Wróć do artykułów

Co zrobić, jeśli doszło do naruszenia ochrony danych osobowych w firmie i jak to zgłosić?

Autor

Radca Prawny Maciej Bednarek
27.01.2025

Coraz częściej stykamy się z informacjami o bardzo wysokich karach nakładanych na firmy, w których doszło do naruszenia ochrony danych osobowych. Przedsiębiorcy zwykle przymykają oko na takie wiadomości, gdyż przecież „tak potężna afera nam się nie przytrafi”. Trochę większy niepokój budzi to, gdy do incydentu dochodzi w bliskiej lub wręcz tożsamej im branży.

„Będziemy martwić się, kiedy do tego w ogóle dojdzie” – takie podejście wydaje się najprostsze i najlepsze, kiedy dla przedsiębiorca musi zmagać się z wieloma problemami, które są o wiele bardziej istotne dla niego w danej chwili. Problem w tym, że w wypadku naruszenia ochrony danych osobowych nie liczy się jedynie reakcja po zdarzeniu, ale również, w stopniu nie mniej istotnym, jakie były działania administratora danych przed takim potencjalnym incydentem. 

Jak więc należy postąpić w przypadku zajścia naruszenia ochrony danych osobowych w przedsiębiorstwie oraz jakie działania powinien podjąć każdy administrator, który przetwarza jakiekolwiek dane osobowe?

Czym jest naruszenie ochrony danych osobowych?

W kwestii danych osobowych wszystkim reguluje RODO, czyli obowiązujące już szósty rok rozporządzenie o ochronie danych na terenie całej Unii Europejskiej. Według niego, naruszenie ochrony danych osobowych stanowi naruszenie bezpieczeństwa danych, które  prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO). 

            Grupa Robocza Art. 29 rozróżniła trzy kategorie takiego naruszenia:

  • naruszenie dotyczące poufności danych – w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
  • naruszenie dotyczące integralności danych – w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
  • naruszenie dotyczące dostępności danych – w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.

W jakim przypadku konieczne jest zgłoszenie naruszenia ochrony danych osobowych?

Administrator danych ma obowiązek zgłoszenia incydentu do organu nadzorczego (Urzędu ochrony danych osobowych) oraz do wszystkich osób, których dane dotyczą, jeśli naruszenie, do którego doszło, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych.

            Co to znaczy?

       RODO w motywie 85 dość jasno precyzuje, że dzieje się tak w wypadku, gdy naruszenie ochrony danych osobowych może powodować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych –  takich, jak:

  • utrata kontroli nad własnymi danymi osobowymi;
  • ograniczenie praw;
  • dyskryminacja
  • kradzież lub sfałszowanie tożsamości;
  • strata finansowa;
  • nieuprawnione odwrócenie pseudonomizacji (mówiąc wprost – nieuprawnione odszyfrowanie zabezpieczonych danych);
  • naruszenie dobrego imienia;
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Kto jest odpowiedzialny za ochronę danych osobowych w firmie?

Administrator jest osobą odpowiedzialną prawnie za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. Zgodnie z RODO, administrator to osoba fizyczna lub prawna, organ publiczny lub jednostka lub inny podmiot, który ustala samodzielnie (lub wspólnie z innymi) cele i sposoby przetwarzania danych osobowych.

Jako pomoc może on wyznaczyć:

  • podmiot przetwarzający dane – czyli osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  • Inspektora Ochrony Danych Osobowych (IOD) – czyli osobę, która dysponuje fachową wiedzą w zakresie ochrony danych osobowych, służy on pomocą oraz poradą, ale nie jest to organ decyzyjny – administrator może, ale nie musi wysłuchać porady IOD-a (co istotne w niektórych przypadkach przepisy regulują konieczność powołania IOD-a);

Nikt nie może zdjąć jednak odpowiedzialności z administratora i to zawsze on pozostanie osobą decyzyjną. Ma on obowiązek wdrożyć (samodzielnie lub w wyznaczyć kogoś, kto uczyni to w jego imieniu) odpowiednie i skuteczne środki zapobiegawcze oraz musi być w stanie wykazać, że przetwarzanie danych, za które jest odpowiedzialny, pozostaje zgodne z przepisami RODO. Wreszcie to administrator ponosi odpowiedzialność za powiadomienie organu nadzorczego i osób, których dane dotyczą, w wypadku zajścia naruszenia ochrony danych osobowych. Ma też obowiązek podjęcia wszystkim niezbędnych działań po zajściu takiego incydentu. On też jest odpowiedzialny za podjęcie ewentualnej decyzji o braku konieczności powiadomienia organu nadzorczego czy osób, których dane dotyczą.

Jakie kroki należy podjąć, kiedy dowiadujemy się, że doszło do naruszenia danych osobowych?

1. W momencie, kiedy dochodzi do stwierdzenia naruszenia bezpieczeństwa w związku z przetwarzaniem danych osobowych, administrator ma obowiązek nie później niż w terminie 72 godzin zgłosić incydent do organu nadzorczego – chyba że jest małe prawdopodobieństwo, żeby skutkowało wystąpieniem ryzyka naruszenia praw lub wolności osób fizycznych (art. 33 RODO). 

2. Administrator danych bez zbędnej zwłoki zawiadamia osoby, których dane dotyczą, o naruszeniu ochrony ich danych (jest kilka wyjątków – w kolejnym punkcie).

3. Administrator w zawiadomieniu:

  • opisuje jasnym i prostym językiem charakter i okoliczności naruszenia ochrony danych osobowych w swojej organizacji;
  • do organu nadzorczego – przesyła kategorie i przybliżoną ilość osób, których dane dotyczą, a także kategorię oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • podaje imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych Osobowych lub wyznacza inny kontakt;
  • opisuje możliwe konsekwencje naruszenia;
  • opisuje środki, które zastosował lub proponuje w celu zaradzenia naruszeniu ochrony danych osobowych, a także środki w celu zminimalizowania jego ewentualnych negatywnych skutków;

4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, okoliczności ich naruszenia, ich skutki, a także podjęte działania zaradcze. Pomoże to weryfikacji przestrzegania przepisów przez administratora.

5. Jeśli zawiadomienie o naruszeniu zostało zgłoszone do organu nadzorczego po terminie 72 godzin, administrator powinien uzasadnić i udokumentować opóźnienie. 

Kiedy nie jest wymagane powiadomienie osób, których dane dotyczą, o naruszeniu?

Nie ma takiej konieczność w przypadkach, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do ochrony danych osobowych, których dotyczy naruszenie (np.. szyfrowanie, które uniemożliwi odczyt danych osobom nieuprawnionym) – innymi słowy wybrane wcześniej środki ochrony w pełni zabezpieczają dane osobowe, które uległy naruszeniu;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia naruszenia praw i wolności osób, których dane dotyczą;
  • zawiadomienie osób, których dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku – można podjąć wtedy inne działania, jak np. wydać publiczny komunikat, umieścić go na stronie internetowej czy też zastosować inny środek, który byłby w tym wypadku skuteczny.

W takich wypadkach bardzo przydaje się osoba inspektora danych osobowych, który może posłużyć wiedzą oraz poradą – tym bardziej że często IOD-em jest prawnik.

Jakie są sankcje za naruszenie danych osobowych?

Naruszenie przepisów art. 33 i 34 RODO, czyli obowiązku zgłaszania naruszenia ochrony organowi nadzorczemu oraz osobom, których dane dotyczą, skutkuje w wysokości do 10 mln zł, a w wypadku przedsiębiorstwa karą w wysokości 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

            Co jednak istotne i warte ponownego podkreślenia – w samym zajściu incydentu naruszenia ochrony danych osobowych nie chodzi tylko o prawidłowe działania po samym naruszeniu. Kluczowe jest zastosowanie wcześniej odpowiednich środki ochrony – technicznych i organizacyjnych, które w odpowiedni sposób zabezpieczą przetwarzane dane. Ponieważ to właśnie o bezpieczeństwo tych danych chodzi. W razie gdy dojdzie do naruszenia, stosowne środki ochrony mogą zapobiec skutkom naruszenia praw lub wolności osób fizycznych, a więc sytuacji, do której żaden administrator danych osobowych nie chce dopuścić.

            Świadczy o tym niedawna kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę medyczną w wysokości 1,5 mln zł. W spółce doszło do olbrzymiego wycieku danych, w tym wrażliwych danych klientów, o którym spółka dowiedziała się od samych hakerów, którzy zażądali pieniędzy. Dopiero wtedy spółka zgłosiła sprawę do organu nadzorczego. Kara wynikła przede wszystkim z olbrzymiego zaniedbania ochrony danych osobowych, jakiego dopuściła się spółka:

  • brak aktualnych zabezpieczeń;
  • nieprzestrzeganie własnych środków bezpieczeństwa;
  • brak wdrożenia odpowiednich środków ochrony.

W wypadku działań związanych z ochroną danych osobowych równie ważne są odpowiednie czynności podejmowane w wypadku zajścia naruszenia bezpieczeństwa, co wszelkie środki i działania zapobiegawcze, które podejmuje i przestrzega przedsiębiorstwo.