Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Poinformowanie osoby fizycznej o incydencie naruszenia ochrony jej danych osobowych to oficjalne poinformowanie o zdarzeniu, które mogło wpłynąć na poufność, integralność lub dostępność jej danych osobowych. Jest to kluczowy obowiązek wynikający z art. 34 RODO, mający na celu ochronę praw i wolności osób, których dane zostały naruszone.

Administrator danych ma obowiązek zawiadomienia osób fizycznych tylko w przypadkach, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Celem takiego zawiadomienia jest umożliwienie osobom, których dane dotyczą, podjęcia odpowiednich działań zapobiegawczych i ochronnych, a tym samym ograniczenie możliwych szkód. Zawiadomienie powinno nastąpić bez zbędnej zwłoki, w sposób jasny i zrozumiały, umożliwiający osobom dotkniętym incydentem podjęcie odpowiednich kroków.

Administrator nie musi zawiadamiać wszystkich osób dotkniętych naruszeniem, jeśli wysokie ryzyko występuje jedynie dla określonej grupy. W takim przypadku zawiadomienie powinno być skierowane tylko do tych osób, dla których konsekwencje naruszenia mogą być istotne.

Cel zawiadomienia osób fizycznych

Celem zawiadomienia o naruszeniu ochrony danych osobowych jest:

  • ograniczenie potencjalnych szkód – osoby poszkodowane mogą podjąć działania zabezpieczające, np. zmienić hasła, zastrzec dokumenty tożsamości, skontaktować się z bankiem w celu ochrony przed oszustwami finansowymi;
  • zapewnienie przejrzystości – poinformowanie o incydencie pozwala zachować transparentność w zakresie ochrony danych;
  • zapobieganie dalszemu wykorzystaniu danych przez osoby nieuprawnione – szybkie działanie może ograniczyć ryzyko kradzieży tożsamości lub wyłudzeń finansowych.

Wyjątki od obowiązku zawiadomienia

Ogólne rozporządzenie o ochronie danych przewiduje sytuacje, w których administrator może odstąpić od obowiązku informowania osób o naruszeniu ich danych, nawet jeśli incydent wiąże się z wysokim poziomem ryzyka. Zgodnie z art. 34 ust. 3 RODO, obowiązek ten nie występuje, jeśli zostanie spełniony przynajmniej jeden z określonych w tym przepisie warunków:

  1. Informacje były odpowiednio zabezpieczone przed naruszeniem – jeśli dane były zaszyfrowane w sposób, który uniemożliwia ich odczytanie przez osoby nieuprawnione (np. silne szyfrowanie AES-256), a klucz szyfrujący nie został naruszony, zaś w przypadku pseudonimizacji danych – jeżeli dane są zabezpieczone tak, że nie można ich łatwo powiązać z konkretną osobą.
  2. Administrator podjął skuteczne środki eliminujące ryzyko po naruszeniu – jeżeli administrator po naruszeniu natychmiast wdrożył środki, które uniemożliwiły dalsze wykorzystanie danych przez osoby nieuprawnione (np. zmiana haseł w systemie, wycofanie kompromitowanych danych dostępowych, cofnięcie dostępu do plików).
  3. Zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – jeśli zidentyfikowanie i powiadomienie wszystkich osób fizycznych jest niemożliwe lub nadmiernie trudne, administrator może zastosować alternatywną metodę informowania, np.:
    • opublikować komunikat na swojej stronie internetowej,
    • zamieścić ogłoszenie w lokalnej prasie,
    • wykorzystać inne kanały publiczne do poinformowania osób poszkodowanych.
Przykład

W wyniku pożaru zniszczeniu uległy dokumenty papierowe zawierające dane tysięcy klientów. Ponieważ organizacja nie miała ich kopii cyfrowych ani innych możliwości skontaktowania się z klientami, indywidualne zawiadomienie byłoby niewykonalne. W takiej sytuacji administrator może opublikować komunikat na swojej stronie internetowej oraz w prasie lokalnej, spełniając w ten sposób obowiązek informacyjny.

Kup Legalisa Księgowość Kadry Biznes online i uzyskaj natychmiastowy dostęp! Sprawdź

Zawiadamianie osób, których dane dotyczą, o naruszeniach ochrony danych osobowych

Administratorzy mają obowiązek zapewnić, że osoby, których dane zostały naruszone, zostaną o tym odpowiednio poinformowane. Zawiadomienie powinno być przekazane niezwłocznie, w sposób zrozumiały i za pomocą odpowiednich środków komunikacji. Prawidłowe przekazanie informacji umożliwia osobom poszkodowanym podjęcie działań zapobiegających dalszym negatywnym skutkom naruszenia.

Niezwłoczne zawiadomienie osób, których dane dotyczą

Zgodnie z motywem 86 RODO, w przypadku gdy naruszenie może skutkować poważnym zagrożeniem dla praw lub wolności osoby fizycznej, administrator ma obowiązek przekazać jej stosowną informację niezwłocznie. Szybkie zawiadomienie pozwala osobom dotkniętym naruszeniem wdrożyć środki ochronne, takie jak zmiana haseł, zastrzeżenie dokumentów tożsamości czy kontakt z instytucjami finansowymi. Przy określaniu momentu zawiadomienia należy uwzględnić:

  • charakter naruszenia – im poważniejsze skutki naruszenia, tym szybciej powinno nastąpić powiadomienie,
  • potencjalne konsekwencje dla osób fizycznych – jeśli istnieje ryzyko kradzieży tożsamości lub strat finansowych, zawiadomienie powinno być priorytetem,
  • możliwość zapobieżenia negatywnym skutkom – jeśli szybka reakcja osoby może ograniczyć szkody, np. poprzez zastrzeżenie karty kredytowej, zawiadomienie musi nastąpić bez zbędnej zwłoki.

Wyjątek od niezwłocznego zawiadomienia

Administrator może wyjątkowo opóźnić przekazanie informacji, jeśli organ ścigania badający okoliczności naruszenia uzna, że natychmiastowe zawiadomienie mogłoby utrudnić postępowanie. W takim przypadku zawiadomienie powinno nastąpić po zakończeniu działań organów ścigania.

Zrozumiałe zawiadomienie osób, których dane dotyczą

Zawiadomienie powinno być zwięzłe, przejrzyste, zrozumiałe i łatwo dostępne. Należy je sformułować w sposób jasny i prosty, dostosowany do odbiorcy, aby uniknąć sytuacji, w której osoba poszkodowana nie zrozumie zagrożenia lub koniecznych działań ochronnych.

Zakaz łączenia zawiadomienia z innymi komunikatami

Administratorzy nie mogą dołączać zawiadomienia do reklam, newsletterów, materiałów promocyjnych ani innych wiadomości niezwiązanych z naruszeniem.

Metody zawiadamiania osób, których dane dotyczą

Zawiadomienia powinny być indywidualne i bezpośrednie, dostosowane do sposobu komunikacji z osobami, których dane zostały naruszone.

Publiczny komunikat

Jeżeli indywidualne zawiadomienie każdej osoby wymagałoby niewspółmiernie dużego wysiłku, administrator może zastosować publiczny komunikat, np.:

  • opublikować informację na stronie internetowej organizacji,
  • zamieścić ogłoszenie w prasie lub mediach społecznościowych,
  • rozesłać wiadomość zbiorczą do klientów np. za pośrednictwem bankowości elektronicznej.

Publiczne komunikaty nie mogą być jedyną formą zawiadomienia, jeśli administrator jest w stanie skontaktować się z osobami indywidualnie.

Utrudnienia z dotarciem zawiadomienia do osoby, której dane dotyczą

Jeśli administrator nie jest w stanie skutecznie zawiadomić osoby przy użyciu wybranej metody (np. nieaktualny adres e-mail), powinien:

  • spróbować innej metody komunikacji – np. wysłać wiadomość SMS, skontaktować się telefonicznie lub wysłać list pocztą,
  • zadbać o możliwość późniejszego przekazania zawiadomienia – np. jeśli osoba skontaktuje się z firmą w przyszłości, administrator powinien jej przekazać informację o naruszeniu.

Dokumentowanie procesu zawiadamiania

Administrator musi udokumentować sposób zawiadomienia oraz móc wykazać, że podjął wszelkie uzasadnione działania w celu poinformowania osób poszkodowanych.

Informacje, które należy przekazać osobom, których dane dotyczą

Administratorzy mają obowiązek przekazania osobom fizycznym jasnych i precyzyjnych informacji o naruszeniu ochrony danych osobowych. Informacje te powinny umożliwić osobom, których dane dotyczą, zrozumienie incydentu oraz podjęcie skutecznych działań zapobiegawczych. Zgodnie z motywem 86 RODO, zawiadomienie powinno zawierać opis charakteru naruszenia oraz zalecenia dotyczące minimalizacji możliwych negatywnych skutków. Przepisy określają minimalne wymagania w zakresie przekazywanych informacji, które muszą znaleźć się w zawiadomieniu.

Informacja o naruszeniu ochrony danych osobowych powinna zostać przekazana w sposób zrozumiały i przejrzysty – tak, aby jej treść była czytelna dla każdej osoby. Jak stanowi art. 34 ust. 2 RODO, komunikat ten powinien zawierać co najmniej następujące elementy:

Wyjaśnienie rodzaju i okoliczności naruszenia danych osobowych

  • co się stało i jakie dane zostały naruszone?
  • czy doszło do wycieku, nieuprawnionego ujawnienia, utraty, usunięcia, zmodyfikowania lub zablokowania danych?
  • czy dane były zaszyfrowane lub zabezpieczone w sposób ograniczający ich wykorzystanie przez osoby nieuprawnione?

Informacje o administratorze i podmiotach przetwarzających

  • nazwa i dane kontaktowe administratora danych,
  • informacja o podmiotach przetwarzających lub współadministratorach, jeśli mieli oni udział w incydencie.

Okoliczności naruszenia ochrony danych

  • data i czas wystąpienia naruszenia oraz jego wykrycia,
  • przyczyna naruszenia (np. atak hakerski, błąd ludzki, awaria systemu),
  • przebieg naruszenia – jak doszło do incydentu i jakie działania zostały podjęte w jego następstwie,
  • rodzaj i zakres naruszonych danych – czy naruszenie dotyczyło np. danych finansowych, medycznych, kontaktowych, loginów i haseł,

Możliwe konsekwencje naruszenia dla osób, których dane dotyczą

  • jakie ryzyko niesie za sobą naruszenie?
  • czy istnieje ryzyko kradzieży tożsamości, oszustwa finansowego, dyskryminacji lub naruszenia prywatności?
  • czy naruszenie może prowadzić do utraty dostępu do kont, strat finansowych lub reputacyjnych?

Środki podjęte przez administratora w celu ograniczenia skutków naruszenia

  • jakie działania zostały wdrożone w celu naprawy sytuacji?
  • czy administrator zgłosił naruszenie do organu nadzorczego (UODO)?
  • czy administrator zablokował dostęp do naruszonych danych, zmienił procedury bezpieczeństwa lub wdrożył dodatkowe środki ochrony?

Zalecenia dotyczące działań, które osoba powinna podjąć we własnym zakresie

  • czy konieczna jest zmiana haseł lub dodatkowa ochrona konta?
  • czy osoba powinna monitorować swoje transakcje bankowe lub skontaktować się z instytucją finansową?
  • czy zalecane jest zgłoszenie się do organów ścigania w przypadku podejrzenia nadużycia danych?

Informacje kontaktowe osoby odpowiedzialnej za udzielanie wyjaśnień – imię, nazwisko oraz dane kontaktowe Inspektora Ochrony Danych lub innego wyznaczonego przedstawiciela, z którym można się skontaktować w sprawie szczegółów dotyczących naruszenia.

Błędy, których należy unikać w zawiadomieniach

  1. Nieprecyzyjny lub ogólnikowy opis zdarzenia. Należy unikać zbyt ogólnych informacji, które nie pozwalają osobie poszkodowanej ocenić zagrożenia. Należy podać konkretne kategorie danych, które zostały naruszone (np. PESEL, dane bankowe, dane medyczne).
  2. Brak konkretnych zaleceń. Należy podać konkretne kroki, jakie osoba powinna podjąć (np. zmiana hasła, zgłoszenie naruszenia do banku, monitoring konta bankowego).
  3. Niekompletne dane kontaktowe. Osoby dotknięte naruszeniem powinny mieć łatwy dostęp do osoby odpowiedzialnej za udzielenie informacji, np. inspektora ochrony danych.
  4. Brak związku między skutkami a naruszeniem. Przykładowo, jeśli naruszenie dotyczyło wycieku numerów PESEL, informowanie o zagrożeniu związanym z utratą dostępu do kont bankowych może wprowadzać w błąd, jeśli nie było to realnym zagrożeniem.

Sankcje za brak powiadomienia

Zaniechanie poinformowania osób, których dane zostały naruszone, mimo że wymaga tego RODO, może skutkować poważnymi konsekwencjami – zarówno prawnymi, jak i finansowymi oraz wizerunkowymi dla administratora. Jednym z najpoważniejszych zagrożeń jest ryzyko nałożenia kary pieniężnej przez właściwy organ nadzorczy.

Jak wynika z art. 83 ust. 4 RODO, niewywiązanie się z obowiązku informowania osób o naruszeniu ich danych osobowych może skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 10 milionów euro lub – w przypadku firm – do 2% globalnego rocznego obrotu za poprzedni rok, w zależności od tego, która z tych wartości jest wyższa.

Organ nadzorczy, analizując naruszenie, bierze pod uwagę różne czynniki, m.in.:

  • charakter i wagę naruszenia,
  • liczbę osób poszkodowanych,
  • skutki, jakie mogły wyniknąć z braku zawiadomienia,
  • stopień współpracy administratora z organem nadzorczym,
  • podjęte środki zaradcze oraz wcześniejsze działania administratora na rzecz ochrony danych osobowych.

Jak uniknąć konsekwencji?

Aby uniknąć sankcji, administratorzy powinni:

  • zidentyfikować i ocenić ryzyko związane z naruszeniem – im szybciej administrator oceni zagrożenie, tym skuteczniejsze będą działania naprawcze,
  • niezwłocznie powiadomić osoby poszkodowane – jeśli naruszenie stwarza wysokie ryzyko dla ich praw i wolności, zawiadomienie musi nastąpić bez zbędnej zwłoki,
  • przekazać informacje w jasny i przejrzysty sposób – zawiadomienie powinno zawierać wszystkie istotne elementy, takie jak charakter naruszenia, możliwe konsekwencje i zalecane działania ochronne,
  • dokumentować proces powiadamiania – administrator powinien zachować dowody, że zawiadomienia zostały przekazane zgodnie z wymogami RODO,
  • współpracować z organem nadzorczym – jeśli organ nadzorczy zażąda dodatkowych informacji lub działań, administrator powinien wykazać pełną współpracę.
Ochrona danych osobowych – aktualna lista szkoleń Sprawdź