Ryzyko wynikające z naruszenia ochrony danych determinuje zakres obowiązków administratora

Zgodnie z art. 33 ust. 1 RODO administrator powinien zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu z wyjątkiem tych sytuacji, w których mało prawdopodobne jest, by taki incydent wywołał ryzyko dla praw lub wolności osób fizycznych. Gdy naruszenie może pociągać za sobą wysokie ryzyko, dodatkowo konieczne jest dodatkowo zawiadomienie osób, których dane dotyczą. Ocena ryzyka pozwala również określić zakres środków zaradczych oraz wykazać zgodność z zasadą rozliczalności.

7 podstawowych elementów, które administrator powinien uwzględnić po incydencie dotyczącym danych osobowych

Według PUODO podczas oceny ryzyka pod uwagę należy wziąć:

1. Rodzaj naruszenia (naruszenie poufności, integralności czy dostępności danych) – od tego mogą zależeć konsekwencje incydentu. Inne będą bowiem skutki np. utracenia danych, a odmienne m.in. w przypadku ich pomyłkowej modyfikacji.
2. Charakter i wrażliwość danych osobowych – administrator musi ocenić, jakie kategorie danych zostały naruszone i czy wśród nich znajdują się dane objęte szczególną ochroną (np. dane biometryczne, dane dotyczące zdrowia czy ujawniające poglądy polityczne).
3. Łatwość identyfikacji – trzeba też ustalić, czy dane umożliwiają jednoznaczną identyfikacje danej osoby – im mniejsze jest takie prawdopodobieństwo, tym mniejsze też ryzyko naruszenia praw i wolności.
4. Dotkliwość konsekwencji – znaczenie mają potencjalne szkody materialne (np. kradzież tożsamości prowadzącą do zawarcia niechcianych umów) oraz szkody niematerialne (np. poczucie wstydu).
5. Cechy szczególne osoby, której dane dotyczą – przy ocenie ryzyka administrator musi wziąć pod uwagę indywidualną podatność konkretnej osoby na wykorzystanie danych – np. z uwagi na jej wiek czy pozostawanie w zależności (m.in. prawnej lub ekonomicznej).
6. Cechy administratora – znaczenie ma zakres i skala przetwarzania danych oraz rodzaj działalności (np. czy administrator to instytucja publiczna albo placówka medyczna)
7. Liczba osób objętych incydentem – większa liczba osób może oznaczać większe ryzyko. Trzeba jednak pamiętać, że nie jest to kwestia zero-jedynkowa. Jak zauważył NSA w niedawno wydanym wyroku, nawet ujawnienie danych jednej osoby może poważnie naruszać jej prawa i wolności.

Źródło: Biuletyn UODO nr 10/10/25 str. 14-18

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

• Doradztwo w zakresie ochrony danych osobowych 
• Outsourcing Inspektora Ochrony Danych / IOD
• Audyt i wdrożenie NIS2 I KSC
• Doradztwo w zakresie sztucznej inteligencji/AI