Nie każde naruszenie ochrony danych osobowych jest naruszeniem przepisów RODO

27 lutego 2025

Fakt wystąpienie naruszenia ochrony danych osobowych nie oznacza, że w podmiocie doszło do naruszenia przepisów RODO. Naruszenie przepisów RODO wynika z postępowania niezgodnego z przepisami prawa, które może (choć nie musi) wpływać na powstawanie incydentów bezpieczeństwa. Każde naruszenie badane jest przez UODO indywidualnie i szczegółowo. 

Przykłady:

  1. Jedna z partii politycznych nie wdrożyła odpowiednich środków  bezpieczeństwa danych osobowych wymaganych przez RODO i nie  zabezpieczyła się na wypadek nieoczekiwanych zdarzeń. W wyniku błędu  technicznego podczas aktualizacji systemu informatycznego członek zespołu  IT nieświadomie zmodyfikował dane osobowe w bazie sympatyków partii. 

W tym przypadku doszło do naruszenia ochrony danych osobowych, a  administrator naruszył przepisy RODO. Ponadto okoliczności zdarzenia wskazują, że incydent bezpieczeństwa mógł być wynikiem praktyk administratora niezgodnych z RODO, a jego wystąpieniu dało się zapobiec.

  1. Firma marketingowa gromadziła dane osobowe klientów, nie uzyskawszy na to wyraźnej zgody (i nie definiując przy tym innej przesłanki legalizującej proces przetwarzania), oraz nie informowała ich o celach przetwarzania. Dane były jednak przechowywane w bezpieczny sposób, a w organizacji nie dochodziło do incydentów bezpieczeństwa. Po pewnym czasie nowo zatrudniony inspektor ochrony danych poinformował kierownictwo firmy o naruszaniu przez nią zasady legalności przetwarzania i braku realizacji obowiązków informacyjnych. W odpowiedzi organizacja w pełni dostosowała swoją działalność do wymogów RODO.

W tej sytuacji nie doszło do naruszenia ochrony danych osobowych, mimo że administrator naruszył przepisy RODO.

  1. Szpital zapewnił najwyższy standard ochrony danych osobowych i zgodnie z zasadami RODO wdrożył odpowiednie środki bezpieczeństwa przetwarzania. Mimo to padł ofiarą zaawansowanego cyberataku wykorzystującego nieznaną wcześniej lukę w oprogramowaniu (tzw. atak typu zero-day). Przestępcy uzyskali dostęp do bazy danych pacjentów i skopiowali wrażliwe informacje medyczne.

W tym przypadku doszło do naruszenie ochrony danych osobowych wystąpiło, choć administrator nie naruszył przepisów RODO.

Mimo że RODO nakłada na administratorów obowiązek zapewnienia bezpieczeństwa przetwarzania, nie da się całkowicie wyeliminować ryzyka pojawiania się naruszeń ochrony danych osobowych. Celem RODO nie jest zapewnienie absolutnej nienaruszalności danych osobowych, ale zagwarantowanie, że organizacje:

  1. podejmą wszelkie adekwatne kroki, aby minimalizować ryzyko oraz chronić prawa i wolności osób, których dane dotyczą, na najwyższym możliwym poziomie, 

  2. odpowiednio zareagują w razie wystąpienia naruszenia ochrony danych osobowych.

Źródło: uodo.gov.pl

Jeśli administrator ma odpowiednie procedury i jest gotowy wykazać, że właściwie zaradził naruszeniu ochrony danych – może uniknąć sankcji przewidzianych w prawie.

W celu wykazania zgodności z RODO administratorzy powinni:

- zapewniać regularne szkolenia dla swoich pracowników z zasad przetwarzania i ochrony danych osobowych,

- wdrożyć procedury identyfikacji i nadzoru naruszeń bezpieczeństwa danych,

- opracować zasady reagowania na występujące naruszenia ochrony danych, w tym zasady oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą w wyniku stwierdzonego naruszenia ochrony danych osobowych,

- regularnie testować wprowadzone zabezpieczenia danych osobowych i w razie potrzeby je wzmacniać,

- dokumentować wszelkie naruszenia i dokonywać ich analizy.

Skorzystaj ze wsparcia specjalistów – skontaktuj się z nami.