W analizie ryzyka (np. przy ocenie skutków dla ochrony
danych – DPIA lub ogólnej analizie ryzyka przetwarzania) okoliczności
zdarzenia obejmują m.in. to, kim jest osoba, której dane przetwarzamy,
i jakie cechy mogą wpływać na podatność tej osoby na skutki naruszenia.
Innymi słowy: nie każde naruszenie danych jest tak samo
poważne — jego waga zależy od tego, kogo dotyczy.
🔍 Przykłady „cech
szczególnych” osoby, których należy szukać
1. Wiek
- Dane
dzieci i młodzieży są szczególnie chronione (motyw 38 RODO).
Przykład: wyciek danych uczniów szkoły jest bardziej ryzykowny niż dorosłych pracowników urzędu. - Osoby
starsze mogą mieć trudności z oceną konsekwencji czy dochodzeniem swoich
praw.
2. Stan zdrowia lub sytuacja życiowa
- Dane
osób chorych, z niepełnosprawnościami, uzależnionych
czy w kryzysie życiowym (np. ofiary przemocy, osoby bezdomne) –
ujawnienie informacji o nich może prowadzić do stygmatyzacji, wykluczenia
lub szkód emocjonalnych.
3. Pozycja społeczna i zależność od administratora
- Osoby
zależne od administratora, np. pracownicy wobec pracodawcy,
uczniowie wobec szkoły, pacjenci wobec placówki medycznej.
→ Ryzyko naruszenia ich praw może być większe, bo boją się sprzeciwić lub nie mają realnej kontroli nad danymi.
4. Szczególna ekspozycja publiczna
- Osoby
publiczne (np. politycy, celebryci, lokalni działacze) — ich dane mogą być
bardziej atrakcyjne dla osób trzecich.
- Ale
też odwrotnie: osoby anonimowe, które nie oczekują publikacji
danych — ujawnienie ich danych może być dla nich bardziej dotkliwe.
5. Sytuacja ekonomiczna
- Dane
osób o trudnej sytuacji finansowej (np. dłużników, beneficjentów pomocy
społecznej) mogą prowadzić do wykluczenia finansowego, utraty reputacji
czy wykorzystania przez oszustów.
6. Przynależność do grup wrażliwych
- Dane
osób należących do grup mniejszościowych, etnicznych, religijnych,
politycznych czy seksualnych — ujawnienie może prowadzić do dyskryminacji
lub przemocy.
⚖️ Dlaczego to ważne?
Analiza ryzyka zgodnie z RODO nie kończy się na rodzaju
danych (np. PESEL, adres, zdrowie), ale musi też uwzględniać kontekst
ich przetwarzania i charakterystykę osoby, której dotyczą.
Te cechy wpływają na:
- prawdopodobieństwo
wystąpienia szkody,
- jej
potencjalną wagę,
- i w
konsekwencji – ocenę poziomu ryzyka.
📋 Przykład praktyczny
Załóżmy, że dochodzi do wycieku imion, nazwisk i adresów
e-mail:
- Jeśli
dotyczy to klientów sklepu internetowego – ryzyko może być niskie.
- Jeśli
dotyczy to ofiar przemocy domowej korzystających z pomocy fundacji –
ryzyko będzie bardzo wysokie, nawet jeśli dane wydają się
„niegroźne”.
✅ Jak uwzględnić w analizie
W arkuszu lub narzędziu do analizy ryzyka można uwzględnić
to kryterium np. w formie pytania:
„Czy osoby, których dane dotyczą, należą do grupy
szczególnie narażonej na negatywne skutki naruszenia?”
Z oceną:
- ❌
Nie – brak cech szczególnych
- ⚠️
Tak, częściowo – umiarkowane ryzyko
- 🚨
Tak, w pełni – wysokie ryzyko, wymagane dodatkowe zabezpieczenia
Ochrona danych to dziś podstawa w każdej firmie. Ostatnio czytałem o RODO i zagadnieniach IT na https://sowaip.pl/
OdpowiedzUsuń— ciekawe i przydatne treści.
RODO to nie jest projekt prawny https://zasadywalkirodo.blogspot.com/2025/12/rodo-to-nie-jest-projekt-prawny.html
Usuń