Ochrona danych osobowych stanowi dziś jeden z kluczowych filarów zarządzania ryzykiem prawnym i operacyjnym w organizacjach przetwarzających dane osób fizycznych. Ma to szczególne znaczenie w świetle obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Oba akty nakładają na administratorów i podmioty przetwarzające szereg obowiązków związanych z wdrożeniem adekwatnych środków ochrony danych oraz realizację zasady rozliczalności.
Zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.
Natomiast art. 24 ust. 1 RODO zobowiązuje administratora do wdrożenia „odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem, oraz do weryfikowania i uaktualniania tych środków”.
Obszary podwyższonego ryzyka naruszeń – na co musi zwracać uwagę administrator danych
W praktyce organu nadzorczego (Prezesa UODO) wielokrotnie potwierdzono, że naruszenia ochrony danych mogą wynikać zarówno z błędów ludzkich, jak i działań cyberprzestępczych. Odpowiedzialnością administratora jest wdrożenie rozwiązań pozwalających minimalizować ryzyko incydentów. Wynika to m.in. z:
- art. 25 RODO – zasada „privacy by design” i „privacy by default”,
- art. 32 ust. 1 RODO – obowiązek zapewnienia środków bezpieczeństwa adekwatnych do ryzyka,
- art. 28 RODO – nadzór nad podmiotami przetwarzającymi,
- art. 29 RODO – obowiązek działania pracowników wyłącznie na polecenie administratora.
Najczęściej zgłaszanymi incydentami są przypadki naruszeń poufności wynikających np. z wysłania dokumentu do niewłaściwego adresata czy ujawnienia danych osobom nieupoważnionym. Zgodnie z art. 4 pkt 12 RODO, takie zdarzenie stanowi „naruszenie ochrony danych osobowych”.
W razie stwierdzenia naruszenia administrator jest zobowiązany:
- dokonać oceny czy naruszenie może powodować ryzyko naruszenia praw lub wolności osoby fizycznej oraz określić skalę tego ryzyka (art. 33 ust. 1 RODO),
- w razie takiego ryzyka – zgłosić naruszenie Prezesowi UODO w terminie 72 godzin od jego wykrycia (art. 33 ust. 1 i 3 RODO),
- w przypadku wysokiego ryzyka – poinformować ponadto osobę, której dane dotyczą (art. 34 ust. 1 RODO).
Z kolei ustawa z 10 maja 2018 r. reguluje m.in. zasady funkcjonowania organu nadzorczego oraz postępowanie w sprawach naruszeń. Zgodnie z art. 54–60 tej ustawy, Prezes UODO prowadzi postępowania, wydaje decyzje administracyjne oraz może nakładać administracyjne kary pieniężne na podstawie art. 83 RODO.
Rola inspektora ochrony danych i potrzeba stałego nadzoru
Zarówno RODO, jak i praktyka UODO wyraźnie wskazują na rolę inspektora ochrony danych (IOD) jako osoby odpowiedzialnej za monitorowanie przestrzegania przepisów. Zgodnie z:
- art. 37 ust. 1 RODO – administrator lub podmiot przetwarzający są zobowiązani do wyznaczenia IOD w określonych przypadkach,
- art. 39 RODO – IOD ma m.in. obowiązek monitorowania przestrzegania zasad ochrony danych oraz doradzania administratorowi.
Obecność IOD w organizacji — zwłaszcza tam, gdzie skala operacji jest znacząca lub występują dane szczególnych kategorii — realnie zmniejsza ryzyko popełnienia naruszeń oraz błędnej oceny obowiązku zgłoszenia incydentu.
Budowa systemu ochrony danych — rekomendacje
Skuteczny system bezpieczeństwa danych powinien obejmować:
- regularną analizę ryzyka (art. 32 ust. 1 lit. a RODO),
- prowadzenie rejestru czynności przetwarzania (art. 30 RODO),
- cykliczne szkolenia pracowników (art. 29 RODO),
- wdrażanie procedur zarządzania incydentami (art. 33–34 RODO),
- ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO,
- weryfikację zabezpieczeń technicznych i organizacyjnych.
RODO wymaga nie tylko wdrożenia tych środków, ale także wykazania ich zgodności z przepisami — co podkreśla zasada rozliczalności określona w art. 5 ust. 2 RODO.
Zapobieganie naruszeniom ochrony danych osobowych nie jest działaniem jednorazowym, lecz procesem wymagającym stałej uwagi, adekwatnych środków oraz świadomego zarządzania ryzykiem. RODO jednoznacznie wskazuje, że to administrator ponosi odpowiedzialność za zapewnienie zgodności przetwarzania z przepisami i musi być w stanie tę zgodność wykazać. Obowiązek ten wynika wprost z art. 5 ust. 2 RODO, który ustanawia zasadę rozliczalności jako fundament całego systemu ochrony danych.
Doświadczenia organów nadzorczych pokazują, że skuteczność działań w obszarze bezpieczeństwa danych zależy przede wszystkim od właściwej oceny ryzyka, wdrożenia procedur adekwatnych do charakteru przetwarzania oraz bieżącego nadzoru nad ich realizacją. Naruszenia będą zdarzać się zawsze – pytanie nie brzmi czy, lecz kiedy do nich dojdzie. Różnica między incydentem o ograniczonych konsekwencjach a naruszeniem prowadzącym do poważnych szkód dla osób fizycznych leży zwykle w jakości przygotowania administratora.
Współczesny system ochrony danych osobowych wymaga od administratorów nie tylko znajomości przepisów, ale przede wszystkim umiejętności praktycznej ich implementacji — opartej na kulturze bezpieczeństwa, świadomym zarządzaniu ryzykiem i konsekwentnym stosowaniu zasady rozliczalności. To właśnie te elementy decydują o realnym poziomie ochrony danych oraz minimalizują skutki ewentualnych naruszeń.
Jeżeli w Państwa organizacji pojawiają się wątpliwości dotyczące skuteczności stosowanych mechanizmów ochrony danych osobowych, warto przeprowadzić pogłębioną weryfikację przyjętych rozwiązań. Nasz zespół, posiadający doświadczenie w analizie zgodności z RODO oraz praktyce organu nadzorczego, przeprowadzi szczegółową ocenę funkcjonujących procesów i przedstawi rekomendacje niezbędne do zapewnienia pełnej zgodności z obowiązującymi przepisami.
Autor
Agnieszka Bogumił-Jankowska Menadżer • Ekspert ds. komunikacji i rozwoju • Koordynator Relacji z Klientem
