Kalkulator wagi naruszeń RODO

W Twojej firmie doszło do naruszenia? Zastanawiasz się, czy zgłosić je Prezesowi UODO? Masz wątpliwości, czy poinformować osoby, których dane dotyczą? A może to nic strasznego i wystarczy ujawnić je w rejestrze naruszeń, który prowadzisz?

Spokojnie, jesteśmy z Tobą. Dzięki naszemu kalkulatorowi „zmierzysz” ryzyka związane z naruszeniem ochrony danych i dowiesz się, jakie działania powinieneś podjąć.

Wersja mobilna aplikacji Aplikacja

dowiedz się więcej Oceń naruszenie

Tomasz Ochocki

RODO nakłada na administratora danych obowiązek zgłaszania do Prezesa UODO naruszeń ochrony danych osobowych, skutkujących ryzykiem naruszenia praw i wolności osób fizycznych. Nie daje jednak wskazówek, jak ocenić, czy takie ryzyko istnieje. Podobnie w przypadku konieczności zawiadomienia o naruszeniu osoby, której dane dotyczą – RODO mówi o „wysokim ryzyku” naruszenia praw i wolności jako przesłance do podjęcia wskazanego działania. Również w tym przypadku pozostawia ocenę ryzyka administratorowi danych.

Dla ułatwienia realizacji trudnego zadania oceny ryzyka przedstawiamy nasz kalkulator, który pozwoli Ci krok po kroku dokonać takiej ewaluacji. Wynik kalkulatora będzie rzetelny tylko wtedy, jeśli wypełnisz go z należytą starannością. Ponadto, udzielając odpowiedzi na pytania, warto abyś zadbał o uzupełnienie pól z uzasadnieniem, ponieważ wpływa to pozytywnie na wiarygodność i przejrzystość dokonywanej przez administratora analizy.

Pamiętaj, aby podczas oceniania naruszenia brać pod uwagę zalecenia i wcześniejsze decyzje Prezesa UODO, w szczególności, gdy skompromitowany zostaje numer PESEL. Zdaniem naszego organu nadzorczego, jego nieuprawnione ujawnienie, modyfikacja lub utracenie bardzo często może wiązać się z wysokim ryzykiem naruszenia praw i wolności, co skutkuje koniecznością zgłoszenia takiego naruszenia do Prezesa UODO oraz zawiadomienia osób, których dane dotyczą.

Oceń, czy naruszenie wymaga zgłoszenia

1Informacje na temat danych, których dotyczy naruszenie

Czy były to dane podstawowe?
Dane podstawowe to informacje odnoszące się m.in. do tożsamości (np. imię i nazwisko, nick internetowy, data urodzenia, imiona rodziców), danych teleadresowych (adres e-mail, numer telefonu) lub danych korespondencyjnych (adres zamieszkania lub do korespondencji) osoby, której dane dotyczą
Czy były to dane dotyczące zachowania lub preferencji?
Dane dotyczące zachowania to informacje odnoszące się m.in. do lokalizacji, pokonywanych tras, preferencji, gustów lub upodobań osoby, której dane dotyczą.
Czy były to dane finansowe?
Dane finansowe to dowolny rodzaj danych odnoszących się do finansów osoby, której dane dotyczą (np. dochody, transakcje finansowe, wyciągi bankowe, inwestycje, numery kart kredytowych, faktury itp.). Wskazana kategoria obejmuje także informacje dotyczące pomocy ze strony opieki społecznej, odnośnie do wsparcia materialnego.
Czy były to dane szczególnej kategorii?
Dane szczególnej kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej albo dane dotyczące wyroków skazujących i naruszeń prawa.
Czy zakres danych, które uległy naruszeniu był szeroki?
Szeroki zakres danych należy rozpatrywać pod kątem ilości danych objętych naruszeniem, ale i czasem jego trwania. Przykładowo, taki charakter miałoby ujawnienie przez dostawcę usług internetowych danych na temat historii stron internetowych, które przeglądał użytkownik, w zakresie obejmującym okres jednego roku (a nie np. tygodnia). Jako inny przykład można wskazać ujawnienie przez bank pełnego wniosku kredytowego (a nie np. jednego z załączników).
Czy dane, które uległy naruszeniu miały szczególny charakter?
Szczególny charakter danych należy rozumieć jako czynnik wpływający na poziom ryzyka poprzez charakter i kontekst informacji, które uległy naruszeniu. Przykładowo, zagubienie zaświadczenia lekarskiego zawierającego wyłącznie informację o dobrym stanie zdrowia osoby, której dane dotyczą - pomimo ujawnienia danych szczególnej kategorii - nie będzie zwielokrotniać ryzyka, ponieważ zaistniałe zdarzenie nie wpływa na sytuację tej osoby. Przykładem obrazującym odwrotną sytuację będzie kompromitacja numeru PESEL, a więc teoretycznie tzw. danych osobowych zwykłych, która zdaniem Prezesa UODO co do zasady wiąże się z wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
Czy specyfika administratora lub osób, których dane dotyczą zwiększa ryzyko naruszenia praw i wolności?
Specyfika administratora danych odnosi się do jego profilu działalności, który może zwiększać ryzyko naruszenia praw i wolności osoby, której dane dotyczą. Przykładowo, ujawnienie danych na temat klientów apteki lub poradni psychiatrycznej niesie ze sobą wyższe ryzyko niż w przypadku klientów sklepu papierniczego.

Specyfika osób, których dane dotyczą, odnosi się do ich cech, sytuacji życiowej lub potrzeb, które mogą zwiększać ryzyko naruszenia ich praw i wolności. Przykładowo, ujawnienie numerów telefonów parlamentarzystów lub pracowników ministerstwa niesie ze sobą wyższe ryzyko niż w przypadku numerów telefonów pracowników sklepu spożywczego.
Czy zaistniałe naruszenie może powodować negatywne skutki dla osób, których dane dotyczą?
Naruszenie może powodować negatywne skutki dla osób, których dane dotyczą, np. kradzież tożsamości, szkodę finansową, szkodę wizerunkową, dyskryminację.
Czy dane, które uległy naruszeniu były ogólnodostępne przed naruszeniem?
Dostępność danych oznacza możliwość zapoznania się z nimi poprzez otwarte źródła informacji (np. KRS, CEIDG, Facebook).
Czy dane były aktualne w momencie naruszenia?
Aktualność danych to inaczej ich merytoryczna poprawność, a więc pewność, że są one zgodne ze stanem faktycznym. Przykładowo, lista adresów pocztowych, pod które nie można dostarczyć listów do wskazanych odbiorców, może świadczyć o nieaktualności danych na temat osób mających zamieszkiwać pod wskazanymi adresami.

2Jak oceniasz prawdopodobieństwo identyfikacji osób, których dane dotyczą?

Jak oceniasz prawdopodobieństwo identyfikacji osób, których dane dotyczą?

Najniższa wartość prawdopodobieństwa identyfikacji jest przyznawana wtedy, gdy możliwość zidentyfikowania danej osoby jest znikoma, co oznacza, że niezwykle trudno dopasować dane do konkretnej osoby, ale nadal może być to możliwe w określonych warunkach.

Najwyższy wynik jest wybierany, gdy identyfikacja jest możliwa bezpośrednio z naruszonych danych bez specjalnych badań potrzebnych do odkrycia tożsamości osoby.

Przykład - naruszenie dotyczy danych - imię i nazwisko.

Stopień prawdopodobieństwa może się różnić w zależności od przypadku, ponieważ określone dane nie zawsze same w sobie jednoznacznie będą identyfikować określoną osobę.

Na przykład, gdy identyfikacja jest przeprowadzana przy wykorzystaniu imienia i nazwiska osoby:

  • Znikome prawdopodobieństwo identyfikacji w populacji danego kraju, gdzie wiele osób ma to samo imię i nazwisko.
  • Ograniczone prawdopodobieństwo identyfikacji w populacji danego kraju, gdzie niewiele osób ma takie samo imię i nazwisko.
  • Wysokie prawdopodobieństwo identyfikacji w populacji małego miasta, gdzie niewiele osób ma takie samo imię i nazwisko lub wcale nie ma takiego samego imienia i nazwiska.
  • Maksymalne prawdopodobieństwo identyfikacji w populacji danego kraju, z uwzględnieniem innych danych, których dotyczy naruszenie np. data urodzenia i adres e-mail.

3Jaki charakter miało zaistniałe naruszenie

Utrata poufności - dane ujawnione.
Utrata poufności ma miejsce, gdy dostęp do danych uzyskują osoby lub podmioty, które nie są do tego uprawnione lub nie mają uzasadnionego celu, aby taki dostęp posiadać.
Utrata integralności - dane zmienione.
Utrata integralności następuje, gdy oryginalne informacje zostaną zmienione, a przetwarzanie danych zmodyfikowanych w ten sposób może być szkodliwe dla osoby.
Utrata dostępności - dane niedostępne.
Utrata dostępności występuje, gdy nie można uzyskać dostępu do danych osobowych wtedy, gdy jest taka potrzeba. Może to być czasowe (dane można odzyskać dopiero po pewnym czasie) lub trwałe (dane nie mogą być odzyskane).
Intencjonalne (celowe) działanie sprawcy.
Przypadki kradzieży i włamania, w celu wyrządzenia szkody osobom fizycznym (np. poprzez ujawnienie ich danych osobowych); przekazywanie danych osobowych stronom trzecim w celach zarobkowych (np. sprzedaży baz danych osobowych).

Przykład uzupełnienia kalkulatora - zobacz film

Marcin Kuźniak

BEZPŁATNA KONSULTACJA

Wciąż nie wiesz, czy zgłaszać naruszenie? Zapytaj doradcę

UMÓW TERMIN

Zastrzeżenie

Metodyka przyjęta dla stworzenia niniejszego kalkulatora uwzględnia rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Każdy przypadek naruszenia, bądź podejrzenia naruszenia ochrony danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 33 i 34 RODO, z tego względu niniejszy kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.


Waga naruszenia

Kalkulator wagi naruszeń

- + Co to jest naruszenie danych osobowych?

Naruszenie danych osobowych to sytuacja, kiedy dane osobowe, którymi firma lub organizacja zarządza, zostają niewłaściwie zniszczone, zmienione, ujawnione, utracone, skradzione. Może to nastąpić w różny sposób - na przykład, kiedy ktoś włamie się do systemu informatycznego firmy i skopiuje dane, kiedy pracownik przypadkowo wysyła e-mail z danymi do niewłaściwej osoby, lub kiedy dokumenty z danymi zostaną zgubione lub skradzione.

Naruszenie danych osobowych jest poważnym problemem, ponieważ może prowadzić do naruszenia praw osób, których dane dotyczą. Przykładowo, jeśli twoje dane osobowe, takie jak imię, adres czy numer telefonu, dostaną się w niewłaściwe ręce, mogą one zostać wykorzystane do celów, na które nie wyraziłeś zgody, takich jak niezamówiony marketing, oszustwa, czy nawet kradzież tożsamości.

Dlatego tak ważne jest, aby firmy i organizacje odpowiednio zabezpieczały dane, którymi zarządzają, i przestrzegały przepisów RODO. W przypadku naruszenia, które skutkuje ryzykiem dla praw i wolności podmiotów danych, należy powiadomić PUODO, jeśli ryzyko jest wysokie, także osoby, których dane zostały naruszone.

- + Jakie są najczęstsze naruszenia ochrony danych osobowych?

Naruszenia ochrony danych osobowych mogą wystąpić w wielu różnych formach, do najczęstszych można zaliczyć:

  • Ataki hakerskie - To są sytuacje, w których cyberprzestępcy włamują się do systemów komputerowych, aby ukraść dane osobowe. Może to obejmować taktyki jak ransomware, ataki typu "man-in-the-middle", i inne
  • Błędy pracowników - naruszenia danych często są wynikiem błędów popełnionych przez pracowników. Może to obejmować przesyłanie danych osobowych na niewłaściwe adresy e-mail, utratę sprzętu zawierającego dane osobowe, czy niezabezpieczanie swojego komputera przed nieautoryzowanym dostępem.
  • Nieodpowiednie zabezpieczenia - Jeśli organizacja nie ma odpowiednich zabezpieczeń, to jest duża szansa, że dane osobowe mogą zostać skradzione. Może to obejmować brak szyfrowania dysków, brak zabezpieczeń sieciowych, czy brak odpowiednich polityk dotyczących bezpieczeństwa informacji.
  • Włamania fizyczne - W niektórych przypadkach przestępcy mogą fizycznie włamać się do budynku, aby ukraść sprzęt zawierający dane osobowe, jak komputery czy dyski twarde.
  • Spoofing i phishing - Te ataki polegają na podszywaniu się pod zaufane osoby lub organizacje, aby skłonić ofiary do ujawnienia swoich danych osobowych.
  • Malware i spyware - Są to programy komputerowe, które mogą zostać zainstalowane na komputerze ofiary bez jej wiedzy, a następnie mogą zbierać i przesyłać dane osobowe.
  • Naruszenia przez dostawców trzecich - Naruszenie może być także skutkiem działań lub zaniechań podmiotu przetwarzającego.

- + Co zrobić w przypadku naruszenia ochrony danych osobowych?

Jeśli dojdzie do naruszenia ochrony danych osobowych, należy rozważyć następujące kroki:

  • Zidentyfikuj i zrozum naruszenie: Pierwszym krokiem jest ustalenie stanu faktycznego i zrozumienie co się stało. Czy to był atak hakerski, błąd pracownika, czy problem z zabezpieczeniami systemu? Jakie i czyje dane zostały naruszone?
  • Zminimalizuj szkody: Jeśli to możliwe, podejmij natychmiastowe działania w celu zminimalizowania szkód. Może to być zmiana haseł, odłączenie od sieci komputera, na którym doszło do naruszenia.
  • Przeprowadź dochodzenie: Przeprowadź szczegółowe dochodzenie, aby dowiedzieć się, jak doszło do naruszenia i jak można zapobiec podobnym incydentom w przyszłości.
  • Wprowadź poprawki: Na podstawie wyników dochodzenia, wprowadź poprawki do swoich procedur i systemów, aby zapobiec podobnym naruszeniom w przyszłości. Może to obejmować szkolenie personelu, ulepszanie zabezpieczeń systemów IT, lub wprowadzenie lepszych procedur zarządzania danymi.
  • Oceń naruszenie i w razie potrzeby zgłoś naruszenie do PUODO Rozważ konieczność zgłoszenia naruszenia do organu nadzorczego w świetle art. 33 RODO. W Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych. Pomocniczo możesz skorzystać z Kalkulatora Wagi Naruszeń ODO 24.
  • W razie potrzeby zawiadom osoby, których dane dotyczą: Jeżeli naruszenie może spowodować "wysokie ryzyko naruszenia praw lub wolności osób fizycznych", należy powiadomić o tym fakcie osoby, których dane dotyczą. Zakres informacji niezbędnych w zawiadomieniu określa art. 34 RODO.

- + W jakim czasie należy zgłosić naruszenie ochrony danych Prezesowi UODO?

Zgodnie z art. 33 ust. 1 RODO, naruszenie ochrony danych osobowych powinno być zgłoszone Prezesowi UODO, nie później niż 72 godziny po stwierdzeniu naruszenia.

Należy pamiętać o przewidzianym przez Grupę Roboczą w art. 29 (obecnie EROD) terminie na przeprowadzenie krótkiego „śledztwa” (czasu na zbadanie zdarzenia i dokonanie stwierdzenia naruszenia).

- + W jaki sposób poinformować osoby, których dane dotyczą o naruszeniu?

Zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może spowodować "wysokie ryzyko naruszenia praw lub wolności osób fizycznych", administrator danych ma obowiązek bez zbędnej zwłoki powiadomić o tym fakcie osoby, których dane dotyczą.

Zakres zawiadomienia powinien zawierać m.in. opis charakteru zdarzenia, dane do kontaktu z IOD, możliwe konsekwencje zdarzenia, informacje dotyczące podjętych środków, w tym środków w celu minimalizacji ewentualnych skutków naruszenia.

Komunikacja powinna być przeprowadzona w sposób bezpośredni, np. przez e-mail, list, telefon, chyba że wymagałoby to niewspółmiernego wysiłku. W takim przypadku dopuszczalne jest skorzystanie z publicznego środka komunikacji, np. prasowego, telewizyjnego lub internetowego.

- + Czy Prezes UODO nakłada kary za naruszenie ochrony danych osobowych?

Tak, Prezes UODO jest uprawniony nakładania kar finansowych za naruszenia ochrony danych osobowych. Kara może wynosić do 20 milionów euro lub do 4% całkowitego rocznego obrotu na całym świecie z poprzedniego roku, w zależności od tego, która kwota jest wyższa.

Wysokość kary zależy od wielu czynników, takich jak: rodzaj naruszenia, przypadkowe lub celowe naruszenie, jakie kroki podjęto w celu zapobieżenia naruszeniu, czy naruszenie zostało zgłoszone organowi, jak wiele osób zostało dotkniętych i jakie dane zostały naruszone. Przed nałożeniem kary, Prezes UODO przeprowadza postępowanie, podczas którego ocenia te czynniki.

- + Jakie są konsekwencje naruszenia ochrony danych?

Konsekwencje naruszenia ochrony danych mogą być bardzo poważne, oto niektóre z nich:

  • Kary finansowe: Kary mogą wynieść do 20 milionów euro lub do 4% rocznego globalnego obrotu przedsiębiorstwa - zależnie od tego, która wartość jest wyższa.
  • Reputacja:Naruszenie ochrony danych może poważnie narazić reputację firmy. Klienci mogą stracić zaufanie do firmy, która nie była w stanie ochronić ich danych osobowych. Oznacza to, że mogą zdecydować się nie korzystać z jej usług lub produktów w przyszłości.
  • Strata biznesu: W wyniku utraty zaufania klientów, firma może doświadczyć spadku sprzedaży lub utraty klientów. Kontrahenci mogą zerwać kontrakty biznesowe, jeśli firma nie jest w stanie zapewnić odpowiedniego poziomu ochrony danych.
  • Koszty związane z naruszeniem: Mogą to być np. koszty naprawy systemów informatycznych, koszty prawne, koszty związane z zawiadamianiem osób, których dane dotyczą o naruszeniu, czy koszty związane z zaspokojeniem zgłoszonych roszczeń.
  • Koszty związane z poprawkami: Firma może być zobligowana do wprowadzenia poprawek w swoich systemach i procedurach w celu zapobiegania przyszłym naruszeniom, co również może wiązać się z kosztami.
  • Inne konsekwencje prawne: Oprócz kar finansowych, mogą wystąpić inne konsekwencje prawne, w tym w postaci postępowania o zadośćuczynienie.

- + Jak mogę zgłosić naruszenie ochrony danych?

Przypadki obowiązku zgłoszenia naruszenia ochrony danych określa art. 33 RODO. Zgłoszenie powinno nastąpić do Prezesa Urzędu Ochrony Danych Osobowych. W przypadku większości naruszeń, zgłoszenie powinno nastąpić nie później niż 72 godziny od stwierdzenia naruszenia. Zgłoszenie może być dokonane elektronicznie lub drogą pisemną.

- + Czy mogę otrzymać karę za przypadkowe naruszenie ochrony danych?

Tak, kary za naruszenie przepisów RODO mogą być nałożone nawet w przypadku przypadkowego naruszenia. Niezależnie od tego, czy naruszenie było celowe czy przypadkowe, administrator danych jest zobowiązany do zapewnienia ochrony danych osobowych i może zostać pociągnięty do odpowiedzialności za ich naruszenie.

Przypadkowy lub celowy charakter naruszenia będzie jednak jednym z czynników branych pod uwagę w toku postępowania prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych i może mieć wpływ np. na wysokość kary.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>