W jakim terminie kancelaria musi zgłosić wyciek danych?

Naruszenie ochrony danych osobowych zgłasza się Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie powodowało ryzyko dla praw i wolności osób.

Jakie kary grożą za naruszenie RODO?

Administracyjne kary pieniężne mogą sięgać 20 mln euro lub 4 proc. rocznego światowego obrotu - w zależności od rodzaju naruszenia. Dodatkowo poszkodowani mogą dochodzić odszkodowania na podstawie art. 82 RODO.

Czy wyciek danych klienta może oznaczać odpowiedzialność dyscyplinarną prawnika?

Tak. Adwokaci i radcowie prawni są związani tajemnicą zawodową. Jej naruszenie - także przez zaniedbania w zabezpieczeniu danych - może skutkować odpowiedzialnością dyscyplinarną, łącznie z zawieszeniem lub pozbawieniem prawa wykonywania zawodu.

Gdzie zgłosić incydent cyberbezpieczeństwa?

Naruszenie danych osobowych - do PUODO. Incydenty techniczne można dodatkowo zgłaszać do CERT Polska (CSIRT NASK). Operatorzy usług kluczowych mają osobne obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa.

Cyberbezpieczeństwo w kancelarii - jaka odpowiedzialność prawna grozi za naruszenie danych?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Kancelarie prawne przetwarzają wyjątkowo wrażliwe dane, dlatego są atrakcyjnym celem cyberataków. Naruszenie bezpieczeństwa - wyciek danych, ransomware, phishing - rodzi w Polsce odpowiedzialność na kilku płaszczyznach: administracyjnej (RODO), cywilnej (odszkodowania wobec poszkodowanych), zawodowej (odpowiedzialność dyscyplinarna adwokatów i radców prawnych za naruszenie tajemnicy) oraz, w niektórych przypadkach, karnej. Poniżej przedstawiamy ramy prawne obowiązujące w polskim porządku prawnym.

RODO i obowiązek zgłoszenia naruszenia w 72 godziny

Podstawą ochrony danych osobowych jest RODO (rozporządzenie 2016/679) uzupełnione krajową ustawą z 10 maja 2018 r. o ochronie danych osobowych. Administrator danych, który stwierdzi naruszenie ochrony danych, ma obowiązek zgłosić je organowi nadzorczemu - Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) - bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, należy zawiadomić również osoby, których dane dotyczą (art. 34 RODO). Maksymalne administracyjne kary pieniężne z RODO sięgają 20 mln euro lub 4 proc. rocznego światowego obrotu (zależnie od typu naruszenia).

Ustawa o krajowym systemie cyberbezpieczeństwa i dyrektywa NIS

Obok RODO funkcjonuje ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, wdrażająca unijną dyrektywę NIS (a docelowo NIS2). Nakłada ona obowiązki na operatorów usług kluczowych i dostawców usług cyfrowych, w tym zgłaszanie incydentów do właściwego CSIRT. Typowa kancelaria prawna zwykle nie jest operatorem usługi kluczowej, jednak każda firma powinna śledzić rozszerzanie zakresu podmiotowego przepisów wraz z wdrażaniem NIS2 do prawa krajowego. Niezależnie od tego, dobrą praktyką jest zgłaszanie incydentów do CERT Polska (CSIRT NASK).

Odpowiedzialność cywilna, karna i zawodowa

Osoby poszkodowane wyciekiem mogą dochodzić odszkodowania - zarówno na podstawie art. 82 RODO (odszkodowanie za szkodę majątkową i niemajątkową), jak i na zasadach ogólnych Kodeksu cywilnego (art. 415 i nast.). W grę wchodzi też odpowiedzialność karna za przestępstwa komputerowe, np. nielegalny dostęp do systemu (art. 267 k.k.) czy niszczenie danych (art. 268-269b k.k.), gdy sprawcą jest osoba trzecia. Dla adwokatów i radców prawnych kluczowa jest ochrona tajemnicy zawodowej - jej naruszenie może skutkować odpowiedzialnością dyscyplinarną na podstawie Prawa o adwokaturze lub ustawy o radcach prawnych, aż do zawieszenia lub pozbawienia prawa do wykonywania zawodu.

Najczęstsze pytania

W jakim terminie kancelaria musi zgłosić wyciek danych?
Naruszenie ochrony danych osobowych zgłasza się Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie powodowało ryzyko dla praw i wolności osób.
Jakie kary grożą za naruszenie RODO?
Administracyjne kary pieniężne mogą sięgać 20 mln euro lub 4 proc. rocznego światowego obrotu - w zależności od rodzaju naruszenia. Dodatkowo poszkodowani mogą dochodzić odszkodowania na podstawie art. 82 RODO.
Czy wyciek danych klienta może oznaczać odpowiedzialność dyscyplinarną prawnika?
Tak. Adwokaci i radcowie prawni są związani tajemnicą zawodową. Jej naruszenie - także przez zaniedbania w zabezpieczeniu danych - może skutkować odpowiedzialnością dyscyplinarną, łącznie z zawieszeniem lub pozbawieniem prawa wykonywania zawodu.
Gdzie zgłosić incydent cyberbezpieczeństwa?
Naruszenie danych osobowych - do PUODO. Incydenty techniczne można dodatkowo zgłaszać do CERT Polska (CSIRT NASK). Operatorzy usług kluczowych mają osobne obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę