Zgodnie z art. 4 pkt 12 RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenia mogą przybierać różną postać i mogą dotyczyć poufności, integralności, jak i dostępności danych osobowych.

W przypadku wystąpienia naruszenia ochrony danych osobowych administrator jest zobowiązany do podjęcia działań określonych w przepisach RODO. Zakres tych działań zależy od poziomu ryzyka naruszenia praw lub wolności osób fizycznych jakie generuje dane naruszenie. Jednym z najważniejszych obowiązków administratora w przypadku naruszenia ochrony danych osobowych może być zgłoszenie tego naruszenia organowi nadzorczemu. Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Z literalnego brzmienia tego przepisu można wnioskować, że administrator nie musi zgłaszać naruszenia organowi nadzorczemu jeżeli naruszenie to nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych, albo gdy ryzyko to jest mało prawdopodobne. Podejście takie można uzasadniać dążeniem do uniknięcia sytuacji, w której administratorzy będą zobowiązani do zgłaszania organowi nadzorczemu również takich naruszeń, które nie rodzą istotnego ryzyka naruszenia praw lub wolności osób fizycznych. Co jednak istotne od pewnego czasu Prezes Urzędu Ochrony Danych Osobowych prezentuje stanowisko, które dość istotnie rozszerza obowiązek zawiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych.

Z treści opublikowanych w lutym 2025 r. wytycznych Prezesa Urzędu Ochrony Danych Osobowych dotyczących obowiązków administratorów związanych z naruszeniami ochrony danych osobowych wynika, że administrator jest zobowiązany zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych w zasadzie w każdym przypadku, gdy naruszenie to wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych, nawet gdyby ryzyko takie było stosunkowo niewielkie. (Por. Urząd Ochrony Danych Osobowych, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Poradnik na gruncie RODO, v2, luty 2025).

W ostatnim czasie podejście to znalazło odzwierciedlenie w treści decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 kwietnia 2026 r., DKN.5131.17.2025, w której organ nadzorczy stwierdził naruszenie przez administratora art. 33 ust. 1 RODO, polegające na niezgłoszeniu naruszenia ochrony danych osobowych, wskazując, że administrator jest zwolniony z obowiązku powiadamiania organu nadzorczego o naruszeniu w przypadku, gdy przeprowadzona analiza wykaże, że jest mało prawdopodobne wystąpienie ryzyka dla naruszeń praw i wolności, zaś małe prawdopodobieństwo powinno być utożsamiane z sytuacją, w której administrator posiada podstawy do stwierdzenia, że taki skutek wcale się nie urzeczywistni, czyli wtedy gdy rzeczywiście można mówić o „braku ryzyka”. Zgodnie ze stanowiskiem wyrażonym w uzasadnieniu decyzji, zgłoszenie naruszenia ochrony danych Prezesowi UODO jest obowiązkiem administratora w każdym przypadku stwierdzenia, że naruszenie może skutkować powstaniem ryzyka dla praw lub wolności osób fizycznych, które jest wyższe niż pomijalne, a więc w każdym przypadku, gdy zmaterializowanie się określonych zagrożeń jest prawdopodobne. W ocenie PUODO występująca w polskiej wersji RODO przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą (decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 kwietnia 2026 r., DKN.5131.17.2025).

PUODO wskazuje, że przy ocenie ryzyka naruszenia praw i wolności osób fizycznych administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. Ryzyko naruszenia praw lub wolności osoby fizycznej będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Jednocześnie PUODO zaleca, aby przy ocenie ryzyka naruszenia praw i wolności osób fizycznych uwzględnić takie kryteria jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji osób, których dane dotyczą (decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 kwietnia 2026 r., DKN.5131.17.2025).

Zdaniem PUODO w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna. PUODO zwraca też uwagę na możliwość wystąpienia przez organ nadzorczy do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia ochrony danych osobowych w związku z czym wnioski z przeprowadzonej analizy powinny być odnotowywane w wewnętrznej ewidencji naruszeń (decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 kwietnia 2026 r., DKN.5131.17.2025). Można zatem wskazać, że rezygnując z zawiadomienia organu nadzorczego o naruszeniu, administrator działa niejako na własne ryzyko, narażając się na zarzut niedopełnienia obowiązku wynikającego z art. 33 ust. 1 RODO.

 Proponowane przez PODO podejście wskazuje na dążenie do wzmocnienia nadzoru nad czynnościami przetwarzania danych osobowych przez administratorów, w tym kontroli wszystkich przypadków naruszeń ochrony danych osobowych, które mogą wiązać się z minimalnym chociażby ryzykiem negatywnych konsekwencji w postaci naruszenia praw i wolności osób fizycznych. Co za tym idzie należy rekomendować administratorom niezwykle ostrożne podejście do oceny ryzyka naruszenia praw lub wolności osób fizycznych związanego z najdrobniejszymi nawet uchybieniami przy przetwarzaniu danych osobowych. Wydaje się, że w przypadkach mogących budzić wątpliwości zasadnym może być „zawyżenie” oceny ryzyka oraz dokonanie zawiadomienia dyktowanego wyłącznie względami ostrożności i pozostawienie w ten sposób ostatecznej oceny jego zasadności organowi nadzorczemu. Trzeba bowiem pamiętać, że niedokonanie zawiadomienia może skutkować nałożeniem administracyjnej kary pieniężnej sięgającej w tym przypadku do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 

Kancelaria Wyrzykowscy

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.

Zobacz także

• Najem płatny w ratach a obowiązek podatkowy w VAT
• Wizualizacja faktury w PDF a ryzyko „pustej faktury” – interpretacja Dyrektora KIS
• Błędne dane wskazane w podmiocie 3 – jak skorygować taką fakturę?
• Pułapka na pomagających – czy państwo karze za wsparcie uchodźców z Ukrainy?
• Odliczenie VAT z faktury tradycyjnej i brak obowiązku korekty JPK po dosłaniu tej faktury do KSeF.
• Faktury dokumentujące WNT lub import usług - jak oznaczyć w JPK_V7?
• Wodny plac zabaw w gminie – odpłatny wstęp podlega VAT, a gmina odliczy podatek od inwestycji
• Prywatne rozmowy z telefonu służbowego a VAT – co na to sądy?
• Weryfikacja podmiotu przetwarzającego na gruncie art. 28 RODO – obowiązek ciągły, nie jednorazowa formalność
• Czy można dokonać odliczenia podatku VAT przed otrzymaniem faktury zakupu? - TSUE się wypowiedział!