Wyciek danych z instytucji państwowej - obowiązki, odpowiedzialność i obrona prawna
RODO i dane osobowe · 4 min czytania · Redakcja zaufanyprawnik.pl
Wyciek danych z urzędu, szpitala, szkoły czy innej jednostki publicznej to nie tylko incydent informatyczny, lecz zdarzenie o poważnych skutkach prawnych. Instytucja jako administrator danych odpowiada wobec UODO i osób, których dane wyciekły, a konkretne osoby (kierownik jednostki, pracownik, intruz) mogą ponosić odpowiedzialność karną i służbową. Skuteczna obrona zaczyna się przed incydentem: od wdrożonych zabezpieczeń i procedur, a po incydencie polega na prawidłowym, terminowym działaniu i wykazaniu należytej staranności. Ten artykuł porządkuje obowiązki i ramy odpowiedzialności w polskim prawie oraz wskazuje praktyczne kroki obrony. Materiał ma charakter informacyjny i nie zastępuje porady prawnej w konkretnej sprawie.
Czym jest naruszenie ochrony danych w sektorze publicznym
RODO (rozporządzenie UE 2016/679) definiuje naruszenie ochrony danych osobowych jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych (art. 4 pkt 12 RODO). W instytucjach państwowych źródła są typowe: zewnętrzne ataki (phishing, ransomware), zagrożenia wewnętrzne (nadużycie uprawnień przez pracownika), błąd ludzki (wysłanie pliku do złego adresata, brak szyfrowania) oraz luki techniczne (niezałatane systemy, słabe hasła). Pierwszym krokiem obrony jest klasyfikacja danych: ustalenie, które zbiory są wrażliwe (np. dane o zdrowiu, dane szczególnych kategorii z art. 9 RODO), żeby objąć je wzmocnionymi środkami z art. 32 RODO (bezpieczeństwo przetwarzania).
Obowiązki administratora po wycieku - terminy z RODO
Po stwierdzeniu naruszenia liczą się godziny. Art. 33 RODO nakłada obowiązek zgłoszenia naruszenia organowi nadzorczemu (w Polsce: Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeżeli zgłoszenie nastąpi później, trzeba dołączyć wyjaśnienie opóźnienia. Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób, art. 34 RODO wymaga zawiadomienia samych osób, których dane dotyczą, bez zbędnej zwłoki i prostym językiem. Niezależnie od progu zgłoszenia administrator ma obowiązek dokumentować każde naruszenie w wewnętrznym rejestrze (art. 33 ust. 5 RODO). Krok praktyczny: jednostka powinna mieć gotowy wzór zgłoszenia, listę kontaktów i wyznaczonego Inspektora Ochrony Danych, którego wskazanie jest dla podmiotów publicznych obowiązkowe (art. 37 ust. 1 lit. a RODO).
Najczęstsze pytania
W jakim terminie trzeba zgłosić wyciek danych?
Naruszenie ochrony danych zgłasza się Prezesowi UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO). Niezależnie incydent w podmiocie publicznym należy zgłosić do właściwego CSIRT w ciągu 24 godzin od wykrycia (ustawa o krajowym systemie cyberbezpieczeństwa).
Jaka kara grozi instytucji publicznej za wyciek danych?
W Polsce maksymalna administracyjna kara pieniężna dla podmiotów publicznych wynosi 100 000 zł (art. 102 ustawy o ochronie danych osobowych), a nie ogólne 20 mln euro z art. 83 RODO. Dodatkowo instytucji grożą roszczenia odszkodowawcze osób poszkodowanych z art. 82 RODO.
Czy pracownik może odpowiadać karnie za wyciek?
Tak. W zależności od czynu w grę wchodzą m.in. art. 267 KK (nielegalny dostęp do informacji), art. 266 KK (ujawnienie tajemnicy), a dla funkcjonariusza publicznego art. 231 KK (nadużycie funkcji lub niedopełnienie obowiązków na szkodę interesu publicznego).
Czy obywatel może dochodzić odszkodowania za wyciek swoich danych?
Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową oraz zadośćuczynienia za szkodę niemajątkową (np. stres, ryzyko kradzieży tożsamości). Roszczenia można dochodzić indywidualnie lub w postępowaniu grupowym.
Jak obywatel może zgłosić podejrzenie wycieku danych?
Można złożyć skargę do Prezesa UODO (pisemnie, elektronicznie przez ePUAP lub e-Doręczenia). Incydenty cyberbezpieczeństwa można też zgłaszać do CSIRT NASK. Warto opisać, jakie dane wyciekły i jakie ryzyko to powoduje.
Obok RODO instytucje publiczne podlegają ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Podmioty publiczne mają obowiązek zarządzania incydentami i zgłaszania ich do właściwego CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON, zależnie od podmiotu). Incydent w podmiocie publicznym należy zgłosić niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia. Ustawa nakłada też obowiązek wyznaczenia osoby odpowiedzialnej za kontakt w sprawach cyberbezpieczeństwa oraz wdrożenia procedur reagowania. Dla operatorów usług kluczowych obowiązki są jeszcze szersze (audyty bezpieczeństwa, szacowanie ryzyka). W praktyce wyciek danych z urzędu uruchamia więc dwa równoległe tory zgłoszeniowe: ochronę danych (UODO) i cyberbezpieczeństwo (CSIRT).
Wyciek danych często wiąże się z czynem zabronionym. Art. 267 KK penalizuje nielegalny dostęp do informacji (hacking, przełamanie zabezpieczeń, podsłuch) - zagrożenie do 2 lat pozbawienia wolności. Art. 268 i 268a KK chronią integralność i dostępność danych (niszczenie, uszkadzanie, utrudnianie dostępu), art. 269 KK dotyczy sabotażu danych o szczególnym znaczeniu dla bezpieczeństwa państwa, a art. 269a KK - zakłócania pracy systemów (np. atak DDoS). Art. 269b KK penalizuje wytwarzanie i udostępnianie narzędzi hakerskich. Odrębnie kodeks chroni tajemnicę: ujawnienie informacji niejawnych to art. 265 KK, a tajemnicy służbowej lub zawodowej - art. 266 KK. Pracownik instytucji, który przekroczył uprawnienia lub nie dopełnił obowiązków na szkodę interesu publicznego, może odpowiadać z art. 231 KK (nadużycie funkcji przez funkcjonariusza publicznego).
Sankcje administracyjne i roszczenia osób poszkodowanych
RODO przewiduje administracyjne kary pieniężne do 20 mln euro lub 4% rocznego obrotu (art. 83 RODO), jednak w Polsce dla jednostek sektora publicznego obowiązuje istotne ograniczenie: art. 102 ustawy z 10 maja 2018 r. o ochronie danych osobowych ustala maksymalną karę dla podmiotów publicznych na 100 000 zł (a dla niektórych instytucji kultury 10 000 zł). Niezależnie od kary administracyjnej osoby, których dane wyciekły, mogą dochodzić odszkodowania i zadośćuczynienia na podstawie art. 82 RODO za szkodę majątkową i niemajątkową. W praktyce coraz częściej spotyka się pozwy o zadośćuczynienie za naruszenie ochrony danych, w tym roszczenia grupowe. Dla instytucji oznacza to, że poza karą UODO realnym ryzykiem są procesy cywilne wszczynane przez obywateli.
Linia obrony instytucji i jej pracowników
Obrona administratora opiera się na rozliczalności (art. 5 ust. 2 RODO): trzeba wykazać, że wdrożono odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka (art. 24 i 32 RODO). Kluczowe dowody to: analiza ryzyka, polityka bezpieczeństwa, dokumentacja szkoleń, logi dostępu, rejestr czynności przetwarzania oraz dowód terminowego zgłoszenia incydentu. Im szybsza i lepiej udokumentowana reakcja, tym łagodniejsza ocena UODO (art. 83 ust. 2 RODO wymienia okoliczności łagodzące, m.in. współpracę z organem). Dla pracownika oskarżonego o spowodowanie wycieku obrona koncentruje się na braku winy umyślnej, działaniu w ramach uprawnień i braku niedopełnienia obowiązków. Praktyczne kroki: niezwłoczne zabezpieczenie logów, powołanie zespołu reagowania, kontakt z IOD oraz z radcą prawnym lub adwokatem przed złożeniem wyjaśnień.
Komunikacja i działania naprawcze po incydencie
Sposób komunikacji wpływa zarówno na zaufanie obywateli, jak i na ocenę prawną sprawy. Zawiadomienie osób (art. 34 RODO) powinno jasno opisać charakter naruszenia, kategorie danych, możliwe skutki i zalecane środki ochronne (np. zmiana haseł, czujność na phishing, w razie wycieku numeru PESEL zastrzeżenie numeru w rejestrze zastrzeżeń PESEL). Należy wskazać punkt kontaktowy - zwykle Inspektora Ochrony Danych - oraz przekazywać aktualizacje w trakcie dochodzenia. Po stronie naprawczej liczą się: usunięcie podatności, wzmocnienie uwierzytelniania, szyfrowanie, ograniczenie dostępu do danych zgodnie z zasadą minimalizacji oraz cykliczne szkolenia pracowników i ćwiczenia phishingowe. Dobrze udokumentowane działania naprawcze są argumentem na korzyść instytucji w postępowaniu przed UODO.
Warto zastrzec numer PESEL w rejestrze zastrzeżeń (przez aplikację mObywatel, bankowość elektroniczną lub urząd gminy), monitorować informacje o zobowiązaniach i zachować czujność wobec prób wyłudzeń. Zastrzeżenie utrudnia zaciągnięcie zobowiązań na cudze dane.
Wyciek danych z instytucji państwowej - obowiązki, odpowiedzialność i obrona prawna · zaufanyprawnik.pl
