Pisma RODO wnioski RODO i BIK, wzory umów

Strona główna / Baza wiedzy / Ocena ryzyka naruszenia danych osobowych

Kalkulator: ocena ryzyka naruszenia danych osobowych (art. 33 i 34 RODO)

Oceń ryzyko naruszenia danych osobowych zgodnie z art. 33 i 34 RODO. Wybierz typ danych i okoliczności incydentu, a otrzymasz syntetyczny poziom dotkliwości oraz pomocniczą rekomendację: zgłoszenie do Prezesa UODO (PUODO) i ewentualne powiadomienie osób.

Narzędzie pomaga ustalić, czy naruszenie danych osobowych powoduje ryzyko dla praw i wolności osób fizycznych, czy wymaga zgłoszenia do UODO (art. 33 RODO) oraz czy zachodzi obowiązek poinformowania osób, których dane dotyczą (art. 34 RODO).

Kalkulator działa lokalnie w przeglądarce — nie wysyła wprowadzanych informacji na serwer. Narzędzie porządkuje ocenę ryzyka na podstawie typowych kryteriów (rodzaj danych, skala, kontekst, charakter działania) i pomaga szybciej podjąć decyzję operacyjną.

Szukasz pełnego planu działania po incydencie (72 godziny, checklisty, dokumentacja)? Wyciek danych w firmie — co zrobić krok po kroku Zawiadomienie osób o naruszeniu (art. 34 RODO) — wzór i dobre praktyki Czy PESEL to dane wrażliwe? RODO, ochrona i ryzyko Kto odpowiada za wyciek danych — firma czy pracownik? Wróć do „Ochrona danych w firmie”

W skrócie — najważniejsze fakty

Naruszenie ochrony danych osobowych (RODO) to nie tylko wyciek do internetu. To każda sytuacja prowadząca do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia albo dostępu do danych.
72 godziny liczy się od momentu, gdy organizacja „stwierdzi” naruszenie (czyli ma wystarczającą pewność, że doszło do zdarzenia naruszającego dane), a nie od chwili, kiedy incydent faktycznie się zaczął.
Najważniejsza jest ocena ryzyka dla osób, których dane dotyczą. To ona przesądza, czy zgłaszać naruszenie do UODO (art. 33 RODO) i czy informować osoby (art. 34 RODO).

Kalkulator oceny ryzyka naruszenia danych osobowych (art. 33 i 34 RODO)

Skorzystaj z kalkulatora oceny ryzyka naruszenia danych osobowych zgodnie z art. 33 i 34 RODO. Narzędzie pomaga określić, czy dane zdarzenie może powodować ryzyko dla praw i wolności osób fizycznych oraz czy wymaga zgłoszenia do UODO lub powiadomienia osób. Pozwala wybrać m.in. rodzaj danych, łatwość identyfikacji, charakter naruszenia (poufność, integralność, dostępność), skalę zdarzenia, kontekst dostępu, szyfrowanie oraz działania minimalizujące.

Typy danych

Wybierz typy danych. Do wyniku przyjmujemy najwyższą dotkliwość wybranego typu danych.

Wyjaśnienie i przykłady

Podstawowe dane pozwalające rozpoznać osobę, ale bez numerów dokumentów (np. pseudonim w internecie, nazwa firmy osoby fizycznej). To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • imię i nazwisko
  • pseudonim
  • data urodzenia
Wyjaśnienie i przykłady

Dane kontaktowe, które same w sobie nie dają pełnego obrazu sytuacji osoby. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • adres zamieszkania
  • telefon
  • adres e-mail
ID wysokiego ryzyka
Wyjaśnienie i przykłady

Numery i skany dokumentów, które mogą ułatwić kradzież tożsamości. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • PESEL
  • seria i numer dowodu
  • paszport / prawo jazdy
Dane dostępowe
Wyjaśnienie i przykłady

Dane, które umożliwiają przejęcie kont lub dostęp do systemów. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • login i hasło
  • tokeny resetu
  • kody MFA / sesje
Wyjaśnienie i przykłady

Ogólne informacje finansowe niewystarczające do nadużyć, bez danych rozliczeniowych. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • fakt bycia klientem banku
  • tajemnica bankowa niewystarczająca do nadużyć
  • ogólne saldo bez identyfikatorów
Wyjaśnienie i przykłady

Dane dające istotny wgląd w sytuację finansową, bez pełnych danych do nadużyć. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • historia transakcji
  • dochody / zobowiązania
  • szczegóły płatności bez danych do autoryzacji
Ryzyko nadużyć
Wyjaśnienie i przykłady

Dane, które realnie umożliwiają nadużycia finansowe lub kradzież środków. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • numer karty + data ważności + CVV
  • pełne dane rozliczeniowe z identyfikatorami
  • dane do autoryzacji płatności
Wyjaśnienie i przykłady

Dane o pracy, edukacji lub kwalifikacjach, zwykle bez wrażliwych identyfikatorów. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • CV
  • historia zatrudnienia
  • kwalifikacje zawodowe
Wyjaśnienie i przykłady

Informacje o miejscu pobytu lub przemieszczaniu się osoby. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • bieżąca lokalizacja
  • historia tras
  • geotagi
Wyjaśnienie i przykłady

Dane o zachowaniach, profilowaniu lub ocenie ryzyka. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • historia zakupów
  • preferencje
  • scoring / segmentacja
Dane wrażliwe
Wyjaśnienie i przykłady

Dane dotyczące zdrowia, seksualności, poglądów, religii lub biometrii. To tylko przykłady — katalog nie jest zamknięty (patrz art. 9 RODO).

Przykłady (lista otwarta) – np.:

  • zdrowie
  • seksualność
  • poglądy polityczne
  • związek religijny
  • dane biometryczne
  • związane z rasą lub pochodzeniem etnicznym
  • związki zawodowe
Dane karne
Wyjaśnienie i przykłady

Informacje o karalności, wyrokach lub skazaniach. To tylko przykłady — katalog nie jest zamknięty.

Przykłady (lista otwarta) – np.:

  • dane karne
  • mandaty
  • postępowania
Słowniczek pojęć
  • Ocena dotkliwości: zbiorczy wynik ryzyka dla danych i okoliczności incydentu.
  • Łatwość identyfikacji: na ile łatwo powiązać dane z konkretną osobą.
  • Charakter naruszenia: czy ucierpiała poufność, integralność lub dostępność.
  • Typy danych: kategorie informacji, które mogą zwiększać lub obniżać ryzyko.
Łatwość identyfikacji
Jak rozumieć łatwość identyfikacji?

Łatwość identyfikacji opisuje, jak łatwo powiązać dane z konkretną osobą.

  • Imię + miasto + pracodawca → identyfikacja możliwa po zestawieniu.
  • Sam e-mail w dużej bazie → identyfikacja zależy od kontekstu.
  • PESEL lub numer dowodu → bezpośrednia identyfikacja.
Charakter naruszenia (poufność / integralność / dostępność)
Co oznacza poufność, integralność i dostępność?

Poufność: czy ktoś nieuprawniony mógł dane zobaczyć lub mieć dostęp.

Integralność: czy dane mogły zostać zmienione.

Dostępność: czy nie można było korzystać z danych lub usługi.

Charakter działania (przypadkowe / celowe)
Jak rozumieć „celowe”?

Celowe ≠ złośliwe. To sytuacja, gdy działanie nie było przypadkowe.

Przykład: Pracownik celowo wysłał plik na prywatny e-mail, żeby dokończyć pracę w domu → działanie celowe, ale bez zamiaru ujawnienia danych osobom trzecim; celem nie musi być użycie danych.

Najwyższa opcja oznacza ukierunkowanie na wykorzystanie danych (np. cyberprzestępczość, ransomware, wyłudzenia).

Kontekst incydentu (do rejestru)

Pytania poniżej pomagają ocenić ryzyko, a nie wskazać winę.

Jak doszło do incydentu

Kto uzyskał dostęp do danych

Szyfrowanie obniża ryzyko tylko wtedy, gdy dane pozostały nieczytelne dla osób trzecich. Jeśli klucz wyciekł — traktujemy dane jak czytelne.

Co oznacza „dane nieczytelne”?

Przykładowo: silne szyfrowanie bez kompromitacji klucza; zahashowane; zaciemnione.

Samo szyfrowanie nie wystarcza, jeśli klucz też wyciekł.

Działania minimalizujące

Chodzi o działania, które odwracają lub realnie zmniejszają skutki naruszenia — nie o działania formalne.

Tu pojawi się wynik po kliknięciu „Policz”.

Wynik oceny dotkliwości

Wynik: 0.00

Poziom:

Typy danych:

Uzasadnienie:

    Rekomendacja dalszych działań (pomocniczo)

    Rekomendacja ma charakter pomocniczy i opiera się na typowych przesłankach z art. 33 i 34 RODO. Wysoki poziom dotkliwości oznacza konieczność powiadomienia Prezesa UODO oraz podmiotów danych (art. 33 i 34 RODO). W przypadku danych nieczytelnych wynik może być niższy, jednak nie zwalnia z przesłanek art. 33. Jeżeli dane były nieczytelne dla osób nieuprawnionych, może mieć zastosowanie wyjątek z art. 34 ust. 3 lit. a) RODO - do oceny administratora.

    Rekomendacja:

      W praktyce o decyzji przesądza możliwość wystąpienia ryzyka naruszenia praw lub wolności osób, w szczególności gdy dane umożliwiają bezpośrednią identyfikację, kradzież tożsamości, przejęcie kont, ryzyko strat finansowych lub ujawniają dane wrażliwe.

      Wynik ma charakter pomocniczy i nie zastępuje analizy administratora ani oceny ryzyka w organizacji.

      Użytkownicy najczęściej szukają odpowiedzi na pytania: „jak ocenić ryzyko naruszenia danych osobowych”, „czy muszę zgłosić naruszenie ochrony danych”, „kiedy powiadomić osoby (art. 34 RODO)”. Ten kalkulator porządkuje te decyzje w jednym miejscu.

      Jak korzystać z kalkulatora i jak interpretować wynik

      Ten kalkulator jest narzędziem dla administratorów danych, IOD, compliance oraz zespołów IT/bezpieczeństwa, które muszą szybko i w uporządkowany sposób ocenić skutki naruszenia dla osób fizycznych — a następnie podjąć decyzję, czy zachodzą przesłanki do zgłoszenia do PUODO (art. 33 RODO) oraz czy występuje wysokie ryzyko wymagające powiadomienia osób (art. 34 RODO).

      Aby wynik był miarodajny, opisz incydent tak, jak wygląda w praktyce:

      • wybierz kategorie danych, które faktycznie mogły zostać ujawnione (zwróć uwagę na zestawy danych — połączenie kilku kategorii często podnosi ryzyko),
      • określ łatwość identyfikacji osoby na podstawie ujawnionych informacji (to kluczowe przy danych „zwykłych”),
      • zaznacz charakter naruszenia (poufność / integralność / dostępność) oraz czy działanie miało charakter przypadkowy czy celowy,
      • wskaż kontekst dostępu (np. przypadkowy odbiorca vs. publiczny dostęp / cyberprzestępcy),
      • uwzględnij skalę (liczba osób/rekordów), a także szyfrowanie i mitygacje, jeżeli realnie ograniczają skutki (np. szybkie unieważnienie tokenów, reset haseł, blokady).

      Wynik kalkulatora pokazuje syntetyczny poziom dotkliwości oraz krótkie uzasadnienie, czyli które elementy najbardziej wpłynęły na ocenę. Traktuj to jako wsparcie decyzyjne i porządkujące, a nie automatyczne „orzeczenie” — o obowiązkach z art. 33 i 34 zawsze rozstrzyga ocena ryzyka dla praw i wolności osób w konkretnej sytuacji, w tym realne możliwe szkody (np. kradzież tożsamości, przejęcie kont, straty finansowe, ujawnienie informacji szczególnie chronionych).

      Na koniec pamiętaj o rozliczalności: niezależnie od wyniku, w rejestrze naruszeń udokumentuj co najmniej: opis zdarzenia, datę stwierdzenia, kategorie danych, skalę, wnioski z oceny i uzasadnienie, decyzję (zgłoszenie / brak zgłoszenia / powiadomienie osób) oraz działania naprawcze i minimalizujące. Jeśli potrzebujesz gotowej checklisty (w tym „72 godziny” i układ dokumentacji), skorzystaj z poradnika Wyciek danych w firmie — co zrobić krok po kroku .

      Definicje i progi RODO

      Naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych.

      • Ryzyko (art. 33 RODO): naruszenie może powodować ryzyko naruszenia praw lub wolności – wtedy zgłaszasz do UODO.
      • Wysokie ryzyko (art. 34 RODO): ryzyko jest wysokie – wtedy zgłaszasz do UODO oraz co do zasady powiadamiasz osoby (z ew. wyjątkami do oceny, np. gdy dane są nieczytelne - art. 34 ust. 3 lit. a) RODO).
      • 72 godziny liczy się od stwierdzenia naruszenia, a nie od momentu incydentu.

      Jeśli potrzebujesz wzoru komunikatu dla osób, zobacz Zawiadomienie osób o naruszeniu (art. 34 RODO) — wzór i dobre praktyki .

      Kiedy naruszenie ochrony danych wymaga zgłoszenia do UODO?

      Zgodnie z art. 33 RODO, naruszenie ochrony danych osobowych podlega zgłoszeniu do UODO, jeżeli może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Kluczowe znaczenie ma ocena możliwych skutków zdarzenia, a nie wyłącznie jego przyczyna techniczna.

      Ocena ryzyka uwzględnia w szczególności rodzaj danych, łatwość identyfikacji osób, skalę zdarzenia oraz charakter naruszenia (poufność, integralność lub dostępność danych). W praktyce oznacza to, że brak potwierdzonych nadużyć nie wyklucza obowiązku zgłoszenia, jeżeli okoliczności wskazują na realne zagrożenie dla osób fizycznych.

      Kalkulator oceny ryzyka naruszenia danych osobowych porządkuje tę analizę i wspiera administratora w podjęciu decyzji zgodnie z podejściem opartym na ryzyku wymaganym przez RODO.

      Co wpływa na poziom ryzyka naruszenia danych osobowych?

      Poziom ryzyka naruszenia danych osobowych zależy od okoliczności zdarzenia i możliwych konsekwencji dla osób fizycznych, a nie wyłącznie od faktu wystąpienia incydentu.

      • rodzaj danych (np. dane identyfikacyjne, dane logowania, dane finansowe, dane szczególnych kategorii),
      • łatwość identyfikacji osoby na podstawie ujawnionych informacji,
      • charakter naruszenia: poufność, integralność lub dostępność danych,
      • skala naruszenia (liczba osób lub rekordów),
      • kontekst dostępu – kto i w jakich okolicznościach mógł uzyskać dane.

      Analiza tych elementów pozwala określić ryzyko dla praw i wolności osób, a w konsekwencji – jakie obowiązki wynikają z RODO.

      Najczęstsze pytania: ocena ryzyka naruszenia danych (art. 33 i 34 RODO)

      1. Jak działa kalkulator oceny ryzyka naruszenia danych (RODO)?

      Kalkulator działa lokalnie w przeglądarce. Wybierasz typ danych i okoliczności incydentu (m.in. identyfikowalność, charakter naruszenia: poufność/integralność/dostępność, charakter działania, kontekst dostępu, skala i szyfrowanie). Następnie narzędzie wylicza syntetyczną „dotkliwość” oraz pokazuje pomocniczą rekomendację dotyczącą zgłoszenia do UODO (art. 33 RODO) i ewentualnego powiadomienia osób (art. 34 RODO).

      2. Czy dane wpisane do kalkulatora są wysyłane na serwer?

      Nie. Kalkulator nie wysyła wprowadzanych informacji na serwer i nie zapisuje danych formularza w pamięci przeglądarki. Działa w pełni lokalnie, a wszystkie obliczenia są wykonywane po stronie Twojej przeglądarki.

      3. Co najbardziej wpływa na poziom ryzyka naruszenia danych osobowych?

      Największy wpływ mają: (1) rodzaj danych (np. dane logowania, finansowe, dokumenty, szczególne kategorie), (2) łatwość identyfikacji osoby, (3) kontekst tego, kto uzyskał dostęp (przypadkowy odbiorca vs. podmiot nieuprawniony/cyberprzestępcy), (4) skala (liczba osób/rekordów), (5) realne skutki dla osób (kradzież tożsamości, straty finansowe, ujawnienie tajemnicy, szkody reputacyjne) oraz (6) działania minimalizujące (np. szybka zmiana haseł, blokada kont, unieważnienie tokenów).

      4. Czy każdy „incydent IT” to naruszenie ochrony danych osobowych?

      Nie zawsze. Naruszenie w rozumieniu RODO to zdarzenie dotyczące danych osobowych, które narusza poufność, integralność lub dostępność danych. Awaria techniczna bez wpływu na dane osobowe może być incydentem IT, ale nie musi być naruszeniem danych osobowych.

      5. Kiedy trzeba zgłosić naruszenie do UODO (art. 33 RODO)?

      Zgłoszenie do UODO jest wymagane, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. W praktyce często wystarczy „co najmniej ryzyko” — zwłaszcza gdy w grę wchodzą dane umożliwiające nadużycia (np. podszycie się, phishing, straty finansowe) albo gdy nie masz pewności, kto uzyskał dostęp.

      6. Kiedy trzeba poinformować osoby o naruszeniu (art. 34 RODO)?

      Powiadomienie osób jest wymagane, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności. To próg wyższy niż samo zgłoszenie do UODO. Typowo „wysokie ryzyko” częściej występuje przy danych logowania, dokumentach, danych finansowych, danych zdrowotnych lub przy szerokiej skali i braku skutecznych mitygacji.

      7. Kiedy NIE trzeba informować osób mimo poważnego incydentu?

      Najczęstsze sytuacje, w których obowiązek z art. 34 może nie powstać, to: (1) dane były skutecznie zabezpieczone i nieczytelne dla nieuprawnionych (np. silne szyfrowanie), (2) wdrożono działania eliminujące wysokie ryzyko zanim się zmaterializuje (np. szybkie unieważnienie haseł/tokenów, blokady), (3) spełniono przesłanki wyjątków przewidzianych w art. 34 ust. 3 RODO.

      8. Czy szyfrowanie zawsze „zeruje” ryzyko i zwalnia z obowiązków?

      Nie zawsze. Skuteczne szyfrowanie często istotnie obniża ryzyko, ale ocena zależy od tego, czy klucze szyfrujące pozostały bezpieczne, czy dane były rzeczywiście nieczytelne oraz czy istnieją inne czynniki ryzyka (np. równoległy wyciek danych logowania lub kluczy).

      9. Jak liczyć 72 godziny na zgłoszenie (art. 33 RODO)?

      72 godziny liczy się od „stwierdzenia naruszenia” — czyli momentu, w którym organizacja ma wystarczające podstawy, by potwierdzić zdarzenie dotyczące danych osobowych. Jeśli nie masz pełnych informacji, zgłoszenie można uzupełniać etapami; ważne jest działanie bez zbędnej zwłoki i dokumentowanie ustaleń.

      10. Jakie dane najczęściej powodują podwyższone ryzyko dla osób?

      Najczęściej ryzyko rośnie, gdy naruszenie dotyczy: danych logowania, numerów dokumentów, danych finansowych, danych medycznych, danych dzieci, danych umożliwiających profilowanie lub podszycie się pod osobę. Istotne są też zestawy danych — nawet „zwykłe” dane, ale połączone z identyfikatorami szczególnie chronionymi (np. imię+nazwisko+adres+PESEL) mogą znacząco zwiększać ryzyko nadużyć.

      11. Czy „brak dowodu nadużycia” oznacza, że nie było ryzyka?

      Nie. Ryzyko ocenia się przez pryzmat możliwych konsekwencji i prawdopodobieństwa ich wystąpienia — nie dopiero po tym, gdy szkoda się zmaterializuje. Dlatego nawet bez potwierdzonego nadużycia można mieć obowiązek zgłoszenia (art. 33) lub powiadomienia (art. 34), jeśli okoliczności wskazują, że realne zagrożenie mogło wystąpić.

      12. Na jakich źródłach opiera się podejście do „dotkliwości” w kalkulatorze?

      Warstwa „dotkliwości” opiera się na podejściu stosowanym w praktyce oceny naruszeń, inspirowanym materiałami ENISA dotyczącymi oceny wagi (severity) naruszeń danych osobowych. Kalkulator łączy to z warstwą decyzyjną RODO: przesłankami zgłoszenia do UODO (art. 33) i powiadomienia osób (art. 34).

      13. Na jakim podejściu opiera się kalkulator oceny ryzyka naruszenia danych?

      Kalkulator został zaprojektowany w oparciu o podejście do oceny dotkliwości naruszeń danych osobowych stosowane w materiałach ENISA (European Union Agency for Cybersecurity), przesłanki wynikające z RODO oraz wytyczne Prezesa Urzędu Ochrony Danych Osobowych. Narzędzie analizuje charakter naruszenia, rodzaj danych, skalę zdarzenia i możliwe skutki dla osób fizycznych, a następnie wiąże wynik z obowiązkami administratora wynikającymi z art. 33 i art. 34 RODO. Wynik prezentowany jest w formie syntetycznej i opisowej, aby wspierać decyzje operacyjne i dokumentacyjne.

      14. Czy wyciek imienia i nazwiska wymaga powiadomienia osób?

      Nie zawsze. Sama para imię + nazwisko zwykle nie przesądza o wysokim ryzyku. Kluczowe są kontekst i zestaw danych (np. dodany PESEL, dane finansowe, dane logowania, informacje o zdrowiu), skala oraz to, kto uzyskał dostęp. W wielu przypadkach wystarczy wpis do rejestru i/lub zgłoszenie do UODO, ale decyzję trzeba oprzeć na realnym ryzyku.

      15. Jak udokumentować ocenę ryzyka dla zasady rozliczalności?

      W rejestrze naruszeń opisz zdarzenie, datę stwierdzenia, kategorie danych, skalę, wynik i uzasadnienie, decyzję (zgłoszenie do UODO/powiadomienie osób) oraz działania naprawcze i minimalizujące. Zachowaj źródła i dowody, na których oparto ocenę.

      Naruszenie ochrony danych osobowych jest zdefiniowane w art. 4 pkt 12 RODO. Obowiązki administratora po stwierdzeniu naruszenia wynikają przede wszystkim z art. 33 RODO (zgłoszenie do organu nadzorczego) oraz art. 34 RODO (powiadomienie osób, gdy ryzyko jest wysokie).

      Całość opiera się na podejściu opartym na ryzyku i rozliczalności (art. 5, 24 i 32 RODO): decyzje powinny wynikać z analizy możliwych skutków dla osób, rodzaju danych, skali zdarzenia charakteru działania. Dokumentacja incydentu oraz uzasadnienie decyzji są elementem rejestru naruszeń.

      Źródła i materiały (oficjalne)

      Wytyczne EROD 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO ENISA: metodologia oceny dotkliwości naruszeń danych (severity) Formularz: zgłoszenie naruszenia ochrony danych osobowych (biznes.gov.pl) WSA w Warszawie: II SA/Wa 1272/22 — wyrok (orzeczenia.nsa.gov.pl) Prezes UODO: Decyzja DKN.5131.15.2024 (17 grudnia 2024 r.) Prezes UODO: Decyzja DKN.5131.17.2024 (Warszawa, 23 października 2025 r.) UODO: „Niezgłoszenie naruszenia bez zbędnej zwłoki – kara dla komornika sądowego” UODO: „Kolejna administracyjna kara pieniężna za niezgłoszenie naruszenia ochrony danych osobowych” (Link4 TU S.A.) UODO: „WSA: konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować”

      Powiązane materiały

      Wyciek danych w firmie — co zrobić krok po kroku Zawiadomienie osób o naruszeniu (art. 34 RODO) — wzór i dobre praktyki Czy PESEL to dane wrażliwe? RODO, ochrona i ryzyko Kto odpowiada za wyciek danych — firma czy pracownik?

      Najważniejsze odpowiedzi (dla wyszukiwarek)

      Do czego służy kalkulator oceny ryzyka naruszenia danych osobowych?

      Pomaga szybko uporządkować ocenę ryzyka dla praw lub wolności osób po incydencie: jakie dane wyciekły, czy doszło do realnego ujawnienia, kto mógł uzyskać dostęp i jaka jest skala. Na tej podstawie wskazuje typowe przesłanki art. 33 i 34 RODO. To wsparcie decyzyjne, nie automatyczna decyzja prawna.

      Jakie informacje warto wpisać, żeby wynik był miarodajny?

      Podaj fakty, które realnie wpływają na skutki dla osób: kategorie i zestawy danych, łatwość identyfikacji osoby, charakter naruszenia (poufność / integralność / dostępność), kontekst dostępu (np. publiczny, cyberprzestępcy) oraz czy szyfrowanie i działania naprawcze ograniczyły ryzyko.

      Jak udokumentować decyzję po ocenie ryzyka?

      W rejestrze naruszeń zapisz: opis zdarzenia i datę stwierdzenia, kategorie danych i osób, skalę, wynik z uzasadnieniem oraz decyzję (zgłoszenie / brak zgłoszenia / powiadomienie osób) i działania naprawcze. Gdy nie zgłaszasz lub nie informujesz osób, krótko uzasadnij dlaczego (np. brak realnego ujawnienia, dane nieczytelne).