Poprzednia edycja poradnika prezesa UODO „Obowiązki administratora związane z naruszeniami ochrony danych osobowych” powstała w 2018 r. i straciła na aktualności. W miniony czwartek organ opublikował nową wersję z 2025 r., opisującą zaktualizowane procedury reagowania na naruszenia oraz wytyczne i rekomendacje dotyczące oceny ryzyka, zapobiegania naruszeniom i współpracy z organami nadzorczymi.

 

Wystarczy, że naruszenie MOŻE wystąpić

Rozmówcy Prawo.pl poproszeni o komentarz do nowej publikacji, zgodnie zwracają uwagę na zmianę metody oceny naruszeń czy też nawet podejścia do samej definicji naruszenia.

- Do tej pory odwoływaliśmy się do stanowiska Europejskiej Rady Ochrony Danych (EROD), według której naruszeniem jest sytuacja, w której jesteśmy pewni (zachodzi „wystarczający stopień pewności”), że doszło do naruszenia poufności, integralności lub dostępności danych – mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. - Prezes UODO idzie znacznie dalej. Pisze, że naruszenie ochrony danych osobowych pojawia się zawsze, gdy dochodzi do zdarzenia, które może doprowadzić do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich. Należy tu podkreślić słowo „może”. Innymi słowy: EROD mówi o pewności, prezes UODO mówi o możliwości – podsumowuje.  

- Wystarczy podejrzenie, że mogło dojść do naruszenia poufności, integralności lub dostępności danych, by uznać, że wystąpiło naruszenie ochrony danych. Już wtedy administrator powinien ocenić ryzyko i rozważyć zgłoszenie do UODO – wtóruje mu dr Mirosław Gumularz, radca prawny z Kancelarii NTL (NewTechLaw.eu).

- Podstawowa konsekwencja nowego stanowiska jest taka, że znacznie więcej zdarzeń będzie uznawanych za naruszenie – wskazuje dr Litwiński. Tłumaczy, że zdarzenia, co do których przed pojawieniem się poradnika nie było pewności, czy są naruszeniem, teraz naruszeniem się staną. Jak dodaje, podejście to można już było zaobserwować w praktyce decyzyjnej prezesa UODO.

- Były pracownik zalogował się na swoje konto w PUE ZUS i mógł zobaczyć dane pracowników swojego byłego pracodawcy. Nie wiemy jednak, czy to zrobił. Prezesa UODO uznał, że skoro mógł te dane zobaczyć, to mamy do czynienia z naruszeniem. Inny przykład: prawnik zgubił akta, które posiadał tylko w jednym egzemplarzu. Nie ulega wątpliwości, że doszło tu do utraty dostępności do danych. Ale czy doszło też do naruszenia poufności? Zdaniem poradnika, tak, bo istnieje ryzyko, że ktoś się z tymi aktami zapoznał. Do tej pory wcale nie było to oczywiste – podsumowuje Paweł Litwiński.

Czytaj także: UODO chce, by zgłaszać mu incydenty. Nawet gdy ryzyko jest niewielkie

 

Wystarczy jakiekolwiek ryzyko

Zaktualizowane zostało również podejście do oceny ryzyka. - UODO rozróżnia: brak ryzyka (nie trzeba zgłaszać), ryzyko (trzeba zgłaszać do UODO) i wysokie ryzyko (trzeba zgłaszać do UODO i powiadamiać osoby). Niskie ryzyko to też ryzyko – w praktyce oznacza obowiązek zgłoszenia – tłumaczy dr Gumularz.

.Zgadza się z tym Martyna Popiołek-Dębska, radca prawny prowadząca własną kancelarię, inspektor ochrony danych w grupach kapitałowych. - Jedynie naruszenia nie niosące ryzyka dla osób, których naruszenie dotknęło, nie wymagają zgłoszenia do organu. Każde zdarzenie, które niesie ryzyko dla podmiotu danych, nawet niskie, powinno być notyfikowane organowi – podsumowuje. - Jest to bardzo restrykcyjne podejście, które skutkować będzie zgłaszaniem znaczącej większości naruszeń do organu i z pewnością w sposób istotny wpłynie na ilość zgłaszanych naruszeń – dodaje.

Jej zdaniem zmiana podejścia wymaga aktualizacji procedur i wypracowania nowego sposobu oceny naruszeń u każdego z administratorów. Zwraca również uwagę, że organ potwierdził stosowną dotychczas praktykę, iż w przypadku gdy naruszenie dotyczy numeru PESEL, to ryzyko dla podmiotu danych jest wysokie. Ekspertka określa to podejście jako „zdecydowanie sporne”.

Czytaj w LEX: Naruszenie ochrony danych osobowych na gruncie RODO > >

 

Nowość
Prawo ochrony danych osobowych i prawo do informacji publicznej. Zarys wykładu
-25%
Nowość
Prawo ochrony danych osobowych i prawo do informacji publicznej. Zarys wykładu

Elżbieta Gudowska-Natanek, Grzegorz Kuca

Sprawdź  

Cena promocyjna: 44.25 zł

|

Cena regularna: 59 zł

|

Najniższa cena w ostatnich 30 dniach: 44.25 zł


Naruszenie danych nie oznacza naruszenia RODO

Eksperci zwracają też uwagę na cytat z poradnika, w którym prezes UODO wprost pisze, że wystąpienie naruszenia ochrony danych osobowych nie oznacza samo w sobie, że administrator lub podmiot przetwarzający dopuścił się naruszenia przepisów RODO.

- Dla UODO samo zgłoszenie naruszenia nie jest równoznaczne z winą administratora, nie przesądza o naruszeniu przepisów i nie powoduje automatycznego wszczęcia postępowania – mówi Martyna Popiołek-Dębska.

- Urząd podkreśla, że nawet najlepsze zabezpieczenia mogą zawieść z powodu pomyłek czy zaawansowanych ataków – dodaje Mirosław Gumularz.

 

Zaufany odbiorca

Prawnicy wskazują też na zawarcie w poradniku definicji zaufanego odbiorcy. - Ujawnienie danych zaufanemu odbiorcy (np. stałemu partnerowi biznesowemu) może wykluczyć obowiązek zgłoszenia naruszenia. Musi jednak istnieć pewność, że ten odbiorca zareaguje właściwie i nie stworzy dodatkowego ryzyka dla osób, których dane dotyczą – wskazuje dr Gumularz.

- Brakowało jednoznacznego potwierdzenia organu, który w kilku decyzjach wypowiadał się w tym przedmiocie, jak rozumieć pojęcie zaufanego odbiorcy – komentuje mec. Popiołek-Dębska. I dodaje: - Organ słusznie zaakcentował, że nieprawidłowe jest założenie z góry danego podmiotu za „zaufanego odbiorcę” – każda sytuacja jest inna i wymaga indywidualnej oceny ryzyka.

Sprawdź w LEX: Odpowiedzialność karna za naruszenie ochrony danych osobowych > >

 

Co jest rolą IOD, a co administratora

Inna istotna kwestia dotyczy roli inspektora ochrony danych (IOD), która w poprzedniej edycji nie została wyjaśniona.

- Inspektor nie powinien w imieniu administratora zgłaszać naruszeń do UODO czy podpisywać pism dotyczących naruszeń. UODO podkreśla, że IOD ma wspierać, doradzać i monitorować, ale nie może przejmować obowiązków administratora – wylicza dr Gumularz.

- IOD działający u administratora czy w podmiocie przetwarzającym przede wszystkim powinien być niezwłocznie informowany o każdym naruszeniu, aby mógł właściwie monitorować proces jego obsługi – mówi Martyna Popiołek-Dębska. Jak dodaje, w nowej wersji poradnika uszczegółowiono w jaki sposób należy dokumentować naruszenia, poprzez doprecyzowanie, co administratorzy powinny udokumentować.

- Bardzo na plus jest zobrazowanie stanowiska organu w poradniku praktycznymi przykładami i studiami przypadków – podsumowuje mec. Popiołek-Dębska, jednocześnie przyznając, że organ nie rozwiał wszystkich wątpliwości. - Organ, omawiając naruszenia u podmiotów przetwarzających, chociażby nie potwierdził wymaganej przez wytyczne EROD konieczność stałej weryfikacji kontrahentów, w tym stosowanych środków organizacyjnych i technicznych celem zabezpieczenia danych osobowych – mówi ekspertka. I dodaje: - Wstępna weryfikacja przed rozpoczęciem współpracy z kontrahentem jest niewystarczająca, gdyż ryzyko nie jest pewną stałą, a organizacje w dzisiejszych czasach dynamicznie się zmieniają. Nie oznacza to jednak, że nie należy stałej weryfikacji podmiotów przetwarzających dokonywać.

 

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.