1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Ocena ryzyka naruszenia ochrony danych osobowych – jak wdrożyć podejście jakościowe zamiast kalkulatora ENISA
Wyszukiwanie...

Ocena ryzyka naruszenia ochrony danych osobowych – jak wdrożyć podejście jakościowe zamiast kalkulatora ENISA

Spis treści

Ochrona danych osobowych to dziś nie tylko obowiązek prawny, ale też realne ryzyko biznesowe. Błędy w ocenie incydentów mogą prowadzić do kar finansowych, utraty reputacji i zaufania klientów. W ostatnich latach Prezes UODO oraz Europejska Rada Ochrony Danych (EROD) zmieniły sposób patrzenia na ocenę ryzyka – proste „kalkulatory punktowe” przestały wystarczać. Teraz liczy się jakościowa analiza skutków dla osób, a nie matematyczna formuła.

Dzięki temu poradnikowi dowiesz się:

  • dlaczego metoda ENISA nie powinna być już jedyną podstawą oceny,
  • jak przeprowadzić ocenę jakościową krok po kroku,
  • kiedy i jak zgłosić naruszenie do UODO i zawiadomić osoby,
  • jaką rolę pełni Inspektor Ochrony Danych (IOD),
  • jakie dokumenty trzeba przygotować i przechowywać,
  • jak na praktycznych przykładach wygląda różnica między niskim a wysokim ryzykiem.

Dlaczego odchodzi się od metody ENISA?

Jeszcze kilka lat temu większość administratorów korzystała z tzw. kalkulatora ENISA, gdzie ryzyko obliczało się według wzoru:
ryzyko = prawdopodobieństwo × dotkliwość.

To dawało poczucie obiektywizmu, ale w praktyce prowadziło do:

  • uproszczeń (np. dwa incydenty zupełnie różne jakościowo mogły mieć „taką samą punktację”),
  • pomijania kontekstu (np. wrażliwość danych, szczególna sytuacja osoby, rozgłos incydentu),
  • błędnych decyzji co do zgłaszania lub zawiadamiania osób.

Dlatego Prezes UODO nie rekomenduje dziś stosowania ENISA jako jedynej metodyki – można jej używać pomocniczo, ale kluczowa jest jakościowa analiza skutków dla ludzi.

Podejście jakościowe – jak wygląda w praktyce?

Europejska Rada Ochrony Danych (EROD) w swoich wytycznych (m.in. 01/2021 i 09/2022) podkreśla, że ocena powinna być opisowa i narracyjna, a nie tylko punktowa. Chodzi o to, by administrator:

  • opisał zdarzenie,
  • wskazał, kogo dotyczy i jakie dane wyciekły,
  • przeanalizował możliwe skutki dla osób,
  • uzasadnił, dlaczego ryzyko uznał za niskie, średnie czy wysokie,
  • podjął odpowiednie działania (zgłoszenie, zawiadomienie, środki zaradcze).

Krok 1: Identyfikacja zdarzenia

Każdy proces oceny zaczyna się od zebrania podstawowych faktów:

  • co się stało – np. zgubiono laptopa, wysłano mail do złego adresata, baza została zhakowana,
  • gdzie i kiedy – dokładna data i miejsce incydentu,
  • jakie dane – czy to dane zwykłe (np. kontaktowe), czy szczególne (np. zdrowotne), czy zawierają PESEL lub dane finansowe,
  • kogo dotyczą – pracowników, klientów, kontrahentów, pacjentów, dzieci,
  • jakie zabezpieczenia działały – np. szyfrowanie, pseudonimizacja, hasła, logowanie dwuetapowe,
  • jakie działania podjęto od razu – np. unieważnienie uprawnień, próba odzyskania nośnika, kontakt z błędnym adresatem.

Krok 2: Analiza wpływu na osoby

Tutaj kluczowe jest postawienie pytania: co to oznacza dla człowieka, którego dane dotyczą?

  • Możliwe skutki: kradzież tożsamości, straty finansowe, szkody zdrowotne, ujawnienie wrażliwych faktów, nękanie, szantaż, utrata pracy, pogorszenie reputacji.
  • Kontekst: czy dotyczy to dużej grupy osób czy pojedynczej osoby, czy dane są publiczne czy wrażliwe, czy naruszenie miało miejsce w środowisku kontrolowanym czy całkowicie nieznanym.
  • Skala i rozgłos: czy incydent był głośny, czy ograniczony do wąskiego grona, czy media mogą się nim zainteresować.
  • Podatność osób: np. dzieci, osoby starsze, pacjenci – w ich przypadku nawet drobny wyciek może mieć poważniejsze skutki.

Krok 3: Ocena ryzyka (opisowa, nie punktowa)

W podejściu jakościowym nie chodzi o liczby, tylko o uzasadnioną narrację. Zamiast pisać, że „ryzyko = 12/25”, trzeba odpowiedzieć:

  • dlaczego uznajemy, że dane naruszenie ma niskie, średnie czy wysokie ryzyko,
  • jakie zabezpieczenia ograniczyły skutki (np. szyfrowanie, szybka reakcja),
  • dlaczego to wystarcza albo nie wystarcza.

👉 Możesz stworzyć tabelę pomocniczą (np. kategorie danych × liczba osób × kontekst × zabezpieczenia), ale pamiętaj – wynik tabeli nie decyduje, tylko opis.

Krok 4: Decyzja o działaniach następczych

Po ocenie ryzyka administrator musi zdecydować:

  • czy zgłosić naruszenie do UODO,
  • czy zawiadomić osoby, których dane dotyczą,
  • jakie środki zaradcze podjąć – zarówno natychmiastowe (np. zmiana haseł, kontakt z błędnym adresatem), jak i strategiczne (np. wdrożenie szyfrowania, nowe procedury).

Kiedy zgłaszać do UODO, a kiedy zawiadamiać osoby?

Zgłoszenie do UODO

„W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (…) chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.” – art. 33 ust. 1 RODO

✔ Jeśli istnieje ryzyko – zgłaszasz.
✖ Jeśli brak ryzyka – nie zgłaszasz, ale dokumentujesz ocenę i uzasadnienie.

Zawiadomienie osób

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.” – art. 34 ust. 1 RODO

✔ Jeśli wysokie ryzyko – zawiadamiasz osoby (i UODO).
✖ Jeśli ryzyko, ale nie wysokie – zawiadamiasz tylko UODO.
✖ Jeśli brak ryzyka – nie zawiadamiasz ani UODO, ani osób.

Praktyczne przykłady

Przykład 1: E-mail z danymi kandydatów do błędnego adresata

  • Stan faktyczny (zmodyfikowany): Firma HR wysłała plik z 80 CV kandydatów na błędny adres. Dane zawierały m.in. imię, nazwisko, numer telefonu, e-mail, kilka osób podało PESEL. Plik nie był szyfrowany.
  • Ocena:
    • dane osobowe + PESEL = duża wrażliwość,
    • liczba osób = 80,
    • brak kontroli nad odbiorcą, brak szyfrowania.
  • Wniosek: wysokie ryzyko → zgłoszenie do UODO + zawiadomienie kandydatów.

Przykład 2: Zgubiony pendrive z szyfrowaniem

  • Stan faktyczny (zmodyfikowany): Przedstawiciel handlowy zgubił pendrive z danymi 300 klientów (imię, e-mail, historia zakupów). Nośnik był zaszyfrowany (AES-256, silne hasło). Backup istnieje.
  • Ocena:
    • dane kontaktowe = stosunkowo mało wrażliwe,
    • liczba osób = 300,
    • silne szyfrowanie = praktyczne uniemożliwienie odczytu.
  • Wniosek: brak ryzyka → brak zgłoszenia, ale trzeba udokumentować ocenę.

Zasada 3 poziomów ryzyka 📌

  1. Brak ryzyka → brak zgłoszenia, tylko dokumentacja.
  2. Ryzyko → zgłoszenie do UODO (72h).
  3. Wysokie ryzyko → zgłoszenie do UODO + zawiadomienie osób.

Jakie narzędzia pomagają w jakościowej ocenie?

Choć nie używamy już prostych kalkulatorów, warto wprowadzić inne praktyczne rozwiązania:

  • Listy kontrolne (checklisty) – z pytaniami o:
    • kategorie danych (zwykłe czy wrażliwe),
    • liczbę osób,
    • podatność osób (dzieci, seniorzy, pacjenci),
    • potencjalne skutki (np. kradzież tożsamości, szkoda finansowa, dyskryminacja),
    • zabezpieczenia (szyfrowanie, pseudonimizacja, hasła, logi dostępu).
  • Szablony raportów – z miejscem na opis zdarzenia, analizę skutków, wnioski i decyzje (zgłoszenie / brak zgłoszenia, zawiadomienia, środki zaradcze).
  • Katalogi typowych naruszeń – zestawienie przykładów (np. z wytycznych EROD 09/2022), które pomagają w szybkiej ocenie, czy incydent wymaga zgłoszenia.

👉 Najlepiej, aby wszystkie materiały były w jednym repozytorium („Procedura incydentów RODO”) i miały przypisanego właściciela (zwykle IOD).

Rola Inspektora Ochrony Danych (IOD)

IOD nie musi sam przeprowadzać każdej oceny, ale ma kluczową rolę w całym procesie:

  • identyfikuje zdarzenia – pomaga odróżnić zwykły problem techniczny od naruszenia ochrony danych,
  • doradza zespołowi – szkoli pracowników i wspiera w wypełnianiu raportów,
  • weryfikuje raporty – sprawdza, czy analiza i decyzje są spójne z RODO i wytycznymi EROD,
  • pilnuje dokumentacji – dba, żeby oceny były kompletne, archiwizowane i dostępne na wypadek kontroli,
  • rekomenduje działania – np. zawiadomienie osób, wdrożenie dodatkowych zabezpieczeń,
  • ale decyzję ostateczną zawsze podejmuje kierownictwo (administrator danych).

Jak udokumentować ocenę ryzyka?

Minimalny pakiet dokumentacji 📄

  1. Karta incydentu – co się stało, kiedy, kto wykrył, jakie dane i ilu osób dotyczy, jakie zabezpieczenia działały.
  2. Raport jakościowy – opis zdarzenia, analiza możliwych skutków dla osób, ocena ryzyka.
  3. Decyzja – czy zgłaszamy do UODO, czy zawiadamiamy osoby, jakie działania wdrażamy.
  4. Dowody operacyjne – potwierdzenia zgłoszenia do UODO, kopie zawiadomień do osób, albo uzasadnienie braku zgłoszenia.
  5. Archiwizacja – zasady przechowywania (gdzie, kto ma dostęp, jak długo).

Ważne:

  • Jeśli uznasz, że nie trzeba zgłaszać, i tak musisz mieć pisemne uzasadnienie.
  • EROD (wytyczne 09/2022) zaleca przechowywanie również dowodów zawiadomień osób i uzasadnień braku zgłoszenia.

Jak wygląda proces w praktyce?

  1. Zgłoszenie incydentu (np. pracownik do IOD lub działu IT/HR).
  2. Gromadzenie danych (karta incydentu).
  3. Ocena ryzyka jakościowa (raport).
  4. Weryfikacja przez IOD.
  5. Decyzja zarządu / administratora danych (zgłoszenie, zawiadomienie, środki).
  6. Dokumentacja i archiwizacja.

Dzięki temu każdy incydent ma ścieżkę: od zgłoszenia przez pracownika aż po zamknięcie sprawy – co jest kluczowe w razie kontroli UODO.

Czy trzeba ponownie ocenić „stare” incydenty?

Nie każdy przypadek trzeba ruszać, ale warto przeanalizować:

  • incydenty wysokiego ryzyka – np. wycieki danych zdrowotnych, finansowych, dużych baz,
  • sprawy strategiczne – które miały wpływ na reputację firmy,
  • incydenty oceniane wyłącznie kalkulatorem ENISA – bo tam ryzyko błędnej kwalifikacji jest największe.

👉 Pamiętaj: zgłoszenie naruszenia nie ulega przedawnieniu.
Jeśli dziś uznasz, że kiedyś źle oceniłeś ryzyko i incydent wymagał zgłoszenia – wciąż możesz (i powinieneś) to naprawić.

Przykłady działań naprawczych

  • Techniczne: szyfrowanie nośników, wprowadzenie DLP (Data Loss Prevention), logowanie dwuskładnikowe, automatyczne blokady wysyłki danych na zewnętrzne adresy.
  • Organizacyjne: aktualizacja procedur incydentów, szkolenia dla pracowników, kontrola dostępu do danych, procedura podwójnej weryfikacji przy wysyłce wrażliwych plików.
  • Strategiczne: audyt bezpieczeństwa IT, testy odporności systemów (pentesty), rewizja umów powierzenia danych.

Mini-checklista decyzyjna 📌

  • Czy znamy datę stwierdzenia incydentu (liczy się 72h do zgłoszenia)?
  • Jakie kategorie danych są objęte (zwykłe, szczególne, PESEL, finansowe)?
  • Ilu uczestników dotyczy naruszenie?
  • Jakie mogą być skutki (krótkie i długoterminowe)?
  • Jakie zabezpieczenia działały (szyfrowanie, pseudonimizacja)?
  • Czy ryzyko jest: brak / niskie / średnie / wysokie → dlaczego?
  • Czy zgłaszamy do UODO? Czy zawiadamiamy osoby? Kiedy i jak?
  • Jakie środki zaradcze wdrażamy od razu i jakie długofalowo?

Podsumowanie: najważniejsze wnioski

  • Oceniaj incydenty z perspektywy osób, a nie tylko tabelki.
  • ENISA może wspierać, ale nie może być jedyną podstawą decyzji.
  • Dokumentuj każdy przypadek – nawet jeśli nie zgłaszasz.
  • IOD to doradca i weryfikator, ale decyzję podejmuje zarząd.
  • Trzy poziomy ryzyka: brak ryzyka → brak zgłoszenia; ryzyko → zgłoszenie do UODO; wysokie ryzyko → zgłoszenie do UODO + zawiadomienie osób.
  • Jeśli masz wątpliwości co do starych incydentów – wróć do nich i oceń jeszcze raz.

Podstawa prawna

  • art. 33 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO)
  • art. 34 ust. 1 – RODO
  • Wytyczne EROD 01/2021 – kryteria jakościowej oceny i postępowanie administratora
  • Wytyczne EROD 09/2022 – przykłady naruszeń wymagających zgłoszenia, dokumentowanie decyzji

Tematy porad zawartych w poradniku

  • ocena ryzyka naruszenia RODO
  • kiedy zgłosić naruszenie do UODO
  • zawiadomienie osób o naruszeniu danych
  • dokumentowanie incydentów RODO
  • rola IOD w naruszeniach danych

Przydatne adresy urzędowe i źródła oficjalne

Ostatnia aktualizacja: 31.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: