Naruszenie ochrony danych osobowych – kiedy zgłosić i co zrobić

Naruszenie ochrony danych osobowych to zdarzenie, na które żadna organizacja nie jest w pełni przygotowana — choć każda powinna być. Czy chodzi o e-mail wysłany do niewłaściwego odbiorcy, zagubiony nieszyfrowany pendrive czy atak ransomware — administrator ma co do zasady 72 godziny na podjęcie decyzji o zgłoszeniu naruszenia do UODO. W lutym 2025 roku Urząd Ochrony Danych Osobowych opublikował zaktualizowany poradnik dotyczący naruszeń, kładący szczególny nacisk na obowiązek udokumentowanej analizy ryzyka przy każdym incydencie — nawet gdy jego skutki wydają się minimalne.

Czym jest naruszenie ochrony danych osobowych

Art. 4 pkt 12 RODO definiuje naruszenie ochrony danych osobowych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Definicja obejmuje trzy rodzaje naruszeń:

Naruszenie poufności — dane zostają ujawnione lub udostępnione osobie nieuprawnionej. Przykłady: wysłanie bazy klientów do niewłaściwego adresata, udostępnienie akt osobowych nieuprawionemu pracownikowi, wyciek danych przez błąd konfiguracji systemu.

Naruszenie integralności — dane zostają zmodyfikowane w sposób nieautoryzowany. Przykład: zmiana danych w systemie przez nieuprawnioną osobę, ingerencja w dokumentację medyczną.

Naruszenie dostępności — dane zostają trwale utracone lub zniszczone, albo dostęp do nich zostaje zablokowany. Przykłady: ransomware szyfrujący dane bez możliwości odzyskania, przypadkowe skasowanie bazy danych bez kopii zapasowej.

Ważna zasada: naruszenie poufności nie musi wiązać się z utratą danych — samo nieuprawnione ujawnienie jest naruszeniem, nawet jeśli dane nie zostały skopiowane ani wykorzystane przez osobę trzecią.

Kiedy zgłosić naruszenie do UODO — zasada 72 godzin

Art. 33 ust. 1 RODO nakłada na administratora obowiązek zgłoszenia naruszenia do organu nadzorczego bez zbędnej zwłoki — w miarę możliwości nie później niż w terminie 72 godzin po jego stwierdzeniu. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych.

Wyjątek od obowiązku zgłoszenia: naruszenia nie zgłasza się, gdy jest mało prawdopodobne, by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przykłady: pendrive z zaszyfrowanymi danymi, który zaginął — dane są niedostępne dla osoby nieuprawnionej; pracownik przez pomyłkę wyniósł teczkę z dokumentami, od razu się zorientował i ją zwrócił.

Kiedy zaczyna biec termin 72 godzin? Termin biegnie od momentu stwierdzenia naruszenia — nie od momentu jego wystąpienia. Zgodnie z poradnikiem UODO z 2025 roku administrator stwierdza naruszenie w chwili gdy uzyska wystarczającą pewność, że doszło do incydentu bezpieczeństwa. Krótkie wstępne postępowanie wyjaśniające jest dopuszczalne — musi być jednak prowadzone niezwłocznie, bez odwlekania.

Zgłoszenie wstępne: jeżeli w ciągu 72 godzin administrator nie dysponuje wszystkimi wymaganymi informacjami — może i powinien złożyć zgłoszenie wstępne z informacjami które posiada, a następnie uzupełnić je zgłoszeniem uzupełniającym. Formularz UODO przewiduje taką możliwość. Niedokonanie zgłoszenia w terminie z powodu braku pełnych danych nie jest uzasadnieniem.

Zgłoszenia dokonuje się elektronicznie przez platformę biznes.gov.pl — wymagany jest podpis kwalifikowany lub Profil Zaufany.

Kiedy zawiadomić osoby, których dane dotyczą

Obowiązek zawiadomienia osób fizycznych jest surowszy niż obowiązek zgłoszenia do UODO — art. 34 RODO wymaga zawiadomienia gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności.

Zawiadomienie nie jest wymagane gdy administrator wdrożył odpowiednie techniczne środki ochrony i zastosował je do naruszonych danych (np. dane były zaszyfrowane), gdy podjął działania eliminujące prawdopodobieństwo wysokiego ryzyka, lub gdy zawiadomienie wymagałoby nieproporcjonalnie dużego wysiłku — wówczas wystarczy publiczne ogłoszenie.

Zawiadomienie powinno opisywać charakter naruszenia, wskazywać dane kontaktowe IOD lub innego punktu kontaktowego, opisywać możliwe konsekwencje i środki podjęte przez administratora.

Co musi zawierać zgłoszenie do UODO

Art. 33 ust. 3 RODO precyzuje minimalny zakres zgłoszenia. Musi ono opisywać charakter naruszenia wraz z kategoriami i przybliżoną liczbą dotkniętych osób i wpisów danych, zawierać dane kontaktowe IOD lub innego punktu kontaktowego, opisywać możliwe konsekwencje naruszenia oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu i zminimalizowania jego skutków.

Obowiązek prowadzenia rejestru naruszeń

Niezależnie od tego czy naruszenie wymaga zgłoszenia do UODO — administrator ma obowiązek dokumentowania wszystkich naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO). Rejestr naruszeń powinien zawierać informacje o okolicznościach naruszenia, jego skutkach i podjętych działaniach naprawczych.

Zaktualizowany poradnik UODO z 2025 roku kładzie szczególny nacisk na dokumentowanie analizy ryzyka przy każdym incydencie — nawet gdy w jej wyniku administrator dochodzi do wniosku, że zgłoszenie do UODO nie jest konieczne. Brak tej dokumentacji, a nie sam fakt niezgłoszenia, może być podstawą do nałożenia kary podczas kontroli.

Rejestr naruszeń jest weryfikowany podczas kontroli UODO. Brak rejestru lub prowadzenie go w sposób niepełny jest samodzielnym naruszeniem zasady rozliczalności.

Rola podmiotu przetwarzającego

Jeżeli do naruszenia doszło u podmiotu przetwarzającego (procesora) — ma on obowiązek zgłoszenia naruszenia administratorowi bez zbędnej zwłoki (art. 33 ust. 2 RODO). To administrator — nie procesor — ocenia czy naruszenie wymaga zgłoszenia do UODO i zawiadomienia osób fizycznych. Obowiązek procesora jest bezwzględny i nie obejmuje analizy ryzyka.

Umowy powierzenia przetwarzania powinny precyzować: kanał zgłaszania naruszeń przez procesora, maksymalny czas reakcji oraz zakres informacji przekazywanych administratorowi. Brak takich zapisów utrudnia dochowanie terminu 72 godzin.

Najczęstsze błędy

Zbyt późne stwierdzenie naruszenia. Administrator który przez kilka dni „sprawdzał” czy naprawdę doszło do naruszenia — przekracza termin 72 godzin. Postępowanie wyjaśniające musi być krótkie i prowadzone równolegle z przygotowaniem zgłoszenia.

Brak rejestru naruszeń. Organizacje które nie dokumentują incydentów — nawet tych które nie wymagają zgłoszenia — naruszają zasadę rozliczalności.

Brak analizy ryzyka dla drobnych incydentów. Poradnik UODO z 2025 roku wymaga analizy ryzyka przy każdym incydencie. Automatyczne zakwalifikowanie zdarzenia jako „niewymagającego zgłoszenia” bez dokumentacji jest błędem.

Brak procedury reagowania. Organizacja która reaguje ad hoc — bez zdefiniowanego procesu eskalacji, przypisanej odpowiedzialności i gotowego formularza — traci cenny czas z 72-godzinnego okna.

Niezabezpieczenie umów z procesorami. Umowy powierzenia przetwarzania bez precyzyjnych postanowień o zgłaszaniu naruszeń powodują, że administrator dowiaduje się o incydencie za późno.

Jak iGDPR wspiera zarządzanie naruszeniami

Moduł Ryzyko w iGDPR zawiera rejestr naruszeń umożliwiający katalogowanie wszystkich incydentów z zachowaniem pełnej dokumentacji. System przeprowadza użytkownika krok po kroku przez wypełnienie formularza zgłoszenia naruszenia — opartego na dokumentach UODO — zbierając wszystkie wymagane informacje: czas naruszenia, okoliczności, skalę, kategorie danych, konsekwencje i środki zaradcze. Rejestr naruszeń w iGDPR umożliwia odnotowanie daty i godziny stwierdzenia naruszenia — co jest kluczowe dla wykazania dotrzymania terminu 72 godzin podczas kontroli UODO.

Podsumowanie

Naruszenie ochrony danych osobowych wymaga szybkiej i udokumentowanej reakcji. Kluczowe zasady: termin 72 godzin biegnie od stwierdzenia — nie od wystąpienia naruszenia; brak pełnych informacji nie zwalnia z obowiązku zgłoszenia wstępnego; każdy incydent wymaga udokumentowanej analizy ryzyka; rejestr naruszeń jest obowiązkowy niezależnie od obowiązku zgłoszenia; procesor musi bez zbędnej zwłoki poinformować administratora.

FAQ

Czy każde naruszenie trzeba zgłaszać do UODO? Nie — zgłoszenie jest wymagane tylko gdy naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Jednak każdy incydent musi być udokumentowany w rejestrze naruszeń wraz z analizą ryzyka uzasadniającą decyzję o niezgłoszeniu.

Jak liczyć 72 godziny? Od momentu stwierdzenia naruszenia — czyli od chwili gdy administrator uzyskał wystarczającą pewność, że doszło do incydentu bezpieczeństwa. Krótkie postępowanie wyjaśniające jest dopuszczalne, ale musi być prowadzone niezwłocznie.

Co zrobić jeśli w 72 godzinach nie mamy wszystkich informacji? Złożyć zgłoszenie wstępne z posiadanymi informacjami, a następnie uzupełnić je zgłoszeniem uzupełniającym. Formularz UODO na biznes.gov.pl przewiduje taką możliwość.

Czy procesor musi zgłaszać naruszenie bezpośrednio do UODO? Nie — procesor zgłasza naruszenie administratorowi bez zbędnej zwłoki. To administrator decyduje o zgłoszeniu do UODO.

Jak długo przechowywać dokumentację naruszeń? RODO nie wskazuje konkretnego okresu — dokumentacja powinna być przechowywana przez czas wystarczający do wykazania rozliczalności, w praktyce co najmniej przez okres możliwej kontroli UODO.

html