Co zgłaszać? – nowe wytyczne UODO dotyczące naruszeń
W dniu 20 lutego 2025 r. na stronie Urzędu Ochrony Danych Osobowych (UODO) ukazał się zaktualizowany poradnik dotyczący obowiązków administratorów związanych z naruszeniami ochrony danych osobowych. Rygorystyczne stanowisko UODO dotyczące oceny naruszeń zmienia dotychczasową praktykę i niewątpliwie doprowadzi do zwiększenia ilości zgłoszeń wpływających do Urzędu.
UODO uznał, że w przypadku oceny naruszenia mogą wystąpić trzy możliwe sytuacje:
1. braku ryzyka – za przypadki braku ryzyka UODO uważa sytuacje, w których można jednoznacznie stwierdzić, że ryzyko prawdopodobnie nie wystąpi, np.
- gdy zostały ujawnione dane, które są już publicznie dostępne,
- gdy zostały ujawnione lub utracone dane zaszyfrowane w sposób zapewniający ich nieczytelność dla osób nieupoważnionych lub
- w przypadku incydentów, którym administratorzy definitywnie zaradzili (np. wyrzucenie dokumentów zawierających dane do kontenera na zamkniętym monitorowanym terenie spółki, zorientowanie się w pomyłce, wyciągnięcie danych z kontenera i potwierdzenie na monitoringu, że nikt nie zaglądał do kontenera).
2. ryzyka, co w każdym przypadku wymaga zgłoszenia naruszenia UODO;
3. wysokiego ryzyka, co oznacza obowiązek zgłoszenia go Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą – UODO uznaje, że o wysokim ryzyku mogą świadczyć w szczególności:
- objęcie incydentem danych wrażliwych lub danych wykorzystywanych do potwierdzania tożsamości lub zawierania umów, np. numer dowodu osobistego lub numer PESEL;
- szeroki zakres danych objętych incydentem;
- szczególna dotkliwość możliwych skutków incydentu, np. kradzież tożsamości, oszustwa finansowe, straty finansowe, problemy zawodowe, uszczerbek na zdrowiu, silny stres, lęk i obniżone poczucie bezpieczeństwa);
- szczególny charakter osób objętych incydentem (np. dzieci, osoby starsze i potrzebujące lub znajdujące się w trudnej sytuacji życiowej);
- duża liczba osób objętych incydentem
Z powyższego stanowiska UODO wynika, że obowiązkiem zgłaszania są objęte nawet drobne naruszenia, w stosunku do których powszechną praktyką było dotychczas jedynie ich odnotowywanie w rejestrze naruszeń. Według UODO sytuacje, w których nie trzeba zgłaszać naruszeń są wyjątkowe, a administratorzy muszą być w stanie wykazać brak ryzyka. Przyjęte przez UODO stanowisko jest więc bardzo rygorystyczne.
UODO podkreślił też, że naruszenie ochrony danych osobowych nie jest jednoznaczne z naruszeniem przepisów RODO. Za naruszenie przepisów RODO uważa się postępowanie niezgodne z wymogami określonymi w RODO, które niekoniecznie wpływa na powstawanie incydentów bezpieczeństwa. Przykładowo gromadzenie danych klientów do celów marketingowych bez zgody stanowi naruszenie RODO, ale jeśli dane są przechowywane w sposób bezpieczny, nie stanowi to naruszenia ochrony danych osobowych.
UODO podkreślił, że jedynie naruszenie przepisów RODO jest zagrożone karą sankcji administracyjnych. Z uwagi na to, że mimo starań nie da się zapewnić całkowitego bezpieczeństwa danych i wyeliminować ryzyka naruszeń, samo naruszenie ochrony danych osobowych nie powoduje sankcji administracyjnych. Jeśli naruszenie ochrony danych osobowych wystąpiło pomimo prawidłowego realizowania obowiązków przez podmioty zobowiązane do zapewnienia bezpieczeństwa przetwarzania, taki podmiot nie musi obawiać się zastosowania wobec niego sankcji administracyjnych. Sankcje takie mogą jednak zostać nałożone, jeśli naruszenie było spowodowane naruszeniem przepisów RODO.
Materiał prasowy: radca prawny Ewa Kuczyńska.
