Skuteczne zgłoszenie naruszenia danych pozwala uruchomić kontrolę, zabezpieczyć dowody i realnie zwiększyć szansę na usunięcie skutków wycieku. Na początku zwykle jest chaos: nie wiadomo, czy pisać do firmy, do Prezesa UODO, na policję, czy od razu blokować PESEL.
Naruszenie RODO nie trafia zawsze w jedno miejsce, bo wszystko zależy od tego, kto zawinił i jakie dane wyciekły. Jeśli sklep internetowy ujawnił adres e-mail, droga będzie inna niż przy kradzieży skanu dowodu, podszyciu pod bank albo nękaniu spamem. Poniżej jest konkret: gdzie zgłaszać sprawę, kiedy wystarczy skarga do firmy, kiedy wchodzi Urząd Ochrony Danych Osobowych, a kiedy trzeba równolegle działać w banku, na policji albo w CERT Polska. Bez zgadywania i bez przerzucania odpowiedzialności między instytucjami.
Kiedy faktycznie doszło do naruszenia danych osobowych
Naruszenie ochrony danych osobowych to nie jest wyłącznie głośny wyciek do internetu. Zgodnie z art. 4 pkt 12 RODO naruszeniem jest każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia albo dostępu do danych.
To oznacza jedno: wysłanie dokumentu do złej osoby jest naruszeniem. Tak samo zgubiony pendrive z bazą klientów, błędnie ustawione uprawnienia w systemie CRM, opublikowanie listy płac bez anonimizacji czy ujawnienie numeru PESEL w korespondencji mailowej.
- firma wysłała fakturę z cudzymi danymi do innego klienta,
- pracodawca wywiesił grafik z numerami PESEL,
- przychodnia udostępniła wyniki badań niewłaściwej osobie,
- skradziono laptop z bazą danych bez szyfrowania,
- konto w sklepie internetowym zostało przejęte, a dane klienta zmienione.
Jeżeli zdarzenie dotyczy PESEL, numeru dowodu, danych logowania, danych medycznych albo finansowych, sprawa jest pilna. Tu nie czeka się „na odpowiedź firmy”, tylko od razu zabezpiecza skutki.
Gdzie zgłaszać naruszenie RODO: firma, inspektor, UODO czy policja?
Nie każde naruszenie zgłasza się od razu do UODO. Najpierw trzeba ustalić, czy chodzi o skargę na administratora danych, czy o incydent wymagający także działań karnych i technicznych.
| Sytuacja | Gdzie zgłosić | Termin / pilność | Cel zgłoszenia |
|---|---|---|---|
| Firma ujawniła dane, nie odpowiada na żądanie, przetwarza dane bez podstawy | Prezes UODO | Jak najszybciej po zebraniu dowodów | Skarga na naruszenie przepisów RODO |
| Błąd po stronie konkretnej firmy, np. zły e-mail, błędna wysyłka dokumentów | Administrator danych lub IOD | Od razu | Zatrzymanie skutków i uzyskanie wyjaśnień |
| Kradzież tożsamości, wyłudzenie, podszycie, użycie danych do oszustwa | Policja lub prokuratura + bank | Natychmiast | Zabezpieczenie karne i finansowe |
| Phishing, przejęcie konta, złośliwa strona, rozsyłanie danych po sieci | CERT Polska | Natychmiast | Obsługa incydentu cyberbezpieczeństwa |
| Niechciany marketing telefoniczny lub SMS | UODO, UKE, czasem UOKiK | Po udokumentowaniu kontaktu | Sprzeciw, kontrola zgód i praktyk marketingowych |
Najczęściej działają równolegle co najmniej dwie ścieżki: zgłoszenie do administratora danych i skarga do Prezesa UODO. Gdy doszło do wyłudzenia kredytu, przejęcia bankowości albo fałszywego konta na dane ofiary, sama skarga do UODO nie wystarczy.
Najpierw kontakt z administratorem danych lub inspektorem ochrony danych
Firma ma obowiązek odpowiedzieć na żądanie dotyczące danych osobowych w ciągu 1 miesiąca. To wynika z art. 12 ust. 3 RODO. W praktyce pierwszy ruch powinien iść do administratora danych, czyli podmiotu, który przetwarza dane: banku, sklepu, pracodawcy, przychodni, operatora telekomunikacyjnego.
Trzeba żądać konkretu, nie ogólnej „weryfikacji sprawy”. Dobre zgłoszenie powinno wskazywać datę zdarzenia, opis naruszenia, zakres danych oraz oczekiwanie: wyjaśnienia, kopii zgłoszenia naruszenia, informacji o środkach naprawczych, usunięcia danych albo ograniczenia przetwarzania.
Co wpisać w zgłoszeniu do firmy
- imię i nazwisko oraz dane kontaktowe,
- opis zdarzenia z datą i godziną,
- jakie dane zostały ujawnione: np. PESEL, adres, telefon, historia leczenia,
- żądanie odpowiedzi oraz wskazania, czy naruszenie zostało zgłoszone do UODO,
- załączniki: screeny, e-maile, zdjęcia korespondencji, numer sprawy.
Jeśli podmiot wyznaczył Inspektora Ochrony Danych, zgłoszenie warto wysłać właśnie do niego. IOD działa m.in. w urzędach, szpitalach, szkołach, bankach i wielu większych firmach. Dane kontaktowe IOD powinny być opublikowane w polityce prywatności lub na stronie kontaktowej.
Administrator danych ma obowiązek zawiadomić osobę, której dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności — tak stanowi art. 34 RODO.
Skarga do Prezesa UODO: kiedy i jak ją złożyć
Prezes UODO jest właściwym organem, gdy doszło do naruszenia przepisów RODO przez administratora lub podmiot przetwarzający. Podstawa prawna to art. 77 RODO. To nie jest infolinia do ogólnego „sprawdzenia, czy coś jest legalne”, tylko formalna ścieżka skargowa.
Skargę składa się wtedy, gdy firma przetwarza dane bez podstawy, nie realizuje prawa dostępu, ignoruje żądanie usunięcia danych, nie odpowiada na zgłoszenie, ujawnia dane osobom trzecim albo stosuje niewystarczające zabezpieczenia.
Jak przygotować skargę do UODO
Skarga musi być konkretna i oparta na dowodach. Im mniej emocji, tym lepiej. Liczą się fakty, daty, dokumenty i wskazanie podmiotu.
- Wskazać administratora danych, np. nazwę spółki, adres siedziby, NIP lub stronę www.
- Opisać naruszenie: co się wydarzyło, kiedy, jakie dane dotyczą sprawy.
- Dołączyć korespondencję z firmą, odpowiedzi albo brak odpowiedzi.
- Napisać, czego dotyczy skarga: np. bezprawne ujawnienie danych, brak realizacji prawa do usunięcia, brak informacji o naruszeniu.
Skargę można złożyć do Urzędu Ochrony Danych Osobowych w formie pisemnej albo elektronicznej, zgodnie z aktualnymi instrukcjami na stronie uodo.gov.pl. W praktyce warto od razu przygotować pełny pakiet załączników w PDF.
UODO nie cofa skutków oszustwa finansowego. Ten urząd ocenia zgodność działań z przepisami o ochronie danych. Jeśli ktoś wziął pożyczkę na cudzy PESEL, potrzebne są też działania karne i bankowe.
Gdzie szukać pomocy poza UODO, gdy sprawa jest pilna
Przy wycieku danych wrażliwych liczy się pierwsza godzina, a nie samo złożenie skargi. Jeśli naruszenie grozi stratą pieniędzy albo kradzieżą tożsamości, trzeba działać równolegle na kilku frontach.
Najważniejsze miejsca pomocy
Policja lub prokuratura — gdy doszło do oszustwa, podszycia, użycia danych do zawarcia umowy, założenia konta, wyłudzenia pożyczki. Tu potrzebne jest zawiadomienie o możliwości popełnienia przestępstwa, nie „informacja o problemie”.
Bank lub operator płatności, np. PKO BP, mBank, Santander, ING, PayU — gdy zagrożone są rachunki, karty, bankowość internetowa lub płatności odroczone. Należy zablokować dostęp, zmienić hasła i uruchomić monitoring transakcji.
Zastrzeżenie numeru PESEL w aplikacji mObywatel lub w urzędzie gminy — jeśli wyciekł PESEL albo dowód osobisty. Od 1 czerwca 2024 r. instytucje finansowe mają obowiązek weryfikować zastrzeżenie PESEL przy wielu czynnościach, co realnie utrudnia wyłudzenia.
CERT Polska — gdy dane krążą po fałszywych stronach, ktoś przejął konto e-mail, wysyła phishing albo wyłudza loginy. Zgłoszenia incydentów przyjmowane są przez serwis incydent.cert.pl.
BIK i alerty kredytowe — gdy istnieje ryzyko zaciągnięcia zobowiązań na cudze dane. To nie jest urząd, ale narzędzie praktyczne, które pozwala szybciej wychwycić próbę wykorzystania danych.
Skan dowodu osobistego, numer PESEL i dane adresowe w jednym pakiecie powodują wysokie ryzyko kradzieży tożsamości. W takiej sytuacji skarga do UODO to tylko część działania.
Jakie dowody zbierać i czego nie robić po wycieku danych
Bez dowodów sprawa się rozmywa. Administrator danych, UODO, bank i policja będą pytać o ten sam zestaw faktów: kiedy, gdzie, jakie dane, jaki skutek.
Trzeba zachować screeny, nagłówki e-maili, numer zgłoszenia, kopie wiadomości SMS, potwierdzenia rozmów z infolinią, wezwania do zapłaty, informacje z banku i wszelką korespondencję z firmą. Jeśli doszło do pomyłki w wysyłce, warto zachować załącznik i metadane wiadomości.
Są też rzeczy, których nie wolno robić. Nie należy odsyłać dalej cudzego dokumentu „dla potwierdzenia”, publikować skanów dowodu w mediach społecznościowych ani prowadzić awantury na infolinii zamiast złożyć formalne pismo. Emocje nie zastępują dowodu.
Terminy, o których warto pamiętać
Administrator danych ma 72 godziny na zgłoszenie naruszenia do UODO od momentu jego stwierdzenia — wynika to z art. 33 ust. 1 RODO. To termin dla firmy, nie dla osoby poszkodowanej. Warto jednak o nim pamiętać, bo jeśli firma wiedziała o incydencie i milczała, to ważny argument w skardze.
Osoba, której dane dotyczą, nie ma w RODO sztywnego terminu typu 7 czy 14 dni na wniesienie skargi do UODO. To nie znaczy, że można zwlekać. Im szybciej złożone zgłoszenie i zabezpieczone dowody, tym łatwiej wykazać, co się wydarzyło.
Na odpowiedź na żądanie związane z danymi administrator ma zwykle 1 miesiąc. W sprawach skomplikowanych termin może zostać przedłużony maksymalnie o kolejne 2 miesiące, ale firma musi o tym poinformować wraz z uzasadnieniem.
Najczęstsze pytania
Czy naruszenie RODO zgłasza się zawsze do UODO?
Nie. Jeśli chodzi o błąd konkretnej firmy, najpierw warto zgłosić sprawę administratorowi danych lub jego IOD. Do UODO trafia formalna skarga na naruszenie przepisów, a przy oszustwie potrzebna jest też policja i często bank.
Gdzie zgłosić wyciek numeru PESEL i dowodu osobistego?
Trzeba od razu zastrzec PESEL, skontaktować się z bankiem i rozważyć zawiadomienie policji. Równolegle należy zgłosić sprawę administratorowi danych, a jeśli doszło do naruszenia obowiązków, złożyć skargę do Prezesa UODO.
Czy firma musi poinformować o wycieku danych?
Tak, jeśli naruszenie powoduje wysokie ryzyko dla praw lub wolności osoby, której dane dotyczą. Wynika to z art. 34 RODO. Taka informacja powinna być jasna i zawierać opis skutków oraz zalecane działania ochronne.
Czy można dostać odszkodowanie za naruszenie RODO?
Tak, przewiduje to art. 82 RODO. Skarga do UODO nie jest jednak tym samym co pozew o odszkodowanie — to dwa różne tryby działania.
Co zrobić, jeśli firma nie odpowiada na zgłoszenie o naruszeniu danych?
Po upływie 1 miesiąca warto złożyć skargę do UODO i dołączyć całą korespondencję. Brak odpowiedzi administratora jest sam w sobie istotnym elementem sprawy.