Jeśli w Twojej firmie doszło (lub mogło dojść) do wycieku danych osobowych, masz trzy ścieżki: zgłoszenie do UODO i użytkowników, zgłoszenie tylko do UODO albo brak zgłoszenia. Wybór zależy od poziomu ryzyka naruszenia praw osób, których dane dotyczą. Poniżej znajdziesz konkretne kryteria oceny, procedurę działania i konsekwencje każdej opcji.
Pierwszy krok: analiza naruszenia danych
Zanim podejmiesz jakąkolwiek decyzję, zbadaj, czy faktycznie doszło do incydentu RODO – czyli naruszenia ochrony danych osobowych.
Co zrobić od razu
- Zaangażuj programistów lub informatyków – ustal, na czym dokładnie polegał incydent (włamanie, błąd konfiguracji, nieautoryzowany dostęp).
- Oceń skutki z perspektywy osoby, której dane wyciekły – nie z perspektywy firmy. Pytanie brzmi: co grozi tej osobie?
- Zastosuj środki zaradcze – zminimalizuj skutki naruszenia jeszcze zanim zaczniesz rozważać zgłoszenie.
- Zabezpiecz dowody i ślady – logi, screeny, raporty techniczne. Będą potrzebne przy ewentualnej kontroli UODO.
Co ustalasz na podstawie analizy
- Jakie dane wyciekły (nick i login to co innego niż PESEL czy dane płatnicze).
- Ile osób dotyczy incydent.
- Czy dane były zaszyfrowane i czy szyfrowanie mogło zostać złamane.
- Jakie ryzyko naruszenia praw lub wolności grozi osobom, których dane wyciekły.
Dopiero wyniki tej analizy pozwalają wybrać jedną z trzech ścieżek działania.
Gdzie i kiedy zgłosić naruszenie RODO – trzy opcje
Opcja I: Zgłoszenie do UODO bez zawiadamiania użytkowników
Wybierz tę ścieżkę, jeśli ryzyko naruszenia praw lub wolności osób fizycznych nie jest wysokie.
Okoliczności, które mogą uzasadniać brak wysokiego ryzyka:
- Dane były zabezpieczone kryptograficznie – nawet w przypadku włamania nie doszło do ich odszyfrowania.
- Brak śladów włamania – ustalenia prowadzą do wniosku, że do wycieku w ogóle nie doszło (np. mimo fałszywych twierdzeń innych podmiotów).
- Zakres danych jest ograniczony – wyciekły np. jedynie nicki lub loginy, a nie dane wrażliwe (PESEL, dane płatnicze).
Co zawrzeć w zgłoszeniu do UODO
- Opis całej sytuacji – co się wydarzyło, kiedy i jak.
- Wyjaśnienie, dlaczego oceniasz ryzyko jako niskie (np. brak dowodów na wyciek, skuteczne szyfrowanie).
- Informację o zastosowanych środkach zaradczych.
Ryzyka tej opcji
- UODO może wszcząć kontrolę – upewnij się, że dokumentacja RODO jest kompletna i aktualna.
- UODO może ocenić sytuację inaczej i nakazać powiadomienie użytkowników.
Opcja II: Zgłoszenie do UODO i powiadomienie użytkowników
Wybierz tę ścieżkę, jeśli masz pewność, że doszło do naruszenia i może ono skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
W praktyce – jeśli potwierdzi się wyciek danych, ryzyko najczęściej jest wysokie.
Co zawrzeć w powiadomieniu użytkowników
- Dokładny opis sytuacji – co się stało, jakie dane mogły zostać naruszone.
- Informację o podjętych środkach zaradczych.
- Jeśli z ustaleń wynika, że dane nie zostały odszyfrowane lub wykorzystane – wpisz to wprost. Możesz wskazać, że zgłoszenie wynika z dobrej praktyki i dbałości o interesy użytkowników.
Ryzyka tej opcji
- Ryzyko wizerunkowe – incydenty bezpieczeństwa są źle odbierane, szczególnie jeśli Twój biznes opiera się na przetwarzaniu danych (np. e-commerce).
- Ryzyko kontroli UODO – tak samo jak w Opcji I. Pełna dokumentacja RODO to warunek bezpieczeństwa.
Opcja III: Brak zgłoszenia do UODO i brak powiadomienia użytkowników
Zgodnie z art. 33 ust. 1 RODO – jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osoby fizycznej, nie musisz zgłaszać incydentu ani do UODO, ani do użytkowników.
Ta opcja dotyczy sytuacji, w których doszło do incydentu (naruszenia ochrony danych), ale jego skutki dla osób fizycznych są znikome.
Kara za naruszenie RODO – ile ryzykujesz
Brak zgłoszenia naruszenia danych lub brak poinformowania użytkowników może kosztować:
- do 10 milionów euro, lub
- 2% rocznego obrotu przedsiębiorstwa.
Przypadek Morele.net – lekcja z 2020 roku
Morele.net zapłaciło 2,8 mln zł kary za wyciek ponad 2 mln rekordów danych osobowych. Co ważne – kara nie została wymierzona za sam wyciek. W toku kontroli UODO ustalił, że firma:
- nie dopełniła obowiązków informacyjnych,
- za późno podjęła czynności zaradcze,
- nie zminimalizowała skutków wycieku na czas.
Zasada decyzji
Jeśli istnieje ryzyko, że doszło do wycieku danych – przyjmij najgorszy scenariusz. Zawiadom przynajmniej UODO. Upewnij się, że z pomocą specjalistów (informatycy, programiści) zabezpieczyłeś wszystkie dowody i ślady oraz zrobiłeś wszystko, co możliwe, by zminimalizować skutki.
Jeśli potrzebujesz pomocy prawnej w obsłudze incydentu RODO – skontaktuj się z nami.
Najczęściej zadawane pytania
Co zrobić od razu, gdy w firmie doszło do wycieku danych osobowych? Zaangażuj programistów lub informatyków, żeby ustalić, na czym dokładnie polegał incydent – włamanie, błąd konfiguracji czy nieautoryzowany dostęp. Równolegle zabezpiecz dowody i ślady (logi, screeny, raporty techniczne) oraz zastosuj środki zaradcze, zanim zaczniesz rozważać zgłoszenie. Oceń skutki z perspektywy osoby, której dane wyciekły – nie z perspektywy firmy – i ustal zakres danych, liczbę osób dotkniętych incydentem oraz to, czy dane były zaszyfrowane.
Kiedy wyciek danych trzeba zgłosić do UODO, a kiedy także poinformować użytkowników? Masz trzy ścieżki: jeśli ryzyko naruszenia praw osób fizycznych nie jest wysokie – zgłaszasz tylko do UODO; jeśli ryzyko jest wysokie – zgłaszasz do UODO i powiadamiasz użytkowników; jeśli jest mało prawdopodobne, by naruszenie skutkowało jakimkolwiek ryzykiem dla osób fizycznych – nie musisz zgłaszać nikomu. W praktyce, jeśli potwierdzi się wyciek danych, ryzyko najczęściej ocenia się jako wysokie, co oznacza obowiązek zgłoszenia do UODO i zawiadomienia użytkowników.
Jak ocenić, czy naruszenie danych oznacza wysokie ryzyko dla osób, których dane dotyczą? Sprawdź, jakie dane wyciekły – wyciek nicków i loginów to zupełnie inny poziom ryzyka niż wyciek PESEL-i czy danych płatniczych. Weź pod uwagę, ile osób dotyczy incydent, czy dane były zaszyfrowane i czy szyfrowanie mogło zostać złamane. Jeśli dane były skutecznie zabezpieczone kryptograficznie, zakres wycieku jest ograniczony, a brak jest śladów włamania – możesz uzasadnić, że ryzyko nie jest wysokie.
Co powinno znaleźć się w zgłoszeniu naruszenia do UODO i w informacji do użytkowników? W zgłoszeniu do UODO opisz, co się wydarzyło, kiedy i jak, wyjaśnij, dlaczego oceniasz ryzyko na danym poziomie (np. brak dowodów na wyciek, skuteczne szyfrowanie), oraz wskaż zastosowane środki zaradcze. W powiadomieniu użytkowników podaj dokładny opis sytuacji, informację o podjętych środkach zaradczych, a jeśli z ustaleń wynika, że dane nie zostały odszyfrowane lub wykorzystane – wpisz to wprost i wskaż, że zgłoszenie wynika z dobrej praktyki i dbałości o interesy użytkowników.
Jakie kary grożą za brak zgłoszenia wycieku danych i czego uczy przypadek Morele.net? Brak zgłoszenia naruszenia lub brak poinformowania użytkowników może kosztować do 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa. Morele.net zapłaciło 2,8 mln zł kary za wyciek ponad 2 mln rekordów – UODO wymierzył karę nie za sam wyciek, lecz za niedopełnienie obowiązków informacyjnych, zbyt późne podjęcie czynności zaradczych i niezminimalizowanie skutków wycieku na czas.