Wyciek danych osobowych to sytuacja stresująca zarówno dla przedsiębiorstwa, jak i dla osób, których dotyczy. O ile wykrycie i zablokowanie samego incydentu to wyzwanie techniczne, o tyle prawdziwy problem zaczyna się w momencie, gdy trzeba o nim poinformować – pisze Klaudia Szwarczyńska, radca prawny. Jak podkreśla, zgodnie z RODO, administrator danych ma obowiązek zgłoszenia naruszenia organowi nadzorczemu oraz - odrębnie - przygotowania i przekazania komunikatu dla osób, których dane zostały naruszone.
Po wykryciu naruszenia ochrony danych osobowych pierwszym krokiem jest ustalenie, czy istnieje obowiązek zgłoszenia incydentu oraz komu należy je przekazać. Administrator danych ma obowiązek zgłoszenia naruszenia organowi nadzorczemu - co do zasady w ciągu 72 godzin od stwierdzenia naruszenia przez procesora.
Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >
Czytaj również: Dlaczego (nie)warto mieć inspektora ochrony danych osobowych>>
Obowiązek zgłoszenia dotyczy wszystkich naruszeń bezpieczeństwa danych, które mogą powodować ryzyko naruszenia praw lub wolności osób fizycznych. Naruszenie to obejmuje przypadkowe lub niezgodne z prawem zniszczenie, utratę, zmodyfikowanie, ujawnienie lub dostęp do danych osobowych (np. nieuprawniony dostęp do danych klientów sklepu internetowego wskutek ataku hakerskiego).
Skutkiem naruszenia może być np. utrata kontroli nad danymi, kradzież tożsamości, szkoda majątkowa lub ograniczenie praw jednostki. Dlatego po wykryciu incydentu niezbędne jest szybkie przeprowadzenie oceny jego skutków (tzw. risk assessment), która pozwala ustalić, czy:
Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >
To właśnie przygotowanie komunikatu dla osób, których dane zostały naruszone, stanowi jedno z największych wyzwań praktycznych.
Zgodnie z art. 34 RODO takie zawiadomienie należy przesłać „bez zbędnej zwłoki”, jeśli incydent może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Na pierwszy rzut oka wydaje się to proste - skoro doszło do wycieku, to wystarczy wysłać komunikat. W praktyce jednak największym problemem okazuje się treść zawiadomienia.
Wymogi RODO są dość konkretne: informacja musi być napisana prostym i jasnym językiem i zawierać co najmniej:
Czytaj też w LEX: Naruszenia ochrony danych osobowych – ocena naruszenia, obowiązki ADO >
Przedsiębiorcy często popadają w dwie skrajności:
Efekt? Osoby, których dane dotyczą (pracownicy czy klienci), pozostają zdezorientowane. Mogą uznać, że firma nie traktuje sprawy poważnie, a organ nadzorczy, że obowiązek z art. 34 RODO został wykonany w sposób wadliwy.
Czytaj też w LEX: Od naruszenia bezpieczeństwa przetwarzanych danych osobowych do nałożenia kary przez Prezesa UODO – zagadnienia praktyczne >
Dobrym punktem odniesienia jest stanowisko Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), który zwraca uwagę, że zawiadomienie powinno umożliwiać realną ocenę ryzyka przez osobę, której dane wyciekły. Przykładowo, jeśli w wycieku znalazły się dane logowania, powinna ona otrzymać jasną rekomendację zmiany hasła; jeśli numery PESEL – ostrzeżenie o możliwości zaciągnięcia zobowiązań na jej dane i wskazanie dostępnych narzędzi ochrony (np. zastrzeżenie numeru w rejestrze).
W praktyce oznacza to, że skuteczne zawiadomienie musi zawierać nie tylko opis samego zdarzenia, lecz także praktyczne wskazówki „co dalej” dla osoby dotkniętej incydentem.
Czytaj też w LEX: Kontrola UODO 2025 – dokumentowanie naruszeń ochrony danych osobowych >
Komunikat powinien zawierać także opis środków, które administrator (jako pracodawca, jeśli zdarzenie dotyczy danych pracowników lub przedsiębiorca, jeśli chodzi o dane klientów) zastosował albo których zastosowanie proponuje, aby zaradzić naruszeniu albo zminimalizować jego negatywne skutki. Największe trudności budzi to, że przepisy nie precyzują, jak szczegółowy powinien być ten opis. Podmioty zastanawiają się, czy wystarczy ogólne stwierdzenie („wprowadziliśmy dodatkowe zabezpieczenia”), czy raczej należy podać konkretne przykłady działań („zablokowaliśmy konta, wdrożyliśmy obowiązkową zmianę haseł, zgłosiliśmy sprawę organom ścigania”). Zbyt lakoniczny opis może być uznany za niewystarczający, natomiast nadmierna szczegółowość – za ryzykowną, bo odsłaniającą wewnętrzne procedury przed potencjalnym atakującym. W efekcie administratorzy powinni balansować pomiędzy obowiązkiem transparentności wobec osób, których dane dotyczą, a potrzebą ochrony bezpieczeństwa systemów, tak aby komunikat był jednocześnie zrozumiały i umożliwiał podjęcie odpowiednich działań ochronnych.
Czytaj również: NSA: Przedsiębiorca słono zapłaci za zbywanie urzędu lipnymi dowodami>>
W związku z tym przygotowanie komunikatu niesie ze sobą szereg ryzyk, które przedsiębiorcy muszą wziąć pod uwagę. Po pierwsze, istnieje ryzyko formalne – potencjalne skargi do organu nadzorczego. W przypadku wadliwego lub niewystarczającego zawiadomienia Prezes UODO może wezwać administratora do jego uzupełnienia lub usunięcia stwierdzonych uchybień. Niezależnie od tego organ nadzorczy dysponuje środkami sankcyjnymi, takimi jak upomnienie czy kara pieniężna, sięgająca do 2 proc. całkowitego rocznego obrotu, których zastosowanie zależy od okoliczności konkretnej sprawy.
Czytaj też w LEX: Administracyjne kary pieniężne w świetle ochrony danych osobowych >
Drugim zagrożeniem jest ryzyko cywilne, związane z możliwością dochodzenia roszczeń odszkodowawczych przez osoby, których dane zostały ujawnione. W praktyce wykazanie szkody i związku przyczynowego między naruszeniem a jej powstaniem bywa trudne, dlatego z perspektywy przedsiębiorcy kluczowe jest przygotowanie argumentacji wykazującej, że zastosowano odpowiednie środki techniczne i organizacyjne w celu ochrony danych oraz dołożono należytej staranności w powiadomieniu osób dotkniętych incydentem.
Trzecim aspektem jest ryzyko reputacyjne – niewystarczające lub nieczytelne komunikaty mogą prowadzić do utraty zaufania klientów oraz generować negatywne opinie w mediach społecznościowych. Z kolei nadmiernie techniczne lub alarmistyczne zawiadomienia mogą niepotrzebnie wywołać niepokój odbiorców, a tym samym zaszkodzić wizerunkowi przedsiębiorstwa.
Aby ograniczyć te ryzyka, przedsiębiorcy powinni przede wszystkim przygotować argumentację prawną wykazującą, że treść komunikatu spełnia wymogi art. 34 RODO, opracować wytyczne komunikacji, w tym pakiet informacji dodatkowych dostosowanych do charakteru incydentu, oraz monitorować reakcje odbiorców – systematycznie śledząc pytania, skargi i wpisy w mediach społecznościowych po wysyłce zawiadomienia, co pozwala w razie potrzeby dostosować dalszą komunikację.
Wobec coraz powszechniejszego wykorzystania AI do tworzenia różnych treści rodzi się pytanie, czy i w jakim zakresie AI może wesprzeć administratora danych w reakcji na naruszenie bezpieczeństwa danych. Bez wątpienia narzędzia generatywne mogą wspierać tworzenie komunikatów kierowanych do osób, których dane zostały ujawnione, formułując je w sposób zrozumiały i przystępny, co ułatwia spełnienie wymogów art. 34 RODO. Dodatkowo, AI może służyć do monitoringu reakcji w mediach społecznościowych i kanałach kontaktu z klientami, co pozwala na szybką identyfikację niepokojących sygnałów i właściwe dostosowanie komunikacji.
Z drugiej strony stosowanie AI wiąże się z określonymi ryzykami. Wprowadzenie danych osobowych, zwłaszcza wrażliwych, do narzędzi generatywnych, zwłaszcza działających w chmurze lub w środowiskach zewnętrznych, może samo w sobie stanowić naruszenie przepisów o ochronie danych osobowych. Istnieje również ryzyko podejmowania decyzji automatycznych bez odpowiedniego nadzoru, co może prowadzić do błędnej klasyfikacji danych lub generowania nieprecyzyjnych informacji w zawiadomieniach, a tym samym zwiększać ryzyko niewłaściwego informowania osób, których dane dotyczą. Ponadto w przypadku korzystania z usług AI zlokalizowanych poza granicami kraju lub w innym państwie członkowskim Unii Europejskiej, przedsiębiorca musi uwzględnić dodatkowe wymogi związane z przekazywaniem danych i zapewnieniem adekwatnych środków bezpieczeństwa.
Czytaj też w LEX: Analiza ryzyka w ochronie danych osobowych vs. analiza ryzyka w cyberbezpieczeństwie >
W związku z powyższym, AI powinno być postrzegane jako narzędzie wspierające istniejące procedury bezpieczeństwa i ocenę ryzyka, a nie jako ich substytut. Efektywne wykorzystanie sztucznej inteligencji wymaga świadomego i kontrolowanego stosowania, weryfikacji dostawców, a także wdrożenia odpowiednich mechanizmów ograniczających ryzyka związane z przetwarzaniem danych osobowych. Tylko w takim podejściu AI może w sposób znaczący przyczynić się do poprawy bezpieczeństwa danych i efektywności reakcji przedsiębiorstw na incydenty.
Czytaj również: Urzędnicy służbowe listy muszą wysyłać z prywatnych kont>>
Wyciek danych osobowych pozostaje jednym z największych wyzwań dla współczesnych przedsiębiorstw, wymagając szybkiej reakcji zarówno pod względem technicznym, jak i prawnym. Kluczowe znaczenie ma prawidłowe przygotowanie zawiadomienia dla osób, których dane zostały naruszone (bez względu na to, czy wyciek dotyczy danych pracowników, czy klientów przedsiębiorcy), tak aby było zrozumiałe, kompletne i umożliwiało podjęcie odpowiednich działań ochronnych. Jednocześnie przedsiębiorcy muszą pamiętać o obowiązku zgłoszenia incydentu organowi nadzorczemu w ciągu 72 godzin oraz o ryzykach formalnych, cywilnych i reputacyjnych związanych z treścią komunikatu.
Sztuczna inteligencja może wspierać ten proces, jednak jej zastosowanie wymaga ostrożności i świadomości potencjalnych zagrożeń dla ochrony danych. W praktyce oznacza to, że skuteczna ochrona danych osobowych w dobie AI wymaga świadomego łączenia technologii z rzetelnymi procedurami, transparentności wobec osób, których dane dotyczą, oraz stałego monitoringu i adaptacji działań w oparciu o obserwowane skutki incydentów.
Klaudia Szwarczyńska, radca prawny - associate w kancelarii Romanowski & Wspólnicy
Czytaj też w LEX: Odpowiedzialność administracyjna za niedochowanie obowiązków związanych z cyberbezpieczeństwem na gruncie reżimów UKSC oraz DORA >
