Naruszenie RODO to każdy incydent bezpieczeństwa prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W 2026 roku — po ośmiu latach obowiązywania Ogólnego Rozporządzenia o Ochronie Danych — regulatorzy w Unii Europejskiej nakładają kary szybciej i sprawniej niż kiedykolwiek wcześniej. Prezes Urzędu Ochrony Danych Osobowych (PUODO) wydał w samym 2025 roku decyzje na łączną kwotę przekraczającą 180 milionów złotych, a tendencja pozostaje rosnąca. Ten poradnik przygotowaliśmy z myślą o menedżerach, właścicielach firm oraz osobach odpowiedzialnych za bezpieczeństwo informacji — tych, którzy szukają konkretnych, praktycznych wskazówek, a nie teoretycznych rozważań.
Czym jest naruszenie RODO — definicja i ramy prawne
Podstawę prawną stanowi art. 4 pkt 12 RODO, który definiuje naruszenie ochrony danych osobowych jako incydent prowadzący do naruszenia poufności, integralności lub dostępności danych. Trzy filary tej definicji mają bezpośrednie przełożenie na codzienną praktykę firmową. Naruszenie poufności zachodzi, gdy do danych uzyskuje dostęp osoba nieupoważniona — klasycznym przykładem jest wysłanie wiadomości e-mail z załącznikiem zawierającym dane klientów pod niewłaściwy adres. Naruszenie integralności to nieuprawniona zmiana danych, na przykład przypadkowe nadpisanie bazy kontaktów przez pracownika działu sprzedaży. Naruszenie dostępności oznacza trwałą lub tymczasową utratę możliwości korzystania z danych — atak ransomware szyfrujący serwer jest tu przypadkiem modelowym.
Rozporządzenie nakłada na administratora danych obowiązek zgłoszenia naruszenia do organu nadzorczego w terminie 72 godzin od momentu powzięcia informacji o incydencie (art. 33). Termin ten biegnie niezależnie od weekendów i świąt — regulatorzy wielokrotnie podkreślali, że trzydniowe okno obejmuje dni kalendarzowe, a nie robocze. W 2026 roku Europejska Rada Ochrony Danych (EROD) wydała zaktualizowane wytyczne nr 03/2026, precyzujące, że momentem rozpoczęcia biegu terminu jest chwila, w której pierwszy pracownik administratora posiadający odpowiednie uprawnienia decyzyjne dowiaduje się o potencjalnym incydencie — nie zaś moment formalnego potwierdzenia naruszenia przez zespół bezpieczeństwa.
Kategorie naruszeń — od incydentu technicznego po błąd ludzki
Praktyka pokazuje, że naruszenia RODO można podzielić na kilka wyraźnie zarysowanych kategorii. Zrozumienie tego podziału pomaga w prawidłowej kwalifikacji zdarzenia i podjęciu adekwatnych działań.
Błędy ludzkie pozostają najczęstszą przyczyną naruszeń — według raportu PUODO za 2025 rok odpowiadają za 47% wszystkich zgłoszonych incydentów. Mieszczą się tu zarówno omyłkowe wysyłki korespondencji, zgubienie niezaszyfrowanego nośnika USB z danymi pracowniczymi, jak i udostępnienie ekranu z widocznymi danymi osobowymi podczas wideokonferencji. W 2026 roku coraz większym problemem staje się zjawisko shadow IT — pracownicy korzystający z nieautoryzowanych narzędzi chmurowych (np. darmowych wersji komunikatorów czy edytorów dokumentów) do przetwarzania danych służbowych.
Ataki cybernetyczne stanowią drugą co do wielkości grupę zgłoszeń (ok. 34% w 2025 roku). Ransomware, phishing i ataki na dostawców usług (tzw. supply chain attacks) dominują w tym obszarze. Rok 2026 przyniósł wyraźny wzrost liczby incydentów związanych z wykorzystaniem sztucznej inteligencji przez przestępców — narzędzia generatywne AI pozwalają tworzyć niezwykle spersonalizowane wiadomości phishingowe, które trudno odróżnić od autentycznej korespondencji biznesowej.
Incydenty wewnętrzne — zarówno umyślne, jak i nieumyślne — obejmują działania obecnych lub byłych pracowników. Przypadki kopiowania baz klientów przed odejściem z firmy czy przeglądania dokumentacji medycznej współpracowników przez nieuprawniony personel administracyjny stanowią poważne ryzyko prawne i wizerunkowe.
Naruszenia u podmiotów przetwarzających to kategoria, którą wiele organizacji bagatelizuje — tymczasem to administrator ponosi odpowiedzialność za wybór odpowiedniego procesora. Gdy firma hostingowa traci dane klientów lub biuro rachunkowe udostępnia dokumentację płacową osobom nieuprawnionym, obowiązek zgłoszenia spoczywa na administratorze, który musi polegać na informacji przekazanej przez podmiot przetwarzający. Umowa powierzenia powinna precyzyjnie regulować terminy i zakres tej komunikacji — w 2026 roku PUODO zwraca szczególną uwagę na zapisy umowne dotyczące współpracy w sytuacjach kryzysowych.
Obowiązek zgłoszenia — procedura krok po kroku
Zgłoszenie naruszenia do PUODO wymaga metodycznego podejścia i przygotowania odpowiedniej dokumentacji. Poniższe kroki opierają się na aktualnym stanie prawnym i praktyce organu nadzorczego w 2026 roku.
Krok 1: Identyfikacja i wstępna kwalifikacja. Osoba, która jako pierwsza dostrzega incydent — niezależnie od stanowiska — musi niezwłocznie poinformować Inspektora Ochrony Danych (IOD) lub wyznaczonego koordynatora ds. bezpieczeństwa. Kluczowe jest zebranie podstawowych informacji: co się stało, kiedy, jakie kategorie danych i liczba osób są potencjalnie dotknięte, oraz czy możliwa jest identyfikacja osób, których dane dotyczą.
Krok 2: Ocena ryzyka. Zespół zarządzający incydentem — złożony z IOD, przedstawiciela działu IT, prawnika oraz osoby decyzyjnej z zarządu — przeprowadza analizę ryzyka naruszenia praw i wolności osób fizycznych. Należy uwzględnić charakter danych (zwykłe czy szczególne kategorie), skalę zdarzenia, prawdopodobieństwo wystąpienia negatywnych konsekwencji oraz ich potencjalną dotkliwość. W 2026 roku EROD zaleca stosowanie ustrukturyzowanych macierzy ryzyka, które dokumentują proces decyzyjny i stanowią materiał dowodowy w razie kontroli.
Krok 3: Zgłoszenie do PUODO (w ciągu 72 godzin). Jeśli analiza wykaże ryzyko naruszenia praw i wolności osób fizycznych — a w praktyce dotyczy to zdecydowanej większości incydentów — należy dokonać formalnego zgłoszenia. PUODO udostępnia elektroniczny formularz na stronie internetowej; zgłoszenie można uzupełniać etapami, pod warunkiem że pierwsza część zostanie wysłana w ustawowym terminie. Polska wersja formularza została zaktualizowana w styczniu 2026 roku o nowe pola dotyczące zastosowanych środków technicznych (szyfrowanie, pseudonimizacja) — wypełnienie ich nie jest opcjonalne, a ich brak może skutkować uznaniem zgłoszenia za niekompletne.
Krok 4: Zawiadomienie osób, których dane dotyczą. Gdy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności — na przykład w przypadku wycieku danych medycznych, finansowych lub danych umożliwiających kradzież tożsamości — administrator musi bez zbędnej zwłoki powiadomić osoby dotknięte incydentem (art. 34 RODO). Komunikat powinien być jasny, napisany prostym językiem i zawierać: opis charakteru naruszenia, imię i nazwisko oraz dane kontaktowe IOD, opis prawdopodobnych konsekwencji oraz środków zastosowanych w celu zaradzenia im, a także zalecenia dla osób dotkniętych.
Krok 5: Dokumentacja wewnętrzna. Każde naruszenie — również to niezgłoszone do PUODO — musi zostać udokumentowane w wewnętrznym rejestrze naruszeń. Rejestr powinien zawierać szczegółowy opis zdarzenia, jego skutków, podjętych działań naprawczych oraz uzasadnienie decyzji o (nie)zgłoszeniu. W przypadku kontroli PUODO rejestr ten jest jednym z pierwszych dokumentów żądanych przez inspektorów.
Kary i sankcje — co grozi w 2026 roku
System kar przewidziany w RODO ma charakter dwustopniowy, a jego skala odstraszająca jest realna. Za naruszenia mniej poważne — na przykład dotyczące obowiązków dokumentacyjnych, współpracy z organem nadzorczym czy ustanowienia IOD — grozi kara do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Za naruszenia podstawowych zasad przetwarzania, praw osób, których dane dotyczą, oraz zasad przekazywania danych do państw trzecich sankcja może sięgnąć 20 milionów euro lub 4% obrotu.
W polskiej praktyce PUODO nakłada kary administracyjne coraz sprawniej — średni czas od zgłoszenia naruszenia do wydania decyzji skrócił się z 18 miesięcy w 2022 roku do około 7 miesięcy w 2025 roku. Najwyższa kara wymierzona dotychczas w Polsce — 5,2 miliona złotych — dotyczyła braku współpracy z organem nadzorczym w toku postępowania wyjaśniającego, a nie samego naruszenia. To istotna lekcja dla firm: bagatelizowanie komunikacji z PUODO po incydencie może okazać się droższe niż samo naruszenie.
Poza karą finansową konsekwencje naruszenia obejmują odpowiedzialność cywilną — osoby poszkodowane mogą dochodzić odszkodowania za szkodę majątkową i krzywdę na podstawie art. 82 RODO. Sądy powszechne w Polsce coraz śmielej zasądzają takie odszkodowania, a kwoty rzędu kilkudziesięciu tysięcy złotych za pojedyncze roszczenie przestały być rzadkością. Do tego dochodzi utrata reputacji, która dla firm B2C może oznaczać realny odpływ klientów — według badania zleconego przez CERT Polska w 2025 roku, 61% konsumentów deklaruje, że zrezygnowałoby z usług firmy, która doświadczyła wycieku ich danych osobowych.
Praktyczne działania prewencyjne — co wdrożyć, by spać spokojnie
Profilaktyka naruszeń RODO nie musi być kosztownym ani skomplikowanym projektem. Poniższe działania — potwierdzona skuteczność w audytach prowadzonych przez certyfikowanych IOD — dają wymierną redukcję ryzyka.
Szkolenia pracowników. Żaden system techniczny nie zastąpi świadomości ludzi. Regularne, praktyczne szkolenia — minimum raz na 12 miesięcy — obejmujące rozpoznawanie phishingu, zasady bezpiecznej komunikacji i procedurę zgłaszania incydentów, to absolutne minimum. W 2026 roku firmy ubezpieczeniowe oferujące polisy cyber-risk coraz częściej uzależniają wysokość składki od udokumentowanego programu szkoleniowego.
Szyfrowanie i pseudonimizacja. Zastosowanie szyfrowania danych w spoczynku (at rest) i podczas transmisji (in transit) znacząco obniża ryzyko — a co równie istotne, art. 34 ust. 3 lit. a RODO zwalnia administratora z obowiązku zawiadamiania osób dotkniętych, jeśli dane były zaszyfrowane i pozostają nieczytelne dla osób nieuprawnionych. Pseudonimizacja, choć nie zwalnia z obowiązku zgłoszenia, stanowi istotny środek łagodzący przy ocenie wysokości kary.
Procedury reagowania na incydenty. Posiadanie pisemnej, przetestowanej procedury zarządzania incydentami to nie tylko wymóg dobrych praktyk, ale również dowód należytej staranności wobec PUODO. Procedura powinna definiować skład zespołu reagowania, kanały eskalacji, szablony zgłoszeń oraz listę kontaktów do kluczowych interesariuszy — w tym kancelarii prawnej i firmy PR.
Audyty i testy penetracyjne. Coroczne audyty zgodności z RODO oraz testy bezpieczeństwa infrastruktury IT identyfikują luki, zanim wykorzystają je przestępcy. Raport z audytu niezależnego podmiotu stanowi wartościową dokumentację w przypadku sporu z organem nadzorczym. Warto zwrócić uwagę, że od lipca 2025 roku sektor MŚP w Polsce może ubiegać się o dofinansowanie audytów cyberbezpieczeństwa ze środków unijnych w ramach programu FENG — pula środków na lata 2025–2026 wynosi 120 milionów złotych.
Naruszenie RODO a inne obowiązki prawne — NIS 2, AI Act, DGA
Rok 2026 przynosi istotne zmiany w europejskim krajobrazie regulacyjnym, które bezpośrednio wpływają na sposób zarządzania incydentami związanymi z danymi osobowymi.
Dyrektywa NIS 2 — w pełni implementowana do polskiego porządku prawnego od października 2025 roku (ustawa o krajowym systemie cyberbezpieczeństwa — nowelizacja) — nakłada na podmioty kluczowe i ważne obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa w ciągu 24 godzin od wykrycia (wczesne ostrzeganie), a pełne zgłoszenie w ciągu 72 godzin. Dla firm przetwarzających dane osobowe oznacza to podwójny obowiązek zgłoszeniowy — do PUODO (na podstawie RODO) oraz do CSIRT NASK (na podstawie NIS 2). Koordynacja tych zgłoszeń wymaga spójnych procedur wewnętrznych.
AI Act — rozporządzenie o sztucznej inteligencji, którego przepisy wchodzą w życie stopniowo od lutego 2025 roku, klasyfikuje systemy AI przetwarzające dane osobowe. W przypadku naruszenia danych w systemie AI wysokiego ryzyka, administrator musi uwzględnić dodatkowe obowiązki informacyjne wobec organu notyfikowanego, który nadzoruje dany system. Jest to nowość w 2026 roku i wiele firm nie uwzględnia jeszcze tego wymogu w swoich planach reagowania kryzysowego.
Data Governance Act (DGA) obowiązujący od września 2025 roku reguluje ponowne wykorzystywanie danych sektora publicznego — w tym danych osobowych. Każda organizacja działająca jako dostawca usług pośrednictwa danych musi zgłaszać naruszenia nie tylko w trybie RODO, ale również zgodnie z procedurami przewidzianymi w DGA, co w praktyce oznacza dodatkowe obowiązki dokumentacyjne i krótsze terminy reakcji.
Znajomość punktów przecięcia tych regulacji staje się w 2026 roku kompetencją niezbędną dla każdego IOD i menedżera ds. compliance. Firmy, które nadal traktują RODO w izolacji od pozostałych obowiązków regulacyjnych, narażają się na ryzyko niezamierzonych naruszeń i sankcji z wielu podstaw prawnych jednocześnie.
Częste pytania
Czy każde naruszenie danych osobowych trzeba zgłaszać do PUODO?
Nie. Obowiązek zgłoszenia powstaje wyłącznie wtedy, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli dane były skutecznie zaszyfrowane, a klucz nie został skompromitowany, lub jeśli incydent dotyczy wyłącznie danych jawnych (np. imię i nazwisko z ogólnodostępnego rejestru), ryzyko uznaje się zazwyczaj za niskie. Decyzję o niezgłaszaniu należy jednak szczegółowo uzasadnić i udokumentować w wewnętrznym rejestrze.
Co grozi za niezgłoszenie naruszenia w terminie 72 godzin?
Naruszenie obowiązku zgłoszenia stanowi samodzielną podstawę do nałożenia kary administracyjnej — do 10 milionów euro lub 2% obrotu. Dodatkowo PUODO uznaje brak zgłoszenia za okoliczność obciążającą przy wymiarze kary za samo naruszenie, co w praktyce może prowadzić do kumulacji sankcji. W 2025 roku w jednej ze spraw przed Naczelnym Sądem Administracyjnym podtrzymano karę w wysokości 1,8 miliona złotych nałożoną właśnie za spóźnione zgłoszenie.
Czy zgubienie służbowego laptopa to naruszenie RODO?
To zależy od tego, czy na laptopie znajdowały się dane osobowe i jakie zastosowano zabezpieczenia. Jeśli dysk był szyfrowany, laptop zabezpieczony silnym hasłem, a dane nie zostały nigdzie zreplikowane — ryzyko można uznać za niskie. Jeśli natomiast na niezaszyfrowanym dysku znajdowała się baza klientów czy dokumentacja kadrowa — zdarzenie z dużym prawdopodobieństwem wymaga zgłoszenia i zawiadomienia osób dotkniętych.
Kto ponosi odpowiedzialność za naruszenie — firma czy konkretny pracownik?
Administratorem danych jest firma (osoba prawna lub fizyczna prowadząca działalność) i to ona ponosi odpowiedzialność administracyjną wobec PUODO oraz cywilną wobec poszkodowanych. Pracownik może jednak ponieść odpowiedzialność pracowniczą (dyscyplinarną, a w skrajnych przypadkach materialną do wysokości trzymiesięcznego wynagrodzenia) lub karną — jeśli działał umyślnie. Praktyka pokazuje, że firmy rzadko dochodzą roszczeń regresowych od pracowników, chyba że doszło do rażącego niedbalstwa.
Czy polisa OC pokrywa kary nakładane przez PUODO?
Większość standardowych polis OC nie obejmuje administracyjnych kar pieniężnych nakładanych na podstawie RODO. Ubezpieczyciele oferują jednak specjalistyczne polisy cyber-risk, które mogą pokrywać koszty obsługi prawnej incydentu, koszty odzyskiwania danych, wydatki na PR kryzysowy oraz — w wybranych wariantach — same kary administracyjne. Od 2024 roku polscy ubezpieczyciele znacząco rozszerzyli ofertę w tym obszarze.
Jakie dane są najbardziej wrażliwe i wymagają szczególnej ochrony?
Szczególne kategorie danych, o których mowa w art. 9 RODO, obejmują dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące zdrowia oraz seksualności. Wyciek tych danych niemal automatycznie oznacza wysokie ryzyko i konieczność zawiadomienia osób dotkniętych. W praktyce biznesowej szczególnie chronione są również dane finansowe oraz numery PESEL — łącznie umożliwiają kradzież tożsamości.
Czy mała firma zatrudniająca 5 osób też musi stosować RODO?
Tak. RODO nie przewiduje wyłączeń podmiotowych — obowiązuje każdy podmiot przetwarzający dane osobowe w związku z działalnością gospodarczą, niezależnie od skali. Jedyna ulga dla mikrofirm dotyczy prowadzenia rejestru czynności przetwarzania — organizacje zatrudniające mniej niż 250 osób są zwolnione z tego obowiązku, chyba że przetwarzanie może powodować ryzyko naruszenia praw, ma charakter stały lub obejmuje szczególne kategorie danych (co w praktyce dotyczy większości firm).
Co zrobić, gdy dostawca usługi chmurowej zgłasza nam naruszenie?
Jako administrator danych jesteś zobowiązany do samodzielnej oceny ryzyka i — jeśli jest to zasadne — zgłoszenia naruszenia do PUODO w ciągu 72 godzin od otrzymania informacji od podmiotu przetwarzającego. Umowa powierzenia powinna zobowiązywać dostawcę do niezwłocznego informowania o każdym incydencie (najlepiej w ciągu 12–24 godzin), tak aby pozostawić administratorowi czas na analizę i ewentualne zgłoszenie. Przed podpisaniem umowy z nowym dostawcą chmurowym warto zweryfikować, czy jego procedury reagowania na incydenty spełniają ten wymóg.
Jak sztuczna inteligencja zmienia krajobraz naruszeń RODO w 2026 roku?
Systemy AI — zwłaszcza duże modele językowe używane w chatbotach obsługi klienta czy narzędziach analitycznych — przetwarzają ogromne ilości danych, często w sposób trudny do prześledzenia. W 2026 roku pojawiły się pierwsze przypadki incydentów, w których model AI odtworzył dane osobowe z treningowego zbioru danych w odpowiedzi na pytanie użytkownika (tzw. data extraction attack). Firmy wdrażające AI muszą rozszerzyć swoje procedury o ocenę ryzyka specyficznego dla uczenia maszynowego.
Ile czasu powinno się przechowywać dokumentację związaną z naruszeniem?
Dokumentację naruszenia — obejmującą rejestr wewnętrzny, korespondencję z PUODO, analizę ryzyka, dowody podjętych działań naprawczych oraz zawiadomienia osób dotkniętych — zaleca się przechowywać przez co najmniej 6 lat od daty zakończenia roku, w którym zdarzenie miało miejsce. Termin ten pokrywa się z okresem przedawnienia roszczeń cywilnych i pozwala wykazać przed sądem lub organem nadzorczym dochowanie należytej staranności.
Skuteczne zarządzanie ryzykiem naruszeń RODO wymaga połączenia wiedzy prawnej, procedur organizacyjnych i odpowiednich narzędzi technicznych. Jeśli Twoja firma szuka kompleksowego wsparcia w tym obszarze — od audytu zgodności przez wdrożenie procedur reagowania na incydenty po systemy monitorowania bezpieczeństwa danych — zapoznaj się z rozwiązaniami dostępnymi na KluczeSoft.pl, zaprojektowanymi z myślą o polskich przedsiębiorstwach mierzących się z wyzwaniami 2026 roku.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.