Dlaczego to ważne?
W Polsce co roku zgłaszane są dziesiątki tysięcy incydentów związanych z danymi osobowymi. Problem? Większość ludzi nie wie, czy ich sytuacja to już naruszenie RODO, czy tylko „zwykła pomyłka”.
A od tej oceny zależą obowiązki, terminy i realne konsekwencje prawne – od zgłoszenia do UODO po odszkodowanie.
UODO, EROD (Europejska Rada Ochrony Danych) i ENISA są zgodne: nie każdy incydent = naruszenie, ale każde naruszenie zaczyna się od incydentu.
Jak to wygląda w Polsce: kary, skutki, realne sprawy
RODO obowiązuje w Polsce od 2018 r. (ustawa o ochronie danych osobowych). Kary są realne i dotykają zarówno dużych firm, jak i instytucji publicznych.
- Poczta Polska – administracyjna kara 100 mln zł za nieuprawnione przetwarzanie danych (PESEL) w związku z wyborami korespondencyjnymi.
- Morele.net – 2,8 mln zł za niewystarczające zabezpieczenia danych klientów.
To nie były „ataki hakerskie rodem z filmów”, tylko zaniedbania i błędne decyzje. Właśnie dlatego ocena, czy dany incydent jest naruszeniem, ma kluczowe znaczenie.
Czym jest naruszenie danych osobowych wg RODO – prosto
RODO (art. 4 pkt 12) mówi jasno:
Naruszenie ochrony danych osobowych to zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych.
Po ludzku:
👉 Jeśli ktoś, kto nie powinien, zobaczył, dostał lub mógł dostać dostęp do danych – mamy naruszenie.
Przykłady z życia (najczęstsze sytuacje)
🏢 Pracodawca
- lista płac wysłana mailem do całego zespołu
- CV kandydata dostępne dla osób postronnych
➡️ Tak, to naruszenie danych osobowych
🏫 Szkoła
- oceny uczniów wywieszone na korytarzu z imieniem i nazwiskiem
- e-dziennik z błędnymi uprawnieniami
➡️ Tak, to naruszenie
🏥 Lekarz / przychodnia
- dokumentacja medyczna zostawiona w poczekalni
- mail z wynikami badań do złego pacjenta
➡️ Tak, to naruszenie (dane wrażliwe!)
📦 Firma kurierska
- etykieta z numerem telefonu i adresem widoczna publicznie
- paczka wydana niewłaściwej osobie
➡️ Często tak – zależy od ryzyka
Kiedy to NIE jest naruszenie?
UODO i EROD podkreślają: nie każda pomyłka oznacza naruszenie.
- ❌ nie doszło do ujawnienia danych osobom trzecim
- ❌ dane były zaszyfrowane i nikt nie miał do nich dostępu
- ❌ incydent nie stwarza ryzyka dla praw lub wolności osoby
Przykład:
➡️ mail cofnięty zanim został odczytany
➡️ zgubiony pendrive, ale szyfrowany
Incydent RODO – co zrobić krok po kroku?
Krok 1: Zabezpiecz sytuację
zatrzymaj dalszy wyciek
zmień hasła, zablokuj dostęp, odzyskaj dokumenty
Krok 2: Oceń, czy to naruszenie
Zadaj sobie 3 pytania (wg wytycznych EROD):
Czy doszło do ujawnienia, utraty lub dostępu do danych?
Czy dane dotyczą osoby możliwej do zidentyfikowania?
Czy istnieje ryzyko dla jej praw lub wolności?
Krok 3: Zgłoś do administratora / IOD
Jeśli jesteś pracownikiem lub klientem – zgłoś incydent natychmiast.
Krok 4: Zgłoszenie do UODO (do 72 godzin)
Jeśli ryzyko nie jest niskie – administrator musi zgłosić naruszenie do UODO.
Krok 5: Poinformowanie osoby, której dane dotyczą
Gdy ryzyko jest wysokie (np. dane zdrowotne, finansowe) – osoba musi zostać poinformowana.
Najczęstszy błąd?
👉 Brak decyzji, bo „nie wiemy, czy to naruszenie”.
RODO nie karze za zgłoszenie – karze za brak reakcji.
Nie wiesz, czy to naruszenie?
👉 Przeanalizuj incydent w aplikacji
W kilka minut sprawdzisz:
czy to naruszenie danych osobowych
jakie masz obowiązki
czy i gdzie zgłaszać sprawę
Problem → odpowiedź → narzędzie.
Źródło: RODO (art. 4 pkt 12, art. 33, art. 34, art. 82), wytyczne EROD, stanowiska Prezesa UODO – strona UODO (uodo.gov.pl)
