Analizę warto rozpocząć od przypomnienia, że prawo to nie tylko to, co jest w kodeksach, lecz także jego interpretacja. Często nawet w nauce prawa konfrontuje się: law in books vs. law in action. Sam przepis, bez znajomości interpretacji, niewiele mówi. Niedawno Prezes UODO zapowiedział, że zmieni swoją praktykę. Tak więc prawo pisane w zakresie ochrony danych osobowych zostaje to samo, ale zmieni się jego interpretacja – niestety na niekorzyść administratorów. Obowiązki te dotyczą również nadleśnictw.

Poprzednia wersja Obowiązków administratorów związanych z naruszeniami ochrony danych osobowych pochodzi z 2019 roku. Obecna, z 2025 r., bez dwóch zdań zmieni podejście do zgłaszania naruszeń prawa – bardziej restrykcyjnie rozumie ona przepisy i zmniejsza znacząco próg zgłoszeń naruszeń. W sposób oczywisty będzie to również powodować, że każdy administrator, w tym nadleśnictwo, będzie zmuszony więcej zgłaszać do organu nadzorczego.

Stan prawny

Aby mówić o obowiązku zgłaszania naruszeń, należy przypomnieć, że naruszenie danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Tak więc podstawowym obowiązkiem administratora jest zapobieganie naruszeniom. Gdyby jednak takie naruszenie miało miejsce, pojawia się następna powinność: obowiązek zgłaszania naruszeń. Stosownie do art. 33 ust 1. RODO wskazano, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Powyższy przepis zawiera kilka istotnych aspektów, ale z punktu widzenia artykułów najistotniejsze jest to, że gdy następuje ryzyko naruszenia praw i wolności osób fizycznych, administrator maksymalnie w czasie 72 godzin odkąd się dowiedział, powinien, tj. ma obowiązek, zgłosić to do organu nadzorczego. Od powyższego jest zwolniony w jednym przypadku – gdy takie naruszenie praw i wolności nie niesie za sobą wskazanego ryzyka.

W swoich decyzjach prezes UODO nieraz się do powyższego odnosił. Przykładowo, w jednej z decyzji wskazał, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/67 (Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dn. 12 marca 2024 r. DKN.5131.28.2023). Oczywiście taka ocena powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem, a nie administratora (Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dn. 1 marca 2023 r. DKN.5131.49.2021).

W motywie 85 RODO wskazano, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Nowe podejście prezesa UODO

Co istotne, w nowym poradniku prezes UODO wskazuje, że mimo że następstwa te bywają bardzo poważne, należy również zwracać uwagę na pozornie nieistotne uciążliwości dla osób, których dane są przetwarzane, takie jak dyskomfort, niepokój czy stres. Organizacje powinny uwzględniać szeroki katalog możliwych skutków naruszeń ochrony danych osobowych. Należy wskazać, że wydawałoby się tak trywialne uciążliwości jak dyskomfort, niepokój czy stres nie stanowią jeszcze ryzyka naruszeń prawa i wolności. Już samo to powoduje, że praktycznie każde naruszenie danych może powodować taki dyskomfort lub niepokój. Już samo takie niedookreślone kryterium oznacza, że trzeba będzie zgłaszać prawie wszystko. Jak w praktyce będzie można udowodnić prezesowi UODO, że naruszenie nie powoduje dyskomfortu, niepokoju czy stresu? Trzeba by robić jakieś badania psychologiczne, które i tak zapewne byłyby podważone. Pozostaje tylko jedno – nawet w przypadku błahego naruszenia, trzeba zgłaszać!

Jest to o tyle istotne, że w poradniku można przeczytać, że do naruszenia ochrony danych osobowych dochodzi niezależnie od tego, czy niepożądane konsekwencje dla osób fizycznych rzeczywiście wystąpią. Tak więc należy uwzględnić potencjalną możliwość naruszenia, a nie rzeczywistą jego realizację. Jak wskazano dalej: ocena dotycząca tego, czy taka sytuacja może się wydarzyć i jak może być dotkliwa dla jednej lub więcej osób, stanowi jeden z kluczowych obowiązków administratorów związanych z naruszeniami ochrony danych osobowych.

Naruszenie bezpieczeństwa

Organ wskazuje, że naruszenie bezpieczeństwa nastąpi, gdy dojdzie do naruszenia poufności danych, naruszenia integralności danych, naruszenia dostępności danych. Oczywiście nie chodzi o to, aby wszystkie trzy naruszenia wystąpiły kumulatywnie, a wystarczy, by ziściło się chociażby jedno z trzech. Przy czym organ wskazuje przykłady, kiedy dojdzie do każdego z powyższych.

Naruszeniem poufności będzie w szczególności:

• ustne przekazanie osobom nieuprawnionym informacji będących danymi osobowymi, powziętych w związku z wykonywanym zawodem lub sprawowaną funkcją;
• omyłkowe wysłanie e-maila zawierającego dane osobowe do niewłaściwego (i nieuprawnionego) odbiorcy (chyba że administrator ma dowód niedostarczenia wiadomości);
• wyrzucenie do śmieci dokumentów zawierających dane osobowe lub pozostawienie ich w miejscu, do którego dostęp mają osoby postronne (nieuprawnione);
• nieodebranie byłemu pracownikowi dostępu do systemu informatycznego umożliwiającego przeglądanie danych osobowych;
• przełamanie przez cyberprzestępców zabezpieczeń systemu informatycznego umożliwiającego wgląd do danych osobowych.

Naruszeniem integralności danych osobowych może być m.in.:

• wprowadzenie do dokumentacji błędnych danych osobowych;
• niewprowadzenie do bazy danych zmian informacji, które powinny być zaktualizowane;
• wystąpienie awarii sprzętu elektronicznego skutkującej przekształceniem przetwarzanych za jego pomocą danych osobowych;
• działanie złośliwego oprogramowania dokonującego zmiany w plikach zawierających dane osobowe.

Naruszeniem dostępności danych osobowych może być m.in.:

• zagubienie papierowej dokumentacji lub elektronicznego nośnika (np. pendrive’a, dysku SSD, płyty CD) zawierającego dane osobowe (jedynego egzemplarza);
• trwała lub czasowa utrata dostępu do danych osobowych z powodu awarii systemu informatycznego lub cyberataku.

Naruszenie ochrony danych osobowych a naruszenia przepisów RODO

Warto zwrócić uwagę na rozróżnienie wprowadzone przez organ nadzorczy: naruszenie ochrony danych osobowych nie oznacza z automatu naruszenia przepisów RODO.

Powyższe obrazują przykłady, którymi zilustrował to organ nadzorczy. Oto pierwszy: Szpital zapewnił najwyższy standard ochrony danych osobowych i zgodnie z zasadami RODO wdrożył odpowiednie środki bezpieczeństwa przetwarzania. Mimo to padł ofiarą zaawansowanego cyberataku wykorzystującego nieznaną wcześniej lukę w oprogramowaniu (tzw. atak typu zero-day). Przestępcy uzyskali dostęp do bazy danych pacjentów i skopiowali wrażliwe informacje medyczne. W tym przypadku naruszenie ochrony danych osobowych wystąpiło, choć administrator nie naruszył przepisów RODO. Należy wskazać, że zero-day to luka lub błąd w oprogramowaniu, której twórcy jeszcze nie wykryli. Z tego powodu użytkownicy nie mają możliwości odpowiedniego zabezpieczenia się, co pozwala hakerom na wykorzystanie podatności, zanim zostanie usunięta. Ataki tego typu są szczególnie niebezpieczne, ponieważ twórcy oprogramowania dopiero opracowują działania zapobiegawcze.

W kolejnym przykładzie wskazano, że jedna z partii politycznych nie wdrożyła odpowiednich środków bezpieczeństwa danych osobowych wymaganych przez RODO i nie zabezpieczyła się na wypadek nieoczekiwanych zdarzeń. W wyniku błędu technicznego podczas aktualizacji systemu informatycznego członek zespołu IT nieświadomie zmodyfikował dane osobowe w bazie sympatyków partii. W tym przypadku doszło do naruszenia ochrony danych osobowych, a administrator naruszył przepisy RODO. Ponadto okoliczności zdarzenia wskazują, że incydent bezpieczeństwa mógł być wynikiem praktyk administratora niezgodnych z RODO, a jego wystąpieniu dało się zapobiec.

Organ nadzorczy z jednej strony optymistycznie wskazuje, że RODO nie przewiduje obowiązku zapobiegania wszelkim możliwym naruszeniom ochrony danych osobowych. Jeżeli takie zdarzenie wystąpiło pomimo prawidłowego realizowania obowiązków przez podmioty zobowiązane do zapewnienia bezpieczeństwa przetwarzania, nie muszą się one obawiać zastosowania wobec nich sankcji administracyjnych. Z drugiej strony jednak, widząc ilość nakładanych kar oraz ich wysokość, w większości wypadków wskazuje, że naruszeniom można byłoby zapobiec, gdyby  administratorzy prawidłowo zrealizowali swoje obowiązki…

Podstawowe obowiązki administratora

W zakresie naruszeń organ wskazuje, że administrator ma dwa obowiązki:

• zapobieganie powstawaniu naruszeń ochrony danych osobowych (poprzez zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania;
• wykrywanie i „stwierdzenie” naruszeń ochrony danych osobowych.

W przypadku wykrycia i stwierdzenia naruszenia dla administratora przewidziano kolejne obowiązki:

• zaradzenie naruszeniu ochrony danych osobowych oraz jego negatywnym skutkom;
• ocenienie ryzyka naruszenia praw lub wolności osób fizycznych, jakie może wynikać z naruszenia ochrony danych osobowych;
• zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu (w przypadku ryzyka naruszenia praw lub wolności osób fizycznych);
• zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych (w przypadku wysokiego ryzyka naruszenia praw lub wolności tych osób);
• dokumentowanie naruszenia ochrony danych osobowych.

Podsumowanie

Powyższe opracowanie nie omawia zagadnienia w sposób całkowity. Nie poruszono zagadnień związanych z naruszeniami podmiotu przetwarzającego, współadministratora czy „zaufanego odbiorcy”– a więc sytuacji, gdy mimo że do naruszenia doszło, obowiązku zgłoszenia jednak nadleśnictwo nie ma. Na powyższe zabrakłoby ram artykułu. Warto, aby pracownicy nadleśnictw pamiętali, aby zdecydowanie więcej (w tym nawet potencjalne skutki naruszeń) zgłaszać do organu nadzorczego. Spowoduje to znacznie więcej zgłoszeń do prezesa UODO, ale organ wskazuje, że na taki zalew zgłoszeń jest gotowy…