{"id":572,"date":"2021-01-04T11:43:09","date_gmt":"2021-01-04T11:43:09","guid":{"rendered":"https:\/\/sawaryn.com\/?p=572"},"modified":"2026-04-22T09:12:20","modified_gmt":"2026-04-22T09:12:20","slug":"zgloszenie-naruszenia-rodo-wyciek-danych-osobowych","status":"publish","type":"post","link":"https:\/\/sawaryn.com\/en\/publikacje\/zgloszenie-naruszenia-rodo-wyciek-danych-osobowych\/","title":{"rendered":"Zg\u0142oszenie naruszenia RODO \u2013 wyciek danych osobowych"},"content":{"rendered":"<h1>Wyciek danych osobowych \u2013 co zrobi\u0107, komu zg\u0142osi\u0107 i jak unikn\u0105\u0107 kary<\/h1>\n<p>Je\u015bli w Twojej firmie dosz\u0142o (lub mog\u0142o doj\u015b\u0107) do wycieku danych osobowych, masz trzy \u015bcie\u017cki: zg\u0142oszenie do UODO i u\u017cytkownik\u00f3w, zg\u0142oszenie tylko do UODO albo brak zg\u0142oszenia. Wyb\u00f3r zale\u017cy od poziomu ryzyka naruszenia praw os\u00f3b, kt\u00f3rych dane dotycz\u0105. Poni\u017cej znajdziesz konkretne kryteria oceny, procedur\u0119 dzia\u0142ania i konsekwencje ka\u017cdej opcji.<\/p>\n<h2>Pierwszy krok: analiza naruszenia danych<\/h2>\n<p>Zanim podejmiesz jak\u0105kolwiek decyzj\u0119, zbadaj, czy faktycznie dosz\u0142o do <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/co-to-jest-rodo\/\">incydentu RODO<\/a><\/strong> \u2013 czyli naruszenia ochrony danych osobowych.<\/p>\n<h3>Co zrobi\u0107 od razu<\/h3>\n<ol>\n<li><strong>Zaanga\u017cuj programist\u00f3w lub informatyk\u00f3w<\/strong> \u2013 ustal, na czym dok\u0142adnie polega\u0142 incydent (w\u0142amanie, b\u0142\u0105d konfiguracji, nieautoryzowany dost\u0119p).<\/li>\n<li><strong>Oce\u0144 skutki z perspektywy osoby, kt\u00f3rej dane wyciek\u0142y<\/strong> \u2013 nie z perspektywy firmy. Pytanie brzmi: co grozi tej osobie?<\/li>\n<li><strong>Zastosuj \u015brodki zaradcze<\/strong> \u2013 zminimalizuj skutki naruszenia jeszcze zanim zaczniesz rozwa\u017ca\u0107 zg\u0142oszenie.<\/li>\n<li><strong>Zabezpiecz dowody i \u015blady<\/strong> \u2013 logi, screeny, raporty techniczne. B\u0119d\u0105 potrzebne przy ewentualnej kontroli UODO.<\/li>\n<\/ol>\n<h3>Co ustalasz na podstawie analizy<\/h3>\n<ul>\n<li>Jakie dane wyciek\u0142y (nick i login to co innego ni\u017c PESEL czy dane p\u0142atnicze).<\/li>\n<li>Ile os\u00f3b dotyczy incydent.<\/li>\n<li>Czy dane by\u0142y zaszyfrowane i czy szyfrowanie mog\u0142o zosta\u0107 z\u0142amane.<\/li>\n<li>Jakie ryzyko naruszenia praw lub wolno\u015bci grozi osobom, kt\u00f3rych dane wyciek\u0142y.<\/li>\n<\/ul>\n<p>Dopiero wyniki tej analizy pozwalaj\u0105 wybra\u0107 jedn\u0105 z trzech \u015bcie\u017cek dzia\u0142ania.<\/p>\n<h2>Gdzie i kiedy zg\u0142osi\u0107 naruszenie RODO \u2013 trzy opcje<\/h2>\n<h3>Opcja I: Zg\u0142oszenie do UODO bez zawiadamiania u\u017cytkownik\u00f3w<\/h3>\n<p>Wybierz t\u0119 \u015bcie\u017ck\u0119, je\u015bli ryzyko naruszenia praw lub wolno\u015bci os\u00f3b fizycznych <strong>nie jest wysokie<\/strong>.<\/p>\n<p>Okoliczno\u015bci, kt\u00f3re mog\u0105 uzasadnia\u0107 brak wysokiego ryzyka:<\/p>\n<ul>\n<li><strong>Dane by\u0142y zabezpieczone kryptograficznie<\/strong> \u2013 nawet w przypadku w\u0142amania nie dosz\u0142o do ich odszyfrowania.<\/li>\n<li><strong>Brak \u015blad\u00f3w w\u0142amania<\/strong> \u2013 ustalenia prowadz\u0105 do wniosku, \u017ce do wycieku w og\u00f3le nie dosz\u0142o (np. mimo fa\u0142szywych twierdze\u0144 innych podmiot\u00f3w).<\/li>\n<li><strong>Zakres danych jest ograniczony<\/strong> \u2013 wyciek\u0142y np. jedynie nicki lub loginy, a nie dane wra\u017cliwe (PESEL, dane p\u0142atnicze).<\/li>\n<\/ul>\n<h4>Co zawrze\u0107 w zg\u0142oszeniu do UODO<\/h4>\n<ul>\n<li>Opis ca\u0142ej sytuacji \u2013 co si\u0119 wydarzy\u0142o, kiedy i jak.<\/li>\n<li>Wyja\u015bnienie, dlaczego oceniasz ryzyko jako niskie (np. brak dowod\u00f3w na wyciek, skuteczne szyfrowanie).<\/li>\n<li>Informacj\u0119 o zastosowanych \u015brodkach zaradczych.<\/li>\n<\/ul>\n<h4>Ryzyka tej opcji<\/h4>\n<ul>\n<li>UODO mo\u017ce wszcz\u0105\u0107 kontrol\u0119 \u2013 upewnij si\u0119, \u017ce <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/audyt-rodo-gdpr-outsourcing-iod\/\">dokumentacja RODO jest kompletna i aktualna<\/a><\/strong>.<\/li>\n<li>UODO mo\u017ce oceni\u0107 sytuacj\u0119 inaczej i nakaza\u0107 powiadomienie u\u017cytkownik\u00f3w.<\/li>\n<\/ul>\n<h3>Opcja II: Zg\u0142oszenie do UODO i powiadomienie u\u017cytkownik\u00f3w<\/h3>\n<p>Wybierz t\u0119 \u015bcie\u017ck\u0119, je\u015bli masz pewno\u015b\u0107, \u017ce dosz\u0142o do naruszenia i mo\u017ce ono skutkowa\u0107 <strong>wysokim ryzykiem<\/strong> naruszenia praw lub wolno\u015bci os\u00f3b fizycznych.<\/p>\n<p>W praktyce \u2013 je\u015bli potwierdzi si\u0119 wyciek danych, ryzyko najcz\u0119\u015bciej jest wysokie.<\/p>\n<h4>Co zawrze\u0107 w powiadomieniu u\u017cytkownik\u00f3w<\/h4>\n<ul>\n<li>Dok\u0142adny opis sytuacji \u2013 co si\u0119 sta\u0142o, jakie dane mog\u0142y zosta\u0107 naruszone.<\/li>\n<li>Informacj\u0119 o podj\u0119tych \u015brodkach zaradczych.<\/li>\n<li>Je\u015bli z ustale\u0144 wynika, \u017ce dane nie zosta\u0142y odszyfrowane lub wykorzystane \u2013 wpisz to wprost. Mo\u017cesz wskaza\u0107, \u017ce zg\u0142oszenie wynika z dobrej praktyki i dba\u0142o\u015bci o interesy u\u017cytkownik\u00f3w.<\/li>\n<\/ul>\n<h4>Ryzyka tej opcji<\/h4>\n<ul>\n<li><strong>Ryzyko wizerunkowe<\/strong> \u2013 incydenty bezpiecze\u0144stwa s\u0105 \u017ale odbierane, szczeg\u00f3lnie je\u015bli Tw\u00f3j biznes opiera si\u0119 na przetwarzaniu danych (np. <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/rodo-w-branzy-e-commerce\/\">e-commerce<\/a><\/strong>).<\/li>\n<li><strong>Ryzyko kontroli UODO<\/strong> \u2013 tak samo jak w Opcji I. Pe\u0142na dokumentacja RODO to warunek bezpiecze\u0144stwa.<\/li>\n<\/ul>\n<h3>Opcja III: Brak zg\u0142oszenia do UODO i brak powiadomienia u\u017cytkownik\u00f3w<\/h3>\n<p>Zgodnie z art. 33 ust. 1 RODO \u2013 je\u015bli jest <strong>ma\u0142o prawdopodobne<\/strong>, by naruszenie skutkowa\u0142o ryzykiem naruszenia praw i wolno\u015bci osoby fizycznej, nie musisz zg\u0142asza\u0107 incydentu ani do UODO, ani do u\u017cytkownik\u00f3w.<\/p>\n<p>Ta opcja dotyczy sytuacji, w kt\u00f3rych dosz\u0142o do incydentu (naruszenia ochrony danych), ale jego skutki dla os\u00f3b fizycznych s\u0105 znikome.<\/p>\n<h2>Kara za naruszenie RODO \u2013 ile ryzykujesz<\/h2>\n<p>Brak zg\u0142oszenia naruszenia danych lub brak poinformowania u\u017cytkownik\u00f3w mo\u017ce kosztowa\u0107:<\/p>\n<ul>\n<li><strong>do 10 milion\u00f3w euro<\/strong>, lub<\/li>\n<li><strong>2% rocznego obrotu przedsi\u0119biorstwa<\/strong>.<\/li>\n<\/ul>\n<h3>Przypadek Morele.net \u2013 lekcja z 2020 roku<\/h3>\n<p>Morele.net zap\u0142aci\u0142o 2,8 mln z\u0142 kary za wyciek ponad 2 mln rekord\u00f3w danych osobowych. Co wa\u017cne \u2013 kara nie zosta\u0142a wymierzona za sam wyciek. W toku kontroli UODO ustali\u0142, \u017ce firma:<\/p>\n<ul>\n<li>nie dope\u0142ni\u0142a <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/rodo-i-ochrona-danych-najczestsze-bledy-w-sklepach-internetowych\/\">obowi\u0105zk\u00f3w informacyjnych<\/a><\/strong>,<\/li>\n<li>za p\u00f3\u017ano podj\u0119\u0142a czynno\u015bci zaradcze,<\/li>\n<li>nie zminimalizowa\u0142a skutk\u00f3w wycieku na czas.<\/li>\n<\/ul>\n<h3>Zasada decyzji<\/h3>\n<p>Je\u015bli istnieje ryzyko, \u017ce dosz\u0142o do wycieku danych \u2013 przyjmij najgorszy scenariusz. Zawiadom przynajmniej UODO. Upewnij si\u0119, \u017ce z pomoc\u0105 specjalist\u00f3w (informatycy, programi\u015bci) zabezpieczy\u0142e\u015b wszystkie dowody i \u015blady oraz zrobi\u0142e\u015b wszystko, co mo\u017cliwe, by zminimalizowa\u0107 skutki.<\/p>\n<p>Je\u015bli potrzebujesz pomocy prawnej w obs\u0142udze incydentu RODO \u2013 skontaktuj si\u0119 z nami.<\/p>\n<h2>Najcz\u0119\u015bciej zadawane pytania<\/h2>\n<p><strong>Co zrobi\u0107 od razu, gdy w firmie dosz\u0142o do wycieku danych osobowych?<\/strong> Zaanga\u017cuj programist\u00f3w lub informatyk\u00f3w, \u017ceby ustali\u0107, na czym dok\u0142adnie polega\u0142 incydent \u2013 w\u0142amanie, b\u0142\u0105d konfiguracji czy nieautoryzowany dost\u0119p. R\u00f3wnolegle zabezpiecz dowody i \u015blady (logi, screeny, raporty techniczne) oraz zastosuj \u015brodki zaradcze, zanim zaczniesz rozwa\u017ca\u0107 zg\u0142oszenie. Oce\u0144 skutki z perspektywy osoby, kt\u00f3rej dane wyciek\u0142y \u2013 nie z perspektywy firmy \u2013 i ustal zakres danych, liczb\u0119 os\u00f3b dotkni\u0119tych incydentem oraz to, czy dane by\u0142y zaszyfrowane.<\/p>\n<br>\n<p><strong>Kiedy wyciek danych trzeba zg\u0142osi\u0107 do UODO, a kiedy tak\u017ce poinformowa\u0107 u\u017cytkownik\u00f3w?<\/strong> Masz trzy \u015bcie\u017cki: je\u015bli ryzyko naruszenia praw os\u00f3b fizycznych nie jest wysokie \u2013 zg\u0142aszasz tylko do UODO; je\u015bli ryzyko jest wysokie \u2013 zg\u0142aszasz do UODO i powiadamiasz u\u017cytkownik\u00f3w; je\u015bli jest ma\u0142o prawdopodobne, by naruszenie skutkowa\u0142o jakimkolwiek ryzykiem dla os\u00f3b fizycznych \u2013 nie musisz zg\u0142asza\u0107 nikomu. W praktyce, je\u015bli potwierdzi si\u0119 wyciek danych, ryzyko najcz\u0119\u015bciej ocenia si\u0119 jako wysokie, co oznacza obowi\u0105zek zg\u0142oszenia do UODO i zawiadomienia u\u017cytkownik\u00f3w.<\/p>\n<br>\n<p><strong>Jak oceni\u0107, czy naruszenie danych oznacza wysokie ryzyko dla os\u00f3b, kt\u00f3rych dane dotycz\u0105?<\/strong> Sprawd\u017a, jakie dane wyciek\u0142y \u2013 wyciek nick\u00f3w i login\u00f3w to zupe\u0142nie inny poziom ryzyka ni\u017c wyciek PESEL-i czy danych p\u0142atniczych. We\u017a pod uwag\u0119, ile os\u00f3b dotyczy incydent, czy dane by\u0142y zaszyfrowane i czy szyfrowanie mog\u0142o zosta\u0107 z\u0142amane. Je\u015bli dane by\u0142y skutecznie zabezpieczone kryptograficznie, zakres wycieku jest ograniczony, a brak jest \u015blad\u00f3w w\u0142amania \u2013 mo\u017cesz uzasadni\u0107, \u017ce ryzyko nie jest wysokie.<\/p>\n<br>\n<p><strong>Co powinno znale\u017a\u0107 si\u0119 w zg\u0142oszeniu naruszenia do UODO i w informacji do u\u017cytkownik\u00f3w?<\/strong> W zg\u0142oszeniu do UODO opisz, co si\u0119 wydarzy\u0142o, kiedy i jak, wyja\u015bnij, dlaczego oceniasz ryzyko na danym poziomie (np. brak dowod\u00f3w na wyciek, skuteczne szyfrowanie), oraz wska\u017c zastosowane \u015brodki zaradcze. W powiadomieniu u\u017cytkownik\u00f3w podaj dok\u0142adny opis sytuacji, informacj\u0119 o podj\u0119tych \u015brodkach zaradczych, a je\u015bli z ustale\u0144 wynika, \u017ce dane nie zosta\u0142y odszyfrowane lub wykorzystane \u2013 wpisz to wprost i wska\u017c, \u017ce zg\u0142oszenie wynika z dobrej praktyki i dba\u0142o\u015bci o interesy u\u017cytkownik\u00f3w.<\/p>\n<br>\n<p><strong>Jakie kary gro\u017c\u0105 za brak zg\u0142oszenia wycieku danych i czego uczy przypadek Morele.net?<\/strong> Brak zg\u0142oszenia naruszenia lub brak poinformowania u\u017cytkownik\u00f3w mo\u017ce kosztowa\u0107 do 10 milion\u00f3w euro lub 2% rocznego obrotu przedsi\u0119biorstwa. Morele.net zap\u0142aci\u0142o 2,8 mln z\u0142 kary za wyciek ponad 2 mln rekord\u00f3w \u2013 UODO wymierzy\u0142 kar\u0119 nie za sam wyciek, lecz za niedope\u0142nienie obowi\u0105zk\u00f3w informacyjnych, zbyt p\u00f3\u017ane podj\u0119cie czynno\u015bci zaradczych i niezminimalizowanie skutk\u00f3w wycieku na czas.<\/p>","protected":false},"excerpt":{"rendered":"<p>Wyciek danych osobowych lub inne naruszenie RODO to koszmar dla ka\u017cdego przedsi\u0119biorcy. Niestety takie sytuacje si\u0119 zdarzaj\u0105 i niezwykle ci\u0119\u017cko im zaradzi\u0107. Czasami dziej\u0105 si\u0119 przez przypadek, a czasem mo\u017cna pa\u015b\u0107 ofiar\u0105 celowego ataku cyberprzest\u0119pc\u00f3w. Jak si\u0119 zachowa\u0107 je\u017celi masz podejrzenie, \u017ce dane osobowe przetwarzane w Twojej firmie wyciek\u0142y do Internetu? Analiza naruszenia danych Po [&hellip;]<\/p>","protected":false},"author":4,"featured_media":573,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[47,55],"tags":[218,198,196,217,219],"language":[],"ppma_author":[72],"class_list":["post-572","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rodo","category-dla-przedsiebiorcy","tag-naruszenie-danych","tag-ochrona-danych-osobowych","tag-rodo","tag-wyciek","tag-wyciek-danych"],"acf":[],"jetpack_featured_media_url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/11\/SiP_post_RODO_29_06.jpg","authors":[{"term_id":72,"user_id":4,"is_guest":0,"slug":"mateuszs","display_name":"Mateusz Sawaryn","avatar_url":{"url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/Mateusz-Sawaryn-foto-4.png","url2x":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/Mateusz-Sawaryn-foto-4.png"},"user_url":"https:\/\/www.linkedin.com\/in\/mateuszsawaryn\/","last_name":"Sawaryn","first_name":"Mateusz","description":""}],"_links":{"self":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/572","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/comments?post=572"}],"version-history":[{"count":7,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/572\/revisions"}],"predecessor-version":[{"id":4575,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/572\/revisions\/4575"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media\/573"}],"wp:attachment":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media?parent=572"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/categories?post=572"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/tags?post=572"},{"taxonomy":"language","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/language?post=572"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/ppma_author?post=572"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}