263
0
RODO

Nowy poradnik Prezesa UODO dotyczący naruszeń danych osobowych – co się zmieniło w podejściu organu nadzorczego?

Patrycja Myśliwiec
Patrycja Myśliwiec
11 marca, 2025 · 3 min read
263
0

Do kogo skierowany jest nowy poradnik PUODO?

Urząd Ochrony Danych Osobowych pod koniec lutego 2025r. opublikował 100-stronnicowy poradnik, który skierowany jest do administratorów, podmiotów przetwarzających i inspektorów ochrony danych. Poradnik – oprócz tego, że przedstawia zaktualizowane podejście organu w przedmiocie klasyfikacji naruszeń ochrony danych – zawiera również sporo wskazówek praktycznych w tym zakresie. Jego treść wzbudziła duże zainteresowanie zarówno wśród praktyków, jak i samych administratorów danych. Aktualizacja poradnika to efekt prac pracowników UODO, które poprzedziły konsultacje społeczne przeprowadzone w 2024r.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Jaki charakter prawny mają wskazane w poradniku wytyczne?

Co istotne twórcy poradnika wyraźnie zaznaczyli już na samym wstępie dokumentu, że nie zastępuje on obowiązujących przepisów prawa. Co do zasady ma on charakter pomocniczy i służy lepszemu zrozumieniu zasad postępowania w przypadku wystąpienia naruszeń.

Czego dotyczą wytyczne zawarte w poradniku?

Wskazane w poradniku wytyczne określają, w szczególności:

  • czym jest naruszenie ochrony danych osobowych i czym różni się od naruszenia przepisów RODO;
  • obowiązki administratora, podmiotu przetwarzającego, jak również inspektora ochrony danych i ich rolę w procesie zgłaszania naruszeń;
  • na czym polegają czynności mające na celu zaradzenie naruszeniom,
  • sposoby identyfikacji naruszeń oraz wyjaśniają, od którego momentu mamy do czynienia ze „stwierdzeniem naruszenia” (jest to istotne z perspektywy zachowania terminu 72 godzin na przekazanie zgłoszenia naruszenia organowi nadzorczemu);
  • w jaki sposób oceniać ryzyko związane z naruszeniami ochrony danych osobowych,
  • dookreślają pojęcie „zaufanego odbiorcy” i wskazują na jakie okoliczności zwracać uwagę podczas jego identyfikacji
  • w jaki sposób poprawnie formułować zawiadomienie o naruszeniu danych osobowych do organu nadzorczego oraz zawiadamiać osoby, których dane dotyczą;
  • na czym polega „transgraniczne naruszenie danych osobowych.”

Poradnik poza konkretnymi przykładami naruszeń danych osobowych zawiera również szereg bezpośrednich odniesień do wytycznych EROD, Grupy art.29 oraz przekierowań do określonych podrozdziałach poradnika, co znacznie ułatwia poruszanie się po nim.

Jakie są zmiany w dotychczasowym podejściu organu nadzorczego do zgłaszania naruszeń?

Szczególną uwagę zwraca przede wszystkim wyłączenie obowiązku zgłaszania naruszenia ochrony danych osobowych  w sytuacji, gdy można jednoznacznie stwierdzić brak ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Takie sytuacje będą się jednak pojawiać niezwykle rzadko. W poradniku wskazano, że utrata zaszyfrowanego nośnika danych będzie stanowiła sytuację umożliwiającą przyjęcie braku raku ryzyka, co jednak zdaniem wielu ekspertów nie wyklucza możliwości dokonania przełamania zabezpieczeń, chociażby przez specjalizujące się w tym zakresie firmy IT.

Ponadto w poradniku wskazano trzy poziomy ryzyka: brak ryzyka, ryzyko i wysokie ryzyko. W poradniku Prezesa UODO z maja 2018r. „Jak rozumieć podejście oparte na ryzyku” było ich co najmniej pięć. Z jednej strony taki podział z pewnością ułatwi kwalifikację naruszeń,  z drugiej strony będzie determinował konieczność ich zgłaszania organowi praktycznie zawsze, poza sytuacjami, w których administrator będzie mógł stwierdzić całkowity brak ryzyka.

Co istotne, w poradniku zaznaczono również, że RODO nie przewiduje obowiązku zapobiegania wszelkim możliwym naruszeniom ochrony danych osobowych. Jeżeli takie zdarzenie wystąpiło pomimo prawidłowego realizowania obowiązków przez podmioty zobowiązane do zapewnienia bezpieczeństwa przetwarzania, nie muszą się one obawiać zastosowania wobec nich sankcji administracyjnych.

Jaka jest rola inspektora ochrony danych w procesie zgłaszania naruszeń?

Zgodnie z treścią poradnika działania IOD w sprawie naruszeń ochrony danych osobowych to m.in.:

pomoc w zapobieganiu naruszeniom, np. poprzez organizowanie szkoleń oraz formułowanie zaleceń dotyczących bezpieczeństwa przetwarzania danych;

udzielanie wskazówek i wytycznych dotyczących odpowiedniego reagowania na naruszenia ochrony danych osobowych, w tym zapobieganiu im, zgłaszania ich Prezesowi UODO oraz zawiadamiania osób, których dane dotyczą;

doradztwo w zakresie dokumentowania naruszeń i zarządzania dokumentacją;

przekazywanie dodatkowych informacji o naruszeniach organowi nadzorczemu i osobom, których dane dotyczą.

W wytycznych wskazano również wyraźnie jakich zadań IOD nie powinien realizować. Poza oczywistymi czynnościami takimi jak zgłaszanie naruszeń do PUODO, czy podejmowanie zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów lub podmiotów przetwarzających wymieniono również dokumentowanie naruszeń ochrony danych osobowych w imieniu administratorów (w szczególności, jeśli wiązałoby się to z ustalaniem celów i sposobów przetwarzania danych osobowych albo określaniem działań zaradczych). Ostatni zapis budzi szczególne kontrowersje. Pozbawienie IOD możliwości dokonywania czynności dokumentacyjnych w wielu jednostkach będzie determinowało konieczność oddelegowania innych osób do realizacji tych czynności. W mniejszych jednostkach, które nie dysponują dużymi zasobami kadrowymi może to generować  problemy organizacyjne.

Podsumowanie

Podsumowując, nowy poradnik ma na celu poprawę praktyk zgłaszania naruszeń ochrony danych osobowych, wprowadzając jasne zasady i procedury. Choć wytyczne mają charakter rekomendacyjny, stanowią ważne narzędzie dla organizacji w zapewnianiu zgodności z przepisami RODO. Nie ulega natomiast wątpliwości, że obecne zmiany w podejściu organu nadzorczego mają na celu zapewnienie lepszej ochrony prywatności i bezpieczeństwa danych osobowych.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja