Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA EKA6 - TEST WIEDZY NR 7



PYTANIE NR 17.
Dane osobowe pracowników firmy zostały skradzione i opublikowane w Internecie. Które z poniższych działań jest wymagane przez prawo?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Upublicznienie skradzionych danych pracowników zwykle oznacza wysokie ryzyko dla ich praw i wolności.
W takiej sytuacji administrator powinien powiadomić osoby, których dane dotyczą, o naruszeniu, aby mogły podjąć działania ochronne (np. zmiana haseł, czujność wobec oszustw).

Pełne wyjaśnienie:

W opisanej sytuacji doszło do naruszenia ochrony danych osobowych (kradzież i publikacja danych w Internecie). Taki incydent może prowadzić do realnych szkód dla pracowników: kradzieży tożsamości, prób wyłudzeń, nękania czy wykorzystania danych w oszustwach. Z tego powodu prawo ochrony danych przewiduje obowiązki informacyjne, aby osoby poszkodowane mogły zareagować i ograniczyć skutki zdarzenia.

Dlaczego poprawna jest odpowiedź: "Powiadomić pracowników o naruszeniu ich danych osobowych"?
Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, administrator ma obowiązek zawiadomić osoby, których dane dotyczą. Publikacja danych w Internecie jest typowym przykładem zdarzenia o podwyższonym ryzyku, bo dane stają się szeroko dostępne i trudne do skutecznego "wycofania". Powiadomienie powinno być zrozumiałe i na tyle szybkie, by umożliwić podjęcie środków ostrożności.

Dlaczego pozostałe odpowiedzi są nieprawidłowe?

  • "Zignorować sytuację, ponieważ nie jest to twoja wina." – to błąd myślenia: obowiązki organizacji nie zależą od poczucia winy pracownika. Incydent trzeba obsłużyć proceduralnie (zgłoszenie wewnętrzne, analiza, działania naprawcze), a nie ignorować.
  • "Usunąć dane z Internetu." – to może być działanie pomocnicze (ograniczanie skutków), ale nie zawsze jest możliwe i nie stanowi samo w sobie pełnej odpowiedzi na wymagania prawne. Nawet przy próbach usunięcia kopie mogą pozostać w innych miejscach.
  • "Wszystkie powyższe." – odpada, bo ignorowanie incydentu nigdy nie jest prawidłowym działaniem. Ponadto nie wszystkie czynności są zawsze "wymagane przez prawo" w identycznym zakresie; obowiązki zależą od okoliczności i oceny ryzyka.

Wskazówka egzaminacyjna: w zadaniach o naruszeniu danych szukaj odpowiedzi, które odzwierciedlają obowiązek transparentności wobec osób poszkodowanych oraz formalną obsługę incydentu, a nie jedynie "gaszenie pożaru" technicznymi działaniami.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest naruszenie ochrony danych osobowych w firmie?
Naruszenie ochrony danych to zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Przykłady to wyciek listy płac, kradzież laptopa z danymi lub publikacja danych w sieci.
Jakie jest pierwsze działanie po stwierdzeniu wycieku danych pracowników?
Najpierw należy niezwłocznie zgłosić incydent zgodnie z procedurą wewnętrzną (np. do przełożonego, działu IT, inspektora ochrony danych), zabezpieczyć dowody i ograniczyć dalszy wyciek. Równolegle rozpoczyna się ocenę ryzyka i przygotowanie wymaganych zgłoszeń oraz komunikatów.
Dlaczego trzeba powiadomić pracowników o naruszeniu ich danych?
Powiadomienie pozwala osobom poszkodowanym podjąć środki ochronne, np. zmianę haseł, zastrzeżenie dokumentów czy zwiększoną ostrożność wobec phishingu. Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności, zawiadomienie osób jest obowiązkiem wynikającym z RODO.
Kiedy zawiadomienie osób po naruszeniu danych jest wymagane prawnie?
Zawiadomienie jest wymagane, gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych. Upublicznienie danych w Internecie często spełnia ten warunek, bo dane stają się szeroko dostępne i mogą zostać wykorzystane do oszustw lub kradzieży tożsamości.
Czy zawsze trzeba usuwać dane z Internetu po ich publikacji?
Usuwanie danych może być elementem minimalizowania skutków, ale nie zawsze jest możliwe ani wystarczające. Nawet po usunięciu z jednego miejsca kopie mogą krążyć dalej. Dlatego oprócz działań technicznych liczą się też działania organizacyjne: analiza ryzyka, dokumentacja, ewentualne zgłoszenia i komunikacja z osobami.
Czy można zignorować wyciek danych, jeśli to nie moja wina?
Nie. Obowiązki organizacji nie zależą od tego, kto "zawinił". Zignorowanie incydentu zwiększa szkody i ryzyko prawne. W pracy biurowej kluczowe jest szybkie przekazanie informacji właściwym osobom, uruchomienie procedur oraz zachowanie poufności i porządku w dokumentacji incydentu.
Jakie informacje powinno zawierać powiadomienie pracowników o naruszeniu?
Powiadomienie powinno jasno opisać, co się stało, jakie kategorie danych mogły zostać ujawnione, jakie mogą być konsekwencje oraz jakie działania może podjąć pracownik (np. zmiana haseł, czujność na wyłudzenia). Ważne są też dane kontaktowe do osoby obsługującej sprawę w organizacji.
Jakie są typowe skutki publikacji danych osobowych w Internecie?
Najczęstsze skutki to phishing i inne próby wyłudzeń, podszywanie się pod pracownika, kradzież tożsamości, nękanie oraz nieuprawnione wykorzystanie danych do zakładania kont lub zaciągania zobowiązań. Skutki mogą pojawić się z opóźnieniem, dlatego szybka informacja jest tak ważna.
Jakie błędy najczęściej popełnia się w testach o RODO i naruszeniach danych?
Częsty błąd to wybór odpowiedzi "Wszystkie powyższe", mimo że jedna z opcji jest ewidentnie sprzeczna z obowiązkami (np. ignorowanie incydentu). Drugi błąd to traktowanie działań technicznych (usuwanie danych) jako jedynego wymogu, bez elementu oceny ryzyka i komunikacji.
Jak przygotować się do pytań egzaminacyjnych o wycieki danych w biurze?
Ucz się schematu: rozpoznaj incydent → zgłoś wewnętrznie → ogranicz skutki → oceń ryzyko → wykonaj obowiązki formalne (zgłoszenie/zawiadomienie) → udokumentuj działania. Pomaga też znajomość podstawowych pojęć: administrator, naruszenie, ryzyko, osoba, której dane dotyczą.
info

To pytanie poprawnie rozwiązuje 46% zdających egzamin. trudne

Źródła:

  • EUR-Lex: Rozporządzenie (UE) 2016/679 (RODO), art. 33–34: https://eur-lex.europa.eu/eli/reg/2016/679/oj (dostęp 2026-02-26)
  • EDPB (European Data Protection Board): Guidelines 9/2022 on personal data breach notification under GDPR (dokument – strona EDPB): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification_en (dostęp 2026-02-26)
  • UODO: Poradniki/komunikaty dotyczące naruszeń ochrony danych osobowych (strona tematyczna): https://uodo.gov.pl/pl/138/ (dostęp 2026-02-26)

Materiały:

  • Tekst RODO (UE 2016/679) – zwłaszcza przepisy o naruszeniach i informowaniu osób
  • Wytyczne EDPB dotyczące zgłaszania naruszeń i oceny ryzyka
  • Poradniki i komunikaty organu nadzorczego (UODO) o postępowaniu po naruszeniu
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego