Pisma RODO wnioski RODO i BIK, wzory umów

Strona główna / Baza wiedzy / Kto odpowiada za wyciek danych

Kto odpowiada za wyciek danych — firma czy pracownik?

Wyciek danych to nie tylko „błąd pracownika”. W praktyce odpowiedzialność rozkłada się na kilka porządków: RODO (administrator/procesor), prawo pracy (pracownik), odszkodowania cywilne oraz czasem odpowiedzialność kontraktowa między firmami. Ten poradnik pokazuje, kto odpowiada za wyciek danych — firma czy pracownik i od czego to zależy.

Najważniejsza zasada: w RODO organ (UODO) patrzy przede wszystkim na administratora danych (czyli firmę/organizację, która decyduje o celach i sposobach przetwarzania). To administrator ma wdrożyć środki bezpieczeństwa (art. 24 i 32 RODO), umieć je wykazać (rozliczalność – art. 5 ust. 2) i podjąć działania po naruszeniu (art. 33–34).

Jeśli chcesz „plan działania po wycieku” i checklistę 72h: Wyciek danych w firmie — co zrobić krok po kroku Wróć do „Ochrona danych w firmie”

W skrócie — najważniejsze fakty

RODO: za zgodność z przepisami i bezpieczeństwo procesu zwykle odpowiada administrator danych (firma), a w określonych zakresach także podmiot przetwarzający (procesor).
Pracownik: może ponosić odpowiedzialność pracowniczą/dyscyplinarną (Kodeks pracy), a finansowo zależnie od tego, czy szkoda była nieumyślna czy umyślna oraz czy naruszył procedury.
Odszkodowanie: osoba, której dane dotyczą, może żądać naprawienia szkody na podstawie art. 82 RODO. Firma może potem dochodzić regresu w relacji wewnętrznej (np. wobec procesora lub pracownika — zależnie od podstaw).
Kary UODO: za naruszenia obowiązków (np. brak adekwatnych zabezpieczeń, brak zgłoszenia) grożą administracyjne kary pieniężne zgodnie z art. 83 RODO — liczy się m.in. waga naruszenia, staranność i to, czy firma potrafi wykazać rozliczalność.

Pytania i odpowiedzi: odpowiedzialność za wyciek danych

1

1. Kto odpowiada za wyciek danych — firma czy pracownik?

Najczęściej odpowiedzialność „na zewnątrz” (RODO) spoczywa na firmie jako administratorze danych, bo to administrator decyduje o celach i sposobach przetwarzania oraz ma obowiązek wdrożyć odpowiednie środki bezpieczeństwa (art. 24 i 32 RODO) i wykazać ich stosowanie (art. 5 ust. 2 RODO). Pracownik może ponosić odpowiedzialność wewnętrzną (pracowniczą, dyscyplinarną, czasem materialną), ale to nie „zdejmuje” odpowiedzialności RODO z administratora.

2

2. Co UODO ocenia, gdy dochodzi do naruszenia — „błąd człowieka” czy „system firmy”?

UODO zwykle ocenia przede wszystkim, czy organizacja miała adekwatne zabezpieczenia i procedury (techniczne i organizacyjne), czy szkoliła pracowników, wdrożyła zasadę minimalnych uprawnień, MFA, kontrolę dostępu, procedury reagowania i czy potrafi to udokumentować (art. 24 i 32 oraz zasada rozliczalności z art. 5 ust. 2 RODO). „Błąd człowieka” może się zdarzyć, ale jeśli firma nie zbudowała sensownego systemu bezpieczeństwa i nadzoru, ryzyko odpowiedzialności administratora rośnie.

3

3. Kiedy pracownik realnie „odpowiada” za wyciek danych?

Pracownik może odpowiadać, gdy naruszył obowiązki pracownicze (np. procedury bezpieczeństwa, instrukcje, polityki, tajemnicę służbową) albo działał bezprawnie. Kluczowe w praktyce jest rozróżnienie: (1) działanie nieumyślne (błąd, niedbalstwo) vs (2) działanie umyślne (celowe wyniesienie danych, świadome ujawnienie, „sprzedaż bazy”). To wpływa na zakres konsekwencji w prawie pracy i ewentualnej odpowiedzialności materialnej.

4

4. Pracownik był ofiarą phishingu albo kradzieży laptopa — czy to jego wina?

Nie automatycznie. Jeśli pracownik stosował się do procedur (np. miał MFA, zgłosił incydent, nie łamał zasad, nie instalował „dziwnych” aplikacji wbrew politykom), wtedy „wina pracownika” może być wątpliwa. W takich przypadkach w centrum oceny jest raczej to, czy firma miała adekwatne zabezpieczenia (MFA, DLP, szyfrowanie dysków, kontrola uprawnień, monitoring anomalii, szkolenia) i czy szybko zareagowała. Odpowiedzialność pracownicza zwykle wymaga wykazania naruszenia obowiązków przez pracownika.

5

5. Jakie konsekwencje grożą firmie (administratorowi) po wycieku danych?

W praktyce są cztery „kanały” konsekwencji: (1) obowiązki naprawcze i organizacyjne (np. wdrożenie środków, zmiana procedur), (2) administracyjne kary pieniężne UODO (art. 83 RODO), (3) ryzyko odszkodowań wobec osób, których dane dotyczą (art. 82 RODO), (4) odpowiedzialność kontraktowa wobec kontrahentów (np. naruszenie umowy powierzenia, SLA, zobowiązań poufności).

6

6. Jakie kary może nałożyć UODO za naruszenia po wycieku (np. brak zgłoszenia)?

RODO przewiduje administracyjne kary pieniężne w art. 83. Dla naruszeń wielu obowiązków administratora (w tym związanych z bezpieczeństwem i naruszeniami) typowo stosuje się próg do 10 mln EUR lub do 2% całkowitego rocznego światowego obrotu (art. 83 ust. 4), a w najpoważniejszych przypadkach (np. dotyczących podstaw przetwarzania) — do 20 mln EUR lub do 4% (art. 83 ust. 5–6). Dokładny próg zależy od tego, jakie przepisy naruszono w konkretnym stanie faktycznym.

7

7. Czy osoba, której dane wyciekły, może domagać się odszkodowania?

Tak — art. 82 RODO przewiduje prawo do odszkodowania za szkodę majątkową i niemajątkową spowodowaną naruszeniem RODO. Co ważne, odpowiedzialność „na zewnątrz” często dotyczy administratora, a czasem także procesora (jeżeli nie dopełnił obowiązków albo działał poza instrukcjami). W praktyce kluczowe są: wykazanie naruszenia, związku przyczynowego i szkody, a po stronie organizacji — wykazanie należytej staranności i działań minimalizujących skutki.

8

8. Czy firma może „przerzucić” odpowiedzialność na procesora (np. dostawcę IT, chmurę)?

Firma może dochodzić roszczeń wobec procesora na podstawie umowy powierzenia i zasad odpowiedzialności kontraktowej (np. kary umowne, odszkodowanie, regres), ale wobec UODO i osób, których dane dotyczą, administrator nadal ma własne obowiązki (art. 28, 24, 32 RODO). Dlatego praktycznie ważne jest: (1) dobra umowa powierzenia, (2) weryfikacja procesora (due diligence), (3) audytowalność i reagowanie na incydenty.

9

9. Odpowiedzialność dyscyplinarna pracownika — kiedy wchodzi w grę?

Jeżeli pracownik naruszył obowiązki (np. procedury bezpieczeństwa, polecenia, zasady ochrony informacji) pracodawca może stosować środki porządkowe (np. upomnienie/nagana) lub — w cięższych przypadkach — rozważyć rozwiązanie umowy. To wymaga zawsze oceny: wina, stopień naruszenia, skutki, wcześniejsze szkolenia i jasność procedur.

10

10. Odpowiedzialność materialna pracownika: nieumyślna vs umyślna (Kodeks pracy)

W prawie pracy rozróżnienie umyślności i nieumyślności ma duże znaczenie. Co do zasady, przy szkodzie nieumyślnej odpowiedzialność materialna pracownika jest ograniczona (często w praktyce do kwotowych limitów wynikających z Kodeksu pracy), a przy szkodzie umyślnej — może być pełna. To, czy pracownik naruszył procedury, miał szkolenia i świadomie ignorował zasady bezpieczeństwa, bywa kluczowe w ocenie winy.

11

11. Czy to, że „pracownik kliknął”, oznacza, że firma jest bez winy?

Nie. Bezpieczne organizacje projektują procesy tak, żeby pojedynczy błąd człowieka nie kończył się wyciekiem: MFA, ograniczenia uprawnień, segmentacja dostępu, DLP, monitorowanie anomalii, szyfrowanie, procedury weryfikacji przelewów/udostępnień, szkolenia i testy phishingowe. Jeśli firma nie wdraża minimalnych środków, ryzyko uznania naruszenia art. 32 RODO rośnie.

12

12. Co z odpowiedzialnością, gdy pracownik celowo wyniósł bazę klientów?

Wtedy w grę wchodzi znacznie ostrzejsza ocena po stronie pracownika (umyślność), a po stronie firmy — pytanie, czy miała kontrolę dostępu, rejestrowanie eksportów, minimalizację uprawnień i monitoring działań uprzywilejowanych. Firma nadal może odpowiadać wobec osób/UODO, ale równolegle zwykle podejmuje działania wobec pracownika (pracownicze i cywilne, czasem także zawiadomienia, zależnie od czynu).

13

13. Kiedy pracownik zazwyczaj NIE ponosi odpowiedzialności za wyciek danych?

Gdy działał zgodnie z procedurami, a naruszenie wynikało z czynników poza jego kontrolą (np. wada systemu, błąd konfiguracji po stronie IT/procesora, atak zewnętrzny mimo stosowania polityk) lub gdy pracodawca nie zapewnił szkoleń, jasnych zasad i adekwatnych narzędzi bezpieczeństwa. Odpowiedzialność pracownicza zwykle wymaga wykazania naruszenia obowiązków i winy.

14

14. Czy firma może powiedzieć: „to tylko wina pracownika”, żeby uniknąć UODO?

To bardzo ryzykowna strategia. RODO wymaga rozliczalności i zabezpieczeń na poziomie organizacji. Nawet jeśli błąd popełnił pracownik, UODO ocenia, czy firma jako administrator miała adekwatne środki i czy reagowała prawidłowo. Zrzucenie winy na pracownika bez analizy i bez działań naprawczych zwykle pogarsza sytuację dowodową.

15

15. Czy każdy wyciek oznacza automatycznie karę?

Nie. Kluczowe są: okoliczności, skala, rodzaj danych, skutki, poziom zabezpieczeń oraz reakcja firmy. Kary nie są „automatem” — ale brak procedur, brak reakcji, brak dokumentacji, brak zgłoszenia mimo ryzyka albo powtarzalne zaniedbania znacząco zwiększają ryzyko sankcji.

Podział odpowiedzialności za wyciek danych: firma, pracownik, procesor

Odpowiedzialność administratora (firma) w RODO

Administrator odpowiada za zgodność przetwarzania z RODO i za wdrożenie adekwatnych środków (art. 24 i 32), a po naruszeniu za decyzje dot. zgłoszenia do UODO i informowania osób (art. 33–34). W praktyce „firma odpowiada”, bo to ona ma stworzyć system, który ogranicza skutki błędów ludzkich.

Odpowiedzialność procesora (podmiot przetwarzający)

Procesor ma obowiązki własne (w tym bezpieczeństwo i współdziałanie przy naruszeniach), a incydent po jego stronie uruchamia obowiązek niezwłocznego poinformowania administratora (art. 33 ust. 2 RODO). W relacji umownej kluczowe są zapisy powierzenia (art. 28), audytowalność, SLA i odpowiedzialność za naruszenia.

Odpowiedzialność pracownika: dyscyplinarna i materialna

Pracownik odpowiada wewnętrznie, gdy naruszył obowiązki (np. procedury bezpieczeństwa). Najważniejsze rozróżnienie w praktyce: szkoda nieumyślna vs umyślna oraz to, czy pracownik miał jasne zasady i szkolenia. Jeżeli działał zgodnie z politykami i był ofiarą ataku — „wina pracownika” nie jest oczywista.

Odszkodowania (art. 82) i regres/roszczenia po stronie firmy

Osoby, których dane dotyczą, mogą dochodzić odszkodowania (art. 82 RODO). Firma może równolegle dochodzić roszczeń regresowych/kontraktowych wobec procesora (umowa powierzenia) albo stosować instrumenty pracownicze — ale to są kanały „wewnętrzne”, niezależne od odpowiedzialności wobec UODO i osób.

Wyciek danych w firmie — co zrobić krok po kroku (72h + checklisty) Zawiadomienie o naruszeniu RODO (art. 34)

Kto odpowiada za wyciek danych — szybka analiza odpowiedzialności

Krok 1. Ustal role: kto był administratorem, kto procesorem, kto użytkownikiem

Zidentyfikuj, kto decydował o celach i sposobach przetwarzania (administrator), kto przetwarzał w imieniu (procesor), a kto był użytkownikiem wewnętrznym (pracownik). To porządkuje odpowiedzialność RODO i kontraktową.

Krok 2. Oceń, czy zawiodły środki organizacyjne i techniczne (art. 32 RODO)

Sprawdź: MFA, uprawnienia, szyfrowanie, DLP, logowanie eksportów, szkolenia, procedury reagowania. UODO patrzy na „system bezpieczeństwa”, a nie na samo hasło „błąd człowieka”.

Krok 3. Ustal zachowanie pracownika: zgodne z procedurami czy naruszające zasady?

Czy pracownik złamał polityki bezpieczeństwa? Czy miał szkolenia i jasne instrukcje? Czy działał nieumyślnie (błąd) czy umyślnie (celowe ujawnienie)? To wpływa na konsekwencje pracownicze i materialne.

Krok 4. Zabezpiecz dowody i dokumentuj decyzje

Zbierz logi, oś czasu, zakres danych i działania naprawcze. Dokumentacja jest kluczowa dla rozliczalności (art. 5 ust. 2) i ewentualnej obrony w postępowaniach.

Krok 5. Sprawdź kanały odpowiedzialności: UODO (art. 83), osoby (art. 82), umowy (art. 28)

Oddziel: (1) ryzyko sankcji administracyjnych, (2) ryzyko roszczeń osób, (3) roszczenia/regres wobec procesora lub konsekwencje pracownicze. To pozwala nie mieszać „kto winny” z „co robić teraz”.

Krok 6. Jeśli potrzebujesz planu 72h — użyj osobnego poradnika

Ten artykuł dotyczy odpowiedzialności. Jeśli jesteś w trakcie incydentu i liczysz terminy: przejdź do checklisty i procedury zgłoszeń w materiale „Wyciek danych w firmie — co zrobić krok po kroku”.

Checklist: jak ustalić odpowiedzialność po wycieku (firma vs pracownik)

Rola i umowy

  • Administrator/procesor i zakres odpowiedzialności.
  • Umowa powierzenia, instrukcje, podwykonawcy.
  • Kontakt i procedury na wypadek naruszeń.

Zabezpieczenia i procedury

  • MFA, uprawnienia, szyfrowanie, logi, DLP.
  • Szkolenia i jasne polityki bezpieczeństwa.
  • Procedury reakcji i dokumentowania incydentów.

Zachowanie pracownika

  • Zgodność z procedurami i instrukcjami.
  • Umyślność vs nieumyślność.
  • Dowody naruszenia zasad lub ich braku.

Skutki prawne

  • UODO: kary administracyjne (art. 83).
  • Odszkodowania osób (art. 82).
  • Kontrakty/regres i prawo pracy.

W sporach „kto odpowiada” wygrywa strona, która ma dokumenty: polityki, szkolenia, logi, umowy powierzenia i spójną oś czasu.

Uwaga: zrzucenie winy na pracownika zwykle nie zamyka tematu

Nawet gdy incydent zaczął się od błędu pracownika, administrator nadal musi wykazać, że wdrożył adekwatne środki bezpieczeństwa i procedury (art. 24 i 32 RODO) oraz że działał bez zbędnej zwłoki po naruszeniu (art. 33–34). W praktyce „to pracownik zawinił” bez dokumentów i bez systemu zabezpieczeń rzadko jest przekonującą obroną.

W kontekście RODO kluczowa jest odpowiedzialność administratora za zgodność przetwarzania i bezpieczeństwo (art. 24 i 32) oraz zasada rozliczalności (art. 5 ust. 2). Po naruszeniu ochrony danych zastosowanie mają art. 33–34 RODO (zgłoszenie do UODO i powiadomienie osób – zależnie od ryzyka).

Administracyjne kary pieniężne nakłada się na podstawie art. 83 RODO. W sprawach związanych z obowiązkami administratora (w tym z bezpieczeństwem i naruszeniami) często stosuje się próg do 10 mln EUR lub do 2% rocznego obrotu (art. 83 ust. 4), a w najpoważniejszych naruszeniach (np. dotyczących podstaw przetwarzania) – do 20 mln EUR lub do 4% (art. 83 ust. 5–6).

Osobom, których dane dotyczą, przysługuje prawo do odszkodowania za szkodę majątkową i niemajątkową spowodowaną naruszeniem RODO (art. 82). Odpowiedzialność może dotyczyć administratora, a w określonych sytuacjach także procesora.

Odpowiedzialność pracownika wobec pracodawcy ma w Polsce podstawy w przepisach Kodeksu pracy (odpowiedzialność porządkowa/dyscyplinarna oraz zasady odpowiedzialności materialnej, w tym rozróżnienie szkody nieumyślnej i umyślnej). W praktyce ocenia się m.in. winę, naruszenie obowiązków oraz to, czy pracownik miał jasne procedury i szkolenia.

Źródła i materiały (oficjalne)

RODO – tekst UODO: informacje o naruszeniach i odpowiedzialności administratora EROD: Guidelines 9/2022 dot. notyfikacji naruszeń Kodeks pracy (ISAP) – odpowiedzialność pracownicza

Najważniejsze odpowiedzi (dla wyszukiwarek)

Kto odpowiada za wyciek danych: firma (administrator) czy pracownik?

Na zewnątrz najczęściej odpowiada firma jako administrator: to ona ma zapewnić zgodność i bezpieczeństwo (art. 5 ust. 2 i art. 32 RODO). Błąd pracownika zwykle nie zwalnia firmy, jeśli zabrakło procedur, ograniczeń dostępów lub szkoleń.

A co jeśli wyciek był u procesora (np. hosting/CRM) albo przez phishing pracownika?

Gdy incydent jest u procesora (np. hosting/CRM), procesor musi niezwłocznie poinformować administratora (art. 33 ust. 2 RODO). Administrator ocenia ryzyko i decyduje o zgłoszeniu do UODO oraz o zawiadomieniu osób (art. 33–34 RODO).

Czy osoba, której dane wyciekły, może żądać odszkodowania i od kogo?

Odszkodowanie może przysługiwać osobie, której dane dotyczą (art. 82 RODO). Firma może dochodzić regresu od procesora lub odpowiedzialności pracownika, ale to nie „kasuje” obowiązków firmy wobec osób i organu.