Zawiadomienie podmiotu danych o naruszeniu danych osobowych – obowiązek, który chroni obie strony.

Written By Alicja Kaczkowska

Naruszenia ochrony danych osobowych to coraz częstsze zdarzenia w cyfrowej rzeczywistości. Choć mogą mieć różną skalę i charakter, każde z nich niesie potencjalne ryzyko dla osób, których dane dotyczą – oraz dla administratorów tych danych. Dlatego jednym z kluczowych obowiązków wynikających z RODO jest obowiązek poinformowania osoby poszkodowanej o naruszeniu. Co ważne, realizacja tego obowiązku leży w interesie obu stron.

Obowiązek zawiadomienia – co mówi RODO?

Zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może skutkować wysokim ryzykiem naruszenia praw lub wolności osoby fizycznej, administrator danych powinien – bez zbędnej zwłoki – poinformować o tym osobę, której dane dotyczą.

Nie chodzi tylko o sam fakt zgłoszenia incydentu, ale przede wszystkim o przekazanie rzetelnej informacji:

  • na czym polegało naruszenie,

  • jakie są jego możliwe konsekwencje,

  • jakie kroki może i powinna podjąć osoba, której dane zostały naruszone.

Jakie działania może podjąć osoba fizyczna?

Odpowiednio wcześnie przekazana informacja pozwala osobom fizycznym na szybkie i skuteczne działanie w celu ochrony swoich danych i tożsamości. Przykładowe działania to:

  • Zastrzeżenie numeru PESEL – możliwe w każdym urzędzie gminy lub online, np. za pośrednictwem profilu zaufanego, e-dowodu, podpisu kwalifikowanego lub bankowości elektronicznej.

  • Założenie konta w systemie informacji kredytowej – np. w BIK – co pozwala na monitorowanie prób wyłudzania kredytów lub zaciągania zobowiązań na cudze dane.

Dzięki takim krokom możliwe jest zminimalizowanie ryzyka:

  • kradzieży tożsamości,

  • strat finansowych,

  • dyskryminacji,

  • czy naruszenia dobrego imienia.

Zawiadomienie chroni także administratora danych

Wypełnienie obowiązku informacyjnego to nie tylko gest dobrej woli czy wyraz przejrzystości – to również prawna konieczność, której zaniechanie może wiązać się z poważnymi konsekwencjami finansowymi.

Jeśli administrator nie poinformuje osób poszkodowanych, a nie wystąpią przesłanki z art. 34 ust. 3 RODO (np. odpowiednie środki zabezpieczające były skuteczne lub zawiadomienie wymagałoby niewspółmiernie dużego wysiłku), naraża się na karę do 10 milionów euro, a w przypadku przedsiębiorstw – do 2% rocznego światowego obrotu.

Przykład z praktyki: mBank

Dobrym przykładem jest sytuacja z 2024 roku, kiedy mBank nie poinformował klientów o wycieku ich danych osobowych. W efekcie Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na bank karę w wysokości ponad 4 milionów złotych. To realny dowód na to, że obowiązek ten nie jest czysto teoretyczny – a brak jego realizacji może mieć wymierne skutki.

Podsumowanie

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych:

  • zwiększa szanse na ochronę jej praw i interesów,

  • ogranicza skutki incydentu,

  • chroni również administratora – zarówno pod kątem reputacyjnym, jak i finansowym.

W erze rosnących zagrożeń cyfrowych transparentność i szybka reakcja to nie tylko obowiązek prawny, ale także element budowania zaufania wobec firmy czy instytucji.

Alicja Kaczkowska
Next

Dlaczego zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego jest tak istotne?