Opublikowany w ostatnich miesiącach poradnik Prezesa Urzędu Ochrony Danych Osobowych (UODO), sprawił, że naruszenia ochrony danych, a w zasadzie ich zgłaszanie i wszystko co się z tym wiąże stanęło w centrum dyskusji w środowisku praktyków i teoretyków zajmujących się RODO. W odpowiedzi na to, postanowiliśmy jako portal gdpr.pl zwrócić się do innych organów nadzoru z kilkoma pytaniami odnoszącymi się do naruszeń, a wyniki naszych działań przedstawiamy poniżej. Odpowiedzi otrzymaliśmy od dziewięciu organów nadzoru. Wymieniamy je w kolejności alfabetycznej: albański, belgijski, bułgarski, estoński, fiński, litewski, maltański, słowacki i słoweński. Za wszystkie odpowiedzi jesteśmy bardzo wdzięczni.
O co pytaliśmy?
Zadane przez nas pytania, odwoływały się do następujących kwestii:
- Jaki, zdaniem organów, jest cel istnienia obowiązku zgłaszania naruszeń ochrony danych osobowych? Co przez tą regulację chcemy osiągnąć? Czemu to służy (ma służyć)?
- Kiedy można mówić o tym, że naruszenie zostało ,,stwierdzone” i od kiedy biegnie 72- godzinny termin na zgłoszenie naruszenia?
- Czy istnieje poziom ryzyka, przy którym nie ma obowiązku zgłaszania naruszeń? Jeśli tak, to jaki i jak go określić?
- Czy są takie naruszenia (kategorie), gdzie z góry możemy założyć , że nie wymagają zgłoszenia?
- Jaka jest (powinna być) rola IOD w procesie reagowania na naruszenia?
Oprócz tego, zapytaliśmy o statystyki z lat 2022 – 2024 dotyczące liczby zgłoszonych naruszeń. Naszym zdaniem powinny one dać obiektywny obraz skali zgłoszeń. Od nich zatem zacznijmy.
Statystyka
Według sprawozdań opublikowanych przez Prezesa UODO, w latach 2022 i 2023 do polskiego urzędu zgłoszono odpowiednio: 12 772 i 14 069 naruszeń. Sprawozdanie za rok 2024 nie zostało jeszcze opublikowane. Dla porównania, w innych państwach wyglądało to następująco:
| Rok/państwo | Finlandia | Malta | Estonia | Bułgaria | Słowenia | Słowacja | Litwa | Belgia | Polska |
| 2022 | 5446 | 59 | 153 | 80 | 86 | 120 | 304 | 1426 | 12 772 |
| 2023 | 6894 | 67 | 196 | 51 | 183 | 185 | 254 | 1080 | 14 069 |
| 2024 | 7152 | 105 | 184 | 73 | 160 | 122 | 273 | -/- | 14 842 |
Jak widać, w liczbach bezwzględnych, Polska zdecydowanie dominuje nad państwami przedstawionymi w zestawieniu. Trzeba jednak pamiętać, że populacja Polski jest większa niż populacje wszystkich państw uwzględnionych w tabeli razem wziętych. W przeliczeniu na 100 000 mieszkańców, w Polsce zgłoszono 33,96 naruszenia w 2022 i 37,52 w 2023 roku. Dla porównania, w innych państwach wyglądało to następująco:
| Rok/państwo | Finlandia | Malta | Estonia | Bułgaria | Słowenia | Słowacja | Litwa | Belgia | Polska |
| 2022 | 97,25 | 13,11 | 11,76 | 1,25 | 4,09 | 2,21 | 10,13 | 12,08 | 33,80 |
| 2023 | 123,11 | 14,88 | 15,08 | 0,79 | 8,7 | 3,4 | 8,46 | 9,15 | 37,38 |
| 2024 | 127,71 | 23,33 | 14,15 | 1,14 | 7,62 | 2,24 | 9,1 | -/- | 39,58 |
Przedstawione dane pokazują, że wyniki Polski są bardzo wysokie, również biorąc pod uwagę wielkość populacji. Spośród przedstawionych państw, tylko Finlandia wyprzedza Polskę pod tym względem i to znacznie.
W jakim celu zgłasza się naruszenia?
Według poradnika Prezesa UODO „celem zgłoszenia jest ograniczenie potencjalnych szkód dla osób, których dane dotyczą”. Jest to bardzo praktyczne i zwięzłe stanowisko oparte o ochronę interesów osób potencjalnie poszkodowanych naruszeniem ochrony danych. Jak patrzą na to organy w innych państwach?
Podobne podejście prezentuje bułgarski organ. Według niego zawiadomienie o naruszeniu ma zagwarantować ,,podjęcie wystarczająco efektywnych środków do ochrony danych osobowych”. Podobnie jak Prezes UODO, jego bułgarski odpowiednik skupia swoje zainteresowanie na reakcji na naruszenia ochrony danych i zarządzaniu ich konsekwencjami.
Według organu słoweńskiego celem zgłoszenia jest nie tylko ochrona praw i wolności osób fizycznych, ale też ,,zapewnienie przejrzystości i rozliczalności”. Słoweński organ zwraca zatem uwagę, że zgłoszenie służy nie tylko minimalizacji szkód dla podmiotów danych, ale też kontroli poprawności przetwarzania przez Administratora. Podobne stanowisko przyjmuje organ belgijski, wskazując, że ochrona praw jednostek odbywa się ,,szczególnie przez wzmocnienie przejrzystości”. Szerokie spojrzenie na funkcje zgłoszenia prezentuje również organ estoński, stwierdzając, że celem zgłoszenia jest ,,zbadanie naruszenia ochrony danych, zdecydowanie jakie środki należy podjąć w ramach procedur nadzorczych i możliwie najszybsza reakcja służąca ochronie praw i wolności osób fizycznych”. Organ ze Słowacji wskazał natomiast, że zgłaszanie naruszeń służy wzmocnieniu zgodności z przepisami o ochronie danych osobowych. Dzięki zgłaszaniu naruszeń – zdaniem organu słowackiego – administrator może otrzymać od organu nadzorczego wskazówki, w tym w zakresie konieczności poinformowania o naruszeniu osób, których dane dotyczą. Dzięki temu, administrator będzie mógł wyjaśnić osobom, których dane dotyczą, jakie ryzyko wiąże się z naruszeniem i w jaki sposób osoby te mogą zabezpieczyć się przed ewentualnymi szkodami. Najbardziej kompleksowa i przekrojowa była odpowiedź udzielona przez organ litewski, który wskazał, że obowiązek zgłaszania naruszeń służy zarówno zapewnieniu transparentności, rozliczalności oraz zwiększenia zaufania do organizacji, jak i minimalizacji szkód oraz umożliwieniu organom nadzorczym efektywnego realizowania swoich zadań. Regulator wskazał, że zgłaszając naruszenia, administratorzy mogą otrzymać wskazówki w jaki sposób zminimalizować ryzyko potencjalnych szkód dla osób, których dane dotyczą. Obowiązek zgłaszania naruszeń – zdaniem organu nadzorczego – zmusza również administratorów do poważnego traktowania kwestii ochrony danych osobowych i odpowiedzialnego zarządzania ryzykiem w tym zakresie.
W którym momencie stwierdza się naruszenie?
Według poradnika Prezesa UODO, momentem stwierdzenia naruszenia (od którego biegnie 72 godzinny termin na dokonanie zgłoszenia), jest moment, w którym Administrator staje się świadom, że doszło do naruszenia bezpieczeństwa danych osobowych, tj. staje się świadom, że incydent jest incydentem bezpieczeństwa (1), dotyczy danych osobowych (2), może prowadzić do zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych (3). Niemalże tożsame stanowisko prezentuje organ belgijski, również utożsamiając stwierdzenie naruszenia z uświadomieniem go sobie przez Administratora. Bliskie temu stanowisku jest również organ estoński według którego naruszenie jest stwierdzone, gdy administrator „jest pewien, że wystąpiło naruszenie, które doprowadziło do ujawnienia danych”.
Zdaniem organu słowackiego, administratora można uznać za świadomego naruszenia, gdy ma uzasadniony stopień pewności, że doszło do incydentu bezpieczeństwa, który doprowadził do naruszenia ochrony danych.
Inne, bardzo ciekawe stanowisko przedstawia np. organ bułgarski, wskazując, że naruszenie zostaje stwierdzone w chwili, gdy ,,Administrator znalazł bądź pozyskał dowody nieautoryzowanego dostępu do przetwarzanych danych”. Stanowisko organu bułgarskiego, to jedyne, w którym pojawia się kwestia ,,dowodów naruszenia”.
Z kolei według organu maltańskiego[1], punktem wyjścia jest ,,rozsądny poziom pewności, że wystąpiło naruszenie”. W świetle tego sformułowania można uznać, że organ maltański nie wymaga 100% pewnej świadomości naruszenia, wystarczy jedynie uprawdopodobnienie do ,,poziomu rozsądnej pewności”.
Kiedy można odstąpić od zgłoszenia naruszenia ochrony danych osobowych?
Na wstępie warto zaznaczyć, że prawie wszystkie organy, które udzieliły nam odpowiedzi, wskazały, że nie istnieje katalog kategorii naruszeń, w przypadku których można założyć, że stwarzają one niskie ryzyko. Z grupy tej częściowo wyłamuje się organ litewski, wskazując szereg typów naruszeń nie wymagających zgłoszenia, np. wysłanie maila nie zawierającego danych szczególnej kategorii do niewłaściwego, ale zaufanego odbiorcy, który może potwierdzić ich usunięcie (praktycznym przykładem takiej sytuacji podanym przez organ, było wysłanie takiego maila do niewłaściwego pracownika w ramach jednej firmy). Ciekawe podejście prezentuje również organ albański, który nie wykluczył, że taka lista powstanie w miarę rozwoju praktyki stosowania przepisów.
Jednym z najbardziej kontrowersyjnych stanowisk podniesionych w poradniku PUODO jest pogląd, że odstąpić od zgłoszenia naruszenia można tylko w sytuacji braku ryzyka naruszenia praw i wolności osób fizycznych, interpretując w restrykcyjny sposób zawarte w RODO sformułowanie ,,niskiego prawdopodobieństwa wystąpienia ryzyka dla praw i wolności osób fizycznych”.
[1] W związku z prośbą organu maltańskiego o przytoczenie jego wypowiedzi w całości, oryginał otrzymanej od niego odpowiedzi zostanie zamieszczony pod artykułem.
[Uwaga! Prezes UODO nie utożsamia wyjątku od obowiązku zgłaszania naruszeń wyłącznie z „brakiem ryzyka”. Organ nadzorczy wskazał, że tego rodzaju uproszczenia, choć funkcjonują w wielu opracowaniach organów nadzorczych (np. fińskiego czy francuskiego), nie oddają w pełni złożoności tej problematyki – więcej w komentarzu do artykułu, który otrzymaliśmy od UODO]
Poniekąd podobne stanowisko wyraża organ estoński, który przytoczył jako przykład naruszenia nie wymagającego zgłoszenia ,,danych całkowicie nieodczytywalnych dla nieautoryzowanych osób trzecich, w których administrator dysponuje kopią danych”, co jest przykładem identycznym z przykładem wskazanym w poradniku Prezesa UODO.
Według organów słoweńskiego i albańskiego, od zgłoszenia można odstąpić, jeśli ,, jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, co jest wiernym cytatem z art. 33 RODO. Niemniej organ albański zaznaczył, że zachęca do zgłaszania incydentów.
Ciekawe stanowisko przedstawił również organ słowacki. Wskazał on m.in., że obowiązek zgłaszania każdego naruszenia, bez względu na jego wagę, mógłby doprowadzić do przeciążenia organów nadzorczych, utrudniając im skupienie się na poważnych incydentach bezpieczeństwa. Administrator zobowiązany jest jednak do odpowiedniego udokumentowania swojej decyzji, w oparciu o ocenę ryzyka.
Stanowisko najbardziej liberalne i odbiegające od stanowiska Prezesa UODO przyjął organ litewski, wprost stwierdzając, że niskie ryzyko jest wystarczającą przesłanką do odstąpienia od zgłoszenia.
Co organy sądzą o roli IOD?
Zadaliśmy organom trzy pytania na temat roli Inspektora Ochrony Danych, tj.:
- Jakie obowiązki związane z naruszeniem mogą być wykonywane przez IOD?
- W jaki sposób IOD powinien współpracować z administratorem?
- W jaki sposób IOD powinien wspierać administratora, żeby uniknąć konfliktu interesów?
W tym miejscu warto przypomnieć wyrażone w poradniku stanowisko polskiego organu na ten temat. Prezes UODO wymienia szeroki katalog czynności, których IOD nie powinien wykonywać, wśród których znajduje się, m.in. zgłaszanie i dokumentowanie naruszeń. Prezes UODO przyjmuje jako punkt wyjścia, że IOD nie mogą wykonywać zadań, za które odpowiadają wyłącznie administratorzy lub podmioty przetwarzające. Realizowanie przez IOD zadań administratora lub działanie jako pełnomocnik administratora, ingeruje w niezależność IOD i może stwarzać konflikt interesów. Prezes UODO zdaje się być zwolennikiem zawężenia roli IOD jedynie do działalności doradczej i szkoleniowej. Inne organy przyjmują bardziej liberalne stanowiska.
[Uwaga! Prezes UODO nie wyklucza możliwość udziału IOD w procesie obsługi naruszeń ochrony danych osobowych, o ile respektowany pozostanie szczególny status prawny IOD, określony w art. 38 i 39 RODO – więcej w komentarzu do artykułu, który otrzymaliśmy od UODO]
Organy albański i słoweński, zgodnie uważają, że IOD może wykonywać obowiązki z zakresu oceny ryzyka stwarzanego przez naruszenie i prowadzenia dokumentacji naruszeń. Organ słoweński dopuszcza nawet udział IOD w zgłaszaniu naruszeń. Podobne jest podejście organu litewskiego, według którego całkowicie dopuszczalne, a nawet pożądane jest zaangażowanie IOD w opracowywanie treści zgłoszenia naruszenia do organu lub zawiadomienia o naruszeniu podmiotów danych. Organ słowacki wskazał natomiast, że IOD powinien wspierać administratora w zakresie postępowania z naruszeniami, w tym poprzez pomoc w ocenie, czy naruszenie powinno zostać zgłoszone do organu nadzorczego, jak również jakie informacje powinny zostać zawarte w takim zgłoszeniu. Organ nadzorczy wskazał również, że IOD powinien wspierać administratora w zakresie ustanowienia procedur dotyczących obsługi naruszeń, jak również może pomóc administratorowi w prowadzeniu wewnętrznej dokumentacji związanej z naruszeniami.
Bardziej zbliżone do stanowiska Prezesa UODO jest stanowisko organu estońskiego, który wskazuje, że IOD powinien przede wszystkim doradzać administratorowi, kontrolować zgodność procesów przetwarzania z RODO i służyć jako punkt kontaktowy dla organu nadzorczego.
W kwestii potencjalnego konfliktu interesów organy zwróciły uwagę przede wszystkim na problem pełnienia przez IOD innych funkcji w ramach swoich organizacji. Organ estoński zauważył, że problem ten w oczywisty sposób występuje, gdy funkcje IOD łączy się z najwyższymi funkcjami kierowniczymi w organizacji (Estończycy jako przykład wskazali funkcję prezesa zarządu). Przeciwną perspektywę w swojej odpowiedzi przedstawił organ bułgarski. Skupił się on na konflikcie interesów wynikającym z hierarchicznej podległości. Zwrócił on uwagę, że IOD nie powinien otrzymywać instrukcji i poleceń dotyczących swoich obowiązków ani być karanym za ich wykonywanie. Ciekawe podejście zaprezentował organ albański. Wskazał mianowicie, że konflikt interesów stwarza pełnienie innej roli w organizacji, jeśli jej pełnienie może wpływać na decyzje podejmowane jako IOD w sposób, mogący zaszkodzić prawom podmiotów danych.
Wnioski
Odpowiedzi przesłane przez organy nadzorcze pokazują, że w Europie istnieją różne interpretacje przepisów o ochronie danych osobowych, w tym w szczególności RODO. Prezes UODO nie jest jednak odosobniony w swoich stanowiskach i w wielu kwestiach znajduje poparcie swoich zagranicznych odpowiedników (wydaje się, że szczególnie bliskie poglądy ma organ estoński). Dla odmiany zdecydowanie najbardziej elastyczne i liberalne są poglądy sąsiedniego organu, czyli litewskiego. Z wszystkich tych odpowiedzi możemy i powinniśmy czerpać w naszej praktyce, wypracowując rodzaj „złotego środka”, czemu mamy nadzieję przysłuży się ta publikacja. Trzeba na koniec jasno powiedzieć, że przesłane odpowiedzi wskazują, że wszystkie organy przykładają bardzo dużą wagę do zgłaszania naruszeń i widzą w tym ogromne zadanie zarówno dla administratorów jak i organów nadzoru.
UWAGA! Przed publikacją artykułu zwróciliśmy się do Prezesa UODO z prośbą o komentarz. Poniżej publikujemy pełną treść odpowiedzi, którą otrzymaliśmy od organu nadzorczego
Komentarz UODO
Jednym z głównych celów RODO jest zapewnienie spójnego i jednolitego stosowania przepisów rozporządzenia w całej Unii Europejskiej. Prezes UODO aktywnie działa w tym kierunku i rozpatruje zgłoszone naruszenia kierując się zarówno wytycznymi EROD, jak i orzecznictwem TSUE oraz obserwując sposób postępowania innych organów nadzorczych.
Nowy poradnik Prezesa UODO stanowi przykład takich działań. Zawarte w nim stanowiska zostały opracowane w wyniku gruntownych analiz, uwzględniających bogaty dorobek unijnych organów. Warto jednak podkreślić, że ze swej istoty poradnik ma charakter ogólny i stanowi materiał edukacyjny, przedstawiony w sposób zwięzły i zrozumiały dla przeciętnego odbiorcy. Tymczasem w omawianym materiale stanowiska Prezesa UODO – jako jedyne – zrekonstruowano wyłącznie w oparciu o wybrane fragmenty poradnika, a nie tak jak w przypadku innych organów – na podstawie szczegółowych, wyczerpujących odpowiedzi na precyzyjnie sformułowane pytania.
Niektóre sformułowana użyte w artykule nie oddają stanowiska organu. W szczególności pytanie o „poziom ryzyka, przy którym nie ma obowiązku zgłaszania naruszeń” (podobnie jak pojęcie „niskiego ryzyka”) zdaje się nie uwzględniać rzeczywistej treści przepisów RODO. Regulacja ta nie przewiduje bowiem – z wyjątkiem ryzyka „wysokiego” – jakiejkolwiek gradacji poziomów ryzyka, wiążąc istnienie obowiązku notyfikacji jedynie z poziomem prawdopodobieństwa wystąpienia zagrożenia dla praw lub wolności osób fizycznych. Ponadto, wbrew tezom zawartym w artykule, Prezes UODO nie utożsamia wyjątku od obowiązku zgłaszania naruszeń wyłącznie z „brakiem ryzyka”. Tego rodzaju uproszczenia, choć funkcjonują w wielu opracowaniach organów nadzorczych (np. fińskiego czy francuskiego), nie oddają w pełni złożoności tej problematyki.
Nie znajduje również potwierdzenia sugestia, że Prezes UODO wyklucza możliwość udziału IOD w procesie obsługi naruszeń ochrony danych osobowych. Przeciwnie – jak wskazywano już wielokrotnie – jest to możliwe, o ile respektowany pozostanie szczególny status prawny IOD, określony w art. 38 i 39 RODO.
ODPOWIEDŹ ORGANU MALTAŃSKIEGO:
In relation to the handling of personal data breaches, the Information and Data Protection Commissioner (IDPC) of Malta follows the European Data Protection Board (the EDPB) guidelines, in particular, Guidelines 9/2022 on personal data breach notification under GDPR, adopted 28 March 2023 and Guidelines 01/2021 on examples regarding data breach notification, adopted on 14 January 2021.
The latter guidelines provide practice-oriented use cases which were developed through the experiences gained by supervisory authorities since the GDPR came into force. These guidelines assist controllers in deciding how to handle data breaches and, specifically, what factors to consider during the related risk assessment, to decide whether the breach is likely to result in a risk for the right and freedoms of the affected individuals, and whether the incident should be notified to the supervisory authority and communicated to the affected data subjects.
The GDPR establishes that controllers shall notify the supervisory authority when they become aware of a breach that is likely to result in a risk to the rights and freedoms of the data subject.
Controllers must submit their notification ‘without undue delay’, or ‘as soon as possible’ and, where feasible, not later than 72 hours from when the controller became aware of the breach. A controller should be regarded as having become ‘aware’ of the breach when he or she has a reasonable degree of certainty that a security incident has occurred and compromised personal data and put at risk individuals’ rights and freedoms.
Having said that, when, exactly, a controller can be considered to be “aware” may depend on the circumstances of the specific breach. In some cases, it will be relatively clear from the outset that there has been a breach, whereas in others, it may take some time to establish if personal data have been compromised and/or the rights and freedoms of individuals are at risk.
The IDPC provides to controllers an online form to submit personal data breaches. In this form, controllers have the possibility to choose between filing a preliminary notification and to provide the missing information in a complete notification within 10 working days from the date of the preliminary one.
When the controller’s investigation to determine if a breach is a notifiable breach, takes longer than 72 hours, the IDPC always suggests controllers to submit a preliminary notification so that the principle of the “prompt action” is met. In the event, at the end of the investigation, the controller establishes that no personal data has been compromised, the controller can withdraw the preliminary notification, and no further action will be taken by the IDPC.
Controllers should have in place an incident response plan as part of their accountability obligations.
The Data Protection Officer is among those who needs to assist the controller in the event a personal data breach occurs.
The IDPC has received 59 breach notifications in 2022, 67 in 2023, and 105 in 2024.
Dowiedz się jak oceniać incydenty, komu i kiedy je zgłaszać
Sprawdź szkolenie „Obowiązki wynikające ze zgłaszanie naruszeń ochrony danych osobowych w świetle nowego poradnika UODO” na platformie Akademia GDPR.pl dostępne 24/7.
