przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?

Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Cyberataki dotyczą wielu sfer działalności danej organizacji. Ich skutki w dużej mierze zależą od uprzedniego przygotowania pod względem technicznym oraz organizacyjnym. Jednym z elementów działań po incydencie jest publikowanie zawiadomień o sytuacji, gdy występuje naruszenie ochrony danych osobowych, co wynika wprost z obowiązujących przepisów.

Publicznie zawiadomienie – kiedy jest wymagane?

Obowiązek powiadamiania osób, których dotyczy naruszenie, został bezpośrednio uregulowany w art. 34 RODO. W pierwszym punkcie stwierdzono, że w przypadku stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany do powiadomienia osoby „bez względnej zwłoki” o fakcie naruszenia.

Co ważne – art. 33 RODO nakłada również obowiązek zgłoszenia naruszenia do organu nadzorczego w ciągu 72 godzin po jego stwierdzeniu. W Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych.

Kiedy nie musimy zawiadamiać osoby?

Przepisy pozwalają również na odstąpienie od zawiadomienia danej osoby oraz Prezesa UODO. Można to zrobić w sytuacji, gdy prawdopodobieństwo naruszenia praw lub wolności osób fizycznych jest „mało prawdopodobne”.

Istnieją takie sytuacje, gdzie poinformowanie poszczególnych osób o naruszeniu ochrony danych jest bardzo utrudnione lub niemożliwe – na przykład wskutek ataku ransomware, który zaszyfrował pliki z danymi osobowymi, co skutkuje brakiem dostępności do danego zasobu. Taka sytuacja również jest naruszeniem, co stwierdza wprost art. 4 ust. 12 RODO.

Ustawodawca przewidział taką sytuację w art. 34 ust. 3 pkt c RODO. W sytuacji, gdy powiadomienie osób wymagałoby „niewspółmiernie dużego wysiłku”, sugeruje się wydanie publicznego komunikatu lub zastosowanie podobnego środka.

Praktycznie podejście do zgłoszenia

Warto tutaj przytoczyć decyzję PUODO z 1 marca 2023 roku. Spółdzielnia mieszkaniowa nie poinformowała o naruszeniu Prezesa UODO oraz osoby, której ono dotyczy. Zdarzenie polegało na udostępnieniu dziennikarzom kserokopii zawiadomienia o podejrzeniu popełnienia przestępstwa (wraz z danymi osobowymi) na zamkniętej konferencji prasowej. Inspektor ochrony danych osobowych miał uznać ryzyko naruszenia praw i wolności za niskie, ponieważ osoba miała uprzednio sama upublicznić swoje dane osobowe.

PUODO stwierdził, że administrator nie wykazał „dokonania pogłębionej analizy” pod kątem wystąpienia ryzyka naruszenia praw i wolności. Na spółdzielnię nałożono karę w wysokości 52 tys. złotych.

Naruszenie ochrony danych osobowych a przypadek nośników informatycznych

Kluczowe w ochronie danych osobowych jest szyfrowanie. Dzięki zastosowaniu odpowiednio złożonych algorytmów utrata nośnika z danymi osobowymi może powodować niskie ryzyko naruszenia praw i wolności, ponieważ osoba nieuprawniona najprawdopodobniej nie będzie mogła uzyskać do nich dostępu.

Warto tutaj odwołać się do przypadku kradzieży komputera (DKN.5131.47.2022), który nie miał włączonego szyfrowania dysków. Stosowanie hasła do konta nie zostało uznane za dostateczne zabezpieczenie.

Inny przypadek omawia Europejska Rada Ochrony Danych (EDPB). W poradniku z 14 grudnia 2021 roku pokazano przykład kradzieży dwóch tabletów ze żłobka. Urządzenia przechowywały dane osobowe, były zaszyfrowane oraz wyłączone, chroniło je silne hasło oraz istniała kopia zapasowa możliwa do odtworzenia. W momencie zaistnienia incydentu żłobek zdalnie wyzerował pamięć skradzionych tabletów. EDPB stwierdziło, że w takiej sytuacji nie zachodzi ryzyko naruszenia praw i wolności, przez co nie jest wymagane zgłoszenie incydentu do organu nadzorczego. Wymagana była jednak wewnętrzna dokumentacja incydentu na bazie art. 33 ust. 5 RODO.

Należy przy tym dodać, że szyfrowanie urządzeń może być wdrożone niskim lub nawet zerowym kosztem. System operacyjny Windows oferuje BitLockera, który pozwala na szyfrowanie danych przechowywanych na dyskach. W takim przypadku ważne jest również odpowiednie przechowywanie klucza odzyskiwania, możliwe również w formie papierowej (wydruku).

Utrata korespondencji i ciągłość działania

Przykładem poważnego ataku ransomware, gdzie szczegółowo opisano skutki dla obywateli, jest incydent w Wojewódzkiej Stacji Sanitarno-Epidemiologicznej we Wrocławiu z grudnia 2024 roku. W zawiadomieniu podkreślono, że placówka kontynuuje funkcjonowanie, co pokazuje rolę planu ciągłości działania w organizacji.

Wrocławski sanepid odtwarzał bazę systemu Elektronicznego Zarządzania Dokumentacją (EZD) z kopii zapasowych. Jednocześnie doszło do utraty korespondencji wpływającej do WSSE Wrocław przez ePUAP (drogą elektroniczną) pomiędzy 30 listopada a 10 grudnia 2024 roku. W komunikacie wyszczególniono kategorie osób, których dotyczy incydent, dzięki czemu osoby mogły podjąć odpowiednie kroki.

Ponowne wykorzystanie haseł

Nie tylko ataki ransomware mogą spowodować naruszenie danych osobowych. W kwietniu 2025 roku PAP poinformował o wycieku danych osobowych uczniów z Systemu Informatycznego Obsługującego Egzaminy Zawodowe (SIOEZ). Incydent był spowodowany wykradnięciem hasła wykorzystywanego przez nauczyciela w celach prywatnych i zawodowych.

Powyższe zdarzenie pokazuje, że nie zawsze nieuprawniony dostęp do informacji musi być bezpośrednią przyczyną ataku. Jednocześnie podkreśla rolę:

  • zarządzania nieaktywnymi kontami;
  • stosowania dwuetapowego uwierzytelniania;
  • korzystania z unikalnych haseł;
  • zarządzania uprawnieniami użytkowników.

Błąd programistyczny powodem ogromnego wycieku

W 2022 roku doszło do dużego wycieku danych studentów SGH, którzy brali udział w rekrutacji na wyjazdy międzynarodowe. Powodem był „błąd programistyczny”, który pozwolił nieuprawnionym osobom na dostęp do danych. W tym przypadku szczególnie ważny jest zakres danych, który uległ naruszeniu ochrony, ponieważ znajdują się w nim m.in.:

  • numer PESEL;
  • imiona rodziców;
  • panieńskie nazwisko matki;
  • adres korespondencyjny;
  • seria i numer dowodu osobistego lub paszportu wraz z datą wydania.

Tak szeroki zakres informacji budzi pytania o ewentualne przetwarzanie nadmiarowej ilości danych. Art. 5 ust. 1 pkt c RODO stwierdza, że dane osobowe muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. 

Warto pamiętać, że skutkiem cyberataku może być nie tylko zaszyfrowanie plików, lecz również publikowanie ich na stronach cyberprzestępców w celu szantażu organizacji, dlatego ważne jest jasne określenie celu i zakresu przetwarzanych danych.

Raport CERT Polska

Do wyraźnego określenia skali zagrożenia warto odnieść się do corocznego raportu CERT Polska z 2024 roku. Możemy dowiedzieć się, że zespół reagowania na incydenty bezpieczeństwa komputerowego odnotował 147 incydentów związanych z atakami ransomware, w tym:

  • 87 na podmioty biznesowe;
  • 35 na osoby fizyczne;
  • 25 na podmioty publiczne – 14 dotyczy administracji publicznej, a 9 odnosi się do szkolnictwa wyższego.

Oznacza to, że średnio co ok. 2,5 dnia polski podmiot pada ofiarą ataku ransomware.

Kluczowe kroki wobec cyberataku

Podstawą ochrony danych osobowych jest sporządzenie odpowiedniej analizy ryzyka. Co ważne – każdy podmiot jest zobowiązany do samodzielnego wykonania takiego dokumentu. W tym celu UODO przygotowało poradniki, które pozwalają zrozumieć tę tematykę.

Kolejnym krokiem jest ocena ryzyka naruszenia praw i wolności. W czerwcu 2025 roku niektóre polskie szkoły informowały o naruszeniu ochrony danych osobowych spowodowanym błędem w systemie LIBRUS (dziennika elektronicznego). Skutkiem zdarzenia było to, że inni użytkownicy aplikacji mogli poznać m.in. imiona i nazwiska rodziców uczniów.

Incydent powinien być przykładem ku temu, aby nie zakładać znikomego ryzyka – nawet jeśli zestaw informacji może wydawać się pierwszy rzut oka stosunkowo niewielki lub nieznaczący. Lepiej przejrzyście poinformować o zdarzeniu, niż zakładać zbyt niskie ryzyko, co pokazał m.in.omawiany wcześniej przykład w spółdzielni mieszkaniowej, gdzie błędna ocena ryzyka poskutkowała karą od UODO.

Wśród środków pozwalających na zminimalizowanie ryzyka naruszenia danych osobowych wskutek potencjalnego cyberataku należy wymienić m.in.:

  • szyfrowanie nośników danych;
  • szyfrowanie plików z danymi osobowymi;
  • wymuszanie dwuetapowego uwierzytelniania;
  • zarządzanie uprawnieniami kont;
  • przeprowadzanie i aktualizowanie analizy ryzyka;
  • regularne testowanie stosowanych zabezpieczeń;
  • niezbieranie nadmiarowej liczby danych osobowych;
  • segmentację sieci (oddzielanie od siebie poszczególnych grup urządzeń);
  • tworzenie kopii zapasowych zgodnie z zasadą „3-2-1” – trzy kopie, dwa urządzenia, jedna w innej lokalizacji;
  • testowanie odtwarzania kopii zapasowych.

Zachęcamy również do zapoznania się z raportem Najwyższej Izby Kontroli „Cyberbezpieczeństwo w samorządach kuleje” z kwietnia 2025 roku. Wykazano w nim wiele poważnych uchybień, których uniknięcie może pomóc w zabezpieczeniu swojej organizacji.

Ważnym elementem jest również komunikacja incydentu. Należy pamiętać o 72 godzinach na zgłoszenie go Prezesowi UODO oraz konieczności poinformowania osób, których dotyczy zdarzenie. Warto również zaplanować ewentualne kanały komunikacji oraz wyznaczyć osoby, które będą za to odpowiadać, jeśli nie ma takiej roli w organizacji (np. brak rzecznika prasowego).

W przypadku wystąpienia incydentu warto zwrócić się o pomoc do CERT Polska oraz Centralnego Biura Zwalczania Cyberprzestępczości.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Akt o dostępności – jakie obowiązki dla sprzedawcó...
Podobne
Wrzesień 2025
04
Czwartek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  4. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o dostępności – jakie obowiązki dla sprzedawców od czerwca 2025?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Napędź swój zysk! Konferencja dla liderów Allegro
Konferencja Katedr Finansów 2025
IV Konferencja Kadry i Płace 2025/2026 - aktualne problemy i wyzwania na nowy rok
Przygotuj się na marketingowy survival!
Jubileuszowy Kongres Public Relations już w przyszłym miesiącu. Poznaj tajniki komunikacji w czasach geopolitycznej niepewności Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów