Kiedy 20 lutego 2025 r. UODO opublikował nowy, zaktualizowany poradnik z wytycznymi zawierającymi obowiązki administratorów w związku z naruszeniami ochrony danych osobowych, dość szybko pojawiły się pierwsze opracowania mówiące o znaczącej zmianie podejścia organu. Ale czy w istocie organ zmienił je, czy jedynie doprecyzował?

Krótko o poradniku

Nowy poradnik stanowi zaktualizowaną wersję poradnika z 2019 r., ale jest wzbogacony o usystematyzowanie rozumienia przepisów RODO oraz wskazówki dotyczące bieżących praktyk – sposobu, w jaki administratorzy na co dzień powinni postępować w obsłudze naruszeń. Nie ma na celu zastąpienia przepisów RODO ani oficjalnych wytycznych, a raczej prezentuje kurs obrany przez UODO przy interpretacji obowiązków podmiotów biorących udział w obsłudze naruszeń ochrony danych osobowych.

Analiza treści poradnika wzbudza jednak pewne wątpliwości wobec zaprezentowanego stanowiska organu. Największe kontrowersje wzbudziło posłużenie się przez organ pojęciem „braku ryzyka” przy analizie, czy konieczne jest zawiadomienie organu o zaistniałym naruszeniu oraz podejście do roli IOD.

Identyfikowanie naruszeń – dlaczego pojęcie „brak ryzyka” wzbudza kontrowersje?

Zgodnie z art. 33 ust. 1 RODO, zasadą jest, że zgłaszamy naruszenie, „chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Tymczasem organ wskazuje, że administrator może odstąpić od zgłoszenia naruszenia, jeżeli nie wiąże się ono z „brakiem ryzyka”.

Językowo, pojęcie „brak ryzyka” a „mało prawdopodobne” nie są tożsame. „Brak ryzyka” wskazuje na pewność, a „mało prawdopodobne” pozostawia pewien margines błędu w ocenie. W konsekwencji istnieje obawa, że „brak ryzyka” obejmie mniej sytuacji niż „mało prawdopodobne”, a zatem zgłoszeniom podlegać będzie znacznie większa liczba naruszeń, które dotychczas administratorzy oceniali jako „mało prawdopodobne”, by skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych.

Organ wyjaśnia, że „brak ryzyka” to taka sytuacja, w której można jednoznacznie stwierdzić, że ryzyko prawdopodobnie nie wystąpi – brak jest realnych szans na materializację ryzyka. Innymi słowy, ryzyko jest niemal zerowe. Organ tłumaczy zatem, że zgłoszeniu podlega naruszenie, które może stwarzać ryzyko. Wyjątkiem jest małe prawdopodobieństwo ryzyka (zgodnie z art. 33 ust. 1 RODO), które organ nazwał w uproszczeniu „brakiem ryzyka”. Przyjmując takie wyjaśnienia organu, rzeczywiście należy uznać, że podejście organu nie zostało zaostrzone.

Ale skoro intencją urzędu było tylko ujednolicenie dotychczasowej praktyki, to dlaczego konsekwentnie posłużono się pojęciem sugerującym pewność tj. „brak ryzyka” zamiast RODO-wego „mało prawdopodobne”?

Rola IOD w procesie obsługi naruszeń

Zasadą jest, że IOD powinni być włączani we wszystkie sprawy z zakresu ochrony danych osobowych, w tym związane z naruszeniami.

Poradnik wymienia działania, których IOD nie powinien podejmować za administratora czy też w jego imieniu na podstawie pełnomocnictwa, co może doprowadzić do konfliktu interesów. Wymieniono takie działania jak m.in. dokumentowanie naruszeń, zgłaszanie naruszeń za administratora oraz podejmowanie decyzji o zobowiązaniach związanych z bezpieczeństwem.

Kwestia prowadzenia dokumentacji wydaje się wątpliwa. Jest to po prostu czynność dokumentująca dane zdarzenie faktyczne – incydent, który miał miejsce. Dokumentowanie nie oznacza automatycznego zgłoszenia naruszenia do organu, czyli czynności zarezerwowanej dla administratora. Umożliwia też inspektorowi czujność nad tym, co się dzieje w organizacji. Pozwala na weryfikację, jakie naruszenia się powtarzają, a jakie są wyjątkami. Na tej podstawie IOD może formułować wnioski i opinie w zakresie np. stosowanych środków bezpieczeństwa. Biorąc pod uwagę, że prowadzenie takiej dokumentacji należy w praktyce do typowych zadań IOD, zakaz jej sporządzania wydaje się nieuzasadniony.

Jak działać?

Poradnik jest przede wszystkim „instrukcją” dla kierunku działań urzędu – administratorzy pod tym względem powinni zweryfikować dotychczasową praktykę w obsłudze naruszeń ochrony danych osobowych. Z kolei osoby pełniące funkcję IOD powinny zweryfikować zakres czynności, aby uniknąć sytuacji, w której ich działania mogłyby zostać uznane za wykonywanie obowiązków zarezerwowanych dla administratora.

Czas pokaże, czy w rzeczywiście dojdzie do zmiany podejścia i ograniczenia liczby przypadków uznania naruszenia za „mało prawdopodobne”, z obawy, że nie spełnia ono kryterium „braku ryzyka” przyjętego przez organ.

Paulina Kleszcz