Kalkulator podatkowy
Portal
Publikacje30 lipca 2025

Nowe standardy zgłaszania naruszeń ochrony danych w 2025 r. – co i dlaczego raportować do Prezesa Urzędu Ochrony Danych Osobowych (PUODO)

Nowe podejście UODO od 2025 roku

Zgodnie z nowymi wytycznymi PUODO, już każde zdarzenie, które może potencjalnie skutkować naruszeniem poufności, integralności lub dostępności danych osobowych, należy traktować jako naruszenie.

Każdy administrator powinien przeprowadzić ocenę ryzyka związanego z naruszeniem ochrony danych osobowych. Za każdym razem, gdy administrator stwierdzi naruszenie ochrony danych osobowych, powinien samodzielnie ocenić, czy naruszenie może stwarzać ryzyko naruszenia praw lub wolności osób fizycznych. To właśnie wynik tej oceny decyduje o tym, czy naruszenie trzeba zgłosić do PUODO, czy należy również poinformować osoby, których dane dotyczą, czy tylko udokumentować zdarzenie.

 

Termin zgłoszenia: 72 godziny

Naruszenia należy zgłaszać do PUODO nie później niż w ciągu 72 godzin od ich stwierdzenia — niezależnie od tego, czy to dzień roboczy, weekend czy święto.

 

Co analizować?

  1. wagę potencjalnych konsekwencji,
  2. prawdopodobieństwo ich wystąpienia uwzględniając następujące okoliczności zdarzenia:
  • rodzaj naruszenia (np. wyciek, utrata, nieautoryzowana modyfikacja czy dostęp),
  • charakter, wrażliwość i zakres danych osobowych,
  • łatwość identyfikacji osób, których dane dotyczą,
  • możliwe konsekwencje (np. kradzież tożsamości, oszustwa finansowe, naruszenie prywatności),
  • cechy szczególne osób, których dane dotyczą,
  • cechy szczególne administratora,
  • liczbę osób, których dane dotyczą.

 

Jakie naruszenia ochrony danych osobowych należy zgłaszać?

  1. jeśli ryzyko jest wysokie: konieczne jest zgłoszenie naruszenia do PUODO + zawiadomienie osób, których dane dotyczą + udokumentowanie naruszenia,
  2. jeśli naruszenie wiąże się z ryzykiem: obowiązkowe zgłoszenie do PUODO + udokumentowanie naruszenia.

Jeśli naruszenie jest związane z brakiem ryzyka — należy naruszenie udokumentować, ale nie zgłaszać.

 

Zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych

Jeśli naruszenie może prowadzić do wysokiego ryzyka naruszenia praw i wolności osób fizycznych, Administrator powinien niezwłocznie powiadomić takie osoby o naruszeniu.

Informacja ta powinna być jasna, zrozumiała i zawierać:

  • podstawowe informacje o administratorze i innych podmiotach mających związek z naruszeniem,
  • okoliczności naruszenia,
  • skutki lub możliwe skutki naruszenia ochrony danych osobowych dla osób, których dane dotyczą,
  • podjęte lub zaplanowane działania zaradcze,
  • zalecenia dotyczące środków zaradczych, które we własnym zakresie może podjąć osoba, której dane dotyczą,
  • imię i nazwisko oraz dane kontaktowe IOD.

 

Dokumentacja zdarzeń — rejestr naruszeń. Co musi zawierać rejestr?

Rejestr naruszeń powinien obejmować:

  • okoliczności naruszenia (np. data, sposób wykrycia, przyczyna, zakres danych, liczba osób dotkniętych),
  • skutki lub możliwe skutki naruszenia,
  • uzasadnienie oceny ryzyka,
  • działania zaradcze i zapobiegawcze,
  • szczegóły dotyczące zgłoszenia lub uzasadnienie niezgłoszenia,
  • szczegóły dotyczące zawiadomienia osób, których dane dotyczą .

 

Dokumentacja naruszeń ochrony danych osobowych powinna być regularnie aktualizowana.

 

Rola Inspektora Ochrony Danych (IOD)

IOD pełni wyłącznie funkcję doradczą i monitorującą.

Nie może wykonywać obowiązków Administratora, do których należą, m. in.:

  • zgłaszanie naruszeń ochrony danych,
  • zawiadamianie osób, których dane dotyczą.

 

Brak odpowiedniego zarządzania naruszeniami przez Administratorów danych może skutkować poważnymi karami.

 

Jeśli masz wątpliwości – i potrzebujesz pomocy skonsultuj się nami. Nasza Kancelaria chętnie doradzi i może !

Joanna Mikulczyńska – radca prawny | ekspert ds. ochrony danych osobowych
NK Legal Partners

 

Share
previous
Imprezy integracyjne a podatki – co powinien wiedzieć pracodawca?
next
Czy można udostępniać dane osobowe na żądanie? Co musi zawierać wniosek od osoby/podmiotu żądającego udostępnienia danych?

Porozmawiajmy o tym, w czym możemy Ci pomóc

SKONTAKUJ SIĘ Z NAMI
https://nklegalpartners.pl/wp-content/uploads/2022/05/logo_nk_legal_white.png

Od 1992 roku zapewniamy Klientom pełen zakres obsługi prawnej, co stawia nas w gronie jednej z najbardziej doświadczonych kancelarii w Polsce.

Nasze usługi

https://nklegalpartners.pl/wp-content/uploads/2022/09/logo_sygnalisto.png

Program pełnego wdrożenia procedur oraz obsługi anonimowych zgłoszeń dla sygnalistów

Bądźmy w kontakcie

71 300 14 15
ul. Objazdowa 50, 54-513 Wrocław

©2022 NK Legal Partners. All rights reserved

Created by KOLA+BRANDY

©2022 NK Legal Partners. All rights reserved

Created by KOLA+BRANDY

Powered by NK Legal Partners  GDPR Cookie Compliance
Polityka prywatności

Strona internetowa wykorzystuje pliki cookie w celu zapewnienia najwyższej jakości usług. Informacje zawarte w plikach cookie są przechowywane w Państwa przeglądarce i umożliwiają m.in. rozpoznanie użytkownika podczas kolejnych odwiedzin oraz pomagają naszemu zespołowi w analizie, które sekcje strony cieszą się największym zainteresowaniem i są najbardziej użyteczne.