Jak postępować w przypadku naruszenia ochrony danych osobowych?

cyber

Praktyczny przewodnik według najnowszego poradnika UODO (2025)

Naruszenia ochrony danych osobowych to jedno z najpoważniejszych zagrożeń dla każdej organizacji przetwarzającej dane – bez względu na jej wielkość, profil działalności czy poziom zaawansowania technologicznego. Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych oznacza incydent prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, ujawnienia lub dostępu do danych osobowych.

W kwietniu 2025 roku Prezes Urzędu Ochrony Danych Osobowych opublikował zaktualizowany poradnik dotyczący naruszeń. Na jego podstawie przygotowaliśmy praktyczny przewodnik dla administratorów danych, inspektorów ochrony danych oraz podmiotów przetwarzających.

Stwierdzenie naruszenia – co to oznacza?

Pierwszym krokiem jest rozpoznanie sytuacji, w której wystąpił incydent naruszający bezpieczeństwo danych osobowych. Mówimy o tzw. stwierdzeniu naruszenia, czyli momencie, w którym administrator zdobywa wystarczającą wiedzę, by potwierdzić, że dane zdarzenie spełnia kryteria określone w RODO.

Wykrycie naruszenia może nastąpić na podstawie:

  • zgłoszenia przez pracownika lub dostawcę usług,
  • automatycznego alertu systemu monitorującego,
  • informacji przekazanej przez osobę, której dane dotyczą,
  • audytu wewnętrznego lub zewnętrznego.

Ocena ryzyka – krok decydujący

Po stwierdzeniu incydentu należy dokonać oceny ryzyka naruszenia praw lub wolności osób fizycznych. Ocena ta powinna być przeprowadzona indywidualnie dla każdego przypadku i uwzględniać:

  • rodzaj naruszenia (poufność, integralność, dostępność),
  • zakres i rodzaj danych (np. dane wrażliwe, dane finansowe),
  • skalę zdarzenia,
  • możliwość identyfikacji osób, których dane dotyczą.

W zależności od wyniku tej oceny mogą wystąpić dwa scenariusze:

  • ryzyko występuje – należy zgłosić naruszenie do UODO,
  • ryzyko jest wysokie – należy dodatkowo zawiadomić osoby, których dane dotyczą.

Zarządzanie incydentem – działania naprawcze

Niezwłocznie po wykryciu incydentu należy podjąć działania zmierzające do:

  • ograniczenia jego skutków,
  • zabezpieczenia danych przed dalszym naruszeniem,
  • wyeliminowania przyczyny zdarzenia,
  • wprowadzenia środków zapobiegawczych.

Warto jednocześnie dokonać przeglądu aktualnych środków technicznych i organizacyjnych oraz – w razie potrzeby – zaktualizować analizę ryzyka.

Obowiązek dokumentowania

Każde naruszenie – niezależnie od jego skali i konsekwencji – powinno być dokładnie udokumentowane. Dokumentacja ta musi zawierać:

  • opis zdarzenia,
  • datę i czas jego wykrycia i stwierdzenia,
  • podjęte działania zaradcze,
  • ocenę ryzyka i uzasadnienie decyzji o zgłoszeniu lub braku zgłoszenia do UODO,
  • działania podjęte w celu zapobieżenia podobnym zdarzeniom w przyszłości.

Dokumentacja ta stanowi podstawę realizacji zasady rozliczalności (art. 5 ust. 2 RODO) i może być przedmiotem kontroli ze strony organu nadzorczego.

Zgłoszenie naruszenia do UODO

Jeżeli w wyniku oceny ryzyka stwierdzono, że istnieje prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek zgłoszenia naruszenia do Prezesa UODO w ciągu 72 godzin od jego stwierdzenia.

Zgłoszenia należy dokonać za pomocą elektronicznego formularza dostępnego na stronie:
https://uodo.gov.pl/pl/138/3621

Obowiązek zawiadomienia osób, których dane dotyczą

Jeśli ocena ryzyka wskazuje na wysokie ryzyko dla osób fizycznych, należy ich niezwłocznie poinformować o naruszeniu. Komunikat powinien:

  • być zrozumiały i przejrzysty,
  • zawierać opis incydentu, jego skutków i działań naprawczych,
  • wskazywać osobę kontaktową (np. IOD),
  • umożliwiać podjęcie działań ograniczających ryzyko przez osobę, której dane dotyczą.

Zapobieganie naruszeniom

Zgodnie z zasadą proaktywności, administratorzy i podmioty przetwarzające zobowiązani są do:

  • zapewnienia odpowiednich środków technicznych i organizacyjnych,
  • przeglądu polityk i procedur ochrony danych,
  • prowadzenia regularnych szkoleń dla personelu,
  • oceny skutków dla ochrony danych (DPIA) w przypadku wysokiego ryzyka.

Transgraniczne naruszenia danych

Jeśli naruszenie dotyczy danych osób z więcej niż jednego państwa członkowskiego UE, uznawane jest za transgraniczne. Wówczas należy dodatkowo:

  • zidentyfikować właściwy organ wiodący,
  • wdrożyć mechanizmy współpracy między organami nadzorczymi,
  • postępować zgodnie z procedurą określoną w art. 60 RODO.

Podsumowanie

Skuteczne zarządzanie naruszeniami ochrony danych osobowych to obowiązek prawny i element odpowiedzialnego zarządzania organizacją. Kluczowe znaczenie ma:

  • szybka i prawidłowa reakcja,
  • właściwa ocena ryzyka,
  • przejrzyste procedury i dokumentacja,
  • gotowość do współpracy z organem nadzorczym.

Zachęcamy do zapoznania się z najnowszymi wytycznymi Prezesa UODO oraz do bieżącej aktualizacji procedur związanych z bezpieczeństwem danych.

Źródło:

Poradnik Prezesa UODO: „Naruszenia ochrony danych osobowych”, 08.04.2025, dostęp: https://uodo.gov.pl/pl/138/3561

Przeczytaj także:
Ochrona danych osobowych

SZABLON - Marta Ozga
Marta Ozga
prawnik, LL.M, specjalista w zakresie ochrony danych osobowych, właścicielka firm doradczych wspierających przedsiębiorców m.in. w kompleksowym wdrażaniu RODO, standardów bezpieczeństwa informacji na bazie norm ISO, członkini Wielkopolskiego Klubu Kapitału oraz mentor w programie Early Warning Europe.
Najnowsze posty
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty