4 dni temu
W dniu 20 lutego 2025 r. na stronie Prezesa Urzędu Ochrony Danych Osobowych („PUODO”) opublikowano zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych („Poradnik”). Ponieważ niektóre sformułowania poradnika wywołały duże kontrowersje, PUODO zorganizował również webinar w celu wyjaśnienia niejasności dot. RODO. Główne wątpliwości dotyczyły stanowiska PUODO na temat tego w jakich przypadkach należy zgłaszać naruszenia oraz roli inspektorów ochrony danych („IOD”) w procesie oceny naruszeń.
W dalszej części artykułu zostaną opisane wybrane kwestie dotyczące obsługi naruszeń poruszone w Poradniku i podczas webinaru.
Czy wszystkie przypadki naruszeń RODO należy zgłaszać do UODO?
Nie. UODO podkreślił, iż poradnik nie miał na celu zmiany dotychczasowej praktyki, a jedynie przedstawienie stanowiska UODO prostszym językiem. W razie wątpliwości interpretacyjnych, należy odnosić się do tekstu RODO, jak i do wytycznych EROD (Europejskiej Rady Ochrony Danych).
Aby ocenić, czy naruszenie należy zgłosić do UODO należy zastanowić się nad tym, czy istnieje prawdopodobieństwo wystąpienia ryzyka dla praw i wolności osób dotkniętych naruszeniem. Nie trzeba zgłaszać tych przypadków naruszeń, w których zostanie ustalone, iż ryzyko naruszenia praw lub wolności jest mało prawdopodobne. W Poradniku UODO określił te przypadki skrótowo jako: „brak ryzyka”, jednak podczas webinarium wskazano, iż było to jedynie pewne uproszczenie (nie chodzi więc o całkowity brak ryzyka, a małe prawdopodobieństwo jego wystąpienia).
Na tym etapie nie bada się więc wagi ryzyka, a prawdopodobieństwo jego wystąpienia. Możemy więc mieć do czynienia z przypadkami, w których zajdzie konieczność zgłoszenia naruszenia skutkującego małym (acz bardzo prawdopodobnym) ryzykiem naruszenia, jak i z przypadkami odwrotnymi – kiedy zgłoszenia nie trzeba będzie realizować mimo dużego ryzyka, jeżeli prawdopodobieństwo wystąpienia ryzyka jest małe. Chodzi o ustalenie, czy są realne szanse, aby osoby, których dane dotyczą odczuły negatywne konsekwencje zdarzenia.
Jako przykłady sytuacji, w których prawdopodobieństwo wystąpienia ryzyka jest małe (brak ryzyka) wskazano w Poradniku następujące:
- ujawnienie danych, które są już publicznie dostępne;
- ujawnienie lub utracenie danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych;
- definitywne zaradzenie incydentowi przez administratora (np. mimo, iż dokumenty zawierające dane osobowe wyrzucono na śmietnik administrator dysponuje dowodem, iż nikt do nich nie zaglądał (nagrania z monitoringu), a administrator odzyskał dokumenty). \
Powyższe przypadki stanowią jedynie przykłady sytuacji, które należy uznać za sytuacje uzasadniające brak zgłoszenia – nie jest to katalog zamknięty.
UODO podkreślał jednak wielokrotnie, iż zasadą jest zgłaszanie naruszeń, a więc jeżeli administrator decyduje się nie zgłaszać danego naruszenia, powinien umieć wykazać, iż w danym przypadku ryzyko nie jest prawdopodobne.
Kiedy zgłaszać naruszenia?
RODO wprowadza regułę, zgodnie z którą naruszenie powinno zostać zgłoszone w ciągu 72 godzin od momentu stwierdzenia naruszenia. Chodzi o zgłaszanie takich incydentów bezpieczeństwa, które dotyczą danych osobowych i mogą prowadzić do nieuprawnionego naruszenia poufności, integralności lub dostępności danych. Ustalenie dokładnej chwili, od której należy liczyć rozpoczęcie biegu terminu 72 godzin budzi jednak wątpliwości.
W opinii Urzędu o tym, kiedy zgłosić naruszenie decyduje dostateczna pewność administratora, iż mamy do czynienia z naruszeniem. Czyli przykładowo sytuacja, w której administrator (i) wie, iż ma do czynienia z incydentem bezpieczeństwa, (iii) incydent dotyczy danych osobowych, (iii) administrator nie jest na sto procent pewny, iż skutek się wydarzył, ale zdaje sobie sprawę z tego, iż mogło do niego dojść (jest na to duża szansa). W takiej sytuacji, mimo braku stuprocentowej pewności według UODO rozpoczyna się bieg terminu na zgłoszenie naruszenia – istnieje bowiem realna szansa, iż doszło do naruszenia.
Podczas webinaru analizowano również przypadek ataku na infrastrukturę administratora pod kątem momentu, w którym rozpoczyna biec termin na zgłoszenie naruszenia. Pytanie dotyczyło tego, czy jeżeli po ataku administrator zleci analizę powłamaniową, momentem rozpoczęcia biegu terminu na zgłoszenie naruszenia może być moment otrzymania informacji zwrotnej od zewnętrznej firmy informatycznej zaangażowanej do analizy zdarzenia. Przedstawiciel UODO nie wykluczył, iż może to być ten moment, jednak zastrzegł, iż będzie to zależeć od okoliczności danej sprawy, w szczególności od tego czy administrator działał z należytą starannością, odpowiednio wcześnie podejmując działania zmierzające do wyjaśnienia okoliczności zdarzenia. Istotne jest też, aby administrator miał wdrożone takie środki techniczne i administracyjne, aby jak najwcześniej mógł stwierdzić wystąpienie naruszenia.
Jaka jest rola inspektora ochrony danych w procesie oceny naruszenia?
UODO podkreślił, iż inspektor ochrony danych odgrywa istotną rolę w procesie oceny naruszeń, dlatego powinien być włączany w proces obsługi naruszenia na jak najwcześniejszym etapie. Rola IOD jest jednak rolą głównie doradczą. Nie powinno się więc delegować na IOD obowiązków nałożonych przez RODO bezpośrednio na administratorów. W szczególności IOD nie powinien zgłaszać naruszeń ochrony danych osobowych w imieniu administratora, wysyłać takich zgłoszeń, zawiadamiać w imieniu administratora podmiotów danych, dokumentować naruszeń za administratora (w szczególności, jeżeli wiązałoby się to z określaniem działań zaradczych), podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania danych, czy też działać na podstawie pełnomocnictwa w sprawach związanych z ochroną danych osobowych.
W ocenie UODO, podejmowanie powyższych działań może się wiązać z ryzykiem (i) konfliktu interesów (np. w sytuacji, gdy IOD najpierw byłby zobowiązany do przygotowania dokumentacji, a później jej monitorowania); (ii) naruszenia niezależności IOD (działanie na podstawie pełnomocnictwa wymaga ścisłego wykonywania poleceń).
Podczas webinaru wyjaśniono jednak, iż IOD pełni istotną rolę w procesie obsługi naruszenia i nie jest całkowicie pozbawiony możliwości dokumentowania naruszenia – wręcz przeciwnie, może prowadzić taką dokumentację, jednak nie powinien jej prowadzić w imieniu administratora. Administrator powinien konsultować z IOD sposób postępowania z naruszeniami, radzić się inspektora, w szczególności w przypadku trudniejszych, mniej oczywistych przypadków naruszeń.
W związku z nowymi wytycznymi PUODO warto dokonać przeglądu wewnętrznych polityk i procedur dotyczących procesu obsługi naruszeń pod kątem zgodności ze stanowiskiem wyrażonym w Poradniku.
Autorka: r.pr. Ewa Kuczyńska, Kancelaria GFP_Legal
