawnika, który od pierwszego kontaktu pomaga ocenić sytuację, uporządkować fakty i podjąć prawidłowe decyzje – w szczególności w zakresie zgłoszenia naruszenia, informowania osób, których dane dotyczą, oraz dokumentowania podjętych działań.
Atak hakerski to nie tylko problem techniczny. To zdarzenie, które może rodzić odpowiedzialność administracyjną, cywilną i reputacyjną, jeżeli nie zostanie obsłużone zgodnie z wymogami prawa. Dlatego skuteczna reakcja wymaga doświadczenia w prowadzeniu spraw naruszeń ochrony danych oraz znajomości praktyki organu nadzorczego.
Gwarancja obsługi naruszenia RODO przez prawnika
Jasny i zrozumiały język dokumentacji dotyczącej naruszenia RODO
Podejście w przypadku naruszenia RODO dopasowane do branży
FAQ - najczęściej zadawane pytania
Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem:
- zniszczenia,
- utracenia,
- zmodyfikowania,
- nieuprawnionego ujawnienia,
- lub nieuprawnionego dostępu
- do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zakres obowiązków administratora zależy od charakteru i skutków naruszenia. Niezależnie od jego skali, administrator zawsze ma obowiązek:
- udokumentować każde naruszenie ochrony danych,
- opisać okoliczności zdarzenia, jego skutki oraz podjęte działania zaradcze.
- Dokumentacja musi umożliwiać organowi nadzorczemu weryfikację zgodności działań administratora z RODO (zasada rozliczalności).
W zależności od sytuacji mogą pojawić się także dwa dodatkowe obowiązki:
- zgłoszenie naruszenia do organu nadzorczego,
- zawiadomienie osób, których dane dotyczą.
Nie. Zgodnie z art. 33 RODO administrator zgłasza naruszenie do Prezesa Urzędu Ochrony Danych Osobowych tylko wtedy, gdy istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli jest mało prawdopodobne, aby takie ryzyko wystąpiło, zgłoszenie nie jest wymagane – ale decyzja ta musi być udokumentowana.
Naruszenie należy zgłosić bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia. Jeżeli zgłoszenie następuje po tym terminie, administrator musi wyjaśnić przyczyny opóźnienia.
Zgodnie z art. 34 RODO, obowiązek zawiadomienia osób, których dane dotyczą, powstaje wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Nie każde zgłoszenie do PUODO oznacza automatycznie konieczność informowania osób – decyzja ta zależy od oceny poziomu ryzyka.
Administrator ma obowiązek przekazać informacje:
- charakterze naruszenia ochrony danych osobowych,
- danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego,
- możliwych konsekwencjach naruszenia,
- środkach zastosowanych lub planowanych w celu ograniczenia negatywnych skutków.
Komunikat musi być sformułowany jasnym i prostym językiem, tak aby osoba mogła zrozumieć, co się stało i jakie może to mieć dla niej znaczenie.
RODO nie zawiera zamkniętej listy kryteriów oceny ryzyka. W motywie 75 wskazuje jednak przykładowe skutki, takie jak:
- kradzież tożsamości,
- straty finansowe,
- dyskryminacja,
- szkoda majątkowa lub niemajątkowa,
- utrata kontroli nad danymi osobowymi.
W praktyce administratorzy danych posiłkują się:
- decyzjami Prezesa Urzędu Ochrony Danych Osobowych,
- orzecznictwem innych europejskich organów nadzorczych,
- metodykami oceny naruszeń, w szczególności rekomendacjami Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), uznawanymi przez PUODO jako pomocnicze narzędzie przy ocenie wagi naruszeń.
Tak. Pomagamy ocenić, czy w danej sytuacji istnieje obowiązek zgłoszenia naruszenia, a jeżeli tak to przygotowujemy kompletne zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych zgodnie z art. 33 RODO oraz aktualną praktyką organu nadzorczego. Wspieramy również w uporządkowaniu informacji i dokumentacji związanej z incydentem.
Tak. Wspieramy na każdym etapie postępowania lub kontroli prowadzonej przez PUODO od przygotowania wyjaśnień, przez odpowiedzi na wezwania, po bieżącą komunikację z organem nadzorczym, we współpracy z Twoją organizacją.
Tak. Po zakończeniu obsługi incydentu przygotowujemy zalecenia oraz aktualizujemy procedury ochrony danych, tak aby ograniczyć ryzyko podobnych zdarzeń w przyszłości i zapewnić zgodność procesów z przepisami RODO.
Sprawdź, w czym jeszcze możemy Ci pomóc
Wdrożymy RODO do twojej organizacji. Przeprowadzimy audyt, sporządzimy dokumentację oraz przeszkolimy personel.
Wierzymy, że nie można podjąć skutecznego leczenia bez trafnej diagnozy, tak właśnie traktujemy audyt RODO.
Jeśli jakiś przepis RODO wydaje się niejasny lub chciałbyś się upewnić, zapraszamy do kontaktu – pomożemy.
Dokumentacja jest jak garnitur, powinna być szyta na miarę. Przygotujemy dla ciebie dokumentację RODO.
Przejmujemy obowiązki Inspektora Ochrony Danych w Twojej firmie, organie lub podmiocie publicznym.