Aktualny

Obowiązek zgłoszenia naruszenia RODO w 72h bez wyjątków

Dodano: 20 kwietnia 2026
Zgłaszanie naruszenia ochrony danych osobowych: kara UODO 5 tys. zł dla wspólnoty mieszkaniowej

Prezes UODO nałożył karę administracyjną w wysokości 5 tys. zł na wspólnotę mieszkaniową za niezachowanie 72 godzin na zgłaszanie naruszenia ochrony danych osobowych. Sprawa pokazuje, jak kluczowa jest rzetelna analiza ryzyka RODO – nawet przy "danych zwykłych" i jednej osobie poszkodowanej.

Jak doszło do naruszenia w wspólnocie mieszkaniowej?

Wspólnota mieszkaniowa, jako administrator danych, przekazała nieuprawnionej osobie "zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych". Dokument zawierał następujące informacje:

  • imię i nazwisko członka wspólnoty,
  • adres,
  • numer lokalu,
  • kwoty rozliczeń,
  • odczyty liczników oraz
  • numer rachunku bankowego.

Błąd wynikł z umowy z zewnętrzną spółką administrującą nieruchomością. Spółka uznała, że nie ma naruszenia, bo obie osoby to właściciele lokali i mają prawo wglądu w dokumenty na podstawie ustawy o własności lokali. Wspólnota dodała, że dane to "zwykłe dane" jednej osoby, więc nie zgłosiła incydentu.

Prezes UODO nie zgodził się: przepisy o własności lokali nie uzasadniają udostępniania danych wbrew woli właściciela. To bezpodstawne przetwarzanie, wymagające zgłoszenia.

Zgłaszanie naruszenia ochrony danych w 72 godziny

Przepis art. 33 ust. 1 i 3 RODO nakazuje administratorowi zgłaszać naruszenie organowi nadzorczemu bez zbędnej zwłoki, nie później niż w 72 godziny po stwierdzeniu. Wyjątek? Tylko gdy naruszenie jest "mało prawdopodobne" dla praw i wolności osób (ang. "unlikely" – niemal niemożliwe).

W tej sprawie UODO podkreślił: ryzyko nie musi się zmaterializować. Wystarczy samo zagrożenie. Zgłaszanie naruszeń poprawia bezpieczeństwo – pozwala organowi zareagować, ocenić rozwiązania i zapobiec recydywom. Administrator musi też powiadomić osoby, jeśli ryzyko jest wysokie.

Ignorowanie analizy ryzyka tylko dlatego, że dotyczy jednej osoby, jest niedopuszczalne i sprzeczne z celami RODO.

Analiza ryzyka RODO: dlaczego wspólnota mieszkaniowa przegrała?

UODO wezwał najpierw spółkę, potem wspólnotę. Obie zbagatelizowały incydent, powołując się na ustawę o własności lokali. Organ stwierdził jednak:

  • Udostępnienie danych bez wniosku poszkodowanego nie ma związku z celami ustawy.
  • "Małe prawdopodobieństwo" to nie subiektywne odczucie – wymaga rzetelnej oceny.
  • Kara UODO 5 tys. zł za brak zgłoszenia podkreśla: każdy incydent wymaga analizy, niezależnie od skali.

Dla IOD to lekcja: należy dokumentować analizę ryzyka pisemnie, nawet przy "małych" naruszeniach w wspólnotach mieszkaniowych.

Źródło: UODO, DKN.5131.16.2025

WIDEOSZKOLENIA »

Warsztaty IOD w praktyce z Q&A
Najczęstsze pytania i odpowiedzi dotyczące zadań, praw i obowiązków Inspektora Ochrony Danych

Warsztaty IOD w praktyce z Q&A Najczęstsze pytania i odpowiedzi dotyczące zadań, praw i obowiązków Inspektora Ochrony Danych

Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji. 

13.11.2025 czytaj więcej »

ZMIANY W PRAWIE »

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x