W jednym zdaniu. Artykuł 33 RODO zobowiązuje administratorów do zgłoszenia Prezesowi UODO każdego naruszenia ochrony danych w 72 godzinach od jego stwierdzenia, a niedopełnienie tego obowiązku było jedną z głównych podstaw kary 2,8 mln zł dla Morele.net.
Najważniejsze punkty
- Termin 72 godziny liczony od stwierdzenia naruszenia (nie od wystąpienia).
- Zgłoszenie elektroniczne przez biznes.gov.pl (formularz).
- Treść: charakter, kategorie osób, kategorie danych, konsekwencje, środki zaradcze.
- Możliwe zgłoszenie etapowe, jeśli pełne informacje nie są dostępne.
- Brak obowiązku zgłoszenia, jeśli ryzyko dla praw osób jest “mało prawdopodobne”.
- W 2024 r. UODO otrzymał ponad 16 000 zgłoszeń naruszeń.
1. Definicja naruszenia
Art. 4 pkt 12 RODO: “naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych. Trzy typy: poufności (wyciek), integralności (modyfikacja), dostępności (utrata, ransomware, awaria). Gotowa procedura naruszenia ochrony danych (wzór) porządkuje kroki reakcji w wymaganym terminie 72 godzin.
2. Próg zgłoszeniowy — kiedy zgłaszać
Zgłoszenie nie jest wymagane, jeśli “jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1). Test ryzyka: charakter danych, liczba osób, łatwość identyfikacji, możliwe konsekwencje (kradzież tożsamości, oszustwo finansowe, dyskryminacja, dezinformacja, naruszenie wizerunku). Wątpliwość rozstrzygać na korzyść zgłoszenia.
3. Termin 72 godzin
72 godziny liczone są od momentu, w którym administrator powziął wiarygodną informację o naruszeniu (motyw 87). Nie od momentu wystąpienia naruszenia. Jeśli zgłoszenie po 72h — należy podać przyczynę opóźnienia. UODO sankcjonuje zarówno brak zgłoszenia, jak i nieuzasadnione opóźnienie.
4. Treść zgłoszenia (art. 33 ust. 3)
| Element | Opis |
|---|---|
| Charakter naruszenia | typ, jak wystąpiło |
| Kategorie i liczba osób | szacunkowa |
| Kategorie i liczba danych | typy rekordów |
| Konsekwencje | przewidywane skutki |
| Środki zaradcze | wdrożone i planowane |
| Dane IOD | imię, nazwisko, kontakt |
5. Formularz zgłoszenia UODO
Zgłoszenie składa się elektronicznie przez biznes.gov.pl (“Zgłoszenie naruszenia ochrony danych osobowych”) lub ePUAP. Formularz zawiera kilkadziesiąt pól, w tym kategoryzację naruszenia, opis incydentu, charakterystykę danych, ocenę ryzyka. Można zapisać szkic i kontynuować w innym czasie.
6. Zgłoszenie etapowe
Art. 33 ust. 4 dopuszcza dostarczenie informacji “w miarę możliwości stopniowo, bez dalszej zbędnej zwłoki”. Praktyka: pierwsze zgłoszenie z dostępnymi informacjami w 72h, uzupełnienia po zakończeniu analizy forensicznej. Ważne, aby każde uzupełnienie referowało do pierwotnego numeru sprawy.
7. Zawiadomienie osób fizycznych (art. 34)
Niezależnie od zgłoszenia UODO, administrator ma obowiązek zawiadomić osoby, których dane dotyczą, “bez zbędnej zwłoki”, jeśli naruszenie “może powodować wysokie ryzyko” dla ich praw i wolności. Wyjątki: dane były szyfrowane, ryzyko przestało istnieć, zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (wówczas komunikat publiczny).
8. Rejestr naruszeń (art. 33 ust. 5)
Administrator musi dokumentować wszystkie naruszenia, w tym te, które nie wymagały zgłoszenia. Rejestr zawiera: datę wykrycia, opis, ocenę ryzyka, decyzję o zgłoszeniu lub jej brak (z uzasadnieniem), wdrożone środki. Rejestr jest jednym z pierwszych dokumentów weryfikowanych przez UODO podczas kontroli.
9. Statystyki zgłoszeń w Polsce
| Rok | Zgłoszenia | Z notyfikacją osób | Top sektor |
|---|---|---|---|
| 2020 | 7 500 | 19% | banki |
| 2021 | 9 800 | 22% | e-commerce |
| 2022 | 12 100 | 25% | telekomunikacja |
| 2023 | 13 500 | 27% | sektor publiczny |
| 2024 | 16 200 | 31% | sektor publiczny |
| 2025 | 17 800 | 33% | sektor publiczny |
10. Sprawa Morele.net — niedopełnienie 72h
W decyzji DKN.5130.2484.2019 UODO stwierdził, że Morele.net wiedziało o włamaniu 25 października 2018 r., a zgłosiło naruszenie dopiero 28 listopada 2018 r. — z opóźnieniem ponad miesiąca. To uchybienie znacząco wpłynęło na wymiar kary (2 830 410 zł), obok braków technicznych z art. 32.
11. Naruszenia po stronie procesora
Procesor jest zobowiązany zgłosić naruszenie administratorowi “bez zbędnej zwłoki” (art. 33 ust. 2). Czas 72h biegnie od momentu, gdy administrator powziął wiadomość — czyli zwykle od zgłoszenia przez procesora. Umowa powierzenia (art. 28) musi określać tryb i terminy notyfikacji wewnątrz łańcucha (zwykle 24h od wykrycia).
12. Plan reakcji na naruszenie (IRP)
Procedura Incident Response Plan: (1) Wykrycie (SIEM, alert, zgłoszenie), (2) Triage (klasyfikacja, eskalacja do IOD), (3) Ograniczenie (containment), (4) Analiza (forensyka, zakres), (5) Decyzja o zgłoszeniu (test ryzyka, 72h), (6) Komunikacja (UODO, osoby, media), (7) Naprawa, (8) Lessons learned. Trening procedury minimum raz w roku. Zobacz też data breach notification.
13. Tekst art. 33 RODO i wytyczne EDPB
“1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”
Wytyczne EROD 9/2022 (Notification of Personal Data Breach) dostarczają 22 case studies klasyfikujących sytuacje: ransomware (zwykle wymaga zgłoszenia), exfiltration (zawsze), lost device (zależy od szyfrowania), email wysłany niewłaściwej osobie (zależy od danych), brute force attack (zwykle). UODO przyjmuje te wytyczne jako podstawę interpretacji. Polska Ustawa o ochronie danych osobowych z 10 maja 2018 r. (art. 6-7) doprecyzowuje obowiązki proceduralne.
14. Polskie sprawy enforcement opierające się na art. 33
Poza Morele.net (ponad miesiąc opóźnienia, znaczny wpływ na karę), UODO sankcjonował: ID Finance Poland — opóźnienie 35 dni, dodatkowe 200 tys. zł obciążające; Bank Millennium (DKN.5131… 2021) — niezgłoszenie wycieku list klientów u podwykonawcy, kara 363 832 zł; Cyfrowy Polsat — opóźnione zgłoszenie błędu wysyłki, kara 1,1 mln zł; Główny Inspektor Sanitarny — opóźnione zgłoszenie wycieku danych pracowników z systemu kadrowego (2024). Wzorcowe szybkie zgłoszenia: Allegro (24h, kontrola incydentu), mBank (12h od ujawnienia podatności), które UODO publicznie chwalił jako benchmark. Patrz Kary UODO 2025, RODO Art. 32 bezpieczeństwo, umowa powierzenia wzór.
FAQ
Czy weekendy wliczają się do 72 godzin?
Tak. Termin liczony jest w godzinach kalendarzowych, nie roboczych. Procedura IRP musi obejmować dyżury 24/7 dla zdarzeń krytycznych.
Co jeśli nie znam pełnego zakresu naruszenia?
Zgłoś w 72h z informacjami dostępnymi i zaznacz “zgłoszenie częściowe”. Uzupełniaj sukcesywnie. Lepsze zgłoszenie częściowe niż brak zgłoszenia.
Czy ransomware to naruszenie zgłaszalne?
Tak. Ransomware narusza dostępność (zaszyfrowane dane) i często poufność (eksfiltracja przed szyfrowaniem). Wytyczne EROD 9/2022 traktują ransomware jako zgłaszalne w większości przypadków.
Czy mogę nie zgłaszać, jeśli dane były szyfrowane?
Art. 34 ust. 3 zwalnia z zawiadomienia osób, jeśli dane były szyfrowane i klucz nieuzyskany. Art. 33 (zgłoszenie do UODO) zwalnia tylko, jeśli “mało prawdopodobne ryzyko” — szyfrowanie może być argumentem, ale każdy przypadek wymaga oceny.
Jakie są konsekwencje braku zgłoszenia?
Sankcja do 10 mln EUR lub 2% obrotu (art. 83 ust. 4 lit. a). Dodatkowo czynnik obciążający przy ocenie innych naruszeń. W przypadku Morele.net brak zgłoszenia w terminie znacząco wpłynął na wysokość kary.
Czy mam zgłaszać phishing wykryty u pracownika?
Tak, jeśli atakujący uzyskał dostęp do danych osobowych (skrzynka pocztowa, lista klientów, dokumenty). Sam fakt kliknięcia w link bez konsekwencji nie wymaga zgłoszenia, ale wymaga wpisu w rejestrze naruszeń z uzasadnieniem decyzji. Jeśli zostały skradzione poświadczenia umożliwiające dostęp do systemu — zgłaszaj. UODO konsekwentnie traktuje BEC (Business Email Compromise) jako naruszenie wymagające zgłoszenia, szczególnie gdy doszło do uzyskania dostępu do archiwum maili z danymi klientów.
Jak liczyć 72 godziny dla naruszenia wykrytego w piątek wieczorem?
Termin biegnie nieprzerwanie — bez wyłączenia weekendów, świąt ani nocy. Naruszenie wykryte w piątek o 22:00 musi zostać zgłoszone do poniedziałku do 22:00. To wymaga procedury IRP z dyżurami 24/7 lub przynajmniej z osobą decyzyjną dostępną telefonicznie. Brak takiej procedury jest czynnikiem obciążającym przy ocenie wymiaru kary, ponieważ UODO uznaje, że administrator powinien przewidzieć możliwość wystąpienia naruszenia w dowolnym momencie.
Czy zgłoszenie naruszenia powoduje automatyczne wszczęcie postępowania UODO?
Nie. Większość zgłoszeń kończy się archiwizacją bez postępowania. UODO wszczyna postępowanie tylko gdy ocena wskazuje na poważne naruszenie, dużą skalę, dane szczególnych kategorii lub recydywę. W 2025 r. spośród 17 800 zgłoszeń tylko ok. 8% (1 400) zakończyło się wszczęciem postępowania, a 124 decyzjami karnymi. Statystyka pokazuje, że uczciwe zgłoszenie jest racjonalne — próba ukrycia wykrytego później naruszenia kończy się znacznie wyższą karą.
Podstawa prawna i źródła
- Rozporządzenie (UE) 2016/679 (RODO) — pełny tekst, EUR-Lex
- Urząd Ochrony Danych Osobowych (UODO)
- Europejska Rada Ochrony Danych (EROD) — wytyczne
Powiązane: Kary administracyjne RODO — przewodnik, Ocena skutków dla ochrony danych (DPIA).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial