Co zrobić w przypadku naruszenia ochrony danych osobowych?

Czym jest naruszenie danych osobowych?

RODO w art. 4 pkt 12 definiuje naruszenie ochrony danych osobowych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych.

Mamy więc do czynienia z naruszeniem wtedy, gdy dane:

• przestaną być dostępne dla uprawnionych osób (naruszenie dostępności),
• zostaną zmienione w sposób nieautoryzowany (naruszenie integralności),
• zostaną ujawnione osobie nieuprawnionej (naruszenie poufności).
   

W praktyce mogą to być sytuacje bardzo różnorodne: od nieumyślnego wysłania e-maila z załącznikiem zawierającym dane osobowe do niewłaściwego odbiorcy, po kradzież firmowego laptopa z niezabezpieczonymi plikami, aż po złośliwe ataki ransomware, które szyfrują dane i żądają okupu.

To, co istotne – samo wystąpienie incydentu nie przesądza jeszcze o obowiązku zgłoszenia go do organu nadzorczego czy zawiadomienia osób, których dane dotyczą. Kluczowe jest bowiem, jakie ryzyko dla praw i wolności osób fizycznych stwarza dane naruszenie.

Jakie obowiązki ma administrator po wykryciu naruszenia?

Zgodnie z art. 33 RODO, administrator danych ma obowiązek zgłoszenia naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), jeśli istnieje prawdopodobieństwo, że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Co ważne – nie musi to być ryzyko wysokie, wystarczy jakiekolwiek realne prawdopodobieństwo.

Termin i forma zgłoszenia

Zgłoszenia należy dokonać nie później niż w ciągu 72 godzin od momentu, gdy administrator dowiedział się o naruszeniu. Co istotne – nie chodzi tu o moment faktycznego wystąpienia incydentu, ale o moment jego wykrycia. W przypadku przekroczenia terminu, administrator powinien do zgłoszenia dołączyć uzasadnienie opóźnienia.

Formularz zgłoszeniowy dostępny jest na stronie UODO i może zostać przesłany elektronicznie. W mojej praktyce rekomenduję przygotowanie dokumentacji równolegle – zarówno dla potrzeb zgłoszenia, jak i dla celów wewnętrznych.

Elementy zgłoszenia do PUODO

Zgłoszenie powinno zawierać m.in.:

• opis charakteru naruszenia (rodzaj danych, liczba osób, których dane dotyczą),
• dane kontaktowe inspektora ochrony danych lub innej osoby kontaktowej,
• opis możliwych konsekwencji naruszenia,
• opis środków, które zastosowano lub planuje się zastosować w celu zaradzenia naruszeniu.

Jeśli pewnych informacji nie da się ustalić w terminie 72 godzin, możliwe jest złożenie zgłoszenia etapami – z zastrzeżeniem, że kolejne informacje muszą być przekazane niezwłocznie po ich ustaleniu.

Kiedy trzeba poinformować osoby, których dane dotyczą?

Drugim kluczowym obowiązkiem wynikającym z art. 34 RODO jest konieczność zawiadomienia osób, których dane zostały naruszone – ale tylko w przypadku, gdy incydent powoduje wysokie ryzyko naruszenia praw lub wolności tych osób.

Co oznacza "wysokie ryzyko"? To sytuacja, w której skutki naruszenia mogą być poważne – np. ryzyko kradzieży tożsamości, nadużyć finansowych, ujawnienia wrażliwych informacji. Każdy przypadek należy rozpatrywać indywidualnie – biorąc pod uwagę rodzaj danych, skalę naruszenia i podatność osób, których dane dotyczą.

Treść zawiadomienia

Informacja dla osoby, której dane zostały naruszone, powinna być przekazana bez zbędnej zwłoki i w prosty, zrozumiały sposób. Powinna zawierać:

• opis charakteru naruszenia,
• dane kontaktowe do inspektora ochrony danych lub osoby odpowiedzialnej,
• możliwe konsekwencje naruszenia,
• opis zastosowanych lub planowanych działań zaradczych.

W mojej ocenie warto również dodać zalecenia dla osoby, której dane dotyczą – np. zmianę hasła, ostrożność przy klikaniu w podejrzane linki itp.

Kiedy zawiadomienie nie jest wymagane?

RODO przewiduje trzy sytuacje, w których administrator nie musi informować osób fizycznych:

1. Dane zostały odpowiednio zaszyfrowane lub zabezpieczone i są nieczytelne dla nieuprawnionych osób.
2. Administrator niezwłocznie zastosował środki eliminujące ryzyko dla osób, np. zdalne wymazanie danych z urządzenia.
3. Zawiadomienie wymagałoby niewspółmiernego wysiłku – wówczas dopuszczalne jest opublikowanie ogłoszenia w mediach lub na stronie internetowej.

Jak prowadzić dokumentację naruszeń?

Niezależnie od tego, czy administrator dokonuje zgłoszenia do UODO i zawiadamia osoby, których dane dotyczą, każde naruszenie musi zostać udokumentowane. Obowiązek ten wynika z art. 33 ust. 5 RODO.

Prowadzony rejestr powinien zawierać m.in.:

• datę i czas wykrycia naruszenia,
• opis incydentu,
• ocenę ryzyka,
• decyzję o zgłoszeniu (lub jej braku) i jej uzasadnienie,
• opis podjętych działań zaradczych.

Taki rejestr musi być dostępny dla organu nadzorczego na wypadek kontroli. W mojej praktyce często rekomenduję stworzenie dedykowanego formularza rejestracyjnego – dzięki temu administrator ma zawsze pod ręką komplet informacji wymaganych przez przepisy.

Jakie środki techniczne i organizacyjne pomagają zapobiegać naruszeniom?

Zgodnie z art. 32 RODO, administrator danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający ryzyku. W praktyce oznacza to konieczność indywidualnego podejścia – nie każda firma potrzebuje tych samych zabezpieczeń.

Do najczęściej stosowanych środków należą:

• szyfrowanie danych – zarówno w czasie przesyłania, jak i przechowywania,
• pseudonimizacja – czyli zastępowanie danych rzeczywistych danymi pozornymi, bezpośrednio nieidentyfikującymi osoby,
• systemy backupu i odzyskiwania danych – umożliwiające szybkie przywrócenie dostępności danych po incydencie,
• audyt i testy bezpieczeństwa – regularna weryfikacja skuteczności wdrożonych zabezpieczeń,
• szkolenia dla pracowników – szczególnie w obszarze phishingu, korzystania z nośników danych i zabezpieczania sprzętu.

Wszystkie te działania nie tylko pomagają zapobiegać incydentom, ale też – co równie istotne – stanowią okoliczność łagodzącą w razie kontroli i ewentualnych sankcji.

Jak uniknąć błędów i przygotować się na przyszłość?

W ogólnej ocenie najczęstsze błędy administratorów danych to:

• brak opracowanej procedury reagowania na incydenty,
• niedoszacowanie ryzyka (np. przy ocenie, czy incydent wymaga zgłoszenia),
• opóźnienia w zawiadomieniach – z powodu wewnętrznych formalności,
• brak rejestru naruszeń – co może zostać uznane za istotne uchybienie podczas kontroli.

Dlatego rekomenduje się:

• opracowanie jasnej procedury postępowania w razie incydentu,
• przeprowadzanie regularnych szkoleń i testów,
• zaangażowanie zespołu prawnego i IOD na każdym etapie incydentu,
• wykonywanie cyklicznych audytów zgodności z RODO.

Nie można również zapominać o tym, że problematyka bezpieczeństwa danych rozwija się dynamicznie, dlatego pomocna może być obsługa prawna firm. Coraz większe znaczenie mają dyrektywy sektorowe – jak NIS2 dla infrastruktury krytycznej czy DORA dla sektora finansowego – które nakładają nowe obowiązki w zakresie zgłaszania incydentów bezpieczeństwa, również tych obejmujących dane osobowe.

Podsumowanie: co robić, gdy dojdzie do naruszenia danych?

Poniżej przedstawiam skróconą listę działań, które należy podjąć w razie incydentu:

• Zidentyfikuj naruszenie i jego zakres (rodzaj danych, liczba osób).
• Oceń ryzyko dla praw i wolności osób fizycznych.
• W ciągu 72 godzin zgłoś incydent do PUODO (jeśli to konieczne).
• Zawiadom osoby, których dane dotyczą (jeśli ryzyko jest wysokie).
• Udokumentuj incydent w rejestrze naruszeń.
• Zastosuj środki naprawcze i zapobiegawcze.
• Przeanalizuj incydent i wprowadź korekty do procedur.

Pamiętaj – odpowiednio szybka i transparentna reakcja nie tylko minimalizuje skutki naruszenia, ale może również uchronić Twoją organizację przed dotkliwymi karami finansowymi.

---