Naruszenie ochrony danych osobowych
Naruszenie ochrony danych to incydent bezpieczeństwa skutkujący zniszczeniem, utratą, modyfikacją lub nieuprawnionym ujawnieniem danych.
ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.
**Naruszenie ochrony danych osobowych** (popularnie: **data breach**) to jeden z najczęstszych incydentów, z którymi mierzy się administrator. RODO definiuje je w art. 4 pkt 12 i nakłada w art. 33 obowiązek **zgłoszenia do Prezesa UODO w terminie 72 godzin** od stwierdzenia naruszenia — chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem dla praw lub wolności osób. Jeśli naruszenie powoduje **wysokie ryzyko**, art. 34 wymaga dodatkowo **zawiadomienia osób, których dane dotyczą**. Każde naruszenie należy udokumentować w wewnętrznym rejestrze. Pojęcie ściśle łączy się z [RODO](/slownik/gdpr-rodo), [IOD](/slownik/iod-inspektor-ochrony-danych) (który zwykle koordynuje obsługę), [podstawami z art. 6](/slownik/rodo-art-6-podstawy-prawne) oraz z [NIS2](/slownik/nis2) (równoległe obowiązki w cyberbezpieczeństwie).
Definicja
Naruszenie ochrony danych osobowych to — zgodnie z art. 4 pkt 12 RODO — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja jest szeroka — obejmuje zarówno ataki zewnętrzne (włamanie, phishing, ransomware), jak i incydenty wewnętrzne (pomyłkowa wysyłka, zagubienie nośnika, błąd uprawnień), a także awarie techniczne skutkujące utratą dostępu do danych.
Trzy typy naruszeń
Wytyczne EROD wyróżniają trzy typy naruszeń, które często występują równocześnie:
- Naruszenie poufności (confidentiality breach) — nieuprawnione lub przypadkowe ujawnienie danych albo dostęp do nich (m.in. wyciek, błędna wysyłka e-mailem, kradzież laptopa z danymi),
- Naruszenie integralności (integrity breach) — nieuprawnione lub przypadkowe zmodyfikowanie danych (m.in. manipulacja rekordami, ransomware podmieniający treści, błędny import),
- Naruszenie dostępności (availability breach) — utrata dostępu do danych lub ich zniszczenie (m.in. ransomware blokujący odczyt, awaria nośnika bez kopii zapasowej, przypadkowe usunięcie).
Klasyfikacja wpływa na ocenę ryzyka — naruszenie poufności danych szczególnych kategorii zwykle generuje wyższe ryzyko niż krótkotrwała niedostępność danych kontaktowych.
Zgłoszenie do UODO w 72 h (art. 33)
Art. 33 RODO szczegółowo reguluje zgłoszenie naruszenia organowi nadzorczemu:
- Termin: 72 godziny od stwierdzenia naruszenia przez administratora,
- Wyjątek — zgłoszenie nie jest wymagane, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,
- Zgłoszenie po terminie musi zawierać wyjaśnienie przyczyn opóźnienia,
- Forma — w Polsce zgłoszenie do Prezesa UODO składane jest elektronicznie (formularz internetowy, ePUAP),
- Treść — co najmniej: charakter naruszenia, kategorie i przybliżona liczba osób oraz rekordów, dane kontaktowe IOD lub osoby kontaktowej, prawdopodobne konsekwencje, podjęte i proponowane środki zaradcze,
- Zgłoszenie etapami — gdy w ciągu 72 h nie da się ustalić wszystkich informacji, RODO dopuszcza zgłaszanie w częściach,
- Podmiot przetwarzający — niezwłocznie zgłasza naruszenie administratorowi, który dopiero stamtąd liczy 72 h.
Decyzje UODO po naruszeniach budują obrazek dobrych praktyk
Plan dla e-commerce alarmuje o decyzjach UODO, wytycznych EROD i nowelizacjach przepisów o cyberbezpieczeństwie. 3 dni za darmo.
Wypróbuj plan dla e-commerceZawiadomienie osób (art. 34) i rejestr wewnętrzny
Art. 34 RODO dotyczy zawiadamiania osób, których dane dotyczą. Obowiązek powstaje, gdy naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób — np. ryzyko kradzieży tożsamości, oszustw finansowych, utraty kontroli nad danymi szczególnych kategorii. Zawiadomienie ma być sformułowane jasnym i prostym językiem i zawierać: opis naruszenia, dane kontaktowe IOD, prawdopodobne konsekwencje oraz środki zaradcze.
Zawiadomienie osób nie jest wymagane, jeśli (i) administrator zastosował środki techniczne i organizacyjne, które uczyniły dane niezrozumiałe (np. silne szyfrowanie), (ii) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka, albo (iii) wymagałoby ono niewspółmiernie dużego wysiłku — wówczas wystarczy komunikat publiczny. Niezależnie od zgłoszenia administrator prowadzi rejestr wewnętrzny wszystkich naruszeń (także tych, których nie zgłoszono UODO), z analizą podjętych działań — to element rozliczalności z RODO.
Powiązane pojęcia
Pojęcia ściśle związane z naruszeniem ochrony danych:
- RODO (GDPR) — całość rozporządzenia 2016/679,
- IOD — Inspektor Ochrony Danych — typowo koordynator obsługi naruszeń,
- Podstawy prawne (art. 6 RODO) — przy ocenie naruszenia identyfikujemy m.in. podstawę przetwarzania,
- NIS2 — równoległe obowiązki zgłaszania incydentów cyberbezpieczeństwa,
- Baner cookies — naruszenia związane z cookies też mogą być data breach,
- ISAP — tam znajdziesz ustawę o ochronie danych osobowych,
- E-commerce — branża, która najczęściej zgłasza naruszenia do UODO.
Najczęstsze pytania
Co to jest naruszenie ochrony danych?
Naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) to incydent bezpieczeństwa skutkujący przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do danych. Definicja obejmuje ataki zewnętrzne (włamanie, phishing, ransomware), incydenty wewnętrzne (pomyłkowa wysyłka, zagubienie nośnika) oraz awarie techniczne skutkujące utratą dostępu.
Ile czasu jest na zgłoszenie naruszenia do UODO?
72 godziny od stwierdzenia naruszenia przez administratora — wynika to z art. 33 RODO. Zgłoszenie po terminie musi zawierać wyjaśnienie przyczyn opóźnienia. Wyjątkowo zgłoszenie nie jest wymagane, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych — administrator musi to udokumentować.
Kiedy trzeba zawiadomić osoby o naruszeniu?
Art. 34 RODO wymaga zawiadomienia osób, których dane dotyczą, gdy naruszenie powoduje wysokie ryzyko naruszenia ich praw lub wolności — np. ryzyko kradzieży tożsamości, oszustw finansowych, ujawnienia danych szczególnych kategorii. Zawiadomienie ma być w jasnym i prostym języku. Nie jest wymagane, jeśli dane były silnie zaszyfrowane lub administrator zastosował środki eliminujące wysokie ryzyko.
Jakie informacje musi zawierać zgłoszenie do UODO?
Co najmniej: charakter naruszenia (kategorie i przybliżona liczba osób oraz rekordów), dane kontaktowe IOD lub osoby kontaktowej, prawdopodobne konsekwencje naruszenia oraz podjęte i proponowane środki zaradcze. Jeśli w ciągu 72 godzin nie da się ustalić wszystkich informacji, RODO dopuszcza zgłaszanie w częściach, etapami.
Czy wszystkie naruszenia trzeba zgłaszać?
Nie. Zgłoszenie do UODO nie jest wymagane, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób. Decyzję o niezgłaszaniu administrator musi jednak udokumentować w wewnętrznym rejestrze naruszeń. Sam rejestr — obejmujący wszystkie naruszenia, także niezgłoszone — jest obligatoryjny i jest weryfikowany przy kontrolach UODO.
Co grozi za brak zgłoszenia naruszenia?
Naruszenie obowiązków z art. 33 i 34 RODO jest zagrożone administracyjną karą pieniężną do 10 mln EUR lub 2% rocznego obrotu globalnego (wyższa z kwot). W praktyce UODO uwzględnia okoliczności — szybkość reakcji, dobrowolne zgłoszenie, podjęte środki zaradcze, kategorie danych i liczbę osób. Decyzje UODO publikowane są na stronie urzędu.
Zmiany dla Twojej branży — dziennie na maila
Streszczenie projektu, ocena wpływu i linki do źródeł (Sejm, RCL, ISAP, EUR-Lex). Bez doradztwa — same fakty.
Zobacz plany