Wstęp

W lutym 2025 r. Urząd Ochrony Danych Osobowych opublikował zaktualizowany „Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych v 2”. Analiza treści publikacji to dobry moment, przede wszystkim dla administratorów danych osobowych, na przyjrzenie się stosowanym dotychczas procedurom w zakresie zapewnienia szeroko pojętego bezpieczeństwa danych osobowych. Powinny one regulować nie tylko kwestie postępowania w momencie stwierdzenia naruszenia ochrony danych osobowych.

Obowiązki administratorów w zakresie naruszeń ochrony danych osobowych

Dobrze zorganizowana ochrona danych osobowych opiera się na działaniach prewencyjnych, w tym ustaleniu procesów przetwarzania danych osobowych, a także doborze odpowiednich środków technicznych i organizacyjnych, które je zabezpieczą. Niezbędne jest również wykonywanie, w sposób cykliczny,  analizy ryzyka dla czynności przetwarzania danych osobowych i zrobienie ewentualnych korekt przy wdrożonych środkach zabezpieczających. Całość musi być również poparta przeszkoleniem pracowników, którzy pracują z danymi osobowymi. Wreszcie, pod względem organizacyjnym, kontrolowaniem procesu nadawania i odbierania uprawnień, np. do pracy w wybranych systemach informatycznych, a także wydawaniem upoważnień do przetwarzania danych osobowych.

Jednak nawet najlepiej zabezpieczona organizacja może zetknąć się z problemem naruszenia ochrony danych osobowych. Bardzo istotny jest zatem proces identyfikowania takiego naruszenia, który składa się z etapów:

1. Wykrycia – przede wszystkim jest to moment, w którym administrator jest w stanie ocenić, że w danych okolicznościach faktycznie doszło do naruszenia danych osobowych.
   To moment sprawdzenia w praktyce wdrożonych metod wykrywania i analizowania incydentów bezpieczeństwa (np. skuteczności systemów klasy DLP, monitorowania sytuacji przez wyznaczonych pracowników, bądź też działania procedury informowania o incydentach przez podmioty przetwarzające dane osobowe).
2. Stwierdzenia naruszenia – w tym momencie administrator ma już wystarczającą wiedzę o zaistniałym incydencie bezpieczeństwa, żeby zakwalifikować go jako naruszenie ochrony danych osobowych. Musi je udokumentować w rejestrze naruszeń. Od momentu stwierdzenia naruszenia administrator danych osobowych ma 72 godziny na ewentualne zgłoszenie do Prezesa UODO. Powinien to uczynić po przeprowadzeniu oceny ryzyka związanego z naruszeniem ochrony danych osobowych – jeżeli na jej podstawie administrator ustali, że istnieje ryzyko negatywnych skutków dla praw i wolności osób, których dane dotyczą. Jeżeli ocena ryzyka wykazuje w tym zakresie znaczną wagę i duże prawdopodobieństwo takich skutków dla praw lub wolności, administrator, oprócz udokumentowania naruszenia oraz zgłoszenia go do organu nadzorczego, musi również poinformować o nim osoby, których dane dotyczą[1].Identyfikowanie naruszeń ochrony danych osobowych administrator musi odpowiednio udokumentować.

Zapobieganie naruszeniom, a w przypadku ich wystąpienia – ich wykrywanie, stwierdzanie, przeprowadzenie oceny ryzyka, wreszcie zgłoszenie naruszenia ochrony danych osobowych i powiadomienie osób, których dane dotyczą, stanowią obowiązki administratora danych osobowych. Do tej grupy zaliczymy również podjęcie, bez zbędnej zwłoki, działań zaradczych, które pomogą ograniczyć negatywne skutki naruszenia ochrony danych osobowych.

W celu zaradzenia naruszeniom ochrony danych osobowych administrator powinien podjąć działania, które pozwolą:

• jak najszybciej przerwać przebieg incydentu oraz ograniczyć jego rozprzestrzenianie się (np. poprzez zablokowanie kont użytkowników odpowiedzialnych za powstanie incydentu);
• na zmniejszenie potencjalnych szkód dla osób, których dane dotyczą – zminimalizowanie skutków naruszenia np. poprzez powiadomienie takich osób (m.in. aby były wyczulone na podejrzane działania, mogły zmienić hasła do logowania lub zastrzec numer PESEL),
• ustabilizować sytuację i zabezpieczyć zasoby, które zostały objęte naruszeniem – przywrócenie bezpieczeństwa np. poprzez odtworzenie danych z kopii zapasowych.

Zaradzanie naruszeniom ochrony danych osobowych to też dobry moment na zweryfikowanie wdrożonych środków technicznych i organizacyjnych i ich zaktualizowanie w celu podniesienia poziomu bezpieczeństwa danych osobowych w organizacji. Pamiętajmy, że administrator musi być gotowy wykazać, że zaradził naruszeniu ochrony danych osobowych w sposób właściwy.

Źródło:
Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych v 2, luty 2025.

[1] Urząd Ochrony Danych Osobowych w przywoływanym „Poradniku na gruncie RODO…” , przy omawianiu oceny ryzyka związanego z naruszeniami ochrony danych osobowych, wskazuje na możliwość sklasyfikowania go jako: brak ryzyka, ryzyko lub wysokie ryzyko. „Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, luty 2025, s. 65.