Szkielet wsparcia procesu naruszenia ochrony danych osobowych: ocena naruszenia (breach assessment), workflow DPO oraz szablony draftów zgłoszenia do organu (art.33, termin 72h) i zawiadomienia podmiotów danych (art.34). To decision-support i punkt startowy dla zespołu — nie porada prawna. Każdy dokument wymaga przeglądu DPO i prawnika przed wysyłką. Elementy oznaczone ROADMAP jeszcze nie działają.
RODO Pack porządkuje pierwsze godziny po wykryciu potencjalnego naruszenia: prowadzi przez ustrukturyzowaną ocenę, wypełnia szkielet workflow DPO i przygotowuje wersje robocze zgłoszenia do organu nadzorczego (art.33, zegar 72h) oraz zawiadomienia podmiotów danych (art.34). Celem jest skrócenie czasu przygotowania i uniknięcie pominięcia wymaganych pól — nie automatyczne wysyłanie czegokolwiek.
Ustrukturyzowana ocena zdarzenia: kategorie danych, liczba i kategorie podmiotów, charakter naruszenia (poufność / integralność / dostępność), wstępna ocena ryzyka dla praw i wolności osób.
Szkielet formularza + checklista pól — punkt startowy dla DPO.
Ścieżka kroków: rejestracja zdarzenia → ocena → decyzja o zgłoszeniu → przygotowanie draftów → przegląd → wpis do rejestru naruszeń (art.33 ust.5).
Szkielet kroków i checklista. Rejestr naruszeń jako plik — bez automatyzacji.
Szablon zgłoszenia do organu nadzorczego z polami wymaganymi przez art.33 ust.3: charakter naruszenia, dane kontaktowe DPO, prawdopodobne konsekwencje, podjęte/proponowane środki.
Szablon tekstowy do uzupełnienia i przeglądu — nie wysyłany automatycznie.
Szablon zawiadomienia osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko: jasny opis, kontakt do DPO, możliwe skutki, zalecane środki ochrony dla osoby.
Szablon tekstowy, język przystępny — do weryfikacji przez DPO/prawnika.
Lista kontrolna: czy zegar 72h uruchomiony, czy oceniono ryzyko, czy potrzebne art.34, czy wpisano do rejestru, czy zebrano dowody (evidence).
Statyczna checklista poniżej na stronie.
Docelowo: automatyczne spięcie oceny naruszenia z evidence-package ipIII (dowody techniczne, chain-of-custody) oraz z Legal Engine.
Jeszcze nie działa — planowane, nie LIVE.
Szkielet pól do uzupełnienia przez zespół i DPO. Kolumna Status: MVP = dostępny szkielet/szablon · ROADMAP = planowane, nie działa. Data weryfikacji: 2026-07-05.
| Pole | Opis | Znaczenie dla art.33 / art.34 | Status |
|---|---|---|---|
| Data i czas wykrycia | Moment powzięcia wiedzy o zdarzeniu — uruchamia liczenie terminu 72h. | Punkt odniesienia dla terminu z art.33 ust.1. | MVP |
| Charakter naruszenia | Poufność / integralność / dostępność; opis co się stało (wyciek, utrata, nieautoryzowany dostęp). | Wymagane w art.33 ust.3 lit. a. | MVP |
| Kategorie danych | Rodzaje danych osobowych; wskazanie danych szczególnych kategorii (art.9) jeśli dotyczy. | Wpływa na ocenę ryzyka i obowiązek art.34. | MVP |
| Kategorie i liczba osób | Przybliżona liczba podmiotów danych oraz liczba rekordów, których dotyczy naruszenie. | Wymagane w art.33 ust.3 lit. a. | MVP |
| Ocena ryzyka | Wstępna ocena prawdopodobieństwa i wagi ryzyka dla praw i wolności osób (niskie / wysokie). | Decyduje o zgłoszeniu (art.33) i zawiadomieniu osób (art.34). | MVP — decyzję podejmuje DPO |
| Podjęte środki | Działania zaradcze i minimalizujące skutki; środki proponowane na przyszłość. | Wymagane w art.33 ust.3 lit. d. | MVP |
| Dowody techniczne | Powiązanie z evidence-package (logi, zrzuty, chain-of-custody) z warstwy ipIII. | Wsparcie dokumentowania — spięcie automatyczne planowane. | ROADMAP |
| Wpis do rejestru naruszeń | Rejestr wewnętrzny wszystkich naruszeń (art.33 ust.5), niezależnie od zgłoszenia organowi. | Obowiązek dokumentacyjny administratora. | MVP (plik) · automatyzacja ROADMAP |
Wersja robocza do uzupełnienia i przeglądu. Pola w nawiasach klamrowych wypełnia zespół; całość weryfikuje DPO/prawnik. To szkielet, nie gotowe pismo.
ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH (art. 33 RODO)
Do: {organ nadzorczy — właściwy urząd}
Administrator: {nazwa, dane rejestrowe}
Kontakt DPO / IOD: {imię, e-mail, telefon}
1. Charakter naruszenia:
{opis: co się stało, kiedy, jak wykryto}
2. Kategorie i przybliżona liczba osób: {...}
3. Kategorie i przybliżona liczba rekordów danych: {...}
4. Prawdopodobne konsekwencje naruszenia: {...}
5. Środki podjęte / proponowane w celu zaradzenia: {...}
6. Data i godzina wykrycia: {...} (termin 72h liczony od tego momentu)
[ ] Przejrzane przez DPO
[ ] Przejrzane przez prawnika / kancelarię
[ ] Zatwierdzone do wysyłki przez administratora
Wersja robocza dla zawiadomienia osób, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Język przystępny. Weryfikacja DPO/prawnika obowiązkowa.
ZAWIADOMIENIE O NARUSZENIU OCHRONY TWOICH DANYCH (art. 34 RODO)
Szanowni Państwo,
informujemy o naruszeniu ochrony danych osobowych, które może dotyczyć
Państwa danych.
- Co się stało: {jasny, prosty opis}
- Jakich danych może dotyczyć: {...}
- Możliwe skutki dla Państwa: {...}
- Co zrobiliśmy: {podjęte środki}
- Co zalecamy Państwu zrobić: {konkretne kroki ochronne}
- Kontakt w tej sprawie (DPO / IOD): {imię, e-mail, telefon}
[ ] Przejrzane przez DPO
[ ] Przejrzane przez prawnika / kancelarię
[ ] Zatwierdzone do wysyłki przez administratora
| Krok | Pytanie kontrolne | Odniesienie |
|---|---|---|
| Zegar | Czy uruchomiono liczenie terminu 72h od wykrycia? | art.33 ust.1 |
| Ocena | Czy oceniono ryzyko dla praw i wolności osób? | art.33 / art.34 |
| Zgłoszenie | Czy zdecydowano, czy zgłoszenie do organu jest wymagane? | art.33 ust.1 |
| Osoby | Czy naruszenie wymaga zawiadomienia podmiotów danych? | art.34 ust.1 |
| Dowody | Czy zebrano i zabezpieczono dowody (evidence)? | zasada rozliczalności |
| Przegląd | Czy DPO i prawnik przejrzeli drafty przed wysyłką? | proces wewnętrzny |
| Rejestr | Czy zdarzenie wpisano do rejestru naruszeń? | art.33 ust.5 |
Powiązane: przegląd pakietów regulacyjnych → /regulatory-packs · rejestr czynności i podstaw przetwarzania → /data-processing · panel decyzji prawnych → /legal-board · znane ograniczenia warstwy → /known-limitations.