Czy przeszkoliłeś już swoich pracowników z RODO?

Czy przeszkoliłeś już swoich pracowników z RODO?

A może ograniczyłeś RODO jedynie do procedur spisanych na papierze?

Pamiętaj - nie wystarczy, że w organizacji są opracowane procedury!

W praktyce coraz częściej spotkać się można z przekonaniem, że wdrożenie dokumentacji RODO oraz podpisanie upoważnień „zamyka temat” zgodności. Tymczasem zarówno orzecznictwo sądów administracyjnych, jak i stanowiska Prezesa Urzędu Ochrony Danych Osobowych pokazują wyraźnie, że takie podejście jest nie tylko niewystarczające, ale może prowadzić do realnej odpowiedzialności finansowej. Potwierdza to sprawa zakończona wyrokiem Naczelnego Sądu Administracyjnego z 5 listopada 2025 r. (III OSK 2183/22).

Stan faktyczny – więcej niż „zwykłe naruszenie”

Sprawa dotyczyła właścicielki trzech placówek stomatologicznych, która w 2019 r. sama zgłosiła do organu nadzorczego incydent naruszenia ochrony danych osobowych. Jak ustalono, były pracownik skopiował dane około stu pacjentów z systemu informatycznego i wykorzystał je do promowania własnej działalności.

Zakres ujawnionych informacji był szeroki - obejmował m.in. numery PESEL, dane identyfikacyjne, dane kontaktowe oraz inne informacje pozwalające na jednoznaczną identyfikację osób.

Administrator prawidłowo ocenił, że naruszenie wiąże się z wysokim ryzykiem dla praw i wolności osób fizycznych. Mimo to nie zdecydował się na zawiadomienie pacjentów o incydencie. W konsekwencji Prezes UODO, działając na podstawie art. 34 ust. 1 RODO, nakazał realizację tego obowiązku.

Gdzie pojawił się kluczowy problem?

Administrator nie wykonał nakazu w sposób terminowy i należyty. W toku postępowania próbował wykazać realizację obowiązku, przedstawiając dowody, które nie potwierdzały skutecznego doręczenia informacji (np. dowody zakupu znaczków pocztowych zamiast potwierdzeń nadania przesyłek).

Co istotne – choć ostatecznie obowiązek został wykonany, nastąpiło to dopiero po czasie. Naczelny Sąd Administracyjny oddalił skargę kasacyjną administratora, wskazując jednoznacznie: spóźnione wykonanie obowiązku nie eliminuje naruszenia, a kara pozostaje zasadna. Efekt? Administracyjna kara pieniężna w wysokości 85 588 zł została utrzymana.

Kluczowe podstawy prawne i wnioski z orzeczenia

1. Zasada rozliczalności (art. 5 ust. 2 RODO) - Administrator musi nie tylko działać zgodnie z przepisami, ale również być w stanie to wykazać. W praktyce oznacza to konieczność gromadzenia wiarygodnych dowodów podejmowanych działań. Domniemania czy „logiczne założenia” nie mają znaczenia procesowego.

2. Obowiązek zawiadomienia osób, których dane dotyczą (art. 34 ust. 1 RODO)

   Jeżeli naruszenie powoduje wysokie ryzyko, administrator ma obowiązek niezwłocznego poinformowania osób, których dane dotyczą. „Niezwłoczność” jest interpretowana rygorystycznie – jako działanie bez zbędnej zwłoki, a nie w czasie dogodnym organizacyjnie.

3. Moment oceny naruszenia - Sąd wyraźnie podkreślił, że organ nadzorczy ocenia stan faktyczny na moment wydania decyzji. Działania podjęte po czasie – nawet jeśli finalnie prawidłowe – nie „naprawiają” wcześniejszego naruszenia.

4. Odpowiedzialność administratora (art. 24 ust. 1 RODO) - To administrator odpowiada za wdrożenie i funkcjonowanie środków technicznych i organizacyjnych. Odpowiedzialność ta ma charakter osobisty i nie może zostać skutecznie przerzucona ani na pracowników, ani na podmioty zewnętrzne.

5. Kary administracyjne (art. 83 ust. 1 i 5 RODO) - Naruszenie podstawowych obowiązków – w tym zasad przetwarzania i obowiązków informacyjnych – może skutkować dotkliwymi sankcjami finansowymi, niezależnie od późniejszych prób „naprawy” sytuacji.

6. RODO to nie dokumentacja – to proces.

Wnioski praktyczne – co to oznacza dla organizacji?

Ta sprawa, choć dotyczy sektora medycznego, ma charakter uniwersalny.

1. RODO to proces, nie dokumentacja. Procedury są punktem wyjścia, ale bez ich faktycznego stosowania pozostają martwe.

2. Szkolenia pracowników są elementem systemu zgodności. To właśnie czynnik ludzki najczęściej decyduje o powstaniu naruszenia – tak jak w tym przypadku. Brak wiedzy oznacza realne ryzyko.

3. Dowody są kluczowe. W praktyce liczy się nie to, co zostało zrobione, lecz to, co można wykazać. Szczególnego znaczenia nabierają rejestry i ewidencje, które pozwalają odtworzyć przebieg zdarzeń.

4. Czas reakcji ma znaczenie prawne. Opóźnienie w realizacji obowiązków samo w sobie może stanowić naruszenie.

5. Odpowiedzialność pozostaje po stronie administratora. Niezależnie od struktury organizacyjnej i delegowania zadań.

   
   

Wyrok NSA (III OSK 2183/22) to kolejny wyraźny sygnał: zgodność z RODO nie kończy się na wdrożeniu dokumentacji.

Z perspektywy zarządczej oznacza to jedno - brak realnie funkcjonujących mechanizmów zgodności, w tym szkoleń pracowników i procedur reagowania na incydenty, nie jest dziś wyłącznie ryzykiem operacyjnym. To konkretne ryzyko prawne i finansowe.

Czy w Twojej organizacji RODO rzeczywiście działa czy tylko istnieje na papierze?