Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Narzędzia  •  Kalkulator wagi naruszeń

Kalkulator oceny naruszeń RODO

W Twojej firmie doszło do naruszenia? Zastanawiasz się, czy zgłosić je Prezesowi UODO? Masz wątpliwości, czy poinformować osoby, których dane dotyczą? A może to nic strasznego i wystarczy ujawnić je w rejestrze naruszeń, który prowadzisz?

Spokojnie, jesteśmy z Tobą. Dzięki naszemu kalkulatorowi „zmierzysz” ryzyka związane z naruszeniem ochrony danych i dowiesz się, jakie działania powinieneś podjąć.

Kalkulator został uzupełniony o zalecenia i przykłady wskazane w poradniku Prezesa UODO

dowiedz się więcej

starsza wersja kalkulatora Oceń naruszenie

Tomasz Ochocki

RODO nakłada na administratora danych obowiązek zgłaszania do Prezesa UODO naruszeń ochrony danych osobowych, skutkujących ryzykiem naruszenia praw i wolności osób fizycznych. Nie daje jednak wskazówek, jak ocenić, czy takie ryzyko istnieje. Podobnie w przypadku konieczności zawiadomienia o naruszeniu osoby, której dane dotyczą – RODO mówi o „wysokim ryzyku” naruszenia praw i wolności jako przesłance do podjęcia wskazanego działania. Również w tym przypadku pozostawia ocenę ryzyka administratorowi danych.

Dla ułatwienia realizacji trudnego zadania oceny ryzyka przedstawiamy nasz kalkulator, który pozwoli Ci krok po kroku dokonać takiej ewaluacji. Wynik kalkulatora będzie rzetelny tylko wtedy, jeśli wypełnisz go z należytą starannością. Ponadto, udzielając odpowiedzi na pytania, warto abyś zadbał o uzupełnienie pól z uzasadnieniem, ponieważ wpływa to pozytywnie na wiarygodność i przejrzystość dokonywanej przez administratora analizy.

Pamiętaj, aby podczas oceniania naruszenia brać pod uwagę zalecenia i wcześniejsze decyzje Prezesa UODO, w szczególności, gdy skompromitowany zostaje numer PESEL. Zdaniem naszego organu nadzorczego, jego nieuprawnione ujawnienie, modyfikacja lub utracenie bardzo często może wiązać się z wysokim ryzykiem naruszenia praw i wolności, co skutkuje koniecznością zgłoszenia takiego naruszenia do Prezesa UODO oraz zawiadomienia osób, których dane dotyczą.

Oceń, czy naruszenie wymaga zgłoszenia

1Opis naruszenia

Data naruszenia
Kiedy doszło do naruszenia.
Wskaż administratora danych, którego dotyczy naruszenie
Administrator to podmiot, który decyduje o celach i sposobach przetwarzania. To on odpowiada za zarządzanie naruszeniem ochrony danych, w tym za ewentualne zgłoszenie go Prezesowi UODO czy zawiadomienie osób, których dane dotyczą.
Opisz szczegółowo, na czym polegało naruszenie
Opisz przyczyny oraz przebieg naruszenia, które analizujesz.

2Zakres skompromitowanych danych

Czy zostały skompromitowane dane zwykłe
Dane zwykłe to informacje odnoszące się m.in. do tożsamości (np. imię i nazwisko, nick internetowy, data urodzenia, imiona rodziców), danych teleadresowych (adres e-mail, numer telefonu) lub danych korespondencyjnych (adres zamieszkania lub do korespondencji) osoby, której dane dotyczą.

1

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały podstawowe dane identyfikacyjne (imię i nazwisko), dane korespondencyjne, dane teleadresowe, informacje na temat ukończonych szkół lub doświadczenia zawodowego.

Przykład 1

Wyciek danych (imię, nazwisko, numer telefonu) klientów supermarketu lub restauracji.

Przykład 2

Wyciek CV pochodzących z internetowego serwisu zawodowo-biznesowego, do których dostęp mieli zarejestrowani użytkownicy.

Przykład 3

Wyciek danych (imię, nazwisko, adres zamieszkania) klientów kwiaciarni.

Przykład 4

Ujawnienie danych uwierzytelniających (login i hasło) do portalu, na którym nie jest przechowywana historia zakupów (np. sklep muzyczny).

(zwiń)

2

Wybierz tę wartość, jeżeli ilość skompromitowanych danych osobowych „zwykłych” i/lub specyfika administratora mogą przyczynić się do profilowania osoby, której dane dotyczą lub przyjęcia określonych założeń dotyczących statusu społecznego/finansowego tej osoby.

Przykład 1

Wyciek danych (imię, nazwisko, numer telefonu) klientów luksusowej marki samochodów.

Przykład 2

Wyciek CV pochodzących z organizacji pomagającej osobom bezrobotnym w znalezieniu zatrudnienia.

Przykład 3

Wyciek danych (imię, nazwisko, adres zamieszkania) klientów banku inwestycyjnego.

Przykład 4

Ujawnienie danych uwierzytelniających (login i hasło) do konta klienta w sklepie internetowym, gdzie przechowywane są wcześniejsze historie zakupów (np. program lojalnościowy).

Przykład 5

Ujawnienie danych uwierzytelniających (login i hasło) do serwisu społecznościowego.

(zwiń)

3

Wybierz tę wartość, jeżeli skompromitowane dane osobowe „zwykłe” i/lub specyfika administratora mogą przyczynić się do przyjęcia określonych założeń dotyczących stanu zdrowia osoby fizycznej, jej preferencji seksualnych, przekonań politycznych lub religijnych.

Przykład 1

Wyciek danych (imię, nazwisko, numer telefonu) klientów apteki internetowej specjalizującej się w sprzedaży produktów dla pacjentów z cukrzycą.

Przykład 2

Wyciek CV pochodzących z organizacji wspierającej prawa osób LGBT+.

Przykład 3

Wyciek danych (imię, nazwisko, adres zamieszkania) klientów księgarni z książkami dla dorosłych.

Przykład 4

Ujawnienie danych uwierzytelniających (login i hasło) do serwisów internetowych związanych z preferencjami seksualnymi.

Przykład 5

Ujawnienie serii i numeru dowodu osobistego

(zwiń)

4

Wybierz tę wartość, jeżeli skompromitowane dane osobowe „zwykłe”, ze względu na pewne cechy osoby, której dane dotyczą (w szczególności osób wymagających szczególnej opieki, np. dzieci), mogą mieć krytyczne znaczenie dla jej bezpieczeństwa lub dobrostanu fizycznego/psychicznego.

Przykład 1

Ujawnienie numeru PESEL.

Przykład 2

Wyciek danych (imię, nazwisko, numer telefonu) policyjnych informatorów.

Przykład 3

Wyciek CV pochodzących z organizacji pomagającej narkomanom wychodzącym z nałogu w znalezieniu zatrudnienia.

Przykład 4

Wyciek danych (imię, nazwisko, adres zamieszkania) osób, które zostały oskarżone o znęcanie się nad dziećmi.

Przykład 5

Ujawnienie danych uwierzytelniających (login i hasło) do bankowości internetowej, umożliwiających przeprowadzanie transakcji finansowych.

(zwiń)
Czy zostały skompromitowane dane dotyczące zachowań osoby
Dane dotyczące zachowania to informacje odnoszące się m.in. do lokalizacji, pokonywanych tras, preferencji, gustów lub upodobań osoby, której dane dotyczą.

1

Wybierz tę wartość, jeżeli charakter skompromitowanych danych nie zapewnia żadnego istotnego wglądu w informacje o zachowaniu/preferencjach danej osoby lub gdy dane te można łatwo zebrać (niezależnie od naruszenia) za pośrednictwem publicznie dostępnych źródeł (np. poprzez wyszukiwarkę internetową).

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) z infolinii technicznej.

Przykład 2

Ujawnienie danych z karty lojalnościowej klienta supermarketu, zawierającej informacje odnośnie liczby zgromadzonych punktów.

Przykład 3

Wyciek danych z portali społecznościowych zawierających informacje o preferencjach i życiu codziennym użytkownika z ostatniego miesiąca, którymi użytkownik podzielił się wyłącznie ze swoimi znajomymi (np. informacje opublikowane na wall’u użytkownika).

(zwiń)

2

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały dane odnoszące się m.in. do lokalizacji, pokonywanych tras, preferencji, gustów lub upodobań osoby, której dane dotyczą.

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) od dostawcy usług internetowych, obejmujący historię połączeń z ostatniego tygodnia.

Przykład 2

Ujawnienie danych z karty lojalnościowej klienta supermarketu, obejmującej informacje o historii zakupów za ostatni miesiąc.

Przykład 3

Wyciek danych z portali społecznościowych obejmujących informacje ogólnodostępne w Internecie (np. zdjęcia, które użytkownik opublikował w sieci).

(zwiń)

3

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane behawioralne lub/i specyfikę administratora można stworzyć profil danej osoby, ujawniający szczegółowe informacje o jej codziennym życiu i nawykach.

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) od dostawcy usług internetowych, obejmujący historię połączeń z ostatniego roku, dzięki czemu można stworzyć szczegółowy profil dzwoniącego.

Przykład 2

Ujawnienie danych z tachografu/GPS-u zawierającego informacje na temat lokalizacji/przemieszczania się danej osoby w ciągu ostatniego roku.

Przykład 3

Wyciek danych z portali społecznościowych zawierających informacje o preferencjach i życiu codziennym użytkownika z ostatniego roku, którymi użytkownik podzielił się wyłącznie ze swoimi znajomymi (np. informacje opublikowane na wall’u użytkownika), dzięki czemu można stworzyć jego profil osobowy.

(zwiń)

4

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane behawioralne można utworzyć profil danej osoby odnoszący się do danych szczególnych kategorii.

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) z telefonu zaufania.

Przykład 2

Ujawnienie danych z karty lojalnościowej klienta apteki, zawierającej informacje o ostatnich zakupach produktów medycznych.

Przykład 3

Wyciek danych z portali społecznościowych obejmujących prywatną komunikację (np. wiadomości), która może ujawnić informacje o życiu seksualnym lub stanie zdrowia użytkowników.

(zwiń)
Czy zostały skompromitowane dane finansowe
Dane finansowe to dowolny rodzaj danych odnoszących się do finansów osoby, której dane dotyczą (np. dochody, transakcje finansowe, wyciągi bankowe, inwestycje, numery kart kredytowych, faktury itp.). Wskazana kategoria obejmuje także informacje dotyczące pomocy ze strony opieki społecznej, odnośnie do wsparcia materialnego.

1

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane nie można uzyskać żadnego istotnego wglądu w sytuacje finansową danej osoby (np. fakt, że dana osoba jest klientem określonego banku, bez dalszych szczegółów).

Przykład 1

Udostępnienie nieuprawnionej osobie pisma, za pomocą którego osoba fizyczna jest identyfikowana jako klient danego banku, bez podawania żadnych informacji na temat konkretnych relacji między klientem a bankiem (np. jedynie jego nazwisko i adres, ale bez numeru rachunku lub informacji o transakcjach).

Przykład 2

Ujawnienie oświadczenia potwierdzającego złożenie deklaracji o dochodach.

Przykład 3

Ujawnienie nieaktualnych numerów kart kredytowych.

Przykład 4

Przesłanie do niewłaściwego odbiorcy faktury za energię elektryczną za ostatni okres rozliczeniowy.

(zwiń)

2

Wybierz tę wartość, jeżeli skompromitowane dane zawierają pewne informacje finansowe, ale nadal nie zapewniają żadnego istotnego wglądu w status/sytuację finansową osoby (np. numery rachunków bankowych, bez dalszych szczegółów).

Przykład 1

Ujawnienie historii transakcji danego klienta z jednego dnia.

Przykład 2

Ujawnienie stawki podatkowej mającej zastosowanie do danej osoby.

Przykład 3

Ujawnienie aktualnych numerów kart kredytowych.

Przykład 4

Przesłanie do niewłaściwego odbiorcy informacji (upomnienia) o nieopłaceniu trzech ostatnich faktur za energię elektryczną.

(zwiń)

3

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały dane odnoszące się do finansów osoby, której dane dotyczą (np. dochody, transakcje finansowe, wyciągi bankowe, inwestycje itp.). Wskazana kategoria obejmuje także informacje dotyczące wsparcia materialnego ze strony opieki społecznej.

Przykład 1

Ujawnienie wyciągów bankowych klientów indywidualnych z ostatniego miesiąca.

Przykład 2

Ujawnienie rocznej deklaracji podatkowej danej osoby fizycznej.

Przykład 3

Ujawnienie numerów kart kredytowych oraz niektórych transakcji zrealizowanych za ich pośrednictwem.

Przykład 4

Przesłanie do niewłaściwego odbiorcy faktur za zakup metali szlachetnych o znacznej wartości.

Przykład 5

Przesłanie do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia majątkowego.

(zwiń)

4

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane lub/i specyfikę administratora ujawnione zostaną informacje, które mogą umożliwić oszustwo (np. numery kart kredytowych oraz kodów CVV) lub stworzyć szczegółowy profil społeczno-finansowy danej osoby.

Przykład 1

Ujawnienie historii transakcji danego klienta z ostatniego roku, wskazującej wszystkie transakcje i związane z nimi szczegóły.

Przykład 2

Ujawnienie informacji na temat dochodów osiąganych przez daną osobę na przestrzeni ostatnich 10 lat.

Przykład 3

Ujawnienie numerów kart kredytowych, dat ich ważności oraz kodów CVV.

Przykład 4

Przesłanie do niewłaściwego odbiorcy faktury za badanie w laboratorium medycznym, zawierającej numer PESEL klienta.

(zwiń)
Czy zostały skompromitowane dane szczególnej kategorii
Dane szczególnej kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej albo dane dotyczące wyroków skazujących i naruszeń prawa.

1

Wybierz tę wartość, jeżeli charakter skompromitowanych danych nie zapewnia żadnego istotnego wglądu w informacje szczególnej kategorii na temat danej osoby lub gdy dane te można łatwo zebrać (niezależnie od naruszenia) za pośrednictwem publicznie dostępnych źródeł (np. poprzez wyszukiwarkę internetową).

Przykład 1

Ujawnienie informacji, że dana osoba wykonała ogólne badanie krwi w laboratorium medycznym.

Przykład 2

Ujawnienie danych osobowych prominentnych członków dużej partii politycznej, którzy zajmują eksponowane stanowiska publiczne.

Przykład 3

Ujawnienie nicków (pseudonimów) użytkowników z internetowego forum randkowego.

(zwiń)

2

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane można poczynić ogólne założenia na temat danej osoby, np. jej stanu zdrowia.

Przykład 1

Ujawnienie informacji przez , że dana osoba wykonała ogólne badanie krwi zlecone przez izbę przyjęć szpitala.

Przykład 2

Ujawnienie danych osobowych uczestników imprezy charytatywnej sponsorowanej przez określoną partię polityczną.

Przykład 3

Ujawnienie imion i nazwisk użytkowników internetowego forum randkowego.

(zwiń)

3

Wybierz tę wartość, jeżeli charakter skompromitowanych danych lub/i specyfika administratora mogą doprowadzić do założeń odnoszących się do szczegółów dot. danych szczególnych kategorii.

Przykład 1

Ujawnienie informacji, że dana osoba wykonała badanie krwi pod kątem określonej choroby (bez wyników badania).

Przykład 2

Ujawnienie danych osobowych uczestników konferencji zorganizowanej przez określoną partię polityczną.

Przykład 3

Ujawnienie imion i nazwisk użytkowników internetowego forum randkowego dedykowanego, ale nie wyłącznego, dla osób homoseksualnych.

(zwiń)

4

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały dane szczególnych kategorii, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Przykład 1

Ujawnienie wyników badań krwi danej osoby.

Przykład 2

Ujawnienie wpisów z zamkniętego forum internetowego obejmujących opinie polityczne wyrażane przez członków forum.

Przykład 3

Ujawnienie danych osobowych użytkowników serwisu randkowego, obejmujących deklarowaną orientację seksualną użytkowników.

(zwiń)

3Czynniki wpływające na poziom ryzyka

Duża liczba osób, których dane zostały skompromitowane
Wybierz tę wartość, jeżeli analizowane przez Ciebie naruszenie dotyczy więcej niż 100 osób.
Szeroki zakres danych na temat poszczególnych osób
Przy ocenie, czy mamy do czynienia z szerokim zakresem danych, należy wziąć pod uwagę ilość informacji objętych naruszeniem. Przykładowo, ujawnienie przez dostawcę usług internetowych historii przeglądanych stron internetowych z okresu jednego roku – zamiast jednego tygodnia – może świadczyć o szerokim zakresie naruszenia. Podobnie, ujawnienie przez bank pełnego wniosku kredytowego, a nie jedynie jednego z jego załączników, również należy kwalifikować jako naruszenie obejmujące szeroki zakres danych.
Specyfika osób, których dane dotyczą
Specyfika osób, których dane dotyczą, odnosi się do ich cech, sytuacji życiowej lub szczególnych potrzeb, które mogą zwiększać ryzyko naruszenia ich praw i wolności. Przykładowo, ujawnienie numeru telefonu parlamentarzystów lub pracowników ministerstwa niesie ze sobą wyższe ryzyko niż w przypadku numeru telefonu pracowników sklepu spożywczego.

Na poziom ryzyka wpływa również szczególny charakter osób objętych incydentem – w szczególności, gdy naruszenie dotyczy dzieci, osób starszych, osób potrzebujących wsparcia lub znajdujących się w trudnej sytuacji życiowej. W takich przypadkach skutki naruszenia mogą być dla nich poważniejsze, a ich zdolność do samodzielnej ochrony swoich praw – ograniczona.
Specyfika administratora danych
Specyfika administratora danych odnosi się do jego profilu działalności, który może zwiększać ryzyko naruszenia praw i wolności osoby, której dane dotyczą. Przykładowo, ujawnienie danych na temat klientów apteki lub poradni psychiatrycznej niesie ze sobą wyższe ryzyko niż w przypadku klientów sklepu papierniczego.
Szczególny charakter danych
Szczególny charakter danych należy rozumieć jako czynnik wpływający na poziom ryzyka poprzez charakter i kontekst informacji, które uległy naruszeniu. Przykładowo, zagubienie zaświadczenia lekarskiego zawierającego wyłącznie informację o dobrym stanie zdrowia osoby, której dane dotyczą - pomimo ujawnienia danych szczególnej kategorii - nie będzie zwielokrotniać ryzyka, ponieważ zaistniałe zdarzenie nie wpływa na sytuację tej osoby.
Publiczna dostępność danych przed naruszeniem
Przykład: ogólna dostępność danych przed naruszeniem lub łatwość ich zebrania (np. w ramach KRS, CEIDG lub portali społecznościowych).
Aktualność danych / merytoryczna poprawność
Przykład: Aktualność danych może wynikać m.in. z czasu ich zebrania. Przykładowo, lista adresów pocztowych, pod które nie można dostarczyć listów do wskazanych odbiorców, może świadczyć o nieaktualności danych na temat osób zamieszkujących dane adresy.
Zaufany odbiorca
„Zaufany odbiorca” to podmiot, który przypadkowo otrzymał dane osobowe, ale na podstawie dotychczasowej, pozytywnej współpracy z administratorem można uznać go za godnego zaufania. Oznacza to, że istnieje uzasadniona pewność, iż odbiorca ten właściwie zareaguje na incydent i podejmie działania ograniczające ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Aby administrator mógł uznać nieuprawnionego odbiorcę za „zaufanego”, muszą być spełnione co najmniej następujące warunki:

  • istnieje stała relacja z odbiorcą (np. bliska współpraca biznesowa lub przynależność do tej samej struktury organizacyjnej),
  • administrator posiada wiedzę na temat istotnych aspektów funkcjonowania odbiorcy, w szczególności jego procedur bezpieczeństwa oraz historii dotychczasowej, pozytywnej współpracy – zwłaszcza w podobnych sytuacjach.

Koncepcja „zaufanego odbiorcy” wspiera dokładniejszą ocenę ryzyka związanego z incydentem. Choć istniejąca relacja może łagodzić ocenę skutków naruszenia dla osób, których dane dotyczą, nie wpływa ona na sam fakt zakwalifikowania zdarzenia jako naruszenia ochrony danych osobowych.

Za zaufanego odbiorcę można uznać m.in.:
  • inny dział w strukturze administratora,
  • sprawdzonego, wieloletniego dostawcę,
  • profesjonalny podmiot przetwarzający, który ściśle współpracuje z administratorem i przestrzega wysokich standardów bezpieczeństwa.

4Jak oceniasz prawdopodobieństwo identyfikacji osób, których dane dotyczą?

Jak oceniasz prawdopodobieństwo identyfikacji osób, których dane dotyczą?
Przykład: najniższa wartość prawdopodobieństwa identyfikacji przyznawana jest wtedy, gdy możliwość zidentyfikowania danej osoby jest znikoma, co oznacza, że niezwykle trudno jest dopasować dane do konkretnej osoby, ale nadal może być to możliwe w określonych warunkach. najwyższy wynik jest wybierany, gdy identyfikacja jest możliwa bezpośrednio z naruszonych danych bez specjalnych badań potrzebnych do odkrycia tożsamości osoby.
przykład - naruszenie dotyczy danych: imię i nazwisko
stopień prawdopodobieństwa może się różnić w zależności od przypadku, ponieważ określone dane nie zawsze same w sobie jednoznacznie identyfikować będą określoną osobę. na przykład, gdy identyfikacja jest przeprowadzana przy wykorzystaniu imienia i nazwiska osoby:
• 0,25 (niskie prawdopodobieństwo identyfikacji) w populacji danego kraju, gdzie wiele osób ma to samo imię i nazwisko.
• 0,5 (średnie prawdopodobieństwo identyfikacji) w populacji danego kraju, gdzie niewiele osób ma takie samo imię i nazwisko.
• 0,75 (wysokie prawdopodobieństwo identyfikacji) w populacji małego miasta, gdzie niewiele osób lub wcale nie ma tego samego imienia i nazwiska.
• 1 (bardzo wysokie prawdopodobieństwo identyfikacji) w populacji danego kraju, z uwzględnieniem innych danych, których dotyczy naruszenie np. data urodzenia i adresu e-mail.
Wybierz odpowiedź
Niskie
Średnie
Wysokie
Bardzo wysokie

5Jaki charakter miało zaistniałe naruszenie?

Utrata poufności - dane ujawnione
Przykład: utrata poufności ma miejsce, gdy dostęp do nich uzyskują osoby lub podmioty, które nie są do tego uprawnione lub nie mają uzasadnionego celu, aby takie dostęp posiadać.
Wybierz odpowiedź
Dane ujawnione znanym odbiorcom
Dane ujawnione nieznanej liczbie odbiorców
Nie dotyczy
Utrata integralności - dane zmienione
Przykład: utrata integralności następuje, gdy oryginalne informacje zostaną zmienione, a przetwarzanie danych w ten sposób zmodyfikowanych może być szkodliwe dla osoby.
Wybierz odpowiedź
Istnieje możliwość skorygowania zmodyfikowanych danych
Brak możliwości skorygowania zmodyfikowanych danych
Nie dotyczy
Utrata dostępności - dane niedostępne
Przykład: utrata dostępności występuje, gdy nie można uzyskać dostępu danych osobowych, gdy jest taka potrzeba. Może to być czasowe (dane można odzyskać, dopiero po pewnym okresie czasu) lub trwałe (dane nie mogą być odzyskane).
Wybierz odpowiedź
Niedostępność danych jest tymczasowa
Niedostępność danych jest stała – brak możliwości odzyskania danych
Nie dotyczy
Intencjonalne (celowe) działanie sprawcy
Przykład: przypadki kradzieży i włamania, w celu wyrządzenie szkody osobom fizycznym (np. poprzez ujawnienie ich danych osobowych); przekazywanie danych osobowych stronom trzecim w celach zarobkowych (np. sprzedaż list danych osobowych).
Wybierz odpowiedź
Naruszenie miało charakter celowy (intencjonalny)
Naruszenie miało charakter przypadkowy (nieintencjonalny)

Zastrzeżenie

Metodyka przyjęta dla stworzenia niniejszego kalkulatora uwzględnia rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Każdy przypadek naruszenia, bądź podejrzenia naruszenia ochrony danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 33 i 34 RODO, z tego względu niniejszy kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

Dane wprowadzone do kalkulatora nie są gromadzone ani przechowywane przez ODO 24. Narzędzie działa wyłącznie po stronie użytkownika – wszystkie informacje pozostają wyłącznie na Twoim urządzeniu i nie są przesyłane na nasze serwery.


Ocena ryzyka

Kalkulator wagi naruszeń

- + Co to jest naruszenie danych osobowych?

Naruszenie danych osobowych to sytuacja, kiedy dane osobowe, którymi firma lub organizacja zarządza, zostają niewłaściwie ujawnione, utracone, skradzione lub w jakikolwiek inny sposób użyte bez zgody osoby, której te dane dotyczą. Może to nastąpić w różny sposób - na przykład, kiedy ktoś włamie się do systemu informatycznego firmy i skopiuje dane, kiedy pracownik przypadkowo wysyła e-mail z danymi do niewłaściwej osoby, lub kiedy dokumenty z danymi zostaną zgubione lub skradzione.

Naruszenie danych osobowych jest poważnym problemem, ponieważ może prowadzić do naruszenia prywatności osób, których dane dotyczą. Przykładowo, jeśli twoje dane osobowe, takie jak imię, adres czy numer telefonu, dostaną się w niewłaściwe ręce, mogą one zostać wykorzystane do celów, na które nie wyraziłeś zgody, takich jak niewłaściwy marketing, oszustwa, czy nawet kradzież tożsamości.

Dlatego tak ważne jest, aby firmy i organizacje odpowiednio zabezpieczały dane, którymi zarządzają, i przestrzegały przepisów RODO. W przypadku wykrycia naruszenia danych osobowych, muszą one powiadomić UODO i często także osoby, których dane zostały naruszone.

- + Jakie są najczęstsze naruszenia ochrony danych osobowych?

Naruszenia ochrony danych osobowych mogą wystąpić w wielu różnych formach, do najczęstszych można zaliczyć:

  • Ataki hakerskie - To są sytuacje, w których cyberprzestępcy włamują się do systemów komputerowych, aby ukraść dane osobowe. Może to obejmować taktyki jak phishing, ransomware, ataki typu "man-in-the-middle", i inne
  • Błędy pracowników - naruszenia danych często są wynikiem błędów popełnionych przez pracowników. Może to obejmować przesyłanie danych osobowych na niewłaściwe adresy e-mail, utratę sprzętu zawierającego dane osobowe, czy niezabezpieczanie swojego komputera przed nieautoryzowanym dostępem.
  • Nieodpowiednie zabezpieczenia - Jeśli organizacja nie ma odpowiednich zabezpieczeń, to jest duża szansa, że dane osobowe mogą zostać skradzione. Może to obejmować brak szyfrowania danych, brak zabezpieczeń sieciowych, czy brak polityk dotyczących bezpieczeństwa informacji.
  • Włamania fizyczne - W niektórych przypadkach przestępcy mogą fizycznie włamać się do budynku, aby ukraść sprzęt zawierający dane osobowe, jak komputery czy dyski twarde.
  • Spoofing i phishing - Te ataki polegają na podszywaniu się pod zaufane osoby lub organizacje, aby skłonić ofiary do ujawnienia swoich danych osobowych.
  • Malware i spyware - Są to programy komputerowe, które mogą zostać zainstalowane na komputerze ofiary bez jej wiedzy, a następnie mogą zbierać i przesyłać dane osobowe.
  • Naruszenia przez dostawców trzecich - Czasami dane osobowe mogą być naruszone przez dostawców trzecich, którzy mają dostęp do danych.

- + Co zrobić w przypadku naruszenia ochrony danych osobowych?

Jeśli dojdzie do naruszenia ochrony danych osobowych, należy rozważyć następujące kroki:

  • Zidentyfikuj i zrozum naruszenie: Pierwszym krokiem jest zrozumienie co się stało. Czy to był atak hakerski, błąd pracownika, czy problem z zabezpieczeniami systemu? Jakie dane zostały naruszone?
  • Zminimalizuj szkody: Jeśli to możliwe, podejmij natychmiastowe działania w celu zminimalizowania szkód. Może to być zmiana haseł, odłączenie od sieci komputera, na którym doszło do naruszenia.
  • Przeprowadź dochodzenie: Przeprowadź szczegółowe dochodzenie, aby dowiedzieć się, jak doszło do naruszenia i jak można zapobiec podobnym incydentom w przyszłości.
  • Wprowadź poprawki: Na podstawie wyników dochodzenia, wprowadź poprawki do swoich procedur i systemów, aby zapobiec podobnym naruszeniom w przyszłości. Może to obejmować szkolenie personelu, ulepszanie zabezpieczeń systemów IT, lub wprowadzenie lepszych procedur zarządzania danymi.
  • W razie potrzeby zgłoś naruszenie do UODO: Rozważ konieczność zgłoszenia naruszenia do organu nadzorczego w świetle art. 33 RODO. W Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych. Pomocniczo możesz skorzystać z Kalkulatora Wagi Naruszeń ODO 24.
  • W razie potrzeby zawiadom osoby, których dane dotyczą: Jeżeli naruszenie może spowodować "wysokie ryzyko naruszenia praw lub wolności osób fizycznych", należy powiadomić o tym fakcie osoby, których dane dotyczą. Zakres informacji niezbędnych w zawiadomieniu określa art. 34 RODO.

- + W jakim czasie należy zgłosić naruszenie ochrony danych Prezesowi UODO?

Zgodnie z art. 33 ust. 1 RODO, naruszenie ochrony danych osobowych powinno być zgłoszone Prezesowi UODO, nie później niż 72 godziny po stwierdzeniu naruszenia.

Należy pamiętać o przewidzianym przez Grupę Roboczą w art. 29 (obecnie EROD) terminie na przeprowadzenie „śledztwa” (czasu na zbadanie zdarzenia i dokonanie stwierdzenia naruszenia).

- + W jaki sposób poinformować osoby, których dane dotyczą o naruszeniu?

Zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może spowodować "wysokie ryzyko naruszenia praw lub wolności osób fizycznych", administrator danych ma obowiązek bez zbędnej zwłoki powiadomić o tym fakcie osoby, których dane dotyczą.

Zakres zawiadomienia powinien zawierać m.in. opis zdarzenia, dane do kontaktu, możliwe konsekwencje zdarzenia, rekomendacje dotyczące minimalizacji ewentualnych skutków, informacje o działaniach podjętych przez administratora.

Komunikacja powinna być przeprowadzona w sposób bezpośredni, np. przez e-mail, list, telefon, chyba że jest to niewykonalne lub wymagałoby to niewspółmiernego wysiłku. W takim przypadku dopuszczalne jest skorzystanie z publicznego środka komunikacji, np. prasowego, telewizyjnego lub internetowego.

- + Czy Prezes UODO nakłada kary za naruszenie ochrony danych osobowych?

Tak, Prezes UODO jest uprawniony nakładania kar finansowych za naruszenia ochrony danych osobowych. Kara może wynosić do 20 milionów euro lub do 4% całkowitego rocznego obrotu na całym świecie z poprzedniego roku, w zależności od tego, która kwota jest wyższa.

Wysokość kary zależy od wielu czynników, takich jak: rodzaj naruszenia, przypadkowe lub celowe naruszenie, jakie kroki podjęto w celu zapobieżenia naruszeniu, czy naruszenie zostało zgłoszone organowi, jak wiele osób zostało dotkniętych i jakie dane zostały naruszone. Przed nałożeniem kary, Prezes UODO przeprowadza postępowanie, podczas którego ocenia te czynniki.

- + Jakie są konsekwencje naruszenia ochrony danych?

Konsekwencje naruszenia ochrony danych mogą być bardzo poważne, oto niektóre z nich:

  • Kary finansowe: Kary mogą wynieść do 20 milionów euro lub do 4% rocznego globalnego obrotu przedsiębiorstwa - zależnie od tego, która wartość jest wyższa.
  • Reputacja:Naruszenie ochrony danych może poważnie narazić reputację firmy. Klienci mogą stracić zaufanie do firmy, która nie była w stanie ochronić ich danych osobowych. Oznacza to, że mogą zdecydować się nie korzystać z jej usług lub produktów w przyszłości.
  • Strata biznesu: W wyniku utraty zaufania klientów, firma może doświadczyć spadku sprzedaży lub utraty klientów. Kontrahenci mogą zerwać kontrakty biznesowe, jeśli firma nie jest w stanie zapewnić odpowiedniego poziomu ochrony danych.
  • Koszty związane z naruszeniem: Mogą to być np. koszty naprawy systemów informatycznych, koszty prawne, koszty związane z zawiadamianiem osób, których dane dotyczą o naruszeniu, czy koszty związane z zaspokojeniem zgłoszonych roszczeń.
  • Koszty związane z poprawkami: Firma może być zobligowana do wprowadzenia poprawek w swoich systemach i procedurach w celu zapobiegania przyszłym naruszeniom, co również może wiązać się z kosztami.
  • Inne konsekwencje prawne: Oprócz kar finansowych, mogą wystąpić inne konsekwencje prawne, w tym w postaci postępowania karnego.

- + Jak mogę zgłosić naruszenie ochrony danych?

Przypadki obowiązku zgłoszenia naruszenia ochrony danych określa art. 33 RODO. Zgłoszenie powinno nastąpić do Prezesa Urzędu Ochrony Danych Osobowych. W przypadku większości naruszeń, zgłoszenie powinno nastąpić nie później niż 72 godziny od stwierdzenia naruszenia. Zgłoszenie może być dokonane elektronicznie lub drogą pisemną.

- + Czy mogę otrzymać karę za przypadkowe naruszenie ochrony danych?

Tak, kary za naruszenie przepisów RODO mogą być nałożone nawet w przypadku przypadkowego naruszenia. Niezależnie od tego, czy naruszenie było celowe czy przypadkowe, administrator danych jest zobowiązany do zapewnienia ochrony danych osobowych i może zostać pociągnięty do odpowiedzialności za ich naruszenie.

Przypadkowy lub celowy charakter naruszenia będzie jednak jednym z czynników branych pod uwagę w toku postępowania prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych i może mieć wpływ np. na wysokość kary.

Dane zwykłe

Wartość: 1

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały podstawowe dane identyfikacyjne (imię i nazwisko), dane korespondencyjne, dane teleadresowe, informacje na temat ukończonych szkół lub doświadczenia zawodowego.

Przykład 1

Wyciek danych (imię, nazwisko, numer telefonu) klientów supermarketu lub restauracji.

Przykład 2

Wyciek CV pochodzących z internetowego serwisu zawodowo-biznesowego, do których dostęp mieli zarejestrowani użytkownicy.

Przykład 3

Wyciek danych (imię, nazwisko, adres zamieszkania) klientów kwiaciarni.

Przykład 4

Ujawnienie danych uwierzytelniających (login i hasło) do portalu, na którym nie jest przechowywana historia zakupów (np. sklep muzyczny).

Dane zwykłe

Wartość: 2

Wybierz tę wartość, jeżeli ilość skompromitowanych danych osobowych „zwykłych” i/lub specyfika administratora mogą przyczynić się do profilowania osoby, której dane dotyczą lub przyjęcia określonych założeń dotyczących statusu społecznego/finansowego tej osoby.

Przykład 1

Wyciek danych (imię, nazwisko, numer telefonu) klientów luksusowej marki samochodów.

Przykład 2

Wyciek CV pochodzących z organizacji pomagającej osobom bezrobotnym w znalezieniu zatrudnienia.

Przykład 3

Wyciek danych (imię, nazwisko, adres zamieszkania) klientów banku inwestycyjnego.

Przykład 4

Ujawnienie danych uwierzytelniających (login i hasło) do konta klienta w sklepie internetowym, gdzie przechowywane są wcześniejsze historie zakupów (np. program lojalnościowy).

Przykład 5

Ujawnienie danych uwierzytelniających (login i hasło) do serwisu społecznościowego.

Dane zwykłe

Wartość: 3

Wybierz tę wartość, jeżeli skompromitowane dane osobowe „zwykłe” i/lub specyfika administratora mogą przyczynić się do przyjęcia określonych założeń dotyczących stanu zdrowia osoby fizycznej, jej preferencji seksualnych, przekonań politycznych lub religijnych.

Przykład 1

Wyciek danych (imię, nazwisko, numer telefonu) klientów apteki internetowej specjalizującej się w sprzedaży produktów dla pacjentów z cukrzycą.

Przykład 2

Wyciek CV pochodzących z organizacji wspierającej prawa osób LGBT+.

Przykład 3

Wyciek danych (imię, nazwisko, adres zamieszkania) klientów księgarni z książkami dla dorosłych.

Przykład 4

Ujawnienie danych uwierzytelniających (login i hasło) do serwisów internetowych związanych z preferencjami seksualnymi.

Przykład 5

Ujawnienie serii i numeru dowodu osobistego

Dane zwykłe

Wartość: 4

Wybierz tę wartość, jeżeli skompromitowane dane osobowe „zwykłe”, ze względu na pewne cechy osoby, której dane dotyczą (w szczególności osób wymagających szczególnej opieki, np. dzieci), mogą mieć krytyczne znaczenie dla jej bezpieczeństwa lub dobrostanu fizycznego/psychicznego.

Przykład 1

Ujawnienie numeru PESEL.

Przykład 2

Wyciek danych (imię, nazwisko, numer telefonu) policyjnych informatorów.

Przykład 3

Wyciek CV pochodzących z organizacji pomagającej narkomanom wychodzącym z nałogu w znalezieniu zatrudnienia.

Przykład 4

Wyciek danych (imię, nazwisko, adres zamieszkania) osób, które zostały oskarżone o znęcanie się nad dziećmi.

Przykład 5

Ujawnienie danych uwierzytelniających (login i hasło) do bankowości internetowej, umożliwiających przeprowadzanie transakcji finansowych.

Dane dotyczące zachowań osoby

Wartość: 1

Wybierz tę wartość, jeżeli charakter skompromitowanych danych nie zapewnia żadnego istotnego wglądu w informacje o zachowaniu/preferencjach danej osoby lub gdy dane te można łatwo zebrać (niezależnie od naruszenia) za pośrednictwem publicznie dostępnych źródeł (np. poprzez wyszukiwarkę internetową).

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) z infolinii technicznej.

Przykład 2

Ujawnienie danych z karty lojalnościowej klienta supermarketu, zawierającej informacje odnośnie liczby zgromadzonych punktów.

Przykład 3

Wyciek danych z portali społecznościowych zawierających informacje o preferencjach i życiu codziennym użytkownika z ostatniego miesiąca, którymi użytkownik podzielił się wyłącznie ze swoimi znajomymi (np. informacje opublikowane na wall’u użytkownika).

Dane dotyczące zachowań osoby

Wartość: 2

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały dane odnoszące się m.in. do lokalizacji, pokonywanych tras, preferencji, gustów lub upodobań osoby, której dane dotyczą.

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) od dostawcy usług internetowych, obejmujący historię połączeń z ostatniego tygodnia.

Przykład 2

Ujawnienie danych z karty lojalnościowej klienta supermarketu, obejmującej informacje o historii zakupów za ostatni miesiąc.

Przykład 3

Wyciek danych z portali społecznościowych obejmujących informacje ogólnodostępne w Internecie (np. zdjęcia, które użytkownik opublikował w sieci).

Dane dotyczące zachowań osoby

Wartość: 3

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane behawioralne lub/i specyfikę administratora można stworzyć profil danej osoby, ujawniający szczegółowe informacje o jej codziennym życiu i nawykach.

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) od dostawcy usług internetowych, obejmujący historię połączeń z ostatniego roku, dzięki czemu można stworzyć szczegółowy profil dzwoniącego.

Przykład 2

Ujawnienie danych z tachografu/GPS-u zawierającego informacje na temat lokalizacji/przemieszczania się danej osoby w ciągu ostatniego roku.

Przykład 3

Wyciek danych z portali społecznościowych zawierających informacje o preferencjach i życiu codziennym użytkownika z ostatniego roku, którymi użytkownik podzielił się wyłącznie ze swoimi znajomymi (np. informacje opublikowane na wall’u użytkownika), dzięki czemu można stworzyć jego profil osobowy.

Dane dotyczące zachowań osoby

Wartość: 4

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane behawioralne można utworzyć profil danej osoby odnoszący się do danych szczególnych kategorii.

Przykład 1

Wyciek historii połączeń telefonicznych (metadane, bez treści prowadzonych rozmów) z telefonu zaufania.

Przykład 2

Ujawnienie danych z karty lojalnościowej klienta apteki, zawierającej informacje o ostatnich zakupach produktów medycznych.

Przykład 3

Wyciek danych z portali społecznościowych obejmujących prywatną komunikację (np. wiadomości), która może ujawnić informacje o życiu seksualnym lub stanie zdrowia użytkowników.

Dane finansowe

Wartość: 1

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane nie można uzyskać żadnego istotnego wglądu w sytuacje finansową danej osoby (np. fakt, że dana osoba jest klientem określonego banku, bez dalszych szczegółów).

Przykład 1

Udostępnienie nieuprawnionej osobie pisma, za pomocą którego osoba fizyczna jest identyfikowana jako klient danego banku, bez podawania żadnych informacji na temat konkretnych relacji między klientem a bankiem (np. jedynie jego nazwisko i adres, ale bez numeru rachunku lub informacji o transakcjach).

Przykład 2

Ujawnienie oświadczenia potwierdzającego złożenie deklaracji o dochodach.

Przykład 3

Ujawnienie nieaktualnych numerów kart kredytowych.

Przykład 4

Przesłanie do niewłaściwego odbiorcy faktury za energię elektryczną za ostatni okres rozliczeniowy.

Dane finansowe

Wartość: 2

Wybierz tę wartość, jeżeli skompromitowane dane zawierają pewne informacje finansowe, ale nadal nie zapewniają żadnego istotnego wglądu w status/sytuację finansową osoby (np. numery rachunków bankowych, bez dalszych szczegółów).

Przykład 1

Ujawnienie historii transakcji danego klienta z jednego dnia.

Przykład 2

Ujawnienie stawki podatkowej mającej zastosowanie do danej osoby.

Przykład 3

Ujawnienie aktualnych numerów kart kredytowych.

Przykład 4

Przesłanie do niewłaściwego odbiorcy informacji (upomnienia) o nieopłaceniu trzech ostatnich faktur za energię elektryczną.

Dane finansowe

Wartość: 3

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały dane odnoszące się do finansów osoby, której dane dotyczą (np. dochody, transakcje finansowe, wyciągi bankowe, inwestycje itp.). Wskazana kategoria obejmuje także informacje dotyczące wsparcia materialnego ze strony opieki społecznej.

Przykład 1

Ujawnienie wyciągów bankowych klientów indywidualnych z ostatniego miesiąca.

Przykład 2

Ujawnienie rocznej deklaracji podatkowej danej osoby fizycznej.

Przykład 3

Ujawnienie numerów kart kredytowych oraz niektórych transakcji zrealizowanych za ich pośrednictwem.

Przykład 4

Przesłanie do niewłaściwego odbiorcy faktur za zakup metali szlachetnych o znacznej wartości.

Przykład 5

Przesłanie do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia majątkowego.

Dane finansowe

Wartość: 4

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane lub/i specyfikę administratora ujawnione zostaną informacje, które mogą umożliwić oszustwo (np. numery kart kredytowych oraz kodów CVV) lub stworzyć szczegółowy profil społeczno-finansowy danej osoby.

Przykład 1

Ujawnienie historii transakcji danego klienta z ostatniego roku, wskazującej wszystkie transakcje i związane z nimi szczegóły.

Przykład 2

Ujawnienie informacji na temat dochodów osiąganych przez daną osobę na przestrzeni ostatnich 10 lat.

Przykład 3

Ujawnienie numerów kart kredytowych, dat ich ważności oraz kodów CVV.

Przykład 4

Przesłanie do niewłaściwego odbiorcy faktury za badanie w laboratorium medycznym, zawierającej numer PESEL klienta.

Dane szczególnej kategorii

Wartość: 1

Wybierz tę wartość, jeżeli charakter skompromitowanych danych nie zapewnia żadnego istotnego wglądu w informacje szczególnej kategorii na temat danej osoby lub gdy dane te można łatwo zebrać (niezależnie od naruszenia) za pośrednictwem publicznie dostępnych źródeł (np. poprzez wyszukiwarkę internetową).

Przykład 1

Ujawnienie informacji, że dana osoba wykonała ogólne badanie krwi w laboratorium medycznym.

Przykład 2

Ujawnienie danych osobowych prominentnych członków dużej partii politycznej, którzy zajmują eksponowane stanowiska publiczne.

Przykład 3

Ujawnienie nicków (pseudonimów) użytkowników z internetowego forum randkowego.

Dane szczególnej kategorii

Wartość: 2

Wybierz tę wartość, jeżeli w oparciu o skompromitowane dane można poczynić ogólne założenia na temat danej osoby, np. jej stanu zdrowia.

Przykład 1

Ujawnienie informacji przez , że dana osoba wykonała ogólne badanie krwi zlecone przez izbę przyjęć szpitala.

Przykład 2

Ujawnienie danych osobowych uczestników imprezy charytatywnej sponsorowanej przez określoną partię polityczną.

Przykład 3

Ujawnienie imion i nazwisk użytkowników internetowego forum randkowego.

Dane szczególnej kategorii

Wartość: 3

Wybierz tę wartość, jeżeli charakter skompromitowanych danych lub/i specyfika administratora mogą doprowadzić do założeń odnoszących się do szczegółów dot. danych szczególnych kategorii.

Przykład 1

Ujawnienie informacji, że dana osoba wykonała badanie krwi pod kątem określonej choroby (bez wyników badania).

Przykład 2

Ujawnienie danych osobowych uczestników konferencji zorganizowanej przez określoną partię polityczną.

Przykład 3

Ujawnienie imion i nazwisk użytkowników internetowego forum randkowego dedykowanego, ale nie wyłącznego, dla osób homoseksualnych.

Dane szczególnej kategorii

Wartość: 4

Domyślna wartość dla tej kategorii danych. Wybierz ją, jeżeli w ramach naruszenia skompromitowane zostały dane szczególnych kategorii, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Przykład 1

Ujawnienie wyników badań krwi danej osoby.

Przykład 2

Ujawnienie wpisów z zamkniętego forum internetowego obejmujących opinie polityczne wyrażane przez członków forum.

Przykład 3

Ujawnienie danych osobowych użytkowników serwisu randkowego, obejmujących deklarowaną orientację seksualną użytkowników.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").

Zamknij
Szukaj w ODO24.pl

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).