Komunikat publiczny jako wyjątkowa forma zawiadomienia osób fizycznych o naruszeniu ochrony danych osobowych

1. Wprowadzenie

W obecnych czasach incydenty bezpieczeństwa obejmujące dane osobowe, które jednocześnie stanowią naruszenia ochrony danych osobowych, stają się coraz bardziej powszechne. Jest to związane z postępującą globalizacją, cyfryzacją, ale także geopolityką. Jedne wynikają z błędu ludzkiego, inne z zamierzonych działań, np. osób z zewnątrz. W przypadku powstania naruszenia ochrony danych osobowych niezwykle istotne jest nie tylko szybkie usunięcie skutków naruszenia, ale także odpowiednie poinformowanie osób, których dane dotyczą.

Przepisy zarówno rozporządzenia 2016/679¹ , jak również ustawy grudniowej² zakładają, że osoba fizyczna, której dane zostały objęte zdarzeniem, mogącym powodować wysokie ryzyko naruszenia jej praw lub wolności, powinna zostać zawiadamiana przez administratora danych o takim naruszeniu. Zasadą jest, że zawiadomienie realizowane jest indywidualnie – administrator bezpośrednio zawiadamia osobę o naruszeniu ochrony jej danych osobowych. Są jednak sytuacje, w których indywidualne zawiadomienie nie jest możliwe (np. brak danych adresowych, zawiadomienie wymaga nadmiernego wysiłku lub kosztów – na ten temat więcej w kolejnych artykułach). Wówczas administrator może zawiadomić osobę o naruszeniu poprzez
komunikat publiczny.

Komunikat publiczny należy traktować jako wyjątek od ogólnej zasady indywidualnego zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

2. Podstawy prawne stosowania komunikatu publicznego

Zgodnie z art. 34 ust. 3 lit. c) rozporządzenia 2016/679 (analogiczne rozwiązane występuje w art. 45 ust. 4 ustawy grudniowej), administrator danych może zamiast indywidualnego zawiadomienia zastosować komunikat publiczny lub inną podobnie skuteczną formę, jeżeli:

1) indywidualne zawiadomienie osoby wymagałoby niewspółmiernie dużego wysiłku (ze względu na koszty, dużą liczbę osób),

lub

2) administrator ma problem ze zidentyfikowaniem osób, których dane dotyczą, przy jednoczesnym powstaniu wysokiego ryzyka naruszenia ich praw lub wolności.

W takich przypadkach komunikat publiczny pełni rolę alternatywnego środka powiadamiania. Musi być on jednak równie skuteczny w informowaniu o naruszeniu ochrony danych osobowych, jak indywidualne zawiadomienia – co oznacza, że forma, kanał komunikacji oraz treść komunikatu powinny być dostosowane do odbiorcy.

Jednakże należy pamiętać, że administrator formułując komunikat publiczny powinien „stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, na przykład newsletterem, czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego czy firmowego bloga nie uznaje się za skuteczne powiadomienie osoby fizycznej o naruszeniu.”³ Na marginesie wskazać należy, iż skuteczność takiego zawiadomienia może badać organ nadzorczy. W takim przypadku administrator musi być w stanie wykazać jego skuteczność.

3. Charakterystyka komunikatu publicznego

Komunikat publiczny nie ma jednej, sztywno określonej formy – jego skuteczność ocenia się przez pryzmat możliwości dotarcia do jak najszerszego grona osób potencjalnie dotkniętych incydentem. Musi on także zawierać stosowne elementy. Najczęściej stosowane formy komunikatu publicznego to:

• 1) ogłoszenia na stronie internetowej administratora danych;
• 2) publikacje w lokalnych lub ogólnokrajowych mediach;
• 3) powiadomienia za pośrednictwem mediów społecznościowych;
• 4) komunikaty prasowe lub konferencje prasowe.

Dobór formy powinien być oparty na analizie grupy docelowej i kanałów komunikacji, z których korzystają osoby, których dane zostały naruszone. Należy pamiętać, że nie każdy korzysta z internetu, jak również nie każdy czyta papierowe wydanie gazet.

Komunikat publiczny powinien zawierać te same informacje co zawiadomienie indywidualne^{4 [4]}. Należy także pamiętać o:

• • przejrzystym języku – komunikat powinien być zrozumiały dla odbiorcy, bez technicznego żargonu, bez używania ogólnych sformułowań (np. kradzież tożsamości, strata finansowa); taki komunikat powinien być zrozumiały także przez osoby niepracujące „na przepisach prawa”,
• • dostępności – informacja powinna być łatwo dostępna przez rozsądny okres czasu.
  

4. Przykłady zastosowania komunikatu publicznego:

1) naruszenie polegało na zagubieniu dokumentów przez kuriera, zawierających dokumentację rejestrową dawców (szeroki zakres danych, wraz z numerem PESEL oraz danymi genetycznymi).
Dane zbierane były od turystów wypoczywających w nadmorskiej miejscowości, zatem czasowo w niej przebywających). Administrator zdecydował o zawiadomieniu tych osób poprzez komunikat publiczny z uwagi na to, że nie miał on wiedzy kogo dotyczyło naruszenie ochrony danych osobowych (zaginione dokumenty były jedyną kopią). Problemem jednak było miejsce jego zawieszenia – bowiem było to lobby hotelu w nadmorskiej miejscowości wypoczynkowej. Prawdopodobieństwo zapoznania się z komunikatem przez osoby, których dane dotyczą, było znikome, ze względu na to, że najprawdopodobniej osoby, które wypełniły zagubione formularze, były w tym miejscu na wakacjach i prędko nie wrócą. Z uwagi na to, że administrator postanowił wyłącznie o takim kanale zawiadomienia, Prezes UODO uznał, iż skuteczność takiego zawiadomienia jest znikoma. Organ skierował do administratora wystąpienie, w którym zobowiązuje go do zamieszczenia komunikatu
na stronie internetowej.

2) podmiot leczniczy ucierpiał w czasie powodzi, tracąc całą dokumentację medyczną – zawiadomił poprzez komunikat umieszczony na drzwiach przychodni, na Instagramie oraz na swojej stronie na Facebooku – organ uznał, iż działania administratora były wystarczające.

5. Dobre praktyki w publikowaniu komunikatów publicznych:

• 1) stosowanie prostego i jasnego języka – odbiorcami są często osoby bez wiedzy prawniczej (używanie sformułowań jak np. zawarcie umów cywilnoprawnych nie dla każdego będzie zrozumiałym sformułowaniem, ale zawarcie umowy pożyczki czy kredytu będzie zrozumiałe dla każdego
• 2) wielokanałowość – równoległe użycie różnych form dotarcia zwiększa skuteczność;
• 3) aktualizowanie komunikatu – np. w razie zmiany sytuacji (zidentyfikowanie nowych osób poszkodowanych);
• 4) pozycjonowanie komunikatu w przypadku wyboru miejsca umieszczenia jako strony internetowej administratora –  okres, przez jaki powinien być udostępniony komunikat powinien uwzględniać m.in. charakter i okoliczności naruszenia ochrony danych osobowych, zakres danych objętych takim naruszeniem, miejsce w jakim do niego doszło, czas trwania, wiek osób;
• 5) opis charakteru naruszenia powinien pozwolić osobom fizycznym czytającym taki komunikat powiązanie ze swoimi danymi, tak aby mogły ocenić, czy dotyczy on ich danych osobowych (np. osoby legitymowane przez policję/ straż graniczną w okresie wakacyjnym w takiej i takiej lokalizacji);
• 6) współpraca z UODO – konsultacja treści komunikatu z organem nadzorczym, szczególnie w przypadkach wątpliwych, reagowanie na uwagi oraz wystąpienia Prezesa UODO;
• 7) transparentność i odpowiedzialność – unikanie minimalizowania znaczenia incydentu, rzetelne informowanie.
  
  

6. Wnioski

Komunikat publiczny jest narzędziem o wyjątkowym charakterze w arsenale środków stosowanych przez administratorów danych w sytuacjach wystąpienia naruszenia ochrony danych osobowych. Choć nie zastępuje on standardowego, indywidualnego powiadomienia, w określonych przypadkach jest koniecznością. Kluczowe znaczenie ma jego forma, treść oraz kanał komunikacji – muszą być dostosowane do odbiorców i zapewniać realne dotarcie do osób poszkodowanych. Prawidłowe zastosowanie komunikatu publicznego, poparte dobrymi praktykami i odpowiednią dokumentacją, nie tylko ogranicza skutki incydentu, ale także zwiększa zaufanie do administratora danych. Dlatego jego opracowanie powinno być częścią szerszej strategii zarządzania incydentami w organizacjach przetwarzających dane osobowe.

1. Rozporządzenie 2016/679 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016 r., str. 1, Dz. Urz. UE L 127 z 23.05.2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021 r., str. 35). ↩︎
2. Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206). ↩︎
3. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 1.0 czerwiec 2019 r., s. 29 ↩︎
4. https://uodo.gov.pl/pl/598/3563 ↩︎