top of page

WSZYSTKIE ARTYKUŁY

Incydent i zawiadomienie osób. Na co zwraca uwagę NSA?

  • cezarysadowski2
  • 28 paź
  • 2 minut(y) czytania

Zaktualizowano: 30 paź

Kiedy dochodzi do naruszenia ochrony danych – czyli tzw. incydentu – kluczowe staje się odpowiednie zawiadomienie osób, których dane dotyczą. Jak podkreśla Urząd Ochrony Danych Osobowych (UODO) i Naczelny Sąd Administracyjny (NSA) – to nie tylko formalność, lecz obowiązek, który należy rozumieć i wdrożyć. Poniżej prosty przewodnik — dowiesz się, na co zwraca uwagę NSA przy incydencie i zawiadamianiu osób.


Przy incydencie zawsze trzeba działać.

Incydent i zawiadomienie osób - kiedy należy działać?


NSA w najnowszym wyroku potwierdził, że obowiązek zawiadomienia osób pojawia się, gdy naruszenie może prowadzić do wysokiego ryzyka naruszenia ich praw lub wolności.


Kluczowe wnioski:

  • Naruszenie nie musi skutkować faktycznym naruszeniem praw osób – wystarczy ryzyko takiego zdarzenia.

  • Ocena należy do administratora danych – trzeba sprawdzić okoliczności incydentu, charakter danych, możliwe konsekwencje.

  • Jeżeli dane były wrażliwe lub w zestawieniu pozwalały na wyłudzenie, zawiadomienie najczęściej jest konieczne. NSA wskazał na przykład: imię, nazwisko + numer PESEL = potencjalne duże ryzyko.


Na co zwraca uwagę NSA przy zawiadomieniu osób?


  1. Charakter danych – Im bardziej dane umożliwiają identyfikację osoby fizycznej lub wykorzystanie danych w szkodliwy sposób, tym większe ryzyko. Przykład: PESEL + nazwisko.

  2. Zakres incydentu – Czy dane zostały tylko nieznacznie ujawnione, czy łatwo mogą być wykorzystane? Nawet pojedyncza osoba może być dotknięta, jeśli konsekwencje są poważne.

  3. Prawdopodobieństwo naruszenia praw lub wolności – Nie chodzi tylko o „czy będzie szkoda?”, ale „czy jest takie ryzyko?”.

  4. Obiektywny charakter oceny – Administrator nie może opierać się na „może się uda”, lecz na realnych kryteriach: dotychczasowe doświadczenia, wiedza o bezpieczeństwie.


Co to oznacza w praktyce dla Twojej firmy?


  • Przy każdym incydencie danych warto natychmiast przeprowadzić ocenę ryzyka: jakie dane zostały naruszone, kto może być nimi dotknięty, jakie mogą być konsekwencje?

  • Jeśli z oceny wychodzi, że ryzyko jest wysokie → przygotuj zawiadomienie osób, których dane dotyczą: mówisz jasno, co się stało, jakie dane, jakie mogą być skutki, jakie kroki podejmujesz.

  • Nie zwlekaj. Choć przepisy przewidują pewne terminy, szybkie reagowanie buduje zaufanie i minimalizuje stratę wizerunkową.

  • Zadbaj o dokumentację: dlaczego zdecydowałeś się zawiadomić lub nie zawiadomić — to istotne przy ewentualnej kontroli.


Reakcja na incydent ma chronić zagrożone osoby


Podsumowanie


Jeśli dotknął Cię incydent danych, który w konsekwencji staje się naruszeniem, pamiętaj o zawiadomieniu osób – to nie tylko obowiązek, ale okazja, by pokazać, że traktujesz dane poważnie.

Zignorowanie wysokiego ryzyka może skutkować zarówno stratą dla firmy, karą, jak i utratą reputacji. Przygotuj procedury — oceniaj szybko, reaguj właściwie, informuj jasno.


Potrzebujesz wsparcia w ocenie incydentu lub przygotowaniu zawiadomień dla osób, których dane dotyczą? Obsługa naruszeń, to dla nas chleb powszedni.


Skontaktuj się z nami – pomożemy wdrożyć odpowiednie procesy zgodne z RODO i wymogami Urzędu Ochrony Danych.


 
 
 

Komentarze

bottom of page