Wyciek danych osobowych – co zrobić, komu zgłosić i jak uniknąć kary

Jeśli w Twojej firmie doszło (lub mogło dojść) do wycieku danych osobowych, masz trzy ścieżki: zgłoszenie do UODO i użytkowników, zgłoszenie tylko do UODO albo brak zgłoszenia. Wybór zależy od poziomu ryzyka naruszenia praw osób, których dane dotyczą. Poniżej znajdziesz konkretne kryteria oceny, procedurę działania i konsekwencje każdej opcji.

Pierwszy krok: analiza naruszenia danych

Zanim podejmiesz jakąkolwiek decyzję, zbadaj, czy faktycznie doszło do incydentu RODO – czyli naruszenia ochrony danych osobowych.

Co zrobić od razu

1. Zaangażuj programistów lub informatyków – ustal, na czym dokładnie polegał incydent (włamanie, błąd konfiguracji, nieautoryzowany dostęp).
2. Oceń skutki z perspektywy osoby, której dane wyciekły – nie z perspektywy firmy. Pytanie brzmi: co grozi tej osobie?
3. Zastosuj środki zaradcze – zminimalizuj skutki naruszenia jeszcze zanim zaczniesz rozważać zgłoszenie.
4. Zabezpiecz dowody i ślady – logi, screeny, raporty techniczne. Będą potrzebne przy ewentualnej kontroli UODO.

Co ustalasz na podstawie analizy

• Jakie dane wyciekły (nick i login to co innego niż PESEL czy dane płatnicze).
• Ile osób dotyczy incydent.
• Czy dane były zaszyfrowane i czy szyfrowanie mogło zostać złamane.
• Jakie ryzyko naruszenia praw lub wolności grozi osobom, których dane wyciekły.

Dopiero wyniki tej analizy pozwalają wybrać jedną z trzech ścieżek działania.

Gdzie i kiedy zgłosić naruszenie RODO – trzy opcje

Opcja I: Zgłoszenie do UODO bez zawiadamiania użytkowników

Wybierz tę ścieżkę, jeśli ryzyko naruszenia praw lub wolności osób fizycznych nie jest wysokie.

Okoliczności, które mogą uzasadniać brak wysokiego ryzyka:

• Dane były zabezpieczone kryptograficznie – nawet w przypadku włamania nie doszło do ich odszyfrowania.
• Brak śladów włamania – ustalenia prowadzą do wniosku, że do wycieku w ogóle nie doszło (np. mimo fałszywych twierdzeń innych podmiotów).
• Zakres danych jest ograniczony – wyciekły np. jedynie nicki lub loginy, a nie dane wrażliwe (PESEL, dane płatnicze).

Co zawrzeć w zgłoszeniu do UODO

• Opis całej sytuacji – co się wydarzyło, kiedy i jak.
• Wyjaśnienie, dlaczego oceniasz ryzyko jako niskie (np. brak dowodów na wyciek, skuteczne szyfrowanie).
• Informację o zastosowanych środkach zaradczych.

Ryzyka tej opcji

• UODO może wszcząć kontrolę – upewnij się, że dokumentacja RODO jest kompletna i aktualna.
• UODO może ocenić sytuację inaczej i nakazać powiadomienie użytkowników.

Opcja II: Zgłoszenie do UODO i powiadomienie użytkowników

Wybierz tę ścieżkę, jeśli masz pewność, że doszło do naruszenia i może ono skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

W praktyce – jeśli potwierdzi się wyciek danych, ryzyko najczęściej jest wysokie.

Co zawrzeć w powiadomieniu użytkowników

• Dokładny opis sytuacji – co się stało, jakie dane mogły zostać naruszone.
• Informację o podjętych środkach zaradczych.
• Jeśli z ustaleń wynika, że dane nie zostały odszyfrowane lub wykorzystane – wpisz to wprost. Możesz wskazać, że zgłoszenie wynika z dobrej praktyki i dbałości o interesy użytkowników.

Ryzyka tej opcji

• Ryzyko wizerunkowe – incydenty bezpieczeństwa są źle odbierane, szczególnie jeśli Twój biznes opiera się na przetwarzaniu danych (np. e-commerce).
• Ryzyko kontroli UODO – tak samo jak w Opcji I. Pełna dokumentacja RODO to warunek bezpieczeństwa.

Opcja III: Brak zgłoszenia do UODO i brak powiadomienia użytkowników

Zgodnie z art. 33 ust. 1 RODO – jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osoby fizycznej, nie musisz zgłaszać incydentu ani do UODO, ani do użytkowników.

Ta opcja dotyczy sytuacji, w których doszło do incydentu (naruszenia ochrony danych), ale jego skutki dla osób fizycznych są znikome.

Kara za naruszenie RODO – ile ryzykujesz

Brak zgłoszenia naruszenia danych lub brak poinformowania użytkowników może kosztować:

• do 10 milionów euro, lub
• 2% rocznego obrotu przedsiębiorstwa.

Przypadek Morele.net – lekcja z 2020 roku

Morele.net zapłaciło 2,8 mln zł kary za wyciek ponad 2 mln rekordów danych osobowych. Co ważne – kara nie została wymierzona za sam wyciek. W toku kontroli UODO ustalił, że firma:

• nie dopełniła obowiązków informacyjnych,
• za późno podjęła czynności zaradcze,
• nie zminimalizowała skutków wycieku na czas.

Zasada decyzji

Jeśli istnieje ryzyko, że doszło do wycieku danych – przyjmij najgorszy scenariusz. Zawiadom przynajmniej UODO. Upewnij się, że z pomocą specjalistów (informatycy, programiści) zabezpieczyłeś wszystkie dowody i ślady oraz zrobiłeś wszystko, co możliwe, by zminimalizować skutki.

Jeśli potrzebujesz pomocy prawnej w obsłudze incydentu RODO – skontaktuj się z nami.

Najczęściej zadawane pytania

Co zrobić od razu, gdy w firmie doszło do wycieku danych osobowych? Zaangażuj programistów lub informatyków, żeby ustalić, na czym dokładnie polegał incydent – włamanie, błąd konfiguracji czy nieautoryzowany dostęp. Równolegle zabezpiecz dowody i ślady (logi, screeny, raporty techniczne) oraz zastosuj środki zaradcze, zanim zaczniesz rozważać zgłoszenie. Oceń skutki z perspektywy osoby, której dane wyciekły – nie z perspektywy firmy – i ustal zakres danych, liczbę osób dotkniętych incydentem oraz to, czy dane były zaszyfrowane.

Kiedy wyciek danych trzeba zgłosić do UODO, a kiedy także poinformować użytkowników? Masz trzy ścieżki: jeśli ryzyko naruszenia praw osób fizycznych nie jest wysokie – zgłaszasz tylko do UODO; jeśli ryzyko jest wysokie – zgłaszasz do UODO i powiadamiasz użytkowników; jeśli jest mało prawdopodobne, by naruszenie skutkowało jakimkolwiek ryzykiem dla osób fizycznych – nie musisz zgłaszać nikomu. W praktyce, jeśli potwierdzi się wyciek danych, ryzyko najczęściej ocenia się jako wysokie, co oznacza obowiązek zgłoszenia do UODO i zawiadomienia użytkowników.

Jak ocenić, czy naruszenie danych oznacza wysokie ryzyko dla osób, których dane dotyczą? Sprawdź, jakie dane wyciekły – wyciek nicków i loginów to zupełnie inny poziom ryzyka niż wyciek PESEL-i czy danych płatniczych. Weź pod uwagę, ile osób dotyczy incydent, czy dane były zaszyfrowane i czy szyfrowanie mogło zostać złamane. Jeśli dane były skutecznie zabezpieczone kryptograficznie, zakres wycieku jest ograniczony, a brak jest śladów włamania – możesz uzasadnić, że ryzyko nie jest wysokie.

Co powinno znaleźć się w zgłoszeniu naruszenia do UODO i w informacji do użytkowników? W zgłoszeniu do UODO opisz, co się wydarzyło, kiedy i jak, wyjaśnij, dlaczego oceniasz ryzyko na danym poziomie (np. brak dowodów na wyciek, skuteczne szyfrowanie), oraz wskaż zastosowane środki zaradcze. W powiadomieniu użytkowników podaj dokładny opis sytuacji, informację o podjętych środkach zaradczych, a jeśli z ustaleń wynika, że dane nie zostały odszyfrowane lub wykorzystane – wpisz to wprost i wskaż, że zgłoszenie wynika z dobrej praktyki i dbałości o interesy użytkowników.

Jakie kary grożą za brak zgłoszenia wycieku danych i czego uczy przypadek Morele.net? Brak zgłoszenia naruszenia lub brak poinformowania użytkowników może kosztować do 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa. Morele.net zapłaciło 2,8 mln zł kary za wyciek ponad 2 mln rekordów – UODO wymierzył karę nie za sam wyciek, lecz za niedopełnienie obowiązków informacyjnych, zbyt późne podjęcie czynności zaradczych i niezminimalizowanie skutków wycieku na czas.