← Beznazwisk.pl
Strona główna / Blog / Zgłoszenie naruszenia ochrony danych do UODO - krok po kroku

Zgłoszenie naruszenia ochrony danych do UODO - termin, formularz i co pisać

Data publikacji Kwiecień 2026 Czas czytania 6 min

Pracownik zgubił laptopa z danymi klientów. Z serwera wyciekły dane użytkowników. Dokument z danymi osobowymi trafił do niewłaściwego odbiorcy. Co teraz? RODO daje administratorowi 72 godziny na zgłoszenie naruszenia do organu nadzorczego - i wiele firm nie zdaje sobie sprawy, jak krytyczne jest dotrzymanie tego terminu. Zgłoszenie po czasie jest jedną z najczęstszych podstaw kar UODO.

Kiedy masz obowiązek zgłoszenia naruszenia

Nie każde naruszenie wymaga zgłoszenia. Art. 33 RODO mówi, że zgłosić należy naruszenie, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne, wystarczy wewnętrzna dokumentacja zdarzenia.

W praktyce zgloszenie jest wymagane gdy:

Kryterium jest ryzyko. Jeśli utracony pendrive był zaszyfrowany i bez hasła jest bezużyteczny - ryzyko jest niskie i zgłoszenie może nie być konieczne, choć wewnętrzna dokumentacja jest zawsze wymagana.

72 godziny liczone są od chwili, gdy administrator powziął wiedzę o naruszeniu. Nie od momentu, gdy naruszenie nastąpiło. Jeśli wyciek zdarzył się w poniedziałek, a ktoś w organizacji odkrył go w środę wieczorem - zegar zaczyna biec w środę. Jeśli zgłoszenie nie jest możliwe w pełnym zakresie w terminie 72 godzin, należy zgłosić to co wiadomo, uzupełniając później o szczegóły.

Jak zgłosić naruszenie do UODO - formularz i kanał

UODO udostępnia formularz zgłoszenia naruszenia na stronie uodo.gov.pl. Można je złożyć również elektronicznie przez ePUAP lub w formie papierowej. Najszybsza droga to platforma elektroniczna - co jest istotne przy presji czasu 72 godzin.

Formularz wymaga podania:

Czego nie robić po wykryciu naruszenia

Kilka błędów, które UODO widzi regularnie w sprawach, gdzie nakłada kary:

Zapobiegaj naruszeniom zanim do nich dojdzie

Jednym ze sposobów ograniczenia ryzyk RODO jest anonimizacja dokumentów zawierających dane osobowe przed ich przekazywaniem zewnętrznym podmiotom. Beznazwisk.pl robi to lokalnie - dane nie wychodzą z Twojego komputera.

Pobierz bezpłatnie

Co się dzieje po zgłoszeniu

UODO rejestruje zgłoszenie i może podjąć następujące działania: uznać zgłoszenie za wystarczające i nie podejmować dalszych kroków; zwrócić się o uzupełnienie informacji; wszcząć postępowanie wyjaśniające; wszcząć postępowanie administracyjne mogące zakończyć się karą.

Sam fakt zgłoszenia naruszenia jest traktowany jako okoliczność łagodząca, jeśli UODO zdecyduje się nałożyć karę. Ukrywanie naruszenia i zgłoszenie po terminie to czynniki obciążające - co potwierdzają decyzje z ostatnich lat.

Kiedy trzeba też zawiadomić osoby, których dane dotyczyły

Jeśli naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób fizycznych (np. możliwość kradzieży tożsamości, dyskryminacja, strata finansowa), administrator ma obowiązek poinformować osoby poszkodowane bezpośrednio - komunikatem jasnym i zrozumiałym, opisującym naturę naruszenia i dostępne środki zaradcze.

Przeczytaj również


Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.