Naruszenie ochrony danych — kiedy i jak zgłosić je do UODO w 72 godziny

Czym jest naruszenie ochrony danych

Naruszenie ochrony danych osobowych (data breach) to — zgodnie z art. 4 pkt 12 RODO — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych.

To pojęcie szersze niż „wyciek". Naruszeniem jest także:

• utrata pendrive'a, laptopa lub telefonu z danymi klientów,
• wysłanie e-maila z danymi do niewłaściwego adresata,
• atak ransomware szyfrujący bazę zamówień,
• przypadkowe upublicznienie listy klientów,
• zgubienie dokumentów papierowych z danymi.

Każdy sklep internetowy jest narażony na takie zdarzenia — dlatego procedura reagowania to nie luksus, lecz obowiązek.

Obowiązek zgłoszenia do UODO — zasada 72 godzin

Zgodnie z art. 33 RODO, administrator zgłasza naruszenie organowi nadzorczemu (w Polsce — Prezesowi UODO) bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie nastąpi później, trzeba dołączyć wyjaśnienie opóźnienia.

Wyjątek: zgłoszenie nie jest wymagane, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób. Ale to Ty musisz tę ocenę przeprowadzić i — co kluczowe — udokumentować, dlaczego uznałeś, że ryzyka nie ma.

Jak ocenić ryzyko naruszenia

Przed decyzją o zgłoszeniu oceń m.in.:

• Rodzaj danych — imię i e-mail to inne ryzyko niż dane płatnicze, dane logowania czy dokumenty tożsamości.
• Skalę — ile osób dotyczy naruszenie.
• Łatwość identyfikacji osób na podstawie ujawnionych danych.
• Możliwe skutki — kradzież tożsamości, oszustwa, straty finansowe, naruszenie prywatności.
• Zabezpieczenia — czy dane były zaszyfrowane (zaszyfrowany, skradziony nośnik to niższe ryzyko).

W razie wątpliwości bezpieczniej zgłosić. UODO traktuje brak zgłoszenia poważniej niż zgłoszenie ostrożnościowe.

Co musi zawierać zgłoszenie do UODO

Zgłoszenie (art. 33 ust. 3 RODO) powinno opisywać co najmniej:

1. Charakter naruszenia — co się stało, jakie dane i ilu osób dotyczy.

2. Dane kontaktowe — punkt kontaktowy (np. IOD), gdzie można uzyskać więcej informacji.

3. Możliwe konsekwencje naruszenia.

4. Podjęte lub proponowane środki — co zrobiłeś, by zaradzić naruszeniu i ograniczyć skutki.

Jeśli nie znasz od razu wszystkich informacji, możesz zgłaszać je etapami — najpierw to, co wiesz, potem uzupełnienia.

Kiedy trzeba powiadomić klientów

Oprócz zgłoszenia do UODO, art. 34 RODO wymaga zawiadomienia osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Zawiadomienie powinno być napisane jasnym językiem i zawierać opis naruszenia, dane kontaktowe i zalecenia (np. zmiana haseł, czujność wobec phishingu).

Zawiadomienia klientów można uniknąć, jeśli np. dane były zaszyfrowane albo administrator podjął działania eliminujące wysokie ryzyko. To kolejny powód, by stosować szyfrowanie.

Rejestr naruszeń — obowiązkowy zawsze

Niezależnie od tego, czy zgłaszasz naruszenie do UODO, musisz prowadzić wewnętrzny rejestr naruszeń (art. 33 ust. 5 RODO). Dotyczy to każdego naruszenia — nawet tego, którego nie zgłosiłeś. Rejestr ma zawierać okoliczności, skutki i podjęte działania. To dokument, który UODO sprawdza w pierwszej kolejności podczas kontroli.

Procedura reagowania krok po kroku

1. Wykryj i zatrzymaj — odetnij źródło naruszenia (np. cofnij dostęp, zmień hasła).

2. Oceń — jakie dane, ile osób, jakie ryzyko.

3. Udokumentuj — wpisz zdarzenie do rejestru naruszeń.

4. Zgłoś do UODO w 72 godziny, jeśli występuje ryzyko.

5. Powiadom klientów, jeśli ryzyko jest wysokie.

6. Wyciągnij wnioski — zaktualizuj zabezpieczenia, by uniknąć powtórki.

Klucz to czas — 72 godziny mijają szybko, zwłaszcza w weekend. Gotowa procedura pozwala działać od razu, bez improwizacji.

Najczęstsze błędy sklepów

• Brak procedury — zespół nie wie, co robić po wykryciu incydentu.
• Przekroczenie 72 godzin przez zwłokę w ocenie.
• Niezapisanie naruszenia w rejestrze, bo „nie zgłaszaliśmy do UODO".
• Brak powiadomienia klientów mimo wysokiego ryzyka.
• Brak dokumentacji uzasadniającej decyzję o niezgłaszaniu.

Gotowe dokumenty na wypadek naruszenia

Warto przygotować je zanim dojdzie do incydentu. Praktyczny zestaw to: procedura zgłaszania naruszeń ochrony danych z kategorii Procedury RODO, rejestr naruszeń ochrony danych z kategorii Rejestry RODO oraz wzór zgłoszenia naruszenia do UODO.

Ten artykuł to ogólny poradnik. Ocena, czy konkretne naruszenie wymaga zgłoszenia, zawsze zależy od okoliczności indywidualnego przypadku.