Zamknij
Zamknij
Strona główna  •  Narzędzia  •  Kalkulator wagi naruszeń

Kalkulator wagi naruszeń
ochrony danych osobowych

Kalkulator

Sprawdź, które naruszenia wymagają zgłoszenia do PUODO, a w razie konieczności poinformowania także osób, których dane dotyczą.

Wersja mobilna aplikacji Aplikacja

RODO nakłada na administratorów obowiązek zgłaszania do PUODO naruszeń ochrony danych osobowych skutkujących ryzykiem naruszenia praw i wolności osób fizycznych. Nie daje jednak wskazówek, jak ocenić czy ryzyko takie istnieje. Podobnie, w przypadku konieczności zawiadomienia o incydencie osoby, której dane dotyczą, rozporządzenie mówi o „wysokim ryzyku” naruszenia praw i wolności jako przesłance do podjęcia wskazanego działania. Również w tym przypadku pozostawia ocenę ryzyka administratorowi danych. O tym co należy zrobić, gdy dojdzie do incydentu, dowiesz się z artykułu: Zarządzanie naruszeniami – plan działania.

Dla ułatwienia realizacji trudnego zadania oceny ryzyka poniżej przedstawiamy narzędzie, które pozwoli krok po kroku dokonać takiej ewaluacji. Stanowi ono cenną wskazówkę dla działających pod presją czasu osób odpowiedzialnych za zgłoszenie, które nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą wywiązać się z narzuconych unijnym aktem obowiązków.

Oceń, czy naruszenie wymaga zgłoszenia

1Informacje na temat danych, których dotyczy naruszenie

Czy były to dane podstawowe? (rozwiń)
Dane podstawowe to informacje odnoszące się m.in. do tożsamości (np. imię i nazwisko, nick internetowy, data urodzenia, imiona rodziców, numer PESEL), danych teleadresowych (adres e-mail, numer telefonu) lub danych korespondencyjnych (adres zamieszkania lub do korespondencji) osoby, której dane dotyczą
Czy były to dane dotyczące zachowania lub preferencji? (rozwiń)
Dane dotyczące zachowania to informacje odnoszące się m.in. do lokalizacji, pokonywanych tras, preferencji, gustów lub upodobań osoby, której dane dotyczą.
Czy były to dane finansowe? (rozwiń)
Dane finansowe to dowolny rodzaj danych odnoszących się do finansów osoby, której dane dotyczą (np. dochody, transakcje finansowe, wyciągi bankowe, inwestycje, numery kart kredytowych, faktury itp.). Wskazana kategoria obejmuje także informacje dotyczące pomocy ze strony opieki społecznej, odnośnie do wsparcia materialnego.
Czy były to dane szczególnej kategorii? (rozwiń)
Dane szczególnej kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej albo dane dotyczące wyroków skazujących i naruszeń prawa.
Czy zakres danych, które uległy naruszeniu był szeroki? (rozwiń)
Szeroki zakres danych należy rozpatrywać pod kątem ilości danych objętych naruszeniem, ale i czasem jego trwania. Przykładowo, taki charakter miałoby ujawnienie przez dostawcę usług internetowych danych na temat historii stron internetowych, które przeglądał użytkownik, w zakresie obejmującym okres jednego roku (a nie np. tygodnia). Jako inny przykład można wskazać ujawnienie przez bank pełnego wniosku kredytowego (a nie np. jednego z załączników).
Czy dane, które uległy naruszeniu miały szczególny charakter? (rozwiń)
Szczególny charakter danych należy rozumieć jako czynnik pływający na poziom ryzyka poprzez charakter i kontekst informacji, które uległy naruszeniu. Przykładowo, zagubienie zaświadczenia lekarskiego zawierającego wyłącznie informację o dobrym stanie zdrowia osoby, której dane dotyczą - pomimo ujawnienia danych szczególnej kategorii ryzyko nie będzie się zwielokrotniać, ponieważ zaistniałe zdarzenie nie wpływa na sytuację tej osoby.
Czy specyfika administratora lub osób, których dane dotyczą zwiększa ryzyko naruszenia praw i wolności? (rozwiń)
Specyfika administratora danych odnosi się do jego profilu działalności, który może zwiększać ryzyko naruszenia praw i wolności osoby, której dane dotyczą. Przykładowo, ujawnienie danych na temat klientów apteki lub poradni psychiatrycznej niesie ze sobą wyższe ryzyko niż w przypadku klientów sklepu papierniczego.

Specyfika osób, których dane dotyczą, odnosi się do ich cech, sytuacji życiowej lub potrzeb, które mogą zwiększać ryzyko naruszenia ich praw i wolności. Przykładowo, ujawnienie numerów telefonów parlamentarzystów lub pracowników ministerstwa niesie ze sobą wyższe ryzyko niż w przypadku numerów telefonów pracowników sklepu spożywczego.
Czy zaistniałe naruszenie może powodować negatywne skutki dla osób, których dane dotyczą? (rozwiń)
Naruszenie może powodować negatywne skutki dla osób, których dane dotyczą, np. kradzież tożsamości, szkodę finansową, szkodę wizerunkową, dyskryminację.
Czy dane, które uległy naruszeniu były ogólnodostępne przed naruszeniem? (rozwiń)
Dostępność danych oznacza możliwość zapoznania się z nimi poprzez otwarte źródła informacji (np. KRS, CEIDG, Facebook).
Czy dane były aktualne w momencie naruszenia? (rozwiń)
Aktualność danych to inaczej ich merytoryczna poprawność, a więc pewność, że są one zgodne ze stanem faktycznym. Przykładowo, lista adresów pocztowych, pod które nie można dostarczyć listów do wskazanych odbiorców, może świadczyć o nieaktualności danych na temat osób mających zamieszkiwać pod wskazanymi adresami.

2Jak oceniasz prawdopodobieństwo identyfikacji osób, których dane dotyczą?

Jak oceniasz prawdopodobieństwo identyfikacji osób, których dane dotyczą? (rozwiń)

Najniższa wartość prawdopodobieństwa identyfikacji jest przyznawana wtedy, gdy możliwość zidentyfikowania danej osoby jest znikoma, co oznacza, że niezwykle trudno dopasować dane do konkretnej osoby, ale nadal może być to możliwe w określonych warunkach.

Najwyższy wynik jest wybierany, gdy identyfikacja jest możliwa bezpośrednio z naruszonych danych bez specjalnych badań potrzebnych do odkrycia tożsamości osoby.

Przykład - naruszenie dotyczy danych - imię i nazwisko.

Stopień prawdopodobieństwa może się różnić w zależności od przypadku, ponieważ określone dane nie zawsze same w sobie jednoznacznie będą identyfikować określoną osobę.

Na przykład, gdy identyfikacja jest przeprowadzana przy wykorzystaniu imienia i nazwiska osoby:

  • Znikome prawdopodobieństwo identyfikacji w populacji danego kraju, gdzie wiele osób ma to samo imię i nazwisko.
  • Ograniczone prawdopodobieństwo identyfikacji w populacji danego kraju, gdzie niewiele osób ma takie samo imię i nazwisko.
  • Wysokie prawdopodobieństwo identyfikacji w populacji małego miasta, gdzie niewiele osób ma takie samo imię i nazwisko lub wcale nie ma takiego samego imienia i nazwiska.
  • Maksymalne prawdopodobieństwo identyfikacji w populacji danego kraju, z uwzględnieniem innych danych, których dotyczy naruszenie np. data urodzenia i adres e-mail.

3Jaki charakter miało zaistniałe naruszenie

Utrata poufności - dane ujawnione. (rozwiń)
Utrata poufności ma miejsce, gdy dostęp do danych uzyskują osoby lub podmioty, które nie są do tego uprawnione lub nie mają uzasadnionego celu, aby taki dostęp posiadać.
Utrata integralności - dane zmienione. (rozwiń)
Utrata integralności następuje, gdy oryginalne informacje zostaną zmienione, a przetwarzanie danych zmodyfikowanych w ten sposób może być szkodliwe dla osoby.
Utrata dostępności - dane niedostępne. (rozwiń)
Utrata dostępności występuje, gdy nie można uzyskać dostępu do danych osobowych wtedy, gdy jest taka potrzeba. Może to być czasowe (dane można odzyskać dopiero po pewnym czasie) lub trwałe (dane nie mogą być odzyskane).
Intencjonalne (celowe) działanie sprawcy. (rozwiń)
Przypadki kradzieży i włamania, w celu wyrządzenie szkody osobom fizycznym (np. poprzez ujawnienie ich danych osobowych); przekazywanie danych osobowych stronom trzecim w celach zarobkowych (np. sprzedaż list danych osobowych).

Przykład uzupełnienia

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję rekomendacji należy wypełnić wszystkie pola kalkulatora. Metodyka przyjęta dla stworzenia niniejszego kalkulatora uwzględnia rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Każdy przypadek naruszenia, bądź podejrzenia naruszenia ochrony danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 33 i 34 RODO, z tego względu niniejszy kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.


RODO. Wspracie się przydaje!

Waga naruszenia
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnej pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziejsz w wiaodmości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Zamów demo aplikacji Dr RODO

Przetestuj aplikację bez ryzyka. Poproś o 14-dniowy bezpłatny okres próbny. Ze względów biznesowych, zastrzegamy sobie prawo do wyboru zgłoszeń.
?
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi Dr RODO na zasadach określonych w Regulaminie Dr RODO. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Dziękujemy!


Twoja wiadomość jest już w naszej skrzynce odbiorczej.
Odpiszemy, gdy tylko zapoznamy się z jej treścią.