Co zrobić w przypadku naruszenia ochrony danych osobowych? Omówienie obowiązku informacyjnego względem UODO

8 min

mężczyzna wpisuje dane do logowania


Od wprowadzenia w Polsce RODO minęło już sześć lat, a mimo to przepisy te wciąż spędzają sen z powiek wielu administratorom danych. W tym artykule omawiam jeden z obowiązków, jakie ogólne Rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r., (znane jako RODO) nakłada na podmioty zarządzające danymi – tj. wymóg notyfikowania organu nadzoru w przypadkach naruszenia bezpieczeństwa przetwarzanych danych osobowych. W momencie zaniechania notyfikacji może Cię spotkać dotkliwa kara finansowa!

Czym jest naruszenie bezpieczeństwa?

Na potrzeby tego artykułu przytoczę kilka faktów, w tym definicję danych osobowych.

Pod tym pojęciem rozumie się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, tj. osobie, którą można zidentyfikować bezpośrednio lub pośrednio (np. imię i nazwisko, numer PESEL, numer NIP, ale też wizerunek, dane biometryczne, dane o lokalizacji).

Następnie należy zaznaczyć, że obowiązki w zakresie naruszeń można znaleźć nie tylko w RODO, lecz również w innych aktach. Przykładem jest Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości czy Ustawa Prawo telekomunikacyjne z 16 lipca 2004 r. Przepisy te nakładają na administratorów pewne obowiązki w zakresie zgłaszania naruszeń do organów nadzorczych czy powiadamiania osób, których te dane dotyczą. Dalszą część wywodu poświęcę natomiast omówieniu pierwszego z nich, opierając się na wytycznych co do zgłaszania naruszeń wynikających z art. 33 RODO.


W związku z powyższym rodzi się pytanie, jak na gruncie przepisów rozumieć kluczowe pojęcie, jakim jest naruszanie bezpieczeństwa. Odpowiedź znajduje się w art. 4 pkt 12 RODO, który stanowi, że naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Właśnie w tych przypadkach administrator jest zobowiązany ujawnić takie zdarzenie w odpowiednim zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych, bez zbędnej zwłoki, nie później niż w terminie 72 godzin od powzięcia informacji o tym, że doszło do nieprawidłowości. 


Warto jednak zauważyć, że nie każde zdarzenie, które uznane zostanie za incydent bezpieczeństwa informacji, będzie przewinieniem wymagającym notyfikacji. Obowiązek ten nie powstanie bowiem w takich przypadkach, gdy jest mało prawdopodobne, by niepoprawne postępowanie skutkowało ryzykiem naruszenia praw lub wolności osób, których danych dotyczy zdarzenie. Przykładowo więc zgubienie służbowego smartfona, na którym pracownik obsługiwał korespondencję mailową oraz miał książkę adresową z nazwiskami i numerami klientów, będzie zawsze incydentem naruszenia bezpieczeństwa danych. Natomiast jeżeli administrator wdrożył rozwiązania umożliwiające zdalne wyczyszczenie i zablokowanie telefonu niezwłocznie po wykryciu zdarzenia, to nie będzie ono skutkowało ryzykiem naruszenia praw lub wolności osób, których dane znajdowały się na telefonie. 

Procedura zgłoszeniowa

 

Po ustaleniu sytuacji kwalifikowanego naruszenia bezpieczeństwa danych podlegającej wymogowi zgłoszenia, niezwłocznie, nie później niż w ciągu 72 godzin od zdarzenia, należy zgłosić ten fakt Prezesowi UODO. Możesz skorzystać z formularza udostępnionego na stronie Urzędu Ochrony Danych Osobowych lub posłużyć się tradycyjną pocztą. W zgłoszeniu trzeba opisać: 

  • charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą, 
  • możliwe konsekwencje naruszenia ochrony danych osobowych, 
  • zastosowane bądź proponowane do zastosowania środki zaradcze, dane kontaktowe inspektora ochrony danych
  • przyczynę opóźnienia, jeśli do zgłoszenia naruszenia organowi nadzorczemu doszło po upływie 72 godzin od momentu jego stwierdzenia.

Co więcej, administrator jest zobowiązany do wdrożenia procedury zarządzania naruszeniami ochrony danych osobowych oraz prowadzenia rejestru naruszeń, abstrahując od opisywanego tutaj obowiązku zgłoszenia. Do przestrzegania przymusu notyfikacji jest zobowiązany jedynie administrator danych, zaś podmiot przetwarzający zobligowany jest w takich sytuacjach do zawiadomienia właściwego administratora, którego dane przetwarza na podstawie umowy powierzenia, wraz z podaniem informacji o okolicznościach naruszenia. Zgłoszenia do UODO dokonuje już jednak właściwy administrator.

Dotychczasowa praktyka Prezesa UODO

Ogólny zarys procedury informacyjnej przedstawiony – mogę zatem przejść do omówienia równie ważnej analizy dotychczasowych rozstrzygnięć Prezesa UODO dotyczących przypadków naruszenia ochrony danych. Warto znać wydane przez niego decyzje, aby uchronić się przed ewentualnymi konsekwencjami w przyszłości – tym bardziej że w samym tylko 2023 r. organ ten nałożył kilkanaście kar pieniężnych za naruszenie przepisów! 


Po pierwsze pamiętaj, że opisując przypadek naruszenia bezpieczeństwa danych w zgłoszeniu, musisz wykazać się dokładnością i precyzją. Nie przekazuj niekompletnych informacji i unikaj tych zbyt lakonicznych i ogólnych. W swoich wytycznych Urząd Ochrony Danych często zwraca uwagę na te aspekty. Pamiętaj również o wymogu współpracy z Prezesem Urzędu w toku prowadzonej kontroli mającej swój bieg już po dokonaniu zgłoszenia, ponieważ jego brak może Cię słono kosztować. Oprócz tego bezwzględnie przestrzegaj terminów. Zgłoszeń dokonuj w wymaganym przepisami czasie 72 godzin. Dlaczego to takie ważne?

 

Za przykład może posłużyć naruszenie TUiR WARTA S.A. W decyzji z dnia 9 grudnia 2020 roku Prezes UODO stwierdził zaniechanie obowiązku informacyjnego w zakresie zawiadomienia zarówno organu, jak i osób, których dane wyciekły, za co nałożył na ten podmiot karę finansową w wysokości 85 588 złotych. Podobne rozstrzygnięcie zapadło w 2021 r., gdzie tym razem ukaranym w wysokości 25 000 złotych został Śląski Uniwersytet Medyczny w Katowicach, który również dopuścił się naruszenia art. 33 ust. 1 RODO.

Niech te przypadki będą lekcją dla administratorów odpowiadających za przetwarzanie danych, by nie lekceważyli tego obowiązku.

Kary finansowe

Jeżeli podmiot uchyli się w sposób bezprawny od obowiązku złożenia notyfikacji do Urzędu, musi liczyć się z ryzykiem nałożenia przez organ nadzorczy wysokiej kary pieniężnej. W myśl art. 83 ust. 4 pkt RODO wysokość sankcji może wynieść nawet do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu. Ponadto niezależnie od obciążeń finansowych nakładanych w trybie administracyjnym, RODO przyznaje uprawnienie do dochodzenia odszkodowania za szkodę majątkową oraz niemajątkową poniesioną wskutek naruszenia przepisów.

Wojciech Krawiec
Wojciech Krawiec
Adwokat

Wspólnik w krakowskiej kancelarii Lassota Krawiec sp.j. Specjalista w zakresie prawa nowych technologii, ochrony danych osobowych, prawa autorskiego i prawa pracy.

Obserwuj mnie na LinkedIn

Czy ten artykuł był przydatny?
średnia: 0 | 0 ocen

Przeglądaj tematy