Naruszenie ochrony danych osobowych (RODO) — jak reaguje kancelaria i administrator

Naruszenie ochrony danych osobowych to dziś jeden z najczęstszych incydentów, z którymi muszą mierzyć się firmy, urzędy, szpitale, sklepy internetowe i kancelarie. Wbrew obiegowej opinii naruszeniem RODO nie jest wyłącznie spektakularny wyciek bazy danych do internetu — to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych (art. 4 pkt 12 RODO). Zgubiony służbowy laptop, e-mail z listą klientów wysłany do niewłaściwego adresata, atak ransomware, a nawet wyrzucenie do śmieci dokumentów z danymi — to wszystko może być naruszeniem. Ten artykuł wyjaśnia krok po kroku, jakie obowiązki ciążą na administratorze danych po wykryciu naruszenia, jakie są terminy, jakie kary grożą za zaniedbania oraz w czym realnie pomaga kancelaria prawna.

Czym jest naruszenie ochrony danych osobowych w rozumieniu RODO

Podstawą oceny jest art. 4 pkt 12 RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Naruszenie dzieli się na trzy klasyczne kategorie: naruszenie poufności (nieuprawniony dostęp lub ujawnienie danych — np. wysłanie e-maila do złego odbiorcy, włamanie do systemu), naruszenie integralności (nieuprawniona lub przypadkowa zmiana danych) oraz naruszenie dostępności (utrata lub zniszczenie danych, brak możliwości dostępu — np. zaszyfrowanie plików przez ransomware bez kopii zapasowej). Kluczowe jest to, że samo wystąpienie incydentu rodzi obowiązki — niezależnie od tego, czy dane faktycznie trafiły w niepowołane ręce. Administrator (czyli podmiot decydujący o celach i sposobach przetwarzania, art. 4 pkt 7 RODO) musi każdy taki incydent ocenić pod kątem ryzyka dla praw i wolności osób fizycznych. Procesor (podmiot przetwarzający, np. firma hostingowa, biuro rachunkowe) ma obowiązek niezwłocznie zawiadomić administratora o stwierdzonym naruszeniu — wynika to z art. 33 ust. 2 RODO.

Pierwsze 72 godziny — co administrator musi zrobić natychmiast

Po wykryciu naruszenia liczy się czas. Praktyczny plan działania wygląda tak: (1) zabezpieczyć dowody i zatrzymać incydent — odłączyć zainfekowany system, cofnąć udostępnienie, odebrać dostęp; (2) ustalić zakres — jakie kategorie danych, ilu osób dotyczy, czy są to dane szczególnej kategorii (np. zdrowotne, art. 9 RODO); (3) przeprowadzić ocenę ryzyka dla praw i wolności osób — czy grozi im kradzież tożsamości, strata finansowa, dyskryminacja, naruszenie dobrego imienia; (4) wpisać zdarzenie do wewnętrznego rejestru naruszeń, który administrator ma obowiązek prowadzić niezależnie od tego, czy zgłasza naruszenie do organu (art. 33 ust. 5 RODO). Dopiero po tej ocenie podejmuje się decyzję o zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i o ewentualnym zawiadomieniu osób. Każdy krok należy udokumentować — to dokumentacja, nie deklaracje, chroni administratora w razie kontroli.

Zgłoszenie naruszenia do Prezesa UODO — termin 72 godzin

Zgodnie z art. 33 ust. 1 RODO administrator zgłasza naruszenie organowi nadzorczemu (w Polsce — Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Wyjątek: zgłoszenie nie jest wymagane, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli zgłoszenie nastąpi po 72 godzinach, trzeba dołączyć wyjaśnienie przyczyn opóźnienia. Zgłoszenie musi zawierać co najmniej: opis charakteru naruszenia (kategorie i przybliżona liczba osób oraz wpisów danych), dane kontaktowe inspektora ochrony danych (IOD) lub innego punktu kontaktowego, opis możliwych konsekwencji oraz opis zastosowanych lub proponowanych środków zaradczych. W praktyce zgłoszenia dokonuje się elektronicznie przez platformę biznes.gov.pl lub ePUAP, ewentualnie pocztą tradycyjną. Dopuszczalne jest zgłoszenie etapowe — najpierw wstępne, później uzupełniane w miarę ustalania faktów (art. 33 ust. 4 RODO).

Zawiadomienie osób, których dane dotyczą

Drugi, odrębny obowiązek wynika z art. 34 RODO: jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o nim te osoby. Komunikat musi być sformułowany jasnym i prostym językiem, opisywać charakter naruszenia oraz zawierać dane kontaktowe IOD, opis możliwych konsekwencji i zastosowanych środków zaradczych, a także konkretne rekomendacje dla osoby (np. zmiana hasła, zastrzeżenie dowodu, czujność wobec prób wyłudzeń). Zawiadomienie nie jest konieczne, gdy administrator zastosował środki czyniące dane nieczytelnymi dla osób nieuprawnionych (np. silne szyfrowanie), gdy podjął działania eliminujące prawdopodobieństwo wysokiego ryzyka albo gdy zawiadomienie indywidualne wymagałoby niewspółmiernie dużego wysiłku — wtedy stosuje się publiczny komunikat. Warto pamiętać o usłudze zastrzegania numeru PESEL (rejestr zastrzeżeń PESEL działający od 2024 r.) jako praktycznej rekomendacji dla poszkodowanych przy ryzyku kradzieży tożsamości.

Kary administracyjne i odpowiedzialność cywilna

RODO przewiduje dwa pułapy kar administracyjnych (art. 83). Niższy — do 10 mln euro lub 2% całkowitego rocznego światowego obrotu (które jest wyższe) — dotyczy m.in. naruszenia obowiązków zgłoszenia i zawiadomienia z art. 33 i 34 oraz obowiązków administratora i procesora. Wyższy — do 20 mln euro lub 4% obrotu — dotyczy naruszenia podstawowych zasad przetwarzania i praw osób (np. brak podstawy prawnej, naruszenie zasad z art. 5 i 6 RODO). W Polsce podmioty publiczne objęte są odrębnym, niższym limitem kary 100 000 zł (art. 102 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Niezależnie od kary administracyjnej osoba, która poniosła szkodę majątkową lub niemajątkową (np. stres, naruszenie prywatności), ma prawo do odszkodowania od administratora lub procesora na podstawie art. 82 RODO. Roszczeń dochodzi się przed sądem powszechnym (sąd okręgowy jest właściwy dla spraw o ochronę dóbr osobistych i naruszenie RODO — por. art. 17 KPC), a administrator zwalnia się z odpowiedzialności tylko wtedy, gdy udowodni, że w żaden sposób nie ponosi winy za zdarzenie.

Najczęstsze przyczyny naruszeń i jak ich unikać

Z praktyki UODO wynika, że najwięcej naruszeń to błąd ludzki: wysłanie korespondencji do niewłaściwego odbiorcy, zgubienie nośnika, niewłaściwa anonimizacja dokumentów, błędna konfiguracja uprawnień. Drugą grupą są ataki zewnętrzne — phishing, ransomware, wycieki haseł. Skuteczna profilaktyka to: szyfrowanie nośników i kopii zapasowych, polityka silnych haseł i uwierzytelnianie dwuskładnikowe, minimalizacja danych (zasada z art. 5 ust. 1 lit. c RODO), regularne szkolenia pracowników, zawieranie z procesorami umów powierzenia spełniających wymogi art. 28 RODO, prowadzenie rejestru czynności przetwarzania (art. 30 RODO) oraz okresowe audyty i testy planu reagowania na incydenty. Im lepiej udokumentowane środki organizacyjne i techniczne, tym mniejsze ryzyko wysokiej kary — organ ocenia bowiem stopień zawinienia.

W czym pomaga kancelaria prawna

Kancelaria specjalizująca się w ochronie danych wspiera administratora na każdym etapie: ocenia, czy zdarzenie w ogóle jest naruszeniem i jaki niesie poziom ryzyka, przygotowuje treść zgłoszenia do PUODO oraz zawiadomień dla osób, reprezentuje podmiot w postępowaniu kontrolnym i administracyjnym przed Prezesem UODO, a w razie nałożenia kary sporządza odwołanie i skargę do Wojewódzkiego Sądu Administracyjnego. Po stronie poszkodowanych kancelaria pomaga sformułować skargę do PUODO oraz pozew o odszkodowanie z art. 82 RODO. Warto pamiętać, że obsługa prawna nie zastępuje obowiązku samodzielnego, terminowego działania administratora — termin 72 godzin biegnie od stwierdzenia naruszenia, a nie od konsultacji z prawnikiem.