Spis treści
- Naruszenie ochrony danych osobowych – definicja RODO
- RODO to wszystko – kwalifikowane naruszenia w innych przepisach
- Naruszenie bezpieczeństwa – o co chodzi?
- Naruszenie ochrony danych osobowych – Przykłady
- Znaczenie naruszenia ochrony danych osobowych – perspektywa osoby, której dane dotyczą
- Jak możemy pomóc?

- r. pr. Joanna Polkowska-Sowa
- +48 22 243 34 75
- kancelaria@sowaip.pl
Naruszenie ochrony danych osobowych – definicja RODO
Nasi Klienci często operują zamiennie takimi pojęciami jak naruszenie bezpieczeństwa danych osobowych, naruszenie prywatności, wyciek danych osobowych, czy właśnie naruszenie ochrony danych osobowych. Jakkolwiek pojęcia te mają wiele elementów wspólnych to nie są rozumiane jednakowo. W związku z powyższym na wstępie wyjaśniamy co to jest naruszenie ochrony danych osobowych w sensie prawnym i co ono oznacza dla administratora i podmiotu przetwarzającego.
Naruszenie ochrony danych osobowych jest zdefiniowane w art. 4 pkt 12 RODO:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Z powyższej definicji wynika, że abyśmy mogli mówić o naruszeniu ochrony danych osobowych to muszą zaistnieć łącznie trzy elementy.
- naruszenie musi dotyczyć „danych osobowych”
- musi zaistnieć „naruszenie bezpieczeństwa” – zob. szerzej rozdział 3
- naruszenie bezpieczeństwa musi mieć co najmniej jeden ze skutków, o których mowa w definicji, tj. np. musi dojść do nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do danych osobowych;
Jest to bardzo ważne, dlatego że jeżeli którykolwiek z elementów definicji nie zostanie spełniony to wówczas nie będzie można mówić o naruszeniu ochrony danych osobowych w rozumieniu RODO i powstania obowiązków, o których mowa w Rozporządzeniu. Z drugiej strony, jeżeli wszystkie elementy definicji zostaną spełnione to wówczas na administratorze danych osobowych mogą ciążyć bardzo istotne obowiązki, które budzą wiele obaw w praktyce. Jakie to obowiązki?
Jeżeli zaistnieje „naruszenie ochrony danych osobowych” to administrator musi rozważyć, czy:
- zachodzi konieczność zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO)
- zachodzi konieczność zawiadomienia osób, których dotyczy naruszenie o tym, że naruszenie miało miejsce i podania szeregu istotnych informacji (Art. 34 RODO).
W każdym przypadku i niezależnie od okoliczności zgodnie z art. 33 ust. 5 RODO administrator powinien odnotować fakt naruszenia ochrony danych osobowych w rejestrze naruszeń. Zgodnie z powołanym przepisem:
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
Prawidłowa wykładnia tych przepisów jest bardzo ważna, dlatego że nieprawidłowe wypełnienie tych obowiązków może skutkować nie tylko nałożeniem administracyjnej kary pieniężnej na administratora i procesora danych osobowych, ale także skutkować dotkliwymi szkodami dla osób, których dane dotyczą i może wpływać na obowiązek i wysokość wypłaty odszkodowań. W praktyce zetknęliśmy się np. z sytuacjami, gdzie rejestr był prowadzony bardzo drobiazgowo, ale wykazywał się zupełnie niewłaściwym podejściem do ryzyka i braku realizowania obowiązków notyfikacyjnych w sytuacjach, gdzie nie było żadnych wątpliwości, że taka notyfikacja powinna mieć miejsce.
W kontekście wykładni samego pojęcia naruszenie ochrony danych osobowych szczególnie pomocne pomogą być motywy 73, 83, 85, 86, 87 i 88 RODO.
RODO to wszystko – kwalifikowane naruszenia w innych przepisach
RODO nie jest jedynym aktem prawnym, które reguluje postępowanie w przypadku incydentów bezpieczeństwa i naruszenia ochrony danych. Takie same, lub podobne regulacje znajdą się także w innych, bardziej szczegółowych (zwykle sektorowych) aktach prawnych i to one – w określonych sytuacjach – będą miały zastosowanie zamiast lub wraz z RODO.
Przykładowo, RODO nie ma zastosowania do przetwarzania przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. W tym wypadku stosować się będzie przepisy Dyrektywy 2016/680 (LED), a właściwie przepisy Ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (t.j. Dz. U. z 2023 r. poz. 1206). Niemniej jednak konstrukcja naruszenia ochrony danych osobowych i związane z tym obowiązki są w zasadzie identyczne na tle obu regulacji.
Prawo komunikacji elektronicznej, które wejdzie w tym zakresie w życie już w dniu 10 listopada 2024 r. także zawiera szczególną regulację w tym zakresie w art. 402. Konstrukcja przyjęta w prawie komunikacji elektronicznej jest podobna do RODO, ale nie jest taka sama. Zgodnie z art. 402 ust. 2 p.k.e.:
Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem usług telekomunikacyjnych.
Na uwagę zwraca tutaj przede wszystkim zrezygnowanie przez ustawodawcę z pojęcia „naruszenie bezpieczeństwa”, a także zawężenie podmiotowe i przedmiotowe definicji, a przez to ograniczenie stosowania tego przepisu do „przedsiębiorców telekomunikacyjnych” i „świadczenia usług telekomunikacyjnych”. Inne są także przesłanki powstania obowiązków notyfikacyjnych i możliwości zwolnienia się z tych obowiązków w razie naruszenia danych osobowych, o czym mowa w dalszych ustępach powołanego przepisu. Konieczne będzie tutaj uwzględnienie w wykładni przepisów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona) (Dz. U. UE. L. z 2018 r. Nr 321, str. 36 z późn. zm.) (EECC).
W przypadku określonych podmiotów i incydentów konieczne będzie uwzględnienie Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2024 r. poz. 1077) w kontekście przepisów Dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1). Wkrótce natomiast – w związku z Dyrektywą NIS 2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) wejdzie w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która będzie miała bezpośrednie przełożenie na obowiązki związane ze zgłaszaniem incydentów.
Innymi aktami prawnymi, które m.in. mogą znaleźć zastosowanie są także Rozporządzenie 2018/1725 (EUDPR)), Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. U. UE. L. z 2014 r. Nr 257, str. 73 z późn. zm.) (eIDAS), Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2024 r. poz. 30 z późn. zm.) i Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz. U. UE. L. z 2015 r. Nr 337, str. 35 z późn. zm.) (PSD2)
Polecamy: Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa – co warto wiedzieć?
Naruszenie bezpieczeństwa – o co chodzi?
W pierwszym rozdziale wskazaliśmy, że do stwierdzenia „naruszenia ochrony danych osobowych” konieczne jest ustalenie, że doszło do „naruszenia bezpieczeństwa”. Powiedzieliśmy także, że naruszenie ochrony danych osobowych i naruszenie bezpieczeństwa to nie to samo.
Co to jest zatem naruszenie bezpieczeństwa, o którym mowa w definicji?
RODO nie definiuje pojęcia „naruszenie bezpieczeństwa. Co więcej, RODO posługuje się tym pojęciem dokładnie raz i to wyłącznie w kontekście związanym z naruszeniem ochrony danych osobowych. Niemniej jednak samo słowo bezpieczeństwo w kontekście danych pojawia się w RODO wielokrotnie. Zapewnienie bezpieczeństwa danych osobowych jest bowiem jedną z kluczowych zasad dotyczących przetwarzania danych osobowych (art. 5 ust. 1 lit. f RODO) i zajmuje przez to bardzo istotną pozycję w obowiązkach administratora i procesora danych.
Motyw 83 RODO stanowi, że:
W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Bezpieczeństwo przetwarzania danych osobowych stanowi też centralny punkt Sekcji 2 Rozdziału IV „Bezpieczeństwo danych osobowych”, która jest poświęcona sposobom zabezpieczenia danych osobowych oraz obowiązkom notyfikacyjnym.
Jakie to zabezpieczenia? Zgodnie z art. 32 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Istotne jest, że obowiązki notyfikacyjne z art. 33 i 34 RODO mogą zaktualizować się wyłącznie w przypadku naruszenia ochrony danych osobowych. Wydaje się, że sekcja 2 rozdziału IV (w tym właśnie przytoczony wyżej art. 32 RODO) jest zatem właściwa do poszukiwania odpowiedzi na pytanie czym jest naruszenie bezpieczeństwa w rozumieniu definicji z art. 4 pkt. 12 RODO.
Istotnie, w doktrynie wskazuje się, że naruszenie bezpieczeństwa to naruszenie środków bezpieczeństwa, które administrator lub procesor wdrożył, lub które – stosownie do art. 32 RODO – powinien był wdrożyć. W związku z tym naruszenie bezpieczeństwa będzie miało miejsce dopiero wówczas, gdy dojdzie do przełamania organizacyjnych lub technicznych środków, które stosownie do RODO zostały, lub powinny były zostać wdrożone (zob. Luca Tosoni, ‘Article 4(12). Personal Data Breach’ in The EU General Data Protection Regulation (GDPR) (Oxford University Press, 2020) <https://academic.oup.com/book/41324/chapter/352295126).
Nie jest to jednak jedyna interpretacja. Przykładowo, R. Alunge proponuje szersze rozumienie tego pojęcia. Opierając swoją interpretację na Dyrektywie NIS proponuje, aby każdy incydent mający rzeczywisty negatywny wpływ na przetwarzanie stanowił „naruszenie bezpieczeństwa” w rozumieniu RODO, niezależnie od naruszenia jakichkolwiek środków organizacyjnych lub technicznych. (Breach of security vs personal data breach: effect on EU data subject notification requirements, (International Data Privacy Law 2021) <https://doi.org/10.1093/idpl/ipaa021>. Takie podejście jest o tyle uzasadnione, że niektóre zdarzenia o charakterze zewnętrznym i nieprzewidywalnym, takie jak powodzie czy trzęsienia ziemi, stanowią istotne zagrożenie dla bezpieczeństwa danych, ale nie mogą być racjonalnie oceniane pod kątem naruszenia środków organizacyjnych lub technicznych.
W każdym razie, jak trafnie moim zdaniem zauważa P. Fajgielski, pojęcie to odnosi się wyłącznie do naruszenia zabezpieczeń, a więc naruszenie innych przepisów, np. w zakresie obowiązków informacyjnych, nie może zostać kwalifikowane jako naruszenie bezpieczeństwa w rozumieniu definicji (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 4.).
Naruszenie ochrony danych osobowych – Przykłady
Typowym w ostatnich czasach przykładem naruszenia ochrony danych osobowych jest atak hakerski, z którym wiąże się „wyciek” danych osobowych, czyli nieuprawnione ujawnienie danych osobowych. Dlaczego? Hakerzy przełamują zabezpieczenia, które obowiązują (lub które powinny obowiązywać)* w organizacji i jako osoby nieuprawnione do przetwarzania danych osobowych co najmniej zapoznają się z danymi osobowymi przetwarzanymi na serwerach. Mamy zatem spełnione wszystkie elementy definicji, tj. działanie i skutek.
Hakerzy wcale nie muszą jednak zapoznawać się z danymi lub wykradać danych, aby można było mówić o naruszeniu ochrony danych osobowych. Zgodnie z definicją sam nieuprawniony dostęp do danych osobowych (a więc możliwość zapoznania się z danymi) stanowi skutek, który może przesądzać o tym, że doszło do naruszenia ochrony danych osobowych (o ile pozostałe elementy definicji są spełnione). Jeżeli zatem zostanie ustalone, że hakerzy uzyskali możliwość zapoznania się z danymi osobowymi przetwarzanymi przez administratora to wówczas trzeba będzie przyjąć, że uzyskano dostęp w rozumieniu art. 4 pkt. 12 RODO, a więc że mogą aktualizować się obowiązki notyfikacyjne po stronie administratora danych osobowych.
Co więcej, jednym z najczęstszych w ostatnich latach cyberatakiem jest atak ransomware, który odpowiada prawie ¼ wszystkich ataków hakerskich (2023 Data Breach Investigations Report, Verizon). Przyjmując, że w wyniku takiego ataku dochodzi wyłącznie do zaszyfrowania danych (tj. nie dochodzi ani do ujawnienia, ani do dostępu do danych osobowych) to atak ten może skutkować niezgodną z prawem utratą danych osobowych (i to niezależnie od tego, czy utrata ma charakter trwały, czy czasowy – zob. Guidelines 9/2022 on personal data breach notification under GDPR, s. 8). Taka sytuacja może więc stanowić naruszenie ochrony danych osobowych w rozumieniu RODO.
Inną rzeczą jest natomiast zupełnie, czy mimo tego, że doszło do stwierdzenia naruszenia ochrony danych osobowych konieczne jest powiadomienie PUODO lub osób, których dane dotyczą. Nie zawsze uznanie, że doszło do naruszenia ochrony danych osobowych będzie skutkować powstaniem obowiązków notyfikacyjnych (Art. 33 i 34 RODO).
Przykłady niezwiązane z atakami hakerskimi, które mogą (ale nie muszą) stanowić naruszenia ochrony danych osobowych to między innymi utrata pendrive, utrata komputera, wysłanie korespondencji na niewłaściwy adres, czasowa awaria systemu i brak dostępu do danych, wyrzucenie dokumentów zawierających dane osobowe do kosza, itp. Ważne jest też, że za naruszenia ochrony danych osobowych nie muszą być zawsze odpowiedzialne osoby z zewnątrz organizacji (np. hakerzy). W większości przypadków naruszenie wynika z czynności podejmowanych przez pracowników, którzy dopuszczają się naruszeń z uwagi na brak zachowania należytej staranności a nawet celowo łamią obowiązujące w organizacji przepisy i wynoszą poufne dokumenty. Każdy przypadek potencjalnego naruszenia należy zatem analizować osobno ze szczegółowym uwzględnieniem wszystkich okoliczności zdarzenia.
Znaczenie naruszenia ochrony danych osobowych – perspektywa osoby, której dane dotyczą
Naruszenie ochrony danych osobowych może mieć bardzo doniosłe skutki dla osoby, której dotyczy naruszenie.
Motyw 85 RODO wskazuje, że:
(…)naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.
Regularnie dzwonią do nas klienci, którzy dowiadują się o kredycie, którego nigdy nie zaciągnęli, o umowie ubezpieczenia, której nie zawarli, o upublicznieniu informacji na temat ich stanu zdrowia, czy życia rodzinnego. Zwykle są to osoby, które dowiadują się o naruszeniu ochrony danych osobowych po fakcie, a ich działania prowadzą do wszczęcia dochodzenia przed administratora danych osobowych, który sam nie był świadomy, że do takiego naruszenia doszło.
Warto sprawdzać, czy Twoje dane są bezpieczne pod adresem: https://bezpiecznedane.gov.pl/. Warto też korzystać z narzędzi do bieżącego monitoringu.
Naruszenia ochrony danych mają to do siebie, że są zwykle wyjaśniane od tyłu, tj. najpierw dochodzi do naruszenia, a dopiero potem ustala się jego przyczynę i skutki. Według raportu IBM wykrycie i zaradzenie naruszeniu trwa średnio 227 dni. (Cost of a Data Breach Report 2023, IBM, s. 21). Znaczna część tego okresu to czas, w którym przestępcy mogą działać bez wzbudzania podejrzeń osób, których dane dotyczą i podejmować dla nich bardzo szkodliwe działania. Z tego względu, każdy przypadek naruszenia ochrony danych osobowych powinien być dokładnie zbadany przez administratora lub procesora i jego skutki powinny być szczegółowo i szybko wyjaśnione. Osoby poszkodowane w wyniku naruszeń ochrony danych osobowych mają bowiem prawo do odszkodowania i zadośćuczynienia.
Zgodnie z art. 82 ust. 1 RODO:
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Istotne przy tym jest, że zgodnie art. 82 ust. 3 RODO
Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Z powyższego wynika, że osoba, której dane dotyczą, a która została poszkodowana w związku z naruszeniem ochrony danych osobowych – w określonych sytuacjach – będzie miała prawo do odszkodowania, a obrona przed takim roszczeniem przed administratora lub procesora jest istotnie utrudniona. Uważam też, że zbyt późna w kontekście danej sytuacji reakcja może mieć przełożenie na odpowiedzialność administratora danych osobowych, gdyż szkody podmiotu danych mogą rosnąć w miarę upływu czasu i braku możliwości podjęcia adekwatnych działań.
Warto tutaj zwrócić uwagę na wyrok Trybunału Sprawiedliwości UE (TSUE) z dnia 14 grudnia 2023 r. w sprawie o sygn. akt C-340/21, w którym Trybunał, – kontekście art. 82 ust. 1 RODO – uznał, że „obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić szkodę niemajątkową w rozumieniu tego przepisu”.
Konieczne będzie jednak ustalenie, czy obawa ta jest uzasadniona. Niemniej jednak sama obawa jest wystarczająca do przyjęcia, że została wyrządzona szkoda niemajątkowa w rozumieniu RODO.
Co więcej, w dniu 29 sierpnia 2024 r. weszła w życie Ustawa z dnia 24 lipca 2024 r. o zmianie ustawy o dochodzeniu roszczeń w postępowaniu grupowym oraz niektórych innych ustaw (Dz. U. poz. 1237), która przywróciła do życia dyskusję, czy możliwe jest dochodzenie w Polsce w postepowaniu grupowym szkód o charakterze niemajątkowym związanych z „wyciekami” danych. Niewykluczone jest, że w najbliższej przyszłości doczekamy się zatem pierwszych pozwów zbiorowych związanych z naruszeniami ochrony danych osobowych, gdzie – jak zakładam – jednym z centralnych punktów sporu będzie to, czy w ogóle takie postępowanie w tego rodzaju przypadkach jest dopuszczalne.
Znaczenie naruszenia ochrony danych osobowych – perspektywa administratora i podmiotu przetwarzającego.
Administrator i podmiot przetwarzający powinni w pierwszej kolejności w sposób prawidłowy ocenić, czy:
- doszło do naruszenia ochrony danych osobowych, a jeżeli tak to czy
- istnieje obowiązek zawiadomienia Prezesa rzędy Ochrony Danych Osobowych o naruszeniu;
- istnieje obowiązek zawiadomienia osób, których dane dotyczą, o takim naruszeniu.
Konieczne jest ponadto:
- odnotowanie naruszenia w rejestrze naruszeń;
- zastanowienie się nad tym co zrobić, aby w przyszłości nie doszło do podobnej sytuacji;
- ustalenie, czy niezależnie od stwierdzenia naruszenia lub mimo stwierdzenia naruszenia nie aktualizują się obowiązki wynikające z innych przepisów prawa i konieczność powiadomienia innych organów;
To jednak nie wszystko. Zwykle naruszenie ochrony danych osobowych skutkuje całym szeregiem zdarzeń, na które administrator lub procesor powinien być gotowy. Mowa tu m.in. o konieczności zaangażowania odpowiednich osób do ustalenia zakresu naruszenia, podjęcia komunikacji z urzędem i osobami, których dane dotyczą, wykonywania praw osób, których dane dotyczą, itp. W części bardziej istotnych wypadków naruszenie ochrony danych osobowych wiąże się z istotnym stresem po stronie administratora lub procesora, wynikającym z obawy o możliwe kary administracyjne i roszczenia poszkodowanych osób.
Pamiętaj, że w przypadku nieprawidłowego wykonania obowiązków Prezes Urzędu Ochrony Danych osobowych może m.in. nakazać twojej organizacji zawiadomić osoby, których dane dotyczą o naruszeniu (art. 58 ust. 2 lit. e RODO), lub nałożyć administracyjną karę pieniężną w wysokości (83 ust. 4 lit. a RODO). ‘
Jak możemy pomóc?
Sprawdź https://sowaip.pl/service/cyberataki-ataki-hakerskie-pomoc-prawna/. Pomoc w przypadku wycieków danych i innych rodzajów naruszeń danych osobowych jest jedną z głównych specjalizacji naszej kancelarii. Pomagamy zarówno małym, średnim i dużym firmom, a także osobom prywatnym, których interesy mogą doznać uszczerbku na skutek naruszenia.
Zobacz też publikację adw. Tomasza Sowy w Global Privacy Law Review poświęconą zagadnieniom naruszeń ochrony danych spodowanych przez pracowników i inne osoby z wewnątrz organizacji. Z publikacją można zapoznać się TUTAJ.