Jak zgłosić naruszenie ochrony danych osobowych w firmie?

Ochrona danych osobowych to jeden z najważniejszych obowiązków każdego administratora, niezależnie od tego, czy mówimy o dużym przedsiębiorstwie, czy małej firmie. Naruszenie zasad przetwarzania danych może skutkować poważnymi konsekwencjami – od utraty zaufania klientów po wysokie kary finansowe nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Kluczowym elementem systemu bezpieczeństwa jest szybkie i prawidłowe reagowanie na incydenty.

Czym jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych ma miejsce wtedy, gdy dane przetwarzane w organizacji zostają ujawnione osobom nieuprawnionym, utracone, zmienione w sposób nieautoryzowany albo gdy nastąpi ich zniszczenie. Może to być efekt błędu ludzkiego, awarii systemu, ataku hakerskiego czy też nieprzestrzegania procedur bezpieczeństwa.

Najczęstsze przykłady naruszeń:

• naruszenie poufności – np. wysłanie e-maila z bazą klientów do niewłaściwego adresata,
• naruszenie integralności – celowe lub przypadkowe zmodyfikowanie danych, np. zmiana nazwisk w systemie,
• naruszenie dostępności – utrata danych na skutek kradzieży lub zagubienia nośnika, np. niezabezpieczonego pendrive’a.

Kto odpowiada za zgłoszenie incydentu?

Obowiązek zgłoszenia naruszenia spoczywa na administratorze danych osobowych – czyli podmiocie decydującym o celach i sposobach przetwarzania danych. Może to być przedsiębiorca, instytucja publiczna czy organizacja pozarządowa. Administrator może jednak działać przez wyznaczonego pełnomocnika, który w jego imieniu przygotuje i złoży stosowne zawiadomienie.

W praktyce odpowiedzialność za rozpoznanie incydentu i przygotowanie dokumentacji najczęściej przypada inspektorowi ochrony danych (IOD) lub działowi prawnemu firmy.

Kiedy należy zgłosić naruszenie?

Zgłoszenie do Prezesa UODO jest obowiązkowe, jeśli naruszenie może prowadzić do ryzyka naruszenia praw lub wolności osób fizycznych – np. kradzieży tożsamości, strat finansowych czy dyskryminacji.

Nie każde zdarzenie musi zostać zgłoszone. Jeśli administrator stwierdzi, że ryzyko jest znikome, np. utracony nośnik był zaszyfrowany silnym algorytmem i nie istnieje realna możliwość odczytu danych, nie ma konieczności informowania urzędu.

Termin na zgłoszenie – 72 godziny

Zgodnie z przepisami RODO administrator ma 72 godziny od momentu wykrycia incydentu na przekazanie informacji do UODO. Przekroczenie tego terminu wymaga szczegółowego wyjaśnienia przyczyn opóźnienia. Co istotne, zgłoszenie można składać etapami – jeśli w ciągu pierwszych godzin nie uda się zebrać wszystkich niezbędnych danych, do urzędu trafia zgłoszenie wstępne, a w miarę pozyskiwania informacji można je uzupełniać.

Jak zgłosić naruszenie krok po kroku?

• analiza zdarzenia - w pierwszej kolejności należy ustalić, co dokładnie się wydarzyło, jakie dane zostały naruszone, ilu osób dotyczy incydent i jakie mogą być konsekwencje dla ich praw i wolności,
• decyzja o obowiązku zgłoszenia - jeżeli analiza ryzyka wykaże, że incydent nie rodzi poważnego zagrożenia, można ograniczyć się do wewnętrznej dokumentacji; w innym przypadku konieczne jest formalne zgłoszenie,
• przygotowanie zawiadomienia do UODO - zgłoszenie można przesłać elektronicznie podpisując je kwalifikowanym podpisem elektronicznym lub za pomocą Profilu Zaufanego; formularz jest dostępny na stronie UODO i obejmuje m.in.:
  • opis naruszenia,
  • wskazanie jego przyczyn,
  • kategorie danych, których dotyczy,
  • szacunkową liczbę osób, których dane zostały naruszone,
  • opis zastosowanych lub planowanych środków naprawczych.
• wybór rodzaju zgłoszenia:
  • jednorazowe – gdy dysponuje się pełną wiedzą o incydencie,
  • wstępne – gdy wymagany termin mija, a dane są jeszcze niepełne,
  • uzupełniające – gdy administrator uzyskał dodatkowe informacje lub musi sprostować wcześniejsze zgłoszenie.
• powiadomienie osób, których dane naruszono - jeżeli istnieje wysokie ryzyko negatywnych skutków dla osób fizycznych, administrator ma obowiązek poinformować je bezpośrednio, gdy skala incydentu jest duża, dopuszczalne jest zastosowanie komunikatu publicznego – np. na stronie internetowej firmy.

Środki zaradcze po zgłoszeniu

Złożenie zawiadomienia to dopiero początek działań. Konieczne jest wdrożenie rozwiązań, które zmniejszą prawdopodobieństwo podobnych incydentów w przyszłości; do takich działań zalicza się m.in.:

• dodatkowe szkolenia pracowników z zakresu bezpieczeństwa danych,
• stosowanie szyfrowania nośników i komunikacji,
• ograniczanie dostępu do danych według zasady „need to know”,
• weryfikację systemów IT pod kątem luk bezpieczeństwa.

Opłaty i formalności dodatkowe

Samo zgłoszenie naruszenia danych osobowych jest bezpłatne. Opłata (17 zł) pojawia się jedynie wtedy, gdy administrator decyduje się działać przez pełnomocnika. Z obowiązku zapłaty zwolnione są jednak osoby najbliższe (np. małżonek, dzieci, rodzice).

Dlaczego prawidłowe zgłoszenie jest tak ważne?

Naruszenie ochrony danych osobowych, o którym administrator nie poinformował UODO, może skutkować dotkliwymi konsekwencjami finansowymi – kary administracyjne sięgają nawet 20 milionów euro lub 4% rocznego obrotu przedsiębiorstwa.

Jednak sankcje finansowe to nie wszystko. Brak transparentności wobec organu nadzorczego i samych klientów powoduje utratę reputacji, a ta bywa trudniejsza do odbudowania niż zapłata kary.

Podsumowanie

Każdy incydent związany z danymi osobowymi powinien zostać dokładnie przeanalizowany i odpowiednio udokumentowany. Jeżeli istnieje choćby potencjalne ryzyko naruszenia praw i wolności osób, należy niezwłocznie zgłosić naruszenie do Prezesa UODO – w terminie 72 godzin. Zgłoszenie może być wstępne i uzupełniane w późniejszym czasie.

Prawidłowa reakcja na naruszenie nie tylko ogranicza ryzyko sankcji prawnych, ale również buduje zaufanie klientów i kontrahentów. Odpowiedzialne podejście do ochrony danych to inwestycja w wiarygodność i stabilność całej organizacji.

Data publikacji: 2025-10-07, autor: FakturaXL