Marcin Staniszewski
|
25 kwietnia 2025 | Czas na przeczytanie: 9 minut

Jednym z fundamentalnych praw, zawartych w Karcie praw podstawowych Unii Europejskiej, jest prawo każdej osoby do ochrony danych osobowych jej dotyczących. Stąd też w 2016 r. Parlament Europejski i Rada UE wydali rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

W akcie tym uregulowano m.in. zasady dotyczące prowadzenia rejestru naruszeń ochrony danych osobowych. Kto ma obowiązek jego prowadzenia? Jakie informacje należy podawać w rejestrze? W jakich sytuacjach należy dokonać wpisu do rejestru?

Marcin Staniszewski
RADCA PRAWNY
Specjalizacja: Obsługa korporacyjna przedsiębiorstw, w tym reorganizacja fuzje i przejęcia. Sprawy...
Więcej artykułów tego autora

Czym jest przetwarzanie danych osobowych?

Zgodnie z art. 4 pkt 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, takich jak:

  • utrwalanie,

  • zbieranie,

  • porządkowanie,

  • organizowanie,

  • pobieranie,

  • przechowywanie,

  • modyfikowanie lub adaptowanie,

  • wykorzystywanie,

  • przeglądanie,

  • ujawnianie poprzez przesłanie,

  • dopasowywanie lub łączenie,

  • rozpowszechnianie lub innego rodzaju udostępnianie,

  • usuwanie lub niszczenie.

Kto jest podmiotem odpowiedzialnym i jakie są jego obowiązki?

Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, jak łatwo się domyślić, wskazuje również podmiot odpowiedzialny za przetwarzanie danych osobowych. Zgodnie z art. 4 ust. 7 RODO jest to administrator, będący osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, który samodzielnie lub wspólnie z innymi ustala, jakie są cele oraz sposoby przetwarzania danych osobowych.

Do podstawowych zadań administratora należy dokumentowanie wszelkich naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO), w tym:

  • okoliczności, w jakich doszło do naruszenia ochrony danych osobowych,

  • skutków tego naruszenia,

  • podjętych działań zaradczych.

Czym jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem:

  • utracenia,

  • zniszczenia,

  • zmodyfikowania,

  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do

danych osobowych przechowywanych, przesyłanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).

W praktyce oznacza to, że czyny skutkujące naruszeniem danych osobowych można podzielić na umyślne i nieumyślne.

Drugi wniosek, jaki płynie z przytoczonej definicji naruszenia ochrony danych osobowych, jest taki, że nie każdy incydent związany z ochroną danych osobowych stanowi naruszenie w rozumieniu rozporządzenia, a jedynie taki czyn, który prowadzi do naruszenia integralności, poufności lub dostępności danych osobowych.

Przykłady naruszenia danych osobowych

Jako przykład naruszenia danych osobowych można podać:

  • atak hakerski na sklep internetowy, bank, firmę kurierską lub operatora telekomunikacyjnego,

  • bezrefleksyjne upublicznienie w Internecie imion, nazwisk i numerów PESEL konkretnych osób,

  • wyciek danych spowodowany wysłaniem masowej korespondencji elektronicznej do klientów firmy bez użycia opcji ukrycia maili adresatów,

  • zgubienie nośnika pendrive, na którym zapisano pliki zawierające dane osobowe,

  • pożar skutkujący utratą dokumentów papierowych, które zawierają dane osobowe.

Podstawa prawna dokumentowania naruszeń

We wspomnianym wcześniej art. 33 RODO znajduje się podstawa prawna do dokumentowania naruszeń z zakresu ochrony danych osobowych. Zgodnie z art. 33 ust. 1 RODO w sytuacji, gdy miejsce ma naruszenie ochrony danych osobowych, administrator bez zbędnej zwłoki, a w miarę możliwości nie później niż w czasie 72 godzin po stwierdzeniu naruszenia, zgłasza je do Prezesa Urzędu Ochrony Danych Osobowych.

W tym miejscu należy jedynie wspomnieć, że nie każde naruszenie należy zgłaszać do organu nadzorczego. W dalszej części zostanie dokładnie wyjaśnione, jakiego rodzaju naruszenia ochrony danych osobowych mogą mieć miejsce i które z nich podlegają zgłoszeniu.

Czy na podmiocie przetwarzającym ciąży obowiązek zgłaszania naruszeń?

Warto rozróżnić między sytuacją, gdy dane osobowe należą do określonego podmiotu (który wówczas jest administratorem), a sytuacją, gdy zostały mu tylko powierzone do przetwarzania. Rozporządzenie wyraźnie bowiem różnicuje obowiązki administratora oraz podmiotu przetwarzającego, czyli osoby fizycznej lub prawnej, organu publicznego jednostki lub innego podmiotu, który przetwarza dane osobowe w imieniu administratora.

Tylko na administratorze ciąży obowiązek powiadamiania o naruszeniu ochrony danych osobowych. Z kolei podmiot przetwarzający po stwierdzeniu naruszenia danych osobowych, zgodnie z art. 33 ust. 2 RODO, jedynie zgłasza je administratorowi.

Jakie informacje należy podać w zgłoszeniu naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych?

Rozporządzenie podaje minimalne wymogi co do informacji, jakie powinny znaleźć się w zgłoszeniu do organu nadzorczego (art. 33 ust. 3 RODO). Są one następujące:

  1. charakter naruszenia ochrony danych osobowych,

  2. imię i nazwisko oraz dane kontaktowe do osoby lub punktu kontaktowego, od którego można uzyskać więcej informacji,

  3. opis możliwych konsekwencji naruszenia ochrony danych osobowych,

  4. opis zastosowanych lub proponowanych przez administratora środków w celu zaradzenia naruszeniu ochrony danych osobowych.

Prawodawca daje możliwość sukcesywnego podawania wymienionych informacji. Zgodnie bowiem z art. 33 ust. 4 RODO, jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je podawać sukcesywnie, ale bez zbędnej zwłoki.

Organ nadzorczy z możliwością weryfikacji stosowania przepisów RODO

Wracając do tematu obowiązku administratora polegającego na dokumentowaniu wszelkich naruszeń ochrony danych osobowych, należy podkreślić, że prowadzona przez niego dokumentacja musi pozwolić Prezesowi Urzędu Ochrony Danych Osobowych na zweryfikowanie, czy podmiot, w którym doszło do naruszenia, przestrzega wyżej wymienionych przepisów, tj. zawartych w art. 33 ust. 1-4 RODO.

Kategorie naruszeń ochrony danych osobowych

Jak zostało to wspomniane, administrator ma obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Pod przymiotnikiem “wszelkich” kryją się trzy kategorie naruszeń, które, choć nie zostały wprost wymienione, można je wyodrębnić na podstawie przepisów rozporządzenia. Są to:

  1. naruszenia, które nie podlegają zgłoszeniu do organu nadzorczego,

  2. naruszenia, które należy zgłosić organowi nadzorczemu oraz osobie, której dotyczą,

  3. naruszenia, które podlegają zgłoszeniu tylko organowi nadzorczemu.

Naruszenia niepodlegające zgłoszeniu do organu nadzorczego

Do pierwszej kategorii naruszeń, czyli tych, których nie zgłasza się do Prezesa Urzędu Ochrony Danych Osobowych, należą te incydenty, w przypadku których mało prawdopodobne jest, by skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 RODO).

Naruszenia podlegające zgłoszeniu organowi nadzorczemu oraz osobie, której dotyczą

W drugiej kategorii incydentów znajdują się te naruszenia ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 34 ust. 1 RODO). Powinny być one zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych, a także należy zawiadomić osobę, której danych dotyczy incydent.

Naruszenia podlegające zgłoszeniu jedynie organowi nadzorczemu

Trzecia kategoria naruszeń obejmuje te przypadki, w których:

  1. nie jest mało prawdopodobne, że naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych (art. 33 ust. 1 RODO), jak również

  2. ryzyko naruszenia praw lub wolności osób fizycznych jest wysokie (druga kategoria naruszeń), ale zawiadomienie osoby, której danych dotyczy incydent, nie jest konieczne z uwagi na wypełnienie przesłanek z art. 34 ust. 3 RODO, tj. przykładowo, dane są szyfrowane.

W przypadku, gdy doszło do naruszenia danych, które mieści się w jednej z dwóch wyżej wskazanych grup, incydent należy zgłosić jedynie do Prezesa Urzędu Ochrony Danych Osobowych.

Które incydenty należy wpisać do rejestru naruszeń?

Krótkie omówienie każdej z kategorii naruszeń jest niezbędne, jeśli chodzi o prowadzenie rejestru naruszeń, ponieważ każdy incydent, należący do jednego z wymienionych rodzajów, administrator powinien umieścić w rejestrze.

Forma prowadzenia rejestru naruszeń

Należy zauważyć, że rozporządzenie nie wskazuje specyficznej formy, w jakiej rejestr naruszeń powinien być prowadzony. Natomiast najbardziej praktycznym rozwiązaniem zdaje się być prowadzenie rejestru w formie elektronicznej, co pozwala na jego:

  • łatwą aktualizację,

  • przesłanie lub wydrukowanie dla organu nadzorczego.

Jakie informacje należy wpisywać do rejestru naruszeń?

Zgodnie z przytoczonym już art. 33 ust. 5 RODO w rejestrze naruszeń należy podać:

  • okoliczności, w jakich doszło do naruszenia ochrony danych osobowych,

  • skutki tego naruszenia,

  • podjęte działania zaradcze.

Ponadto, jak wskazują na to wytyczne Grupy Roboczej Art. 29 nr WP 250 zatwierdzone przez Europejską Radę Ochrony Danych, w rejestrze naruszeń powinny znaleźć się następujące informacje:

  • przyczyny zdarzenia,

  • przebieg wydarzeń,

  • zakres danych osobowych, których dotyczy naruszenie.

Jakie konkretnie dane mogą znaleźć się w rejestrze?

Nie każdy rejestr naruszeń musi wyglądać identycznie, jeśli chodzi o strukturę, natomiast można podać, jakie informacje powinny się w nim znaleźć tak, aby uczynić zadość wymaganiom rozporządzenia.

Przykładowo, rejestr naruszeń, może zawierać następujące kategorie danych:

  • opis naruszenia,

  • data i godzina zgłoszenia naruszenia,

  • data i godzina stwierdzenia naruszenia,

  • data powiadomienia przez podmiot przetwarzający,

  • data naruszenia,

  • kategoria (np. pracownicy, klienci, pacjenci) i liczba osób, których dotyczy naruszenie,

  • zakres lub kategoria danych, której dotyczy naruszenie,

  • osoba lub źródło informacji o zdarzeniu naruszenia,

  • miejsce naruszenia,

  • analiza zdarzenia naruszenia i przyczyny jego wystąpienia,

  • opis skutków i konsekwencji naruszenia,

  • osoba lub jednostka odpowiedzialna za naruszenie,

  • czy naruszenie ma charakter transgraniczny? jakiego państwa dotyczy?

  • podjęte działania,

  • rezultat podjętych działań naprawczych,

  • osoba odpowiedzialna za wdrożenie działań naprawczych,

  • czy należy poinformować Prezesa Urzędu Ochrony Danych Osobowych?

  • czy poinformowano organy ścigania?

  • czy zachodzi obowiązek poinformowania osoby, której danych naruszenie dotyczy? w jaki sposób przekazano jej informację?

  • monitoring działań naprawczych.

Jak widać jest to przykład dość rozbudowanego rejestru, jednakże należy pamiętać, że obok obligatoryjnych danych, które mają się w nim znaleźć, rejestr powinien być tak zbudowany, aby pozwalał Prezesowi Urzędu Ochrony Danych Osobowych na zweryfikowanie, czy podmiot, w którym doszło do zdarzenia przestrzega przepisów rozporządzenia.


Prowadzenie rejestru naruszeń ochrony danych osobowych wydaje się zadaniem dość prostym, ponieważ prawodawca dał całkiem dużą swobodę administratorom danych osobowych. Natomiast, aby robić to w pełni dobrze może być potrzebne profesjonalne przeszkolenieosoby odpowiedzialnej za ochronę danych osobowych w firmie bądź nawet pomoc wyspecjalizowanej kancelarii prawnej.

Pytania i odpowiedzi

Opisany incydent należy wpisać do rejestru naruszeń (art. 33 ust. 5 RODO), ale nie powinno się go zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych, ponieważ ryzyko naruszenia praw lub wolności osób fizycznych jest w tym przypadku mało prawdopodobne (art. 33 ust. 1 RODO).

Forma elektroniczna rejestru naruszeń ochrony danych osobowych nie jest obligatoryjna, natomiast warto podkreślić, że jest ona wygodniejsza w przypadku aktualizacji bądź konieczności przesłania drogą elektroniczną.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam

5/5 - (liczba głosów: 1)
Spis treści

    Imię i nazwisko
    Email lub telefon kontaktowy
    Twoja wiadomość
    Dane podane w formularzu będą przetwarzane przez Kancelarię Prawną RPMS z siedzibą w Poznaniu, w celu realizacji zgłoszenia oraz według zasad zawartych w Polityce Prywatności.
    Pozostałe Artykuły
    Spółka z ograniczoną odpowiedzialnością a ZUS
    20 czerwca 2025
     Spółka z ograniczoną odpowiedzialnością a ZUS

    Spółka z ograniczoną odpowiedzialnością jako pracodawca Spółka z ograniczoną odpowiedzialnością, zgodnie z art. 151 §...

    Więcej
    Wykorzystywanie AI w reklamie
    19 czerwca 2025
     Wykorzystywanie AI w reklamie

    Sposoby na wykorzystywanie AI w reklamie Wykorzystanie narzędzi AI w promocji usług i produktów pozwala...

    Więcej
    Prokura w spółkach – uprawnienia i ryzyka związane z jej udzieleniem
    18 czerwca 2025
     Prokura w spółkach – uprawnienia i ryzyka związane z jej udzieleniem

    Wprowadzenie do instytucji prokury w polskim systemie prawnym Prokura, uregulowana w Kodeksie cywilnym (art. 109-109),...

    Więcej
    Regulamin zarządu – czym jest i kiedy warto go uchwalić?
    17 czerwca 2025
     Regulamin zarządu – czym jest i kiedy warto go uchwalić?

    Na jakiej podstawie obowiązuje regulamin zarządu? Jak go wprowadzić? Podstawa prawna regulaminu zarządu zależy od...

    Więcej
    Jak założyć jednoosobową działalność gospodarczą (JDG)?
    16 czerwca 2025
     Jak założyć jednoosobową działalność gospodarczą (JDG)?

    Czym jest jednoosobowa działalność gospodarcza? Na samym początku konieczne jest wyjaśnienie, czym w praktyce jest...

    Więcej
    Jak założyć jednoosobową działalność gospodarczą przez obcokrajowca?
    13 czerwca 2025
     Jak założyć jednoosobową działalność gospodarczą przez obcokrajowca?

    Kto może założyć jednoosobową działalność gospodarczą w Polsce? Prawo do prowadzenia jednoosobowej działalności gospodarczej w...

    Więcej
    Rejestracja spółki cywilnej
    12 czerwca 2025
     Rejestracja spółki cywilnej

    Cechy charakterystyczne spółki cywilnej Spółka cywilna to niezwykle charakterystyczna struktura, której forma uregulowania powoduje, że...

    Więcej
    RODO w kadrach
    11 czerwca 2025
     RODO w kadrach

    Upoważnienie do przetwarzania danych osobowych w firmie Do przetwarzania danych osobowych w firmie niezbędne są...

    Więcej
    Spółka czy JDG – co wybrać prowadząc działalność w Polsce?
    10 czerwca 2025
     Spółka czy JDG – co wybrać prowadząc działalność w Polsce?

    W jakich formach można prowadzić działalność w Polsce? Każdy przedsiębiorca planujący rozpoczęcie działalności gospodarczej w...

    Więcej
    Jak zgodnie z prawem zgłosić suplement diety do GIS?
    9 czerwca 2025
     Jak zgodnie z prawem zgłosić suplement diety do GIS?

    Obowiązek zgłoszenia suplementu diety – co mówi polskie prawo? W polskim systemie prawnym suplementy diety...

    Więcej
    Obowiązki językowe przy wprowadzaniu produktów na rynek. Czy musisz tłumaczyć dokumentację na język polski?
    6 czerwca 2025
     Obowiązki językowe przy wprowadzaniu produktów na rynek. Czy musisz tłumaczyć dokumentację na język polski?

    Obowiązki językowe wynikające z prawa polskiego Zgodnie z przepisami polskiego prawa, każda firma wprowadzająca produkt...

    Więcej
    Umowa inwestycyjna a umowa spółki – gdzie kończy się swoboda kontraktowania, a zaczyna Kodeks spółek handlowych?
    5 czerwca 2025
     Umowa inwestycyjna a umowa spółki – gdzie kończy się swoboda kontraktowania, a zaczyna Kodeks spółek handlowych?

    Czym jest umowa inwestycyjna? Choć umowa inwestycyjna nie jest uregulowana w żadnym akcie prawnym jako...

    Więcej
    Wyłączenie wspólnika w spółce z o.o. – przesłanki, strategia i błędy praktyczne
    4 czerwca 2025
     Wyłączenie wspólnika w spółce z o.o. – przesłanki, strategia i błędy praktyczne

    Przesłanki wyłączenia wspólnika – co trzeba udowodnić w sądzie? Należy w tym miejscu podkreślić, że...

    Więcej
    Pakiet RODO dla księgowych
    30 maja 2025
     Pakiet RODO dla księgowych

    Jakie dane osobowe najczęściej przetwarzają biura rachunkowe? Zakres informacji przekazywanych do biura rachunkowego, które można...

    Więcej
    Marketing internetowy w Polsce – co jest dozwolone?
    29 maja 2025
     Marketing internetowy w Polsce – co jest dozwolone?

    Podstawy prawne marketingu internetowego w Polsce Marketing internetowy w Polsce podlega kilku podstawowym aktom prawnym....

    Więcej
    ROZPORZĄDZENIE REACH
    28 maja 2025
     ROZPORZĄDZENIE REACH

    CZEGO DOTYCZY ROZPORZĄDZENIE REACH? Głównym celem REACH jest ochrona zdrowia ludzi i środowiska przed potencjalnymi...

    Więcej
    Rozporządzenie CLP – Czym jest i czego dotyczy?
    27 maja 2025
     Rozporządzenie CLP – Czym jest i czego dotyczy?

    Jakie są cele rozporządzenia CLP? Podstawowym celem rozporządzenia CLP jest zapewnienie wysokiego poziomu ochrony zdrowia...

    Więcej
    Umowa z agencją pracy tymczasowej – aspekty prawne i praktyczne
    26 maja 2025
     Umowa z agencją pracy tymczasowej – aspekty prawne i praktyczne

    Czym jest praca tymczasowa i jak działa agencja pracy tymczasowej? Praca tymczasowa to specyficzna forma...

    Więcej
    Podatek od dywidendy – przegląd najważniejszych kwestii w polskim prawie
    23 maja 2025
     Podatek od dywidendy – przegląd najważniejszych kwestii w polskim prawie

    Opodatkowanie dywidendy w Polsce – podstawowe zasady Opodatkowanie dywidendy w Polsce jest uregulowane przede wszystkim...

    Więcej
    Marketing telefoniczny – co jest dozwolone?
    22 maja 2025
     Marketing telefoniczny – co jest dozwolone?

    Jakie są zasady marketingu telefonicznego w polskim prawie Marketing telefoniczny w polskim prawie podlega regulacjom,...

    Więcej
    Zniesławienie w reklamie – jak bronić się przed nieuczciwą konkurencją?
    21 maja 2025
     Zniesławienie w reklamie – jak bronić się przed nieuczciwą konkurencją?

    Czym w praktyce jest zniesławienie w reklamie? Zniesławienie w reklamie to forma nieuczciwej konkurencji polegająca...

    Więcej
    RODO i AI Act. Jak stosować razem te akty prawne?
    20 maja 2025
     RODO i AI Act. Jak stosować razem te akty prawne?

    AI Act vs. RODO. Czy można stosować te przepisy razem? Już na samym wstępie należy...

    Więcej
    Audyt compliance w firmie – kiedy go przeprowadzić i w jakich obszarach?
    19 maja 2025
     Audyt compliance w firmie – kiedy go przeprowadzić i w jakich obszarach?

    Czym jest i kiedy przeprowadzić audyt compliance? Audyt compliance to systematyczny proces oceny zgodności działalności...

    Więcej
    Regulamin zakładowego funduszu świadczeń socjalnych – kto i kiedy musi wdrożyć w firmie?
    16 maja 2025
     Regulamin zakładowego funduszu świadczeń socjalnych – kto i kiedy musi wdrożyć w firmie?

    Czym jest regulamin ZFŚS Regulamin Zakładowego Funduszu Świadczeń Socjalnych to dokument wprowadzony na podstawie ustawy...

    Więcej
    Nowe przepisy o ochronie wzorów wspólnotowych. Co dokładnie się zmienia?
    15 maja 2025
     Nowe przepisy o ochronie wzorów wspólnotowych. Co dokładnie się zmienia?

    Co wchodzi w skład pakietu legislacyjnego dotyczącego wzorów wspólnotowych? Pakiet legislacyjny poświęcony ochronie własności przemysłowej...

    Więcej
    Zawieszenie i wznowienie działalności spółki z ograniczoną odpowiedzialnością
    15 maja 2025
     Zawieszenie i wznowienie działalności spółki z ograniczoną odpowiedzialnością

    Jakie mogą być przyczyny zawieszenia działalności spółki z ograniczoną odpowiedzialnością? Jako przedsiębiorca spółka z ograniczoną...

    Więcej
    Sprawozdanie zarządu z działalności spółki z o.o.
    14 maja 2025
     Sprawozdanie zarządu z działalności spółki z o.o.

    Po co sporządza się sprawozdanie zarządu z działalności? Sprawozdanie zarządu z działalności spółki z ograniczoną...

    Więcej
    Czym jest przedawnienie roszczeń i jaki ma skutek dla wierzyciela?
    13 maja 2025
     Czym jest przedawnienie roszczeń i jaki ma skutek dla wierzyciela?

    Co to jest przedawnienie roszczenia? Przedawnienie to instytucja prawa cywilnego, która oznacza, że po upływie...

    Więcej
    Zwłoka oraz opóźnienie – podstawowe różnice mające wpływ na Twoją firmę
    12 maja 2025
     Zwłoka oraz opóźnienie – podstawowe różnice mające wpływ na Twoją firmę

    Czym jest opóźnienie? Opóźnienie ma miejsce, gdy dłużnik nie spełnia swojego zobowiązania w terminie, ale...

    Więcej
    Ile kosztuje złożenie pozwu o zapłatę
    9 maja 2025
     Ile kosztuje złożenie pozwu o zapłatę

    Kiedy konieczne jest złożenie pozwu o zapłatę? Intuicyjnie zdaniem wielu wierzycieli, praktyka jest taka, że...

    Więcej


    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *