Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Naruszenie ochrony danych osobowych – informowanie osób fizycznych

PrintMailRate-it

Maciej Ogórek

10 sierpnia 2022 r.


Zapewnienie odpowiedniego poziomu ochrony danych osobowych jest jednym z podstawowych obowiązków administratorów danych osobowych.  Osiągnąć to można przy pomocy odpowiednich procedur i środków technicznych. Nierzadko jednak nawet zastosowanie zaawansowanych metod ochrony nie daje pełnej gwarancji bezpieczeństwa.

Szczególnym wyzwaniem jest zabezpieczenie danych osobowych przed potencjalnymi atakami złośliwego oprogramowania. Ryzyko, że na jednym z etapów przetwarzania danych dojdzie do ich naruszenia, dotyczy zatem każdego administratora danych osobowych. Wobec tego oprócz wdrażania odpowiednich zabezpieczeń warto być również świadomym obowiązków, które ciążą na administratorze danych w razie naruszenia danych osobowych. 

Przykłady naruszeń ochrony danych osobowych


Naruszenie ochrony danych osobowych może mieć różny charakter i skutki. W szczególności może dotknąć poufności danych – w takiej sytuacji zostają ujawnione lub udostępnione podmiotowi nieuprawnionemu. Jest to najbardziej typowy przypadek naruszenia ochrony danych osobowych i jednocześnie stanowi największe zagrożenie.

Naruszenie może także dotyczyć integralności danych osobowych (np. wprowadzenie nieuprawnionych zmian w treści danych) lub ich dostępności (np. brak możliwości wykorzystania danych przez osobę do tego uprawnioną).

Niezależnie od tego, jaki charakter ma naruszenie danych osobowych, administrator stanie przed koniecznością rozważenia, czy w danym przypadku istnieje konieczność poinformowania osoby, której dotyczą dane o tym zdarzeniu. Na administratorze może również ciążyć obowiązek poinformowania organu nadzorczego. 

Kiedy informowanie o naruszeniu danych osobowych jest obowiązkowe?


Zgodnie z art. 33 i 34 RODO, w razie naruszenia administrator musi zrealizować dwa obowiązki informacyjne – względem organu nadzorczego oraz względem osób fizycznych, których dotyczy naruszenie. W Polsce organem nadzorczym jest Urząd Ochrony Danych Osobowych (UODO).

Przesłanki powstania obowiązku informacyjnego względem osób fizycznych ukształtowane są nieco odmiennie niż w przypadku informowania organu nadzorczego.

Zgłoszenie naruszenia organowi nadzorczemu jest obowiązkowe w przypadku każdego naruszenia z wyłączeniem sytuacji, w których ryzyko naruszenia praw i wolności osób fizycznych jest małe. Informowanie o naruszeniu osób fizycznych natomiast jest obowiązkiem administratora wtedy, gdy ryzyko naruszenia praw i wolności podmiotu danych okaże się wysokie. Zestawienie powyższych przepisów prowadzi do wniosku, że obowiązek informowania osoby fizycznej o naruszeniu występować będzie znacznie rzadziej niż obowiązek zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych.

Naruszenie danych osobowych – gdzie i jak zgłosić?


Zgłoszenie naruszenia ochrony danych osobowych do PUODO może być dokonane na cztery sposoby:

  • wypełniając dedykowany formularz elektroniczny na stronie biznes.gov.pl,
  • wysyłając formularz na elektroniczną skrzynkę podawczą ePUAP,
  • wysyłając formularz za pomocą pisma ogólnego dostępnego na biznes.gov.pl lub epuap.gov.pl,
  • wysyłając formularz tradycyjną pocztą.

O naruszeniu ochrony danych osobowych może także poinformować PUODO osoba fizyczna, której dotyczy naruszenie. Zanim jednak złoży skargę do Urzędu Ochrony Danych Osobowych, powinna zgłosić swoje żądanie do administratora danych. Jeżeli administrator zignoruje takie żądanie albo udzieli niezadowalającej odpowiedzi, wówczas można złożyć skargę do UODO.

Naruszenie ochrony danych osobowych – obowiązki administratora 


Aby ocenić, jakie obowiązki ciążą na administratorze w danym przypadku naruszenia ochrony danych osobowych, powinien on przeprowadzić analizę ryzyka i skutków naruszenia. Trzeba zbadać rodzaj danych dotkniętych naruszeniem, jego charakter, a także skalę i potencjalne skutki.

W razie wysokiego prawdopodobieństwa, że efektem naruszenia danych stanie się pogwałcenie praw lub wolności osób fizycznych, administrator powinien poinformować o naruszeniu nie tylko PUODO, ale również osoby fizyczne. Jeśli poziom ryzyka nie okaże się wysoki, administrator nie będzie zobowiązany do zawiadomienia podmiotu danych o naruszeniu.

Sytuacjami, które skutkują wysokim poziomem ryzyka, mogą być na przykład: publikacja w Internecie np. numeru PESEL wraz z imieniem i nazwiskiem oraz dokumentami ubezpieczeniowymi, danych dotyczących zdrowia konkretnej osoby. Za naruszenie, które nie powoduje wysokiego ryzyka dla praw lub wolności, PUODO uznał m. in. utracenie przez pracodawcę świadectwa pracy pracownika. Zdaniem PUODO świadectwo pracy nie zawiera danych, które mogłyby prowadzić do pogwałcenia praw lub wolności, więc w tym przypadku  nie ma konieczności informowania o naruszeniu ochrony danych osoby fizycznej. 

Większych wątpliwości może dostarczyć zdarzenie, wskutek którego nie doszło do ujawnienia danych osobowych, a jedynie utracono do nich dostęp. W takich przypadkach wysokie ryzyko naruszenia praw i wolności podmiotów danych wystąpi zdecydowanie rzadziej. Ocena poszczególnych przypadków naruszenia ochrony danych osobowych może jednak prowadzić do różnych wniosków – w szczególności jeśli mamy do czynienia z istotnymi danymi o zdrowiu i jeśli brak dostępu do tych danych trwałby przez dłuższy czas. 

Przypadki wyłączające obowiązek informacyjny


W art. 34 ust. 3 RODO uregulowano wyjątki od opisanych wyżej przesłanek wskazujących na obowiązek informowania podmiotu danych o naruszeniu. 

Nawet jeśli doszło do naruszeniabezpieczeństwa danych, a przeprowadzona analiza wskazuje wysokie ryzyko pogwałcenia praw i wolności osoby fizycznej, istnieją przypadki, gdy administrator nie będzie zobowiązany do realizacji obowiązku informacyjnego. Informowanie osób fizycznych o naruszeniu danych osobowych nie będzie wymagane, jeżeli:

  • administrator wdrożył odpowiednie środki techniczne i organizacyjne środki ochrony, a środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (przykładowo dane będące przedmiotem naruszenia zostały zabezpieczone w sposób, który uniemożliwia nieuprawnionemu podmiotowi odczyt danych);
  • administrator po wystąpieniu naruszenia zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • zawiadomienie podmiotów danych wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku należy się posłużyć stosownym komunikatem lub innym środkiem, za którego pomocą osoby, których dane dotyczą, zostaną poinformowane o naruszeniu.

Naruszenia ochrony danych osobowych – indywidualne podejście


Z uwagi na różnorodność potencjalnych naruszeń ochrony danych osobowych każdy przypadek wymaga indywidualnego podejścia i przeprowadzenia odrębnej analizy. Oczywiście o odpowiednim zabezpieczeniu danych warto pomyśleć przed powstaniem jakiegokolwiek naruszenia. Często jednak to właśnie szczegółowa analiza naruszenia ochrony danych osobowych pokazuje, jakie dodatkowe środki ochrony powinny zostać wdrożone u danego przedsiębiorcy. Warto pamiętać również, aby analiza naruszenia objęła kwestie związane z wykonaniem obowiązku informacyjnego względem organu nadzorczego i podmiotów danych. Informowanie podmiotów danych o naruszeniu realizuje bowiem istotny cel, którym zgodnie z motywem 86 preambuły RODO jest umożliwienie osobom fizycznym podjęcia niezbędnych działań zapobiegawczych przed ewentualnymi skutkami naruszenia. 

Kara za naruszenie danych osobowych


W Polsce kary za naruszenie ochrony danych osobowych nakładane są przez Urząd Ochrony Danych Osobowych. Każdy przypadek analizuje się indywidulanie, biorąc pod uwagę wszystkie ważne okoliczności zaistniałego naruszenia.

Za złamanie podstawowych zasad ochrony danych osobowych administratorowi grozi kara w wysokości max. 20 mln euro, a w przypadku przedsiębiorcy - max. 4% jego całkowitego rocznego obrotu.

Jeśli naruszenie dotyczyło np. obowiązku oceny skutków dla ochrony danych osobowych - kara może wynieść max. 10 mln euro, a w przypadku przedsiębiorcy - 2% całkowitego rocznego obrotu.

Od każdej decyzji Urzędu Ochrony Danych Osobowych można się odwołać do wojewódzkiego sądu administracyjnego w ciągu 30 dni od momentu doręczenia decyzji. Po uprawomocnieniu się wyroku podmiot ma 14 dni na zapłatę kary.

Oprócz kary administracyjnej za naruszenie ochrony danych osobowych może grozić odpowiedzialność karna. Nie dotyczy to jednak przedsiębiorstw, a osób fizycznych, czyli np. managerów.

RODO przewiduje także, że każda osoba, która poniosła szkodę z powodu naruszenia danych, może żądać odszkodowania. W tym przypadku jednak przepisy nie określają maksymalnych kwot.


Jeśli masz pytania dotyczące zgłaszania naruszenia ochrony danych osobowych - napisz do nas.

Kontakt

Contact Person Picture

Maciej Ogórek

radca prawny

Wyślij zapytanie

Profil

Contact Person Picture

Jarosław Kamiński

adwokat

Associate Partner

+48 694 207 482

Wyślij zapytanie

Profil


Deutschland Weltweit Search Menu