16 godzin temu
Niestety coraz częściej słyszymy o atakach hakerskich na systemy internetowe, przed którymi coraz trudniej się chronić. Sytuacja się komplikuje, gdy w systemach tych są przetwarzane dane osobowe, których poufność, integralność lub dostępność zostały naruszone. Naruszenie ochrony danych osobowych to moment “sprawdzam” w organizacji – pisze w komentarzu dla redakcji Omnichannelnews.pl Zofia Babicka-Klecor, CEO Kreatora Legal Geek, Prawniczka.
W zależności od tego, jakie działania i w jakim terminie zostaną podjęte, jego skutki mogą być całkowicie różne. Sytuacji nie ułatwia to, iż mamy wtedy do czynienia z działaniem pod presją czasu. Warto wiedzieć z czym takie naruszenie się wiąże, aby w przypadku jego wystąpienia w firmie nie tracić czasu w ustalenia w zakresie obowiązków, a także podział ról w zespole.
Informować czy nie informować organu nadzorczego – oto jest pytanie…
Pytania, z którymi spotykam się u przedsiębiorców po wystąpieniu incydentu, to m.in.: czy trzeba informować o tym organ? A może lepiej nic nie zgłaszać? Zacznijmy od tego, iż co do zasady administrator danych osobowych zgłasza naruszenie organowi nadzorczemu – czyli w tym przypadku Prezesowi Urzędu Ochrony Danych Osobowych. Powinno to nastąpić bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku zgłoszenia przekazanego po upływie ww. terminu do zgłoszenia należy dołączyć uzasadnienie opóźnienia.
Ważne jest to, iż zgłoszenia dokonuje się na dedykowanym do tego formularzu, dostępnym na stronie internetowej UODO. Zgłoszenie można uzupełnić, jeżeli pojawią się nowe informacje dotyczące incydentu.
Odstąpić od zgłoszenia można wyłącznie w sytuacji, w której jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Każdy inny przypadek należy zgłosić do UODO.
Nadzorca to nie wszystko
W sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dodatkowo administrator powinien zawiadomić o incydencie osobę, której dane dotyczą. Należy to zrobić bez zbędnej zwłoki.
Co ważne, takie zawiadomienie musi być zrozumiałe dla osoby, która je otrzyma. Dlatego też RODO wskazuje, iż musi być napisane jasnym i prostym językiem. Odstąpienie od zawiadomienia osób, których danych dotyczy naruszenie jest możliwe tylko w ściśle opisanych w RODO przypadkach (m.in. w zakresie szyfrowania czy zastosowania środków eliminujących prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności poszkodowanych osób).
W przypadku, gdy naruszenie dotyczy danych pochodzących od innego administratora danych osobowych, które przetwarzasz w charakterze podmiotu przetwarzającego, musisz poinformować o naruszeniu administratora. Musi to nastąpić bez zbędnej zwłoki. To administrator decyduje o dalszych działaniach, w tym o ewentualnym zgłoszeniu incydentu do UODO i poinformowaniu osób, których dane dotyczą.
Kary administracyjne
Postępowanie po wystąpieniu naruszenia jest ogromnie ważne, m.in. dlatego, iż organ decydując o tym, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość bierze pod uwagę między innymi: działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą oraz sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
W decyzjach wydawanych przez Prezesa UODO znajdziemy m.in. decyzje za brak zgłoszenia naruszenia organowi nadzorczemu oraz niepowiadomienie o nim osób, których dane osobowe zostały naruszone.
Naruszenie w statystykach
Jak wynika ze sprawozdania Prezesa UODO, w 2024 roku wpłynęło do niego 14 842 zgłoszeń dotyczących naruszeń ochrony danych osobowych. Wśród najczęściej zgłaszanych naruszeń były m.in. błędnie zaadresowana korespondencja, udostępnianie danych niewłaściwej osobie, nieuprawniony dostęp do baz danych czy też kradzież nośnika danych.
Podsumowanie
Świadomość tego, jak zachować się po wystąpieniu naruszenia ochrony danych osobowych, traktuję jako formę zabezpieczenia na przyszłość — taką, która być może nigdy nie będzie potrzebna. Jednak w sytuacji, gdy trzeba będzie z tej wiedzy skorzystać, szybkość i poprawność działania z pewnością zadziałają na korzyść przedsiębiorcy.Tego, czego nie widać w statystykach i medialnych doniesieniach o incydentach, to stres i zmęczenie osób, które w firmie obsługują takie zdarzenia — często po godzinach, również nocą. Odpowiednie procedury oraz świadomość ryzyk mogą znacząco wesprzeć organizację w takiej sytuacji.
Autorką komentarza jest Zofia Babicka-Klecor, CEO Kreatora Legal Geek, Prawniczka.
![Bogda Korolczuk, PRCH: Retail na fali wznoszącej. Od stabilizacji do rozpędu [KOMENTARZ]](https://omnichannelnews.pl/wp-content/uploads/2025/12/bogda-korolczuk-dyrektor-prch.jpg)
