RODO Artykuł 33: Zgłoszenie Naruszenia Ochrony Danych w 72 Godziny
What you need to know: RODO Artykuł 33: Zgłoszenie Naruszenia Ochrony Danych w 72 Godziny
RODO Artykuł 33 nakłada obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu. Niniejszy przewodnik wyjaśnia, co stanowi naruszenie, kiedy biegnie termin i co musi zawierać zgłoszenie.
RODO Artykuł 33 nakłada na każdą organizację obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu „bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia". Jest to bezwzględny termin prawny. Jego niedotrzymanie grozi karami finansowymi do 10 mln euro lub 2% całkowitego rocznego światowego obrotu.
Niniejszy przewodnik wyjaśnia, co dokładnie stanowi naruszenie ochrony danych osobowych, kiedy zaczyna biec 72-godzinny termin, jak prawidłowo zgłosić naruszenie do Urzędu Ochrony Danych Osobowych (UODO) oraz jakie informacje musi zawierać zgłoszenie.
Przepis prawa: RODO Artykuł 33(1)
„W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki — w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia."
Najważniejsze punkty:
- Termin 72 godzin zaczyna biec z chwilą, gdy organizacja stwierdzi naruszenie — nie z chwilą zakończenia dochodzenia.
- Zgłoszenie jest obowiązkowe, chyba że naruszenie jest „mało prawdopodobne", by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych — to wysoki próg; w wątpliwych przypadkach należy zgłosić.
- Adresatem zgłoszenia jest organ nadzorczy — w Polsce jest to Urząd Ochrony Danych Osobowych (UODO).
- Niedopełnienie obowiązku zgłoszenia podlega karom z Artykułu 83(4): do 10 mln euro lub 2% rocznego obrotu, w zależności od tego, która kwota jest wyższa.
Co stanowi naruszenie ochrony danych osobowych?
RODO Artykuł 4 punkt 12 definiuje naruszenie ochrony danych osobowych jako:
„naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych."
Naruszenie zachodzi zatem w każdej sytuacji, gdy dane osobowe zostają naruszone — udostępnione osobom nieuprawnionym, utracone, skasowane lub zmodyfikowane bez upoważnienia.
Przykłady naruszeń wymagających zgłoszenia
- Atak ransomware szyfrujący bazy danych klientów
- Przejęcie konta pracownika przez zewnętrznego atakującego z dostępem do danych osobowych
- Przypadkowe upublicznienie listy klientów wskutek błędnej konfiguracji zasobnika w chmurze
- Kradzież niezaszyfrowanego laptopa zawierającego dane klientów
- Wyciek danych przez nielojalnego pracownika mającego dostęp do produkcyjnych baz danych
- Udany atak phishingowy skutkujący ujawnieniem danych osobowych
- Naruszenie bezpieczeństwa u zewnętrznego podmiotu przetwarzającego dotyczące danych powierzonych przez administratora
Zdarzenia niestanowiące naruszeń
- Skierowanie wiadomości e-mail do niewłaściwego adresata z zaszyfrowanym załącznikiem (jeśli odbiorca nie może odczytać treści)
- Tymczasowa awaria systemu bez dostępu osób nieuprawnionych do danych
- Próba włamania zakończona niepowodzeniem bez uzyskania dostępu do danych
Termin 72 godzin: kiedy zaczyna biec?
Termin zaczyna biec z chwilą, gdy organizacja stwierdzi naruszenie — nie z chwilą:
- zakończenia dochodzenia wewnętrznego
- usunięcia podatności lub luki bezpieczeństwa
- powiadomienia osób, których dane dotyczą
- uzyskania akceptacji radcy prawnego
- zatwierdzenia zgłoszenia przez zarząd
Pojęcie „stwierdzenia naruszenia"
Za moment stwierdzenia naruszenia uznaje się chwilę, w której każdy pracownik lub podmiot przetwarzający działający w imieniu administratora poweźmie wiadomość o zdarzeniu wskazującym na naruszenie. Europejska Rada Ochrony Danych (EROD) wyjaśnia, że administrator „stwierdza" naruszenie w chwilą, w której osiąga „wystarczający stopień pewności, że nastąpiło zdarzenie bezpieczeństwa skutkujące naruszeniem ochrony danych osobowych".
Przykłady z praktyki
Przykład 1: Atak ransomware (3 czerwca, godz. 11:00)
- Godz. 11:00: Zespół bezpieczeństwa wykrywa zaszyfrowane pliki na serwerze — to jest moment „stwierdzenia"
- Termin upływa: 6 czerwca, godz. 11:00
Przykład 2: Zgłoszenie przez pracownika (piątek, godz. 17:30)
- Pracownik zgłasza, że wysłał plik z danymi klientów na prywatny adres e-mail zamiast na służbowy
- Termin upływa: poniedziałek, godz. 17:30 — weekend nie wstrzymuje biegu terminu
Przykład 3: Odkrycie naruszenia przez podmiot przetwarzający
- Podmiot przetwarzający wykrywa naruszenie w piątek wieczorem i informuje o nim administratora w poniedziałek rano
- Termin biegnie od chwili powiadomienia administratora przez podmiot przetwarzający; zbyt późne powiadomienie przez podmiot przetwarzający może stanowić odrębne naruszenie
Organy nadzorcze w UE: gdzie zgłaszać naruszenia?
Naruszenie należy zgłosić do organu nadzorczego właściwego dla miejsca zamieszkania lub pobytu osób, których dane zostały naruszone. W przypadku naruszeń transgranicznych stosuje się mechanizm kompleksowej obsługi (one-stop-shop) — zgłoszenie kieruje się do wiodącego organu nadzorczego w miejscu głównej siedziby administratora.
| Państwo członkowskie | Organ nadzorczy | Strona internetowa | |---|---|---| | Polska | Urząd Ochrony Danych Osobowych (UODO) | uodo.gov.pl | | Austria | Österreichische Datenschutzbehörde (DSB) | dsb.gv.at | | Belgia | Autorité de protection des données (APD) / Gegevensbeschermingsautoriteit (GBA) | autoriteprotectiondonnees.be | | Bułgaria | Комисия за защита на личните данни (КЗЛД) | cpdp.bg | | Chorwacja | Agencija za zaštitu osobnih podataka (AZOP) | azop.hr | | Cypr | Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | dataprotection.gov.cy | | Czechy | Úřad pro ochranu osobních údajů (ÚOOÚ) | uoou.cz | | Dania | Datatilsynet | datatilsynet.dk | | Estonia | Andmekaitse Inspektsioon (AKI) | aki.ee | | Finlandia | Tietosuojavaltuutetun toimisto | tietosuoja.fi | | Francja | Commission nationale de l'informatique et des libertés (CNIL) | cnil.fr | | Grecja | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) | dpa.gr | | Hiszpania | Agencia Española de Protección de Datos (AEPD) | aepd.es | | Holandia | Autoriteit Persoonsgegevens (AP) | autoriteitpersoonsgegevens.nl | | Irlandia | Data Protection Commission (DPC) | dataprotection.ie | | Litwa | Valstybinė duomenų apsaugos inspekcija (VDAI) | vdai.lrv.lt | | Luksemburg | Commission nationale pour la protection des données (CNPD) | cnpd.public.lu | | Łotwa | Datu valsts inspekcija (DVI) | dvi.gov.lv | | Malta | Uffiċċju tal-Kummissarju għall-Protezzjoni tad-Data (IDPC) | idpc.org.mt | | Niemcy | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) + organy krajów związkowych | bfdi.bund.de | | Portugalia | Comissão Nacional de Proteção de Dados (CNPD) | cnpd.pt | | Rumunia | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) | dataprotection.ro | | Słowacja | Úrad na ochranu osobných údajov Slovenskej republiky | dataprotection.gov.sk | | Słowenia | Informacijski pooblaščenec (IP RS) | ip-rs.si | | Szwecja | Integritetsskyddsmyndigheten (IMY) | imy.se | | Węgry | Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) | naih.hu | | Włochy | Garante per la protezione dei dati personali | garanteprivacy.it |
Zgłoszenie do UODO
W Polsce zgłoszenia dokonuje się za pośrednictwem formularza elektronicznego dostępnego na stronie uodo.gov.pl/pl/p/wzory-zg%C5%82osze%C5%84. UODO oferuje dedykowany portal do zgłaszania naruszeń — rejestracja konta umożliwia monitorowanie statusu zgłoszenia. W przypadku naruszeń transgranicznych z wieloma organami nadzorczymi administrator może skorzystać z narzędzia IMI (Internal Market Information System).
Treść zgłoszenia: RODO Artykuł 33(3)
Każde zgłoszenie musi zawierać następujące elementy:
1. Charakter naruszenia Opis zdarzenia: rodzaj naruszenia (poufności, integralności, dostępności), sposób jego zaistnienia, przybliżony czas trwania.
2. Kategorie i przybliżona liczba osób, których dane dotyczą Np. „klienci", „pracownicy", „subskrybenci biuletynu" oraz szacunkowa liczba, np. „ok. 2500 osób".
3. Kategorie i przybliżona liczba naruszonych rekordów danych osobowych Np. „adresy e-mail i zaszyfrowane hasła — ok. 2500 rekordów".
4. Dane kontaktowe Inspektora Ochrony Danych (IOD) lub innego punktu kontaktowego Imię i nazwisko, adres e-mail, numer telefonu IOD lub wyznaczonej osoby kontaktowej.
5. Prawdopodobne konsekwencje naruszenia Ocena ryzyka dla osób, których dane dotyczą: możliwość kradzieży tożsamości, dyskryminacji, strat finansowych, naruszenia reputacji.
6. Zastosowane lub planowane środki zaradcze Działania techniczne i organizacyjne podjęte w celu usunięcia skutków naruszenia, np. zmiana hasła, odizolowanie systemu, powiadomienie osób, których dane dotyczą.
Zgłoszenie częściowe
Artykuł 33(4) dopuszcza możliwość etapowego zgłaszania, jeżeli nie wszystkie informacje są dostępne w momencie upływu terminu 72 godzin. W takim przypadku administrator zgłasza naruszenie z informacjami, które posiada, i uzupełnia zgłoszenie niezwłocznie po ich uzyskaniu. Do zgłoszenia przekazanego po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Krok po kroku: proces zgłaszania naruszenia
Krok 1: Zawieranie i powiadamianie wewnętrznie (0–2 godziny)
Natychmiast po wykryciu naruszenia należy:
- Zawrzeć naruszenie i ograniczyć dalszy dostęp nieuprawnionych osób
- Powiadomić IOD oraz kierownictwo odpowiedzialne za bezpieczeństwo danych
- Uruchomić procedurę obsługi incydentów określoną w polityce ochrony danych
- Udokumentować czas stwierdzenia naruszenia — to jest punkt startowy terminu 72 godzin
Krok 2: Wstępna ocena ryzyka (2–12 godzin)
Ocenić, czy naruszenie wymaga zgłoszenia do UODO:
- Czy naruszenie dotyczy danych osobowych?
- Czy istnieje prawdopodobieństwo ryzyka dla praw lub wolności osób fizycznych?
- Jakie kategorie danych zostały naruszone (dane szczególnych kategorii z Artykułu 9 automatycznie podnoszą ryzyko)?
- Ilu osób dotyczy naruszenie?
Jeżeli naruszenie jest mało prawdopodobne, by skutkowało ryzykiem — należy to odnotować i uzasadnić w dokumentacji wewnętrznej. Nie ma obowiązku zgłaszania do UODO, lecz naruszenie musi być udokumentowane w rejestrze naruszeń.
Krok 3: Przygotowanie zgłoszenia (12–48 godzin)
Zebrać informacje wymagane przez Artykuł 33(3). Skonsultować się z IOD. W przypadku naruszeń transgranicznych — ustalić wiodący organ nadzorczy.
Krok 4: Zgłoszenie do UODO (do 72 godzin)
Złożyć zgłoszenie przez portal uodo.gov.pl. Zachować potwierdzenie zgłoszenia oraz numer referencyjny. Jeżeli nie wszystkie informacje są jeszcze dostępne — złożyć zgłoszenie częściowe.
Krok 5: Uzupełnienie zgłoszenia i współpraca z UODO
Przekazać brakujące informacje niezwłocznie po ich zebraniu. Odpowiadać na pytania UODO rzetelnie i terminowo. Prowadzić dokumentację wszystkich działań.
Krok 6: Ocena potrzeby powiadamiania osób (Artykuł 34)
Ocenić, czy naruszenie stwarza wysokie ryzyko dla osób, których dane dotyczą (zob. poniżej).
Artykuł 34: Obowiązek powiadamiania osób, których dane dotyczą
Poza zgłoszeniem do organu nadzorczego może pojawić się obowiązek bezpośredniego poinformowania osób, których dane zostały naruszone. Artykuł 34(1) stanowi:
„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu."
Próg jest wyższy niż przy zgłoszeniu do organu nadzorczego. Naruszenie praw lub wolności musi być „wysokie", a nie jedynie „prawdopodobne".
Kiedy należy powiadomić osoby, których dane dotyczą?
- Dane umożliwiające identyfikację (imię, nazwisko, PESEL, numer dowodu osobistego) zostały naruszone bez szyfrowania
- Dane finansowe (numery kart płatniczych, dane kont bankowych) są narażone na ryzyko oszustwa
- Dane szczególnych kategorii (dane o stanie zdrowia, dane biometryczne, poglądy polityczne, dane dotyczące seksualności) zostały ujawnione
- Naruszenie stwarza ryzyko dyskryminacji, szantażu lub poważnych strat finansowych
Kiedy powiadamianie osób nie jest wymagane?
- Naruszone dane były zaszyfrowane kluczem, który nie jest znany atakującemu (Artykuł 34(3)(a))
- Administrator podjął środki zapewniające, że wysokie ryzyko nie zmaterializuje się (Artykuł 34(3)(b))
- Powiadomienie wymagałoby nieproporcjonalnych działań — w takim przypadku zamiast powiadomień indywidualnych wystarczy publiczny komunikat (Artykuł 34(3)(c))
Typowe błędy i jak ich unikać
Błąd 1: Opóźnienie zgłoszenia z powodu toczącego się dochodzenia Zgłoszenie należy złożyć w ciągu 72 godzin od stwierdzenia naruszenia, nawet jeśli dochodzenie nie zostało zakończone. Dopuszcza się zgłoszenie częściowe z uzupełnieniem w późniejszym terminie.
Błąd 2: Zbyt niska ocena ryzyka skutkująca brakiem zgłoszenia Zasada ostrożności: gdy masz wątpliwości — zgłaszaj. Niereportowane naruszenie, które później wyjdzie na jaw, skutkuje wyższymi karami niż zbędne zgłoszenie o niskim ryzyku.
Błąd 3: Brak udokumentowania naruszeń niepodlegających obowiązkowi zgłoszenia Artykuł 33(5) nakłada na administratora obowiązek prowadzenia dokumentacji wszystkich naruszeń, w tym tych, których nie zgłoszono do organu nadzorczego. Rejestr naruszeń musi zawierać fakty, skutki i podjęte działania naprawcze.
Błąd 4: Nieudokumentowanie momentu stwierdzenia naruszenia Brak możliwości wykazania, kiedy naruszenie zostało stwierdzone, utrudnia obronę przed zarzutem przekroczenia terminu 72 godzin.
Błąd 5: Brak planu reagowania na incydenty Organizacje bez udokumentowanych procedur obsługi naruszeń z reguły przekraczają termin 72 godzin, ponieważ eskalacja wewnętrzna zajmuje zbyt dużo czasu.
Lista kontrolna gotowości organizacji
- [ ] Opracowana i przetestowana procedura reagowania na naruszenie ochrony danych osobowych
- [ ] Wskazany IOD lub wyznaczona osoba kontaktowa z danymi dostępnymi przez całą dobę
- [ ] Pracownicy przeszkoleni w zakresie rozpoznawania naruszeń i wewnętrznej ścieżki eskalacji
- [ ] Prowadzony rejestr naruszeń (Artykuł 33(5))
- [ ] Wzory zgłoszeń do UODO przygotowane i zatwierdzone
- [ ] Umowy z podmiotami przetwarzającymi zawierające klauzule o terminowym zgłaszaniu naruszeń
- [ ] Mechanizmy szyfrowania i pseudonimizacji danych wdrożone tam, gdzie to możliwe
- [ ] Regularne testy procedury reagowania na incydenty (ćwiczenia „tabletop")
- [ ] Zarejestrowane konto w portalu zgłoszeń UODO
Najważniejsze wnioski
Artykuł 33 RODO ustanawia twardy 72-godzinny termin zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego. Termin biegnie od momentu stwierdzenia naruszenia przez administratora lub podmiot przetwarzający działający w jego imieniu. Próg obowiązku zgłoszenia jest niski — wystarczy prawdopodobieństwo ryzyka dla praw i wolności. Próg obowiązku powiadamiania osób, których dane dotyczą (Artykuł 34), jest wyższy i wymaga wysokiego ryzyka. Niedotrzymanie terminu lub niezgłoszenie naruszenia skutkuje karami do 10 mln euro lub 2% globalnego obrotu.
Kluczem do zgodności jest nie tyle znajomość prawa, co posiadanie sprawnie działających procedur wewnętrznych — czyli planu reagowania na incydenty, który uruchamia właściwe działania w ciągu kilku godzin od wykrycia naruszenia.
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W sprawach dotyczących konkretnego stanu faktycznego należy skonsultować się z kwalifikowanym prawnikiem specjalizującym się w ochronie danych osobowych.
Key takeaways: RODO Artykuł 33: Zgłoszenie Naruszenia Ochrony Danych w 72 Godziny
This article covers: Przepis prawa: RODO Artykuł 33(1), Co stanowi naruszenie ochrony danych osobowych?, Termin 72 godzin: kiedy zaczyna biec?.
- Przepis prawa: RODO Artykuł 33(1)
- Co stanowi naruszenie ochrony danych osobowych?
- Termin 72 godzin: kiedy zaczyna biec?
- Organy nadzorcze w UE: gdzie zgłaszać naruszenia?
- Treść zgłoszenia: RODO Artykuł 33(3)
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.