będzie wymagane, jeśli administrator stwierdzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
jeśli naruszenie dotyczy numeru PESEL, to w ocenie PUODO można założyć, że mamy do czynienia z wysokim ryzykiem,
nie ma oficjalnego formularza zawiadomienia; przygotowując zawiadomienie, należy uwzględnić art. 34 RODO oraz wytyczne z opublikowanego online poradnika UODO o naruszeniach („Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”).
Kiedy o naruszeniu ochrony danych osobowych należy zawiadomić osobę, której dane dotyczą?
Administrator danych powinien zawiadomić o naruszeniu osobę, której dotyczy naruszenie, jeśli stwierdzi, że naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Więcej informacji o ocenie ryzyka związanego z naruszeniem znajduje się w komentarzu do art. 33 RODO. W tym miejscu, z praktycznego punktu widzenia, warto jedynie dodatkowo odnotować dotychczasowe szczególne podejście UODO do naruszeń, które dotyczą numeru PESEL. Jeśli naruszenie dotyczy numeru PESEL, można zakładać, że w ocenie UODO będzie ono się zapewne wiązać z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, które powoduje konieczność zawiadomienia o naruszeniu podmiotów danych.
Jeśli administrator zgłosi naruszenie do UODO i jednocześnie oceni, że o naruszeniu nie trzeba zawiadomić podmiotów danych, może okazać się, że UODO zakwestionuje taką ocenę i nakaże administratorowi dokonać zawiadomienia (zazwyczaj po uprzednim wezwaniu administratora do okazania dokumentu potwierdzającego dokonanie oceny ryzyka związanego z naruszeniem wraz z informacją o wykorzystanej metodologii oceny). W takiej sytuacji nie można wykluczyć ryzyka, że organ dojdzie do wniosku, że brak zawiadomienia lub nieprawidłowe przeprowadzenie oceny ryzyka związanego z naruszeniem stanowi złamanie przepisów RODO, co może narazić administratora na odpowiedzialność administracyjnoprawną.
Kiedy zawiadomienie nie jest konieczne pomimo wysokiego ryzyka związanego z naruszeniem?
Zgodnie z RODO zawiadomienie osób, których dane dotyczą, nie jest wymagane pomimo tego, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w następujących przypadkach:
gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie; w szczególności chodzi o środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
gdy administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
gdy wymagałoby ono niewspółmiernie dużego wysiłku (w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób).
Jeśli administrator zrezygnuje z zawiadamiania osób, których dane dotyczą, opierając się na jednym z ww. wyłączeń, wskazane jest, by odpowiednio uzasadnił i udokumentował swoją decyzję, w szczególności na potrzeby ewentualnych pytań ze strony organu nadzoru, który może kwestionować zasadność zastosowania danego wyłączenia. Ocena, czy w danym przypadku dane wyłączenie znajdzie zastosowanie, powinna być dokonana w odniesieniu do indywidualnego przypadku.
Jako przykłady sytuacji, w których wyłączenia mogą znaleźć zastosowanie, UODO w swoim poradniku o naruszeniach wskazał:
w odniesieniu do wyłączenia z powodu wdrożenia odpowiednich technicznych i organizacyjnych środków ochrony:
Dane zabezpieczono za pomocą najnowocześniejszego szyfrowania lub tokenizacji,
w odniesieniu do wyłączenia z powodu zastosowania środków eliminujących prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą:
Administrator natychmiast zidentyfikował osobę fizyczną, która uzyskała dostęp do danych osobowych, i podjął wobec niej działania, zanim mogła ona w jakikolwiek sposób wykorzystać te dane. Mimo to należy odpowiednio uwzględnić możliwe skutki każdego naruszenia poufności, również w tym wypadku biorąc pod uwagę charakter przedmiotowych danych,
Administrator zorientował się, że przesyłka zawierająca dane osobowe została zaadresowana na niewłaściwy adres i skontaktował się operatorem pocztowym, który nie dopuścił do dostarczenia jej wskazanemu początkowo adresatowi.
w odniesieniu do wyłączenia z powodu niewspółmiernie dużego wysiłku, którego wymagałoby zawiadomienie:
Dokumentacja administratora uległa zalaniu, a dokumenty zawierające dane osobowe przechowywano tylko w formie papierowej. W takim przypadku administrator musi wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby fizyczne zostaną poinformowane o naruszeniu w równie skuteczny sposób. Jeżeli wykonanie tego działania wymagałoby niewspółmiernie dużego wysiłku, można również uzgodnić, że informacje na temat naruszenia będą dostępne na żądanie, co może okazać się przydatne dla osób, na które naruszenie mogło wywrzeć wpływ, lecz z którymi administrator nie mógł się w inny sposób skontaktować.
W jaki sposób przesłać zawiadomienie?
RODO nie określa, w jakiej formie należy przesłać zawiadomienie do podmiotów danych.
Ostateczny jej dobór [formy zawiadomienia – przyp. red.] będzie zależał od rodzaju danych kontaktowych podmiotów danych, którymi dysponuje administrator. Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Wybierając środek komunikacji trzeba pamiętać, że zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie. W tym kontekście wadą przesyłki nadanej drogą tradycyjną jest czas niezbędny na jej doręczenie podmiotowi danych. Dla porównania zasadniczą zaletą elektronicznej formy komunikacji jest jej szybkość, co jest pożądane z uwagi na obowiązek powiadomienia podmiotu danych bez zbędnej zwłoki (art. 34 ust. 1 RODO). Forma ta umożliwia adresatowi zarówno wielokrotne zapoznanie się z komunikatem, jak i jego wydruk w razie potrzeby.
zawiadomienie o naruszeniu powinno być wysyłane do podmiotów danych z wykorzystaniem dedykowanych wiadomości i zawiadomienia te nie powinny być wysyłane wraz z innymi informacjami takimi jak okresowe wiadomości, newslettery czy standardowe wiadomości. Ma to na celu pomóc by zawiadomienie o naruszeniu było jasne i transparentne. Przykłady transparentnych metod komunikacji to bezpośrednie wiadomości (np. email, sms, bezpośrednia wiadomość), widoczny baner lub zawiadomienie na stronie internetowej, komunikacja pocztowa i widoczne ogłoszenie w mediach drukowanych. Zawiadomienie zawarte wyłącznie w notce prasowej lub blogu firmowym nie powinno być traktowane jako efektywne zawiadomienie podmiotu danych. EROD rekomenduje by administratorzy wybierali takie sposoby, które maksymalizują szanse należytego przekazania informacji do podmiotów danych. W zależności od okoliczności, może to oznaczać, że administrator powinien wykorzystać kilka metod komunikacji w przeciwieństwie do korzystania z jednego kanału kontaktowego.
Wskazane jest nadto, by język, w którym zostanie sporządzone zawiadomienie, był zrozumiały dla podmiotu danych. Oznacza to, że w niektórych sytuacjach, np. gdy zawiadomienie będzie przesyłane do cudzoziemców, może okazać się konieczne sporządzenie zawiadomienia nie tylko w języku polskim. Oznacza to też konieczność unikania technicznego żargonu.
W jakim terminie przesłać zawiadomienie?
Zawiadomienie do podmiotów danych administrator powinien wysłać niezwłocznie po tym, gdy stwierdzi, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zgodnie z wytycznymi w sprawie naruszeń „niezwłocznie” należy rozumieć jako „tak szybko jak tylko będzie to możliwe”. Więcej informacji o „momencie stwierdzenia naruszenia” znajduje się w komentarzu do art. 33 RODO.
Zawiadomienie do osób, których dane dotyczą, może być wysłane przed zgłoszeniem naruszenia do organu nadzorczego lub po jego zgłoszeniu. Jeśli zawiadomienie będzie przesłane przed zgłoszeniem do organu, UODO będzie oczekiwać, że wraz ze zgłoszeniem naruszenia otrzyma też treść przesłanego zawiadomienia (wraz z informacją, kiedy i w jaki sposób zostało ono przesłane do podmiotów danych). Jeśli zawiadomienie będzie przesyłane po zgłoszeniu naruszenia do UODO, UODO będzie oczekiwać, że administrator dośle treść przesłanego zawiadomienia w ramach zgłoszenia uzupełniającego. Jak widać, treść zawiadomienia, niezależnie od momentu jego wysłania do podmiotów danych, trafi również do UODO, a organ oceni, czy jego treść odpowiada wymogom RODO oraz jest adekwatna do naruszenia, którego dotyczy.
Jeśli UODO dojdzie do wniosku, że treść zawiadomienia nie spełnia wymogów prawnych (np. w sposób niepełny opisuje ryzyka, które wiążą się z naruszeniem, lub środki, które może podjąć podmiot danych, by zminimalizować negatywne skutki tego naruszenia), UODO może nakazać administratorowi powtórne wysłanie poprawionego zawiadomienia.
Co zrobić, jeśli administrator nie dysponuje danymi kontaktowymi osób, których dotyczy naruszenie?
Jak wskazuje UODO w swoim poradniku o naruszeniach:
jeżeli administrator nie jest w stanie zawiadomić danej osoby fizycznej o naruszeniu, ponieważ przechowywane dane są niewystarczające do skontaktowania się z tą osobą, w takim szczególnym przypadku administrator powinien ją poinformować tak szybko, jak jest to rozsądnie wykonalne (np. jeżeli osoba fizyczna skorzysta z przewidzianego w art. 15 RODO prawa do uzyskania dostępu do swoich danych osobowych i dostarczy administratorowi dodatkowe informacje wymagane do skontaktowania się z nią).
Jaką treść powinno mieć zawiadomienie?
Zawiadomienie powinno opisywać charakter naruszenia ochrony danych osobowych oraz dodatkowo przynajmniej:
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeśli administrator go wyznaczył) lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zakres informacji, których należy udzielić podmiotom danych, jest dość szeroki. Przedstawienie ich w sposób kompletny, a zarazem prosty i zrozumiały, może nastręczać trudności. Nie istnieje jednocześnie oficjalny formularz lub wzór zawiadomienia. Treść zawiadomienia administrator powinien opracować samodzielnie.
Bardzo przydatną i praktyczną pomocą może się tu okazać poradnik UODO o naruszeniach, który w szczególności wskazuje częste błędy popełniane przez administratorów przy składaniu zawiadomień. W poradniku o naruszeniach organ nadzorczy szczegółowo opisał, jakie informacje w ocenie organu należy przekazać podmiotom danych w związku z naruszeniem (w poradniku dostępne są między innymi przykłady opisu możliwych konsekwencji oraz proponowanych środków minimalizujących skutki naruszenia). W praktyce organ faktycznie często weryfikuje, czy zamieszczone w poradniku przykłady zostały uwzględnione przez administratora w zawiadomieniu (oczywiście o ile mogły one znaleźć zastosowanie w danych okolicznościach).
Warto także, by administratorzy, przygotowując treść zawiadomienia, pamiętali o konieczności zachowania spójności pomiędzy informacjami zawartymi w zgłoszeniu naruszenia do UODO oraz w zawiadomieniu.
Realizacja obowiązków w zakresie zgłaszania naruszeń jest przedmiotem zainteresowania UODO
Prawidłowość realizacji obowiązków w zakresie zgłaszania naruszeń ochrony danych osobowych jest stosunkowo często przedmiotem zainteresowania organu nadzorczego. Jako przykłady spraw, w których organ nałożył kary w związku z nieprawidłowościami w zakresie realizacji tego rodzaju obowiązków, można wskazać następujące decyzje organu:
Komentarz do art. 34
Zawiadomienie podmiotu danych o naruszeniu:
Kiedy o naruszeniu ochrony danych osobowych należy zawiadomić osobę, której dane dotyczą?
Administrator danych powinien zawiadomić o naruszeniu osobę, której dotyczy naruszenie, jeśli stwierdzi, że naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Więcej informacji o ocenie ryzyka związanego z naruszeniem znajduje się w komentarzu do art. 33 RODO. W tym miejscu, z praktycznego punktu widzenia, warto jedynie dodatkowo odnotować dotychczasowe szczególne podejście UODO do naruszeń, które dotyczą numeru PESEL. Jeśli naruszenie dotyczy numeru PESEL, można zakładać, że w ocenie UODO będzie ono się zapewne wiązać z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, które powoduje konieczność zawiadomienia o naruszeniu podmiotów danych.
Jeśli administrator zgłosi naruszenie do UODO i jednocześnie oceni, że o naruszeniu nie trzeba zawiadomić podmiotów danych, może okazać się, że UODO zakwestionuje taką ocenę i nakaże administratorowi dokonać zawiadomienia (zazwyczaj po uprzednim wezwaniu administratora do okazania dokumentu potwierdzającego dokonanie oceny ryzyka związanego z naruszeniem wraz z informacją o wykorzystanej metodologii oceny). W takiej sytuacji nie można wykluczyć ryzyka, że organ dojdzie do wniosku, że brak zawiadomienia lub nieprawidłowe przeprowadzenie oceny ryzyka związanego z naruszeniem stanowi złamanie przepisów RODO, co może narazić administratora na odpowiedzialność administracyjnoprawną.
Kiedy zawiadomienie nie jest konieczne pomimo wysokiego ryzyka związanego z naruszeniem?
Zgodnie z RODO zawiadomienie osób, których dane dotyczą, nie jest wymagane pomimo tego, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w następujących przypadkach:
Jeśli administrator zrezygnuje z zawiadamiania osób, których dane dotyczą, opierając się na jednym z ww. wyłączeń, wskazane jest, by odpowiednio uzasadnił i udokumentował swoją decyzję, w szczególności na potrzeby ewentualnych pytań ze strony organu nadzoru, który może kwestionować zasadność zastosowania danego wyłączenia. Ocena, czy w danym przypadku dane wyłączenie znajdzie zastosowanie, powinna być dokonana w odniesieniu do indywidualnego przypadku.
Jako przykłady sytuacji, w których wyłączenia mogą znaleźć zastosowanie, UODO w swoim poradniku o naruszeniach wskazał:
W jaki sposób przesłać zawiadomienie?
RODO nie określa, w jakiej formie należy przesłać zawiadomienie do podmiotów danych.
Zgodnie z poradnikiem UODO o naruszeniach:
Odnośnie do formy dokonywania zawiadomień warto dodatkowo przytoczyć informacje zawarte w opracowanych przez Europejską Radę Ochrony Danych wytycznych w sprawie naruszeń (Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0, Adopted 28 March 2023), zgodnie z którymi:
Wskazane jest nadto, by język, w którym zostanie sporządzone zawiadomienie, był zrozumiały dla podmiotu danych. Oznacza to, że w niektórych sytuacjach, np. gdy zawiadomienie będzie przesyłane do cudzoziemców, może okazać się konieczne sporządzenie zawiadomienia nie tylko w języku polskim. Oznacza to też konieczność unikania technicznego żargonu.
W jakim terminie przesłać zawiadomienie?
Zawiadomienie do podmiotów danych administrator powinien wysłać niezwłocznie po tym, gdy stwierdzi, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zgodnie z wytycznymi w sprawie naruszeń „niezwłocznie” należy rozumieć jako „tak szybko jak tylko będzie to możliwe”. Więcej informacji o „momencie stwierdzenia naruszenia” znajduje się w komentarzu do art. 33 RODO.
Zawiadomienie do osób, których dane dotyczą, może być wysłane przed zgłoszeniem naruszenia do organu nadzorczego lub po jego zgłoszeniu. Jeśli zawiadomienie będzie przesłane przed zgłoszeniem do organu, UODO będzie oczekiwać, że wraz ze zgłoszeniem naruszenia otrzyma też treść przesłanego zawiadomienia (wraz z informacją, kiedy i w jaki sposób zostało ono przesłane do podmiotów danych). Jeśli zawiadomienie będzie przesyłane po zgłoszeniu naruszenia do UODO, UODO będzie oczekiwać, że administrator dośle treść przesłanego zawiadomienia w ramach zgłoszenia uzupełniającego. Jak widać, treść zawiadomienia, niezależnie od momentu jego wysłania do podmiotów danych, trafi również do UODO, a organ oceni, czy jego treść odpowiada wymogom RODO oraz jest adekwatna do naruszenia, którego dotyczy.
Jeśli UODO dojdzie do wniosku, że treść zawiadomienia nie spełnia wymogów prawnych (np. w sposób niepełny opisuje ryzyka, które wiążą się z naruszeniem, lub środki, które może podjąć podmiot danych, by zminimalizować negatywne skutki tego naruszenia), UODO może nakazać administratorowi powtórne wysłanie poprawionego zawiadomienia.
Co zrobić, jeśli administrator nie dysponuje danymi kontaktowymi osób, których dotyczy naruszenie?
Jak wskazuje UODO w swoim poradniku o naruszeniach:
Jaką treść powinno mieć zawiadomienie?
Zawiadomienie powinno opisywać charakter naruszenia ochrony danych osobowych oraz dodatkowo przynajmniej:
Zakres informacji, których należy udzielić podmiotom danych, jest dość szeroki. Przedstawienie ich w sposób kompletny, a zarazem prosty i zrozumiały, może nastręczać trudności. Nie istnieje jednocześnie oficjalny formularz lub wzór zawiadomienia. Treść zawiadomienia administrator powinien opracować samodzielnie.
Bardzo przydatną i praktyczną pomocą może się tu okazać poradnik UODO o naruszeniach, który w szczególności wskazuje częste błędy popełniane przez administratorów przy składaniu zawiadomień. W poradniku o naruszeniach organ nadzorczy szczegółowo opisał, jakie informacje w ocenie organu należy przekazać podmiotom danych w związku z naruszeniem (w poradniku dostępne są między innymi przykłady opisu możliwych konsekwencji oraz proponowanych środków minimalizujących skutki naruszenia). W praktyce organ faktycznie często weryfikuje, czy zamieszczone w poradniku przykłady zostały uwzględnione przez administratora w zawiadomieniu (oczywiście o ile mogły one znaleźć zastosowanie w danych okolicznościach).
Warto także, by administratorzy, przygotowując treść zawiadomienia, pamiętali o konieczności zachowania spójności pomiędzy informacjami zawartymi w zgłoszeniu naruszenia do UODO oraz w zawiadomieniu.
Realizacja obowiązków w zakresie zgłaszania naruszeń jest przedmiotem zainteresowania UODO
Prawidłowość realizacji obowiązków w zakresie zgłaszania naruszeń ochrony danych osobowych jest stosunkowo często przedmiotem zainteresowania organu nadzorczego. Jako przykłady spraw, w których organ nałożył kary w związku z nieprawidłowościami w zakresie realizacji tego rodzaju obowiązków, można wskazać następujące decyzje organu:
https://uodo.gov.pl/decyzje/DKN.5131.8.2021
https://uodo.gov.pl/decyzje/DKN.5110.12.2021
https://uodo.gov.pl/decyzje/DKN.5131.33.2021.