Zgłoszenie naruszenia danych osobowych to jedno z tych zagadnień RODO, z którymi w praktyce spotykam się najczęściej i które jednocześnie budzą najwięcej wątpliwości u administratorów. Nie dlatego, że przepisy są niejasne, ale dlatego, że w codziennej pracy bardzo często nie ma pewności, czy dane zdarzenie w ogóle jest naruszeniem oraz czy w konkretnym przypadku powstaje obowiązek zgłoszenia go do organu nadzorczego. Widzę to wyraźnie przy analizach incydentów: jedni zgłaszają „na wszelki wypadek” każde potknięcie techniczne, inni z kolei z obawy przed konsekwencjami nie zgłaszają niczego, nawet wtedy, gdy obowiązek jest oczywisty.
Z mojego doświadczenia wynika, że RODO nie oczekuje ani automatyzmu, ani działania pod presją strachu. Wymaga natomiast świadomej, rzetelnej i udokumentowanej oceny sytuacji, opartej na realnym ryzyku dla praw i wolności osób fizycznych. W praktyce oznacza to zrozumienie, że nie każdy incydent bezpieczeństwa jest naruszeniem ochrony danych osobowych i co równie istotne nie każde naruszenie musi zostać zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych. Granica między tymi sytuacjami rzadko bywa intuicyjna. I właśnie w tym miejscu, przy braku analizy i dokumentacji, najczęściej pojawiają się błędy, które później kosztują najwięcej.
Spis treści
Naruszenie ochrony danych osobowych, co to jest?
Wszędzie tam, gdzie w organizacji pojawiają się dane osobowe, istnieje ryzyko naruszenia ich ochrony. Nie ma znaczenia, czy mówimy o danych klientów, pracowników, kontrahentów czy pacjentów, ani to, czy są one przetwarzane w rozbudowanych systemach informatycznych, prostych arkuszach kalkulacyjnych czy w formie papierowej dokumentacji. Wystarczy jeden moment, w którym dane przestają być odpowiednio zabezpieczone, aby doszło do naruszenia w rozumieniu RODO.
Wbrew powszechnemu przekonaniu naruszenie ochrony danych osobowych nie jest pojęciem zarezerwowanym wyłącznie dla spektakularnych wycieków danych czy ataków hakerskich, o których czytamy w mediach. Zdecydowana większość naruszeń ma charakter codzienny i wynika z rutynowych czynności wykonywanych w dobrej wierze. Błąd w adresie e-mail, pośpiech przy wysyłaniu dokumentów, brak aktualizacji systemu czy niedopatrzenie przy odbieraniu uprawnień byłemu pracownikowi to sytuacje, które zdarzają się znacznie częściej niż zorganizowane cyberataki.
Z perspektywy RODO kluczowe jest to, że naruszenie ochrony danych osobowych polega na zakłóceniu bezpieczeństwa danych, a nie na samym fakcie wystąpienia problemu technicznego czy organizacyjnego. Nie każde zdarzenie w firmie będzie więc naruszeniem. Awaria systemu, która nie ma wpływu na dane osobowe, albo błąd w oprogramowaniu, który nie prowadzi do ich utraty, ujawnienia lub nieuprawnionego dostępu, nie spełnia jeszcze definicji naruszenia ochrony danych osobowych.
Naruszenie pojawia się dopiero wtedy, gdy incydent bezpieczeństwa dotyczy danych osobowych i może realnie wpłynąć na ich poufność, integralność lub dostępność. Poufność oznacza, że dane nie trafiają do osób nieuprawnionych. Integralność – że dane nie są zmieniane, uszkadzane ani zniekształcane w sposób nieautoryzowany. Dostępność – że osoby uprawnione mają do nich dostęp wtedy, gdy jest on potrzebny. Wystarczy, że jeden z tych elementów zostanie naruszony, aby pojawiło się ryzyko naruszenia ochrony danych osobowych.
Definicja naruszenia ochrony danych osobowych w RODO
RODO w art. 4 pkt 12 wprost definiuje to pojęcie, wskazując, że:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Choć definicja ta jest długa i formalna, w istocie opisuje bardzo szeroki katalog sytuacji, które mogą wystąpić w każdej organizacji. RODO nie ogranicza naruszeń wyłącznie do danych przechowywanych w systemach informatycznych. Obejmuje również dane przesyłane – na przykład e-mailem – oraz dane przetwarzane w inny sposób, w tym w dokumentach papierowych, notatkach służbowych czy plikach przechowywanych lokalnie na komputerze.
Ważne jest także to, że naruszenie może mieć charakter zarówno przypadkowy, jak i niezgodny z prawem. Oznacza to, że do naruszenia dochodzi nie tylko wtedy, gdy ktoś celowo kradnie dane lub włamuje się do systemu, ale również wtedy, gdy pracownik popełni zwykły błąd, nie zdając sobie sprawy z jego konsekwencji. RODO nie różnicuje odpowiedzialności w zależności od intencji – liczy się efekt w postaci naruszenia bezpieczeństwa danych osobowych.
Podsumowując, żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
- Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie
- Skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych
- Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Przykłady naruszeń ochrony danych osobowych
W praktyce naruszenia ochrony danych osobowych bardzo często mają banalny, niepozorny charakter i wynikają z codziennego funkcjonowania organizacji. Rzadko są efektem jednego spektakularnego zdarzenia – znacznie częściej powstają na styku człowieka, procedur i technologii. To właśnie te „zwykłe” sytuacje stanowią najczęstsze źródło naruszeń zgłaszanych do organu nadzorczego.
Jednym z najbardziej typowych przykładów naruszenia jest nieuprawnione ujawnienie danych osobowych. Dochodzi do niego wówczas, gdy osoba mająca dostęp do danych przekazuje je osobom trzecim bez odpowiedniego upoważnienia lub poza zakresem, w jakim została upoważniona do ich przetwarzania. W praktyce najczęściej przybiera to postać błędnie wysłanej korespondencji e-mail, w której dokument kadrowy, umowa lub zestawienie danych trafia do niewłaściwego odbiorcy. Częstym powodem jest automatyczne podpowiadanie adresów e-mail przez system pocztowy lub brak weryfikacji załączników przed wysyłką. Naruszeniem będzie również udostępnienie danych innemu działowi lub współpracownikowi „dla wygody”, bez sprawdzenia, czy zakres ich uprawnień faktycznie na to pozwala.
Kolejną kategorią naruszeń jest niezgodne z celem przetwarzanie danych osobowych. Występuje ono wtedy, gdy dane zebrane w określonym celu zaczynają być wykorzystywane w innym, nieprzewidzianym celu, bez odpowiedniej podstawy prawnej. W praktyce może to dotyczyć na przykład wykorzystywania danych klientów zebranych w związku z realizacją umowy do działań marketingowych, mimo że osoby, których dane dotyczą, nie zostały o tym poinformowane lub nie wyraziły stosownej zgody. Tego rodzaju naruszenia często wynikają z błędnego założenia, że skoro dane „już są w systemie”, można je wykorzystać szerzej, niż pierwotnie zakładano.
Bardzo częstym źródłem naruszeń są również niezabezpieczone dane osobowe. Brak odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie, kontrola dostępu czy zabezpieczenie nośników danych, powoduje, że dane stają się podatne na utratę, kradzież lub nieuprawniony dostęp. Przykładem może być zapisanie danych klientów na prywatnym pendrivie pracownika, który następnie zostaje zgubiony, albo kradzież laptopa służbowego z samochodu, na którym dane nie były zabezpieczone hasłem ani szyfrowaniem. W takich przypadkach nie ma znaczenia, czy ktoś faktycznie zapoznał się z danymi – wystarczy, że istniała realna możliwość nieuprawnionego dostępu.
Naruszeniem ochrony danych osobowych może być również przetwarzanie danych bez wymaganej zgody, jeżeli podstawą prawną przetwarzania miała być zgoda, o której mowa w art. 6 ust. 1 lit. a RODO. Dotyczy to sytuacji, w których dane są wykorzystywane mimo braku zgody osoby, której dane dotyczą, albo gdy zgoda została cofnięta, a przetwarzanie jest kontynuowane. W praktyce najczęściej dotyczy to działań marketingowych, wysyłki newsletterów lub kontaktu telefonicznego, realizowanych bez ważnej i prawidłowo udokumentowanej zgody.
Istotną, choć często bagatelizowaną kategorią naruszeń są naruszenia obowiązków informacyjnych. Jeżeli administrator nie przekazuje osobom, których dane dotyczą, wymaganych informacji o przetwarzaniu danych – takich jak cele przetwarzania, okres przechowywania danych czy kategorie odbiorców – osoby te nie są w stanie świadomie korzystać ze swoich praw. Brak transparentności w przetwarzaniu danych może stanowić naruszenie zasad RODO nawet wtedy, gdy dane nie zostały ujawnione osobom trzecim.
W praktyce naruszeniem ochrony danych osobowych może być również sytuacja, w której dostęp do danych posiada osoba, która formalnie nie powinna już mieć takich uprawnień. Dotyczy to przede wszystkim byłych pracowników, współpracowników lub podmiotów zewnętrznych, którym po zakończeniu współpracy nie odebrano dostępu do systemów informatycznych, skrzynek e-mail czy dokumentacji. Nawet jeżeli dane fizycznie pozostają w organizacji, sam fakt istnienia nieuprawnionego dostępu jest wystarczający, aby uznać, że doszło do naruszenia ochrony danych osobowych.
Powyższe przykłady pokazują, że naruszenia ochrony danych osobowych mogą mieć zarówno charakter techniczny – związany z systemami informatycznymi, zabezpieczeniami czy awariami – jak i charakter organizacyjny, wynikający z braku procedur, nieprawidłowego zarządzania uprawnieniami czy błędów ludzkich. W praktyce najczęściej mamy do czynienia z kombinacją obu tych elementów, co dodatkowo komplikuje ocenę zdarzenia i decyzję o dalszych obowiązkach administratora.
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu - art. 33 ust. 1 RODO.
„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”
Kiedy można uznać, że naruszenie zostało stwierdzone?
Najpierw administrator powinien:
- uzyskać wystarczający stopień pewności, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do naruszenia ochrony danych osobowych,
- poprzedzone powinno być to wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia. Postępowanie takie powinno rozpocząć się jak najszybciej,
- w praktyce, od momentu wystąpienia incydentu, do jego stwierdzenia, może minąć trochę czasu. Tym samym, termin 72h może być dłuższy, niż wynika to literalnie z brzmienia przepisu.
Zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych (PUODO) nie jest wymagane, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jeśli wewnętrzne postępowanie wykaże, że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – wystarczy odnotować naruszenie w Twoim wewnętrznym rejestrze. Sprawa jest zamknięta.
W przeciwnym wypadku naruszenie należy zgłosić do PUODO.
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest organ nadzorczy państwa członkowskiego UE, na terytorium którego doszło do naruszenia (art. 55 RODO).
Zgłoszenia do UODO dokonuje administrator/osoba reprezentująca administratora danych.
Kiedy zgłoszenie naruszenia nie jest wymagane?
Zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych nie jest wymagane wyłącznie wówczas, gdy administrator – po przeprowadzeniu rzetelnej analizy – jest w stanie wykazać, że jest mało prawdopodobne, aby dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jest to wyjątek od zasady zgłaszania naruszeń i jako taki powinien być interpretowany w sposób zawężający.
Aby możliwe było odstąpienie od zgłoszenia, muszą zostać spełnione łącznie wszystkie poniższe warunki:
1. Brak zagrożenia dla podstawowych praw i wolności osób fizycznych
Charakter naruszenia nie może prowadzić do takich konsekwencji jak kradzież tożsamości, oszustwa, straty finansowe, naruszenie dobrego imienia, ujawnienie danych szczególnych kategorii ani innych istotnych negatywnych skutków po stronie osoby, której dane dotyczą.
2. Ograniczony zakres naruszenia
Zakres danych objętych naruszeniem powinien być na tyle wąski, aby potencjalne skutki dla osób fizycznych miały charakter marginalny lub czysto teoretyczny. Dotyczy to w szczególności danych o niskim stopniu wrażliwości lub danych, które były skutecznie zabezpieczone, na przykład poprzez szyfrowanie uniemożliwiające ich odczyt osobom trzecim.
3. Brak realnej możliwości nieuprawnionego dostępu
Okoliczności zdarzenia muszą wskazywać, że dostęp do danych przez osoby nieuprawnione był wysoce nieprawdopodobny albo faktycznie niemożliwy. Przykładem może być utrata nośnika danych, który zawierał informacje zaszyfrowane, a klucz szyfrujący nie został ujawniony ani naruszony.
4. Skuteczne i niezwłoczne działania naprawcze
Administrator powinien podjąć realne, faktyczne działania ograniczające skutki naruszenia, które rzeczywiście zminimalizowały potencjalne negatywne konsekwencje dla osób, których dane dotyczą. Same deklaracje lub działania pozorne nie spełniają tego warunku.
Dopiero łączne spełnienie wszystkich powyższych przesłanek pozwala administratorowi odstąpić od zgłoszenia naruszenia do PUODO. W takim przypadku administrator jest jednak zobowiązany do udokumentowania całego procesu decyzyjnego, w tym przebiegu postępowania wyjaśniającego, dokonanej oceny ryzyka oraz przyczyn przyjęcia, że ryzyko naruszenia praw lub wolności osób fizycznych jest mało prawdopodobne.
Jeżeli przeprowadzona analiza nie pozwala na jednoznaczne wykluczenie ryzyka albo pojawiają się wątpliwości co do możliwych konsekwencji naruszenia, obowiązek zgłoszenia do PUODO powstaje. W takich sytuacjach brak zgłoszenia może zostać uznany za naruszenie zasady rozliczalności.
Organem właściwym do przyjmowania zgłoszeń jest organ nadzorczy państwa członkowskiego UE, na terytorium którego doszło do naruszenia, zgodnie z art. 55 RODO. W Polsce funkcję tę pełni Prezes Urzędu Ochrony Danych Osobowych. Zgłoszenia dokonuje administrator danych lub osoba upoważniona do jego reprezentowania.
Jak zgłosić naruszenie ochrony danych?
Zgłoszenie naruszenia ochrony danych osobowych należy złożyć niezwłocznie, nie później jednak niż w terminie 72 godzin od momentu jego stwierdzenia, niezależnie od dni wolnych od pracy, weekendów czy świąt.
Co do zasady podmiotem zobowiązanym do dokonania zgłoszenia jest administrator danych osobowych. W przypadku, gdy po stronie administratora działa pełnomocnik, zgłoszenie może zostać dokonane również przez niego, pod warunkiem udokumentowania umocowania.
W sytuacji współadministracji danych administratorzy powinni uprzednio ustalić podział obowiązków związanych ze zgłaszaniem naruszeń, przy czym brak takich ustaleń nie zwalnia żadnego z nich z odpowiedzialności wobec Prezesa UODO.
Podmiot przetwarzający nie jest samodzielnie uprawniony do zgłoszenia naruszenia do UODO, chyba że działa na podstawie wyraźnego upoważnienia administratora. Niezależnie od tego, odpowiedzialność prawna za prawidłowość i terminowość zgłoszenia zawsze pozostaje po stronie administratora danych.
Sposoby zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO:
- za pośrednictwem interaktywnego formularza zgłoszenia naruszenia ochrony danych osobowych udostępnionego przez Prezesa UODO (formularz online), który stanowi podstawowy i rekomendowany tryb realizacji obowiązku z art. 33 RODO
- elektronicznie poprzez platformę ePUAP, poprzez złożenie pisma ogólnego do Prezesa Urzędu Ochrony Danych Osobowych, podpisanego kwalifikowanym podpisem elektronicznym albo Profilem Zaufanym
- w formie pisemnej (listownie) na adres Urzędu Ochrony Danych Osobowych – wyłącznie wyjątkowo, gdy z obiektywnych przyczyn technicznych nie jest możliwe dokonanie zgłoszenia drogą elektroniczną
Zgłoszenie z opóźnieniem i jego uzasadnienie
Jeżeli zgłoszenie zostanie przekazane po upływie 72 godzin od stwierdzenia naruszenia, administrator ma obowiązek dołączyć uzasadnienie przyczyn opóźnienia. Opóźnienia powinny mieć charakter wyjątkowy, ponieważ wdrożenie procedur umożliwiających terminowe zgłaszanie naruszeń stanowi jeden z podstawowych obowiązków administratora.
Nie powinno się usprawiedliwiać opóźnienia m.in. tym, że termin przypadał na weekend, kluczowy personel był nieobecny, kierownictwo nie zdążyło zatwierdzić zgłoszenia, trwało wewnętrzne dochodzenie lub administrator potrzebował więcej czasu na zebranie informacji. W takich przypadkach możliwe jest dokonanie zgłoszenia wstępnego, a następnie jego uzupełnienie.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Zgłoszenie naruszenia danych osobowych - formularz
Formularz zgłoszenia naruszenia ochrony danych osobowych może na pierwszy rzut oka wyglądać skomplikowanie. W rzeczywistości jego celem jest odpowiedź na kilka bardzo prostych pytań: co się stało, kogo to dotyczy, jakie mogą być skutki i co administrator zrobił, żeby ograniczyć problem.
Co się stało i dlaczego to zgłaszasz?
Na początku formularza wskazujesz, z jakim rodzajem zgłoszenia mamy do czynienia. Czy jest to pierwsze zgłoszenie danego incydentu, czy uzupełnienie wcześniejszego zgłoszenia, gdy pojawiły się nowe informacje. Jeżeli wcześniej zgłaszałeś już naruszenie, nie musisz zaczynać wszystkiego od nowa – możesz je uzupełnić lub skorygować.
W tym miejscu określasz też, czy naruszenie było jednorazowe, czy dotyczyło szerszego problemu, który trwał dłużej w czasie. Dodatkowo formularz pyta, czy sprawa była zgłaszana do innych instytucji, na przykład na Policję lub do CERT w przypadku incydentu informatycznego. Nie jest to obowiązkowe, ale pokazuje, że administrator realnie reaguje na sytuację.
Kto odpowiada za dane i z kim można się skontaktować?
W drugiej części formularza podajesz dane administratora, czyli podmiotu, który odpowiada za przetwarzanie danych. Są to podstawowe informacje identyfikacyjne: nazwa, adres, forma działalności.
Bardzo ważne jest wskazanie konkretnej osoby do kontaktu – najczęściej inspektora ochrony danych lub innej osoby, która zna sprawę i może udzielić wyjaśnień. PUODO musi wiedzieć, z kim rozmawia, jeżeli będzie miał pytania.
Jeżeli w sprawę zaangażowany był podmiot zewnętrzny, na przykład firma IT, biuro rachunkowe czy operator systemu, również należy to wskazać. Nie chodzi o przerzucanie winy, lecz o pokazanie pełnego obrazu sytuacji.
Kiedy doszło do naruszenia i kiedy je wykryto?
Ta część dotyczy czasu, a konkretnie momentu, od którego liczy się 72 godziny na zgłoszenie naruszenia.
W formularzu wskazujesz:
- kiedy naruszenie miało miejsce (jeżeli to możliwe),
- kiedy administrator dowiedział się, że doszło do naruszenia,
- w jaki sposób naruszenie zostało wykryte (np. zgłoszenie pracownika, alert systemowy, informacja od osoby trzeciej).
Najważniejsze jest to, że 72 godziny liczy się od momentu stwierdzenia naruszenia, a nie od samego zdarzenia. Jeżeli zgłoszenie następuje później, trzeba krótko i rzeczowo wyjaśnić dlaczego. Przykładowo: dopiero po analizie ustalono, że zdarzenie dotyczyło danych osobowych.
Na czym dokładnie polegało naruszenie i jakie są jego skutki?
To najważniejsza część całego zgłoszenia. Tutaj opisujesz, co dokładnie się stało – własnymi słowami, jasno i konkretnie.
Formularz pomaga, pytając m.in.:
- czy doszło do ujawnienia danych,
- czy dane zostały utracone lub zniszczone,
- czy ktoś mógł uzyskać do nich nieuprawniony dostęp.
Następnie wskazujesz, jakie dane były objęte naruszeniem (np. dane kontaktowe, PESEL, dane zdrowotne) oraz kogo dotyczyło naruszenie (pracowników, klientów, pacjentów).
Kluczowym elementem jest odpowiedź na pytanie, czy naruszenie może powodować wysokie ryzyko dla praw lub wolności osób fizycznych. Chodzi tu o realne skutki, takie jak możliwość oszustwa, kradzieży tożsamości, strat finansowych czy naruszenia prywatności. Nie trzeba zgadywać – wystarczy uczciwie opisać możliwe konsekwencje.
Co zrobiłeś, żeby ograniczyć skutki i zapobiec powtórce?
Na końcu formularza opisujesz, jakie działania zostały już podjęte oraz co planujesz zrobić dalej.
Może to być:
- zablokowanie dostępu do systemu,
- zmiana haseł,
- zabezpieczenie urządzeń,
- powiadomienie osób, których dane dotyczą (jeżeli było to wymagane),
- wprowadzenie dodatkowych zabezpieczeń lub procedur.
Zawiadomienie osób, których dane dotyczą
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych polega na oficjalnym poinformowaniu osoby fizycznej o zdarzeniu, które może mieć wpływ na poufność, integralność lub dostępność jej danych osobowych. Obowiązek ten nie ma charakteru czysto formalnego. Jego celem jest umożliwienie osobie fizycznej podjęcia działań chroniących jej interesy, takich jak zwiększenie ostrożności, zmiana haseł, zastrzeżenie dokumentów czy monitorowanie potencjalnych nadużyć. Zawiadomienie ma sens wyłącznie wtedy, gdy realnie pozwala osobie, której dane dotyczą, ograniczyć możliwe negatywne konsekwencje naruszenia.
Kiedy powstaje obowiązek zawiadomienia?
Zgodnie z RODO administratorzy są zobowiązani do zawiadamiania osób fizycznych wyłącznie w przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia ich praw lub wolności. Oznacza to, że nie każde naruszenie ochrony danych osobowych automatycznie skutkuje koniecznością kontaktu z osobami, których dane dotyczą. Przykładowo, jeżeli doszło do wycieku danych identyfikacyjnych klientów obejmujących imię, nazwisko, numer PESEL lub dane dokumentów tożsamości, a istnieje realna możliwość ich wykorzystania do kradzieży tożsamości, wyłudzeń lub podszywania się pod daną osobę, zawiadomienie osób będzie co do zasady obowiązkowe. W takich przypadkach tylko szybka i bezpośrednia informacja przekazana osobom fizycznym pozwala im podjąć środki zapobiegawcze, takie jak zastrzeżenie dokumentów czy wzmożona kontrola swoich finansów.
Czym jest „wysokie ryzyko”?
Wysokie ryzyko występuje w szczególności wtedy, gdy naruszenie dotyczy danych szczególnych kategorii, takich jak dane o stanie zdrowia, informacje o leczeniu, niepełnosprawności czy korzystaniu z określonych świadczeń. Ujawnienie takich danych, nawet w ograniczonym zakresie, może prowadzić do stygmatyzacji, naruszenia prywatności lub innych poważnych konsekwencji osobistych. Przykładem może być nieuprawniony dostęp do dokumentacji medycznej lub przejęcie skrzynki e-mail pracownika działu kadr zawierającej informacje o stanie zdrowia lub absencjach chorobowych pracowników – w takich sytuacjach zawiadomienie osób jest konieczne, nawet jeśli administrator nie ma pewności, czy dane zostały faktycznie wykorzystane.
Kiedy nie ma konieczności zawiadamiania?
Jednocześnie RODO wyraźnie wskazuje, że informowanie osób fizycznych o zdarzeniach, które nie stwarzają wysokiego ryzyka, nie jest zalecane. Nadmiar komunikatów może powodować niepotrzebny stres i przeciążenie informacyjne, a w dłuższej perspektywie prowadzić do ignorowania komunikatów o rzeczywiście istotnym znaczeniu. Przykładem może być sytuacja, w której utracono laptop służbowy zawierający dane osobowe, ale dane te były zaszyfrowane w sposób uniemożliwiający ich odczyt osobom trzecim, a klucz szyfrujący nie został naruszony. Pomimo wystąpienia naruszenia ochrony danych osobowych, zawiadamianie osób fizycznych w takim przypadku nie jest wymagane, ponieważ wysokie ryzyko zostało skutecznie wyeliminowane jeszcze przed wystąpieniem potencjalnych szkód.
Podobnie obowiązek zawiadomienia nie powstanie wtedy, gdy doszło do omyłkowego wysłania wiadomości e-mail z danymi osobowymi do niewłaściwego odbiorcy, ale administrator niezwłocznie ustalił, że odbiorca nie zapoznał się z treścią wiadomości, trwale ją usunął i potwierdził brak dalszego przetwarzania danych. Jeżeli okoliczności sprawy pozwalają realnie wykluczyć wysokie ryzyko dla praw i wolności osób fizycznych, informowanie ich o zdarzeniu nie jest konieczne.
Zawiadomienie tylko tych osób, których dotyczy ryzyko
Warto również podkreślić, że jeżeli naruszenie powoduje wysokie ryzyko jedynie wobec części osób, administrator powinien zawiadomić wyłącznie te osoby. Przykładowo, jeżeli w wyniku nieuprawnionego dostępu do systemu kadrowego ujawnione zostały dane tylko określonej grupy pracowników, obowiązek zawiadomienia dotyczy wyłącznie tych osób, których dane faktycznie zostały objęte naruszeniem, a nie wszystkich pracowników organizacji.
Publiczny komunikat zamiast kontaktu indywidualnego
Wyjątkowo obowiązek indywidualnego zawiadomienia może zostać zastąpiony publicznym komunikatem, jeżeli jego realizacja wymagałaby niewspółmiernie dużego wysiłku. Taka sytuacja może wystąpić na przykład wtedy, gdy w wyniku pożaru zniszczeniu uległa dokumentacja papierowa obejmująca dane tysięcy klientów, a administrator nie dysponuje aktualnymi danymi kontaktowymi umożliwiającymi dotarcie do tych osób w sposób indywidualny. W takim przypadku komunikat publiczny, opublikowany w sposób umożliwiający realne zapoznanie się z jego treścią, może zastąpić zawiadomienie indywidualne.
Niezależnie od przyjętego rozwiązania administrator musi być w stanie wykazać zasadność swojej decyzji. Dotyczy to zarówno sytuacji, w których osoby zostały zawiadomione, jak i tych, w których administrator odstąpił od zawiadomienia, uznając, że wysokie ryzyko nie występuje. Ocena ta powinna być rzetelna, udokumentowana i oparta na rzeczywistych okolicznościach zdarzenia.
