+48 692 004 515

  kancelaria@maniszewska.pl

Menu
naruszenie ochrony danych

Naruszenie ochrony danych osobowych — procedura zgłoszenia do UODO, obowiązki i kary GDPR

Wyciek danych klientów, utrata laptopa z bazą danych pracowników, atak ransomware na serwer firmowy, wysłanie e-maila z danymi osobowymi do niewłaściwego odbiorcy — to tylko kilka przykładów naruszeń ochrony danych osobowych, z którymi firmy mierzą się na co dzień. RODO nakłada na administratorów danych konkretne obowiązki w przypadku wystąpienia naruszenia, w tym obowiązek zgłoszenia incydentu do Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin.

W tym artykule wyjaśniam krok po kroku, jak postępować w przypadku naruszenia ochrony danych — od momentu wykrycia incydentu, przez ocenę ryzyka, zgłoszenie do UODO, aż po powiadomienie osób, których dane dotyczą. Omawiam również najważniejsze kary nałożone przez UODO i europejskie organy nadzorcze za nieprawidłową obsługę naruszeń.

Czym jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Warto podkreślić, że naruszenie nie musi być wynikiem ataku hakerskiego. Równie dobrze może to być błąd ludzki, awaria techniczna czy niewłaściwa procedura wewnętrzna. Europejska Rada Ochrony Danych (EDPB) w wytycznych 9/2022 wyróżnia trzy kategorie naruszeń:

Naruszenie poufności — nieuprawnione lub przypadkowe ujawnienie danych osobowych lub dostęp do nich. Przykład: pracownik wysyła listę płac do niewłaściwego odbiorcy, ktoś nieuprawniony uzyskuje dostęp do bazy klientów.

Naruszenie integralności — nieuprawniona lub przypadkowa zmiana danych osobowych. Przykład: błąd w systemie powoduje nadpisanie prawidłowych danych klientów nieprawidłowymi wartościami.

Naruszenie dostępności — przypadkowa lub nieuprawniona utrata dostępu do danych osobowych lub ich zniszczenie. Przykład: atak ransomware szyfruje bazę danych i firma traci do niej dostęp, pożar niszczy serwer bez kopii zapasowej.

Jedno zdarzenie może łączyć kilka kategorii naruszeń jednocześnie.

72 godziny — obowiązek zgłoszenia do UODO

Art. 33 ust. 1 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki — w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu (w Polsce: UODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Kluczowe kwestie dotyczące terminu 72 godzin:

Kiedy zaczyna biec termin? Od momentu, w którym administrator „stwierdził” naruszenie, czyli uzyskał wystarczającą pewność, że doszło do incydentu bezpieczeństwa zagrażającego danym osobowym. Samo podejrzenie nie uruchamia jeszcze terminu, ale administrator powinien niezwłocznie podjąć działania wyjaśniające.

Czy 72 godziny to termin bezwzględny? Nie — RODO dopuszcza opóźnienie, ale wymaga jego uzasadnienia. Jeśli zgłoszenie następuje po 72 godzinach, administrator musi wyjaśnić przyczyny opóźnienia (art. 33 ust. 1 RODO). W praktyce UODO oczekuje, że opóźnienie będzie naprawdę uzasadnione — np. trwającym śledztwem organów ścigania.

Czy trzeba zgłaszać każde naruszenie? Nie. Zgłoszenie jest wymagane, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne — np. utracony laptop był w pełni zaszyfrowany silnym algorytmem — zgłoszenie nie jest wymagane. Ale administrator musi to udokumentować.

Jak ocenić ryzyko naruszenia — krok po kroku

Ocena ryzyka to kluczowy etap, który decyduje o tym, czy musisz zgłosić naruszenie do UODO i czy musisz powiadomić osoby, których dane dotyczą. EDPB w wytycznych WP 250 (rev.01) zaleca uwzględnienie następujących czynników:

Rodzaj naruszenia — naruszenie poufności (ujawnienie danych) jest zazwyczaj bardziej ryzykowne niż naruszenie dostępności (tymczasowa utrata dostępu), zwłaszcza jeśli dane trafiły do osób nieupoważnionych.

Charakter i wrażliwość danych — im bardziej wrażliwe dane, tym wyższe ryzyko. Dane szczególnej kategorii (zdrowie, orientacja seksualna, dane biometryczne), dane finansowe (numery kart kredytowych), numery identyfikacyjne (PESEL, numer dowodu) generują wyższe ryzyko niż np. sam adres e-mail.

Możliwość identyfikacji osób — jeśli ujawnione dane pozwalają bezpośrednio zidentyfikować osoby (imię, nazwisko, PESEL), ryzyko jest wyższe niż w przypadku danych zanonimizowanych lub pseudonimizowanych.

Liczba osób dotkniętych naruszeniem — im więcej osób, tym wyższe ryzyko, choć nawet naruszenie dotyczące jednej osoby może być poważne (np. ujawnienie danych medycznych).

Cechy szczególne osób — naruszenia dotyczące dzieci, pacjentów, osób z niepełnosprawnościami czy innych grup wymagających szczególnej ochrony generują wyższe ryzyko.

Konsekwencje dla osób — jakie szkody mogą ponieść osoby w wyniku naruszenia? Mogą to być: kradzież tożsamości, straty finansowe, dyskryminacja, utrata reputacji, naruszenie tajemnicy zawodowej.

Cechy szczególne administratora — np. szpital przetwarzający dane medyczne podlega surowszej ocenie niż sklep internetowy z bazą adresów e-mail.

Na podstawie tych czynników administrator powinien ocenić, czy ryzyko jest: brak ryzyka (brak obowiązku zgłoszenia), ryzyko (zgłoszenie do UODO) czy wysokie ryzyko (zgłoszenie do UODO i powiadomienie osób).

Jak zgłosić naruszenie do UODO — procedura

Gdy ocena ryzyka wskazuje na konieczność zgłoszenia, administrator powinien złożyć zgłoszenie do UODO. Zgłoszenie odbywa się elektronicznie.

Formularz zgłoszenia jest dostępny na stronie UODO (uodo.gov.pl). Można go złożyć przez platformę ePUAP lub za pomocą elektronicznego formularza interaktywnego UODO.

Zgłoszenie musi zawierać (art. 33 ust. 3 RODO):

Opis charakteru naruszenia, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie.

Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (IOD) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.

Opis możliwych konsekwencji naruszenia.

Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeśli nie masz wszystkich informacji w momencie zgłoszenia — nie czekaj. RODO pozwala na zgłoszenie etapowe (art. 33 ust. 4): złóż wstępne zgłoszenie z informacjami, które posiadasz, a pozostałe uzupełnij bez zbędnej zwłoki.

Kiedy trzeba powiadomić osoby, których dane dotyczą?

Art. 34 RODO wymaga powiadomienia osób, jeśli naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Próg jest wyższy niż przy zgłoszeniu do UODO — nie każde naruszenie zgłoszone do organu nadzorczego wymaga też powiadomienia osób.

Powiadomienie osób nie jest wymagane, jeśli (art. 34 ust. 3 RODO):

Administrator zastosował odpowiednie techniczne i organizacyjne środki ochrony wobec danych, których dotyczy naruszenie — w szczególności takie, które czynią dane nieczytelne dla osób nieuprawnionych (np. szyfrowanie).

Administrator podjął działania eliminujące prawdopodobieństwo wysokiego ryzyka.

Wymagałoby to niewspółmiernie dużego wysiłku — wtedy można zastosować publiczny komunikat lub podobny środek.

Powiadomienie powinno być napisane jasnym i prostym językiem (nie prawniczym żargonem) i zawierać co najmniej: opis naruszenia, dane kontaktowe IOD, opis możliwych konsekwencji oraz opis podjętych środków zaradczych.

Dokumentacja naruszeń — obowiązek, który wielu zapomina

Art. 33 ust. 5 RODO nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych — niezależnie od tego, czy naruszenie podlega zgłoszeniu do UODO, czy nie. Dokumentacja musi obejmować okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.

W praktyce oznacza to prowadzenie wewnętrznego rejestru naruszeń (tzw. breach register), który powinien zawierać dla każdego incydentu: datę i godzinę stwierdzenia naruszenia, opis zdarzenia, kategorie danych i osób dotkniętych, ocenę ryzyka, decyzję o zgłoszeniu (lub jej brak wraz z uzasadnieniem), podjęte działania naprawcze, datę zgłoszenia do UODO (jeśli dotyczy).

Ten rejestr jest jednym z pierwszych dokumentów, o które prosi UODO podczas kontroli.

Jak przygotować firmę na naruszenia — Incident Response Plan

Naruszenia ochrony danych są nieuniknione — pytanie nie brzmi „czy”, ale „kiedy”. Dlatego każda organizacja powinna mieć wdrożoną procedurę reagowania na incydenty (Incident Response Plan), która określa:

Kto jest odpowiedzialny — jasno zdefiniowane role (IOD, dział IT, zarząd, dział prawny, dział komunikacji). Kto podejmuje decyzje? Kto kontaktuje się z UODO? Kto powiadamia osoby dotknięte?

Jak wykrywać naruszenia — mechanizmy techniczne (systemy SIEM, monitoring sieci, alerty bezpieczeństwa) i organizacyjne (szkolenia pracowników, procedura raportowania podejrzeń).

Jak oceniać naruszenia — gotowy szablon oceny ryzyka, matryca decyzyjna (zgłaszać/nie zgłaszać/powiadamiać osoby).

Jak reagować — kroki techniczne (izolacja zagrożenia, zabezpieczenie dowodów, przywrócenie systemów) i prawne (zgłoszenie do UODO, powiadomienie osób, zawiadomienie organów ścigania jeśli dotyczy).

Jak dokumentować — szablon rejestru naruszeń, wzór zgłoszenia do UODO, wzór powiadomienia osób.

Jak wyciągać wnioski — analiza post-incydentowa (lessons learned), aktualizacja środków bezpieczeństwa, dodatkowe szkolenia.

Regularne testowanie tej procedury (np. symulacje incydentów) jest równie ważne jak jej posiadanie.

Kary za nieprawidłową obsługę naruszeń

UODO i europejskie organy nadzorcze nakładają kary nie tylko za samo dopuszczenie do naruszenia, ale również (a czasem przede wszystkim) za nieprawidłową reakcję na naruszenie. Najczęstsze przewinienia to:

Niezgłoszenie naruszenia do organu nadzorczego — brak zgłoszenia w terminie 72 godzin lub całkowite pominięcie zgłoszenia. UODO nałożył kary na polskie podmioty za niezgłoszenie naruszeń, nawet gdy samo naruszenie było stosunkowo niewielkie.

Brak powiadomienia osób — niepoinformowanie osób, których dane dotyczą, mimo że naruszenie wiązało się z wysokim ryzykiem dla ich praw.

Brak dokumentacji — nieprowadzenie rejestru naruszeń lub brak udokumentowanej oceny ryzyka.

Niewystarczające środki bezpieczeństwa — brak szyfrowania, słabe hasła, brak kopii zapasowych, brak szkoleń pracowników.

Kary mogą sięgać do 10 mln EUR lub 2% rocznego globalnego obrotu (za naruszenie obowiązków administratora, w tym obowiązków notyfikacyjnych) lub do 20 mln EUR / 4% obrotu (za naruszenie podstawowych zasad przetwarzania). W praktyce kary w Polsce wynosiły od kilku tysięcy do kilku milionów złotych. Przegląd najważniejszych kar nałożonych przez UODO znajdziesz w artykule: Kary UODO za naruszenie RODO — przegląd decyzji i wnioski dla firm.

Praktyczna checklist — co zrobić, gdy dojdzie do naruszenia

  1. Zidentyfikuj naruszenie — potwierdź, że doszło do incydentu bezpieczeństwa dotyczącego danych osobowych.
  2. Zabezpiecz sytuację — powstrzymaj dalszy wyciek lub utratę danych (np. zablokuj skompromitowane konto, odłącz zainfekowany serwer).
  3. Powiadom IOD — jeśli masz powołanego Inspektora Ochrony Danych, natychmiast go poinformuj. Dowiedz się więcej o roli IOD w naszym przewodniku: Inspektor Ochrony Danych (IOD) — kompletny przewodnik po roli DPO w organizacji.
  4. Oceń ryzyko — korzystając z matrycy oceny ryzyka ustal, czy naruszenie wymaga zgłoszenia do UODO i/lub powiadomienia osób.
  5. Zgłoś do UODO (jeśli wymagane) — w ciągu 72 godzin od stwierdzenia naruszenia, korzystając z formularza na stronie UODO.
  6. Powiadom osoby (jeśli wysokie ryzyko) — jasnym i prostym językiem, opisując naruszenie i podjęte środki.
  7. Udokumentuj wszystko — zapisz okoliczności, przebieg, decyzje i działania w rejestrze naruszeń.
  8. Wyciągnij wnioski — przeanalizuj przyczynę naruszenia i wdróż dodatkowe zabezpieczenia, aby zapobiec podobnym incydentom w przyszłości.

Potrzebujesz pomocy przy naruszeniu danych?

Czas ma kluczowe znaczenie — 72 godziny mijają szybko. W Kancelarii Radcowskiej Joanny Maniszewskiej-Ejsmont pomagamy firmom na każdym etapie obsługi naruszenia: od oceny ryzyka, przez przygotowanie zgłoszenia do UODO, po powiadomienie osób i wdrożenie środków naprawczych. Pełnimy również funkcję zewnętrznego IOD, zapewniając stałe wsparcie w zarządzaniu incydentami.

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — pomożemy Ci przejść przez procedurę krok po kroku.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts