Sprawdź nas:
Masz pytania? Zadzwoń 32 428 23 23
  1. Strona główna
  2. Blog
  3. Poradnik Przedsiębiorcy
  4. Co robić, gdy w wyniku cyberataku doszło do naruszenia danych osobowych?

Co robić, gdy w wyniku cyberataku doszło do naruszenia danych osobowych?

Opublikowano: 03 Lis 2025 Agnieszka Kłak 10 min. czytania

Kategoria: Poradnik Przedsiębiorcy

Żyjemy w czasach, gdzie przestępczość korzysta ze swojego nowego, cybernetycznego wymiaru i, niestety, nie omija nikogo. Cyberataki dotyczą także przedsiębiorców, co stanowi nie tylko realne ryzyko dla działalności, ale też powoduje komplikacje związane z ochroną i przetwarzaniem danych osobowych. Przed atakami można próbować się zabezpieczyć, ale co jeśli cyberprzestępca okaże się skuteczniejszy? Jako właściciel firmy masz w tym zakresie określone obowiązki.

Z tego artykułu dowiesz się:

  • co robić w razie wycieku danych osobowych z firmy,
  • czy istnieją sankcje za brak zgłoszenia publicznego,
  • co firma powinna czynić już po ataku i po zgłoszeniu.
cyberatak

Kiedy publicznie zawiadomienie jest konieczne?

Jako firma masz obowiązek zgłosić naruszenie danych osobowych tym osobom, których danych cyberatak dotyczył. Szczegółowo wskazuje to art. 34 RODO. Dotyczy to każdego przedsiębiorstwa, które jest administratorem danych osobowych. Zgodnie z RODO, kiedy już dojdzie do incydentu, musisz złożyć publiczne zawiadomienie bez zbędnej zwłoki. Dodatkowo, art. 33 nakazuje, byś równocześnie zgłosił zdarzenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od momentu wykrycia cyberataku.

Warto dodać, że jako firma działająca w Polsce siłą rzeczy musisz administrować danymi pewnych osób. Będą to pracownicy i kontrahenci, ale też klienci, usługobiorcy i wszystkie inne osoby, które zostawiają swoje dane w przedsiębiorstwie dla rozmaitych celów, np. na potrzeby księgowości czy realizacji zamówienia online. Pamiętaj, że jeśli cyberbezpieczeństwo którejkolwiek z tych osób będzie naruszone pod kątem danych osobowych, to masz obowiązek publicznego zawiadomienia. 

Kiedy nie jest koniecznie publiczne zawiadomienie?

Art. 34 ust. 3 pkt c RODO wprost umożliwia Ci odstąpienie od złożenia zawiadomienia zarówno osoby fizycznej, której naruszenie danych dotyczyło jak i prezesa UODO. Zgodnie z zapisami chodzi o sytuację, w której powiadomienie danej osoby wymagałoby niewspółmiernie dużego wysiłku oraz gdy naruszenie praw danych osób okazało się mało prawdopodobne. 

Jakie to ma przełożenie na praktykę? Przykładem może być tzw. atak ransomware. W skrócie polega on na tym, że cyberprzestępca albo szyfruje plik z danymi osobowymi w taki sposób, że nie można ich potem odczytać lub odzyskać, albo skutecznie blokuje firmie dostęp do takiego pliku i zestawu przechowywanych danych. Traktowanie jest to jako naruszenie (art. 4 ust. 12 RODO), jednakże w tej sytuacji powiadomienie konkretnych osób może być bardzo utrudnione, a nawet niemożliwe. 

Czy za brak zgłoszenia cyberataku grożą kary?

Tak, brak zgłoszenia naruszenia danych osobowych zgodnie z przepisami RODO wiąże się z sankcjami. Chodzi tutaj przede wszystkim o kary administracyjne i finansowe. Jako przedsiębiorstwo możesz zapłacić nawet kilkadziesiąt tysięcy złotych. Pamiętaj jednak, że współpraca z organami, nawet wobec wcześniejszego braku zawiadomienia publicznego może złagodzić karę. 

Co robić krok po kroku po wykryciu cyberataku?

W przypadku wykrycia cyberataku, w wyniku którego mogło dojść do naruszenia danych osobowych, kluczowa jest szybka i uporządkowana reakcja. Każda godzina ma znaczenie, dlatego warto działać według sprawdzonego schematu:

  1. Zabezpiecz system i dane. Natychmiast odłącz zainfekowane urządzenia od sieci, aby ograniczyć rozprzestrzenianie się ataku.
  2. Zidentyfikuj skalę incydentu. Ustal, jakie dane zostały naruszone (np. imiona, adresy, numery PESEL, dane logowania) i ilu osób dotyczy zdarzenie.
  3. Poinformuj zespół i inspektora ochrony danych (IOD). Jeśli Twoja firma ma powołanego IOD, powinien on uczestniczyć w analizie i zgłoszeniu incydentu.
  4. Zgłoś incydent do UODO. Masz na to maksymalnie 72 godziny od momentu wykrycia naruszenia. Zgłoszenia można dokonać elektronicznie przez stronę urzędu.
  5. Zawiadom osoby, których dane dotyczą. Przekaż im informację o incydencie w sposób jasny i zrozumiały, wskazując, jakie dane mogły zostać ujawnione i jakie kroki należy podjąć w celu ochrony.
  6. Udokumentuj incydent. Przygotuj notatkę służbową lub raport z opisem zdarzenia, podjętych działań i planowanych kroków naprawczych. Taka dokumentacja może być wymagana podczas kontroli UODO.
  7. Wyciągnij wnioski i popraw zabezpieczenia. Po opanowaniu sytuacji warto przeprowadzić analizę przyczyn incydentu i wdrożyć dodatkowe środki ochronne, aby uniknąć podobnych zdarzeń w przyszłości.

Naruszenie ochrony danych osobowych a nośniki informatyczne

Przedmiotem przestępstwa może paść nie tylko system informatyczny, ale też nośniki danych. Mowa tutaj o takich urządzeniach jak np. laptop czy pendrive. Utrata takich rzeczy do bardzo duże ryzyko naruszenia danych, nie wspominając już o istotnej dla firmy dokumentacji. Gdy dojdzie do tego typu incydentu to także masz obowiązek publicznego zawiadomienia. A czy można się jakoś zabezpieczyć? Możesz chociażby w ten sposób, by na swoich komputerach firmowych zapewnić szyfrowanie dysków. 

Co robić, jeśli utracisz korespondencję?

Utrata korespondencji z kontrahentami i klientami jest bardzo poważnym problemem dla przedsiębiorstwa. Jest to szczególnie ważne, bo dotyczy osób, których dane przechowujesz i przetwarzasz. Jeśli ten problem spotka i Ciebie, to musisz wyszczególnić daty, w których firma nie mogła prowadzić korespondencji, a następnie zawiadomić osoby, które były adresami korespondencji i których danych dotyczył cyberatak. 

Ważne, by zachować ciągłość działania

Cyberatak może być naprawdę paraliżujący, ale nie warto, byś przerywał działalność. Staraj się funkcjonować dalej, czerpiąc z zasobów, które są bezpieczne i nie zostały uszczuplone przez cyberatak. Aby było to możliwe, to musisz wcześniej sporządzić plan działania w takich sytuacjach. Pamiętaj też, aby mieć kopię zapasową, z której będziesz mógł odtworzyć uszkodzony system. 

Jak chronić finanse firmy przed cyberatakami?

Cyberprzestępcy mogą nie tylko połasić się na dane osobowe, ale też konkretne środki finansowe, czy inne zasoby należące do firmy. Tutaj masz do dyspozycji wiele systemów i programów, które możesz wykupić, a następnie wrzucić w koszty prowadzenia działalności. Warto wiedzieć, że niejeden bank oferuje konto firmowe z dwustopniową weryfikacją. Takie rozwiązanie wymusza, by właściciel rachunku dodatkowo potwierdził próbę logowania. Może to funkcjonować np. w ten sposób, że będziesz musiał potwierdzić czynność przez aplikację mobilną. 

Jeśli chcesz przeczytać więcej artykułów związanych z prowadzeniem firmy, to serdecznie zapraszamy Cię do lektury naszego bloga finansowego w sekcji: Poradnik Przedsiębiorcy.

Najczęstsze błędy firm po cyberataku

W praktyce wiele organizacji popełnia podobne błędy, które mogą pogłębić skutki cyberataku lub skutkować karami finansowymi. Do najczęstszych należą:

  • zgłoszenie incydentu do UODO zbyt późno – po upływie 72 godzin od wykrycia,
  • brak dokumentacji działań podjętych po ataku,
  • brak informacji dla klientów lub przekazywanie jej w zbyt ogólny sposób,
  • niezweryfikowanie, czy dane były zaszyfrowane lub w inny sposób zabezpieczone – co może wpłynąć na ocenę ryzyka naruszenia,
  • pomijanie analizy przyczyn i zaniechanie działań naprawczych po incydencie.

Prawidłowe zgłoszenie i transparentna komunikacja z osobami, których dane dotyczą, pozwalają nie tylko uniknąć sankcji, ale także odbudować zaufanie klientów.

Jak przygotować firmę na ewentualne, przyszłe cyberataki?

Najlepszym sposobem ochrony przed skutkami cyberataków jest prewencja. Warto wdrożyć procedury i dobre praktyki, które minimalizują ryzyko naruszeń danych osobowych:

  • regularnie twórz kopie zapasowe danych – przechowuj je zarówno offline, jak i w chmurze,
  • prowadź szkolenia dla pracowników z zakresu cyberhigieny i rozpoznawania prób phishingu,
  • opracuj i przetestuj plan reagowania na incydenty – kto, kiedy i w jaki sposób ma reagować w razie ataku,
  • aktualizuj systemy operacyjne, oprogramowanie i zabezpieczenia antywirusowe,
  • ogranicz dostęp do danych tylko do osób, które faktycznie muszą z nich korzystać w ramach swoich obowiązków.

Regularne przeglądy systemów bezpieczeństwa i symulacje ataków, tzw. testy penetracyjne pomagają wykryć słabe punkty infrastruktury IT, zanim zrobią to cyberprzestępcy.

Dodano: 03.11.2025

Agnieszka Kłak z wnioskomat.com
Agnieszka Kłak

Kierownik Działu Rozwoju Sprzedaży

Czy ten artykuł był pomocny?


Ocena / gł.
12 000 zł
12 miesięcy

Wysokość raty: 1054,38 zł RRSO: 18,11%*

*najniższe RRSO przykładu reprezentatywnego w instytucjach współpracujących. Ostateczna wartość RRSO zostanie przedstawiona po dokonaniu oceny zdolności kredytowej

Ostatnie filmy

Co to jest akredytywa?
Przewłaszczenie na zabezpieczenie. Wszystko, co powinieneś wiedzieć
Zawieszenie działalności gospodarczej

Ostatnie komentarze

Ostatnie wiadomości

Kategorie

Top