Cel i perspektywa: kiedy incydent staje się naruszeniem danych osobowych
Osoba odpowiedzialna za bezpieczeństwo informacji potrzebuje jasnej granicy: kiedy drobny incydent techniczny to tylko problem IT, a kiedy mówimy już o naruszeniu ochrony danych osobowych w rozumieniu RODO, które uruchamia obowiązek zgłoszenia do organu nadzorczego i często także do samych osób, których dane dotyczą. Kluczowe jest tu połączenie trzech elementów: definicji naruszenia, oceny skutków dla osób fizycznych oraz zachowania wymaganych terminów i formy zgłoszeń.
Źródło: Pexels | Autor: Markus Winkler
Czym jest naruszenie ochrony danych w rozumieniu RODO
Podstawy prawne – artykuły 4, 33 i 34 RODO
Punkt wyjścia stanowią definicje z art. 4 RODO. Żeby zrozumieć, czym jest naruszenie, trzeba najpierw ustalić, czy w ogóle mamy do czynienia z danymi osobowymi i ich przetwarzaniem.
RODO za dane osobowe uznaje każdą informację o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To nie tylko imię i nazwisko, ale także m.in. adres e‑mail, numer klienta, dane lokalizacyjne, identyfikatory internetowe, a nawet kombinacje pozornie neutralnych danych, które łącznie pozwalają kogoś zidentyfikować.
Przetwarzanie obejmuje praktycznie każdą operację na danych osobowych: od zbierania, poprzez przechowywanie, modyfikowanie, aż po usuwanie lub niszczenie. W praktyce niemal każde działanie systemu informatycznego na danych osób fizycznych jest przetwarzaniem.
Na tym tle art. 4 pkt 12 RODO wprowadza pojęcie „naruszenia ochrony danych osobowych”, a art. 33 i 34 opisują, kiedy i jak zgłaszać naruszenie do organu oraz kiedy informować osoby o wycieku danych. Te przepisy wyznaczają praktyczne obowiązki administratora i procesora.
Legalna definicja naruszenia ochrony danych osobowych
Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to:
„naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Kluczowe elementy tej definicji:
Naruszenie bezpieczeństwa – nie chodzi wyłącznie o ataki hakerskie, ale o każde zdarzenie podważające skuteczność zastosowanych środków ochrony.
Przypadkowość lub niezgodność z prawem – naruszenie może wynikać z błędu, zaniedbania, awarii, jak i z celowego działania (np. kradzież danych).
Skutek wobec danych – zniszczenie, utrata, modyfikacja, ujawnienie lub nieuprawniony dostęp. Wystarczy zaistnienie jednego z tych skutków.
Dane osobowe – jeśli zdarzenie dotyczy wyłącznie danych nienależących do osób fizycznych, RODO nie znajduje zastosowania.
W praktyce definicja obejmuje zarówno spektakularne wycieki, jak i drobne wpadki, np. omyłkowe przesłanie jednego dokumentu nie tej osobie co trzeba. Kluczowe jest zaistnienie naruszenia poufności, integralności lub dostępności danych osób fizycznych.
Incydent bezpieczeństwa IT a naruszenie ochrony danych
Nie każdy incydent techniczny jest automatycznie naruszeniem ochrony danych osobowych. RODO interesuje się wyłącznie tymi zdarzeniami, które dotyczą danych osób fizycznych i wpływają na ich bezpieczeństwo.
Incydent bezpieczeństwa IT to każde zdarzenie, które zagraża ciągłości, poufności, integralności lub dostępności zasobów systemu informatycznego. Może dotyczyć zarówno danych osobowych, jak i np. danych technicznych, kodu źródłowego, konfiguracji sieci.
Naruszenie ochrony danych osobowych to podzbiór incydentów – wyłącznie tych, które obejmują dane osobowe w rozumieniu RODO i skutkują uszczerbkiem w ich poufności, integralności lub dostępności.
Krótkie przykłady porównawcze
Przykład 1: awaria serwera bez danych osobowych. Spalił się serwer testowy, na którym znajdowało się wyłącznie syntetyczne, losowo generowane dane bez związku z rzeczywistymi osobami. To incydent techniczny, ale nie naruszenie ochrony danych osobowych w rozumieniu RODO – brak danych osobowych.
Przykład 2: wyciek bazy klientów. Atakujący uzyskuje dostęp do bazy klientów sklepu online, w której znajdują się imiona, nazwiska, adresy e‑mail i historia zamówień. Tu mamy klasyczne naruszenie ochrony danych osobowych z utratą poufności, potencjalną modyfikacją danych i wysokim ryzykiem naruszenia praw lub wolności osób.
Granica jest więc praktyczna: jeśli incydent dotyczy systemu, w którym nie ma danych osobowych – pozostaje w obszarze bezpieczeństwa IT. Jeśli jednak obejmuje dane osób fizycznych, trzeba je ocenić pod kątem definicji z art. 4 pkt 12 RODO.
Trzy główne typy naruszeń: poufność, integralność, dostępność
Utrata poufności danych
Utrata poufności oznacza, że dane osobowe stały się dostępne dla osób lub podmiotów, które nie powinny mieć do nich dostępu. Chodzi zarówno o osoby spoza organizacji, jak i pracowników, którzy nie mają odpowiednich uprawnień.
Typowe przykłady naruszeń poufności:
Wysłanie wiadomości z załączonym plikiem zawierającym dane pracowników (np. listy płac) na błędny adres e‑mail.
Udostępnienie linku do dokumentu w chmurze, który nie ma ograniczeń dostępu i może być otwarty przez każdego, kto wejdzie w posiadanie linku.
Włamanie do systemu CRM i nieuprawniony eksport bazy klientów.
Udostępnienie loginów i haseł do systemu osobie spoza zespołu, która nie powinna mieć dostępu do danych.
Nie zawsze trzeba mieć dowód, że ktoś obcy faktycznie zapoznał się z danymi. Czasami wystarczy, że stworzone zostały realne warunki do naruszenia poufności – na przykład dostępny publicznie link do dokumentu z danymi. W ocenie ryzyka zakłada się racjonalny, a nie idealistyczny scenariusz.
Przykład praktyczny: księgowa wysyła PIT‑11 wszystkich pracowników na adres prywatny jednej osoby, zamiast na HR-owy adres funkcyjny. To naruszenie poufności, bo jedna osoba uzyskała szeroki dostęp do danych innych pracowników. To najczęściej naruszenie wymagające przynajmniej odnotowania w rejestrze, a często także zgłoszenia do organu.
Utrata integralności danych
Integralność danych oznacza ich poprawność i niezmienność w stosunku do stanu zamierzonego. Naruszenie integralności ma miejsce, gdy dane zostają zmienione w sposób nieuprawniony lub niezamierzony.
Przykłady naruszeń integralności:
Pracownik wprowadza błędne dane w systemie kadrowym, które skutkują wypłatą niewłaściwego wynagrodzenia.
Atakujący zmienia numery rachunków bankowych kontrahentów w systemie finansowo‑księgowym.
Oprogramowanie ransomware nie tylko szyfruje dane, ale też je częściowo uszkadza, powodując utratę spójności.
Niewłaściwie przeprowadzona migracja systemu skutkuje przeformatowaniem i pomieszaniem danych klientów.
Naruszenie integralności często przekłada się na realne konsekwencje dla osób: błędne decyzje kredytowe, niewypłacone wynagrodzenia, nieprawidłowa historia medyczna. W ocenie naruszenia ważne jest nie tylko to, że dane są „inne”, ale czy ta zmiana w praktyce może naruszać prawa lub wolności osób fizycznych (np. prawo do rzetelnego rozliczenia z pracodawcą, prawo do ochrony zdrowia).
Utrata dostępności danych
Dostępność danych oznacza możliwość skorzystania z nich w odpowiednim czasie, gdy są potrzebne. Naruszenie dostępności zachodzi, gdy dane są czasowo lub trwale niedostępne dla uprawnionych użytkowników.
Typowe scenariusze:
Atak ransomware szyfruje pliki z danymi klientów i blokuje do nich dostęp.
Awaria macierzy dyskowej prowadzi do utraty bazy danych bez aktualnej kopii zapasowej.
Przez kilka dni nie działa system rejestracji pacjentów w przychodni, uniemożliwiając dostęp do historii choroby.
Nie każda chwilowa niedostępność jest naruszeniem ochrony danych. Jeśli system przestał działać na dwie godziny, ale dane są nienaruszone, istnieją kopie zapasowe, a incydent nie miał wpływu na prawa osób (np. terminy, bezpieczeństwo zdrowia), można mówić o incydencie technicznym bez naruszenia RODO. Sytuacja zmienia się, gdy brak dostępności uniemożliwia realizację praw osób, np.:
nie można zrealizować żądania dostępu do danych w ustawowym terminie,
pacjent nie otrzyma na czas informacji krytycznej dla leczenia,
kontrahent nie uzyska dokumentu niezbędnego do dochodzenia roszczeń.
Rolę odgrywa też czas. Im dłużej dane są niedostępne, tym bardziej rośnie ryzyko naruszenia praw lub wolności osób.
Kiedy awaria techniczna staje się naruszeniem ochrony danych
Granica między „czystą” awarią a naruszeniem RODO pojawia się tam, gdzie konsekwencje techniczne dotykają praw osób fizycznych lub zwiększają ryzyko takich naruszeń. Dwa elementy są kluczowe:
Czy utracono kontrolę nad danymi (brak kopii, uszkodzenie danych, dostęp osób nieuprawnionych)?
Czy w związku z awarią osoby nie mogą skorzystać ze swoich praw lub ponoszą inne negatywne konsekwencje?
Przykład: Firma nie robi kopii zapasowych bazy danych newslettera. Wskutek awarii dysku baza znika. Formalnie nie doszło do wycieku, ale mamy trwałą utratę danych osobowych bez możliwości odtworzenia. To klasyczne naruszenie ochrony danych (utrata dostępności), które może wymagać zgłoszenia do organu, bo osoby nie mogą np. skorzystać z prawa do wycofania zgody (brak informacji o ich adresach w systemie).
Źródło: Pexels | Autor: RDNE Stock project
Jak rozpoznać, że incydent jest naruszeniem danych osobowych
Pytania kontrolne dla administratora
Praktyczne podejście warto oprzeć na kilku prostych pytaniach kontrolnych. Dzięki nim można szybko wstępnie zaklasyfikować zdarzenie:
Czy w incydencie występują jakiekolwiek dane, które mogą identyfikować osoby fizyczne (bezpośrednio lub pośrednio)?
Czy doszło do naruszenia poufności, integralności lub dostępności tych danych (wg definicji RODO)?
Jakie są możliwe skutki dla osób? Co realnie może im się wydarzyć przez to zdarzenie?
Jaka jest skala – liczba osób, rodzaj danych, ilość systemów dotkniętych incydentem?
Jeżeli na pierwsze dwa pytania odpowiedź brzmi „tak”, to zdarzenie kwalifikuje się jako naruszenie ochrony danych osobowych. Kolejne pytania służą ocenie ryzyka i decyzji, czy naruszenie trzeba zgłosić do Prezesa UODO oraz czy konieczne jest informowanie osób o wycieku danych.
Czy w incydencie występują dane osobowe
Na początku trzeba ustalić, czy „w ogóle mamy RODO”. W praktyce warto:
Sprawdzić, jakie konkretnie informacje były przechowywane w dotkniętym systemie, pliku, bazie.
Ocenić, czy pojedynczo lub łącznie te informacje pozwalają zidentyfikować osobę (nawet jeśli wymaga to połączenia z innymi danymi).
Pamiętać, że adres IP, identyfikator cookies, nagranie wideo, głos, a nawet nietypowy pseudonim mogą być danymi osobowymi, jeśli można je przypisać do konkretnej osoby.
Jeśli incydent dotyczy np. konfiguracji sieci, adresów serwerów, kodu aplikacji bez syntetycznych lub rzeczywistych danych użytkowników – to nie jest naruszenie danych osobowych, nawet jeśli jest poważny z perspektywy bezpieczeństwa IT.
Kolejny krok to określenie, jakiego rodzaju naruszenie miało miejsce. Czasem występuje kilka rodzajów jednocześnie, np. atak ransomware powoduje utratę poufności (atakujący miał dostęp) oraz dostępności (dane zaszyfrowane i niedostępne).
Pomocne pytania:
Czy ktoś nieuprawniony mógł zobaczyć lub skopiować dane? (poufność)
Czy dane mogły zostać zmienione lub usunięte w sposób niezamierzony? (integralność)
Czy uprawnione osoby utraciły dostęp do danych choćby czasowo? (dostępność)
Im precyzyjniej zostanie opisany charakter naruszenia, tym łatwiej później ocenić ryzyko i przygotować treść zgłoszenia do UODO oraz komunikat do osób.
Znaczenie kontekstu: skala zdarzenia i rodzaj danych
Dwa incydenty o podobnym przebiegu technicznym mogą mieć zupełnie różne skutki prawne. Decyduje kontekst:
Jak szacować ryzyko dla praw i wolności osób
Od poprawnej oceny ryzyka zależy, czy skończy się na wpisie w rejestrze naruszeń, czy pojawi się obowiązek zgłoszenia do Prezesa UODO i zawiadomienia osób. Pomocne jest uporządkowanie kilku elementów.
W praktyce analizuje się przede wszystkim:
rodzaj danych (zwykłe vs szczególne kategorie, dane finansowe, logowania, medyczne),
liczbę osób i ich podatność (np. dzieci, pacjenci, dłużnicy),
łatwość wykorzystania danych (format, kompletność, czy dane są zaszyfrowane),
możliwe skutki (kradzież tożsamości, szkoda finansowa, wstyd, wykluczenie, zagrożenie zdrowia),
czas trwania naruszenia oraz to, czy sytuacja jest wciąż aktualna.
Pomaga prosta skala: niskie – średnie – wysokie ryzyko. Niskie zwykle kończy się rejestrem, średnie i wysokie zwykle prowadzi do zgłoszenia do organu, a wysokie dodatkowo do zawiadomienia osób.
Przykłady oceny ryzyka
Dwa krótkie scenariusze pokazują, jak ten sam typ błędu może dać różną ocenę sytuacji.
Przypadek 1 – e‑mail do niewłaściwego odbiorcy z podstawowymi danymi kontaktowymi
Do jednego klienta omyłkowo trafia faktura z podstawowymi danymi innego klienta (imię, nazwisko, adres, numer telefonu, kwota). Odbiorca to osoba prywatna, która zgłasza błąd i deklaruje, że skasowała wiadomość.
rodzaj danych: zwykłe, brak danych wrażliwych, brak PESEL,
odbiorca: zidentyfikowany, znany administratorowi, współpracuje,
skutki: pewien dyskomfort, ale realne ryzyko nadużyć małe.
W większości takich sytuacji incydent zakończy się na wpisie do rejestru naruszeń i działaniach zapobiegawczych (np. szkolenie, procedura „dwóch par oczu”).
Przypadek 2 – masowy mailing z załączonym arkuszem z danymi finansowymi
Do setek odbiorców wychodzi newsletter z błędnym załącznikiem: tabelą z danymi klientów (imię, nazwisko, e‑mail, kwoty rozliczeń, zaległości). Nie wiadomo, kto i w jakim zakresie otworzył plik.
rodzaj danych: finansowe, opisujące sytuację majątkową i ewentualne długi,
liczba osób: wysoka, skala technicznego udostępnienia szeroka,
skutki: możliwość nękania, utrata dobrego imienia, ryzyko fraudów.
Tu typowa będzie kwalifikacja jako wysokie ryzyko, a co za tym idzie – obowiązek zgłoszenia do UODO i zawiadomienia osób.
Źródło: Pexels | Autor: RDNE Stock project
Kiedy powstaje obowiązek zgłoszenia naruszenia do organu (art. 33 RODO)
Podstawowe kryterium: ryzyko naruszenia praw lub wolności osób
Art. 33 RODO mówi wprost: administrator zgłasza naruszenie organowi nadzorczemu, chyba że jest mało prawdopodobne, aby skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Domyślne założenie jest więc takie, że naruszenie się zgłasza – wyjątkiem są sytuacje rzeczywiście mało ryzykowne.
W praktyce zgłoszenia wymaga każde naruszenie, które można racjonalnie uznać przynajmniej za ryzyko średnie. Brak zgłoszenia trzeba umieć uzasadnić i udokumentować.
Przykłady naruszeń, które zwykle wymagają zgłoszenia do UODO
Lista nie jest zamknięta, ale poniższe sytuacje najczęściej kończą się zgłoszeniem:
ujawnienie danych finansowych (nr rachunku, historia płatności, zadłużenie) choćby pojedynczej osoby osobie trzeciej,
wyciek danych logowania do systemów używanych przez klientów lub pracowników,
dostęp osób trzecich do dokumentacji medycznej lub informacji o stanie zdrowia,
zgubienie lub kradzież niezabezpieczonego laptopa, telefonu lub pendrive’a z danymi klientów lub pracowników,
trwała utrata danych (brak kopii) skutkująca niemożnością realizacji umów lub praw osób,
incydent z udziałem danych dużej liczby osób, nawet jeżeli dane nie są wrażliwe, ale ich skala i kontekst zwiększa ryzyko (np. wyciek bazy newslettera wraz z historią transakcji).
Kiedy można odstąpić od zgłoszenia naruszenia do organu
Odstąpienie jest dopuszczalne, gdy analiza ryzyka uczciwie prowadzi do wniosku, że ryzyko dla osób jest małe. Typowe przykłady:
krótkotrwała awaria systemu, przy pełnej możliwości odtworzenia danych z kopii i bez wpływu na zobowiązania wobec osób,
błąd wewnętrzny, gdy do danych uzyskał dostęp inny pracownik, który i tak ma podpisaną klauzulę poufności i nie zyskał faktycznie szerszego dostępu niż dotychczas,
ujawnienie adresu e‑mail jednej osoby innej osobie, bez jakichkolwiek dalszych danych, przy szybkim usunięciu wiadomości i braku innych okoliczności podnoszących ryzyko.
Brak zgłoszenia nie oznacza jednak braku obowiązków. Administrator:
analizuje i dokumentuje zdarzenie (np. w notatce służbowej lub formularzu oceny ryzyka),
wpisuje naruszenie do rejestru naruszeń,
wdraża środki naprawcze (techniczne, organizacyjne, szkoleniowe).
Termin zgłoszenia: „bez zbędnej zwłoki”, nie później niż w 72 godziny
RODO daje maksymalnie 72 godziny od stwierdzenia naruszenia na zgłoszenie go organowi nadzorczemu. Kluczowy jest moment, gdy administrator „stwierdzi naruszenie”, czyli ma wystarczająco jasne informacje, że:
doszło do naruszenia poufności, integralności lub dostępności danych osobowych, oraz
naruszenie dotyczy danych, za które jest odpowiedzialny.
Nie trzeba znać wszystkich szczegółów technicznych. Jeżeli po wstępnej analizie widać, że incydent ma charakter naruszenia i jest co najmniej średnie ryzyko, zgłoszenie należy wysłać, nawet jeśli część informacji będzie uzupełniona później.
Jeśli 72 godziny zostaną przekroczone, w zgłoszeniu trzeba wyjaśnić przyczynę opóźnienia. Uzasadnienie typu „czekaliśmy na pełny raport IT” zwykle nie jest przekonujące, jeżeli brakowało podstawowych działań tuż po wykryciu problemu.
Jakie informacje musi zawierać zgłoszenie do UODO
Art. 33 ust. 3 RODO wymienia minimalne elementy zgłoszenia. W praktyce dobrze jest przygotować szablon, który je od razu obejmuje. Zgłoszenie powinno zawierać m.in.:
opis naruszenia – jak doszło do incydentu, jakie systemy i dane zostały dotknięte, ile osób może być objętych,
kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorii i przybliżoną liczbę rekordów danych,
opis możliwych konsekwencji naruszenia dla osób (np. ryzyko oszustw, dyskryminacji, utraty pracy),
opis środków zastosowanych lub proponowanych przez administratora w celu usunięcia naruszenia i minimalizacji jego skutków,
dane inspektora ochrony danych lub innej osoby do kontaktu w sprawie naruszenia.
Jeżeli nie wszystkie informacje są dostępne od razu, administratorem może przekazać je sukcesywnie, bez dalszej zbędnej zwłoki, aktualizując zgłoszenie.
Rola procesora (podmiotu przetwarzającego) przy zgłaszaniu
Jeżeli naruszenie ma miejsce u procesora (np. dostawcy usług IT, call center, operatora chmury), to on w pierwszej kolejności zawiadamia administratora. RODO wymaga, aby zrobił to bez zbędnej zwłoki po stwierdzeniu naruszenia.
To jednak administrator, a nie procesor, odpowiada za:
ocenę ryzyka,
decyzję o zgłoszeniu do UODO,
sporządzenie i wysłanie zgłoszenia.
W umowie powierzenia przetwarzania danych warto mieć precyzyjne zapisy określające terminy i sposób przekazywania informacji o incydentach (np. konkretną ścieżkę komunikacji, osoby odpowiedzialne, obowiązek przekazania logów czy raportów technicznych).
Obowiązek zawiadomienia osób, których dane dotyczą (art. 34 RODO)
Kiedy trzeba poinformować osoby o naruszeniu
Obowiązek z art. 34 RODO pojawia się, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jest to więc wyższy próg niż przy zgłoszeniu do organu.
Jeżeli w wyniku analizy dojdziemy do wniosku, że ryzyko jest:
niskie – naruszenie zgłaszamy tylko do rejestru,
średnie – zgłaszamy do UODO, ale zwykle nie informujemy osób,
wysokie – zgłaszamy do UODO i zawiadamiamy osoby.
Chodzi o takie sytuacje, w których osoba, wiedząc o naruszeniu, może realnie podjąć działania ochronne (np. zmienić hasło, zastrzec dokument, zażądać blokady rachunku, zachować większą ostrożność wobec prób wyłudzeń).
Przykłady naruszeń, przy których zawiadomienie osób jest zazwyczaj konieczne
Do typowych przypadków wysokiego ryzyka zaliczają się m.in.:
wyciek danych logowania do systemów finansowych, kadrowych lub medycznych,
wyciek danych identyfikacyjnych wraz z numerem PESEL i dodatkowymi danymi ułatwiającymi kradzież tożsamości (adres, seria i numer dokumentu, historia płatności),
ujawnienie dokumentacji medycznej lub szczegółowych informacji o stanie zdrowia, nałogach, orientacji seksualnej, przekonaniach religijnych lub politycznych,
masowe udostępnienie listy klientów wraz z informacją o zadłużeniu lub windykacji,
dostęp osób trzecich do skrzynek e‑mail pracowników zawierających korespondencję z klientami (np. dane umów, reklamacji, skargi).
Forma i treść komunikatu do osób
Zawiadomienie nie może być enigmatyczne ani przeładowane żargonem. Powinno wprost wyjaśniać, co się stało i co osoba może z tym zrobić. RODO wymaga, aby komunikat:
był przygotowany prostym i zrozumiałym językiem,
zawierał opis charakteru naruszenia,
wskazywał możliwe konsekwencje naruszenia,
opisywał środki podjęte lub planowane przez administratora w celu zminimalizowania skutków,
zawierał informacje o prawach przysługujących osobom (np. prawo do skargi do UODO) oraz dane kontaktowe (DPO lub inna odpowiedzialna osoba).
Ważne, by do osób trafił przekaz nie tylko „doszło do incydentu”, lecz także konkretne wskazówki typu:
zmień hasło w ciągu 24 godzin i nie używaj starego w innych serwisach,
rozważ zastrzeżenie dokumentu tożsamości w odpowiednim rejestrze,
zachowaj szczególną ostrożność wobec telefonów lub e‑maili z prośbą o podanie dodatkowych danych.
Sposób dostarczenia zawiadomienia
Preferowana jest forma, która zapewnia dotarcie do danej osoby. Najczęstsze kanały:
e‑mail – przy aktualnej i potwierdzonej bazie adresów,
list tradycyjny – np. gdy naruszenie dotyczy danych szczególnie wrażliwych,
wiadomość w systemie klienta – gdy relacja opiera się głównie na serwisie online,
SMS – jako dodatkowy kanał przy pilnych incydentach (np. dane bankowe).
RODO dopuszcza też publiczny komunikat (np. na stronie internetowej, w prasie), jeśli indywidualne zawiadomienie wymagałoby niewspółmiernie dużego wysiłku lub danych kontaktowych jest po prostu brak. W takim przypadku komunikat musi być widoczny, łatwo dostępny i zawierać wszystkie wymagane informacje.
Wyjątki od obowiązku zawiadamiania osób
Art. 34 ust. 3 RODO przewiduje sytuacje, w których pomimo wysokiego ryzyka administrator nie musi informować każdego z osobna. Dotyczy to w szczególności, gdy:
Najczęściej zadawane pytania (FAQ)
Co RODO uznaje za naruszenie ochrony danych osobowych?
RODO definiuje naruszenie ochrony danych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Chodzi o dane przesyłane, przechowywane lub w inny sposób przetwarzane.
W praktyce obejmuje to zarówno wyciek bazy klientów po ataku hakerskim, jak i „drobne” wpadki, np. omyłkowe wysłanie listy płac do niewłaściwego adresata. Warunek jest jeden: muszą to być dane osób fizycznych i musi dojść do naruszenia poufności, integralności lub dostępności tych danych.
Kiedy incydent IT jest naruszeniem danych osobowych w rozumieniu RODO?
Incydent IT staje się naruszeniem danych osobowych, gdy spełnione są łącznie dwa warunki: zdarzenie dotyczy danych osobowych oraz powoduje utratę poufności, integralności lub dostępności tych danych. Sam fakt awarii systemu czy ataku nie wystarczy, jeśli w danym systemie nie ma danych osób fizycznych.
Przykład: awaria serwera testowego z losowymi danymi – to tylko incydent techniczny. Natomiast nieuprawniony dostęp do CRM z danymi klientów (imiona, nazwiska, e‑maile, historia zamówień) to już naruszenie ochrony danych w rozumieniu RODO.
Kiedy trzeba zgłosić naruszenie danych do organu nadzorczego (UODO)?
Administrator ma obowiązek zgłoszenia naruszenia do UODO, jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Chodzi o sytuacje, w których skutki incydentu mogą prowadzić np. do kradzieży tożsamości, strat finansowych, dyskryminacji czy naruszenia dobrego imienia.
Jeśli po rzetelnej analizie stwierdzasz, że ryzyko jest znikome (np. bardzo ograniczony zakres danych, szybkie i skuteczne zabezpieczenie, brak realnej szansy wykorzystania danych), wystarczy odnotować naruszenie w wewnętrznym rejestrze. W razie wątpliwości bezpieczniej jest przygotować zgłoszenie.
W jakim terminie należy zgłosić naruszenie danych do UODO?
RODO przewiduje termin 72 godzin na zgłoszenie naruszenia do organu nadzorczego, licząc od momentu stwierdzenia naruszenia przez administratora. Nie chodzi o chwilę samego incydentu technicznego, ale o moment, w którym administrator realnie zorientował się, że doszło do naruszenia ochrony danych osobowych.
Jeśli nie da się zgromadzić wszystkich informacji w 72 godziny, należy złożyć zgłoszenie wstępne, a później je uzupełnić. Zwlekanie „aż wszystko będzie jasne” często kończy się przekroczeniem terminu i problemem podczas ewentualnej kontroli.
Kiedy trzeba poinformować osoby, których dane wyciekły?
Osoby, których dane dotyczą, trzeba poinformować, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Dotyczy to przede wszystkim wycieków obejmujących dane wrażliwe (np. zdrowotne) lub dane, które mogą posłużyć do kradzieży tożsamości czy oszustw finansowych.
Komunikat do osób powinien być prosty i konkretny: co się stało, jakie dane są objęte naruszeniem, jakie mogą być konsekwencje i jakie działania ochronne mogą podjąć (np. zmiana haseł, czujność wobec prób phishingu). Unikaj żargonu technicznego – adresatem jest zwykły użytkownik, nie administrator systemu.
Czy przypadkowe wysłanie e‑maila do niewłaściwej osoby to naruszenie RODO?
Tak, jeśli w wiadomości lub załączniku znajdują się dane osobowe, do których odbiorca nie powinien mieć dostępu. Przykład: wysyłka PIT‑11 wszystkich pracowników na prywatny adres jednego z nich jest klasycznym naruszeniem poufności danych.
W takiej sytuacji:
niezwłocznie poproś odbiorcę o usunięcie wiadomości i potwierdzenie, że nie wykorzystał danych,
oceń ryzyko dla osób (zakres danych, profil odbiorcy, możliwość dalszego rozpowszechnienia),
zdecyduj, czy zgłaszasz naruszenie do UODO i/lub informujesz osoby, których dane ujawniono.
Jak rozpoznać, czy mamy do czynienia z utratą poufności, integralności czy dostępności danych?
Uproszczone podejście:
poufność – dane zobaczył ktoś, kto nie powinien (omyłkowy adresat, włamywacz, zbyt szerokie uprawnienia w systemie);
integralność – dane zostały zmienione w sposób błędny lub nieuprawniony (złe kwoty wynagrodzeń, zmiana numeru konta, uszkodzone rekordy po migracji);
dostępność – uprawnione osoby nie mają dostępu do danych wtedy, gdy go potrzebują (ransomware szyfruje bazę, awaria kasuje jedyną kopię bazy pacjentów).
Ten prosty podział pomaga już na etapie pierwszej reakcji na incydent: szybciej decydujesz, jakie działania ratunkowe podjąć i jakie konsekwencje dla osób mogą z tego wyniknąć.
