3 najczęstsze naruszenia ochrony danych w 2025 roku – Twoja firma też je popełnia?
Ochrona danych osobowych stanowi dla każdej firmy wyzwanie. Rozwijająca się technologia otwiera możliwości rozwoju dla działalności opartej coraz bardziej na cyfryzacji, choć jednocześnie powoduje, że cyberbezpieczeństwo staje się źródłem równie dużego zagrożenia. Pojawiające się nowe wytyczne mają wspomagać administratorów, ale zarazem stają się za każdym razem bardziej wymagające. Opublikowany w lutym 2025 r. nowy poradnik prezesa Urzędu Ochrony Danych Osobowych[1] prowadził zmianę w wytycznych dotyczących zgłaszania naruszenia danych osobowych – teraz, aby uznać, że incydent powinien zostać zgłoszony do organu nadzorczego, wystarczy, że występuje jakiekolwiek ryzyko dla praw lub wolności podmiotów danych, nawet jeśli to ryzyko jest niskie – podpowiada kancelaria Pałucki & Szkutnik
Zewnętrzne ataki hakerskie faktycznie stanowią coraz poważniejsze zagrożenie ze względu na rosnące możliwości cyberprzestępców. Niezmiennie jednak w każdej organizacji najczęstszymi źródłami naruszeń są błędy i niedopatrzenia wewnętrzne pracowników i samego administratora.
1. Brak wdrożenia wystarczających środków technicznych i organizacyjnych
Rok 2025 wszedł już na dobre, ale żeby przyjrzeć się efektywniej temu, co działo się na polu naruszeń warto sięgnąć 6 miesięcy wstecz. Od października 2024 r. głośno było o co najmniej 4 decyzjach Prezesa UODO, które dotyczyły naruszeń danych związanych z brakiem wdrożenia środków technicznych i organizacyjnych: z dnia 9 października 20204 r. nr DKN.5131.1.2021, z dnia 12 listopada 2024 r. nr DKN.5130.2415.2020, z dnia 12 listopada 2024 r. nr DKN.5131.9.2024 oraz z dnia 17 stycznia 2025 r. nr DKN.5131.4.2024.
Wdrożenie środków ochrony danych w fazie projektowania oraz domyślna ochrona danych stanowią kluczowe zadanie administratora, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Do tych obowiązków zalicza się również regularne poddawanie przeglądom tych środków oraz ich uaktualnianie (art. 24 ust. 1). W swojej firmie, jako administrator, masz obowiązek wdrożyć stosowne środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych (art. 25 ust. 1). Należy przy tym uwzględnić takie środki jak (art. 32 ust. 1):
· pseudonimizację i szyfrowanie danych osobowych;
· zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
· zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
· regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
· szkolenia dla pracowników, dbające o ich aktualną i pełną wiedzę na temat ochrony przetwarzanych danych.
W wymienionych decyzjach za naruszenia tych przepisów zostały nałożone kary w wysokości nawet do ponad 350 tys. zł na firmę. Incydenty związane były, między innymi, z naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).
2. Brak powiadomienia osób, których dane dotyczą oraz organu nadzorczego
„Zgłoszenie naruszenia ochrony danych osobowych” to oficjalne poinformowanie organu nadzorczego o naruszeniu, które może wpłynąć na poufność, integralność lub dostępność danych osobowych[2]. Ma ono na celu zminimalizowanie potencjalnych szkód oraz konsekwencji incydentu. Administratorzy mają obowiązek zgłoszenia naruszenia ochrony danych osobowych, które mogą stwarzać ryzyko naruszenia praw lub wolności osób fizycznych – wyjątkiem jest sytuacja, kiedy administrator będzie w stanie udowodnić brak takiegoryzyka. W poradniku jest również wyraźnie podkreślone, że samo zgłoszenie naruszenia nie świadczy o winie zgłaszającego, nie przesądza o naruszeniu przez niego przepisów RODO i nie wszczyna automatycznie żadnego formalnego postępowania. Wniosek – zawsze lepiej zgłosić, nawet jeśli incydent nie miałby w ocenie Urzędu okazać się poważnym naruszeniem.
Zgodnie z poradnikiem UODO administrator powinien zgłosić do organu nadzorczego naruszenie, które może powodować nawet niskie ryzyko. Inaczej się ma sprawa z powiadomieniem o naruszeniu osób, których dane dotyczą. Tutaj ten obowiązek występuje, kiedy naruszenia ochrony danych osobowych mogą powodować wysokie ryzyko, czyli potencjalne konsekwencje incydentu mogą mieć znaczną wagę i/lub duże prawdopodobieństwo wystąpienia[3].
Dwie decyzje Prezesa UODO z końcówki poprzedniego roku – z dnia 17 grudnia 2024 r. nr DKN.5131.15.2024 oraz z dnia 26 listopada 2024 r. nr DKN.5131.6.2024 – dotyczą naruszenia dwóch artykułów RODO. Art. 34 ust. 1 i 2, czyli bez zbędnej zwłoki zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, a także art. 33 ust. 1 – w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych osobowych zgłoszenie go do organu nadzorczego. Jeden z incydentów dotyczył omyłkowego wysłania maila z danymi osobowymi do nieupoważnionej osoby trzeciej, czyli sytuacji, która zdarza się nierzadko, być może również w Twojej firmie.
3. Naruszenia dotyczące inspektora ochrony danych osobowych
Przypomnę, że wielu przedsiębiorców ma obowiązek wyznaczenia IOD-a. Jest tak w wypadku, gdy:
· główną działalnością administratora lub podmiotu przetwarzania są operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
· występuje przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (z art. 9 RODO) albo danych, które dotyczą wyroków skazujących i czynów zabronionych (z art. 10 RODO).
Prezes UODO podkreśla w nowym poradniku, że inspektor danych osobowych powinien być włączany we wszystkie sprawy, które dotyczą ochrony danych osobowych, w tym niezwłocznie poinformowany o wystąpieniu naruszenia. Ma to umożliwić mu monitorowanie procesu jego obsługi już od najwcześniejszego etapu. IOD nie może jednak wykonywać zadań, za które odpowiadają administratorzy lub podmioty przetwarzające, czyli, między innymi, zgłaszać naruszenia do organu nadzorczego oraz powiadamiać osób, których dane dotyczą, o wystąpieniu naruszenia.
Na temat wyznaczenia inspektora ochrony danych mówi art. 37 RODO, natomiast o statusie IOD-a – art. 38. W związku z naruszeniem właśnie tych przepisów Prezes UODO wydał decyzje – z dnia 18 grudnia 2024 r. nr DKN.5112.14.2022 oraz z dnia 18 października 2024 r. nr DKN.5131.7.2024. Przykładowo wyznaczył karę w wysokości 25 tys. zł za brak wyznaczenia inspektora danych osobowych, a w konsekwencji brak publikacji danych kontaktowych inspektora ochrony danych i brak zawiadomienia o tych danych organu nadzorczego. Drugi z przykładów, z grudnia 2024 r., był dość głośny ze względu na olbrzymią karę za nieprawidłowo wyznaczonego IOD-a przez jeden z banków. Grzywna w wysokości prawie 217 tys. zł dotyczyła niezapewnieniu administratora niezależności inspektora ochrony danych osobowych, czyli by podlegał bezpośrednio najwyższemu kierownictwu administratora oraz nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.
Źródła naruszeń danych osobowych mogą być wielorakie i trudno zamknąć je w określonej liście. Jako administrator musisz zachować czujność, a przede wszystkim pozostawać na bieżąco z pojawiającymi się nowymi wytycznymi i regularnie przeprowadzać audyty RODO. Dużą pomocą dla Ciebie może być wyznaczenie IOD-a w Twojej firmie, który będzie wspierał, aby działania przedsiębiorstwa były zgodne z przepisami RODO.
[1] Poradnik na gruncie UODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, https://uodo.gov.pl/pl/138/3561.
[2] Tamże.
[3] Tamże.
Bądź na bieżąco
