Naruszenie danych osobowych to jeden z najpoważniejszych incydentów, z jakimi mierzą się dziś organizacje. Art. 33 RODO nakłada na administratorów obowiązek zgłoszenia naruszenia organowi nadzorczemu — w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych — w terminie 72 godzin od jego stwierdzenia. Przekroczenie tego okna czasowego grozi karą administracyjną sięgającą 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. W 2026 roku, po niemal ośmiu latach stosowania RODO, praktyka organów nadzorczych i sądów administracyjnych dostarcza już bogatego materiału interpretacyjnego. Poniższy poradnik prowadzi krok po kroku przez procedurę zgłoszenia — od definicji naruszenia, przez kwalifikację ryzyka, aż po dokumentację i relację z procesorem.
Czym jest naruszenie w rozumieniu art. 33 RODO
Zgodnie z art. 4 pkt 12 RODO naruszeniem ochrony danych osobowych jest każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja obejmuje trzy zasadnicze kategorie: naruszenie poufności, naruszenie integralności oraz naruszenie dostępności.
W orzecznictwie Prezesa UODO z lat 2024–2025 wykształciło się kilka kluczowych testów. Po pierwsze, naruszenie nie musi wynikać z działania osoby trzeciej — wysłanie wiadomości e-mail z załącznikiem zawierającym dane osobowe do niewłaściwego adresata również stanowi incydent podlegający analizie. Po drugie, zgubienie niezaszyfrowanego nośnika danych traktowane jest jako naruszenie dostępności i poufności jednocześnie. Po trzecie, atak ransomware kwalifikowany jest podwójnie: jako naruszenie dostępności (zaszyfrowanie danych) oraz — jeżeli istnieją przesłanki eksfiltracji — jako naruszenie poufności.
Nowelizacja wytycznych Europejskiej Rady Ochrony Danych (EROD) z lutego 2026 roku doprecyzowała dodatkowo status incydentów łańcuchowych — czyli sytuacji, w których jedno zdarzenie inicjuje serię kolejnych. EROD zaleciła wówczas traktowanie całego ciągu jako jednego zgłoszenia, o ile wszystkie zdarzenia mają wspólne źródło, a czas między pierwszym a ostatnim nie przekracza 12 godzin.
Termin 72 godzin — kiedy startuje zegar
Artykuł 33 ust. 1 RODO stanowi, że administrator zgłasza naruszenie „bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Kluczowe jest tu pojęcie stwierdzenia, a nie wystąpienia naruszenia. Stwierdzenie następuje w chwili, gdy administrator uzyska wystarczający stopień pewności, że doszło do incydentu — nie musi znać pełnego zakresu ani liczby osób, których dane dotyczą.
W praktyce rok 2025 przyniósł kilka istotnych decyzji administracyjnych precyzujących ten moment. W decyzji Prezesa UODO z 12 marca 2025 roku (ZSPR.440.12.2025) uznano, że sygnał od klienta wskazujący na możliwość wycieku danych uruchamia obowiązek weryfikacji, ale sam w sobie nie jest jeszcze stwierdzeniem. Natomiast zakończenie wewnętrznej analizy przez zespół bezpieczeństwa i potwierdzenie incydentu — nawet jeśli analiza trwała 4 godziny — wyznacza początek biegu 72-godzinnego terminu.
Warto podkreślić, że godziny liczone są kalendarzowo, nie roboczo. Weekendy i święta nie wstrzymują biegu terminu. Dlatego każda organizacja powinna dysponować procedurą eskalacji dostępną 24/7. Z danych UODO za 2025 rok wynika, że spośród 14 832 zgłoszeń naruszeń aż 17% wpłynęło po przekroczeniu terminu, co w 82 przypadkach skutkowało wszczęciem postępowania wyjaśniającego.
Zgłoszenie etapowe — kiedy nie masz wszystkich informacji
Praktyka pokazuje, że zebranie kompletu informacji wymaganych przez art. 33 ust. 3 RODO w ciągu 72 godzin bywa niemożliwe. Ustawodawca przewidział to wprost: „jeżeli informacji nie można udostępnić w tym samym czasie, można je udostępniać sukcesywnie, bez zbędnej zwłoki”. Mechanizm ten, zwany zgłoszeniem etapowym lub progresywnym, pozwala na złożenie niepełnego zgłoszenia w terminie, a następnie uzupełnianie go w miarę postępu dochodzenia.
Minimalna zawartość zgłoszenia wstępnego powinna obejmować: opis charakteru naruszenia, przybliżoną liczbę osób, których dane dotyczą, przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, dane kontaktowe inspektora ochrony danych (IOD) lub innego punktu kontaktowego, oraz opis możliwych konsekwencji. Nie ma obowiązku podawania precyzyjnych liczb — wystarczą szacunki opatrzone odpowiednim zastrzeżeniem. W formularzu elektronicznym UODO dostępnym na platformie ePUAP od listopada 2025 roku administrator oznacza zgłoszenie jako „wstępne” jednym kliknięciem, a system automatycznie przypomina o obowiązku uzupełnienia po 14 dniach.
Kiedy zawiadomić osoby, których dane dotyczą
Obowiązek zawiadomienia osób, których dane dotyczą, reguluje art. 34 RODO — jest on ściśle powiązany z art. 33, ale dotyczy relacji administrator–podmiot danych, a nie administrator–organ nadzorczy. Zawiadomienie jest wymagane, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Próg ten jest znacząco wyższy niż dla zgłoszenia do UODO, które następuje zawsze, chyba że ryzyko jest mało prawdopodobne.
Decyzja UODO z sierpnia 2025 roku (ZSPR.421.67.2025) dostarcza praktycznej ilustracji. W sprawie wycieku adresów e-mail i numerów telefonów 12 000 klientów sklepu internetowego organ uznał, że administrator słusznie zawiadomił podmioty danych, ponieważ połączenie tych dwóch kategorii danych stwarza realne ryzyko ataków phishingowych i kradzieży tożsamości. Z drugiej strony, w sprawie przypadkowego ujawnienia wyłącznie imion i nazwisk w zawiadomieniu wysłanym do 8 odbiorców, uznano, że ryzyko jest niskie i zawiadomienie nie było wymagane.
Zawiadomienie musi być sformułowane jasnym i prostym językiem. Powinno zawierać: opis charakteru naruszenia, dane kontaktowe IOD, opis możliwych konsekwencji oraz opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu i zminimalizowania jego skutków. Nie ma jednego określonego ustawowo kanału komunikacji — może to być e-mail, SMS, wiadomość w aplikacji, a w przypadku braku danych kontaktowych — komunikat publiczny.
Relacja administrator–procesor — obowiązki i dokumentacja
Artykuł 33 ust. 2 RODO nakłada na procesora obowiązek powiadomienia administratora o naruszeniu „bez zbędnej zwłoki”. Umowa powierzenia przetwarzania powinna precyzować maksymalny czas na takie powiadomienie — w praktyce rynkowej standardem stało się okno 24–48 godzin od stwierdzenia naruszenia przez procesora. Procesor co do zasady nie zgłasza naruszenia bezpośrednio do organu nadzorczego — czyni to administrator — chyba że umowa wyraźnie stanowi inaczej.
Niezwykle istotny jest zakres informacji przekazywanych przez procesora administratorowi. Powinien on umożliwić administratorowi samodzielną ocenę ryzyka i dopełnienie obowiązku zgłoszeniowego. Minimalny zakres obejmuje: datę i godzinę stwierdzenia naruszenia, okoliczności, kategorię i przybliżoną liczbę osób, których dane dotyczą, przybliżoną liczbę wpisów, opis technicznych środków zastosowanych w celu ograniczenia skutków, oraz wstępną ocenę ryzyka.
W orzecznictwie z 2025 roku wyłonił się nowy wątek odpowiedzialności solidarnościowej. W decyzji Prezesa UODO dotyczącej platformy SaaS przetwarzającej dane medyczne (ZSPR.440.89.2025) stwierdzono, że procesor, który opóźnił powiadomienie administratora o 5 dni roboczych, ponosi współodpowiedzialność za przekroczenie terminu zgłoszenia, co skutkowało odrębną karą w wysokości 180 000 zł. Decyzja ta podkreśla, że procesor nie może traktować terminu „bez zbędnej zwłoki” jako swobodnego.
Dokumentacja naruszeń — rejestr i jego znaczenie dowodowe
Artykuł 33 ust. 5 RODO zobowiązuje administratora do dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań naprawczych. Dokumentacja ta pełni podwójną funkcję: zarządczą (umożliwia wyciąganie wniosków i doskonalenie środków bezpieczeństwa) oraz dowodową (stanowi materiał dla organu nadzorczego w razie kontroli).
Od stycznia 2026 roku obowiązuje nowy, rozszerzony formularz rejestru naruszeń rekomendowany przez UODO. Obejmuje on — poza dotychczasowymi polami — sekcję dotyczącą analizy przyczyn źródłowych (root cause analysis) oraz ocenę skuteczności wdrożonych środków naprawczych mierzoną po 30 dniach od zamknięcia incydentu. Organ nadzorczy oczekuje, że rejestr będzie prowadzony w formie umożliwiającej szybkie wyszukiwanie i filtrowanie według kategorii naruszeń, daty oraz poziomu ryzyka.
Warto pamiętać, że rejestr naruszeń jest odrębny od rejestru czynności przetwarzania, choć oba dokumenty powinny być ze sobą spójne w zakresie kategorii danych i odbiorców. W przypadku kontroli UODO brak rejestru naruszeń lub jego niekompletność traktowane są jako naruszenie art. 33 ust. 5 RODO — samodzielna podstawa do nałożenia kary administracyjnej, niezależnie od oceny samego incydentu.
Jak zbudować procedurę reagowania na naruszenia w organizacji
Skuteczna procedura zarządzania naruszeniami (tzw. data breach response plan) to fundament zgodności z art. 33 RODO. Powinna być dokumentem żywym — testowanym, aktualizowanym i znanym wszystkim członkom zespołu reagowania. Na podstawie analizy decyzji UODO oraz wytycznych EROD można zrekonstruować minimalny zakres takiej procedury w 2026 roku.
Procedura powinna rozpoczynać się od jednoznacznego zdefiniowania kanałów zgłaszania podejrzeń naruszeń wewnątrz organizacji. Każdy pracownik musi wiedzieć, do kogo i w jaki sposób zgłasza incydent — niezależnie od pory dnia. Drugim elementem jest skład zespołu reagowania: minimum IOD, przedstawiciel działu IT, przedstawiciel działu prawnego oraz osoba upoważniona do kontaktów z mediami. Trzecim — lista kontrolna (checklista) pierwszych działań: odizolowanie dotkniętych systemów, zabezpieczenie logów, wstrzymanie dalszego wycieku danych, aktywacja kopii zapasowych.
Kolejny komponent to macierz eskalacji. Nie każde naruszenie wymaga pełnej mobilizacji — procedura powinna definiować poziomy incydentów (np. krytyczny, wysoki, średni, niski) wraz z odpowiadającymi im ścieżkami decyzyjnymi. Na poziomie krytycznym decyzję o zgłoszeniu do UODO podejmuje zarząd w konsultacji z IOD; na poziomach niższych wystarcza decyzja IOD. Wreszcie, procedura musi wskazywać szablony zgłoszeń do UODO, zawiadomień dla podmiotów danych oraz komunikacji z procesorami — gotowe do szybkiego wypełnienia.
Testowanie procedury w formie symulacji incydentów (tzw. tabletop exercises) co najmniej raz na pół roku to standard rekomendowany przez EROD od 2025 roku. Organy nadzorcze w trakcie kontroli coraz częściej pytają o wyniki takich testów i wdrożone na ich podstawie poprawki.
Kary i odpowiedzialność — co grozi za naruszenie obowiązków
Sankcje za naruszenie art. 33 RODO należą do kategorii kar administracyjnych nakładanych na podstawie art. 83 ust. 4 RODO. Górny pułap to 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu — w zależności od tego, która wartość jest wyższa. W polskiej praktyce decyzyjnej lat 2024–2025 ukształtował się jednak znacznie bardziej zniuansowany obraz.
Przegląd 47 decyzji UODO dotyczących naruszenia obowiązku zgłoszeniowego pokazuje, że wysokość kar wahała się od upomnienia (art. 58 ust. 2 lit. b RODO) do 850 000 zł. Najczęściej wymierzaną sankcją za samo przekroczenie terminu — bez innych naruszeń — było upomnienie połączone z nakazem wdrożenia odpowiednich procedur (art. 58 ust. 2 lit. d RODO). Kary finansowe powyżej 200 000 zł dotyczyły przypadków, w których opóźnione zgłoszenie współwystępowało z brakiem odpowiednich środków technicznych i organizacyjnych (art. 32 RODO) lub z zaniechaniem zawiadomienia podmiotów danych mimo wysokiego ryzyka.
Nowością 2026 roku jest rosnąca praktyka pociągania do odpowiedzialności członków zarządu odpowiedzialnych za obszar compliance. W dwóch głośnych sprawach z pierwszego kwartału 2026 roku — dotyczących platformy e-commerce oraz sieci przychodni medycznych — UODO nałożył kary nie tylko na spółkę, ale również — na podstawie art. 83 ust. 5 w związku z art. 5 ust. 2 RODO (zasada rozliczalności) — bezpośrednio na dwóch członków zarządu, uznając ich osobiste zaniedbania za udowodnione.
Współpraca z organem nadzorczym po zgłoszeniu
Zgłoszenie naruszenia nie kończy sprawy — otwiera proces, w którym UODO może żądać dodatkowych informacji, przeprowadzić kontrolę lub wszcząć postępowanie administracyjne. Styl współpracy administratora z organem ma istotne znaczenie dla oceny realizacji obowiązku współdziałania (art. 31 RODO) i może wpływać na wysokość ewentualnej sankcji.
W decyzji z czerwca 2025 roku Prezes UODO wyraźnie złagodził karę dla administratora, który w ciągu 48 godzin od zgłoszenia przedstawił szczegółowy plan naprawczy, a w kolejnych tygodniach raportował postęp jego wdrażania. I odwrotnie — w sprawie zakończonej karą 620 000 zł z października 2025 roku organ podkreślił, że administrator nie tylko opóźnił zgłoszenie, ale również udzielał wymijających odpowiedzi na pytania organu i odmówił udostępnienia dzienników systemowych.
Praktyka pokazuje, że warto wyznaczyć jedną osobę do kontaktu z UODO — zazwyczaj IOD — która będzie konsekwentnie zarządzać komunikacją. Dobrą praktyką jest również niezwłoczne informowanie organu o wszelkich nowych okolicznościach, nawet jeśli nie zostały one wprost zażądane. W myśl zasady rozliczalności organ oczekuje od administratora postawy proaktywnej, a nie minimalnie reaktywnej. Rynek oferuje dziś narzędzia wspomagające zarządzanie zgodnością z RODO — od monitorowania incydentów, przez generowanie dokumentacji, aż po wsparcie w kontakcie z organem. KluczeSoft oferuje rozwiązania usprawniające cały proces zgodności, od rejestru naruszeń po symulacje incydentów — jeśli szukasz sprawdzonego partnera w tym obszarze, poznaj naszą ofertę na kluczesoft.pl.
Częste pytania
Czy każde naruszenie trzeba zgłosić do UODO? Nie. Zgodnie z art. 33 ust. 1 RODO zgłoszenia wymagają tylko te naruszenia, które mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli administrator po przeprowadzeniu analizy uzna, że ryzyko jest mało prawdopodobne — np. dane były zaszyfrowane silnym algorytmem, a klucz nie został naruszony — może odstąpić od zgłoszenia. Decyzję tę należy jednak szczegółowo udokumentować na wypadek kontroli.
Czy procesor może sam zgłosić naruszenie do UODO? Co do zasady procesor zgłasza naruszenie administratorowi, a ten organowi nadzorczemu. Wyjątek stanowi sytuacja, w której umowa powierzenia wyraźnie upoważnia procesora do zgłoszenia bezpośredniego — jest to rzadkie, ale dopuszczalne. Procesor, który sam zgłosi naruszenie bez takiego upoważnienia, może narazić się na zarzut działania poza zakresem umowy powierzenia.
Co grozi za niezłożenie zgłoszenia w terminie? Kara administracyjna może wynieść do 10 000 000 euro lub 2% rocznego światowego obrotu. W praktyce polskiego UODO najczęstszą sankcją za samo przekroczenie terminu jest upomnienie połączone z nakazem wdrożenia procedur. Kary finansowe powyżej 200 000 zł dotyczą przypadków, w których opóźnienie współwystępowało z innymi naruszeniami — brakiem odpowiednich zabezpieczeń lub niezawiadomieniem podmiotów danych.
Czy wystarczy jedno zgłoszenie dla grupy kapitałowej? Nie. Każdy administrator danych jest odrębnym podmiotem obowiązków RODO, nawet w ramach jednej grupy kapitałowej. Jeżeli naruszenie dotyczy danych przetwarzanych przez kilka spółek — np. holding i spółkę zależną, które są odrębnymi administratorami — każda z nich składa własne zgłoszenie. Można jednak powołać się na wspólny numer referencyjny dla ułatwienia komunikacji z UODO.
Czy zgłoszenie do UODO oznacza automatyczne wszczęcie postępowania? Nie. Zgłoszenie naruszenia jest odrębną instytucją od postępowania administracyjnego. UODO może na podstawie zgłoszenia wszcząć postępowanie z urzędu, ale nie musi. Z danych urzędu za 2025 rok wynika, że około 12% zgłoszeń skutkowało wszczęciem formalnego postępowania — pozostałe zamknięto na etapie analizy, bez dalszych kroków.
Jak udokumentować decyzję o niezgłaszaniu naruszenia? Administrator powinien sporządzić notatkę zawierającą: opis incydentu, datę i godzinę stwierdzenia, kategorie danych i liczbę osób, analizę ryzyka (ze wskazaniem, dlaczego uznano je za mało prawdopodobne), oraz dane osoby podejmującej decyzję. Notatkę przechowuje się w rejestrze naruszeń wraz z pozostałą dokumentacją.
Czy dane biometryczne traktowane są inaczej przy ocenie ryzyka? Tak. Dane biometryczne należą do szczególnych kategorii danych (art. 9 RODO), a każde ich naruszenie domniemywa się jako powodujące co najmniej średnie ryzyko. Wytyczne EROD z 2026 roku wskazują, że naruszenie dotyczące danych biometrycznych niemal zawsze wymaga zgłoszenia do organu, a w większości przypadków — również zawiadomienia osób, których dane dotyczą.
Co z naruszeniami transgranicznymi? Jeżeli naruszenie dotyczy osób w kilku państwach UE, administrator zgłasza je do swojego wiodącego organu nadzorczego — w Polsce do Prezesa UODO. Organ wiodący może następnie koordynować działania z organami innych państw w ramach mechanizmu kompleksowej współpracy (art. 60 RODO). Nie ma obowiązku składania odrębnych zgłoszeń w każdym państwie.
Czy zgłoszenie można wycofać? Formalnie nie ma instytucji wycofania zgłoszenia, jednak administrator może poinformować UODO o nowych okolicznościach wskazujących, że ryzyko było niższe niż pierwotnie oceniono. Organ odnotuje to w aktach sprawy. Z drugiej strony, jeżeli pierwotnie zrezygnowano ze zgłoszenia, a później okazało się, że ryzyko jest jednak realne — należy niezwłocznie złożyć zgłoszenie i wyjaśnić przyczynę opóźnienia.
Czy mały przedsiębiorca ma złagodzone obowiązki? Nie. RODO nie różnicuje obowiązków w zależności od wielkości administratora — art. 33 stosuje się w pełnym zakresie również do jednoosobowych działalności gospodarczych i mikroprzedsiębiorstw. Praktyka pokazuje jednak, że UODO uwzględnia skalę działalności przy ustalaniu wysokości ewentualnej kary, kierując się zasadą proporcjonalności z art. 83 ust. 1 RODO.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.