Prawnik od cyberbezpieczeństwa w lotnictwie - czym się zajmuje?
RODO i dane osobowe · 6 min czytania · Redakcja zaufanyprawnik.pl
Sektor lotniczy przetwarza ogromne ilości wrażliwych informacji: dane osobowe pasażerów, dane operacyjne, dane personelu pokładowego oraz systemy istotne dla bezpieczeństwa lotów. Linie lotnicze, porty lotnicze, agenci handlingowi i ich dostawcy IT funkcjonują w gęstej siatce obowiązków wynikających z prawa ochrony danych i prawa cyberbezpieczeństwa. Prawnik specjalizujący się w bezpieczeństwie informacji pomaga tym podmiotom spełniać te obowiązki, ograniczać ryzyko prawne oraz reagować na incydenty. Poniżej opisujemy jego rolę z perspektywy prawa obowiązującego w Polsce i Unii Europejskiej. Materiał ma charakter informacyjny i nie stanowi porady prawnej dotyczącej konkretnej sprawy.
Ramy prawne istotne w Polsce i UE
W polskich realiach kluczowe są przepisy unijne i krajowe, a nie regulacje amerykańskie. Podstawą ochrony danych jest RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) wraz z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) - określają one zasady przetwarzania danych, obowiązki administratora i podmiotu przetwarzającego oraz kompetencje organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Cyberbezpieczeństwo podmiotów kluczowych i ważnych reguluje dyrektywa NIS2 (dyrektywa (UE) 2022/2555). W Polsce została ona wdrożona poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która weszła w życie w 2026 roku. Nowelizacja rozszerza katalog podmiotów objętych systemem, wprowadza rozróżnienie na podmioty kluczowe i podmioty ważne, a także wzmacnia odpowiedzialność kierownictwa za realizację zadań z zakresu cyberbezpieczeństwa. W lotnictwie cywilnym znaczenie mają również wymogi Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego (EASA) oraz standardy Organizacji Międzynarodowego Lotnictwa Cywilnego (ICAO), które uzupełniają regulacje ogólne o aspekty branżowe - w tym dotyczące bezpieczeństwa systemów istotnych dla operacji lotniczych.
Czym zajmuje się taki prawnik
Do typowych zadań należy: - doradztwo w zakresie zgodności z RODO oraz z przepisami o cyberbezpieczeństwie (dyrektywa NIS2 i ustawa o KSC), - ocena, czy dany podmiot kwalifikuje się jako podmiot kluczowy lub ważny w rozumieniu znowelizowanej ustawy o KSC, oraz wsparcie przy obowiązkach rejestrowych i organizacyjnych, - opracowywanie polityk ochrony danych, procedur reagowania na incydenty i planów ciągłości działania, - przygotowywanie umów powierzenia przetwarzania danych z dostawcami IT i podmiotami handlingowymi, - prowadzenie oceny skutków dla ochrony danych (DPIA) dla operacji wysokiego ryzyka, - wsparcie przy zgłaszaniu naruszeń ochrony danych oraz zgłaszaniu incydentów wymaganych przepisami o cyberbezpieczeństwie, - reprezentowanie klienta w postępowaniach przed Prezesem UODO oraz w sporach cywilnych po naruszeniu danych. W praktyce prawnik współpracuje ze specjalistami technicznymi (zespołami bezpieczeństwa IT), ponieważ skuteczne zarządzanie ryzykiem łączy aspekty prawne i informatyczne.
Obowiązek zgłaszania naruszenia danych
Jednym z kluczowych obowiązków jest zgłaszanie naruszeń ochrony danych osobowych. Zgodnie z art. 33 RODO administrator zgłasza naruszenie organowi nadzorczemu (w Polsce - Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeżeli zgłoszenia dokonano po upływie 72 godzin, dołącza się do niego wyjaśnienie przyczyn opóźnienia. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o nim również osoby, których dane dotyczą (art. 34 RODO). Niezależnie od tego administrator dokumentuje wszelkie naruszenia, co umożliwia organowi nadzorczemu weryfikację przestrzegania przepisów. Należy odróżnić ten obowiązek od zgłaszania incydentów na gruncie przepisów o cyberbezpieczeństwie - podmiot objęty ustawą o KSC może być zobowiązany do odrębnego zgłoszenia poważnego incydentu właściwemu zespołowi reagowania (CSIRT), w terminach i trybie określonych w ustawie. Jedno zdarzenie może więc rodzić obowiązki sprawozdawcze równolegle wobec dwóch różnych organów.
Kary i odpowiedzialność
Za naruszenia RODO grożą administracyjne kary pieniężne nakładane przez Prezesa UODO. Ich wysokość zależy od rodzaju naruszenia: za naruszenie obowiązków administratora lub podmiotu przetwarzającego (w tym obowiązków związanych z bezpieczeństwem i zgłaszaniem naruszeń) kara może wynieść do 10 mln euro, a w przypadku przedsiębiorstwa - do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 RODO). Za naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, kara może sięgać do 20 mln euro, a w przypadku przedsiębiorstwa - do 4% rocznego światowego obrotu (art. 83 ust. 5 RODO). Niezależnie od kar administracyjnych możliwa jest odpowiedzialność cywilna wobec osób, których dane naruszono (art. 82 RODO). Na gruncie przepisów o cyberbezpieczeństwie znowelizowana ustawa o KSC przewiduje natomiast własny katalog kar i mechanizmów nadzorczych, w tym odpowiedzialność kierownictwa podmiotu kluczowego lub ważnego za niewywiązanie się z zadań ustawowych. Konkretną wysokość sankcji i przesłanki ich wymierzenia każdorazowo ustala się na podstawie obowiązujących przepisów i okoliczności sprawy.
Kiedy i jak skorzystać ze wsparcia prawnika
Wsparcie prawnika warto rozważyć nie tylko po incydencie, lecz przede wszystkim zawczasu - na etapie budowania polityk, umów i procedur. Po wykryciu naruszenia liczy się czas: krótkie terminy zgłoszeniowe (np. 72 godziny z art. 33 RODO) oznaczają, że decyzje o zakresie i adresacie zgłoszenia trzeba podejmować szybko i w oparciu o rzetelną ocenę ryzyka. Przy wyborze prawnika pomocne jest sprawdzenie doświadczenia w sprawach z zakresu ochrony danych i cyberbezpieczeństwa oraz znajomości specyfiki branży regulowanej. Zakres wsparcia, honorarium i tryb współpracy ustala się indywidualnie w umowie. Niniejszy artykuł nie zastępuje indywidualnej porady prawnej - w konkretnej sprawie należy skonsultować się z adwokatem lub radcą prawnym.
Najczęstsze pytania
Jakie przepisy o cyberbezpieczeństwie obowiązują firmy lotnicze w Polsce?
Przede wszystkim RODO i ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych w zakresie danych osobowych oraz dyrektywa NIS2 i znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa w zakresie bezpieczeństwa sieci i systemów informacyjnych. W lotnictwie cywilnym znaczenie mają również wymogi EASA i standardy ICAO. To regulacje unijne i krajowe, a nie amerykańskie.
W jakim terminie trzeba zgłosić naruszenie danych?
Zgodnie z art. 33 RODO administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia; przy późniejszym zgłoszeniu dołącza się wyjaśnienie przyczyn opóźnienia. Przy wysokim ryzyku dla praw i wolności osób trzeba także zawiadomić te osoby (art. 34 RODO).
Jakie kary grożą za naruszenie ochrony danych?
RODO przewiduje administracyjne kary pieniężne nakładane przez Prezesa UODO. W zależności od rodzaju naruszenia kara może wynieść do 10 mln euro lub do 2% rocznego światowego obrotu (art. 83 ust. 4), albo do 20 mln euro lub do 4% rocznego światowego obrotu (art. 83 ust. 5) - przy czym stosuje się kwotę wyższą. Możliwa jest też odpowiedzialność cywilna wobec osób, których dane naruszono (art. 82 RODO).
Czy linia lotnicza może być podmiotem kluczowym według ustawy o krajowym systemie cyberbezpieczeństwa?
Znowelizowana ustawa o KSC, wdrażająca dyrektywę NIS2, rozróżnia podmioty kluczowe i podmioty ważne i rozszerza katalog sektorów objętych systemem, w tym o transport. Czy konkretny podmiot lotniczy podlega ustawie i jako który rodzaj podmiotu, zależy od jego wielkości i charakteru działalności - tę kwalifikację należy ustalić indywidualnie na podstawie obowiązujących przepisów.
Czym różni się zgłoszenie naruszenia do UODO od zgłoszenia incydentu cyberbezpieczeństwa?
To dwa odrębne obowiązki. Zgłoszenie do Prezesa UODO dotyczy naruszenia ochrony danych osobowych (art. 33 RODO). Zgłoszenie incydentu na gruncie ustawy o KSC dotyczy bezpieczeństwa sieci i systemów informacyjnych i kierowane jest do właściwego zespołu reagowania (CSIRT). Jedno zdarzenie może rodzić oba obowiązki równolegle, dlatego warto mieć procedurę uwzględniającą obie ścieżki.
Powiązane poradniki
- Wyciek danych z instytucji państwowej - obowiązki, odpowiedzialność i obrona prawna
- Nielegalne pozyskanie danych z systemu bezpieczeństwa chemicznego — odpowiedzialność z art. 267-269b KK i obrona
- Cyberatak na placówkę medyczną: obowiązki prawne i rola adwokata
- Cyberataki na infrastrukturę krytyczną — odpowiedzialność karna i obrona
Podstawa prawna i źródła
- Rozporządzenie (UE) 2016/679 (RODO) - art. 33, 34, 82 i 83
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)
- Dyrektywa (UE) 2022/2555 (NIS2)
- Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (wdrożenie NIS2) - Portal Gov.pl
- Urząd Ochrony Danych Osobowych (UODO) - organ nadzorczy w Polsce
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę