Urząd Ochrony Danych Osobowych opublikował 20 lutego br. zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych. Jest to pierwsza tak znacząca aktualizacja od momentu wdrożenia RODO, czyli od 2018 roku. Dokument ma na celu nie tylko zapewnienie zgodności działań administratorów z aktualnymi wymogami rozporządzenia, ale także wsparcie firm w minimalizowaniu ryzyka związanego z potencjalnymi incydentami.

(Dalsza część artykułu pod materiałem wideo)

Zobacz film edukacyjny: Podwyższone koszty uzyskania przychodu – najczęstsze problemy

podwyższone koszty

Zapraszamy na film, w którym ekspertki CRIDO omawiają ryzyka i zalety struktury podwyższonych kosztów uzyskania przychodów pracowniczych.

Kluczowe zmiany w nowym poradniku UODO

Precyzyjne rozróżnienie między naruszeniem ochrony danych a naruszeniem RODO

Nowy poradnik wyraźnie rozgranicza dwa kluczowe pojęcia. Naruszenie ochrony danych osobowych to każdy incydent, który prowadzi lub może prowadzić do przypadkowego lub nieuprawnionego zniszczenia, utraty, modyfikacji lub dostępu do danych. Natomiast naruszenie RODO odnosi się do niespełnienia obowiązków prawnych wynikających z przepisów. Istotne jest, że samo wystąpienie naruszenia ochrony danych nie oznacza automatycznie naruszenia przepisów o ochronie danych osobowych, ani nie skutkuje sankcjami administracyjnymi, jeśli administrator wdrożył odpowiednie środki bezpieczeństwa - w przeciwieństwie do naruszenia RODO, które wiąże się dla administratora z ryzykiem poważnych konsekwencji, w tym przede wszystkim kar finansowych nakładanych przez Prezesa UODO.

Rozszerzona definicja naruszenia i klasyfikacja ryzyka

UODO przyjmuje szersze rozumienie naruszenia ochrony danych, obejmując również sytuacje, które „mogą doprowadzić" do nieuprawnionego dostępu do danych, a nie tylko te, które już do niego doprowadziły. Dodatkowo, poradnik wprowadza trójstopniową klasyfikację ryzyka:

  • brak ryzyka - brak obowiązku zgłoszenia
  • ryzyko - konieczność zgłoszenia naruszenia do UODO
  • wysokie ryzyko - obowiązek zgłoszenia do UODO oraz zawiadomienia osób, których dane dotyczą

Co istotne, według interpretacji UODO tylko całkowity brak ryzyka zwalnia z obowiązku zgłoszenia naruszenia do organu nadzorczego, co stanowi bardziej restrykcyjne podejście niż wcześniej stosowane.

Koncepcja „zaufanego odbiorcy"

Nowym elementem jest wprowadzenie koncepcji „zaufanego odbiorcy” – podmiotu, który przypadkowo otrzymał dane osobowe, ale dzięki dotychczasowej pozytywnej współpracy z administratorem można uznać go za godnego zaufania. Aby podmiot mógł zostać uznany za „zaufanego odbiorcę”, administrator musi pozostawać z nim w stałych relacjach biznesowych lub organizacyjnych oraz znać jego procedury bezpieczeństwa i historię współpracy.

Doprecyzowanie roli inspektora ochrony danych (IOD)

Poradnik jednoznacznie wskazuje, że IOD pełni funkcję doradczą i nie powinien wykonywać zadań leżących w kompetencjach administratora. IOD nie powinien zgłaszać naruszeń w imieniu administratora, zawiadamiać osób, których dane dotyczą, dokumentować naruszeń ani podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratora. Takie podejście ma na celu uniknięcie konfliktu interesów i zachowanie niezależności IOD.

Wymogi dotyczące dokumentacji naruszeń

UODO kładzie nacisk na należyte dokumentowanie każdego naruszenia, nawet jeśli nie zostało ono zakwalifikowane jako naruszenie ochrony danych osobowych. Poradnik zaleca tworzenie i regularne aktualizowanie wewnętrznego rejestru naruszeń, który powinien zawierać wszystkie istotne informacje z poszanowaniem zasady minimalizacji danych.

Komentarz CRIDO

Praktyczne skutki nowego poradnika dla administratorów danych

Poradnik Urzędu Ochrony Danych Osobowych (UODO) stanowi przykład tzw. soft law, czyli niewiążących prawnie wytycznych, które jednak w praktyce znajdują szerokie zastosowanie. Po pierwsze, poradnik ten dostarcza interpretacji wątpliwości pojawiających się podczas analizy przepisów dotyczących ochrony danych osobowych, co ułatwia ich stosowanie w codziennej praktyce. Po drugie, wytyczne zawarte w poradniku można uznać za tzw. interpretację operatywną, czyli stanowisko organu odpowiedzialnego za egzekwowanie przepisów w przypadku ich naruszenia. W związku z tym, choć wytyczne te nie mają charakteru wiążącego, ich uwzględnienie może znacząco ograniczyć ryzyko niezgodności z prawem oraz potencjalnych sankcji.

Co się zmieni?

Nowy poradnik UODO bez wątpienia zwiększy liczbę zgłaszanych naruszeń ochrony danych osobowych, potencjalnie nawet kilkukrotnie. Jest to efekt zarówno rozszerzonej definicji naruszenia, jak i bardziej restrykcyjnej interpretacji obowiązku zgłaszania incydentów do organu nadzorczego.

Dla administratorów danych oznacza to konieczność:

  1. przeglądu i aktualizacji wewnętrznych procedur dotyczących wykrywania, dokumentowania i zgłaszania naruszeń,
  2. rewizji przyjętych metod oceny ryzyka, które dotychczas opierały się na klasyfikacjach ENISA z czterostopniową skalą, gdzie niskie ryzyko (a nie jego całkowity brak) wyłączało obowiązek zgłoszenia.

Dobrze udokumentowane procedury i konsekwentne ich przestrzeganie będą stanowić kluczowy element tzw. „defence file”, który w przypadku wystąpienia incydentu pozwoli administratorowi wykazać dochowanie należytej staranności, zgodnie z zasadą rozliczalności przewidzianą w RODO.

Istotne będzie również zredefiniowanie relacji z kontrahentami w kontekście koncepcji „zaufanego odbiorcy” oraz przegląd zakresu obowiązków inspektorów ochrony danych, aby uniknąć potencjalnego naruszenia ich niezależności. Warto rozważyć zwiększenie częstotliwości szkoleń dla pracowników oraz wzmocnienie technicznych środków wykrywania incydentów.

Zapoznaj się z pełną ofertą: Human Advisory Services | Prawo spółek

Zapisz się na nasz newsletter >>HRstacja | Zmiany w prawie pracy