Kontakt
Menu
Kontakt
Menu
STRONA GŁÓWNA / Incydent danych osobowych – jak go rozpoznać i zgłosić zgodnie z RODO

Incydent danych osobowych – jak go rozpoznać i zgłosić zgodnie z RODO

Dane osobowe

Nie każdy błąd czy awaria to katastrofa, ale każdy incydent z danymi osobowymi wymaga właściwej reakcji. Kluczem nie jest panika, lecz opanowana, proceduralna reakcja. RODO definiuje naruszenie ochrony danych osobowych jako sytuację prowadzącą do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych. W tym artykule znajdziesz klarowną procedurę postępowania krok po kroku, która pomoże Ci podjąć właściwe decyzje, spełnić obowiązki prawne i zabezpieczyć interesy zarówno firmy, jak i osób, których dane dotyczą.

Co to jest naruszenie ochrony danych osobowych? Definicja i 3 rodzaje

Aby prawidłowo zareagować, trzeba najpierw rozpoznać incydent. Naruszenie może dotyczyć którejkolwiek z trzech podstawowych zasad bezpieczeństwa informacji:

  1. Naruszenie poufności (wyciek danych): Nieuprawnione ujawnienie danych osobom lub podmiotom trzecim. To najczęstszy typ.
    • Przykłady: Wysłanie maila z załącznikiem zawierającym dane osobowe do niewłaściwego adresata (błąd w polu „Do:” lub użycie „DW” zamiast „UDW”), kradzież niezaszyfrowanego laptopa, zhakowanie bazy danych klientów.
  2. Naruszenie dostępności: Tymczasowa lub trwała utrata dostępu do danych.
    • Przykłady: Atak ransomware szyfrujący pliki, fizyczne zniszczenie serwera (np. w pożarze), przypadkowe usunięcie bazy danych bez posiadania kopii zapasowej.
  3. Naruszenie integralności: Nieautoryzowana lub przypadkowa zmiana danych.
    • Przykłady: Celowe wprowadzenie błędów do rejestru pacjentów przez niezadowolonego pracownika, uszkodzenie plików danych przez złośliwe oprogramowanie.

Czy to już naruszenie? Przykłady z życia

Warto uczyć się na cudzych błędach. Głośne przypadki pokazują różne scenariusze:

  • Naruszenie danych osobowych SGGW: Kradzież laptopa pracownika, zawierającego dane tysięcy osób. Kluczowy błąd: brak skutecznego szyfrowania dysku, co znacząco podniosło ryzyko i skalę incydentu.
  • Fortum – naruszenie danych osobowych: Atak hakerski na system IT, w wyniku którego doszło do nieuprawnionego dostępu. Podkreśla potrzebę inwestycji w cyberbezpieczeństwo i ciągłe monitorowanie systemów.
  • Naruszenie danych osobowych Agata Meble: Luka w sklepie internetowym umożliwiła dostęp do danych klientów. Wskazuje na konieczność regularnych testów bezpieczeństwa aplikacji.

Codzienne przykłady z biura: wysłanie faktury z danymi klienta do niewłaściwego odbiorcy (błąd w adresie e-mail), zgubienie pendrive’a z nie zaszyfrowanymi raportami kadrowymi, pozostawienie wydrukowanej listy pacjentów w miejscu publicznym.

Krok 1: Ocena ryzyka naruszenia danych osobowych – kluczowa decyzja: zgłaszać czy nie?

Nie każde naruszenie musi być zgłaszane do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Obowiązek ten powstaje tylko wtedy, gdy incydent prawdopodobnie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 RODO). Ocena jest obowiązkowa w ciągu pierwszych godzin od wykrycia incydentu.

Poniższa tabela pomoże w podjęciu tej kluczowej decyzji.

Czynnik wskazujący na NISKIE RYZYKO (zgłoszenie może nie być wymagane)Czynniki wskazujący na WYSOKIE RYZYKO (zgłoszenie OBOWIĄZKOWE)
Dane zostały trwale zaszyfrowane nowoczesnym standardem, a klucz nie wyciekł (np. zgubiony zaszyfrowany laptop).Dotyczą szczególnych kategorii danych (dane zdrowotne, biometryczne, wyznanie, przekonania).
Dostęp do danych został szybko odzyskany, zanim ktokolwiek je wykorzystał (np. szybkie odzyskanie skradzionego, ale niezalogowanego telefonu służbowego).Dotyczą danych umożliwiających kradzież tożsamości lub popełnienie oszustwa (PESEL, seria i nr dowodu, dane finansowe).
Incydent dotyczył ograniczonej liczby osób i danych o małej wrażliwości (np. wyciek samej listy imion).Incydent dotyczy dużej liczby osób (np. całej bazy klientów).
Szybko podjęto działania, które skutecznie zniwelowały zagrożenie (np. natychmiastowe cofnięcie błędnie udzielonego dostępu).Istnieje realna możliwość szkody materialnej lub niematerialnej (dyskryminacja, utrata reputacji, prześladowanie).

Nawet jeśli ostatecznie uznasz, że ryzyko jest niskie i nie zgłaszasz incydentu do UODO, musisz go odnotować w obowiązkowym wewnętrznym rejestrze naruszeń.

Zobacz więcej:  Jak przeprowadzić analizę ryzyka w zgodzie z RODO, aby uniknąć błędów i kar?

Krok 2: Zgłoszenie naruszenia danych osobowych do UODO – zasada 72 godzin

Jeżeli ocena wykaże istotne ryzyko, czas zaczyna biec. Masz obowiązek zgłosić naruszenie do właściwego organu nadzorczego – w Polsce jest to Prezes UODO – bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od momentu powzięcia wiadomości o naruszeniu.

  • Od kiedy liczymy 72 godziny? Od chwili, gdy administrator (Ty, Twoja firma) dowiedział się, że doszło do naruszenia. Nie od chwili, gdy naruszenie faktycznie wystąpiło. Jeśli atak hakerski trwał miesiąc, a wykryto go dziś, termin liczy się od dziś.
  • Co, jeśli nie znamy wszystkich szczegółów? Zgłoszenie może być dokonane etapami. W pierwszej kolejności zgłoś fakt, opisując znane okoliczności. Szczegóły (liczbę poszkodowanych, dokładne kategorie danych) możesz przekazać później.
  • Jak i gdzie zgłosić? Zgłoszenia dokonuje się elektronicznie przez platformę ePUAP lub Biznes.gov.pl, korzystając z dedykowanego formularza, który wymaga podpisu kwalifikowanego, profilu zaufanego lub podpisu osobistego.
  • Co musi zawierać zgłoszenie? M.in.: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób i rekordów danych, prawdopodobne konsekwencje, środki zaradcze lub proponowane środki.

Krok 3: Zawiadomienie osoby o naruszeniu jej danych osobowych

Oprócz organu, często trzeba poinformować samych poszkodowanych. Obowiązek ten powstaje, gdy naruszenie prawdopodobnie powoduje wysokie ryzyko dla praw lub wolności osób fizycznych.

  • Komunikacja musi być jasna i przejrzysta: Opisz naturę naruszenia, podaj dane kontaktowe IOD lub innego punktu kontaktowego, opisz prawdopodobne konsekwencje i przedstaw środki, które podjąłeś lub proponujesz.
  • Cel: Dać osobie szansę na ochronę siebie (np. zmianę haseł, czujność na phishing, zastrzeżenie dokumentów). W przygotowaniu odpowiednich komunikatów i ocenie wagi incydentu ogromnym wsparciem jest profesjonalny outsourcing IOD, który zdejmuje z zarządu ciężar interpretacji zawiłych przepisów w sytuacjach stresowych.
Zobacz więcej:  Anonimizacja dokumentów i danych - kiedy jest wymagana?

Krok 4: Rejestr naruszeń ochrony danych osobowych – Twój dowód działania

Każde naruszenie, nawet nieraportowane do UODO, musi być odnotowane w wewnętrznym rejestrze. To kluczowy dowód na przestrzeganie zasady rozliczalności (accountability). Jego brak podczas kontroli to prosta droga do nałożenia kary.

Rejestr powinien zawierać m.in.:

  • Datę i godzinę wykrycia naruszenia.
  • Opis zdarzenia (charakter naruszenia, kategorie danych i osób).
  • Skutki naruszenia.
  • Podjęte lub planowane działania zaradcze.
  • Informację, czy naruszenie zgłoszono do UODO i/lub osobom, których dane dotyczą.
  • Osobę odpowiedzialną za sprawę w firmie.

Konsekwencje i kary za naruszenie RODO

Naruszenie może prowadzić do konsekwencji na trzech płaszczyznach:

  1. Administracyjne:
    Prezes UODO może nałożyć kary pieniężne sięgające do 20 mln euro lub 4% całkowitego rocznego światowego obrotu (za poważniejsze naruszenia, jak brak wdrożenia odpowiednich środków bezpieczeństwa).
  2. Cywilne:
    Osoba, której dane naruszono, może dochodzić odszkodowania za poniesioną szkodę materialną lub niematerialną (np. stres, naruszenie dobrego imienia, realne szkody wynikłe z ujawnienia jej danych). Pozwy zbiorowe w takich sprawach stają się standardem po każdym większym wycieku danych na rynku.
  3. Pracownicze:
    Odpowiedzialność pracownika za naruszenie jest regulowana przez Kodeks pracy. Pracodawca (firma) odpowiada przed UODO, ale może pociągnąć pracownika do odpowiedzialności porządkowej (nagana, upomnienie) lub materialnej (odpowiedzialność do wysokości 3-miesięcznego wynagrodzenia, a w przypadku umyślnego działania – do pełnej wysokości szkody). W skrajnych przypadkach (art. 107 ustawy o ochronie danych) możliwa jest także odpowiedzialność karna.

Procedura postępowania – checklista krok po kroku

Dla pracownika, który wykrył incydent:

  1. Zatrzymaj działanie, jeśli to możliwe (np. przerwij błędnie uruchomiony proces).
  2. Zabezpiecz dowody (zrób zrzut ekranu, zachowaj logi, nie kasuj żadnych plików ani wiadomości).
  3. Natychmiast powiadom przełożonego, dział IT i/lub Inspektora Ochrony Danych (IOD). Komu dokładnie należy zgłosić naruszenie ochrony danych osobowych w jednostce? – Odpowiedź na to pytanie powinna być jasno określona w wewnętrznej procedurze firmy.

Dla administratora (firmy):

  1. Powołaj zespół kryzysowy (zarząd, dział IT, Inspektor Ochrony Danych, PR, prawnik).
  2. Przeprowadź ocenę ryzyka (patrz: Krok 1 w artykule).
  3. Podejmij działania naprawcze (odizoluj zagrożony system, zmień hasła dostępu, odtwórz dane z kopii zapasowej).
  4. Zgłoś naruszenie do Prezesa UODO w ciągu 72 godzin, jeśli ocena wykaże wysokie ryzyko.
  5. Powiadom osoby, których dane dotyczą, jeśli istnieje taka konieczność (wysokie ryzyko dla ich praw i wolności).
  6. Wpisz incydent do wewnętrznego rejestru naruszeń ochrony danych osobowych.
  7. Przeprowadź analizę przyczyn incydentu i wdróż środki zapobiegawcze na przyszłość, aby podobna sytuacja się nie powtórzyła.
Zobacz więcej:  KSEF - zagrożenia, wątpliwości, a także odpowiedzialność po stronie przedsiębiorcy

FAQ – o co pytają najczęściej klienci w temacie incydentu danych osobowych?

Jak odróżnić „zwykły błąd” od „naruszenia”, które trzeba zgłosić?

Odpowiedź: Kluczowa jest ocena ryzyka. Nie każdy błąd (np. literówka w mailu) to naruszenie RODO. Naruszeniem, które może wymagać zgłoszenia, jest zdarzenie prowadzące do nieuprawnionego dostępu, utraty lub zniszczenia danych, które z dużym prawdopodobieństwem może narazić osoby na szkodę (np. kradzież tożsamości, dyskryminacja, straty finansowe). Przykład: wysłanie skanu dowodu konkretnej osoby do obcej firmy to wysokie ryzyko. Omyłkowe wysłanie pustego maila do listy adresowej – ryzyko zazwyczaj niskie.

Czy za naruszenie danych odpowiada pracownik, czy firma? I jakie mogą być konsekwencje dla pracownika?

Odpowiedź: Przed organem nadzorczym (UODO) odpowiada firma (administrator danych). To ona może otrzymać wysoką karę finansową. Firma może następnie, w oparciu o Kodeks pracy, pociągnąć pracownika do odpowiedzialności dyscyplinarnej lub materialnej. 

Co, jeśli nie znam wszystkich szczegółów naruszenia w ciągu 72 godzin? Czy muszę czekać?

Odpowiedź: Absolutnie nie należy czekać. Zgłoszenie do UODO można (i często trzeba) dokonać etapami. W pierwszych 72 godzinach zgłoś to, co już wiesz: fakt naruszenia, przybliżony zakres, podejmowane działania. W zgłoszeniu możesz zaznaczyć, że trwa wyjaśnianie sytuacji i uzupełnisz informacje. Brak zgłoszenia w terminie z powodu oczekiwania na pełny obraz jest samo w sobie naruszeniem przepisów RODO.

Kiedy muszę powiadomić samych poszkodowanych klientów/pracowników?

Odpowiedź: Obowiązek bezpośredniego powiadomienia osób których dane wyciekły/zostały ujawnione powstaje, gdy naruszenie prawdopodobnie powoduje wysokie ryzyko dla ich praw lub wolności (np. wyciek danych finansowych, medycznych, haseł). Celem jest umożliwienie im podjęcia środków ostrożności (zmiana haseł, czujność na phishing). Jeśli dane były skutecznie zaszyfrowane lub podjęte działania wyeliminowały to wysokie ryzyko, bezpośrednie powiadomienie może nie być konieczne – każdorazowo wymaga to analizy stanu faktycznego.

Czy atak ransomware (blokada dostępu do danych) to naruszenie, które trzeba zgłosić?

Odpowiedź: Tak, bardzo często tak. Atak ransomware to klasyczne naruszenie dostępności danych, a często także ich poufności (gdy przestępcy je wykradli przed zaszyfrowaniem). Stanowi bardzo wysokie ryzyko dla praw osób, ponieważ paraliżuje działanie i może prowadzić do ujawnienia danych. Taki incydent zdecydowanie wymaga oceny pod kątem obowiązku zgłoszenia do UODO w ciągu 72 godzin.

Gdzie w firmie powinien znajdować się rejestr naruszeń i kto ma do niego dostęp?

Odpowiedź: Rejestr naruszeń jest dokumentem wewnętrznym administratora danych. Powinien być przechowywany w sposób zapewniający poufność i dostępność dla wąskiego grona upoważnionych osób (np. Inspektor Ochrony Danych, osoba odpowiedzialna za bezpieczeństwo IT, kierownik). Podczas kontroli UODO ma prawo żądać jego okazania jako dowodu realizacji obowiązku rozliczalności.

Podsumowanie

Naruszenie ochrony danych osobowych to przede wszystkim test na dojrzałość operacyjną i wizerunkową firmy. Skuteczna, spokojna i zgodna z prawem reakcja może znacząco ograniczyć zarówno straty prawne, jak i reputacyjne. Najsłabszym ogniwem w bezpieczeństwie często jest człowiek, dlatego regularne szkolenia pracowników i przećwiczenie procedur „na sucho” to najlepsza inwestycja.

Nie czekaj na incydent. Przeprowadź audyt swoich procedur reagowania lub zorganizuj szkolenie praktyczne dla pracowników, aby wiedzieli, jak postąpić w kryzysowej sytuacji. Zabezpiecz się dziś, aby uniknąć kosztownych konsekwencji jutro.

Spis treści

Spis treści
Artykuły w tym temacie:

Inne artykuły w tym temacie

4 min
Audyty RODO: co sprawdza prawnik, a co powinien wiedzieć przedsiębiorca?
Czy Twoja firma naprawdę działa zgodnie z RODO, czy tylko tak Ci się wydaje? Audyt to nie tylko kontrola dokumentów, ale przede wszystkim analiza realnych praktyk. W tym artykule wyjaśniam, jak wygląda audyt z perspektywy prawnika i na co powinien być przygotowany przedsiębiorca — zanim pojawi się UODO.

Czytaj wpis
Jeśli skorzystasz z opcji umówienia konsultacji, będę przetwarzać Twoje dane w celu organizacji spotkania i ewentualnie dalszej korespodencji. Więcej informacji znajdziesz w  Polityce prywatności.
Spotkajmy się

Umów bezpłatną konsultację

Nie wiesz, czy potrzebujesz audytu, dokumentacji, a może po prostu jednej opinii? Nie musisz wybierać usługi na początku — najpierw porozmawiajmy.

Skorzystaj z 30-minutowej, niezobowiązującej bezpłatnej konsultacji. Omówimy Twoją sytuację i podpowiem, jakie działania mają sens w Twoim przypadku — czy chodzi o RODO, e-commerce, bezpieczeństwo danych, czy coś zupełnie innego.

Wybierz dogodny termin w kalendarzu obok — resztą zajmę się ja.

Logotyp Orlicki
Al. Stanów Zjednoczonych 20/89
03-964 Warszawa
NIP: 799 ​​197​34​​ 91
Numer wpisu: WAW/ADW/11630
+48 790 703 900 kontakt@adwokat-orlicki.pl
Umów bezpłatną konsultację
Linkedin

O mnie

RODO

E-commerce

Bezpieczeństwo informacji

Prawna obsługa biznesu

Baza wiedzy

Kontakt

Polityka prywatności

© 2025 Adwokat Orlicki

|

Polityka prywatności

Projekt i wdrożenie: korg.software
Zamknięcie
Kontakt
Facebook
Instagram
Linkedin