Skip to content

Naruszenie ochrony danych — pomoc prawna i zgłoszenie do UODO

Masz 72 godziny.

Naruszenie ochrony danych osobowych zgłasza się Prezesowi UODO bez zbędnej zwłoki — w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (art. 33 RODO). Termin biegnie także w weekend i święta.

📞 +48 692 004 515 — zadzwoń. Ustalimy, co zrobić w pierwszej kolejności.

Co jest naruszeniem ochrony danych

Naruszeniem jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W praktyce to m.in.:

  • e-mail z danymi wysłany do niewłaściwego adresata — najczęstsze naruszenie zgłaszane w Polsce,
  • zgubiony lub skradziony laptop, telefon albo nośnik danych,
  • atak ransomware lub inne złośliwe oprogramowanie szyfrujące bądź wykradające dane,
  • wyciek danych z systemu — na skutek błędu konfiguracji, podatności lub działania osoby nieuprawnionej,
  • nieuprawniony dostęp pracownika do danych, których nie potrzebuje do swoich zadań,
  • dokumenty papierowe wyrzucone lub przekazane bez zniszczenia,
  • udostępnienie danych osobie podszywającej się pod osobę uprawnioną (phishing, oszustwo „na pracownika banku”).

Nie każde naruszenie podlega zgłoszeniu — ale każde wymaga udokumentowanej oceny. Błędna decyzja w obie strony jest kosztowna: niezgłoszenie naruszenia podlegającego zgłoszeniu grozi karą, a zgłaszanie wszystkiego „na wszelki wypadek” ściąga uwagę organu bez potrzeby.

Co robimy, gdy do nas zadzwonisz

1. Ustalamy stan faktyczny. Co się stało, jakie dane, ilu osób dotyczy, czy incydent trwa. Pomagamy zatrzymać skutki, jeśli to jeszcze możliwe (odcięcie dostępu, wycofanie wiadomości, zabezpieczenie śladów).

2. Kwalifikujemy zdarzenie. Oceniamy, czy doszło do naruszenia w rozumieniu RODO i czy powoduje ono ryzyko dla praw lub wolności osób fizycznych — bo od tego zależy obowiązek zgłoszenia.

3. Decyzja o zgłoszeniu do UODO. Jeżeli ryzyko istnieje — przygotowujemy i składamy zgłoszenie do Prezesa UODO w terminie. Jeżeli nie — przygotowujemy udokumentowane uzasadnienie odstąpienia od zgłoszenia, które trafia do rejestru naruszeń. To uzasadnienie jest równie ważne jak samo zgłoszenie: organ ma prawo o nie zapytać.

4. Decyzja o zawiadomieniu osób. Przy wysokim ryzyku dla praw i wolności osób administrator ma obowiązek zawiadomić także osoby, których dane dotyczą (art. 34 RODO). Przygotowujemy treść zawiadomienia — poprawną prawnie i nieeskalującą niepotrzebnie sytuacji.

5. Dokumentujemy naruszenie w rejestrze naruszeń (art. 33 ust. 5 RODO) — wraz z okolicznościami, skutkami i podjętymi działaniami zaradczymi.

6. Działania naprawcze. Rekomendujemy zmiany, które ograniczą ryzyko powtórki — proceduralne i organizacyjne. W razie potrzeby przechodzimy do audytu obszaru, w którym doszło do incydentu.

Kontrola Prezesa UODO — jak się przygotować

Kontrola może być następstwem zgłoszonego naruszenia, skargi osoby fizycznej albo planu kontroli sektorowych. Wspieramy organizację na każdym etapie:

  • przed kontrolą — przegląd dokumentacji i procesów pod kątem przedmiotu kontroli, przygotowanie zespołu, ustalenie zasad komunikacji z kontrolującymi,
  • w trakcie kontroli — udział w czynnościach, nadzór nad zakresem udostępnianych informacji, dbałość o prawidłowość protokołu,
  • po kontroli — zastrzeżenia do protokołu, realizacja zaleceń, przygotowanie do ewentualnego postępowania administracyjnego.

Najczęstsze pytania

Czy każde naruszenie trzeba zgłaszać do UODO?

Nie. Zgłoszeniu podlega naruszenie, które powoduje ryzyko dla praw lub wolności osób fizycznych. Jeżeli ryzyko jest mało prawdopodobne — zgłoszenie nie jest wymagane, ale ocena musi być udokumentowana, a naruszenie odnotowane w rejestrze.

Minęły już 72 godziny. Co teraz?

Zgłosić naruszenie mimo to — wraz z wyjaśnieniem przyczyn opóźnienia, co wprost przewiduje art. 33 ust. 1 RODO. Spóźnione zgłoszenie jest znacznie lepsze niż jego brak, który organ może potraktować jako samodzielne naruszenie obowiązków.

Czy zgłoszenie naruszenia oznacza automatycznie karę?

Nie. Zdecydowana większość zgłoszeń kończy się bez kary — organ ocenia charakter naruszenia, reakcję administratora i wdrożone zabezpieczenia. Prawidłowa, terminowa reakcja działa na korzyść administratora (art. 83 ust. 2 RODO).

Czy musimy informować osoby, których dane wyciekły?

Tylko przy wysokim ryzyku dla ich praw lub wolności (art. 34 RODO) — np. gdy wyciekły dane umożliwiające kradzież tożsamości albo dane szczególnych kategorii. Ocena „wysokiego ryzyka” bywa najtrudniejszym elementem całej procedury i warto jej nie robić w pojedynkę.

Pracownik zgubił służbowego laptopa. Czy to już naruszenie?

To zależy m.in. od tego, czy dysk był zaszyfrowany i jakie dane się na nim znajdowały. Utrata zaszyfrowanego nośnika z silnym zabezpieczeniem może nie wymagać zgłoszenia — niezaszyfrowanego prawie na pewno wymaga. Każdy przypadek oceniamy indywidualnie.

Pamiętaj, incydent nie poczeka do poniedziałku.

Zapewniamy

prawnik Warszawa

Przejrzystość informacji

– jasne i zrozumiałe wyjaśnienie sytuacji prawnej, opcji działania oraz potencjalnych konsekwencji
prawnik pozwolenie na budowę

Skuteczność działania

– przygotowanie solidnej strategii prawnej, mającej na celu osiągnięcie najlepszych wyników dla klienta
prawnik nieruchomości

Empatyczne podejście

– pomaga klientowi czuć się zrozumianym i wspieranym w trudnych sytuacjach prawnych