Skutki braku zgłoszenia naruszenia ochrony danych to temat, który w mojej praktyce zawodowej powraca jak bumerang, zazwyczaj w najmniej odpowiednim dla klienta momencie. Jako prawnicy często powtarzamy, że RODO nie jest zestawem sztywnych zakazów, lecz systemem zarządzania ryzykiem. W dzisiejszych czasach każda organizacja, niezależnie od swojej wielkości, przetwarza dane osobowe – może to być baza klientów sklepu internetowego, lista płac pracowników czy rejestr pacjentów w przychodni. RODO nakłada na tych wszystkich administratorów ogromną odpowiedzialność, a najtrudniejszym sprawdzianem dla firmy jest moment, w którym dochodzi do incydentu: zgubienia pendrive’a, ataku hakerskiego czy omyłkowego wysłania e-maila do niewłaściwego adresata.
Niestety, w takich sytuacjach kryzysowych wielu administratorów wciąż ulega złudnemu przekonaniu, że o incydencie, o którym nikt nie wie, nie trzeba nikogo informować. Wiele osób uważa, że jeśli sprawa nie wyjdzie na jaw, to problemu nie ma. Z mojej perspektywy to błąd, który może doprowadzić do upadku nawet dobrze prosperującej firmy i najbardziej kosztowna pomyłka, jaką można popełnić. Milczenie nie jest w tym przypadku złotem – jest ono raczej przyznaniem się do braku kontroli nad procesami wewnątrz organizacji. Obserwując decyzje organów nadzorczych i przebieg procesów sądowych, widzę wyraźnie, że prawo jest w stanie wybaczyć pewne błędy techniczne, ale rzadko wybacza brak transparentności i świadomą próbę ukrycia zagrożenia przed ludźmi, których ono bezpośrednio dotyczy.
Spis treści
Obowiązek powiadomienia organu nadzorczego w ciągu 72 godzin
Zgodnie z przepisami, gdy tylko dowiemy się o naruszeniu, zaczyna tykać zegar. Mamy dokładnie 72 godziny na to, by ocenić sytuację i – jeśli istnieje ryzyko naruszenia praw osób, których dane wyciekły – zgłosić ten fakt do Prezesa Urzędu Ochrony Danych Osobowych. Często pojawia się pokusa, by poczekać, aż „sytuacja się wyjaśni” lub „naprawimy błędy w systemie”. Jednak dla organu nadzorczego każda godzina zwłoki ponad ustawowy limit jest sygnałem, że administrator nie panuje nad sytuacją.
Należy pamiętać, że zgłoszenie do urzędu nie musi być od razu kompletne. RODO pozwala na dosyłanie informacji etapami. Najważniejszy jest sam fakt zasygnalizowania problemu. Jeśli firma milczy, a urząd dowie się o wycieku z innego źródła – na przykład od niezadowolonego klienta lub od hakerów, którzy publicznie pochwalą się zdobyczą – sytuacja administratora staje się dramatyczna. Brak zgłoszenia w terminie jest traktowany jako oddzielne, bardzo poważne naruszenie przepisów, które niemal gwarantuje nałożenie kary finansowej.
Co grozi za brak zgłoszenia naruszenia ochrony danych?
Wysokie kary administracyjne nakładane przez UODO
To aspekt, który budzi największe obawy. RODO wprowadziło bardzo wysokie progi kar finansowych, które mają być „skuteczne, proporcjonalne i odstraszające”. W przypadku zatajenia naruszenia lub braku jego zgłoszenia, urząd ma prawo nałożyć karę do 10 milionów euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku. Warto podkreślić, że brana jest pod uwagę kwota wyższa.
W praktyce polskiego urzędu (PUODO) widzieliśmy już wiele kar nakładanych właśnie za brak powiadomienia. Urząd przy wyliczaniu kwoty sprawdza, czy administrator działał umyślnie. Ukrywanie wycieku danych jest niemal zawsze uznawane za działanie celowe i w złej wierze. Co więcej, jeśli brak zgłoszenia sprawił, że skutki wycieku stały się poważniejsze (bo np. ludzie nie zdążyli zablokować kart kredytowych), kara będzie jeszcze dotkliwsza. Dla małej firmy kara rzędu kilkudziesięciu tysięcy złotych może oznaczać utratę płynności finansowej, a dla giganta miliony złotych kary to ogromny cios w wynik finansowy.
Ryzyko procesów cywilnych i odszkodowań
Kary wpłacane do budżetu państwa to nie wszystko. RODO daje każdemu obywatelowi prawo do uzyskania odszkodowania za szkodę majątkową lub niemajątkową. Jeśli firma nie poinformowała swoich klientów o wycieku ich danych, a oni przez to ucierpieli, mogą masowo występować na drogę sądową.
Szkoda nie musi oznaczać realnej straty pieniędzy z konta. Sądy coraz częściej uznają, że sam fakt utraty kontroli nad swoimi danymi i związany z tym stres (obawa przed kradzieżą tożsamości) jest wystarczający, by domagać się zadośćuczynienia. W przypadku wycieku danych tysięcy osób, koszty obsługi prawnej i wypłaconych odszkodowań mogą wielokrotnie przewyższyć karę administracyjną. Brak zgłoszenia jest w sądzie traktowany jako dowód na to, że firma nie dochowała należytej staranności w opiece nad prywatnością swoich klientów.
Przymusowe działania naprawcze i kontrole
Kolejnym skutkiem jest utrata kontroli nad tym, jak sprawa zostanie rozwiązana. Jeśli administrator dobrowolnie zgłosi naruszenie, może zaproponować plan naprawczy i współpracować z urzędem. Jeśli jednak urząd sam wykryje zatajony incydent, zazwyczaj wszczyna pełną kontrolę.
Prezes UODO ma prawo nakazać administratorowi powiadomienie wszystkich poszkodowanych osób w konkretny sposób – na przykład poprzez ogłoszenia w ogólnopolskiej prasie lub na stronach głównych portali informacyjnych. Koszt takiej kampanii informacyjnej jest ogromny, a jej wydźwięk dla wizerunku firmy – dewastujący. Ponadto urząd może nakazać czasowe zawieszenie przetwarzania danych, co w wielu przypadkach oznacza po prostu konieczność wstrzymania sprzedaży lub świadczenia usług do czasu usunięcia uchybień.
Utrata zaufania klientów i partnerów biznesowych
Dane osobowe to w dużej mierze kwestia zaufania. Klienci powierzają nam swoje adresy, numery telefonów czy detale płatności, wierząc, że są one bezpieczne. Jeśli dochodzi do wycieku, a firma o tym milczy, zaufanie to zostaje bezpowrotnie zniszczone. Współczesny konsument jest coraz bardziej świadomy swoich praw. Informacja o tym, że firma próbowała zataić zagrożenie dla prywatności swoich użytkowników, rozchodzi się w sieci błyskawicznie.
Podobnie wygląda sytuacja w relacjach między firmami (B2B). Kontrahenci, audytorzy i inwestorzy coraz częściej sprawdzają historię bezpieczeństwa danych przed podpisaniem umowy. Ukryty incydent, który wyszedł na jaw, jest sygnałem, że firma jest nieuczciwa i źle zarządzana. Może to prowadzić do wypowiedzenia kluczowych kontraktów, utraty certyfikatów jakości (jak ISO) oraz problemów z uzyskaniem kredytów lub ubezpieczenia.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Podsumowanie
Ukrywanie naruszenia ochrony danych to strategia krótkowzroczna. Choć początkowo może się wydawać, że „udało się uniknąć problemu”, w rzeczywistości administrator tylko go potęguje. Koszty wykrytego z opóźnieniem wycieku są zawsze wyższe – zarówno w wymiarze finansowym, jak i prawnym czy wizerunkowym. Przejrzystość, szybkość działania i uczciwa komunikacja z urzędem oraz osobami, których dane dotyczą, to jedyny sposób, aby zminimalizować straty i wyjść z kryzysu obronną ręką.
