W jakim terminie trzeba zgłosić naruszenie ochrony danych?

Administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, jeśli to możliwe w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Przy wysokim ryzyku dla osób trzeba dodatkowo zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Przekroczenie terminu należy uzasadnić.

Czy każde naruszenie trzeba zgłaszać do UODO?

Nie. Zgłoszenia nie wymaga się, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ocena ryzyka powinna być jednak udokumentowana, bo to administrator musi wykazać, dlaczego zgłoszenia nie dokonał.

Jaka jest maksymalna kara za naruszenie RODO?

Najwyższy pułap to do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku - stosuje się kwotę wyższą (art. 83 ust. 5 RODO). Niższy próg (10 mln euro lub 2 proc. obrotu) dotyczy mniej poważnych uchybień.

Czy włamanie do systemu firmy to także przestępstwo?

Tak. Nieuprawniony dostęp do informacji, niszczenie danych czy zakłócanie pracy systemu to przestępstwa z art. 267-269b Kodeksu karnego. Firma jako pokrzywdzony może złożyć zawiadomienie do prokuratury, niezależnie od własnych obowiązków wynikających z RODO.

Czym zajmuje się prawnik od cyberbezpieczeństwa i naruszeń danych?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Po wycieku danych albo włamaniu do systemów IT firma ma do rozwiązania nie tylko problem techniczny, ale i prawny. Trzeba ocenić, czy doszło do naruszenia ochrony danych osobowych, czy istnieje obowiązek zgłoszenia go do organu nadzorczego i osobom, których dane dotyczą, oraz jak ograniczyć ryzyko kar i roszczeń. Prawnik specjalizujący się w cyberbezpieczeństwie i ochronie danych prowadzi przez ten proces: doradza przed incydentem (polityki, umowy powierzenia, oceny ryzyka), a po incydencie kieruje reakcją prawną i reprezentuje firmę wobec organów oraz poszkodowanych.

Podstawy prawne w Polsce

Ochronę danych osobowych reguluje przede wszystkim RODO (rozporządzenie 2016/679) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych. Bezpieczeństwo tzw. usług kluczowych i cyfrowych porządkuje ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS (a docelowo NIS2). Najpoważniejsze ataki na systemy informatyczne są też przestępstwami: Kodeks karny penalizuje m.in. nieuprawniony dostęp do informacji (art. 267), niszczenie danych (art. 268 i 268a), zakłócanie pracy systemu (art. 269a) oraz tworzenie i udostępnianie narzędzi hakerskich (art. 269b). To pokazuje, że incydent może mieć równolegle wymiar administracyjny, cywilny i karny.

Co prawnik robi przed incydentem

Najtańszy incydent to ten, do którego nie dochodzi, dlatego duża część pracy ma charakter prewencyjny. Prawnik audytuje zgodność z RODO, przygotowuje politykę ochrony danych, rejestr czynności przetwarzania, klauzule informacyjne i umowy powierzenia przetwarzania z dostawcami IT. Pomaga wdrożyć adekwatne środki techniczne i organizacyjne (art. 32 RODO) oraz procedurę reagowania na naruszenia, tak by firma była gotowa działać w ustawowych terminach. W razie potrzeby wspiera też powołanie inspektora ochrony danych i szkoli pracowników z rozpoznawania phishingu i innych zagrożeń.

Co prawnik robi po incydencie

Po wykryciu naruszenia kluczowy jest czas. RODO wymaga, by administrator zgłosił naruszenie ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia (art. 33), a jeśli ryzyko dla osób jest wysokie - także zawiadomił te osoby (art. 34). Prawnik ocenia, czy obowiązek zgłoszenia rzeczywiście powstał, przygotowuje treść zgłoszenia i zawiadomień, dokumentuje incydent oraz reprezentuje firmę w ewentualnym postępowaniu przed PUODO. Doradza również, jak ograniczyć ryzyko roszczeń cywilnych z art. 82 RODO (odszkodowanie za szkodę wynikłą z naruszenia).

Najczęstsze pytania

W jakim terminie trzeba zgłosić naruszenie ochrony danych?
Administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, jeśli to możliwe w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Przy wysokim ryzyku dla osób trzeba dodatkowo zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Przekroczenie terminu należy uzasadnić.
Czy każde naruszenie trzeba zgłaszać do UODO?
Nie. Zgłoszenia nie wymaga się, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ocena ryzyka powinna być jednak udokumentowana, bo to administrator musi wykazać, dlaczego zgłoszenia nie dokonał.
Jaka jest maksymalna kara za naruszenie RODO?
Najwyższy pułap to do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku - stosuje się kwotę wyższą (art. 83 ust. 5 RODO). Niższy próg (10 mln euro lub 2 proc. obrotu) dotyczy mniej poważnych uchybień.
Czy włamanie do systemu firmy to także przestępstwo?
Tak. Nieuprawniony dostęp do informacji, niszczenie danych czy zakłócanie pracy systemu to przestępstwa z art. 267-269b Kodeksu karnego. Firma jako pokrzywdzony może złożyć zawiadomienie do prokuratury, niezależnie od własnych obowiązków wynikających z RODO.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę