W praktyce bezpieczeństwa informacji granica między incydentem cyberbezpieczeństwa a naruszeniem ochrony danych osobowych od dawna jest cienka. Awaria systemu, nieuprawniony dostęp do zasobów, błędna konfiguracja, wyciek logów, naruszenie integralności bazy danych czy niekontrolowane ujawnienie informacji bardzo często mają podwójny wymiar: operacyjny i regulacyjny.
Właśnie dlatego rosnące zbliżenie obszaru cyberbezpieczeństwa i ochrony danych osobowych nie jest już tylko kwestią interpretacji, ale staje się elementem formalnego modelu nadzoru. Zwraca na to uwagę artykuł „Naruszenia ochrony danych osobowych w świetle ustawy o KSC” opublikowany w rozdziale „Naruszenia i kontrole” Biuletynu UODO. UODO opisuje tam nowy mechanizm wynikający z nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wdrażającej dyrektywę NIS 2. Mechanizm ten ma polegać na tym, że organy właściwe do spraw cyberbezpieczeństwa będą informować Prezesa UODO o podejrzeniach naruszeń ochrony danych osobowych ujawnionych w toku nadzoru. Tym samym powstaje nowy kanał przekazywania informacji o potencjalnych naruszeniach, niezależny od klasycznego zgłoszenia dokonywanego przez administratora na podstawie art. 33 RODO. To zmiana istotna nie dlatego, że modyfikuje same definicje naruszenia lub obowiązki znane z RODO, ale dlatego, że zwiększa prawdopodobieństwo wykrycia incydentów, które dotąd mogły pozostać wewnątrz organizacji, zostać błędnie zakwalifikowane albo w ogóle nie zostać potraktowane jako zdarzenia wymagające dalszej eskalacji. Z perspektywy podmiotów objętych ustawą o KSC oznacza to, że incydent nie kończy się już na analizie technicznej i działaniach naprawczych. Może stać się punktem wyjścia do równoległej oceny zgodności z przepisami o ochronie danych osobowych. UODO wyraźnie wskazuje, że nadzór cyberbezpieczeństwa może ujawniać nie tylko uchybienia w obszarze zabezpieczeń systemów informacyjnych, lecz także okoliczności istotne z punktu widzenia potencjalnego naruszenia RODO.
Ustawa o KSC jest skierowana do podmiotów kluczowych i ważnych, działających między innymi w sektorach takich jak energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa czy sektor publiczny. W praktyce oznacza to, że temat nie dotyczy wyłącznie klasycznych operatorów infrastruktury krytycznej. Wraz z wdrożeniem NIS 2 zakres organizacji, które muszą patrzeć na bezpieczeństwo systemów informacyjnych w sposób dojrzały, procesowy i audytowalny, wyraźnie się rozszerza. UODO podkreśla również, że choć ustawa o KSC i RODO są odrębnymi reżimami prawnymi, ich zakresy w praktyce częściowo się pokrywają, ponieważ incydent zagrażający bezpieczeństwu systemu informacyjnego często wiąże się jednocześnie z naruszeniem ochrony danych przetwarzanych w tym systemie. Szczególne znaczenie ma tu art. 59a znowelizowanej ustawy o KSC. Jak opisuje UODO, w przypadku stwierdzenia podczas nadzoru podejrzenia naruszenia ochrony danych osobowych organ właściwy do spraw cyberbezpieczeństwa ma w terminie 7 dni poinformować o tym Prezesa UODO albo inny właściwy organ. To bardzo ważny szczegół. Przepis nie mówi o pewnym ustaleniu, że naruszenie rzeczywiście miało miejsce. Mówi o stwierdzeniu podejrzenia naruszenia. Oznacza to niższy próg uruchomienia dalszego obiegu informacji. Organ cyberbezpieczeństwa nie musi zatem ostatecznie rozstrzygać, czy doszło do naruszenia w rozumieniu RODO. Wystarczy, że w toku czynności nadzorczych natrafi na okoliczności, które taki scenariusz racjonalnie sugerują.
Z punktu widzenia organizacji to jedna z najważniejszych konsekwencji całej zmiany. W praktyce nie chodzi bowiem o to, czy administrator sam uznał, że incydent spełnia lub nie spełnia przesłanki zgłoszenia. Chodzi o to, że ten sam stan faktyczny może zostać zauważony i opisany przez organ nadzoru cyberbezpieczeństwa w toku kontroli, audytu, analizy logów, przeglądu rejestrów incydentów, wyjaśnień personelu czy oględzin systemów i nośników. UODO wskazuje, że katalog narzędzi nadzorczych jest szeroki. Organ może prowadzić kontrole na miejscu lub zdalnie, nakazać audyt bezpieczeństwa, zlecić odpowiedniemu CSIRT ocenę bezpieczeństwa systemu informacyjnego, żądać dokumentów i informacji, a nawet okresowo wyznaczyć urzędnika monitorującego. Osoby prowadzące czynności kontrolne mają przy tym prawo wglądu do dokumentów, żądania wyjaśnień, a także przetwarzania danych osobowych w zakresie niezbędnym do realizacji celu kontroli. To właśnie ten praktyczny wymiar nadzoru powinien zainteresować zarządy, zespoły bezpieczeństwa, działy compliance, inspektorów ochrony danych i osoby odpowiedzialne za operacje IT. W realnym środowisku produkcyjnym naruszenie danych bardzo rzadko wygląda jak podręcznikowy wyciek jednej bazy. Znacznie częściej mamy do czynienia z sekwencją pozornie technicznych zdarzeń: błędnie utrzymanym dostępem po odejściu pracownika, ekspozycją zasobu w wyniku złej konfiguracji, nadmiernym zakresem uprawnień, brakiem segmentacji, wadliwym monitoringiem, niewłaściwą retencją logów, niekompletną ścieżką eskalacji lub nieudokumentowaną oceną ryzyka. W nowym modelu takie elementy mogą zostać zidentyfikowane nie tylko wewnętrznie, lecz również w ramach zewnętrznego nadzoru cyberbezpieczeństwa, a następnie stać się podstawą do zainteresowania organu ochrony danych.
UODO akcentuje też jeszcze jeden aspekt: mechanizm z art. 59a ma działać niezależnie od obowiązku zgłoszenia naruszenia przez samego administratora w trybie art. 33 RODO. Terminy biegną odrębnie i rozpoczynają się w innym momencie. Dla administratora znaczenie ma co do zasady 72-godzinny termin od stwierdzenia naruszenia. Dla organu właściwego do spraw cyberbezpieczeństwa istotny jest termin 7 dni od stwierdzenia podejrzenia. To oznacza, że Prezes UODO może otrzymać informacje o tym samym zdarzeniu z co najmniej dwóch niezależnych źródeł, w różnym czasie i z różnym poziomem szczegółowości. Dla organizacji oznacza to koniec myślenia silosowego. Nie wystarczy już rozdzielić świata cyberbezpieczeństwa od świata prywatności i założyć, że każdy odpowiada wyłącznie za swój fragment. Jeżeli zespół bezpieczeństwa wykrywa incydent, ale nie istnieje skuteczny mechanizm natychmiastowej oceny wpływu na dane osobowe, organizacja tworzy ryzyko regulacyjne. Jeżeli z kolei inspektor ochrony danych otrzymuje informację zbyt późno lub w formie niepozwalającej ocenić zakresu zdarzenia, organizacja traci możliwość rzetelnego wykonania obowiązków z RODO. Nowy model pokazuje bardzo wyraźnie, że bezpieczeństwo, zgodność i operacje muszą działać na wspólnej mapie procesowej.
Z perspektywy rynku usług bezpieczeństwa i zaufania cyfrowego to ważny sygnał także dla dostawców technologii oraz partnerów odpowiedzialnych za utrzymanie środowisk. Ochrona danych osobowych nie zaczyna się w chwili sporządzania zgłoszenia do organu. Zaczyna się wcześniej, na poziomie architektury, twardych zabezpieczeń technicznych, monitoringu, kontroli dostępu, rejestrowania zdarzeń, procedur reagowania i zdolności dowodowej. Organizacja, która nie potrafi wykazać, kto miał dostęp do systemu, kiedy ten dostęp nadano, kiedy odebrano uprawnienia, jakie mechanizmy detekcji działały i jakie decyzje zostały podjęte po wykryciu anomalii, jest słabsza nie tylko operacyjnie, ale również dowodowo. W praktyce właśnie tu ujawnia się znaczenie dojrzałych mechanizmów cyberhigieny. Regularne przeglądy konfiguracji, kontrola ekspozycji usług, uporządkowane zarządzanie tożsamością i dostępem, monitoring integralności, spójne logowanie, segmentacja, procedury backupowe, testy odtworzeniowe, klasyfikacja zasobów oraz dobrze zdefiniowany proces triage incydentów stają się nie tylko elementem bezpieczeństwa, ale także częścią obrony organizacji w razie kontroli. To one pokazują, czy incydent był wynikiem pojedynczego błędu mimo zachowania należytej staranności, czy raczej konsekwencją trwałych zaniedbań organizacyjnych.
Warto zwrócić uwagę, że UODO opisuje nowy model przede wszystkim jako rozszerzenie źródeł informacji o potencjalnych naruszeniach. To subtelna, ale bardzo ważna różnica. Nie chodzi wyłącznie o więcej obowiązków formalnych. Chodzi o większą transparentność rzeczywistego poziomu bezpieczeństwa w organizacjach objętych KSC. Tam, gdzie wcześniej niezgłoszony incydent mógł pozostać niewidoczny, teraz może zostać ujawniony przy okazji działań nadzorczych prowadzonych w obszarze cyberbezpieczeństwa. UODO wskazuje wprost, że wzrośnie prawdopodobieństwo wykrycia ewentualnych zaniedbań, w tym niezgłoszonych naruszeń ochrony danych osobowych. Dla wielu podmiotów będzie to oznaczać konieczność rewizji modelu współpracy między CISO, IOD, działem prawnym, compliance i operacjami IT. W dojrzałej organizacji ścieżka postępowania po incydencie nie może ograniczać się do działań technicznych. Powinna obejmować równoległą ocenę skutków dla poufności, integralności i dostępności systemów oraz dla praw i wolności osób fizycznych, których dane mogą być dotknięte zdarzeniem. Powinna także przewidywać jasny moment, w którym analiza cyberbezpieczeństwa przechodzi w formalną ocenę naruszenia ochrony danych osobowych, oraz sposób dokumentowania tej decyzji. W realiach nowelizowanego KSC brak takiego pomostu może być kosztowny.
Z naszego punktu widzenia wniosek jest prosty: Cyberbezpieczeństwo i ochrona danych osobowych przestają być dwoma równoległymi światami. Stają się dwoma perspektywami oceny tego samego zdarzenia. Nowe rozwiązania opisane przez UODO wzmacniają znaczenie detekcji, kontroli, monitoringu i udokumentowanych procesów reagowania. Dla podmiotów objętych KSC kluczowe będzie nie tylko ograniczanie prawdopodobieństwa incydentu, ale także gotowość do wykazania, że organizacja potrafi incydent właściwie rozpoznać, zakwalifikować, udokumentować i eskalować. W nadchodzących realiach regulacyjnych to nie będzie już wyłącznie kwestia dobrej praktyki. To będzie jeden z podstawowych warunków odporności organizacyjnej.
Podstawą powyższego opracowania jest artykuł „Naruszenia ochrony danych osobowych w świetle ustawy o KSC” opublikowany w rozdziale 4 „Naruszenia i kontrole” Biuletynu UODO 03/2026. Sam Biuletyn zawiera zastrzeżenie, że nie wszystkie publikowane w nim artykuły i komentarze stanowią oficjalne stanowisko organu nadzorczego, dlatego materiał warto traktować jako istotny kierunek interpretacyjny i praktyczny komentarz do zmian, a nie formalne objaśnienie prawa.