Naruszenie ochrony danych osobowych (w skrócie: naruszenie RODO) to każde zdarzenie, które prowadzi do nieuprawnionego lub przypadkowego ujawnienia, zmodyfikowania, zniszczenia, utraty czy dostępu do danych osobowych. RODO definiuje takie incydenty jako naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych (art. 4 pkt 12 RODO).
W praktyce może to oznaczać zarówno błąd ludzki np. przesłanie maila z załącznikiem zawierającym dane osobowe do niewłaściwego odbiorcy, jak i incydent techniczny, taki jak włamanie do systemu IT, wyciek danych z aplikacji, atak ransomware czy zagubienie nośnika z niezaszyfrowanymi danymi.
Kiedy zgłoszenie naruszenia danych osobowych do UODO jest obowiązkowe?
Zgłoszenie incydentu RODO do Prezesa Urzędu Ochrony Danych Osobowych (UODO) jest obowiązkowe, jeśli naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. To ogólne kryterium wymaga od administratora przeprowadzenia szybkiej, ale kompleksowej analizy potencjalnych skutków zdarzenia.
Kryteria oceny ryzyka naruszenia praw osób fizycznych
W ocenie ryzyka należy wziąć pod uwagę m.in.:
- charakter naruszonych danych – im bardziej wrażliwe dane, tym większe ryzyko (np. PESEL, dane zdrowotne, dane finansowe);
- skalę naruszenia – liczba osób, których dane wyciekły;
- łatwość identyfikacji osoby fizycznej na podstawie ujawnionych danych;
- możliwe skutki np. utrata reputacji, kradzież tożsamości, nadużycie danych w celach przestępczych;
- okoliczności zdarzenia np. czy dane zostały zabezpieczone (zaszyfrowane), czy mogły trafić w ręce nieuprawnione.
Jeśli po analizie uznasz, że występuje ryzyko – masz obowiązek zgłosić naruszenie do UODO.
Naruszenia, których nie trzeba zgłaszać – wyjątki od reguły
Nie każde naruszenie musi być zgłoszone. Jeżeli po dokonaniu rzetelnej analizy administrator stwierdzi, że incydent nie stwarza ryzyka naruszenia praw lub wolności osób fizycznych, zgłoszenie do UODO nie jest wymagane. Dotyczy to m.in. sytuacji, gdy:
- dane były szyfrowane i nieczytelne bez klucza deszyfrującego,
- osoba nieuprawniona miała jedynie teoretyczny dostęp do danych, ale nie mogła ich realnie odczytać,
- naruszenie zostało wykryte i skutecznie zneutralizowane natychmiast.
Warto jednak pamiętać, że to na administratorze ciąży obowiązek udowodnienia, że naruszenie nie wymagało zgłoszenia. Dlatego rekomenduję dokumentowanie każdej analizy ryzyka, nawet jeśli nie kończy się zgłoszeniem.
W jakim terminie należy zgłosić naruszenie do UODO?
Zgłoszenie naruszenia RODO powinno zostać dokonane niezwłocznie, nie później niż w ciągu 72 godzin od momentu, w którym administrator dowiedział się o naruszeniu. To bardzo krótki czas, zwłaszcza jeśli incydent wymaga zebrania informacji od różnych zespołów – IT, bezpieczeństwa, prawników, zarządu.
Jeśli z jakiegoś powodu nie jesteś w stanie zgłosić wszystkich wymaganych informacji w ciągu 72 godzin, musisz złożyć zgłoszenie cząstkowe i wyjaśnić powody opóźnienia. Brak reakcji w terminie może skutkować postępowaniem wyjaśniającym, a nawet karą finansową.
Jakie informacje musi zawierać zgłoszenie do UODO?
Zgłoszenie incydentu RODO do organu nadzorczego nie może być lakoniczne. RODO wymaga, aby administrator wskazał konkretne, uporządkowane informacje dotyczące zdarzenia i zastosowanych środków zaradczych.
Wzór i wymagane elementy zgłoszenia RODO
Zgłoszenie musi zawierać co najmniej:
- dane administratora i dane kontaktowe do IOD (jeśli został powołany),
- opis charakteru naruszenia (jakie dane, ilu osób, w jakiej formie),
- kategorię i przybliżoną liczbę osób oraz rekordów danych, których dotyczy incydent,
- prawdopodobne konsekwencje naruszenia dla osób fizycznych,
- środki techniczne i organizacyjne zastosowane lub planowane w odpowiedzi na incydent,
- informację, czy osoby, których dane dotyczą, zostały poinformowane.
Na stronie UODO dostępny jest interaktywny formularz zgłoszeniowy – korzystanie z niego jest wygodne i pozwala spełnić wszystkie wymogi formalne. Warto mieć go zapisanego w zakładkach.
Najczęstsze błędy w zgłoszeniach naruszeń
Z mojego doświadczenia wynika, że najczęściej popełniane błędy to:
- brak oceny ryzyka lub jej niewłaściwe udokumentowanie,
- opóźnienie zgłoszenia bez podania przyczyny,
- niepełne informacje w formularzu (np. pominięcie danych technicznych),
- brak informacji o działaniach naprawczych,
- niepoinformowanie osób, których dane dotyczą, mimo realnego zagrożenia.
Takie uchybienia mogą podważyć rzetelność administratora i zwiększyć ryzyko nałożenia sankcji.
Czy musisz poinformować osoby, których dane dotyczą?
Obowiązek zawiadomienia osób, których dane zostały naruszone, powstaje, gdy incydent RODO może powodować wysokie ryzyko naruszenia ich praw lub wolności. W praktyce chodzi o sytuacje, w których konsekwencje dla danej osoby mogą być poważne np. gdy dane finansowe, loginy lub dane medyczne dostały się w niepowołane ręce.
Zawiadomienie powinno być przejrzyste, napisane prostym językiem i zawierać:
- opis naruszenia,
- możliwe konsekwencje,
- dane kontaktowe do IOD lub innej osoby odpowiedzialnej,
- informacje, jak poszkodowany może się chronić (np. zmienić hasło, zgłosić incydent bankowi).
Jeżeli administrator wdrożył skuteczne środki techniczne, które sprawiają, że dane są nieczytelne (np. szyfrowanie), zawiadomienie może nie być konieczne, ale to również wymaga dokumentacji.
Co grozi za brak zgłoszenia naruszenia danych osobowych?
Brak zgłoszenia incydentu RODO lub zgłoszenie go z opóźnieniem stanowi naruszenie obowiązków administratora, a w przypadku kontroli może skutkować sankcją finansową na podstawie art. 83 ust. 4 lit. a RODO. Prezes UODO może nałożyć karę administracyjną do 10 milionów euro lub 2% rocznego światowego obrotu – zależnie od tego, która kwota jest wyższa. Dodatkowo osoba, której dane dotyczą, może złożyć skargę do UODO – w takim przypadku inspektor może przeprowadzić postępowanie kontrolne.
Podsumowując, każde naruszenie ochrony danych powinno być przedmiotem dokładnej analizy. Jeśli incydent RODO może zagrozić osobom fizycznym – zgłoszenie naruszenia RODO jest obowiązkowe i powinno nastąpić w ciągu 72 godzin. Prawidłowe zgłoszenie, właściwa dokumentacja oraz transparentna komunikacja z osobami, których dane dotyczą, to podstawa działania zgodnego z RODO i skutecznej ochrony przed sankcjami.
Jeśli masz wątpliwości, zawsze warto skonsultować się z prawnikiem specjalizującym się w ochronie danych – czasami szybka konsultacja może uchronić firmę przed długotrwałymi skutkami prawno-biznesowymi.