Wieloznaczność terminu „naruszenie” w świetle przepisów RODO

W pracy inspektorów ochrony danych oraz urzędników organu nadzorczego termin „naruszenie” pojawia się często. Niestety, praktyka pokazuje, że okoliczności jego użycia, a co za tym idzie – kryjące się za nim znaczenia – mogą się od siebie bardzo różnić. Utrudnia to komunikację  i prowadzi do kłopotliwej niepewności interpretacyjnej. Jak rozwiązać tę semantyczną łamigłówkę?

Źródłem nieporozumień jest fakt, iż w polskojęzycznej wersji RODO prawodawca niezmiennie posługuje się terminem „naruszenie”, odnosząc się do wielu odmiennych sytuacji prawnych.

Możemy zatem odnaleźć w jego treści m.in.

•pojawiające się wielokrotnie „naruszenie praw lub wolności osób fizycznych” (np. w art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 RODO),

•„naruszenie kodeksu [postępowania]” (w art. 41 RODO),

•„naruszenie warunków certyfikacji” (w art. 43 RODO), „naruszenie wiążących reguł korporacyjnych” (w art. 47 RODO),

•„naruszenie ochrony danych osobowych” (np. w art. 33 RODO),

•oraz „naruszenie niniejszego rozporządzenia” (np. w art. 83 RODO).

Dwa ostatnie przypadki są szczególnie istotne, ponieważ ich zamienne stosowanie jest powszechnym zjawiskiem.

Naruszenie ochrony danych osobowych a naruszenie RODO

„Naruszenie ochrony danych osobowych”, którego definicję odnajdziemy w art. 4 pkt 12 RODO, nie powinno być utożsamiane z „naruszeniem niniejszego rozporządzenia”.

Innymi słowy, wykrycie w organizacji administratora naruszenia ochrony danych osobowych nie musi oznaczać, że administrator ten złamał jakiekolwiek przepisy RODO.

Zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO nie powoduje także automatycznego wszczęcia postępowania administracyjnego wobec administratora
(w przeciwieństwie do jego niezgłoszenia w określonej przepisami sytuacji *). Zdarza się jednak,
że incydent i okoliczności jego wystąpienia mogą stać się impulsem do podjęcia przez organ nadzorczy czynności. Może on wtedy sprawdzać:

•czy przetwarzanie przez administratora danych osobowych w obszarze, którego dotyczyło zdarzenie, było prawidłowe,

•jak administrator realizował spoczywające na nim obowiązki,

•czy mamy do czynienia z przesłanką wskazującą na możliwość wdrożenia przez administratora nieodpowiednich zabezpieczeń.

Dopiero ewentualne uchybienia w tym zakresie mogą przesądzić o zastosowaniu przez Prezesa UODO przysługujących mu uprawnień naprawczych, w tym nałożeniu administracyjnej kary pieniężnej.

Stanowisko NSA i TSUE

Kwestię tę poruszył w 2023 r. NSA, który wyjaśnił, że „(…) sankcji administracyjnej za naruszenie obowiązków(…) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Karze nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym  dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. O naruszeniu(…) przepis unie przesądza sama okoliczność nieuprawnionego dostępu do danych, ponieważ taki stan rzeczy jest potencjalnie możliwy do zaistnienia również przy dochowaniu najwyższego poziomu zabezpieczeń.”**

Pogląd ten potwierdził niedawno także TSUE, wskazując, iż administratorzy zobowiązani są do wdrożenia odpowiednich technicznych i organizacyjnych środków celem zapewnienia zgodności przetwarzania z przepisami RODO, w tym właściwego zabezpieczenia danych osobowych, nie zaś do zapobieżenia wszelkim ewentualnym naruszeniom ich ochrony.***

Terminologia zastosowana w innych wersjach językowych RODO

Zwróćmy uwagę, że w anglojęzycznej wersji RODO posłużono się terminem  breach w kontekście „naruszenia ochrony danych osobowych” (ang. „personal data breach”) oraz terminem infringement w kontekście „naruszenia niniejszego rozporządzenia” (ang. „infringement of this Regulation”).

W wersji niemieckojęzycznej również mamy do czynienia z wyodrębnieniem w ramach RODO niezależnych terminów. W przypadku „naruszenia ochrony danych osobowych” jest to Verletzung (niem. „Verletzung des Schutzes personenbezogener Daten”), natomiast w przypadku „naruszenia niniejszego rozporządzenia” – Verstoß (niem. „Verstoß gegen diese Verordnung”). Widać zatem wyraźnie, że polskojęzyczna wersja RODO, mimo iż – zgodnie z zasadą wielojęzyczności – równie autentyczna i tak samo wiążąca jak pozostałe wersje językowe aktów prawa unijnego, wyposażyła nas w tym zakresie w nieco uboższą nomenklaturę. Warto mieć to na uwadze w procesie interpretowania i stosowania przepisów o ochronie danych osobowych.

* Więcej na ten temat w „Biuletynie UODO” nr 7-8/07-08/23 na str. 16.

** Wyrok NSA z 9.02.2023 r., III OSK 3945/21, LEX nr 3508987.

*** Wyrok TS z 14.12.2023 r., C-340/21, VB PRZECIWKO NATSIONALNA AGENTSIA ZA PRIHODITE, LEX nr 3642726, pkt 34.