Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Art 34 RODO — poradnik praktyczny 2026

Art 34 RODO nakłada na administratora danych obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych — bez zbędnej zwłoki, jas

15 min czytania·Zaktualizowano dzisiaj

Art 34 RODO nakłada na administratora danych obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych — bez zbędnej zwłoki, jasnym i prostym językiem. To drugi filar reakcji na incydent bezpieczeństwa, obok zgłoszenia do organu nadzorczego (art. 33 RODO). Obowiązek z art. 34 RODO ma charakter bezwzględny: jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, musisz poinformować każdą poszkodowaną osobę indywidualnie. W 2026 roku Prezes UODO konsekwentnie egzekwuje ten przepis — kary za brak zawiadomienia danych osób sięgają 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Firmy korzystające z Microsoft 365 w planach Premium lub Enterprise mają wbudowane narzędzia do automatyzacji części tego procesu, a zakup legalnego oprogramowania z fakturą VAT 23% od autoryzowanego partnera Microsoft stanowi pierwszy krok do zbudowania zgodnego z RODO środowiska IT.

Czym jest art. 34 RODO — definicja i zakres obowiązku

Art. 34 ust. 1 RODO stanowi: „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.” W praktyce oznacza to, że po stwierdzeniu incydentu — wycieku bazy klientów, kradzieży laptopa z niezaszyfrowanymi danymi, ataku ransomware na serwer HR — musisz ocenić poziom ryzyka i jeśli jest ono wysokie, skontaktować się z każdą osobą, której dane wyciekły.

Zawiadomienie musi zawierać pięć elementów wymienionych w art. 34 ust. 2:

  • Charakter naruszenia — co się stało, jakie kategorie danych zostały naruszone, przybliżona liczba osób i rekordów.
  • Dane kontaktowe inspektora ochrony danych (IOD) — imię, nazwisko, e-mail, telefon — lub innego punktu kontaktowego udzielającego informacji.
  • Opis prawdopodobnych konsekwencji naruszenia — co realnie grozi osobie: kradzież tożsamości, wyłudzenie kredytu, phishing, strata finansowa, naruszenie dóbr osobistych.
  • Opis środków podjętych lub proponowanych przez administratora w celu zaradzenia naruszeniu — co już zrobiono i co zostanie zrobione.
  • Zalecenia dla osoby, której dane dotyczą — co powinna zrobić, aby zminimalizować negatywne skutki: zmiana haseł, zastrzeżenie dokumentów, kontakt z bankiem, aktywacja alertów BIK.

Art. 34 RODO działa w parze z art. 33 — zgłoszeniem do Prezesa UODO w ciągu 72 godzin. Jednak o ile art. 33 dotyczy relacji administrator–organ nadzorczy, o tyle art. 34 dotyczy relacji administrator–osoba fizyczna. To właśnie zawiadomienie jednostki jest najczęstszym źródłem skarg i podstawą roszczeń odszkodowawczych. W 2025 roku Prezes UODO nałożył pierwsze kary za opóźnienia w komunikacji z osobami poszkodowanymi, podkreślając, że „bez zbędnej zwłoki” oznacza najczęściej 24–48 godzin od wykrycia incydentu, nie zaś tygodnie czy miesiące.

Kiedy art. 34 RODO NIE wymaga zawiadamiania — trzy wyjątki ustawowe

Art. 34 ust. 3 RODO przewiduje trzy sytuacje, w których administrator zwolniony jest z obowiązku indywidualnego zawiadamiania osób:

  1. Zastosowano odpowiednie techniczne i organizacyjne środki ochrony (np. szyfrowanie danych) i środki te zostały zastosowane do danych objętych naruszeniem. Jeśli wyciekł zaszyfrowany dysk, a klucz szyfrujący nie został skompromitowany — ryzyko dla osoby jest niskie, zawiadomienie nie jest wymagane. Ten wyjątek to najsilniejszy argument za szyfrowaniem wszystkich nośników i baz danych w organizacji.

  2. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka. Przykład: skradziono laptopa, ale administrator zdalnie wyczyścił go przez Microsoft Intune w ciągu 15 minut od zgłoszenia — dane nie wyciekły, ryzyko wyeliminowane.

  3. Zawiadomienie wymagałoby niewspółmiernie dużego wysiłku — dotyczy to sytuacji, gdy administrator nie dysponuje danymi kontaktowymi setek tysięcy osób. W takim przypadku art. 34 ust. 3 lit. c nakazuje wydanie publicznego komunikatu lub podobnego środka, który skutecznie poinformuje osoby poszkodowane (np. ogłoszenie na stronie głównej firmy, w ogólnopolskiej prasie, komunikaty w mediach społecznościowych).

W praktyce polskiej 2026 roku trzeci wyjątek stosuje się rzadko i pod ścisłą kontrolą Prezesa UODO. Jeśli zbierasz dane klientów, musisz też zbierać ich dane kontaktowe — brak adresu e-mail lub telefonu nie zwalnia z obowiązku. Komunikat publiczny jest rozwiązaniem awaryjnym, a nie domyślnym.

Art 34 RODO a art 33 RODO — porównanie obu obowiązków

Oba artykuły regulują reakcję na naruszenie, ale ich adresaci i progi aktywacji są różne. Poniższa tabela porównuje kluczowe różnice:

KryteriumArt. 33 RODO (zgłoszenie do UODO)Art. 34 RODO (zawiadomienie osoby)
Adresat obowiązkuPrezes Urzędu Ochrony Danych OsobowychOsoba fizyczna, której dane dotyczą
Próg aktywacjiKażde naruszenie (chyba że ryzyko jest niskie)Tylko gdy ryzyko jest wysokie
Termin72 godziny od wykryciaBez zbędnej zwłoki (co do zasady szybciej niż 72 h)
TreśćMinimum 5 elementów (art. 33 ust. 3)Minimum 5 elementów (art. 34 ust. 2)
Sankcja za brakDo 10 mln EUR lub 2% obrotuDo 10 mln EUR lub 2% obrotu
WyjątkiBrak3 wyjątki (szyfrowanie, działania naprawcze, niewspółmierny wysiłek)
JęzykPolskiJasny, prosty, zrozumiały dla laika

Z perspektywy biznesowej art. 34 jest groźniejszy — to właśnie kontakt z klientem ujawnia incydent publicznie, uruchamia lawinę pytań, reklamacji, a często także zainteresowanie mediów i konkurencji. Nie możesz ukryć naruszenia — RODO nie przewiduje opcji poufnego załatwienia sprawy z UODO bez wiedzy poszkodowanych.

Jak przygotować firmę na art. 34 RODO — proces krok po kroku

Wdrożenie procedury zgodności z art. 34 RODO wymaga przygotowań przed incydentem i sprawnego działania po jego wykryciu. Oto kompletny proces:

Przed incydentem — przygotowanie

1. Przeprowadź pełną inwentaryzację danych osobowych. Wiedz dokładnie, jakie dane przetwarzasz, gdzie są przechowywane (serwery on-premise, chmura Microsoft 365, systemy CRM, bazy ERP), kto ma do nich dostęp i jak są zabezpieczone. Bez mapy danych nie ocenisz ryzyka w wymaganym tempie.

2. Wyznacz zespół reagowania na incydenty (IRT). Minimum trzy osoby: IOD (lub osoba odpowiedzialna za RODO), administrator IT, osoba decyzyjna (członek zarządu). Każda zna swoje zadania, ma zastępcę i dane kontaktowe dostępne 24/7.

3. Przygotuj szablony zawiadomień. Stwórz wzory pism dla typowych scenariuszy naruszeń: wyciek bazy klientów, kradzież urządzenia, atak ransomware, błąd ludzki (wysłanie e-maila do niewłaściwego odbiorcy). Szablony oszczędzają godziny w momencie kryzysu.

4. Wdróż szyfrowanie na każdym poziomie. BitLocker na laptopach (Windows 11 24H2/25H2 natywnie obsługuje BitLocker z kluczem w Entra ID), szyfrowanie baz danych (Transparent Data Encryption w SQL Server 2022), szyfrowanie komunikacji (TLS 1.3). Szyfrowanie to Twój pierwszy i najsilniejszy wyjątek z art. 34 ust. 3 lit. a.

5. Skonfiguruj monitoring i alerty. Microsoft 365 w planach z Microsoft Defender for Business (Business Premium, E3, E5) automatycznie wykrywa anomalie dostępu do danych i generuje alerty bezpieczeństwa. Bez monitoringu dowiesz się o wycieku od klienta — a to najgorszy scenariusz.

Po wykryciu incydentu — działanie

1. Zatrzymaj naruszenie (0–2 godziny). Odłącz zainfekowane urządzenie od sieci, zablokuj skompromitowane konto w Entra ID, zmień hasła, wycofaj uprawnienia. Intune pozwala zdalnie wyczyścić urządzenie w ciągu minut.

2. Zbadaj zakres i skalę (2–8 godzin). Jakie dane wyciekły? Ile osób? Z jakich systemów? Czy dane były zaszyfrowane? Dokumentuj każdy krok — to dowód dla UODO.

3. Oceń ryzyko (1–2 godziny). Skorzystaj z macierzy ryzyka: prawdopodobieństwo × skutek. Jeśli wyciekły dane szczególnej kategorii (zdrowie, biometria, dane dzieci) — ryzyko jest wysokie z definicji. Jeśli wyciekły tylko imiona i nazwiska bez innych identyfikatorów — ryzyko może być niskie. Udokumentuj swoją ocenę.

4. Zgłoś do UODO, jeśli ryzyko powyżej niskiego (do 72 godzin od wykrycia). Formularz elektroniczny na stronie uodo.gov.pl.

5. Zawiadom osoby poszkodowane (zgodnie z art. 34, bez zbędnej zwłoki). Wyślij indywidualny e-mail lub list. Użyj szablonu. Bądź transparentny — próba ukrycia skali incydentu tylko pogłębi kryzys.

Konsekwencje naruszenia art. 34 RODO — kary i odpowiedzialność cywilna

Kary administracyjne nakładane przez Prezesa UODO za naruszenie art. 34 RODO sięgają 10 000 000 EUR lub 2% rocznego obrotu — w zależności od tego, która wartość jest wyższa. W praktyce polskiej 2025–2026 roku kary najczęściej dotyczą:

  • Całkowitego zaniechania zawiadomienia — firma wie o wycieku, ale nie informuje klientów. Kary: od 50 000 PLN do 1 000 000 PLN.
  • Opóźnienia w zawiadomieniu — naruszenie wykryte w poniedziałek, zawiadomienie wysłane po dwóch tygodniach. Prezes UODO traktuje to jako naruszenie samo w sobie.
  • Niekompletnego zawiadomienia — brak opisu konsekwencji lub zaleceń dla osoby. Przekazanie ogólnikowej informacji „doszło do incydentu, prosimy o czujność” nie spełnia wymogów art. 34 ust. 2.

Niezależnie od kary administracyjnej, osobom poszkodowanym przysługuje roszczenie odszkodowawcze z art. 82 RODO — zarówno za szkodę majątkową (strata pieniędzy w wyniku kradzieży tożsamości), jak i niemajątkową (stres, utrata reputacji, naruszenie prywatności). W 2025 roku polskie sądy zasądziły pierwsze odszkodowania dla osób fizycznych z tytułu naruszenia art. 34 RODO — kwoty od 5 000 do 50 000 PLN na osobę. Przy wycieku bazy 10 000 klientów mówimy o potencjalnej ekspozycji na dziesiątki milionów złotych.

Jak Microsoft 365 pomaga spełnić wymogi art. 34 RODO

Firmy korzystające z Microsoft 365 w planach z zaawansowanymi funkcjami bezpieczeństwa mają dostęp do narzędzi, które znacząco ułatwiają zgodność z art. 34 RODO:

  • Microsoft Purview Compliance Manager — ocena ryzyka zgodności z RODO, gotowe szablony oceny skutków (DPIA), rekomendacje działań naprawczych. Dostępne od planu Microsoft 365 E3.
  • Microsoft Purview Data Loss Prevention (DLP) — automatyczne blokowanie wycieków danych przez e-mail, Teams, SharePoint. Polityki DLP wykrywają numery PESEL, NIP, dane karty kredytowej i blokują ich transmisję poza organizację. Zapobieganie naruszeniom jest skuteczniejsze niż reagowanie.
  • Microsoft Defender for Business — endpoit detection & response (EDR), automatyczne izolowanie zainfekowanych urządzeń, śledzenie ścieżki ataku. Dla art. 34 kluczowe jest tempo reakcji — Defender skraca czas od wykrycia do powstrzymania incydentu z godzin do minut.
  • Azure Information Protection — automatyczne szyfrowanie i klasyfikacja dokumentów. Dokument oznaczony etykietą „Poufne — dane osobowe” jest szyfrowany nawet poza organizacją. To właśnie ten mechanizm realizuje wyjątek z art. 34 ust. 3 lit. a RODO.
  • Entra ID (Azure AD) Premium — dostęp warunkowy, wymuszenie MFA, wykrywanie ryzykownych logowań. Większość naruszeń zaczyna się od skompromitowanego hasła — Entra ID Premium blokuje te ataki, zanim dojdzie do wycieku danych.

Te funkcje nie są dostępne w podstawowych planach Microsoft 365 Business Basic czy Standard. Wymagają co najmniej Microsoft 365 Business Premium (dla firm do 300 użytkowników) lub Microsoft 365 E3 (dla organizacji powyżej 300 użytkowników). Jeśli Twoja firma przetwarza dane osobowe na dużą skalę, inwestycja w plan z zaawansowanym bezpieczeństwem to koszt niższy niż jedna kara UODO.

Funkcja bezpieczeństwaBusiness BasicBusiness StandardBusiness PremiumEnterprise E3
Exchange Online Protection
Intune podstawowe MDM
Defender for Business (EDR)
Azure Information Protection Premium
Entra ID P1 (dostęp warunkowy)
Purview DLP dla e-mail i plików
Purview Compliance Manager

Zakup odpowiedniego planu Microsoft 365 przez autoryzowanego partnera daje dodatkowo fakturę VAT 23%, wsparcie we wdrożeniu polityk bezpieczeństwa i gwarancję legalnego oprogramowania — co samo w sobie stanowi element zgodności z RODO (art. 32 — bezpieczeństwo przetwarzania). Każda firma przetwarzająca dane osobowe powinna móc wykazać, że korzysta z licencjonowanego, regularnie aktualizowanego oprogramowania z włączonymi funkcjami bezpieczeństwa.

Praktyczne przykłady naruszeń i zastosowania art. 34 RODO

Scenariusz 1: Wyciek bazy CRM przez phishing. Pracownik działu sprzedaży kliknął w link phishingowy i podał swoje hasło do Microsoft 365. Atakujący wyeksportował bazę 2 000 klientów z SharePoint zawierającą: imię, nazwisko, e-mail, telefon, NIP, historię zakupów. Dane nie były szyfrowane na poziomie pliku. Ocena ryzyka: wysokie (dane identyfikacyjne + kontaktowe + NIP umożliwiają kradzież tożsamości i ataki socjotechniczne). Obowiązek: zgłoszenie do UODO w 72 h + indywidualne zawiadomienie 2 000 klientów z art. 34. Każdy klient otrzymuje e-mail z opisem incydentu, rekomendacją zastrzeżenia PESEL (jeśli NIP pochodzi z działalności gospodarczej osoby fizycznej) i numerem kontaktowym do IOD.

Scenariusz 2: Kradzież służbowego laptopa. Przedstawicielowi handlowemu skradziono laptopa w pociągu. Laptop był zaszyfrowany BitLockerem z kluczem w Entra ID. Administrator zdalnie unieważnił klucz w ciągu 30 minut. Dane na dysku: oferty handlowe z nazwami firm i kwotami, bez danych osobowych osób fizycznych. Ocena ryzyka: niskie (szyfrowanie + szybka reakcja + brak danych osobowych). Obowiązek: brak — ani zgłoszenia do UODO, ani zawiadomienia z art. 34. Incydent dokumentowany w rejestrze naruszeń.

Scenariusz 3: Atak ransomware na serwer HR. Ransomware zaszyfrował serwer z bazą kadrowo-płacową: imiona, nazwiska, PESELE, adresy, numery kont bankowych, wynagrodzenia 150 pracowników. Backup istniał, ale był na tym samym serwerze i również został zaszyfrowany. Atakujący zdążył wyeksfiltrować dane przed zaszyfrowaniem (double extortion). Ocena ryzyka: wysokie. Obowiązek: zgłoszenie do UODO w 72 h + indywidualne zawiadomienie wszystkich 150 pracowników. Dodatkowo — zgłoszenie do CSIRT NASK (incydent krytyczny). Każdy pracownik dostaje zalecenie: zmiana hasła do bankowości elektronicznej, aktywacja alertów BIK, zastrzeżenie PESEL.

Scenariusz 4: Omyłkowy e-mail. Asystentka wysłała listę płac całego działu (25 osób) do niewłaściwego odbiorcy — kontrahenta zewnętrznego zamiast do biura rachunkowego. Odbiorca potwierdził usunięcie wiadomości i nieotwieranie załącznika. Ocena ryzyka: umiarkowane (dane szczególnie chronione — wynagrodzenia, ale ograniczony zasięg i współpraca odbiorcy). Obowiązek: zgłoszenie do UODO (ryzyko powyżej niskiego), zawiadomienie z art. 34 — na granicy decyzji, czy ryzyko jest wysokie. Zalecane: zawiadomienie osób dla transparentności.

Częste pytania

Co grozi za brak zawiadomienia osoby o naruszeniu danych?

Administracyjna kara pieniężna do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu (art. 83 ust. 4 lit. a RODO). Dodatkowo osoba poszkodowana może dochodzić odszkodowania z art. 82 RODO na drodze cywilnej — za szkodę majątkową i niemajątkową. W Polsce w 2025 roku kary Prezesa UODO za brak zawiadomienia wahały się od 50 000 do 1 000 000 PLN.

Jaki jest termin na zawiadomienie osoby z art. 34 RODO?

„Bez zbędnej zwłoki” — RODO nie podaje konkretnej liczby godzin ani dni. W praktyce interpretuje się to jako 24–48 godzin od potwierdzenia, że naruszenie powoduje wysokie ryzyko. Prezes UODO oczekuje, że zawiadomienie osób nastąpi szybciej niż zgłoszenie do organu (art. 33), bo interes jednostki jest nadrzędny. Opóźnienia dłuższe niż tydzień są uznawane za naruszenie.

Czy muszę zawiadamiać osoby, jeśli dane były zaszyfrowane?

Nie — pod warunkiem, że szyfrowanie było zastosowane do danych objętych naruszeniem i klucz szyfrujący nie został skompromitowany. To wyjątek z art. 34 ust. 3 lit. a. Uwaga: samo szyfrowanie dysku (BitLocker) nie wystarcza, jeśli dane na poziomie pliku lub bazy danych nie były szyfrowane, a atakujący uzyskał dostęp do systemu przez zalogowaną sesję.

Jaką formę musi mieć zawiadomienie z art. 34 RODO?

Indywidualną — e-mail, list polecony, SMS (jeśli to jedyny kontakt) lub telefon z udokumentowaniem rozmowy. Nie wystarczy ogólny wpis na stronie internetowej czy w mediach społecznościowych, chyba że zachodzi wyjątek z art. 34 ust. 3 lit. c (niewspółmierny wysiłek). Treść musi być jasna, w języku polskim, zawierać minimum 5 elementów z art. 34 ust. 2.

Czy art. 34 RODO dotyczy mikroprzedsiębiorców?

Tak. Art. 34 RODO nie przewiduje wyjątków dla małych firm. Jednoosobowa działalność gospodarcza, która przetwarza dane klientów (np. sklep internetowy, salon fryzjerski z bazą klientów, biuro rachunkowe), podlega tym samym obowiązkom co korporacja. Różnica jest tylko w skali — mniej osób do zawiadomienia, ale obowiązek pozostaje.

Czym różni się art. 34 od art. 33 RODO?

Art. 33 to zgłoszenie do organu nadzorczego (Prezesa UODO) — dotyczy każdego naruszenia powyżej niskiego ryzyka, termin 72 godziny. Art. 34 to zawiadomienie osób fizycznych, których dane dotyczą — dotyczy tylko naruszeń powodujących wysokie ryzyko, termin „bez zbędnej zwłoki”. Oba obowiązki są niezależne — możesz musieć zrealizować jeden bez drugiego, oba lub żadnego.

Co zrobić, gdy nie mam danych kontaktowych wszystkich osób poszkodowanych?

Jeśli zawiadomienie indywidualne wymagałoby niewspółmiernie dużego wysiłku (art. 34 ust. 3 lit. c), wydaj publiczny komunikat: ogłoszenie na głównej stronie internetowej, w prasie o zasięgu ogólnopolskim, w mediach społecznościowych firmy. Komunikat musi dotrzeć do osób poszkodowanych w sposób równie skuteczny jak zawiadomienie indywidualne. Udokumentuj, dlaczego indywidualne powiadomienie było niemożliwe — to podlega kontroli UODO.

Czy zawiadomienie z art. 34 może zaszkodzić firmie?

Tak — zawiadomienie klientów o wycieku ich danych zwykle oznacza kryzys wizerunkowy, utratę zaufania, rezygnację klientów i zainteresowanie mediów. Dlatego tak ważna jest prewencja: szyfrowanie, MFA, monitoring i regularne audyty bezpieczeństwa. Lepiej zainwestować w Microsoft 365 Business Premium lub E3 z zaawansowanym bezpieczeństwem, niż płacić karę i tracić klientów.

Jak Microsoft 365 ułatwia zgodność z art. 34?

Microsoft Purview Compliance Manager dostarcza gotowe oceny zgodności z RODO wraz z punktacją i rekomendacjami. Azure Information Protection szyfruje dokumenty automatycznie, realizując wyjątek z art. 34 ust. 3 lit. a. Defender for Business wykrywa i powstrzymuje naruszenia w czasie rzeczywistym, skracając czas reakcji. Intune pozwala zdalnie wyczyścić utracone urządzenia (wyjątek z art. 34 ust. 3 lit. b). Te narzędzia nie zwalniają z obowiązku prawnego, ale sprawiają, że jego wypełnienie jest szybsze i mniej kosztowne.

Czy prewencyjne wdrożenie polityk bezpieczeństwa zmniejsza ryzyko kary?

Tak. Art. 83 ust. 2 lit. c i d RODO nakazują organowi nadzorczemu uwzględnić „środki techniczne i organizacyjne wdrożone przez administratora” oraz „stopień współpracy z organem” przy ustalaniu wysokości kary. Firma, która przed incydentem wdrożyła szyfrowanie, MFA, monitoring, procedury reagowania i szkolenia pracowników, otrzyma znacząco niższą karę niż firma bez podstawowych zabezpieczeń. Dokumentacja tych środków jest kluczowa — prowadź rejestr wdrożonych polityk i regularnych audytów.

KluczeSoft.pl — legalne oprogramowanie Microsoft, faktura VAT 23%. Aby skutecznie chronić dane osobowe i spełniać wymogi RODO, Twoja firma potrzebuje odpowiedniego planu Microsoft 365 z zaawansowanymi funkcjami bezpieczeństwa i zgodności. Sprawdź Microsoft 365 Business Premium — szyfrowanie, DLP, Defender, Intune w jednym planie →

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Administracyjna kara pieniężna do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu (art. 83 ust. 4 lit. a RODO). Dodatkowo osoba poszkodowana może dochodzić odszkodowania z art. 82 RODO na drodze cywilnej — za szkodę majątkową i niemajątkową. W Polsce w 2025 roku kary Prezesa UODO za brak zawiadomienia wahały się od 50 000 do 1 000 000 PLN.
„Bez zbędnej zwłoki” — RODO nie podaje konkretnej liczby godzin ani dni. W praktyce interpretuje się to jako 24–48 godzin od potwierdzenia, że naruszenie powoduje wysokie ryzyko. Prezes UODO oczekuje, że zawiadomienie osób nastąpi szybciej niż zgłoszenie do organu (art. 33), bo interes jednostki jest nadrzędny. Opóźnienia dłuższe niż tydzień są uznawane za naruszenie.
Nie — pod warunkiem, że szyfrowanie było zastosowane do danych objętych naruszeniem i klucz szyfrujący nie został skompromitowany. To wyjątek z art. 34 ust. 3 lit. a. Uwaga: samo szyfrowanie dysku (BitLocker) nie wystarcza, jeśli dane na poziomie pliku lub bazy danych nie były szyfrowane, a atakujący uzyskał dostęp do systemu przez zalogowaną sesję.
Indywidualną — e-mail, list polecony, SMS (jeśli to jedyny kontakt) lub telefon z udokumentowaniem rozmowy. Nie wystarczy ogólny wpis na stronie internetowej czy w mediach społecznościowych, chyba że zachodzi wyjątek z art. 34 ust. 3 lit. c (niewspółmierny wysiłek). Treść musi być jasna, w języku polskim, zawierać minimum 5 elementów z art. 34 ust. 2.
Tak. Art. 34 RODO nie przewiduje wyjątków dla małych firm. Jednoosobowa działalność gospodarcza, która przetwarza dane klientów (np. sklep internetowy, salon fryzjerski z bazą klientów, biuro rachunkowe), podlega tym samym obowiązkom co korporacja. Różnica jest tylko w skali — mniej osób do zawiadomienia, ale obowiązek pozostaje.
Art. 33 to **zgłoszenie do organu nadzorczego** (Prezesa UODO) — dotyczy każdego naruszenia powyżej niskiego ryzyka, termin 72 godziny. Art. 34 to **zawiadomienie osób fizycznych**, których dane dotyczą — dotyczy tylko naruszeń powodujących wysokie ryzyko, termin „bez zbędnej zwłoki”. Oba obowiązki są niezależne — możesz musieć zrealizować jeden bez drugiego, oba lub żadnego.
Jeśli zawiadomienie indywidualne wymagałoby niewspółmiernie dużego wysiłku (art. 34 ust. 3 lit. c), wydaj publiczny komunikat: ogłoszenie na głównej stronie internetowej, w prasie o zasięgu ogólnopolskim, w mediach społecznościowych firmy. Komunikat musi dotrzeć do osób poszkodowanych w sposób równie skuteczny jak zawiadomienie indywidualne. Udokumentuj, dlaczego indywidualne powiadomienie było niemożliwe — to podlega kontroli UODO.
Tak — zawiadomienie klientów o wycieku ich danych zwykle oznacza kryzys wizerunkowy, utratę zaufania, rezygnację klientów i zainteresowanie mediów. Dlatego tak ważna jest prewencja: szyfrowanie, MFA, monitoring i regularne audyty bezpieczeństwa. Lepiej zainwestować w Microsoft 365 Business Premium lub E3 z zaawansowanym bezpieczeństwem, niż płacić karę i tracić klientów.
Microsoft Purview Compliance Manager dostarcza gotowe oceny zgodności z RODO wraz z punktacją i rekomendacjami. Azure Information Protection szyfruje dokumenty automatycznie, realizując wyjątek z art. 34 ust. 3 lit. a. Defender for Business wykrywa i powstrzymuje naruszenia w czasie rzeczywistym, skracając czas reakcji. Intune pozwala zdalnie wyczyścić utracone urządzenia (wyjątek z art. 34 ust. 3 lit. b). Te narzędzia nie zwalniają z obowiązku prawnego, ale sprawiają, że jego wypełnienie jest szybsze i mniej kosztowne.
Tak. Art. 83 ust. 2 lit. c i d RODO nakazują organowi nadzorczemu uwzględnić „środki techniczne i organizacyjne wdrożone przez administratora” oraz „stopień współpracy z organem” przy ustalaniu wysokości kary. Firma, która przed incydentem wdrożyła szyfrowanie, MFA, monitoring, procedury reagowania i szkolenia pracowników, otrzyma znacząco niższą karę niż firma bez podstawowych zabezpieczeń. Dokumentacja tych środków jest kluczowa — prowadź rejestr wdrożonych polityk i regularnych audytów. --- **KluczeSoft.pl — legalne oprogramowanie Microsoft, faktura VAT 23%.** Aby skutecznie chronić dane osobowe i spełniać wymogi RODO, Twoja firma potrzebuje odpowiedniego planu Microsoft 365 z zaawansowan

Czy ten artykuł był pomocny?