Jak sobie radzić z definicją naruszenia ochrony danych osobowych

Jak sobie radzić z definicją naruszenia ochrony danych osobowych. W lutym 2025 Urząd Ochrony Danych Osobowych opublikował zaktualizowany „Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”. W publikacji tej Urząd sformułował własną definicję „naruszenia ochrony danych” odbiegającą od definicji zawartej w RODO.

Zgodnie z definicją zawartą w art. 4 pkt 12 RODO „naruszenie ochrony danych” oznacza naruszenie bezpieczeństwa [1] prowadzące do przypadkowego lub niezgodnego z prawem [2] zniszczenia, [3] utracenia, [4] zmodyfikowania, nieuprawnionego [5] ujawnienia lub nieuprawnionego [6] dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych -1 -;

Należy pamiętać, że naruszeniem ochrony danych osobowych, zgodnie z RODO, jest tylko to, co opisano w przepisie.

Poradnik PUODO definiuje „naruszenie ochrony danych” w sposób odmienny od RODO, jako „zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność” -2-.

Trudno powiedzieć, dlaczego naruszenie bezpieczeństwa, które występuje w RODO, przez Urząd zostało nazwane „zakłóceniem bezpieczeństwa” i co ten ostatni termin miałby oznaczać.. Tu zajmiemy się jednak głównie wadliwym sformułowaniem „może wpłynąć” (na poufność, integralność, dostępność danych”.

Koncepcja, że samo zagrożenie negatywnymi skutkami dla ochrony danych miałoby stanowić naruszenie ochrony danych osobowych w rozumieniu RODO została pierwotnie zaproponowana przez dra J. Rzymowskiego. Dr Rzymowski ujął tę cechę w tabeli, której fragmenty cytujemy poniżej. Zdaniem dra Rzymowskiego najpierw należy ustalić, czy zdarzenie, które oceniamy „miało charakter

– przypadkowy lub
– niezgodny z prawem[3].

Tak to jest ujęte w tabeli Rzymowskiego. Podobnie napisano w Poradniku: „Przyczynami powstawania naruszeń ochrony danych osobowych mogą być:

zdarzenia przypadkowe;
celowe, bezprawne działania.”[4].

Tak to jest ujęte w tabeli Rzymowskiego. Podobnie napisano w Poradniku: „Przyczynami powstawania naruszeń ochrony danych osobowych mogą być:

zdarzenia przypadkowe;
celowe, bezprawne działania.”[4].

Kluczowy jest element funkcjonalny zdarzenia, które jest lub nie jest naruszeniem. Zdaniem dra Rzymowskiego i zdaniem Urzędu, zbieżnym z poglądem dra Rzymowskiego, żeby dowiedzieć się, czy zdarzenie jest naruszeniem, należy zapytać w sposób wskazany:

„Czy zdarzenie polegało na

zniszczeniu danych osobowych lub
utraceniu danych osobowych lub
zmodyfikowaniu danych osobowych lub
nieuprawnionym ujawnieniu danych osobowych lub
nieuprawnionym dostępie do danych osobowych?

Czy zdarzenie zagrażało (prowadziło do)

zniszczeniem danych osobowych lub
utraceniem danych osobowych lub
zmodyfikowaniem danych osobowych lub
nieuprawnionym ujawnieniem danych osobowych lub
nieuprawnionym dostępem do danych osobowych?”[6].

Aktualny pogląd Urzędu odpowiada tezom dra Rzymowskiego wyrażonym w krytyce poprzedniego poglądu Urzędu. W 2019 roku J. Rzymowski cytował stronę PUODO: „„Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:

naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych; (wytłuszczenie: J. Rz.)
naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.”[7]”.

Rzymowski pisał wtedy, że „Uważam, że słowa te są błędem. Jeżeli zaistnieje naruszenie z wymienionych w przepisie, to zwykle naruszona zostaje co najmniej jedna zasada z art. 5 ust. 1 RODO, zasada czyli uprawnienie. W tym momencie oczywiste jest, że naruszenie takie skutkować musi co najmniej zgłoszeniem do PUODO. PUODO ma na ten temat inne, bardziej liberalne zdanie. Inaczej rzecz ujmując, PUODO uważa, że naruszenie zachodzi, kiedy zagrożenia wymienione w przepisie się zrealizują, ja uważam, że naruszenie bezpieczeństwa zachodzi również wtedy, kiedy pojawia się jedynie ryzyko zaistnienia tych zagrożeń.”[8].

Po latach w poradniku PUODO czytamy, że:

„Naruszenie ochrony danych osobowych pojawia się więc zawsze, gdy dochodzi do zdarzenia, które:

➢ jest incydentem bezpieczeństwa;
➢ dotyczy przetwarzanych danych osobowych;
➢ może doprowadzić do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich.”[9].

Jak widać, PUODO zmienił zdanie i zgodził się z drem Rzymowskim twierdząc obecnie, że nie jest tak, że skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych, ale że wystarczy, że „Naruszenie ochrony danych osobowych (…) może doprowadzić do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich.”.

Niestety, stanowisko Urzędu, zapewne inspirowane poglądami dra Rzymowskiego, nie zasługuje na aprobatę. Sama koncepcja wprowadzania odmiennej definicji pojęcia „ustawowego” jakim jest „naruszenie ochrony danych osobowych” jest błędem interpretacji prawa. Definicje ustawowe można próbować wyjaśniać, ale należy czynić to w odniesieniu do ich składników, czyli użytych w nich sformułowań, obiektów i funktorów.

Już z tego powodu własna definicja Urzędu pojęcia „naruszenia ochrony danych” musi być odrzucona. Jest ona bowiem całkowicie oderwana od definicji legalnej.

Wadliwość poglądów Urzędu (a więc w konsekwencji także poprzedzających je poglądów dra Rzymowskiego) komentowałem w mediach społecznościowych a także w wypowiedzi opublikowanej na prawo.pl w artykule dla red. Tomasza Ciechońskiego (https://www.prawo.pl/biznes/rola-iod-poradnik-uodo-o-naruszeniu-danych-osobowych,531994.html) kilka miesięcy temu. W tym miejscu wskażmy tylko na podstawowe błędy merytoryczne.

Definicja „naruszenia ochrony danych osobowych” zawarta w RODO jest definicją skutkową. Sformułowanie „naruszenie bezpieczeństwa prowadzące do” opisanych negatywnych skutków (niezgodne z prawem zniszczenie, niezgodne z prawem utracenie, niezgodne z prawem zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych) oznacza, że któryś z tych skutków musiał nastąpić.

Jeśli samo polskie sformułowanie „prowadzące do” wydaje się komuś niejasne, wystarczy sięgnąć do innych wersji językowych RODO, aby sprawa ta stała się oczywista.

Wersja angielska, zacznijmy od niej, używa sformułowania „leading to” – odpowiadającego polskiemu „prowadące do”. Spójrzmy co na temat tej definicji mówi „native speaker” irlandzki organ ochrony danych osobowych. W Guidance Note: A Practical Guide to Personal Data Breach Notifications under the GDPR October 2019 (Wytyczne: Praktyczny przewodnik dotyczący powiadamiania o naruszeniach ochrony danych osobowych według RODO. Październik 2019 r.) organ irlandzki pisze „A personal data breach occurs in incidents where personal data are lost, destroyed, corrupted, or illegitimately disclosed. This includes, for example, situations where someone accesses personal data or passes them on without proper authorisation, or where personal data are rendered unavailable through encryption by ransomware, or accidental loss or destruction.”[10].

Idźmy dalej, wersja francuska używa określenia „entraînant”, gdzie słowo „entraîner” oznacza „causer” czyli powodować.

Wersja hiszpańska używa określenia „que ocasione” od słowa „ocasionar” czyli powodować, sprawiać.

Wersja włoska używa określenia „que comporta” od słowa „comportare” czyli pociągać za sobą, wiązać się z.

Europejska Rada Ochrony Danych wystrzegła się pomysłu redefiniowania pojęcia „naruszenia ochrony danych” w swoich wytycznych nr 9/2022 Wersja 2.0. z 9 marca 2023, W każdym przykładzie i w każdej z analizowanych opcji omawia wyłącznie zdarzenia skutkowe: „14. To, co należy rozumieć pod pojęciem „zniszczenia” danych osobowych, powinno być stosunkowo jasne: pojęcie to odnosi się do sytuacji, w której dane już nie istnieją lub przestały istnieć w postaci, w której administrator mógłby je w jakikolwiek sposób wykorzystać. Znaczenie pojęcia „uszkodzenie” również powinno być stosunkowo oczywiste: odnosi się ono do sytuacji, w której dane osobowe zostały zmodyfikowane, zniekształcone lub przestały być kompletne. Jeżeli chodzi o pojęcie „utraty” danych osobowych, należy interpretować je jako odnoszące się do sytuacji, w której dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajdują się one już w jego posiadaniu. Nieuprawnione lub niezgodne z prawem przetwarzanie może oznaczać ujawnienie (lub udostępnienie) danych osobowych odbiorcom, którzy nie są upoważnieni do ich otrzymania (lub do uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania skutkującą naruszeniem przepisów RODO.”. Także w odniesieniu do przejściowej utraty dostępności danych, EROD rozważa sytuację, w której do tej utraty dostępności doszło, a nie „mogło dojść”.

Sprawa, nawet na zdrowy rozum, jest oczywista. Każde pozostawienie otwartych drzwi do biura na noc jest incydentem bezpieczeństwa, ale to nie znaczy, że doszło do naruszenia danych osobowych znajdujących się w tym biurze, jeśli jakiś szpieg tam nie wszedł. A nawet jak wszedł, to niekoniecznie coś przeglądał. Może po prostu ukradł srebrną zastawę albo jakiś obraz Rembrandta (jeśli to była kancelaria adwokacka). Dlatego właśnie EROD pisze, że każde naruszenie ochrony danych osobowych jest incydentem bezpieczeństwa ale nie odwrotnie.

Koncepcja, że każdy incydent bezpieczeństwa sieci komputerowej (bo w każdej sieci przetwarzane są dane osobowe), powinien być zgłaszany Urzędowi jako naruszenie ochrony danych osobowych jest absurdalna. Podobnie, sam wyciek hasła nie musi być zgłaszany. Trudno byłoby obronić nawet pogląd, że każde przejęcie i wykorzystanie uprawnień dostępu (danych uwierzytelniających) do sieci / zasobów wewnętrznych organizacji oznacza już naruszenie ochrony danych osobowych, jeżeli nie wiadomo, czy te dostępy zostały wykorzystane do dostępu do konkretnych danych osobowych – konkretnych plików poczty, innych dokumentów, systemów HRowych, etc.

Spójrzmy do tak zwanej „pierwszej z brzegu” decyzji Urzędu, ze skargi na włamanie na konta i nielegalne przetwarzanie danych. Otóż Urząd stwierdza, co następuje: „W ocenie organu, wskazanie przez pełnomocnika Skarżącej adresów IP, z którego miały następować logowania na konto Skarżącej na portalu LinkedIn nie świadczy bezspornie, aby z danych adresów logowali się pracownicy Spółki. Ponadto, Skarżąca, ani jej pełnomocnik nie wykazali, aby w ramach wymienianych logowań dochodziło do pobierania czy przeglądania danych osobowych Skarżącej, w których posiadaniu byłaby aktualnie Spółka” [11]. Chodzi o sytuację, gdy z lokalizacji byłego pracodawcy logowano się do LinkedIn byłej pracownicy. Urząd stanął tu na stanowisku „palił ale się nie zaciągał”, czyli że nawet w sytuacji, gdy ktoś od byłego pracodawcy miał dostęp do konta LinkedIn [12], to nie znaczy, że z tego dostępu skorzystał i przeglądał wpisy i wiadomości. Na ile pogląd ten znajduje oparcie w doświadczeniu życiowym w kontekście danej sprawy, to pozostawmy na boku. Tu mamy natomiast wyraźny dowód, że Urząd stosuje jednak podejście skutkowe – gdzie trzeba wręcz wykazać, że ktoś do konkretnych danych sięgnął, a nie tylko, że przełamał zabezpieczenia i miał do nich dostęp.

W 2018 napisałem w „RODO. Przewodnik ze wzorami”, że „naruszenie ochrony danych jest skutkowym (nieodwracalnym) naruszeniem bezpieczeństwa informacji dotyczącym danych osobowych”[13]. Pogląd ten, z konieczności, dalej odpowiada treści definicji naruszenia ochrony danych osobowych zawartej w RODO. Odpowiada on także logice, dla której zasada „poufności i integralności” danych, zawarta w art. 5 ust. 1 lit. 5 RODO nazywa się tak właśnie a RODO samo nie kładzie nacisku na samą dostępność danych, zaś jako naruszenia traktuje się tylko skutkową niedostępność danych (czyli taką niedostępność, z której wyniknęły negatywne skutki).

Zdaniem Gawrońskiego ... Podsumowując, własna definicja „naruszenia ochrony danych osobowych” przyjęta w Poradniku PUODO, jakkolwiek odpowiada poglądom dra Rzymowskiego, jest i nielegalna – jako zasadniczo aberrująca od elementów definicji zawartej RODO, jak i nietrafna, z uwagi na to, że jako naruszenie ochrony danych traktuje każdy incydent bezpieczeństwa informacji dotyczący danych osobowych, a nie tylko, przeciwnie do definicji legalnej, wyłącznie incydenty skutkujące naruszeniem poufności, integralności czy (jednak w drodze wykładni rozszerzającej treść definicji naruszenia) naruszenia dostępności, które same doprowadziły do negatywnych skutków.

Pobierz tekst: „Jak sobie radzić z definicją naruszenia ochrony danych osobowych”

Przypisy

[1] Wytłuszczenia i numerki dodane przez autora w celu wskazania na elementy definicji naruszenia ochrony danych istotne z perspektywy zagadnień omawianych w artykule.
[2] Poradnik na gruncie RODO v2. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Opracowanie i tekst B. Kowalski. Urząd Ochrony Danych Osobowych Luty 2025. s. 8.
[3] J. Rzymowski. RODO – GDPR. Ocena ryzyka. Ocena skutków naruszenia ochrony danych osobowych. Łódź. 2023. s. 467.
[4] Poradnik na gruncie RODO v2. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Opracowanie i tekst B. Kowalski. Urząd Ochrony Danych Osobowych Luty 2025. s. 20.
[5] J. Rzymowski. RODO – GDPR. Ocena ryzyka. Ocena skutków naruszenia ochrony danych osobowych. Łódź. 2023. s. 467.
[6] J. Rzymowski. RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora. Kraków 2019.
[7] https://uodo.gov.pl/pl/134/228 (dostęp: 2019.03.15. godz. 21.24). W cudzysłowie przypis J Rzymowskiego z:
[8] J. Rzymowski. RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora. Kraków 2019 s. 354.
[9] Poradnik na gruncie RODO v2. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Opracowanie i tekst B. Kowalski. Urząd Ochrony Danych Osobowych Luty 2025. s. 8.
[10] „Naruszenie danych osobowych ma miejsce w przypadku utraty, zniszczenia, uszkodzenia lub bezprawnego ujawnienia danych osobowych. Obejmuje to na przykład sytuacje, w których ktoś uzyskuje dostęp do danych osobowych lub przekazuje je bez odpowiedniego upoważnienia, lub gdy dane osobowe stają się niedostępne w wyniku szyfrowania przez oprogramowanie ransomware lub przypadkowej utraty lub zniszczenia.”
[11] Decyzja PUODO znak DS.523.1345.2024.ZS.AO. z 7 listopada 2025
[12] były pracodawca też wszedł na prywatne konto email tej osoby, ale to inna sprawa
[13] „RODO. Przewodnik ze wzorami” red. M. Gawroński, s. 334, Wolters Kluwer 2018