W jednym zdaniu. Procedura naruszenia ochrony danych to wewnętrzny dokument opisujący, kto, w jakiej kolejności i w jakim czasie reaguje na incydent — od wykrycia, przez ocenę ryzyka, po zgłoszenie do UODO w ciągu 72 godzin (art. 33) i ewentualne zawiadomienie osób (art. 34).
Naruszenie ochrony danych to nie kwestia “czy”, lecz “kiedy” — a 72 godziny z art. 33 RODO biegną od momentu stwierdzenia incydentu, nie od zakończenia śledztwa informatycznego. Kto nie ma gotowej procedury, ten pierwszy dzień traci na ustalanie, kto o czym decyduje. Poniżej znajdziesz gotowy szkielet procedury reagowania, wzór wewnętrznego rejestru naruszeń oraz progi, przy których trzeba zawiadomić UODO i osoby.
Najważniejsze punkty
- Administrator zgłasza naruszenie do UODO w ciągu 72 godzin od stwierdzenia (art. 33 ust. 1).
- Zgłoszenie nie jest wymagane tylko wtedy, gdy naruszenie nie skutkuje ryzykiem dla osób.
- Przy wysokim ryzyku trzeba dodatkowo zawiadomić same osoby (art. 34).
- Każde naruszenie — także niezgłaszane — trafia do wewnętrznego rejestru (art. 33 ust. 5).
- Procesor zgłasza naruszenie administratorowi bez zbędnej zwłoki (art. 33 ust. 2).
- Kara Fortum 4,9 mln zł (UODO 2022) — największa polska kara, dotyczyła naruszenia bezpieczeństwa danych.
Etapy procedury reagowania
Dobra procedura dzieli reakcję na jasne fazy z przypisanymi rolami i terminami. Oto szkielet, który sprawdza się w większości organizacji:
Faza 1 — Wykrycie i zgłoszenie wewnętrzne (godzina 0). Każdy pracownik, który zauważy incydent (zgubiony laptop, phishing, błędny załącznik w mailu, atak), zgłasza go natychmiast do wyznaczonego punktu — inspektora ochrony danych lub koordynatora ds. bezpieczeństwa. Procedura musi wskazywać jeden, znany wszystkim kanał zgłoszeń oraz jasną zasadę, że lepiej zgłosić incydent niepotrzebnie niż go przemilczeć.
Faza 2 — Wstępna ocena i zabezpieczenie (godziny 0–24). Zespół reagowania ustala, czy doszło do naruszenia danych osobowych, jakie kategorie danych i ilu osób dotyczy, oraz podejmuje działania ograniczające skutki (odcięcie dostępu, zmiana haseł, wycofanie wiadomości). Solidność tych działań zależy od wcześniej wdrożonych środków z art. 32 RODO.
Faza 3 — Ocena ryzyka (godziny 24–72). Kluczowy krok: czy naruszenie rodzi ryzyko dla praw i wolności osób? Ocenia się charakter danych (im bardziej wrażliwe, tym wyższe ryzyko), skalę, możliwość identyfikacji i realne konsekwencje (kradzież tożsamości, strata finansowa, ujawnienie danych o zdrowiu).
Faza 4 — Zgłoszenie i zawiadomienie (do 72 godzin i dalej). W zależności od wyniku oceny — zgłoszenie do UODO, zawiadomienie osób lub wyłącznie wpis do rejestru.
Kiedy zgłaszać do UODO, a kiedy zawiadomić osoby
Progi wynikają wprost z RODO i warto mieć je przed oczami:
| Poziom ryzyka | Obowiązek | Podstawa | Termin |
|---|---|---|---|
| Brak ryzyka | tylko wpis do rejestru | art. 33 ust. 5 | na bieżąco |
| Ryzyko dla osób | zgłoszenie do UODO + rejestr | art. 33 ust. 1 | 72 godziny |
| Wysokie ryzyko | UODO + zawiadomienie osób + rejestr | art. 34 | bez zbędnej zwłoki |
Zgłoszenia do UODO dokonuje się przez formularz elektroniczny na stronie urzędu, przez ePUAP lub biznes.gov.pl. Mechanikę samego zgłoszenia i treść formularza omawiam szczegółowo w tekście o zgłoszeniu naruszenia z art. 33. Jeśli w ciągu 72 godzin nie masz kompletu informacji, zgłaszasz to, co wiesz, i uzupełniasz później — spóźnione zgłoszenie jest gorsze niż niekompletne.
Najczęstsze rodzaje naruszeń
Procedura działa lepiej, gdy zespół wie, czego szukać. Naruszenia dzieli się tradycyjnie na trzy typy — i większość rzeczywistych incydentów w polskich firmach mieści się w tej klasyfikacji:
Naruszenie poufności — ujawnienie danych osobom nieuprawnionym. To najczęstszy typ: błędny załącznik wysłany do niewłaściwego odbiorcy, ujawnienie listy adresów w polu “Do” zamiast “UDW”, udany phishing, wyciek bazy. Właśnie tu mieszczą się sprawy Fortum i Morele.
Naruszenie integralności — nieuprawniona zmiana danych, np. modyfikacja rekordów przez atakującego lub błąd migracji, po którym dane przypisano niewłaściwym osobom.
Naruszenie dostępności — trwała utrata dostępu do danych: atak ransomware szyfrujący bazę, awaria bez kopii zapasowej, zgubiony jedyny nośnik. W dobie ransomware ten typ zyskał na znaczeniu i często łączy się z naruszeniem poufności, gdy atakujący najpierw wykrada dane, a potem szyfruje.
Jeden incydent może realizować kilka typów naraz — atak ransomware z eksfiltracją danych to jednocześnie naruszenie poufności i dostępności. Procedura powinna prowadzić do oceny każdego wymiaru osobno, bo od tego zależy poziom ryzyka i zakres obowiązków. Gdy w incydent zaangażowany jest dostawca, kluczowa staje się treść umowy powierzenia przetwarzania, która powinna z góry określać terminy i sposób powiadamiania administratora.
Wzór wewnętrznego rejestru naruszeń
Art. 33 ust. 5 wymaga dokumentowania wszystkich naruszeń — także tych, których nie zgłoszono, bo nie rodziły ryzyka. To rejestr, który UODO sprawdza, by ocenić, czy organizacja poważnie traktuje incydenty. Kolumny wzoru:
- data i godzina stwierdzenia naruszenia,
- opis okoliczności i przyczyny,
- kategorie i przybliżona liczba osób oraz rekordów,
- ocena ryzyka (uzasadnienie),
- decyzja: zgłoszenie do UODO / zawiadomienie osób / tylko rejestr,
- podjęte działania naprawcze,
- osoba odpowiedzialna.
Kolumna “uzasadnienie oceny ryzyka” jest najważniejsza — to ona pokazuje, że decyzja o niezgłaszaniu była przemyślana, a nie wygodna. Brak takiego uzasadnienia bywa interpretowany jako bagatelizowanie naruszeń.
Czego uczą polskie kary
Największą polską karę — 4,9 mln zł — UODO nałożył w 2022 r. na Fortum Marketing and Sales Polska w związku z naruszeniem bezpieczeństwa danych klientów: podmiot przetwarzający utworzył nowe środowisko bazy danych bez odpowiednich zabezpieczeń, a do danych uzyskały dostęp osoby nieuprawnione. Organ ukarał także procesora, co pokazuje, że odpowiedzialność rozkłada się na obie strony relacji powierzenia.
Wcześniej, w 2019 r., UODO nałożył ok. 2,8 mln zł na Morele.net po naruszeniu, które dotknęło ponad dwa miliony osób — zarzutem był niewłaściwy poziom środków bezpieczeństwa (art. 32). Wspólny mianownik obu spraw: kara nie dotyczyła samego faktu włamania, lecz niedostatecznych zabezpieczeń i sposobu reakcji. Naruszenie zdarza się każdemu; karane jest nieprzygotowanie. Organ ocenia, czy administrator wdrożył adekwatne środki przed incydentem oraz czy zareagował prawidłowo po nim — czy ocenił ryzyko, dotrzymał terminu, zawiadomił osoby i wyciągnął wnioski. Firma z gotową procedurą i rzetelnym rejestrem naruszeń jest w tej ocenie w zupełnie innej pozycji niż taka, która incydent odkrywa dopiero z pisma UODO. Pełny katalog sankcji omawiam w przewodniku o karach administracyjnych RODO, a rolę organu — w tekście o UODO.
Utrzymanie rejestru naruszeń i dowodów reakcji w rozproszonych mailach i arkuszach zawodzi w najgorszym momencie — podczas kontroli po incydencie. Platformy takie jak Legiscope prowadzą rejestr naruszeń z ewidencją decyzji, terminów i działań naprawczych w jednym miejscu, co pozwala wykazać, że 72-godzinny reżim został dotrzymany.
FAQ
Od kiedy liczy się 72 godziny na zgłoszenie naruszenia?
Termin biegnie od momentu stwierdzenia naruszenia, czyli uzyskania przez administratora wystarczającej pewności, że doszło do incydentu dotyczącego danych osobowych. Nie od zakończenia analizy technicznej ani od ustalenia wszystkich szczegółów — te można uzupełnić w zgłoszeniu uzupełniającym.
Czy każde naruszenie trzeba zgłaszać do UODO?
Nie. Zgłaszasz tylko naruszenia, które mogą skutkować ryzykiem dla praw i wolności osób. Naruszenia bez ryzyka (np. zaszyfrowany, utracony nośnik bez możliwości odczytu) nie wymagają zgłoszenia — ale i tak trafiają do wewnętrznego rejestru z uzasadnieniem oceny ryzyka.
Kto zgłasza naruszenie, gdy dane przetwarza podmiot zewnętrzny?
Do UODO zgłasza administrator. Procesor, który wykrył naruszenie, ma obowiązek zawiadomić administratora bez zbędnej zwłoki (art. 33 ust. 2), a szczegóły tej współpracy powinna regulować umowa powierzenia. To administrator ocenia ryzyko i decyduje o zgłoszeniu, dlatego umowa powinna zobowiązywać procesora do przekazania wszystkich informacji potrzebnych do tej oceny w ściśle określonym, krótkim terminie — na przykład 24 godzin od wykrycia.
Źródła: Art. 33–34 RODO w EUR-Lex (CELEX 32016R0679) · UODO — zgłaszanie naruszeń · EDPB — wytyczne 9/2022 dot. zgłaszania naruszeń
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial