Nie każde naruszenie wymaga zgłoszenia, ale każde wymaga analizy. Zgłaszam naruszenie do Prezesa UODO wtedy, gdy oceniam, że zdarzenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Kluczowe nie jest samo zdarzenie, lecz jego możliwe skutki.
Jeżeli ryzyko istnieje, zgłoszenia dokonuję w terminie 72 godzin od momentu stwierdzenia naruszenia. Gdy ryzyko jest wysokie, dodatkowo informuję osoby, których dane dotyczą. Jeżeli uznaję, że zgłoszenie nie jest konieczne, muszę być w stanie to uzasadnić i udokumentować. Brak zgłoszenia bez analizy to w praktyce najczęstszy błąd.
Spis treści
Czy naruszenie danych osobowych trzeba zgłosić do UODO?
W środowisku prawniczym coraz częściej zwraca się uwagę na zmianę podejścia Urzędu Ochrony Danych Osobowych do obowiązku zgłaszania naruszeń ochrony danych osobowych. Z wypowiedzi specjalistów zajmujących się RODO na co dzień wynika, że organ nadzorczy zmierza w stronę bardziej rygorystycznej interpretacji przepisów, w której samo uznanie, że ryzyko naruszenia praw lub wolności osób fizycznych jest „niskie”, może już nie wystarczać do odstąpienia od zgłoszenia incydentu.
Coraz większe znaczenie przypisuje się nie tylko skutkom naruszenia, lecz samemu faktowi wystąpienia zdarzenia naruszającego bezpieczeństwo danych osobowych. W praktyce oznacza to, że administratorzy danych powinni częściej brać pod uwagę konieczność zgłoszenia incydentu do UODO, nawet jeżeli – z perspektywy organizacji – jego skutki wydają się ograniczone lub szybko opanowane.
Jak wskazują praktycy, zapowiadana aktualizacja poradnika UODO dotyczącego oceny ryzyka nie ma charakteru wyłącznie technicznego. Stanowi ona raczej sygnał zmiany standardu, którego organ nadzorczy będzie oczekiwał od administratorów danych. Może to oznaczać konieczność ponownego przeanalizowania wewnętrznych procedur reagowania na incydenty, w szczególności kryteriów decydujących o tym, kiedy dane zdarzenie kwalifikowane jest jako niewymagające zgłoszenia.
W efekcie organizacje powinny przygotować się na bardziej ostrożne i zachowawcze podejście do raportowania naruszeń, w którym w razie wątpliwości decyzja będzie raczej zmierzać w stronę zgłoszenia incydentu organowi nadzorczemu niż przyjęcia ryzykownego założenia, że obowiązek zgłoszenia nie powstał.
Czym jest naruszenie ochrony danych osobowych?
Punktem wyjścia do rozumienia pojęcia naruszenia ochrony danych osobowych jest definicja zawarta w art. 4 pkt 12 RODO. Zgodnie z tym przepisem przez „naruszenie ochrony danych osobowych” należy rozumieć naruszenie bezpieczeństwa, które prowadzi do:
- przypadkowego lub niezgodnego z prawem
- zniszczenia, utracenia, zmodyfikowania,
- nieuprawnionego ujawnienia
- lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Już sama konstrukcja tej definicji pokazuje, że RODO nie ogranicza pojęcia naruszenia wyłącznie do spektakularnych „wycieków danych” czy ataków hakerskich. Naruszeniem może być każde zdarzenie, które zakłóca bezpieczeństwo danych osobowych, niezależnie od tego, czy doszło do niego umyślnie, czy zupełnie przypadkowo.
Kluczowe znaczenie ma tu pojęcie bezpieczeństwa danych. RODO opiera się na trzech podstawowych filarach bezpieczeństwa informacji: poufności, integralności i dostępności. Naruszenie ochrony danych osobowych występuje zawsze wtedy, gdy co najmniej jeden z tych elementów zostaje naruszony.
Poufność oznacza, że dane są dostępne wyłącznie dla osób uprawnionych. Naruszenie poufności ma miejsce na przykład wtedy, gdy dane trafiają do osoby trzeciej bez podstawy prawnej, gdy pracownik ma dostęp do informacji, których nie powinien przetwarzać, albo gdy dokumenty z danymi osobowymi zostają ujawnione przypadkowo, np. poprzez wysłanie ich na niewłaściwy adres e-mail.
Integralność odnosi się do poprawności i niezmienności danych. Naruszenie integralności występuje wtedy, gdy dane zostają nieuprawnienie zmienione, uszkodzone lub zniekształcone. Może to dotyczyć zarówno sytuacji technicznych, jak i organizacyjnych – przykładowo błędnej modyfikacji danych w systemie informatycznym albo ręcznego wprowadzenia nieprawidłowych informacji do dokumentacji.
Dostępność oznacza, że dane są dostępne wtedy, gdy są potrzebne do realizacji określonych celów. Naruszenie dostępności ma miejsce wówczas, gdy dane zostają utracone, zniszczone lub czasowo niedostępne. Przykładem może być awaria systemu, atak ransomware, utrata nośnika danych albo zniszczenie dokumentacji papierowej, jeśli uniemożliwia to normalne korzystanie z danych.
Istotne jest również to, że naruszenie ochrony danych osobowych nie musi oznaczać faktycznego wykorzystania danych przez osoby trzecie. Wystarczające jest samo powstanie sytuacji, w której doszło lub mogło dojść do nieuprawnionego dostępu, ujawnienia lub utraty kontroli nad danymi. RODO koncentruje się nie tylko na skutkach, ale również na samym zagrożeniu dla praw i wolności osób fizycznych.
Definicja wyraźnie wskazuje też, że naruszenie może mieć charakter zarówno przypadkowy, jak i niezgodny z prawem. Oznacza to, że do naruszenia może dojść na skutek błędu ludzkiego, zaniedbania, awarii technicznej, ale również w wyniku działań celowych, takich jak kradzież, oszustwo czy włamanie do systemu. Intencja sprawcy nie ma tu decydującego znaczenia – liczy się efekt w postaci naruszenia bezpieczeństwa danych.
Co istotne z perspektywy administratorów danych, naruszeniem ochrony danych osobowych jest wyłącznie takie zdarzenie, które dotyczy danych osobowych. Incydent bezpieczeństwa, który nie obejmuje danych osobowych, nie podlega reżimowi RODO. Przykładowo awaria systemu, w którym nie były przetwarzane dane osobowe, nie będzie naruszeniem w rozumieniu RODO, nawet jeśli powoduje poważne problemy organizacyjne.
Czy incydent trzeba zgłosić do UODO? Coraz wyraźniejszy trend interpretacyjny
Wśród prawników zajmujących się ochroną danych osobowych coraz częściej pojawia się przekonanie, że UODO przyjmuje coraz bardziej restrykcyjne podejście do oceny ryzyka po stwierdzeniu incydentu. Organ nadzorczy konsekwentnie podkreśla, że administrator danych ma obowiązek każdorazowo przeprowadzić rzetelną ocenę ryzyka naruszenia praw lub wolności osób fizycznych.
Z zapowiedzi przedstawicieli UODO wynika, że w aktualizowanym poradniku dotyczącym oceny ryzyka opisany zostanie trzystopniowy model postępowania. W pierwszym wariancie – gdy administrator potrafi wykazać faktyczny brak ryzyka – wystarczające jest rzetelne udokumentowanie incydentu. W drugim – gdy naruszenie może powodować jakiekolwiek ryzyko – konieczne jest już zgłoszenie zdarzenia organowi nadzorczemu. Trzeci etap dotyczy przypadków wysokiego ryzyka i wiąże się dodatkowo z obowiązkiem zawiadomienia osób, których dane dotyczą.
Takie podejście znacząco ogranicza zakres sytuacji, w których administrator może bezpiecznie odstąpić od zgłoszenia. Choć art. 33 ust. 1 RODO przewiduje możliwość braku zgłoszenia, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem, w praktyce – jak wynika z sygnałów płynących z UODO – jedynie całkowity brak ryzyka może uzasadniać taką decyzję.
Zgłoszenie incydentu ≠ stwierdzenie naruszenia RODO
Jak podkreślają prawnicy, samo zgłoszenie incydentu do Prezesa UODO nie jest równoznaczne ze stwierdzeniem naruszenia RODO. Zgłoszenie pełni funkcję informacyjną i nie przesądza ani o winie administratora, ani o nałożeniu sankcji.
Jednocześnie należy mieć świadomość, że zgłoszenie może skutkować zainteresowaniem organu nadzorczego sposobem organizacji ochrony danych w danym podmiocie. Przykładowo, utrata laptopa zawierającego dane klientów może początkowo wydawać się zdarzeniem o ograniczonym ryzyku, jednak brak odpowiednich zabezpieczeń – takich jak szyfrowanie dysku – może prowadzić do szerszej oceny stosowanych środków technicznych i organizacyjnych.
Z perspektywy administratorów brak zgłoszenia incydentu bywa jednak rozwiązaniem znacznie bardziej ryzykownym. Jednym z elementów branych pod uwagę przy ustalaniu wysokości kary jest bowiem sposób, w jaki organ nadzorczy powziął wiedzę o zdarzeniu. Inaczej oceniana jest sytuacja, w której informacja pochodzi bezpośrednio od administratora, a inaczej ta, w której urząd dowiaduje się o incydencie od osób trzecich lub z mediów.
W praktyce zgłoszenie incydentu staje się więc elementem świadomego zarządzania ryzykiem prawnym, a nie przyznaniem się do naruszenia przepisów RODO. Coraz częściej to transparentność i terminowa notyfikacja oceniane są łagodniej niż próba zaniechania zgłoszenia.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Obowiązek zgłoszenia naruszenia do UODO – nawet przy niewielkim ryzyku
Coraz więcej sygnałów płynących z Urzędu Ochrony Danych Osobowych wskazuje na utrwalający się kierunek interpretacyjny, zgodnie z którym obowiązek zgłoszenia naruszenia ochrony danych osobowych nie powinien być zawężany wyłącznie do zdarzeń o oczywistych i poważnych konsekwencjach dla osób fizycznych. W praktyce UODO oczekuje, że administratorzy będą raportować również takie incydenty, które na pierwszy rzut oka mogą wydawać się mało istotne lub pozbawione wyraźnych skutków.
Z perspektywy organu nadzorczego kluczowe znaczenie ma bowiem nie subiektywna ocena administratora, lecz sama możliwość wystąpienia ryzyka po stronie osoby, której dane dotyczą. W efekcie granica pomiędzy incydentem „niepodlegającym zgłoszeniu” a zdarzeniem wymagającym notyfikacji została istotnie zawężona. W świetle zapowiedzi aktualizacji poradnika UODO jedynie sytuacje, w których administrator potrafi jednoznacznie i rzetelnie wykazać faktyczny brak ryzyka, mogą uzasadniać odstąpienie od zgłoszenia naruszenia.
Dla administratorów danych oznacza to realną zmianę w podejściu do zarządzania incydentami. Dotychczasowe praktyki, polegające na kwalifikowaniu zdarzeń jako „niskiego ryzyka” i rezygnacji z notyfikacji, mogą okazać się niewystarczające z punktu widzenia oczekiwań organu nadzorczego. Coraz częściej to brak zgłoszenia, a nie jego dokonanie, może zostać oceniony jako element zwiększający ryzyko odpowiedzialności administracyjnej.
W konsekwencji administratorzy powinni przygotować się na bardziej zachowawczy model decyzyjny, w którym zgłoszenie naruszenia do UODO staje się rozwiązaniem domyślnym w sytuacjach budzących jakiekolwiek wątpliwości co do poziomu ryzyka. Takie podejście nie oznacza przyznania się do naruszenia przepisów RODO, lecz stanowi element świadomej strategii ograniczania potencjalnych konsekwencji prawnych i finansowych.
