1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Naruszenia ochrony danych osobowych w świetle najnowszych wytycznych UODO
Wyszukiwanie...
Data publikacji: 14.01.2026

Naruszenia ochrony danych osobowych w świetle najnowszych wytycznych UODO

Spis treści

Ochrona danych osobowych to dziś jeden z filarów zaufania do instytucji i firm. Naruszenia zdarzają się zarówno w małych biurach rachunkowych, jak i w szpitalach, bankach czy korporacjach IT. Nowy poradnik Prezesa UODO systematyzuje, jak należy rozpoznawać, oceniać i obsługiwać naruszenia, aby spełnić obowiązki z RODO i jednocześnie zminimalizować szkody dla osób i reputacji organizacji.

Ten przewodnik pokaże Ci krok po kroku:

  • czym jest naruszenie ochrony danych,
  • jakie są najczęstsze przyczyny incydentów,
  • kto i za co odpowiada (administrator, procesor, IOD),
  • jak wygląda procedura obsługi naruszenia,
  • jak oceniać ryzyko i kiedy zgłaszać do UODO,
  • jak prowadzić dokumentację i rejestr naruszeń.

Czym jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 pkt 12 RODO:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”

👉 W praktyce oznacza to, że naruszenie może dotyczyć:

  • poufności – np. wysłanie danych do złego adresata, wyciek w wyniku ataku hakerskiego,
  • integralności – np. zmiana danych pacjenta w systemie medycznym przez osobę nieuprawnioną,
  • dostępności – np. zaszyfrowanie danych przez ransomware albo awaria systemu bez kopii zapasowej.

UODO podkreśla, że nawet fałszywe dane (np. błędnie zapisane informacje o osobie) mogą prowadzić do naruszenia praw lub wolności, jeśli skutkują szkodliwymi konsekwencjami dla tej osoby.

Kiedy „stwierdzasz” naruszenie?

Moment „stwierdzenia” naruszenia jest kluczowy, ponieważ od tego momentu liczy się termin 72 godzin na zgłoszenie do UODO.

Za stwierdzenie uznaje się chwilę, gdy administrator:

  1. wie, że doszło do incydentu bezpieczeństwa,
  2. potwierdzi, że dotyczy on danych osobowych,
  3. ma podstawy sądzić, że mogło dojść do ich zniszczenia, utraty, modyfikacji, ujawnienia lub nieuprawnionego dostępu.

Nie trzeba znać jeszcze całej skali zdarzenia – wystarczy, że te trzy elementy są spełnione.

Najczęstsze przyczyny naruszeń

Z analizy UODO wynika, że źródła naruszeń można podzielić na pięć głównych grup:

  1. Błędy ludzkie – omyłkowa wysyłka, gubienie dokumentów, nieprzestrzeganie procedur.
  2. Braki techniczne lub organizacyjne – słabe zabezpieczenia systemów, złe konfiguracje, brak aktualizacji.
  3. Cyberprzestępczość – ataki phishingowe, malware, ransomware, włamania do systemów.
  4. Nadużycia wewnętrzne – pracownik wykorzystuje dostęp do danych niezgodnie z prawem lub celem.
  5. Czynniki środowiskowe/fizyczne – pożary, zalania, awarie serwerowni, kradzieże sprzętu.

➡ Kluczowa wskazówka UODO: skuteczność ochrony zależy nie tylko od wdrożenia narzędzi, ale również od ich konfiguracji i utrzymywania. Zdarza się, że organizacje mają „zabezpieczenia na papierze”, ale w praktyce ustawienia pozostają domyślne i tworzą luki.

Obowiązek adekwatnych środków bezpieczeństwa

Zgodnie z art. 32 ust. 1 RODO administrator i procesor muszą wdrażać „odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku”.

Oznacza to, że:

  • nie ma jednego katalogu obowiązkowych zabezpieczeń,
  • środki należy dobierać indywidualnie, po analizie ryzyka,
  • systemy muszą być regularnie przeglądane i dostosowywane do zmieniających się zagrożeń.

Kto odpowiada za naruszenia danych osobowych?

W obsłudze naruszeń RODO wyróżnia trzy kluczowe role: administratorprocesor (podmiot przetwarzający) i inspektor ochrony danych (IOD). Każdy z nich ma inne zadania, a mylenie odpowiedzialności bywa poważnym błędem przy kontroli UODO.

Administrator danych osobowych (ADO)

Administrator to ten podmiot, który decyduje o celach i sposobach przetwarzania danych. To on odpowiada za całość procesu ochrony i obsługi naruszeń.

Do obowiązków administratora należy m.in.:

  • zapobieganie naruszeniom – poprzez środki techniczne i organizacyjne (art. 32 RODO),
  • wykrywanie – np. dzięki monitoringowi systemów, szkoleniom pracowników, procedurom,
  • zaradzenie skutkom – izolacja zdarzenia, odzyskanie dostępności,
  • ocena ryzyka – czy dane naruszenie może skutkować ryzykiem lub wysokim ryzykiem dla praw osób,
  • zgłoszenie do UODO – gdy istnieje ryzyko (72 godziny od stwierdzenia),
  • zawiadomienie osób – gdy ryzyko jest wysokie (bez zbędnej zwłoki),
  • dokumentowanie – każdy incydent, nawet ten niezgłaszany, musi znaleźć się w rejestrze naruszeń.

👉 Administrator zawsze musi być w stanie wykazać, że dochował należytej staranności – to tzw. zasada rozliczalności z art. 5 ust. 2 RODO.

Podmiot przetwarzający (procesor)

Procesorem jest firma lub instytucja, która przetwarza dane osobowe w imieniu administratora (np. dostawca chmury, call center, biuro rachunkowe).

Jego obowiązki to:

  • zapewnianie bezpieczeństwa przetwarzanych danych,
  • stałe monitorowanie i wykrywanie incydentów,
  • po stwierdzeniu naruszenia – natychmiastowe zawiadomienie administratora (art. 33 ust. 2 RODO),
  • współpraca z administratorem przy ocenie ryzyka i podejmowaniu działań,
  • wdrażanie środków zaradczych w swoim obszarze odpowiedzialności.

⚠️ Procesor nie może „umyć rąk” – nie wystarczy, że tylko wyśle e-mail o naruszeniu. Musi także podjąć własne działania ograniczające skutki incydentu.

Inspektor ochrony danych (IOD)

IOD to osoba powołana przez administratora lub procesora do monitorowania zgodności z RODO.

IOD powinien:

  • być niezwłocznie informowany o każdym incydencie,
  • monitorować przebieg obsługi naruszenia,
  • doradzać administratorowi lub procesorowi,
  • wspierać w kontaktach z organem nadzorczym,
  • prowadzić działania edukacyjne i podnoszące świadomość w organizacji.

Czego IOD nie robi (aby uniknąć konfliktu interesów):

  • nie dokonuje zgłoszenia naruszenia do UODO – to wyłączna rola administratora,
  • nie zawiadamia osób, których dane dotyczą,
  • nie prowadzi rejestru naruszeń „za administratora”,
  • nie podpisuje zobowiązań wobec UODO ani nie działa jako pełnomocnik administratora w sprawach ochrony danych.

IOD może przygotować analizy i rekomendacje, ale to administrator podejmuje decyzje i ponosi odpowiedzialność.

Przykład 1 – Administrator i procesor

Firma DataOffice zleca przechowywanie dokumentacji kadrowej firmie outsourcingowej ArchivIT. Dochodzi do włamania na serwer ArchivIT.

  • ArchivIT (procesor): natychmiast informuje DataOffice o incydencie, izoluje system, wdraża własne środki zaradcze.
  • DataOffice (administrator): ocenia ryzyko, decyduje o zgłoszeniu do UODO, zawiadamia pracowników i dokumentuje zdarzenie.
  • IOD DataOffice: monitoruje przebieg działań, doradza co do treści zawiadomień i wspiera przy kontakcie z UODO.

Przykład 2 – Rola IOD

Szkoła średnia Akademia XXI powołała nauczyciela informatyki na IOD. W trakcie incydentu (wyciek danych uczniów z e-dziennika) dyrektor szkoły chciał, aby to IOD samodzielnie zgłosił naruszenie do UODO.

To błąd – zgłoszenie musi złożyć administrator (w tym przypadku szkoła reprezentowana przez dyrektora). IOD może przygotować analizę ryzyka i projekt zgłoszenia, ale odpowiedzialność formalna spoczywa na administratorze.

Jak obsłużyć naruszenie danych: 5 kluczowych kroków

Nowy poradnik UODO podkreśla, że procedura obsługi naruszeń powinna być spójna, szybka i dobrze udokumentowana. W praktyce każdy administrator powinien mieć opracowany plan reagowania na incydenty – tak, aby pracownicy wiedzieli dokładnie, co robić, zamiast improwizować.

Poniżej znajdziesz 5 kroków, które powinny pojawić się w każdej procedurze.

Krok 1: Zatrzymaj wyciek i zabezpiecz dowody (⏱ tzw. „złota godzina”)

🔹 Najważniejsze działania tuż po wykryciu incydentu:

  • izolacja systemu/konta,
  • zablokowanie nieuprawnionego dostępu, zmiana haseł, odcięcie połączenia sieciowego,
  • przywrócenie dostępności z kopii zapasowej (jeśli utrata danych),
  • wykonanie logów, zrzutów ekranu, notatek z działań – aby udokumentować przebieg zdarzenia,
  • sporządzenie wstępnej listy osób i danych, których dotyczy incydent.

👉 Dokumentacja z tego etapu jest bezcenna przy późniejszej kontroli UODO.

Krok 2: „Stwierdź” naruszenie i odnotuj moment rozpoczęcia biegu terminów

Zgodnie z RODO, 72-godzinny termin na zgłoszenie do UODO liczony jest od momentu stwierdzenia naruszenia (a nie od momentu wykrycia incydentu).

Stwierdzenie następuje wtedy, gdy:

  1. masz pewność, że doszło do incydentu bezpieczeństwa,
  2. potwierdzasz, że dotyczy on danych osobowych,
  3. istnieje możliwość zniszczenia, utraty, ujawnienia, modyfikacji lub nieuprawnionego dostępu.

⚠️ Nie trzeba znać jeszcze pełnej skali zdarzenia – wystarczy, że te trzy przesłanki są spełnione.

Dlatego w dokumentacji musisz odnotować:

  • godzinę i datę wykrycia,
  • godzinę i datę stwierdzenia naruszenia.

Krok 3: Oceń ryzyko dla praw lub wolności osób

Tutaj UODO kładzie duży nacisk na indywidualną ocenę każdego przypadku.

Pod uwagę trzeba wziąć m.in.:

  • rodzaj naruszenia – poufność, integralność, dostępność,
  • charakter danych – zwykłe, szczególne kategorie (np. zdrowotne), dane karne, finansowe,
  • zakres danych – czy obejmują dane identyfikujące (PESEL, adres, nr dokumentu),
  • łatwość identyfikacji osoby z ujawnionych danych,
  • liczbę osób objętych incydentem,
  • grupę osób – np. dzieci, pacjenci, seniorzy, klienci instytucji finansowych,
  • zastosowane zabezpieczenia – np. szyfrowanie, które ogranicza skutki,
  • odwracalność skutków – czy administrator ma pełne kopie zapasowe, czy można naprawić szkody.

Wynik oceny ryzyka może być:

  • brak ryzyka (bardzo rzadko – np. zaszyfrowane dane na pendrive z bezpiecznym kluczem),
  • ryzyko – obowiązek zgłoszenia do UODO,
  • wysokie ryzyko – obowiązek zgłoszenia do UODO + zawiadomienia osób.

Krok 4: Zgłoszenie do UODO i zawiadomienie osób

Zgłoszenie do UODO

  • Obowiązek: gdy istnieje ryzyko naruszenia praw lub wolności osób.
  • Termin: „bez zbędnej zwłoki, nie później niż 72 godziny od stwierdzenia” (art. 33 ust. 1 RODO).
  • Treść zgłoszenia: opis incydentu, kategorie danych i osób, skutki, środki zaradcze, dane kontaktowe.

Zawiadomienie osób

  • Obowiązek: gdy ryzyko jest wysokie.
  • Termin: bez zbędnej zwłoki (art. 34 ust. 1 RODO).
  • Treść zawiadomienia: jasny i prosty opis naruszenia, możliwe skutki, środki podjęte przez administratora, zalecenia dla osoby (np. zmiana haseł, zastrzeżenie PESEL, ostrożność w kontaktach).
  • Forma: najlepiej bezpośrednia – list, e-mail, komunikat w systemie.

⚠️ UODO zwraca uwagę, że nie wystarczy ogólny komunikat w mediach – trzeba dotrzeć do osób konkretnie objętychincydentem.

Krok 5: Udokumentuj i wyciągnij wnioski

Każde naruszenie, nawet jeśli nie wymagało zgłoszenia, musi być udokumentowane w rejestrze naruszeń.

Minimalny zakres dokumentacji:

  • data/godzina stwierdzenia,
  • opis zdarzenia i obszaru systemu,
  • kategorie danych i osób,
  • analiza ryzyka (z uzasadnieniem),
  • decyzja: zgłoszenie do UODO / brak, zawiadomienie osób / brak,
  • działania podjęte (krótkoterminowe i długoterminowe),
  • dowody (logi, potwierdzenia usunięcia, zrzuty ekranu),
  • wnioski do oceny ryzyka i plan poprawy.

➡ Rejestr naruszeń to pierwszy dokument, o który UODO pyta podczas kontroli.

Ocena ryzyka w naruszeniach danych + praktyczne przykłady

Ocena ryzyka to najtrudniejszy etap obsługi naruszeń. To od niej zależy, czy administrator zgłosi sprawę do UODO i zawiadomi osoby, czy wystarczy jedynie dokumentacja w rejestrze. UODO podkreśla, że nie wolno stosować „automatycznych schematów”. Każde naruszenie należy przeanalizować indywidualnie, w kontekście rodzaju danych, grup osób i zabezpieczeń.

Matryca oceny ryzyka – cztery kroki

🔹 Krok A – określ typ naruszenia

  • Poufność – np. wysłanie danych do niewłaściwego adresata, wyciek pliku, dostęp nieuprawnionego pracownika.
  • Integralność – np. nieuprawniona zmiana danych klienta w systemie, błędne nadpisanie danych.
  • Dostępność – np. ransomware, awaria serwera, brak możliwości korzystania z danych.

🔹 Krok B – oceń dane i osoby

  • Czy to dane zwykłe, czy szczególne kategorie (np. zdrowotne, genetyczne, dotyczące wyroków)?
  • Czy zawierają dane identyfikujące (PESEL, adres, nr dowodu, login+hasło)?
  • Jak szeroki jest zakres danych (pojedynczy kontakt vs. pełne akta osobowe)?
  • Ile osób jest objętych incydentem?
  • Jakie to grupy – np. dzieci, pacjenci, seniorzy, osoby zadłużone?

🔹 Krok C – sprawdź okoliczności i zabezpieczenia

  • Czy dane były szyfrowane?
  • Czy były zabezpieczone hasłem, pseudonimizacją, tokenizacją?
  • Czy administrator ma pełne i sprawdzone kopie zapasowe?
  • Czy udało się skutecznie ograniczyć skutki (np. odbiorca omyłkowego e-maila usunął plik i potwierdził to)?
  • Czy skutki są odwracalne (np. szybkie przywrócenie danych bez szkody dla osób)?

🔹 Krok D – określ wynik

  • Brak ryzyka – bardzo rzadko, np. pendrive z danymi zaszyfrowanymi silnym algorytmem, a klucz przechowywany oddzielnie; administrator ma pewność, że nikt nie miał dostępu.
    ➡ Wystarczy dokumentacja w rejestrze naruszeń.
  • Ryzyko – np. wysłanie danych osobowych kilku osobom trzecim, brak szyfrowania.
    ➡ Zgłoszenie do UODO w 72 godziny.
  • Wysokie ryzyko – np. wyciek danych finansowych, PESEL + adres, dane medyczne, brak kopii zapasowej po ransomware.
    ➡ Zgłoszenie do UODO + zawiadomienie osób.

Praktyczne scenariusze

Scenariusz 1 – błędny e-mail z załącznikiem (naruszenie poufności)

Biuro księgowe FinMax wysłało raport płacowy 17 pracowników do kontrahenta NetServ (omyłkowy adres z autouzupełniania). Plik zawierał: imię, nazwisko, PESEL, wynagrodzenie. Dane nie były szyfrowane. Odbiorca potwierdził usunięcie po 15 minutach.

  • Typ naruszenia: poufność.
  • Charakter danych: PESEL + wynagrodzenie (wrażliwe ekonomicznie).
  • Liczba osób: 17.
  • Zabezpieczenia: brak szyfrowania, brak ochrony przed autouzupełnianiem.
  • Ocena ryzyka: wysokie ryzyko.
  • Decyzja: zgłoszenie do UODO + zawiadomienie osób z zaleceniem zastrzeżenia PESEL i monitorowania rachunków.

Scenariusz 2 – ransomware w przychodni (naruszenie dostępności)

Przychodnia MediNova padła ofiarą ataku ransomware. Zaszyfrowano bazę wizyt i dokumentację medyczną. Na szczęście wdrożono regularne kopie offline – dane przywrócono w 6 godzin. Analiza logów nie wykazała oznak wycieku.

  • Typ naruszenia: dostępność.
  • Charakter danych: medyczne (szczególne kategorie).
  • Liczba osób: kilkuset pacjentów.
  • Zabezpieczenia: pełne kopie zapasowe, brak dowodów eksfiltracji.
  • Ocena ryzyka: ryzyko średnie (dla dostępności usług).
  • Decyzja: zgłoszenie do UODO. Brak zawiadomień osób (bo dane nie wyciekły, a niedostępność była krótkotrwała).

Scenariusz 3 – zgubiony laptop (naruszenie poufności i dostępności)

Pracownik urzędu miasta NovaCity zgubił laptopa służbowego z danymi mieszkańców (adresy, PESEL, numery dowodów). Dysk nie był zaszyfrowany.

  • Typ naruszenia: poufność + dostępność.
  • Charakter danych: identyfikacyjne, wrażliwe.
  • Liczba osób: ponad 1200.
  • Zabezpieczenia: brak szyfrowania, brak systemu zdalnego usuwania.
  • Ocena ryzyka: wysokie ryzyko.
  • Decyzja: zgłoszenie do UODO + zawiadomienie osób.

Scenariusz 4 – błąd systemu mailingowego (naruszenie poufności)

Sklep internetowy EcomPro rozesłał newsletter, w którym przez błąd systemu każdy klient widział adresy e-mail 50 innych osób.

  • Typ naruszenia: poufność.
  • Charakter danych: adresy e-mail (dane zwykłe, ale mogą służyć do phishingu).
  • Liczba osób: 500.
  • Zabezpieczenia: brak szyfrowania, brak testów przed wysyłką.
  • Ocena ryzyka: ryzyko (możliwe skutki: spam, phishing).
  • Decyzja: zgłoszenie do UODO. Brak zawiadomień osób (bo ryzyko wysokie tylko przy dodatkowych czynnikach, np. hasła).

Kluczowa rada UODO

👉 Nie stosuj „z góry ustalonych scenariuszy”. Nawet podobne incydenty mogą różnić się oceną, jeśli np. w jednym przypadku dane były szyfrowane, a w innym nie.

ak zapobiegać naruszeniom i prowadzić rejestr? + naruszenia transgraniczne

Obsługa naruszenia to jedno – ale organizacja musi też zapobiegać kolejnym incydentom, prowadzić rzetelny rejestr naruszeń i wiedzieć, jak postępować w przypadku incydentów obejmujących kilka krajów UE.

Dobre praktyki zapobiegania i wykrywania

✔ Co warto wdrożyć

  • Szyfrowanie danych na dyskach, serwerach i w przesyłanych plikach.
  • MFA (uwierzytelnianie wieloskładnikowe) i kontrola dostępu do systemów.
  • Regularne aktualizacje i łatki oprogramowania.
  • Segmentacja sieci – aby incydent nie rozlał się na całą infrastrukturę.
  • Procedury wysyłki – np. podwójna weryfikacja adresatów, opóźniona wysyłka (2–5 minut, aby móc anulować).
  • Szkolenia i testy phishingowe – cyklicznie, najlepiej co 3–6 miesięcy.
  • Uzgodnione kanały alarmowe z procesorami – aby wiedzieć, jak szybko zgłaszają oni incydent.
  • Przeglądy ryzyka i DPIA po każdym większym incydencie.

✖ Czego unikać

  • Nie powierzaj IOD decyzji o zgłoszeniu czy zawiadomieniach – to obowiązek administratora.
  • Nie zakładaj automatycznie, że „nic się nie stało” – zawsze udokumentuj podstawę oceny ryzyka.
  • Nie kopiuj cudzych procedur – zabezpieczenia muszą odpowiadać Twojemu procesowi i ryzyku.

Jak skonstruować solidny rejestr naruszeń (📄 minimalny zakres)

Zgodnie z RODO, każde stwierdzone naruszenie (nawet jeśli nie wymagało zgłoszenia) musi być udokumentowane. Rejestr powinien zawierać co najmniej:

  • Data i godzina wykrycia oraz stwierdzenia naruszenia,
  • Opis zdarzenia i systemu, którego dotyczy,
  • Kategorie danych, liczba osób, kategorie osób,
  • Analiza ryzyka (prawdopodobieństwo × waga skutków, z uzasadnieniem),
  • Działania podjęte – natychmiastowe i długoterminowe,
  • Decyzje: zgłoszenie do UODO (tak/nie, kiedy), zawiadomienia osób (tak/nie, w jakiej formie),
  • Dowody (np. logi, potwierdzenia usunięcia plików, zrzuty ekranu),
  • Wnioski do oceny ryzyka/DPIA i plan poprawy zabezpieczeń.

📌 Rejestr naruszeń to pierwszy dokument, którego zażąda UODO przy kontroli – brak rzetelnych zapisów może skutkować zarzutem naruszenia zasady rozliczalności (art. 5 ust. 2 RODO).

Naruszenia transgraniczne – kiedy wchodzą w grę?

Incydent ma charakter transgraniczny, gdy:

  • dotyczy danych osób z kilku państw UE,
  • albo potencjalnie wpływa na przetwarzanie w więcej niż jednym państwie członkowskim.

W takiej sytuacji administrator musi:

  1. Zidentyfikować organ wiodący (zwykle w kraju głównej siedziby).
  2. Przygotować się na współpracę z wieloma organami nadzorczymi – UODO oraz organami innych państw.
  3. Zapewnić spójność komunikacji z procesorami i podmiotami z innych jurysdykcji.
  4. Dokumentować wszystkie ustalenia i działania, aby uniknąć rozbieżności.

👉 Typowy przykład: platforma e-commerce z siedzibą w Polsce obsługująca klientów w Niemczech i Czechach. Wyciek danych klientów z trzech krajów oznacza obowiązek powiadomienia UODO (organ wiodący) oraz przekazania sprawy do współpracy transgranicznej.

Złote zasady na przyszłość

  1. Mierz czas od „stwierdzenia” naruszenia, nie od jego wykrycia.
  2. Każdy incydent oceniaj indywidualnie – brak schematów automatycznych.
  3. Zgłaszaj i zawiadamiaj zgodnie z progami ryzyka.
  4. Dokumentuj wszystko – to Twoja linia obrony przy kontroli.
  5. Ucz się z incydentów – aktualizuj procedury i zabezpieczenia.

Podsumowanie – jak radzić sobie z naruszeniami danych w 2025 r.

  • Definicja – naruszeniem jest każde zdarzenie skutkujące utratą, ujawnieniem, zniszczeniem, zmianą albo nieuprawnionym dostępem do danych osobowych.
  • Stwierdzenie incydentu – kluczowy moment, od którego liczy się 72 godziny na zgłoszenie do UODO.
  • Role – administrator odpowiada za ocenę, zgłoszenie i dokumentowanie; procesor musi natychmiast powiadomić administratora i działać w swoim obszarze; IOD wspiera i doradza, ale nie podejmuje decyzji ani nie składa zgłoszeń.
  • Procedura – pięć kroków: zatrzymanie incydentu, stwierdzenie, ocena ryzyka, zgłoszenie/zawiadomienie, dokumentacja.
  • Ocena ryzyka – musi być indywidualna i oparta na rodzaju danych, liczbie osób, zastosowanych zabezpieczeniach i możliwych skutkach.
  • Rejestr naruszeń – obowiązkowy dla wszystkich incydentów, nawet gdy nie zgłaszasz ich do UODO.
  • Zapobieganie – szkolenia, szyfrowanie, procedury wysyłki, testy phishingowe, aktualizacje i segmentacja systemów.
  • Naruszenia transgraniczne – wymagają koordynacji z wieloma organami UE, a rolę organu wiodącego pełni najczęściej UODO, jeśli siedziba administratora jest w Polsce.

👉 Jeśli organizacja wdroży procedury zgodne z RODO i wytycznymi UODO, zyska nie tylko bezpieczeństwo prawne, ale także zaufanie klientów i pracowników.

Podstawa prawna (w kolejności omawiania)

  • art. 4 pkt 12 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – definicja „naruszenia ochrony danych osobowych”.
  • art. 32 ust. 1 – RODO – obowiązek wdrażania środków adekwatnych do ryzyka.
  • art. 5 ust. 2 – RODO – zasada rozliczalności.
  • art. 33 ust. 1 – RODO – zgłoszenie naruszenia do organu nadzorczego w 72 godziny.
  • art. 33 ust. 2 – RODO – obowiązek procesora: niezwłoczne powiadomienie administratora.
  • art. 34 ust. 1 – RODO – zawiadomienie osób, których dane dotyczą, gdy ryzyko jest wysokie.
  • art. 8–13 – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych – przepisy organizacyjne dotyczące PUODO i postępowań.

Tematy porad zawartych w poradniku (SEO – frazy long-tail)

  • zgłaszanie naruszenia danych 72 godziny
  • kiedy zawiadomić osoby o wycieku
  • ocena ryzyka naruszeń RODO 2025
  • rejestr naruszeń jak prowadzić
  • obowiązki procesora przy incydencie

Przydatne adresy urzędowe

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: