Naruszenia ochrony danych osobowych – najnowsze decyzje i stanowisko UODO w zakresie zgłaszania naruszeń, zadania IOD, orzecznictwo sądów. Sposoby zapobiegania naruszeniom

Szkolenie dotyczy praktycznej obsługi naruszeń ochrony danych osobowych w jednostkach sektora publicznego i u podmiotów realizujących zadania publiczne. Program obejmuje obowiązki ADO i podmiotu przetwarzającego, rolę IOD, progi zgłoszeniowe, dokumentowanie i komunikację z Prezesem UODO oraz najnowsze decyzje i orzecznictwo, w tym odniesienie do Wytycznych EDPB 9/2022 i aktualnych stanowisk UODO z 2025 r. Na przykład:

Decyzje Prezesa UODO 2025

• DKN.5131.1.2025 (17.03.2025) – maksymalna kara 100 000 zł dla Ministra Cyfryzacji oraz wysoka kara dla Poczty Polskiej za udostępnienie danych z rejestru PESEL przy wyborach korespondencyjnych 2020; naruszenie art. 5 ust. 1 lit. a i art. 6 ust. 1 RODO.
• DKN.5131.9.2025 (06.08.2025, nieprawomocna) – sprawa komitetu wyborczego; naruszenie zasad legalności przetwarzania.
• DKN.5131.10.2025 (26.08.2025, nieprawomocna) – upomnienie za naruszenie art. 6 ust. 1 RODO;

Orzecznictwo sądów krajowych 2025

• NSA, III OSK 2192/22 (18.06.2025) – przy licznych postępowaniach po jednym naruszeniu należy zapewnić łączną ocenę odpowiedzialności; akcent na rolę procesora spoza UE.
• WSA Warszawa, II SA/Wa 2056/24 (03.07.2025) – utrzymanie kar administracyjnych; środki muszą być adekwatne i testowane, nadzór nad procesorem realny.
• NSA dot. sądu rejonowego – pendrive’y (komunikat UODO 03.09.2025) – NSA oddalił skargę kasacyjną SR; zagubienie nośników = naruszenie poufności.

TSUE i linia odszkodowawcza (art. 82 RODO)

• C-687/21 i kolejne (25.01.2024 i 2024–2025 linia kontynuowana) – nie ma automatycznego odszkodowania; należy wykazać szkodę i związek przyczynowy; „utrata kontroli” może być źródłem krzywdy, lecz sama w sobie zwykle niewystarczająca. Praktyka 2025 potwierdza wymóg wykazania szkody.

• Usystematyzowanie definicji i progów: „naruszenie ochrony danych” vs „naruszenie RODO”, warunki zgłoszenia do UODO i zawiadomienia osób.
• Wyjaśnienie obowiązków i podział ról: ADO, procesor, IOD, wraz z ograniczeniami i ryzykiem konfliktu interesów.
• Przećwiczenie oceny ryzyka i decyzji o notyfikacji na podstawie matrycy ryzyka i przykładów incydentów.
• Ustalenie standardów dokumentowania: rejestr naruszeń, zgłoszenie do UODO, komunikat do osób, dowody działań naprawczych.
• Omówienie bieżącej praktyki nadzorczej: wnioski z decyzji Prezesa UODO 2025 i orzecznictwa krajowego oraz TSUE (art. 82 RODO).
• Zdolność samodzielnej kwalifikacji zdarzeń i liczenia „72 godzin” od stwierdzenia incydentu według EDPB 9/2022.
• Gotowe wzorce: lista kontrolna oceny ryzyka, wymagane pola rejestru naruszeń, elementy zgłoszenia do UODO i zawiadomienia osób.
• Mniejsze ryzyko sankcji dzięki kompletności dokumentacji i współpracy z organem nadzorczym zgodnie z aktualną praktyką UODO.
• Jasny podział odpowiedzialności ADO–procesor–IOD oraz ograniczenie konfliktów ról.
• Aktualna interpretacja linii orzeczniczej dotyczącej szkody i odpowiedzialności odszkodowawczej z art. 82 RODO.

1. Podstawy prawne i aktualne stanowiska UODO:
a. Art. 4 pkt 12, art. 33–34 RODO; ustawa o ochronie danych.
b. Stan aktualny wg zaktualizowanego poradnika UODO (2025): doprecyzowanie progu zgłoszenia, przykłady typowych naruszeń, rekomendacje współpracy z organem, wzory komunikatów do osób, wskazówki dot. oceny ryzyka.
c. Wytyczne EDPB 9/2022 (wersja finalna 04.04.2023) jako punkt odniesienia. 
2. „Naruszenie ochrony danych” a „naruszenie RODO”:
a. Różnice: zdarzenie bezpieczeństwa vs. każde złamanie przepisu; kiedy naruszenie bezpieczeństwa nie rodzi obowiązku zgłoszenia.
b. Wątek odszkodowawczy: samo naruszenie przepisów nie wystarcza do roszczeń z art. 82 RODO; konieczna szkoda. Orzecznictwo TSUE 2024. 
3. Obowiązki ADO i podmiotu przetwarzającego na przykładzie:
a. Scenariusz: wysyłka listy wnioskodawców przez PP do niewłaściwego adresata (innej gminy).
b. PP: niezwłoczne zgłoszenie ADO, wsparcie, logi.
c. ADO: żądane informacje, wyjaśnienia od PP, ocena ryzyka, decyzja o zgłoszeniu do UODO w 72 h, treść zgłoszenia, środki naprawcze, zawiadomienia osób.
d. Wymogi dokumentacyjne z poradnika UODO + EDPB 9/2022, w tym matryca ryzyka i dowody działań. 
4. Rola IOD przy obsłudze naruszeń + konflikt interesów:
a. Zadania: doradztwo, monitorowanie, weryfikacja oceny ryzyka, wzór zawiadomienia, wnioski poincydentowe.
b. Ograniczenia: IOD nie decyduje zamiast ADO; unikanie konfliktu interesów przy jednoczesnym pełnieniu funkcji operacyjnych IT/HR. Podparcie stanowiskami UODO z poradnika 2025.
5. Dokumentowanie i zgłaszanie:
a. Rejestr naruszeń: wymagane pola, retencja, spójność z procedurą.
b. Zgłoszenie do PUODO: kiedy, jak, jakie załączniki; komunikat do osób.
c. Praktyka UODO: nacisk na współpracę, kompletność danych, adekwatność środków. 
6. Wykrywanie i stwierdzanie naruszeń:
a. Źródła sygnałów: SIEM/DLP, skrzynki „incydent@…”, błędne adresowania, zgłoszenia klientów, alerty.
b. Kryteria „stwierdzenia” zdarzenia, clock start 72 h, rule of reason wg EDPB 9/2022. 
7. Zapobieganie + ocena ryzyka:
a. Matryca oceny ryzyka dla naruszeń: prawdopodobieństwo x skutek, czynniki redukujące (szyfrowanie, szybkie odzyskanie kontroli), decyzja o zawiadomieniach.
b. Wnioski z decyzji i kar: waga współpracy z organem, kompletności dowodów, naruszenia na styku zadań publicznych. 
8. Najnowsze decyzje i orzecznictwo (40 min – omówienie case law):
a. Omówienie najnowszych decyzji Prezesa UODO z 2025 r. prawomocnych oraz nieprawomocnych orzeczeń sądów.
b. Orzecznictwo sądów krajowych w 2025 r..
c. TSUE i linia odszkodowawcza (art. 82 RODO).
d. Kary za brak współpracy z UODO oraz ataki ransomware. 
 

Szkolenie jest skierowane do specjalistów i pracowników zajmujących się ochroną danych osobowych, takich jak inspektorzy ochrony danych (IOD), administratorzy danych i ich podmioty przetwarzające, a także do osób odpowiedzialnych za bezpieczeństwo informacji, ryzyko oraz obsługę naruszeń. Mogą w nim uczestniczyć również osoby zarządzające i kadra menedżerska zainteresowana tematyką ochrony danych i zapobieganiem naruszeniom.

Trener 1 - nieetatowy współpracownik Wyższej Szkoły Nauk Pedagogicznych w Warszawie, audytor w zakresie realizacji wymagań zgodnych z KRI oraz audytor wiodący ISO 27001, obecnie zatrudniony jako inspektor ochrony danych w jednostkach samorządu terytorialnego, prelegent z wieloletnim doświadczeniem na szkoleniach z zakresu ochrony danych osobowych w jednostkach sektora publicznego. Wykładowca ceniony i polecany przez członków Forum Ochrony Danych działającego przy FRDL.

Trener 2 - audytor wewnętrzny bezpieczeństwa informacji normy IOS27001, absolwent studiów podyplomowych na kierunku Inspektor Ochrony Danych. Aktywny członek stowarzyszenia inspektorów ochrony danych (SABI). Posiada doświadczenie w zakresie współpracy z administracją publiczną pełniąc funkcję inspektora ochrony danych oraz obsługując naruszenia ochrony danych. Prowadzi audyty ochrony danych osobowych, audyty bezpieczeństwa systemów informatycznych oraz szkolenia dla pracowników, których tematyka związana jest z danymi osobowymi, prywatnością a także bezpieczeństwem informacji.