Termin 72 godzin na zgłoszenie naruszenia ochrony danych osobowych należy do najbardziej problematycznych obowiązków wynikających z RODO. Nie dlatego, że sam przepis jest skomplikowany, lecz dlatego, że operuje pojęciami ocennymi, które wymagają od administratora samodzielnego myślenia, a nie automatycznego działania. W praktyce to właśnie błędne rozumienie momentu rozpoczęcia biegu terminu prowadzi do niepotrzebnych zgłoszeń, panicznych decyzji albo – przeciwnie – do zaniechania notyfikacji tam, gdzie była ona konieczna.
RODO świadomie nie wprowadza prostego mechanizmu „72 godziny od incydentu”, ponieważ naruszenia ochrony danych osobowych rzadko mają charakter zdarzeń jednoznacznych. Najczęściej są to sytuacje rozwijające się w czasie, wymagające ustaleń, weryfikacji informacji i oceny ryzyka. Z tego powodu kluczowe znaczenie ma zrozumienie, czym w ogóle jest stwierdzenie naruszenia i jakie działania administrator musi podjąć, zanim zacznie liczyć czas.
Spis treści
Skąd wynika obowiązek zgłoszenia naruszenia do UODO i jaki jest jego sens?
Obowiązek zgłoszenia naruszenia ochrony danych osobowych wynika wprost z art. 33 ust. 1 RODO i jest jednym z elementów systemu nadzoru opartego na ryzyku. Jego celem nie jest karanie administratorów za każdy błąd, lecz umożliwienie organom nadzorczym monitorowania realnych zagrożeń dla praw i wolności osób fizycznych oraz reagowania tam, gdzie ryzyko jest istotne. Przepis ten nakłada obowiązek zgłoszenia naruszenia „bez zbędnej zwłoki”, nie później niż w terminie 72 godzin po jego stwierdzeniu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla osób fizycznych. Już samo to zastrzeżenie pokazuje, że ustawodawca unijny nie oczekiwał zgłaszania każdego incydentu w sposób błyskawiczny, lecz przemyślanej reakcji poprzedzonej oceną ryzyka. W praktyce oznacza to, że zgłoszenie nie jest celem samym w sobie. Jest narzędziem nadzorczym, które ma sens tylko wtedy, gdy rzeczywiście istnieje zagrożenie dla osoby, której dane dotyczą.
Czym jest „stwierdzenie naruszenia” i dlaczego nie należy mylić go z wykryciem incydentu?
Jedną z największych pułapek interpretacyjnych jest utożsamianie momentu wykrycia incydentu z momentem stwierdzenia naruszenia. Tymczasem zarówno wytyczne EROD, jak i poradnik UODO jednoznacznie wskazują, że stwierdzenie naruszenia następuje dopiero wtedy, gdy administrator uzyska wystarczający stopień pewności, że doszło do zdarzenia naruszającego poufność, integralność lub dostępność danych osobowych.
W praktyce wykrycie incydentu oznacza jedynie, że „coś się wydarzyło”. Może to być informacja od pracownika, alert systemowy, zgłoszenie od osoby trzeciej lub wynik audytu. Dopiero kolejnym krokiem jest ustalenie, czy zdarzenie faktycznie spełnia definicję naruszenia ochrony danych osobowych, jakie dane są nim objęte i czy doszło do realnej utraty kontroli nad danymi.
RODO nie tylko dopuszcza, ale wręcz wymaga przeprowadzenia krótkiego postępowania wyjaśniającego. Administrator, który zgłasza naruszenie natychmiast po pierwszym sygnale, bez próby ustalenia podstawowych faktów, nie realizuje w pełni zasady rozliczalności – działa impulsywnie, a nie racjonalnie.
Dlaczego 72 godziny nie zawsze liczy się „od razu”?
Wbrew obiegowym opiniom termin 72 godzin nie zawsze zaczyna biec w dniu, w którym doszło do incydentu. Jeżeli incydent został wykryty później lub wymagał dodatkowych ustaleń, termin zaczyna biec dopiero po stwierdzeniu naruszenia, czyli po zakończeniu etapu, w którym administrator uzyskał wystarczającą pewność co do charakteru zdarzenia.
To podejście ma ogromne znaczenie praktyczne. W wielu przypadkach administrator ma do czynienia z incydentami, które wydarzyły się kilka dni wcześniej, ale zostały zauważone dopiero później, np. w trakcie przeglądu logów lub w wyniku sygnału od pracownika IT. Liczenie 72 godzin od samego incydentu prowadziłoby do absurdu i de facto eliminowałoby możliwość rzetelnej analizy.
Istotne jest jednak to, aby czas potrzebny na ustalenia był racjonalny i proporcjonalny. Organ nadzorczy nie zaakceptuje sytuacji, w której administrator „odkłada” stwierdzenie naruszenia bez podejmowania działań wyjaśniających.
Kiedy naruszenia nie trzeba zgłaszać mimo upływu 72 godzin?
RODO wyraźnie wskazuje, że nie każde naruszenie podlega zgłoszeniu do Urząd Ochrony Danych Osobowych. Jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, administrator może poprzestać na jego udokumentowaniu w rejestrze naruszeń.
Przykłady wskazywane przez EROD, takie jak zgubienie zaszyfrowanego nośnika czy ujawnienie danych już publicznie dostępnych, pokazują, że kluczowe znaczenie ma kontekst i rzeczywiste konsekwencje zdarzenia. Jednak brak zgłoszenia nie może być decyzją intuicyjną. Musi być poparty udokumentowaną oceną ryzyka, która będzie możliwa do obrony w razie kontroli.
W praktyce problemem nie jest brak zgłoszenia, lecz brak uzasadnienia tej decyzji. Administrator, który nie potrafi wykazać, dlaczego uznał ryzyko za niskie, naraża się na zarzut naruszenia zasady rozliczalności.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Ocena ryzyka jako kluczowy moment decyzyjny dla biegu terminu
Ocena ryzyka dla praw i wolności osób fizycznych jest centralnym elementem całego procesu. To ona decyduje nie tylko o tym, czy naruszenie trzeba zgłosić, ale również o pilności reakcji administratora. RODO nie narzuca jednego algorytmu, ponieważ ryzyko zawsze zależy od kontekstu.
Ten sam incydent może mieć zupełnie inne znaczenie w zależności od branży, rodzaju danych i relacji z osobą, której dane dotyczą. Wysłanie informacji handlowej w kopii otwartej może być incydentem o niskim ryzyku w przypadku księgarni internetowej, a zdarzeniem o wysokim ryzyku w przypadku gabinetu terapeutycznego. Tych różnic nie da się ująć w prostym modelu matematycznym. Dlatego ostateczna odpowiedzialność za ocenę ryzyka zawsze spoczywa na człowieku. Algorytmy i formularze mogą wspierać proces decyzyjny, ale nie mogą go zastąpić.
Co jeśli zgłoszenie nastąpi po upływie 72 godzin?
RODO dopuszcza możliwość zgłoszenia naruszenia po terminie, o ile administrator dołączy wyjaśnienie przyczyn opóźnienia. W praktyce UODO ocenia, czy opóźnienie było wynikiem obiektywnych trudności w ustaleniu stanu faktycznego, czy raczej skutkiem braku procedur lub zaniedbań organizacyjnych.
Opóźnienie wynikające z rzetelnej analizy jest oceniane znacznie łagodniej niż opóźnienie spowodowane biernością. Kluczowe znaczenie ma wykazanie, że administrator działał bez zbędnej zwłoki od momentu stwierdzenia naruszenia.
Kto powinien dokonać zgłoszenia i w jaki sposób?
Zgłoszenia dokonuje administrator danych, reprezentowany przez osoby uprawnione do jego reprezentacji. Inspektor ochrony danych pełni funkcję doradczą i wspierającą, ale nie przejmuje odpowiedzialności za zgłoszenie. W praktyce możliwe jest udzielenie pełnomocnictwa innej osobie, jednak odpowiedzialność pozostaje po stronie administratora.
RODO nie reguluje technicznego sposobu zgłoszenia, dlatego administratorzy powinni korzystać z formularzy udostępnionych przez UODO. Najbezpieczniejszym rozwiązaniem jest interaktywny formularz, który pozwala na spokojne przygotowanie treści zgłoszenia i jego późniejsze przesłanie drogą elektroniczną.
Podsumowanie
Termin 72 godzin na zgłoszenie naruszenia RODO nie jest prostym stoperem, lecz elementem odpowiedzialnego procesu decyzyjnego. RODO nie wymaga natychmiastowej reakcji za wszelką cenę, lecz racjonalnego działania opartego na analizie i dokumentacji. Największym błędem administratora nie jest to, że poświęcił czas na rzetelne ustalenia, lecz to, że nie potrafi wykazać, dlaczego i w jaki sposób podjął określone decyzje.
