Zgłaszanie naruszeń – wywiad z Rzecznikiem Urzędu Ochrony Danych Osobowych

Serdecznie zapraszamy na wywiad z Karolem Witowskim Rzecznikiem Urzędu Ochrony Danych Osobowych Departamentu Komunikacji Społecznej.

Wywiad przeprowadził r.pr. Tomasz Osiej

Karol Witowski (KW): Podstawowym celem obowiązku zgłaszania naruszeń ochrony danych osobowych jest ochrona osób fizycznych poprzez ograniczenie potencjalnych negatywnych konsekwencji takich zdarzeń. Zobligowanie administratorów do szybkiej i skutecznej reakcji umożliwia zminimalizowanie lub całkowite zapobieżenie skutkom incydentu.

Ponadto zgłoszenie naruszenia zapewnia, że – w razie możliwości wystąpienia wysokiego ryzyka dla praw lub wolności osób, których dane dotyczą – zostaną one odpowiednio poinformowane, aby mogły podjąć dodatkowe środki ostrożności we własnym zakresie.

Obowiązek ten podnosi standardy bezpieczeństwa i zwiększa transparentność działań administratorów, umożliwiając organowi nadzorczemu efektywne monitorowanie przestrzegania przepisów zgodnie z zasadą rozliczalności.

KW: „Stwierdzenie” naruszenia następuje w chwili, gdy administrator uzyska dostateczną pewność, że doszło do zdarzenia spełniającego definicję z art. 4 pkt 12 RODO – czyli incydentu bezpieczeństwa, który dotyczy przetwarzanych danych osobowych i mógł skutkować ich przypadkowym lub bezprawnym zniszczeniem, utratą, modyfikacją, ujawnieniem lub dostępem do nich.

Od tego momentu zaczyna biec 72-godzinny termin na zgłoszenie do UODO, liczony kolejnymi godzinami (tzw. zegarowymi), niezależnie od dni wolnych od pracy.

Jeżeli administrator nie dysponuje jeszcze kompletem informacji, zobowiązany jest przesłać w powyższym terminie zgłoszenie wstępne, sukcesywnie uzupełniając brakujące dane. Skuteczne dotrzymanie terminu wymaga wdrożenia odpowiednich procedur wykrywania i weryfikacji incydentów.

KW: RODO przewiduje jeden wyjątek od obowiązku zgłoszenia naruszenia organowi nadzorczemu: gdy administrator – po przeprowadzeniu rzetelnej analizy – uzna, że jest mało prawdopodobne, by naruszenie to stwarzało ryzyko dla praw lub wolności osób fizycznych.

Przy ocenie ryzyka administrator powinien uwzględnić m.in.:

• rodzaj naruszenia,
• charakter, wrażliwość i zakres danych,
• łatwość identyfikacji osób, których dane dotyczą,
• dotkliwość konsekwencji dla osób, których dane dotyczą,
• cechy szczególne osób, których dane dotyczą,
• cechy szczególne administratora,
• cechy szczególne osób, których dane dotyczą, oraz
• liczbę osób, których dane dotyczą.

Jeżeli na tej podstawie administrator racjonalnie wykluczy możliwość zmaterializowania się negatywnych konsekwencji, może zrezygnować zarówno ze zgłoszenia naruszenia do UODO, jak i z zawiadomienia osób fizycznych – oczywiście pod warunkiem, że późniejsza weryfikacja nie wykaże odmiennej oceny.

Warto zaznaczyć, że gdy ryzyko istnieje, lecz nie jest „wysokie”, naruszenie należy zgłosić organowi nadzorczemu, natomiast zawiadomienie osób, których dane dotyczą, nie jest wymagane.

Kluczowe jest dokładne udokumentowanie całej analizy i jej przesłanek, aby w razie konieczności uzasadnić swoją decyzję oraz wykazać zgodność z zasadą rozliczalności.

KW: Nie istnieje katalog naruszeń ochrony danych osobowych, które z góry byłyby zwolnione z obowiązku zgłoszenia. Każdy incydent musi zostać poddany indywidualnej analizie pod kątem wagi oraz prawdopodobieństwa wystąpienia negatywnych skutków dla praw lub wolności osób fizycznych.

Praktyka pokazuje, że pewne okoliczności zdarzenia, takie jak bezpieczne zaszyfrowanie danych lub przypadkowe ujawnienie ich tzw. „zaufanemu odbiorcy”, mogą mieć istotny wpływ na złagodzenie ryzyka i ograniczenie prawdopodobieństwa wystąpienia niepożądanych konsekwencji. Należy jednak pamiętać, że nie zawsze tego rodzaju czynniki będą skutkowały możliwością odstąpienia od obowiązku notyfikacyjnego.

W każdym przypadku administrator musi być w stanie wykazać, że przeprowadził analizę ryzyka i udokumentował przesłanki decyzji o braku zgłoszenia. Jeżeli późniejsze ustalenia wykażą, że ryzyko było większe, administrator zobowiązany jest niezwłocznie zaktualizować swoją ocenę i dokonać zgłoszenia.

KW: IOD powinien być angażowany we wszelkie sprawy dotyczące ochrony danych osobowych, w tym także naruszeń ochrony danych osobowych. Należy niezwłocznie informować go o każdym incydencie, aby od najwcześniejszego etapu mógł monitorować przebieg jego obsługi, doradzać administratorowi i wspierać go swoją fachową wiedzą, a także pełnić funkcję punktu kontaktowego dla organu nadzorczego oraz – w razie potrzeby – dla osób, których dane dotyczą.

Trzeba jednak pamiętać, że obowiązki zgłoszenia naruszenia do UODO oraz zawiadomienia o nim osób fizycznych spoczywają z mocy prawa wyłącznie na administratorze. Powierzenie IOD odpowiedzialności za ich realizację mogłoby prowadzić do konfliktu interesów.

IOD musi pozostawać niezależny – nie może działać według wiążących instrukcji administratora ani łączyć swojej funkcji z rolami, w ramach których bierze udział w podejmowaniu decyzji o celach i sposobach przetwarzania.

W praktyce IOD może współuczestniczyć w przygotowaniu dokumentacji naruszenia – w tym rejestru incydentów czy projektów zgłoszenia – oraz opiniować ocenę ryzyka, o ile nie powoduje to konfliktu interesów i nie wpływa na jego niezależność. Ostateczne decyzje, w tym również wysłanie zgłoszenia, leżą natomiast w gestii administratora i wspierającego go personelu. Tak zdefiniowana rola IOD zapewnia poszanowanie jego szczególnego statusu, a jednocześnie wspiera prawidłowe i terminowe wywiązywanie się z obowiązków wynikających z RODO.

Według sprawozdań opublikowanych przez Prezesa UODO, w latach 2022 i 2023 do polskiego urzędu zgłoszono odpowiednio:

W przeliczeniu na 100 000 mieszkańców, wygląda to następująco:

Dowiedz się jak oceniać incydenty, komu i kiedy je zgłaszać

Sprawdź szkolenie „Obowiązki wynikające ze zgłaszanie naruszeń ochrony danych osobowych w świetle nowego poradnika UODO” na platformie Akademia GDPR.pl dostępne 24/7.