sekretariat@kancelariarbr.pl

+48 732 555 472

PL / EN

Doszło do naruszenia ochrony danych osobowych – co dalej? 

kwi 15, 2025RODO

W lutym 2025  Prezes Urzędu Ochrony Danych Osobowych wydał drugi „Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. v.2”., który stanowi informację w jaki sposób interpretować przepisy RODO, w tym praktyczne wskazówki jak zapobiegać naruszeniom ochrony danych osobowych. 

Każdy Administrator musi postawić sobie pytanie w jaki sposób postąpić w przypadku wystąpienia naruszenia ochrony danych osobowych. Najlepiej zawczasu przygotować politykę ochrony danych osobowych w którym zawarta będzie procedura reagowania w razie wykrycia naruszenia. Omawiany Poradnik UODO daje dużo praktycznych wskazówek jak zaradzić naruszeniom, w jaki sposób przeprowadzić ocenę ryzyka i jak dokumentować ten proces.  

Jak zaradzić naruszeniom ochrony danych osobowych i ich skutkom? 

W przypadku stwierdzenia przez Administratora naruszenia ochrony danych osobowych niezbędne jest podjęcie natychmiastowych działań zaradczych do których należy: 

  1. podjęcie działań mających na celu powstrzymanie i ograniczenie incydentu – należy niezwłocznie przerwać jego przebieg i zapobiec rozpowszechnianiu się naruszenia, w tym większego wycieku danych. Każdy incydent należy oceniać indywidualnie jednak przykładami powstrzymania lub ograniczenia naruszenia jest: 
  • wyniesienie/ przeniesienie dokumentów lub nośników danych do bezpiecznego miejsca (zabezpieczanie przed fizycznym zniszczeniem lub dostępem osób nieuprawnionych), 
  • zablokowanie kont użytkowników, którzy dopuścili się naruszenia, 
  • zatrzymanie mechanizmów powodujących naruszenie, np. automatycznej wysyłki maili do niewłaściwych obiorców, 
  • odłączenie urządzeń od sieci w przypadku np. cyberataku czy działaniu szkodliwego wirusa, 
  1. zminimalizowanie skutku incydentu – poprzez zmniejszenie potencjalnych szkód np. poprzez: 
  • poinformowanie osób których dane zostały naruszone o wycieku danych, skutkach tego naruszenia tak by osoby te mogły podjąć odpowiednie środki ostrożności (np. poprzez zmianę haseł, zastrzeżenie numeru PESEL, monitorowanie nieautoryzowanych transakcji itp.) 
  • nawiązanie współpracy z właściwymi organami – Urząd Ochrony Danych Osobowych, Policja, CERT, 
  • nawiązanie kontaktu z nieuprawnionym odbiorcą danych w celu uzyskania zapewnienia o usunięciu i nie wykorzystaniu danych, 
  1. przywrócenie bezpieczeństwa np. poprzez: 
  • odtworzenie/ przywrócenie utraconych danych, 
  • usunięcie przyczyn incydentu, np. luki w zabezpieczeniach, poprawa procedur, wprowadzenie dodatkowych zabezpieczeń. 

To jest istotne! Na Administratorze oraz na podmiocie przetwarzającym spoczywa obowiązek wykazania (udokumentowania!), że Administrator zaradził naruszeniu ochrony danych osobowych. Zarówno Administrator jak i podmiot przetwarzający powinni ściśle współpracować, a podmiot przetwarzający jest zobowiązany do postępowania zgodnie z wytycznymi Administratora, tak by skutecznie opanować incydenty. 

Ocena ryzyka naruszenia ochrony danych osobowych 

Jeżeli już doszło do naruszenia ochrony danych osobowych Administrator powinien przeprowadzić ocenę ryzyka. W zależności bowiem od naruszenia, może ono powodować różne negatywne skutki dla osób których dane dotyczą. Niektóre naruszenia mogą być zupełnie niegroźne, inne zaś powodować poważne konsekwencja dla podmiotów danych. 

Co powinno się brać pod uwagę przy ocenie ryzyka?  

Przede wszystkim wagę naruszeń, potencjalne konsekwencje oraz prawdopodobieństwo ich wystąpienia.  

Nie mniej istotne są okoliczności zdarzenia:  

  • charakter, wrażliwość i zakres danych osobnych, liczba osób dotkniętych naruszeniem, cechy szczególne tych osób lub administratora,  
  • rodzaj naruszenia,  
  • charakter, wrażliwość i zakres danych osobowych,  
  • to czy można z łatwością zidentyfikować osobowe  
  • jak dotkliwe konsekwencje może rodzić naruszenie dla podmiotu danych. 

Rolą Administratora jest ustalenie czy naruszenie danych osobowych może wiązać się z: 

  1. brakiem ryzyka. Sytuacja taka może mieć miejsce gdy naruszone dane osobowe są już publicznie dostępne lub dane, mimo naruszenia są zaszyfrowane w taki sposób, że brak jest możliwości zapoznania się z nimi osób postronnych. Z brakiem ryzyka możemy mieć również do czynienia, gdy Administrator skutecznie zaradził incydentowi. 
  1. ryzykiem  – wówczas nałożony został na Administratora obowiązek zgłoszenia  naruszenia Prezesowi UODO.  
  1. wysokim ryzykiem  – i powiązanym z tym obowiązkiem zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą. Każdy przypadek naruszenia należy oceniać indywidualnie, jednak co do zasady o wysokim ryzyku będziemy mówić ze względu na: 
  • Rodzaj danych– incydentem objęte są dane tj. PESEL lub dane wrażliwe (informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane finansowe, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności, orientacji seksualnej, wyroków skazujących, czynów zabronionych), 
  • Szeroki zakres danych objętych incydentem, 
  • Szczególna dotkliwość potencjalnych skutków incydentów np. kradzież tożsamości, oszustwa finansowe, stres, zaburzenie poczucia bezpieczeństwa u osób, którychdane dotyczą, 
  • Szczególny charakter -np. dane dzieci, osoby starsze, dane osób wykonujących szczególne zawody np. prokuratorów, 
  • Duża liczba osób objęta incydentem. 

Czy i jak dokumentować naruszenia ochrony danych osobowych? 

Dokumentowanie naruszeń ochrony danych osobowych jest nie tylko obowiązkiem Administratora, ale również służy jako narzędzie do analizy incydentu. Dokumentacja naruszenia ma na celu spełnienie wymogów rozliczalności.  

  • Kiedy trzeba dokumentować naruszenie? Według nowego Poradnika UODO należy dokumentować każde „stwierdzone” naruszenie ochrony danych osobowych, niezależnie od jego charakteru czy ryzyka negatywnych skutków. 
  • Dlaczego trzeba dokumentować naruszenia? W celu wykazania przed UODO, że Administrator właściwie przeanalizował incydent oraz zadbał o interesy osób, których naruszenie dotyczy. 
  • Jak dokumentować? Naruszenie powinniśmy dokumentować w wewnętrznym rejestrze naruszeń danych osobowych, choć prowadzenie odrębnej ewidencji nie jest obowiązkowe.  

Co powinna zawierać dokumentacja naruszenia ochrony danych osobowych? 

  1. okoliczności naruszenia – w tym data, czas wykrycia, czas zakończenia naruszenia, sposób wykrycia, rodzaj, przyczyny, przebieg naruszenia, rodzaj i zakres danych objętych naruszeniem oraz liczba i kategoria osób których naruszenie dotyczyło 
  1. skutki które wystąpiły lub które mogą wystąpić dla osób których dane dotyczą 
  1. uzasadnienie oceny ryzyka 
  1. podjęte działania zaradcze (mające na celu powstrzymanie lub ograniczenie naruszenia lub zminimalizowanie jego skutków) i zapobiegawcze (w celu uniknięcia podobnych naruszeń w przyszłości) 
  1. szczegóły dotyczące zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (data, treść, metoda zawiadomienia,) 
  1. szczegóły dotyczące zawiadomienia osób, które dane dotyczą o naruszeniu ochrony danych osobowych (data, treść, metoda zawiadomienia, liczba osób zawiadomionych itp.) lub uzasadnienie dlaczego Administrator nie zawiadomił osób, których dane dotyczą o naruszeniu. 

Rozliczalność 

Jak wykazać, ze Administrator prawidłowo wykonuje swoje obowiązki? Należy gromadzić (dokumentować) dowody, które w razie potrzeby (np. w przypadku kontroli) mogą być przekazane UODO. Mogą to być: tradycyjne dokumenty (notatki, instrukcje, korespondencja), wyciągi z systemów, raporty z audytów czy testów bezpieczeństwa. Niezbędna zatem jest aktywna postawa Administratora i podmiotu przetwarzającego. Prezes UODO zwraca szczególną uwagę na wypełnienie wymogu rozliczalności.  

Nie należy również zapomnieć, że obowiązkiem Administratora w przypadku naruszenia ochrony danych osobowych może być również zgłoszenie takiego naruszenia do Prezesa UODO. Wypełnienie zobowiązań Administratora w tym zakresie będzie jednak przedmiotem innego artykułu. 

dr Joanna Worona-Vlugt, adwokat

Dorota Piekarska

Partner HR

 

Manager z wieloletnim doświadczeniem w różnych obszarach biznesu, w tym HR, komunikacji i marketingu, sprzedaży, zarządzaniu projektami, organizacji wydarzeń oraz zarządzaniu zasobami ludzkimi. Jej podejście do pracy charakteryzuje pasja do nowych projektów i wyzwań, a także pozytywna energia, którą stara się wnosić do każdego działania.

Magdalena Raniszewska

Partner Zarządzający/ Radca Prawny

 

Prawo nowych technologii to moja pasja, stąd nie ustaję w jego zgłębianiu. By jak najlepiej rozumieć branżę IT i być dla niej wartościowym doradcą, ukończyłam szereg specjalistycznych studiów i szkoleń w zakresie prawa nowych technologii, ale i podstaw IT i programowania (w tym studia podyplomowe „Prawo nowoczesnych technologii” Akademii Leona Koźmińskiego w Warszawie, a także kursy specjalistyczne: „Prawne i techniczne aspekty cyberbezpieczeństwa”, „Szkoła IT dla prawników” oraz „AI&Data; Expert”).

Jestem współautorką publikacji „HR w IT” pod redakcją No Fluff Jobs, a także wykładowcą Wyższej Szkoły Administracji i Biznesu im. E. Kwiatkowskiego w Gdyni, wolontariuszką Fundacji IT Girls i członkiem Komitetu Technicznego Polskiego Komitetu Normalizacyjnego ds. Sztucznej Inteligencji. Wspólnie z Karoliną oraz wspaniałym zespołem od kilku lat buduję naszą kancelarię.
Stawiam na proste i zrozumiałe rozwiązania oraz partnerskie relacje, oparte na zaufaniu.

Żyję sportem i podróżami. Napędza mnie wiatr we włosach. Świat jest moim domem. Moja doba ma 40h.

m.raniszewska@kancelariarbr.pl

Karolina Rychert

Partner Zarządzający/ Doradca Podatkowy

 

Posiadam ponad piętnastoletnie doświadczenie w kwestiach podatkowych i księgowych. Specjalizuję się w podatkach dochodowych, przeglądach podatkowych oraz tworzeniu dokumentacji cen transferowych. Od 2015 r. prowadzę praktykę w zakresie doradztwa podatkowego.

Uczestniczę w pracach Forum Cen Transferowych - zespołu opiniodawczo-doradczego przy Ministrze Finansów. Jestem członkinią Grupy Roboczej ds. opisu zgodności.

Posiadam Certyfikat TPE® – specjalisty w zakresie cen transferowych w ujęciu międzynarodowym i krajowym, wydany przez The Institute of International Tax Accounting and Finance.

Kocham góry, od rodzimych Bieszczad po szkockie Highlands. Tam najlepiej odpoczywam. W wolnych chwilach czytam, czytam i jeszcze raz czytam!

k.rychter@kancelariarbr.pl

dr. Joanna Worona-Vlugt

Adwokat

 

Przez wiele lat pracowałam w dużych warszawskich kancelariach obsługując podmioty z branży leasingowej i bankowej. Nowe technologie zawsze były w kręgu moich zainteresowań zawodowych i naukowych, co w 2017 r. zaskutkowało obroną wyróżnionej przez recenzentów rozprawy doktorskiej „Cyberprzestrzeń a prawo międzynarodowe. Status quo i perspektywy”. Jestem autorką publikacji naukowych i prasowych związanych z tematyką nowych technologii, ochrony danych osobowych i cyberbezpieczeństwa.

 

Wspieram rozwój przedsiębiorstw z branży IT, pomagając w zrozumieniu i zarządzaniu wyzwaniami prawnymi, które wynikają z dynamicznego rozwoju technologii. Moja praca koncentruje się m.in. na doradztwie w zakresie umów IT, ochrony danych oraz własności intelektualnej. Zawsze staram się dostarczać praktyczne rozwiązania, które pozwalają firmom rozwijać się w zgodzie z obowiązującymi regulacjami prawnymi.

 

 

Prywatnie uwielbiam czytać oraz spędzać czas z rodziną i przyjaciółmi.

Aleksandra Kreczmer

Radca Prawny

 

Specjalizuję się w kompleksowej obsłudze prawnej przedsiębiorców, koncentrując się w szczególności na bieżącym doradztwie oraz negocjowaniu umów.

Wspieram przedsiębiorców w rozwiązywaniu codziennych wyzwań prawnych związanych z ich działalnością, kładąc przy tym nacisk na minimalizowanie ryzyka prawnego. Moim priorytetem jest zapewnianie zrozumiałych i dopasowanych do potrzeb klienta rozwiązań, które wspierają rozwój przedsiębiorstwa i realizację założonych celów biznesowych.

 

Wolny czas spędzam aktywnie razem z rodziną i przyjaciółmi.

dr Klaudia Maciejewska

Prawnik, Partner AI

Z branżą IT jestem związana od prawie 6 lat. Łączę obszar prawa, nauki i nowymi technologii, co przejawia się moich aktywnościami w Polskim Komitecie Normalizacyjnym, Komitecie Technicznym ds. Sztucznej Inteligencji oraz Grupie Roboczej ds. Sztucznej Inteligencji. W 2022 r. zostałam nominowana przez Perspektywy Women in Tech do Top 100 Women in AI in Poland w kategorii Leading Projects where AI s an important element.

Moje zawodowe działania skupiają się na prawnych aspektach wykorzystania rozwiązań sztucznej inteligencji w obszarze IT/ICT oraz audytowaniu systemów sztucznej inteligencji. Profesjonalizm, pasja, zaangażowanie, a także interdyscyplinarne spojrzenie na obszar nowych technologii i prawa – to cechy, które opisują mój stosunek do wszelkich zadań, których się podejmuje.

Cenię pracę z ludźmi, przestrzeń i nowe wyzwania.

Anna Jankowiak

Partner ds. ESG

Założycielka marki ESG ASSURED i twórczyni aplikacji mobilnych wspierających ESG i dekarbonizację w organizacjach oraz aplikacji zrzeszających społeczność ESG w Polsce oraz w innych krajach Certyfikowana Ekspertka ESG i zrównoważonego rozwoju. Główne obszary ekspertyzy: CBAM, ślad węglowy, badanie istotności i dialog z interesariuszami, strategia ESG, raportowanie ESG, dekarbonizacja i offsetowanie, w tym angażowanie pracowników, klientów i dostawców w działania na rzecz dekarbonizacji.

Trenerka i mentorka z 20letnim stażem. Wykładowczyni na studiach podyplomowych ESG oraz z grywalizacji. Prelegentka na polskich i międzynarodowych wydarzeniach ESG

Filip Jeżewski

Doradca Podatkowy

 

Swoje dotychczasowe doświadczenie zawodowe zdobywałem w kancelariach podatkowych w Toruniu i Warszawie, w których zajmowałem się bieżącym doradztwem w zakresie prawa podatkowego oraz pomocą we wdrożeniu ulg podatkowych dla przedsiębiorców w podatkach dochodowych. W swojej karierze pomogłem setkom przedsiębiorców we wdrożeniu innowacyjnych ulg, takich jak IP Box.

Prywatnie interesuję się koszykówką oraz wszelkimi newsami związanymi z prawem podatkowym.

 

 

Maria Owczarska

Doradca Podatkowy

 

Swoje doświadczenie zdobywałam dzięki pracy w biurze rachunkowym, a następnie w kancelarii RBR, z którą współpracuję od początku jej powstania. Zajmuję się bieżącą obsługą naszych klientów w zakresie CIT, PIT i VAT, jednak w największym stopniu upodobałam sobie zagadnienia związane z podatkami dochodowymi, w szczególności w zakresie cen transferowych.

Prywatnie jestem miłośniczką psów, spacerów na łonie natury oraz spokojnych chwil w gronie przyjaciół i rodziny. Najchętniej odpoczywam przy dobrej książce, a moim guilty pleasure jest granie w gry RPG – najlepiej te z otwartym światem i obszerną fabułą.

 

Maja Góral-Pawelczyk

Radca prawny

 

Zawodowo rozwijam się w zakresie prawa międzynarodowego, prawa nowych technologii oraz cyberbezpieczeństwa. Klientom RBR pomagam w rozwiązywaniu zawiłości prawnych, dostosowaniu umów i dokumentów korporacyjnych, a także reprezentuję ich w sądzie oraz przed innymi organami administracji publicznej.

Prywatnie jestem miłośniczką wycieczek górskich i wszelakich aktywności z moim labradorem. 

Karolina Gałka

Radca Prawny

 

Swoje doświadczenie zdobywałam już w trakcie studiów podczas pracy w korporacjach oraz w trójmiejskich kancelariach. Zajmowałam się zarówno obsługą prawną przedsiębiorców, jak i sporami sądowymi. Doświadczenia zdobyte na sali sądowej wykorzystuję przy projektowaniu nowych rozwiązań dla klientów kancelarii.

Wolne chwile przeznaczam na odpoczynek, podróże (lub ich planowanie) oraz rozwój osobisty. Zawsze stąpam twardo po ziemi, dlatego wolę literaturę faktu, reportaże czy książki psychologiczne niż sci-fi.

  

Maria Chmielewska-Pilarska

Aplikant Radcowski

 

Dotychczasowe doświadczenie zawodowe zaczęłam zdobywać w trakcie studiów, pracując jako asystentka prawna w warszawskich kancelariach. Zajmowałam się obsługą przedsiębiorców, brałam udział w obsłudze prawnej procesów budowlanych oraz wspomagałam prawników w prowadzonych przez nich postępowaniach sądowych.
Interesuję się szeroko rozumianym prawem cywilnym, handlowym oraz zagadnieniami związanymi z odpowiedzialnością cywilną za błędy medyczne.
W styczniu 2024 roku rozpoczęłam aplikację radcowską w Okręgowej Izbie Radców Prawnych w Gdańsku.

W wolnym czasie lubię biegać, spacerować oraz czytać newsy.

 

Jolanta Sasin

Office Administrator

 

Mam doświadczenie w zakresie prawa administracyjnego, które nabyłam pracując w Urzędzie m.st. Warszawy - w Biurze Geodezji i Katastru oraz dzięki bliskiej współpracy z radcami prawnymi Urzędu. Brałam udział w opiniowaniu projektów rządowych aktów prawnych, opracowaniu oraz opiniowaniu projektów aktów prawa miejscowego w Warszawie, w projektach i procesach cyfryzacji zasobu geodezyjnego (w Gdańsku, Gdyni i Warszawie). Przez 10 lat prowadziłam własną działalność gospodarczą. Jestem licencjonowanym rzeczoznawcą majątkowym ds. wycen nieruchomości i posiadam uprawnienia z dwóch zakresów geodezji.

Prywatnie interesuję się wszystkim, co dotyczy ochrony środowiska. Kibicuję start-up'om, których pomysły wpisują się w trendy ekologiczne. Bardzo obchodzi mnie los zwierząt (mam dwie kotki ze schroniska). Lubię jogę i kilometrowe spacery, szczególnie nad morzem.

 

Oktawia Ostrowska

Starszy Prawnik

 

W dotychczasowej praktyce zajmowałam się prawem cywilnym w zakresie zobowiązań oraz procedurą windykacyjną z uwzględnieniem specyfiki postępowania egzekucyjnego.

 

 

Dodatkowo interesuję się prawem handlowym oraz nowymi technologiami. Rozwijam się, pomagając naszym klientom w sprawach z zakresu prawa handlowego, cywilnego. Odpoczywam podczas wspinaczek górskich i na snowboardzie.