1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Wzorcowa ewidencja naruszeń ochrony danych osobowych – jak powinna wyglądać?
Wyszukiwanie...
Data publikacji: 01.12.2025

Wzorcowa ewidencja naruszeń ochrony danych osobowych – jak powinna wyglądać?

Spis treści

Każdy administrator danych osobowych musi liczyć się z tym, że prędzej czy później w jego organizacji może dojść do naruszenia bezpieczeństwa danych. W takich sytuacjach kluczowe jest nie tylko szybkie zareagowanie, ale także prawidłowe udokumentowanie zdarzenia. Ewidencja naruszeń nie jest obowiązkowa wprost z przepisów RODO, ale jej prowadzenie może okazać się zbawienne podczas kontroli Prezesa Urzędu Ochrony Danych Osobowych (UODO) lub w przypadku konieczności wykazania, że administrator należycie zrealizował swoje obowiązki.

Dzięki dobrze przygotowanej ewidencji administrator może łatwo odtworzyć przebieg zdarzenia, podjęte działania oraz ocenić ryzyko naruszeń praw i wolności osób fizycznych. To także narzędzie wspierające analizę i zapobieganie kolejnym incydentom.

Podstawa prawna prowadzenia ewidencji naruszeń

Podstawowy obowiązek dokumentowania naruszeń wynika z art. 33 ust. 5 RODO:

„Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta umożliwia organowi nadzorczemu weryfikację przestrzegania wymogów określonych w niniejszym artykule.”
(art. 33 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – RODO)

Choć RODO nie przewiduje szczegółowych wymogów dotyczących formy czy treści ewidencji, praktyka rynkowa oraz wytyczne Prezesa UODO (np. w „Poradniku na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”) jednoznacznie wskazują, że prowadzenie odrębnej ewidencji naruszeń to najlepszy sposób na prawidłowe wywiązanie się z obowiązków dokumentacyjnych.

Jakie informacje powinna zawierać ewidencja naruszeń danych osobowych?

Choć przepisy nie nakładają obowiązku prowadzenia rejestru naruszeń, rekomenduje się, aby ewidencja obejmowała co najmniej następujące elementy:

  • opis zdarzenia – krótka charakterystyka naruszenia, np. utrata laptopa służbowego, wysłanie maila do niewłaściwego odbiorcy, atak ransomware,
  • kwalifikacja zdarzenia – czy mamy do czynienia z naruszeniem ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, czy tylko z incydentem bezpieczeństwa,
  • daty i godziny – wystąpienia, stwierdzenia oraz zakończenia naruszenia,
  • sposób wykrycia naruszenia – np. zgłoszenie pracownika, system monitoringu, kontrola wewnętrzna,
  • przyczyny naruszenia – np. błąd ludzki, luka techniczna, brak procedur,
  • rodzaj naruszenia – nieuprawniony dostęp, ujawnienie, utrata, modyfikacja,
  • zakres danych – jakie dane zostały objęte incydentem (np. PESEL, adresy e-mail, dane zdrowotne),
  • liczbę i kategorię osób – ilu osób dotyczy naruszenie i jakie to kategorie (np. klienci indywidualni, pracownicy),
  • skutki lub potencjalne skutki – np. ryzyko kradzieży tożsamości, straty finansowe, naruszenie dobrego imienia,
  • ocenę ryzyka – wynik analizy wpływu na prawa i wolności osób fizycznych,
  • działania zaradcze – jakie kroki podjęto, aby ograniczyć skutki naruszenia (np. zablokowanie konta, wycofanie błędnie wysłanej korespondencji, poinformowanie banku o ryzyku fraudu),
  • działania zapobiegawcze – jakie zmiany wdrożono, aby uniknąć podobnych incydentów w przyszłości (np. dodatkowe szkolenia, wdrożenie szyfrowania, zmiana procedur),
  • zgłoszenie do UODO – data, tryb, powody ewentualnego opóźnienia, uzasadnienie braku zgłoszenia,
  • zawiadomienie osób, których dane dotyczą – data i metoda zawiadomienia, liczba osób poinformowanych, ewentualne uzasadnienie braku zawiadomienia,
  • uwagi dodatkowe – np. adnotacje służbowe, wyniki wewnętrznych audytów, dalsze rekomendacje.

Forma ewidencji – tabela czy karty zdarzeń?

W praktyce organizacje stosują dwa rozwiązania:

  1. Rejestr tabelaryczny – każde zdarzenie to nowy wpis w tabeli (najczęściej w arkuszu Excel, systemie CRM lub dedykowanym narzędziu IT).
    ✔ Zalety: łatwa analiza zbiorcza, szybkie porównania, statystyki.
    ✖ Wady: przy dużych incydentach trudniej szczegółowo udokumentować przebieg zdarzenia.
  2. Karty zdarzeń (karty rejestrowe) – dla każdego naruszenia przygotowuje się odrębną kartę z opisem wszystkich okoliczności i działań.
    ✔ Zalety: pełna dokumentacja konkretnego incydentu, czytelność podczas kontroli UODO.
    ✖ Wady: mniej wygodne przy analizie zbiorczej.

Najlepszym rozwiązaniem często okazuje się model mieszany – zestawienie tabelaryczne z podstawowymi danymi plus odrębne karty dla incydentów wymagających szczegółowego opisania.

Przykłady praktyczne

Przykład 1 – błąd pracownika biurowego

W firmie FinMax Sp. z o.o. pracownik działu obsługi klienta omyłkowo wysłał do klienta fakturę zawierającą dane innej osoby (imię, nazwisko, adres, PESEL).

  • Zakwalifikowanie zdarzenia: naruszenie ochrony danych osobowych.
  • Działania zaradcze: szybki kontakt z odbiorcą i prośba o usunięcie wiadomości, zgłoszenie naruszenia do UODO w ciągu 48 godzin.
  • Działania zapobiegawcze: wprowadzenie funkcji podwójnej weryfikacji adresatów maili w systemie CRM.

Przykład 2 – atak ransomware

W kancelarii prawnej LexNova doszło do ataku hakerskiego – zaszyfrowano bazę danych klientów, w tym informacje dotyczące prowadzonych spraw sądowych.

  • Zakwalifikowanie zdarzenia: poważne naruszenie ochrony danych osobowych.
  • Działania zaradcze: natychmiastowe odcięcie zainfekowanej sieci, zgłoszenie do UODO, poinformowanie osób, których dane wyciekły.
  • Działania zapobiegawcze: wdrożenie regularnych kopii zapasowych i szyfrowania danych, przeprowadzenie szkoleń z cyberbezpieczeństwa.

Dlaczego warto prowadzić ewidencję naruszeń?

📌 Korzyści dla administratora:

  • możliwość wykazania należytej staranności podczas kontroli UODO,
  • lepsza organizacja działań zaradczych,
  • łatwiejsze analizowanie trendów i ryzyk w organizacji,
  • wzrost świadomości pracowników.

📌 Korzyści dla osób, których dane dotyczą:

  • pewność, że ich dane są pod odpowiednią ochroną,
  • szybsza reakcja administratora w razie zagrożenia,
  • ograniczenie skutków ewentualnych naruszeń.

Podsumowanie

Ewidencja naruszeń ochrony danych osobowych nie jest formalnym obowiązkiem nałożonym przez RODO, ale stanowi najlepszą praktykę zgodną z art. 33 ust. 5 RODO i rekomendacjami Prezesa UODO. Prawidłowo prowadzona ewidencja nie tylko ułatwia udokumentowanie incydentów, ale także zwiększa bezpieczeństwo organizacji i pozwala uniknąć wysokich kar. Warto wdrożyć system, który umożliwi łatwe uzupełnianie danych, przejrzyste raportowanie oraz analizę przyczyn i skutków zdarzeń.

Podstawa prawna

  • art. 33 ust. 5, art. 34 ust. 1–2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
  • art. 4 pkt 12 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

Tematy porad zawartych w poradniku

  • ewidencja naruszeń RODO
  • obowiązki administratora danych osobowych 2025
  • dokumentacja incydentów ochrony danych
  • zgłaszanie naruszeń do UODO

Przydatne linki urzędowe

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: