Tech in the Know 3/2025

Pod koniec lutego 2025 r. na stronie Urzędu Ochrony Danych Osobowych („UODO”) opublikowano zaktualizowany poradnik dotyczący obowiązków administratorów związanych z naruszeniami ochrony danych osobowych („Poradnik”). To długo oczekiwana aktualizacja poradnika, który został pierwotnie opracowany w czerwcu 2019 r. Zaktualizowany Poradnik rzuca nowe światło na rozumienie przez polskiego regulatora pojęcia naruszenia ochrony danych osobowych oraz zaufanego odbiorcy, a także roli inspektorów ochrony danych („IOD”) w wykonywaniu obowiązków związanych z naruszeniami.

Publikacja została wzbogacona o praktyczne wskazówki, a prawidłowe wdrożenie rekomendacji przedstawionych w Poradniku może okazać się kluczowe w skutecznym zarządzaniu incydentami zgodnie z wymogami RODO. 

W niniejszym artykule omawiamy najistotniejsze zagadnienia przedstawione w Poradniku. Zapraszamy do lektury.

Naruszenie ochrony danych osobowych

Jak wynika z Poradnika, Prezes UODO pod podjęciem naruszenia ochrony danych, rozumie „zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność”. Powyższe oznacza, że samo powzięcie przez administratora informacji o tym, że wystąpienie któregoś z powyższych skutków jest prawdopodobne, jest wystarczającą przesłanką stwierdzenia wystąpienia naruszenia. Takie stanowisko polskiego organu nadzorczego jest bardziej restrykcyjne niż dotychczasowe stanowisko Europejskiej Rady Ochrony Danych („EROD”), zgodnie z którym dla stwierdzenia naruszenia konieczne było wystąpienie u administratora „wystarczającego stopnia pewności” zajścia ww. skutków. W praktyce oznacza to, że więcej zdarzeń będzie uznawanych za naruszenie. Nie ma przy tym znaczenia, czy do zakłócenia bezpieczeństwa przetwarzanych danych osobowych doszło przez przypadek, np. w wyniku błędu, zaniedbania lub nieprzewidzianej awarii technicznej, czy też na skutek celowego, bezprawnego działania, np. oszustwa czy włamania.

Ocena ryzyka związanego z naruszeniami

Z Poradnika wynika bardziej restrykcyjne niż dotychczas podejście organu nadzorczego do oceny ryzyka związanego z naruszeniami. Prezes UODO rozróżnia: (i) brak ryzyka związanego z naruszeniem, (ii) wystąpienie ryzyka (co wymaga zgłoszenia naruszenia Prezesowi UODO) oraz (iii) wystąpienie wysokiego ryzyka (co oznacza obowiązek zgłoszenia naruszenia zarówno Prezesowi UODO, jak i zawiadomienia podmiotów danych dotkniętych naruszeniem).

Zaprezentowane w Poradniku podejście budzi wiele kontrowersji. Zdaniem Prezesa UODO jedynie naruszenia, które nie niosą żadnego ryzyka dla podmiotów danych, nie wymagają zgłoszenia do organu nadzorczego. W konsekwencji każde zdarzenie, które niesie jakiekolwiek, choćby niskie ryzyko dla podmiotu danych, powinno być zgłoszone organowi. Wiele popularnych metodyk oceny ryzyka stosowanych przez administratorów wskazuje natomiast, że już ryzyko niskie (a nie całkowity brak ryzyka) wyłącza obowiązek złożenia zawiadomienia.

W związku z restrykcyjną interpretacją zaprezentowaną przez polskiego regulatora, administratorzy będą zapewne z ostrożności zgłaszać do Prezesa UODO jeszcze więcej incydentów. Polska już dzisiaj jest w czołówce unijnych krajów w statystykach ilości naruszeń zgłaszanych do regulatora.

Prezes UODO wskazuje, że brak ryzyka prawdopodobnie wystąpi w przypadku ujawnienia danych, które są już publicznie dostępne, ujawnienia lub utracenia danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych (jeżeli są one zabezpieczone kluczem, który nie został naruszony, a administrator ma dostęp do ich kopii zapasowej) oraz w przypadku incydentów, którym administratorzy definitywnie zaradzili.

Podczas oceny ryzyka związanego z naruszeniem ochrony danych osobowych nie ma znaczenia, jakie konsekwencje incydentu poniesie przetwarzająca te dane organizacja – istotna jest za to perspektywa podmiotów danych.

Zaufany odbiorca

Jak wskazano w Poradniku, podczas oceny ryzyka związanego z naruszeniami poufności danych osobowych znaczenie może mieć to, komu je ujawniono. Jeśli jest to podmiot, który przypadkowo otrzymał dane, ale dzięki dotychczasowej, pozytywnej współpracy z administratorem można uznać go za godny zaufania (tzw. „zaufany odbiorca”), to pozwala to na złagodzenie oceny ryzyka związanego z naruszeniem. Nie wpływa to jednak na zaklasyfikowanie wydarzenia jako naruszenia ochrony danych osobowych. Aby stwierdzić przy tym, że dany odbiorca jest „zaufany”, administrator musi co najmniej pozostawać z nim w stałych stosunkach (np. bliskiej współpracy biznesowej lub wspólnej strukturze organizacyjnej) oraz znać istotne szczegóły dotyczące odbiorcy, np. procedury bezpieczeństwa przyjęte przez ten podmiot.

Rola IOD w procesie obsługi naruszeń

Prezes UODO doprecyzował w Poradniku w jakim zakresie IOD może udzielać administratorowi wsparcia w ramach obsługi naruszeń.

Ze względu na konflikt interesów, wykluczono dopuszczalność wykonywania przez IOD następujących zadań:

1. zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu;
2. zawiadamiania o naruszeniu podmiotów danych;
3. dokumentowania naruszeń ochrony danych osobowych;
4. podejmowania zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów lub podmiotów przetwarzających;
5. działania na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych.

Podejście to także wydaje się kontrowersyjne. W wielu organizacjach IOD są zaangażowani w proces zgłaszania naruszeń do PUODO, często działając właśnie na podstawie pełnomocnictwa od administratorów danych. Zdaniem polskiego regulatora, taką praktykę należy uznać za nieprawidłową.

Podsumowanie

Zaprezentowane w Poradniku nowe podejście Prezesa UODO do analizy i zgłaszania naruszeń ochrony danych osobowych może wymagać aktualizacji procedur w Państwa organizacji dotyczących analizy ryzyka, zgłaszania naruszeń, jak również przeanalizowania obowiązków IOD.

Jeśli mają Państwo jakiekolwiek pytania odnośnie prawa ochrony danych osobowych, serdecznie zapraszam do kontaktu.