Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował 20 lutego 2025 roku poradnik dotyczący zgłaszania naruszeń danych osobowych. Dokument zawiera praktyczne wskazówki dla administratorów i podmiotów przetwarzających dane oraz przedstawia aktualne stanowisko PUODO.

Czym jest naruszenie ochrony danych osobowych?

Naruszenie to każde zakłócenie bezpieczeństwa danych, które wpływa na ich poufność, integralność lub dostępność – niezależnie od tego, czy wynika z błędu, czy celowego działania.

Kiedy można odstąpić od zgłoszenia naruszenia?

Lektura poradnika ukazuje bardzo rygorystyczne podejście PUODO do obowiązku zgłoszenia naruszenia. Zgodnie z RODO, administrator jest zobowiązany do zgłoszenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tymczasem PUODO prezentuje stanowisko, że odstąpienie od zgłoszenia jest możliwe jedynie w wyjątkowych sytuacjach całkowitego braku ryzyka. Obowiązek wykazania tej okoliczności spoczywa na administratorze.

Co to oznacza dla administratorów?

Jako przykłady naruszeń PUODO zaprezentował m.in.:

• zniszczenie jedynej kopii dokumentów kadrowych,
• zagubienie niezabezpieczonego pendrive’a z danymi klientów,
• wysłanie danych do nieuprawnionego odbiorcy.

Zgodnie z nowym poradnikiem, samo niskie prawdopodobieństwo naruszenia praw lub wolności nie zwolni administratora z obowiązku zgłoszenia incydentu organowi nadzorczemu.

Należy zatem zgłosić nawet drobny incydent.

Konsekwencje zgłoszenia

Należy pamiętać, że zgłoszenie naruszenia w żadnym razie nie przesądza o winie administratora ani nie skutkuje automatycznym wszczęciem postępowania przez organ nadzorczy.

Głównym celem jest zbieranie przez PUODO informacji o naruszeniach, aby monitorować potencjalne konsekwencje dla osób, których dane dotyczą. Kontrola może, ale nie musi nastąpić. Współpraca z urzędem i prawidłowa dokumentacja RODO oraz przestrzeganie wewnętrznych procedur mogą uchronić firmę przed karami.

Jak postępować w razie naruszenia?

Zgłoszenia należy dokonać niezwłocznie (RODO przewiduje na to 72 godziny od chwili powzięcia wiedzy o incydencie przez administratora). Takie szybkie działanie nie jest możliwe, jeśli w przedsiębiorstwie nie ma wdrożonej jasnej procedury reagowania na incydenty.

Jeśli chcesz wdrożyć procedurę reagowania na incydenty lub zgłosić incydent do PUODO, zapraszamy do kontaktu z eksperckim zespołem kancelarii JWMS.

---

Autor: Jacek Kulig – aplikant radcowski, associate w Kancelarii JWMS. Wspiera Klientów w obsłudze korporacyjnej oraz doradza im w bieżącej działalności gospodarczej, m.in. poprzez weryfikację i przygotowywanie umów handlowych. Zajmuje się także kwestiami compliance, w tym wdrażaniem RODO.