Zgłoszenie naruszenia do UODO. Jak to zrobić żeby nie pogorszyć swojej sytuacji.

Zgłoszenie naruszenia do UODO. Jak to zrobić żeby nie pogorszyć swojej sytuacji.

Masz 72 godziny. Formularz przed Tobą. I jedno pytanie które każdy zadaje w tym momencie: czy to co napiszę może mi zaszkodzić? Tak. Oto jak tego uniknąć.

Zgłoszenie naruszenia do UODO jest obowiązkiem. Ale sposób w jaki to zrobisz ma znaczenie.

Nie chodzi o ukrywanie faktów. Chodzi o to żebyś opisał sytuację rzetelnie i profesjonalnie – bo niedbałe, chaotyczne zgłoszenie które sprawia wrażenie że sam nie wiesz co się stało wysyła do organu sygnał że Twój system zarządzania bezpieczeństwem danych jest w złym stanie. A to jest dokładnie ten sygnał który może zamienić proceduralne zgłoszenie w pełne postępowanie administracyjne.

Zasada pierwsza: nie sprawiaj wrażenia że nie wiesz co się dzieje

To jest najważniejsza zasada i jednocześnie najtrudniejsza do realizacji gdy jesteś w środku kryzysu.

72 godziny to mało czasu. Często nie wiesz jeszcze pełnej skali naruszenia. Nie wiesz dokładnie jakie dane wyciekły, do kogo i czy zostały już wykorzystane. To jest normalne – organy nadzorcze o tym wiedzą.

Problem pojawia się gdy zgłoszenie brzmi jak zapis paniki. "Nie wiemy dokładnie co się stało. Być może wyciekły dane. Nie jesteśmy pewni ilu osób. Nadal sprawdzamy."

Takie zgłoszenie nie jest szczere – jest niedbałe. I UODO to wyczuje.

Co zamiast tego? Opisz to co wiesz z precyzją na jaką pozwala aktualny stan wiedzy. Użyj formuł które są uczciwe ale profesjonalne. "Na podstawie dostępnych informacji na moment zgłoszenia ustalono że..." "Dochodzenie wewnętrzne jest w toku i zakres naruszenia może zostać doprecyzowany w terminie późniejszym." "Szacowana liczba rekordów objętych naruszeniem wynosi X-Y."

Możesz nie wiedzieć wszystkiego. Nie możesz brzmieć jakbyś nie wiedział nic.

Zasada druga: liczba rekordów to nie jest prosta liczba

Jedno z najczęściej źle wypełnianych pól w formularzu zgłoszeniowym.

Formularz pyta o liczbę rekordów danych osobowych objętych naruszeniem. Brzmi prosto. Nie jest.

Problem polega na tym że "rekord" nie ma jednoznacznej definicji w RODO. Czy rekord to jedna osoba? Jeden wpis w bazie danych? Jeden wiersz w Excelu? Jedna wartość w komórce?

Jeśli wyciekł Excel z pięcioma kolumnami i tysiącem wierszy – czy to tysiąc rekordów czy pięć tysięcy?

Najlepsze podejście które stosuję w praktyce to operowanie rzędami wielkości zamiast precyzyjnymi liczbami których i tak nie możesz w pełni zweryfikować w ciągu 72 godzin. Zamiast pisać "1247 rekordów" – napisz "1000-10000 rekordów." Zamiast "dokładnie 3 osoby" napisz "1-10 osób."

To nie jest unikanie precyzji. To jest uczciwa precyzja – bo każda konkretna liczba którą podasz a która okaże się błędna może być później interpretowana na Twoją niekorzyść. Rząd wielkości jest zawsze prawdziwy i jest zawsze weryfikowalny.

Zasada którą stosuję: jeden zero to dziesiątki, dwa zera to setki, trzy zera to tysiące. Podaję zakres który obejmuje moją najlepszą ocenę z marginesem błędu w obie strony.

Zasada trzecia: czas zakończenia naruszenia to nie zawsze oczywista data

Formularz pyta o datę rozpoczęcia i zakończenia naruszenia.

Data rozpoczęcia jest zazwyczaj możliwa do ustalenia – kiedy doszło do incydentu, kiedy wysłano błędny mail, kiedy wykryto nieautoryzowany dostęp.

Data zakończenia jest trudniejsza. Naruszenie technicznie trwa dopóki nieuprawniona osoba ma dostęp do danych albo dopóki dane są w obiegu bez możliwości ich odzyskania lub usunięcia.

Co wpisać gdy nie możesz ustalić kiedy naruszenie się zakończyło?

Najrozsądniejsza praktyka to wskazanie daty gdy podjąłeś ostatnie możliwe działania zaradcze – gdy zresetowałeś hasła, gdy cofnąłeś dostęp, gdy wysłałeś żądanie usunięcia danych do odbiorcy który je otrzymał. To jest moment gdy zrobiłeś wszystko co było w Twojej mocy.

Zasada czwarta: trzy rzeczy które opisujesz oddzielnie i których nie wolno mylić

To jest błąd który widzę najczęściej w zgłoszeniach – mieszanie trzech oddzielnych kwestii w jednym akapicie.

Formularz oczekuje że opiszesz je osobno. Jeśli tego nie zrobisz – zgłoszenie wygląda chaotycznie i sprawia wrażenie że administrator sam nie rozumie co się stało.

Pierwsze: dotychczasowe środki bezpieczeństwa które były stosowane przed naruszeniem.

To jest opis Twojego systemu ochrony danych w stanie sprzed incydentu. Jakie zabezpieczenia techniczne i organizacyjne miałeś wdrożone. Szyfrowanie, kontrola dostępu, polityki, szkolenia, monitoring. Opisujesz to co już istniało – nie to co robisz teraz.

To jest ważne bo pokazuje że naruszenie nie było wynikiem całkowitego zaniedbania bezpieczeństwa ale mogło być skutkiem czegoś na co żaden system nie jest w stu procentach odporny.

 

Drugie: co zrobiłeś żeby zatrzymać naruszenie i ograniczyć jego zakres.

To są działania reaktywne podjęte bezpośrednio po wykryciu incydentu. Zresetowanie hasła. Cofnięcie uprawnień. Zablokowanie konta. Odwołanie dostępu. Kontakt z odbiorcą który otrzymał dane i żądanie ich usunięcia. Zabezpieczenie logów.

Opisujesz konkretne działania z datami i godzinami jeśli je znasz. Im bardziej konkretnie – tym lepiej.

Trzecie: co zamierzasz zrobić żeby sytuacja się nie powtórzyła.

To jest plan naprawczy skierowany w przyszłość – nie na minimalizację skutków naruszenia które już nastąpiło ale na wyeliminowanie luki która do niego doprowadziła. Wdrożenie szyfrowania którego brakowało. Zmiana procedur dostępu. Szkolenie pracowników. Aktualizacja systemu. Wdrożenie monitoringu który pozwoli wykrywać podobne incydenty wcześniej.

UODO patrzy na tę sekcję żeby ocenić czy administrator wyciągnął wnioski i czy podobne naruszenie może się powtórzyć. Ogólniki w stylu "wdrożymy dodatkowe środki bezpieczeństwa" są słabe. Konkretne działania są mocne.

Kilka praktycznych obserwacji z doświadczenia

Nie czekaj z zgłoszeniem do momentu gdy masz wszystkie informacje. 72 godziny liczone są od momentu stwierdzenia naruszenia – nie od momentu zakończenia wewnętrznego dochodzenia. Zgłoś to co wiesz i poinformuj że uzupełnisz informacje. Niezgłoszenie w terminie jest poważniejszym problemem niż zgłoszenie niepełne.

Zachowaj całą dokumentację procesu zgłaszania. Screenshoty formularza, potwierdzenia wysyłki, wewnętrzne maile z analizą incydentu, logi systemowe. Jeśli UODO wróci do sprawy – masz dowody że działałeś profesjonalnie.

Nie panikuj przy pytaniu o ryzyko dla osób fizycznych. Formularz pyta czy naruszenie może powodować wysokie ryzyko dla praw i wolności osób. To jest pytanie które wyznacza czy masz obowiązek poinformować poszkodowanych. Oceń to rzetelnie – ani nie bagatelizuj ani nie dramatyzuj. Przy danych zdrowotnych, finansowych lub dużej skali – wysokie ryzyko jest prawdopodobne. Przy jednym błędnym mailu z imieniem i nazwiskiem – prawdopodobnie nie.

Dobrowolne zgłoszenie w terminie jest zawsze lepiej widziane niż zgłoszenie po fakcie. UODO w swoich decyzjach wielokrotnie wskazywał że współpraca administratora i terminowe zgłoszenie są okolicznościami łagodzącymi przy wymiarze ewentualnej kary.

Czego absolutnie nie robić

Nie koloryzuj środków bezpieczeństwa które miałeś przed naruszeniem. Jeśli nie miałeś szyfrowania – nie piszesz że miałeś "zaawansowane zabezpieczenia." UODO może to zweryfikować i rozbieżność między zgłoszeniem a stanem faktycznym jest znacznie gorsza niż przyznanie że zabezpieczenia były niewystarczające.

Nie podawaj konkretnych liczb które są domysłem. Rząd wielkości z przedziałem jest lepszy niż precyzyjna liczba która jest błędna.

Nie mieszaj tego co zrobiłeś z tym co masz dopiero zrobić. UODO rozróżnia działania już podjęte od planowanych i traktuje je inaczej.

Nie wpisuj planów naprawczych jeśli nie zamierzasz ich realizować - UODO bardzo tego pilnuje i dopytuje.

Czy muszę zgłosić naruszenie do UODO jeśli wyciekł tylko jeden mail z danymi jednej osoby?

Niekoniecznie – ale musisz to ocenić a nie zakładać że nie. Obowiązek zgłoszenia powstaje gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeden mail z imieniem i nazwiskiem do złego odbiorcy w firmie – ryzyko niskie, zgłoszenie prawdopodobnie niekonieczne ale odnotuj w rejestrze naruszeń. Jeden mail z numerem PESEL, danymi zdrowotnymi lub danymi finansowymi – ryzyko wysokie, zgłoszenie wymagane. Kluczem jest kategoria danych a nie liczba osób. Dlatego każde naruszenie oceniasz indywidualnie i dokumentujesz tę ocenę nawet jeśli decydujesz się nie zgłaszać.

Co zrobić jeśli 72 godziny minęły a dopiero teraz zorientowałem się że powinienem był zgłosić?

Zgłoś natychmiast mimo przekroczenia terminu. Spóźnione zgłoszenie jest złe – niezgłoszenie jest gorsze. W treści zgłoszenia wyjaśnij kiedy stwierdziłeś naruszenie, kiedy oceniłeś że wymaga zgłoszenia i dlaczego nastąpiło opóźnienie. Jeśli opóźnienie wynikało z czasu potrzebnego na ocenę ryzyka a nie z zaniedbania – to jest argument łagodzący. UODO bierze pod uwagę okoliczności opóźnienia przy ocenie naruszenia. Brak zgłoszenia w ogóle jest kwalifikowany jako osobne i poważniejsze naruszenie niż zgłoszenie po terminie.

Czy mogę uzupełnić zgłoszenie po fakcie jeśli w ciągu 72 godzin nie miałem wszystkich informacji?

Tak i jest to przewidziana i akceptowana praktyka. Formularz UODO pozwala na złożenie zgłoszenia wstępnego z informacją że dane będą uzupełnione. W zgłoszeniu wstępnym wskazujesz to co wiesz na moment zgłoszenia i zaznaczasz że dochodzenie wewnętrzne trwa. Uzupełnienie składasz gdy masz pełniejszy obraz – najczęściej w ciągu kilku do kilkunastu dni. Ważne jest żebyś w zgłoszeniu wstępnym wyraźnie zaznaczył że informacje są niepełne i że uzupełnienie nastąpi. Milczenie po zgłoszeniu wstępnym bez uzupełnienia jest sygnałem że dochodzenie wewnętrzne nie zostało przeprowadzone.

Jak opisać liczbę rekordów gdy wyciekła cała baza danych której dokładnego rozmiaru nie znam?

Operuj rzędami wielkości. Jeśli wiesz że baza ma "kilka tysięcy klientów" – napisz "1000-10000 rekordów." Jeśli wiesz że to "duży sklep internetowy działający od kilku lat" – możesz szacować na podstawie typowej skali działalności. Nie musisz liczyć każdego wiersza w bazie przed zgłoszeniem. Musisz podać uczciwy szacunek który możesz uzasadnić. Jeśli po zakończeniu dochodzenia okaże się że liczba była inna – uzupełnij zgłoszenie z wyjaśnieniem jak doszedłeś do pierwotnego szacunku. Rozbieżność między szacunkiem a rzeczywistością jest akceptowalna jeśli szacunek był uczciwy. Celowe zaniżanie skali naruszenia nie jest.

Czy informowanie osób poszkodowanych jest obowiązkowe i jak to zrobić?

Obowiązek informowania osób poszkodowanych powstaje gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności – to jest wyższy próg niż obowiązek zgłoszenia do UODO. Przy danych zdrowotnych, finansowych, danych szczególnej kategorii lub przy dużej skali naruszenia – wysokie ryzyko jest prawie zawsze spełnione. Informacja do poszkodowanych musi być bezpośrednia – nie wystarczy ogłoszenie na stronie internetowej. Musi być zrozumiałym językiem i zawierać opis naruszenia, dane kontaktowe IOD, możliwe konsekwencje i kroki które podjąłeś żeby ograniczyć ryzyko. Jeśli nie wiesz jak skontaktować się z poszkodowanymi – informujesz o tym UODO który może nakazać inny sposób informowania.

Czy zgłoszenie naruszenia automatycznie powoduje wszczęcie postępowania i karę?

Nie. Samo zgłoszenie naruszenia nie jest równoznaczne z wszczęciem postępowania administracyjnego. UODO analizuje zgłoszenia i większość kończy się bez dalszych działań organu – szczególnie gdy naruszenie zostało dobrze opisane, podjęto odpowiednie działania zaradcze i ryzyko dla poszkodowanych jest niskie lub zostało ograniczone. Postępowanie jest wszczynane gdy naruszenie wskazuje na systemowe problemy z bezpieczeństwem danych, gdy administrator nie podjął odpowiednich działań lub gdy skarga poszkodowanego nakłada się na zgłoszenie naruszenia. Dobrowolne i terminowe zgłoszenie ze szczegółowym opisem działań zaradczych jest przez UODO traktowane jako okoliczność łagodząca nawet gdy naruszenie było poważne.

Co wpisać w polu "opis naruszenia" żeby brzmiało profesjonalnie a nie chaotycznie?

Trzymaj się struktury: co się stało, kiedy to wykryto, jakie dane były objęte, kto mógł uzyskać nieautoryzowany dostęp. Unikaj słów które sygnalizują że sam nie wiesz co się dzieje – "wydaje się że," "być może," "nie jesteśmy pewni czy." Zamiast tego używaj formuł które są uczciwe ale precyzyjne: "na podstawie dostępnych informacji ustalono że," "w trakcie dochodzenia wewnętrznego stwierdzono," "nie można wykluczyć że." Krótkie akapity. Chronologia. Fakty. Żadnych ocen moralnych ani przeprosin w opisie technicznym – te elementy mogą być w sekcji działań zaradczych ale nie w opisie naruszenia.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.