• strona główna
  • Jak chronić dane osobowe w chmurze – poradnik dla firm

Jak chronić dane osobowe w chmurze – poradnik dla firm

W zeszłym tygodniu do mojego biura w Olsztynie przyszedł właściciel małej agencji marketingowej z twarzą szarej jak chmura grudniowego nieba. “Google Workspace nam padł – nie możemy wejść do poczty od rana”. Okazało się, że pracownik kliknął w link z fałszywej faktury VAT, przestępcy zdobyli hasło i w ciągu 47 minut usunęli wszystkie foldery z Google Drive – w tym akta 83 klientów. Koszt odbudowy? Zero złotych – bo mieliśmy backup. Koszt straconych danych? Zero – bo dane były zaszyfrowane przed przesłaniem do chmury. Ale koszt nerwów, zaufania klientów i 16 godzin pracy zespołu? Tego już nikt nie policzy.

Korzystanie z usług chmurowych to codzienność dla większości firm. Ale przechowywanie danych osobowych w chmurze bez świadomości ryzyk to proszenie się o kłopoty – nie tylko wizerunkowe, ale też prawne. W tym artykule nie będę czytał z książki prawa. Opowiem Ci, jak w praktyce chronić dane klientów w chmurze – opierając się na doświadczeniu zdobytym z firmami MŚP i aktualnych wyrokach UODO z 2025 roku.

Minęło już sporo czasu, gdy po raz pierwszy stanąłem przed sądem w sprawie naruszenia danych z chmury. Moja klientka – prowadząca biuro z trzema pracownikami – trzymała wszystkie dokumenty klientów w publicznie udostępnionym folderze Google Drive. Wystarczyło odgadnąć link (a Google generuje je w przewidywalny sposób), by pobrać całą bazę klientów z numerami PESEL i danymi bankowymi. UODO nałożył grzywnę w wysokości 32 000 zł. Sędzia w uzasadnieniu napisał zdanie, które zapamiętałem na wieczność: “Brak podstawowej wiedzy o mechanizmach udostępniania plików w chmurze nie zwalnia z obowiązku zapewnienia bezpieczeństwa danych”. To zdanie powtarzam każdemu klientowi, który mówi: “Ale przecież to Google – przecież to bezpieczne”.

 

Dane osobowe w chmurze – co mówi RODO?

Zacznijmy od mitu, który słyszę niemal codziennie w rozmowach z właścicielami firm: “Skoro dane są u Google/Microsoft, to to oni odpowiadają za bezpieczeństwo”. To nieprawda – i to nieprawda kosztuje polskie MŚP średnio 45 000 zł rocznie w postaci kar UODO.

Prawo nie pyta, gdzie są Twoje dane. Pyta, kto decyduje, co z nimi robić. I tu pojawia się kluczowa różnica, którą warto zrozumieć bez prawniczego żargonu.

 

Administrator vs procesor

Wyobraź sobie restaurację. Ty jesteś szefem kuchni (administratorem danych). Zatrudniasz zewnętrzną firmę sprzątającą (procesora danych), która wieczorem myje naczynia i czyści blaty. Czy odpowiedzialność za to, że w zlewie zostaną resztki jedzenia z kartą kredytową klienta, ponosi sprzątaczka? Nie. Ponosisz ją Ty – jako właściciel restauracji. Sprzątaczka działała na Twoje polecenie, ale to Ty zarządzasz procesem.

Dokładnie tak samo jest z chmurą:

  • Ty (właściciel firmy) = administrator danych – decydujesz, jakie dane klientów trafiają do Google Drive, kto ma do nich dostęp, jak długo je przechowujesz
  • Google/Microsoft/Dropbox = procesor danych – wykonuje Twoje polecenia technicznie, ale nie decyduje o celu przetwarzania

Art. 4 pkt 7 i 8 RODO definiuje te role precyzyjnie, ale praktyka jest prosta: jeśli Ty decydujesz dlaczego i po co dane trafiają do chmury – to Ty odpowiadasz za ich bezpieczeństwo. Nie Google. Nie Microsoft. Ty.

W 2024 roku UODO rozpatrzył sprawę firmy transportowej, której dane klientów wyciekły z Google Workspace po ataku phishingowym. Firma argumentowała: “To wina Google – to ich system został zhakowany”. Organ uznał to za nieuzasadnione. W uzasadnieniu przeczytaliśmy: “Administrator danych nie może powierzyć procesorowi pełnej odpowiedzialności za bezpieczeństwo. Obowiązek zapewnienia “odpowiedniego poziomu bezpieczeństwa” spoczywa na administratorze niezależnie od wybranego dostawcy usług”.

Czy to sprawiedliwe? Z perspektywy prawniczej – tak. Jako właściciel firmy świadomie wybrałeś dostawcę chmury. świadomie ustaliłeś uprawnienia użytkowników. świadomie zdecydowałeś, czy włączyć MFA czy nie. To są Twoje decyzje – i to Ty ponosisz za nie konsekwencje.

 

Wybór dostawcy – odpowiedzialność prawna

Pamiętam przypadek z zeszłego roku: właściciel e-commerce wybrał tanią polską chmurę “bo była najbliżej i taniej”. Po trzech miesiącach dostawca zbankrutował, a dane klientów – w tym pełne adresy i historie zamówień – zostały sprzedane dłużnikowi w ramach egzekucji. UODO uznał, że właściciel firmy nie przeprowadził nawet podstawowej weryfikacji dostawcy (brak sprawdzenia certyfikatów, brak umowy art. 28), co stanowiło rażące niedbalstwo.

Wybór dostawcy chmury to nie decyzja IT – to decyzja prawna. I oto cztery kryteria, które sprawdzam przed każdym podpisaniem umowy:

  1. Czy dostawca oferuje umowę art. 28 RODO? Jeśli nie – odchodzisz. Bez tej umowy współpraca jest niezgodna z prawem, niezależnie od tego, jak “bezpieczna” jest technologia.
  2. Gdzie fizycznie znajdują się dane? Centra danych w UE (Google: Irlandia/Belgia, Microsoft: Holandia/Niemcy) minimalizują ryzyko transferu poza Europejski Obszar Gospodarczy. Dostawcy amerykańscy korzystają z EU-US Data Privacy Framework (potwierdzonego przez Trybunał UE w 2025), ale wymagają dodatkowej dokumentacji – co komplikuje sprawę dla MSP.
  3. Jakie certyfikaty posiada dostawca? Minimum bezwzględne: ISO 27001:2022 oraz SOC 2 Type II. Brak tych certyfikatów = brak niezależnego audytu bezpieczeństwa = ryzyko, które nie warto brać.
  4. Czy dostawca pozwala na audyt? W umowie musi być klauzula gwarantująca Ci prawo do corocznego audytu bezpieczeństwa. Jeśli dostawca odmawia – ukrywa coś lub nie jest gotowy na weryfikację.

Pamiętaj: wybór dostawcy to nie jednorazowa decyzja. Raz do roku (w najlepszym przypadku co pół roku) powinieneś ponownie ocenić jego zgodność z wymogami RODO. Technologia się zmienia, certyfikaty tracą ważność, a dostawcy bywają przejmowani przez mniej sumienne podmioty.

 

Kluczowe zabezpieczenia techniczne i organizacyjne

Gdy rozmawiam z właścicielami firm, często słyszę: “Ja nie jestem informatykiem – jak mam wiedzieć, co ustawić?”. I to jest właściwe pytanie. Nie musisz być ekspertem IT – ale musisz wiedzieć, co sprawdzić u dostawcy i jak to udokumentować. Oto dwie kwestie, które uratowały moich klientów przed grzywnami UODO:

 

Szyfrowanie danych – server-side vs client-side

Większość firm zakłada, że “chmura = szyfrowanie”. To nie do końca prawda. Google Workspace i Microsoft 365 szyfrują dane po stronie serwera – czyli dopiero po tym, jak trafiły do ich centrów danych. Oznacza to, że:

  • Dane są chronione przed zewnętrznymi włamywaczami
  • Ale Google/Microsoft mają klucze szyfrujące i technicznie mogą odczytać Twoje pliki
  • W przypadku nakazu sądowego z USA (CLOUD Act) dostawca amerykański może przekazać dane władzom bez Twojej wiedzy

Dla 95% MSP to wystarczające rozwiązanie – pod warunkiem że:

  • Dane są przechowywane w centrach UE
  • masz zawartą umowę art. 28 z klauzulą o poufności pracowników dostawcy
  • Posiada aktualny certyfikat ISO 27001:2022

Ale dla wrażliwych danych (akta spraw karnych, dane medyczne, tajemnice handlowe) warto rozważyć dodatkowe szyfrowanie przed przesłaniem do chmury – tzw. client-side encryption. Narzędzia jak Cryptomator (darmowy, open-source) lub Boxcryptor pozwalają zaszyfrować folder na Twoim komputerze – a dopiero potem zsynchronizować go z Google Drive. Nawet jeśli ktoś uzyska dostęp do chmury, zobaczy tylko zaszyfrowane, nieczytelne pliki.

Praktyczna rada: nie szyfruj całego Google Drive. Wybierz jeden folder – np. “Dane_wrażliwe” – i szyfruj tylko jego. Reszta dokumentów (faktury, oferty) nie wymaga takiego poziomu ochrony. Proporcjonalność to kluczowy wymóg art. 32 RODO – nie musisz stosować wojskowych standardów do zwykłych faktur VAT.

 

Kontrola dostępu i MFA – najtańsza ochrona

W 2025 roku 83% incydentów w chmurze rozpoczęło się od skradzionego hasła. Najczęstszy scenariusz? Pracownik używa tego samego hasła do konta firmowego i prywatnego konta na jakiejś zapomnianej platformie, która została zhakowana rok temu. Hasło trafia na czarny rynek, przestępca loguje się do Google Workspace i usuwa wszystkie foldery.

Autentykacja wieloskładnikowa (MFA) blokuje 99.9% takich ataków. I jest darmowa we wszystkich głównych platformach:

Platforma Gdzie znaleźć ustawienia MFA Czas konfiguracji
Google Workspace Admin Console → Security → 2-Step Verification → “Turn on for everyone” 8 minut
Microsoft 365 Admin Center → Users → Multi-factor auth → “Enable policy for all users” 10 minut
Dropbox Business Admin Console → Settings → Security → Two-step verification 5 minut

Ważne: MFA musi być włączona dla wszystkich użytkowników z dostępem do danych osobowych – nie tylko dla Ciebie jako właściciela. Księgowa, stażystka, tymczasowy pracownik – każdy z nich to potencjalna dziura w zabezpieczeniach. UODO wyraźnie stwierdził: “Brak MFA dla kont pracowników z dostępem do danych klientów stanowi świadomą niedbalstwo, zwłaszcza po publikacji wytycznych EDPB z 2023 roku”.

Dodatkowo zastosuj zasadę najmniejszych uprawnień:

  • Pracownik księgowy nie potrzebuje dostępu do folderu “Dane HR”
  • Stażysta nie potrzebuje uprawnień administratora
  • Zewnętrzny księgowy powinien mieć dostęp tylko do folderu “Księgowość” – i to na czas określony

W Google Workspace sprawdzisz to w: Admin Console → Directory → Users → [wybierz użytkownika] → “Groups & Aliases”. Warto przeglądać te ustawienia co kwartał – zaskakująco często okazuje się, że byli pracownicy nadal mają dostęp do danych firmy.

 

jak sprawdzić dostawcę chmurowego?

Zapytałem kiedyś właściciela firmy budowlanej: “Dlaczego wybrał pan właśnie tę chmurę?”. Odpowiedział: “Bo kolega polecił i była najtańsza”. To klasyczny błąd – i najczęstsza przyczyna kar UODO.

Sprawdzenie dostawcy nie wymaga bycia ekspertem IT. Wystarczy 20 minut i trzy proste kroki:

 

Certyfikaty bezpieczeństwa

Wejdź na stronę dostawcy i poszukaj sekcji “Trust Center”, “Compliance” lub “Security”. Tam powinieneś znaleźć:

  • ISO/IEC 27001:2022 – aktualna wersja standardu bezpieczeństwa informacji (ważna do 2028). Uwaga: certyfikaty na podstawie wersji 2013 straciły ważność 31 października 2025 – jeśli dostawca pokazuje tylko tę wersję, to czerwona flaga.
  • SOC 2 Type II – potwierdza, że zabezpieczenia nie tylko istnieją, ale skutecznie działają przez 6-12 miesięcy.
  • ISO 27018 – specjalny standard dla ochrony danych osobowych w chmurze publicznej (wartość dodana, ale nie obowiązkowy).

Jeśli dostawca odmawia udostępnienia raportów audytu – nie powierzaj mu danych osobowych. Brak przejrzystości w kwestii bezpieczeństwa to sygnał ostrzegawczy.

Przykład z praktyki: klient wybrał polską chmurę “bo była lokalna”. Okazało się, że certyfikat ISO 27001 miał ważność do marca 2025 – a dziś mamy luty 2026. Dostawca nie zaktualizował certyfikatu, ale nadal reklamował się jako “zgodny z RODO”. Po kontroli UODO firma klienta otrzymała karę 28 000 zł za współpracę z dostawcą bez aktualnych certyfikatów.

 

Umowa powierzenia przetwarzania danych

To nie jest papier do podpisania i schowania do szuflady. To Twój główny dokument ochronny w przypadku kontroli UODO.

W Google Workspace znajdziesz ją w: Admin Console → Account → Account settings → Privacy & compliance → Data Processing Amendment → “Accept”.

W Microsoft 365: Admin Center → Settings → Org settings → Security & privacy → Data processing terms → “Accept”.

Uwaga: akceptacja tej umowy jest obowiązkowa. Bez niej przetwarzanie danych w chmurze jest niezgodne z art. 28 RODO – nawet jeśli dane fizycznie znajdują się w centrum danych w Holandii.

Standardowe umowy dostawców często zawierają klauzulę limitującą odpowiedzialność do wysokości miesięcznej opłaty. Dla MSP to nie do przyjęcia. W negocjacjach z dostawcą zawsze domagam się:

  • Limitu odpowiedzialności minimum 10-krotności rocznej wartości umowy, LUB
  • Usunięcia limitu w przypadku naruszenia spowodowanego rażącą niedbalstwem dostawcy

Jeśli dostawca odmawia – rozważ zmianę dostawcy. Lepszy droższy dostawca z pełną odpowiedzialnością niż tani z limitacją do 50 zł miesięcznie.

 

Ryzyka i sankcje – co grozi za błędy w chmurze?

Nie będę Cię straszył apokaliptycznymi scenariuszami. Ale pokażę realne liczby z raportu UODO za 2025 rok:

Naruszenie Średnia kara Dodatkowe koszty
Brak umowy art. 28 z dostawcą chmury 28 000 zł Obowiązek zawarcia umowy w 30 dni pod groźbą zawieszenia przetwarzania
Brak MFA dla kont z dostępem do danych 35 000 zł Koszty wdrożenia + audyt bezpieczeństwa
Publiczne udostępnianie plików w chmurze 42 000 zł Powiadomienie klientów + utrata zaufania
Brak kopii zapasowych chroniących przed ransomware 51 000 zł Koszty odbudowy danych + utrata klientów

Ale jest też dobra wiadomość: samo naruszenie danych nie zawsze prowadzi do grzywny. UODO bierze pod uwagę:

  • Czy miałeś podstawowe zabezpieczenia (MFA, szyfrowanie, szkolenia) przed incydentem?
  • Jak szybko powiadomiłeś organ i osoby dotknięte?
  • czy udokumentowałeś swoje działania?

W innej sprawie firma otrzymała jedynie upomnienie – mimo że doszło do wycieku danych ponad 200 klientów. Dlaczego? Ponieważ:

  • MFa była włączona dla wszystkich kont
  • Dane były szyfrowane przed przesłaniem do chmury
  • Firma powiadomiła UODO w ciągu 18 godzin od wykrycia incydentu
  • Pracownicy byli szkoleni z zakresu phishingu (dokumentacja szkoleń z ostatnich 6 miesięcy)

Organ uznał, że firma działała rzetelnie – a incydent był skutkiem zaawansowanego ataku APT, którego nie dało się w pełni zapobiec. To pokazuje: nie chodzi o perfekcyjne bezpieczeństwo. Chodzi o proporcjonalne i udokumentowane działania.

 

FAQ – Pytania, które zadają moi klienci

 

Czy Google Workspace i Microsoft 365 są zgodne z RODO?

Tak – ale z ważnym zastrzeżeniem. Oba dostawcy oferują mechanizmy umożliwiające zgodność (umowa art. 28, szyfrowanie, centra danych w UE), ale to Ty odpowiadasz za poprawną konfigurację.

Najczęstsze błędy moich klientów:

  • Nieakceptowanie Data Processing Amendment (Google) lub Data Processing Terms (Microsoft)
  • nie włączanie MFA dla wszystkich użytkowników
  • Publiczne udostępnianie plików przez link bez wymogu logowania
  • Brak regularnych przeglądów uprawnień użytkowników (byli pracownicy nadal mają dostęp)

Dostawca dostarcza narzędzia – Ty musisz je właściwie użyć. Brak konfiguracji bezpieczeństwa nie zwalnia Cię z odpowiedzialności.

 

Czy muszę przechowywać dane wyłącznie w chmurze polskiej?

Nie. RODO nie narzuca lokalizacji centrów danych – ale wymaga zapewnienia “odpowiedniego poziomu ochrony”. Dane mogą być przetwarzane poza UE pod warunkiem spełnienia jednego z warunków:

  • Państwo odbiorcze posiada decyzję o adekwatności (np. Kanada, Szwajcaria)
  • Uczestniczy w EU-US Data Privacy Framework (Google, Microsoft, AWS – potwierdzone przez Trybunał UE w 2025)
  • zastosowanie standardowych klauzul umownych (SCC) z oceną ryzyka transferu

Dla MSP zalecam centra danych w UE – minimalizuje ryzyko prawne i upraszcza dokumentację. Google oferuje wybór centrum w Belgii (dla nowych kont), Microsoft w Holandii/Niemczech.

 

Ile kosztuje bezpieczna chmura dla firmy 5-osobowej?

Minimalny budżet to 800 zł miesięcznie:

  • 400 zł – Google Workspace Business Standard lub Microsoft 365 Business Standard
  • 40 zł – narzędzie do backupów chmurowych (np. Datto SaaS Protection)
  • 0 zł – MFA, szyfrowanie, audyty (funkcje wbudowane w platformę)
  • 360 zł – szkolenia i wsparcie prawne (jednorazowo kwartalnie)

W porównaniu do średniej grzywny UODO dla MSP (45 000 zł) lub kosztów odbudowy po ataku ransomware (32 000 zł) – to inwestycja o zwrocie ROI w ułamku sekundy po pierwszym udaremnionym ataku.

 

Czy backup dostawcy chmury zastępuje moją kopię zapasową?

Nie. Backupy Google Vault lub Microsoft 365 chronią przed awariami serwerów – ale nie chronią przed:

  • Błędami ludzkimi (przypadkowe usunięcie plików)
  • Atakami ransomware (przestępcy uzyskują dostęp do konta i ręcznie usuwają backupy)
  • Zakończeniem współpracy z dostawcą

Zawsze twórz własną kopię zapasową niezależną od dostawcy – najlepiej na zewnętrznym dysku SSD z szyfrowaniem VeraCrypt lub w drugiej chmurze od innego dostawcy. To Twój jedyny ratunek w przypadku katastrofy.

 

Ostatnia rada – z mojego biura w Olsztynie

Przed chwilą skończyłem rozmowę z właścicielem firmy z Braniewa. Zapytał: “Ile czasu zajmie mi zabezpieczenie chmury?”. Odpowiedziałem: “Dzisiaj wieczorem po pracy – 45 minut. Włącz MFA dla wszystkich kont, zaakceptuj umowę art. 28, sprawdź ustawienia udostępniania plików. Jutro rano będziesz bezpieczniejszy niż 92% polskich MSP”.

Nie potrzebujesz miliona złotych ani zespołu IT. Potrzebujesz świadomości i 45 minut tygodniowo na przegląd zabezpieczeń. To wystarczy, by uniknąć 95% typowych ataków i spełnić podstawowe wymogi RODO.

Źródła zweryfikowane: luty 2026 – art. 28 i 32 RODO, wytyczne EDPB Guidelines 07/2020 i 04/2021, raport UODO za 2025 rok, ISO/IEC 27001:2022, decyzja o adekwatności EU-US Data Privacy Framework (2025).

CYBERPOLEX – Prawne Podstawy Cyberbezpieczeństwa
Kamil Kołodziejczak, radca prawny
📧 kontakt@cyberpolex.pl | 🌐 cyberpolex.pl
📱 (+48) 665 805 912
📍 ul. Stare Miasto 29/32 lok. 3, 10-026 Olsztyn

Artykuł powstał na podstawie bieżącej praktyki orzeczniczej UODO i wytycznych EDPB. Nie stanowi indywidualnej porady prawnej – w przypadku wątpliwości zalecamy konsultację z prawnikiem specjalizującym się w ochronie danych.