Strona główna / Zawiadomienie osób o naruszeniu

Zawiadomienie o Naruszeniu RODO: Kiedy i Jak Informować Osoby?

Zawiadomienie osób, których dane dotyczą, o naruszeniu ich prywatności, to jeden z najbardziej wrażliwych i odpowiedzialnych obowiązków administratora. To moment, w którym transparentność spotyka się z zarządzaniem kryzysowym. Dobrze przeprowadzona komunikacja może nie tylko spełnić wymóg prawny, ale także pomóc ofiarom naruszenia i ocalić reputację firmy. Błąd na tym etapie może natomiast pogłębić kryzys i narazić organizację na dodatkowe straty.

Kiedy Zawiadomienie o Naruszeniu jest Obowiązkowe? (Wysokie Ryzyko)

Kluczowym kryterium jest "wysokie ryzyko naruszenia praw lub wolności osób fizycznych". To próg wyższy niż w przypadku obowiązku zgłoszenia do Urzędu Ochrony Danych Osobowych (UODO). Samo stwierdzenie naruszenia i ryzyka na poziomie niskim lub średnim obliguje do zgłoszenia do UODO (chyba, że ryzyko jest znikome), ale niekoniecznie do informowania wszystkich zainteresowanych.

Wysokie ryzyko to nie to samo co "jakiekolwiek" ryzyko. Musisz dokonać rzetelnej oceny. Jeśli np. wyciekły tylko adresy e-mail, ryzyko może nie być wysokie. Ale jeśli wyciekły e-maile w połączeniu z hasłami, danymi finansowymi lub informacjami o stanie zdrowia, ryzyko niemal na pewno zostanie ocenione jako wysokie.

Co Musi Zawierać Zawiadomienie o Naruszeniu Danych?

Zgodnie z Art. 34 RODO, komunikat musi być napisany prostym i zrozumiałym językiem i zawierać co najmniej cztery kluczowe elementy:

Elementy obowiązkowe zawiadomienia

  • Opis charakteru naruszenia (co się stało, jakie dane zostały naruszone).
  • Imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych lub innego punktu kontaktowego, gdzie można uzyskać więcej informacji.
  • Opis prawdopodobnych konsekwencji naruszenia (np. ryzyko kradzieży tożsamości, oszustw finansowych, phishingu).
  • Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Celem jest nie tylko poinformowanie, ale przede wszystkim wyposażenie osoby w wiedzę, która pozwoli jej się chronić. Warto dodać praktyczne porady, np. "zmień hasło w innych serwisach, jeśli używałeś tego samego", "uważaj na podejrzane telefony i maile powołujące się na ten incydent".

Forma i termin zawiadomienia

RODO nakazuje działać "bez zbędnej zwłoki". Oznacza to, że gdy tylko ocenisz ryzyko jako wysokie, powinieneś rozpocząć proces komunikacji. Zazwyczaj odbywa się to równolegle lub tuż po zgłoszeniu naruszenia do UODO.

Preferowaną formą jest komunikacja bezpośrednia (np. e-mail, SMS, list), ponieważ daje pewność, że informacja dotarła do właściwej osoby. Jeśli jednak komunikacja bezpośrednia wymagałaby niewspółmiernie dużego wysiłku, dopuszczalny jest publiczny komunikat (np. na stronie głównej firmy, w mediach), o ile zapewni on równie skuteczne poinformowanie zainteresowanych.

Wyjątki: Kiedy Nie Trzeba Informować o Naruszeniu?

Art. 34 ust. 3 RODO przewiduje trzy konkretne sytuacje, w których obowiązek zawiadomienia jest uchylony, nawet jeśli ryzyko zostało ocenione jako wysokie:

Trzy wyjątki od obowiązku zawiadamiania

  1. Zastosowano odpowiednie środki techniczne i organizacyjne, które sprawiają, że dane są niezrozumiałe dla osób nieuprawnionych (np. dane były zaszyfrowane silnym algorytmem, a klucz do ich odszyfrowania nie został naruszony).
  2. Zastosowano środki następcze, które skutecznie eliminują prawdopodobieństwo wystąpienia wysokiego ryzyka (np. natychmiastowe zablokowanie dostępu i wiarygodne potwierdzenie, że dane nie zostały skopiowane ani dalej ujawnione).
  3. Wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku należy jednak wydać publiczny komunikat, który w równie skuteczny sposób poinformuje zainteresowane osoby.

Oceń ryzyko, aby podjąć właściwą decyzję

Nasz kalkulator pomoże Ci ocenić, czy ryzyko jest wysokie i czy musisz zawiadomić osoby, których dotyczy naruszenie. To kluczowy krok przed podjęciem decyzji o komunikacji.

Przejdź do kalkulatora ryzyka