K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / regulatory-packs / rodo-pack

RODO Pack MVP

Szkielet wsparcia procesu naruszenia ochrony danych osobowych: ocena naruszenia (breach assessment), workflow DPO oraz szablony draftów zgłoszenia do organu (art.33, termin 72h) i zawiadomienia podmiotów danych (art.34). To decision-support i punkt startowy dla zespołu — nie porada prawna. Każdy dokument wymaga przeglądu DPO i prawnika przed wysyłką. Elementy oznaczone ROADMAP jeszcze nie działają.

To nie jest porada prawna. RODO Pack jest narzędziem wsparcia decyzji (decision-support) dla zespołu bezpieczeństwa i inspektora ochrony danych (DPO). Szablony, checklisty i sugerowane terminy są orientacyjne i nie zastępują oceny prawnej. Każda ocena naruszenia oraz każdy draft zgłoszenia (art.33 do organu / art.34 do osób) musi zostać przejrzany przez DPO i radcę prawnego / kancelarię przed jakąkolwiek wysyłką. Kwalifikacja, czy zdarzenie stanowi naruszenie i czy podlega obowiązkowi zgłoszenia, należy do administratora danych, nie do tego narzędzia.
Od zdarzenia do przygotowanego draftu — szybciej, ale zawsze przez człowieka.

RODO Pack porządkuje pierwsze godziny po wykryciu potencjalnego naruszenia: prowadzi przez ustrukturyzowaną ocenę, wypełnia szkielet workflow DPO i przygotowuje wersje robocze zgłoszenia do organu nadzorczego (art.33, zegar 72h) oraz zawiadomienia podmiotów danych (art.34). Celem jest skrócenie czasu przygotowania i uniknięcie pominięcia wymaganych pól — nie automatyczne wysyłanie czegokolwiek.

PRZEPŁYW: wykrycie zdarzeniabreach assessmentworkflow DPOdraft art.33 / art.34przegląd DPO + prawnikdecyzja o wysyłce (człowiek)

Co jest w pakiecie

Breach assessment MVP

Ustrukturyzowana ocena zdarzenia: kategorie danych, liczba i kategorie podmiotów, charakter naruszenia (poufność / integralność / dostępność), wstępna ocena ryzyka dla praw i wolności osób.

Szkielet formularza + checklista pól — punkt startowy dla DPO.

Workflow DPO MVP

Ścieżka kroków: rejestracja zdarzenia → ocena → decyzja o zgłoszeniu → przygotowanie draftów → przegląd → wpis do rejestru naruszeń (art.33 ust.5).

Szkielet kroków i checklista. Rejestr naruszeń jako plik — bez automatyzacji.

Draft art.33 (organ, 72h) MVP

Szablon zgłoszenia do organu nadzorczego z polami wymaganymi przez art.33 ust.3: charakter naruszenia, dane kontaktowe DPO, prawdopodobne konsekwencje, podjęte/proponowane środki.

Szablon tekstowy do uzupełnienia i przeglądu — nie wysyłany automatycznie.

Draft art.34 (podmioty danych) MVP

Szablon zawiadomienia osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko: jasny opis, kontakt do DPO, możliwe skutki, zalecane środki ochrony dla osoby.

Szablon tekstowy, język przystępny — do weryfikacji przez DPO/prawnika.

Checklista zgodności MVP

Lista kontrolna: czy zegar 72h uruchomiony, czy oceniono ryzyko, czy potrzebne art.34, czy wpisano do rejestru, czy zebrano dowody (evidence).

Statyczna checklista poniżej na stronie.

Powiązanie z evidence ROADMAP

Docelowo: automatyczne spięcie oceny naruszenia z evidence-package ipIII (dowody techniczne, chain-of-custody) oraz z Legal Engine.

Jeszcze nie działa — planowane, nie LIVE.

Ocena naruszenia — pola (breach assessment)

Szkielet pól do uzupełnienia przez zespół i DPO. Kolumna Status: MVP = dostępny szkielet/szablon · ROADMAP = planowane, nie działa. Data weryfikacji: 2026-07-05.

PoleOpisZnaczenie dla art.33 / art.34Status
Data i czas wykrycia Moment powzięcia wiedzy o zdarzeniu — uruchamia liczenie terminu 72h. Punkt odniesienia dla terminu z art.33 ust.1. MVP
Charakter naruszenia Poufność / integralność / dostępność; opis co się stało (wyciek, utrata, nieautoryzowany dostęp). Wymagane w art.33 ust.3 lit. a. MVP
Kategorie danych Rodzaje danych osobowych; wskazanie danych szczególnych kategorii (art.9) jeśli dotyczy. Wpływa na ocenę ryzyka i obowiązek art.34. MVP
Kategorie i liczba osób Przybliżona liczba podmiotów danych oraz liczba rekordów, których dotyczy naruszenie. Wymagane w art.33 ust.3 lit. a. MVP
Ocena ryzyka Wstępna ocena prawdopodobieństwa i wagi ryzyka dla praw i wolności osób (niskie / wysokie). Decyduje o zgłoszeniu (art.33) i zawiadomieniu osób (art.34). MVP — decyzję podejmuje DPO
Podjęte środki Działania zaradcze i minimalizujące skutki; środki proponowane na przyszłość. Wymagane w art.33 ust.3 lit. d. MVP
Dowody techniczne Powiązanie z evidence-package (logi, zrzuty, chain-of-custody) z warstwy ipIII. Wsparcie dokumentowania — spięcie automatyczne planowane. ROADMAP
Wpis do rejestru naruszeń Rejestr wewnętrzny wszystkich naruszeń (art.33 ust.5), niezależnie od zgłoszenia organowi. Obowiązek dokumentacyjny administratora. MVP (plik) · automatyzacja ROADMAP

Workflow DPO — kroki

1. Rejestracja zdarzenia. Zapis daty/czasu wykrycia, źródła zgłoszenia i wstępnego opisu. Uruchomienie zegara 72h jako środek ostrożności.
2. Ocena naruszenia. Uzupełnienie pól breach assessment (tabela wyżej). Klasyfikacja czy zdarzenie jest naruszeniem ochrony danych.
3. Decyzja o zgłoszeniu. DPO/administrator ocenia ryzyko dla praw i wolności. Wynik: brak obowiązku · zgłoszenie art.33 · zgłoszenie art.33 + zawiadomienie art.34.
4. Przygotowanie draftów. Wypełnienie szablonów art.33 i (jeśli dotyczy) art.34. To wersje robocze do przeglądu.
5. Przegląd DPO + prawnik. Obowiązkowy przegląd merytoryczny i prawny każdego draftu przed jakąkolwiek wysyłką. Krok nieusuwalny.
6. Decyzja o wysyłce i wpis do rejestru. Wysyłkę wykonuje człowiek (administrator/DPO). Zdarzenie i decyzja trafiają do rejestru naruszeń (art.33 ust.5).

Szablon draftu — art.33 (zgłoszenie do organu, 72h)

Wersja robocza do uzupełnienia i przeglądu. Pola w nawiasach klamrowych wypełnia zespół; całość weryfikuje DPO/prawnik. To szkielet, nie gotowe pismo.

ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH (art. 33 RODO)
Do: {organ nadzorczy — właściwy urząd}
Administrator: {nazwa, dane rejestrowe}
Kontakt DPO / IOD: {imię, e-mail, telefon}

1. Charakter naruszenia:
   {opis: co się stało, kiedy, jak wykryto}
2. Kategorie i przybliżona liczba osób: {...}
3. Kategorie i przybliżona liczba rekordów danych: {...}
4. Prawdopodobne konsekwencje naruszenia: {...}
5. Środki podjęte / proponowane w celu zaradzenia: {...}
6. Data i godzina wykrycia: {...}   (termin 72h liczony od tego momentu)

[ ] Przejrzane przez DPO
[ ] Przejrzane przez prawnika / kancelarię
[ ] Zatwierdzone do wysyłki przez administratora

Szablon draftu — art.34 (zawiadomienie podmiotów danych)

Wersja robocza dla zawiadomienia osób, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Język przystępny. Weryfikacja DPO/prawnika obowiązkowa.

ZAWIADOMIENIE O NARUSZENIU OCHRONY TWOICH DANYCH (art. 34 RODO)

Szanowni Państwo,
informujemy o naruszeniu ochrony danych osobowych, które może dotyczyć
Państwa danych.

- Co się stało: {jasny, prosty opis}
- Jakich danych może dotyczyć: {...}
- Możliwe skutki dla Państwa: {...}
- Co zrobiliśmy: {podjęte środki}
- Co zalecamy Państwu zrobić: {konkretne kroki ochronne}
- Kontakt w tej sprawie (DPO / IOD): {imię, e-mail, telefon}

[ ] Przejrzane przez DPO
[ ] Przejrzane przez prawnika / kancelarię
[ ] Zatwierdzone do wysyłki przez administratora

Checklista naruszenia

KrokPytanie kontrolneOdniesienie
ZegarCzy uruchomiono liczenie terminu 72h od wykrycia?art.33 ust.1
OcenaCzy oceniono ryzyko dla praw i wolności osób?art.33 / art.34
ZgłoszenieCzy zdecydowano, czy zgłoszenie do organu jest wymagane?art.33 ust.1
OsobyCzy naruszenie wymaga zawiadomienia podmiotów danych?art.34 ust.1
DowodyCzy zebrano i zabezpieczono dowody (evidence)?zasada rozliczalności
PrzeglądCzy DPO i prawnik przejrzeli drafty przed wysyłką?proces wewnętrzny
RejestrCzy zdarzenie wpisano do rejestru naruszeń?art.33 ust.5

Skrót statusu

5
Elementy MVP
assessment · workflow · draft art.33 · draft art.34 · checklista
2
ROADMAP
spięcie evidence · automatyzacja rejestru
1
Trwałe z założenia
przegląd DPO/prawnika przed wysyłką
72h
Termin art.33
od momentu wykrycia naruszenia

Czego RODO Pack NIE robi

Nie decyduje za administratora. Klasyfikacja zdarzenia jako naruszenia, ocena ryzyka oraz decyzja o zgłoszeniu należą do administratora danych i DPO. Narzędzie porządkuje informacje i przygotowuje wersje robocze — nie podejmuje decyzji prawnych.
Nie wysyła niczego automatycznie. Żaden draft nie jest kierowany do organu ani do osób bez świadomej decyzji człowieka po przeglądzie DPO i prawnika. Wysyłka jest zawsze aktem administratora.
„MVP" znaczy szkielet z dowodem, nie gotowy produkt. Zgodnie z doktryną claim ≤ proof oznaczamy jako MVP tylko to, co realnie jest na stronie (formularze, szablony, checklisty). Spięcie z evidence i automatyzacja rejestru to ROADMAP — jeszcze nie działają.
Granica prawna. RODO Pack to narzędzie zgodności i wsparcia decyzji (GRC/blue). Nie stanowi porady prawnej ani opinii DPO. Terminy i mapowania obowiązków (RODO/DORA/NIS2) są orientacyjne. Odpowiedzialność za treść zgłoszeń, dochowanie terminów i decyzję o wysyłce ponosi administrator danych. Przed użyciem w rzeczywistym incydencie skonsultuj się z DPO i radcą prawnym.

Powiązane: przegląd pakietów regulacyjnych → /regulatory-packs · rejestr czynności i podstaw przetwarzania → /data-processing · panel decyzji prawnych → /legal-board · znane ograniczenia warstwy → /known-limitations.