K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / trust / data-processing

Przetwarzanie danych w PoC ipIII — RODO art. 28, DPA-ready

Zanim jakikolwiek pentest, incydent czy dowód trafi do ipIII, odbiorca musi wiedzieć: kto przetwarza, w jakim zakresie, gdzie fizycznie, jak długo i kto ma dostęp. Ta strona opisuje warstwę przetwarzania danych dla proof-of-concept — rolę podmiotu przetwarzającego (art. 28 RODO), retencję, region infrastruktury i kontrolę dostępu. Precyzyjnie oddzielamy to, co działa dziś LIVE, od tego, co zaplanowane ROADMAP.

Po co ta strona. Odbiorca (bank, urząd, partner) występuje najczęściej jako administrator danych, a K0NSULT w PoC jako podmiot przetwarzający w rozumieniu art. 28 RODO. Ta strona jest punktem wyjścia do umowy powierzenia (DPA) i pokazuje domyślne ustawienia przetwarzania. Zgodnie z doktryną claim ≤ proof: funkcje działające oznaczamy LIVE, planowane — ROADMAP. Nie deklarujemy zabezpieczeń, których jeszcze nie wdrożyliśmy.
Minimalizacja u podstaw: domyślnie dane syntetyczne / zanonimizowane.

W trybie PoC ipIII pracuje przede wszystkim na danych syntetycznych lub zanonimizowanych — dane pentestu i incydentów są tak dobierane, by nie zawierały danych osobowych ponad niezbędne minimum. Region infrastruktury to Unia Europejska. Dostęp jest ograniczony rolami (RBAC), a transport chroniony TLS. Podpis dowodów at-rest oraz niezmienny log to elementy oznaczone jawnie jako ROADMAP — nie udajemy, że już działają.

CYKL DANYCH: powierzenie (DPA art. 28)zakres min. / synt.region UEdostęp RBACretencja = czas PoCusunięcie / zwrot

Zasady przetwarzania

Dla każdej kategorii podajemy zasadę i jej podstawę. Kolumna Status: LIVE = wdrożone w PoC · ROADMAP = zaplanowane, jeszcze nie wdrożone. Data weryfikacji: 2026-07-05.

KategoriaZasada (jak przetwarzamy)PodstawaStatus
Rola K0NSULT działa jako podmiot przetwarzający na udokumentowane polecenie administratora (odbiorcy). Przetwarzanie wyłącznie w celu realizacji PoC — bez celów własnych. Art. 28 RODO — powierzenie przetwarzania; przetwarzanie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a). LIVE
Zakres Dane pentestu i incydentów (findings, artefakty, metadane). Domyślnie dane syntetyczne lub zanonimizowane; dane osobowe tylko jeśli niezbędne i uzgodnione pisemnie. Zasada minimalizacji. Zasada minimalizacji danych — art. 5 ust. 1 lit. c RODO; ograniczenie celu — art. 5 ust. 1 lit. b. LIVE
Retencja Dane przechowywane przez czas trwania PoC + krótkie okno przejściowe (na retest / eksport dowodów), a następnie usunięcie. Okno i termin ustalane w DPA. Ograniczenie przechowywania — art. 5 ust. 1 lit. e RODO; usunięcie/zwrot po zakończeniu — art. 28 ust. 3 lit. g. LIVE okno konfig.
Region infrastruktury Przetwarzanie i przechowywanie w Unii Europejskiej (hosting UE, region typu fra / EU). Brak domyślnego transferu poza EOG. Rozdz. V RODO (transfery) — domyślnie brak transferu poza EOG; region UE ustalany w DPA. LIVE
Dostęp Kontrola dostępu oparta na rolach (RBAC), zasada minimalnych uprawnień (least privilege), logowanie dostępu (audit-log operacji na danych). Bezpieczeństwo przetwarzania — art. 32 RODO; rozliczalność — art. 5 ust. 2. LIVE RBAC + audit
Szyfrowanie Transport chroniony TLS (szyfrowanie w tranzycie) — LIVE. Szyfrowanie at-rest (dane w spoczynku) — ROADMAP, jeszcze nie wdrożone. Środki techniczne — art. 32 ust. 1 lit. a RODO (m.in. szyfrowanie). Wdrożenie częściowe — jawnie oznaczone. TLS: LIVE · at-rest: ROADMAP
Subprocessorzy Dostawca hostingu UE jako podmiot podprzetwarzający. Jawna lista subprocessorów i mechanizm powiadamiania o zmianach — ROADMAP (do formalizacji w DPA). Dalsze powierzenie — art. 28 ust. 2 i 4 RODO; zgoda / uprzednie poinformowanie administratora. lista: ROADMAP
Prawa podmiotów Kanał kontaktu do obsługi żądań podmiotów danych; K0NSULT jako przetwarzający pomaga administratorowi odpowiedzieć na żądania (dostęp, sprostowanie, usunięcie). Pomoc administratorowi — art. 28 ust. 3 lit. e RODO; prawa podmiotów — art. 15–22. kanał: LIVE

Checklist DPA (umowa powierzenia)

Elementy, które wzór umowy powierzenia (DPA) powinien objąć — mapowanie na art. 28 RODO. To lista kontrolna do przeglądu przez prawnika, nie gotowa umowa.

Powiązane materiały Trust & Legal

Trust Center index

Punkt wejścia do warstwy zaufania ipIII: bezpieczeństwo, dane, granice etyczne i prawne w jednym miejscu.

→ /ai-truth/ipIII/trust-center

Znane ograniczenia honest

Uczciwy rejestr tego, czego ipIII jeszcze NIE robi — auth, transport, PDF, tenancy, szyfrowanie at-rest.

→ /ai-truth/ipIII/known-limitations

Wzór RoE template

Rules of Engagement — pisemne granice testu bezpieczeństwa: zakres, autoryzacja, okno, kontakt.

→ /ai-truth/ipIII/roe-template

Disclosure policy

Zasady odpowiedzialnego zgłaszania podatności i kanał kontaktu dla badaczy.

→ /ai-truth/ipIII/disclosure

Domyślnie mniej danych, nie więcej. W PoC celowo pracujemy na danych syntetycznych lub zanonimizowanych. Dane osobowe wchodzą do przetwarzania tylko wtedy, gdy są niezbędne i pisemnie uzgodnione w DPA — to zawęża powierzchnię ryzyka i upraszcza zgodność.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Szyfrowanie at-rest, niezmienny (immutable) log dostępu oraz sformalizowana lista subprocessorów to ROADMAP — mówimy o nich jako o planie, a nie jako o wdrożonej funkcji. Doktryna claim ≤ proof obowiązuje tu tak samo.
Zastrzeżenie. Ta strona to materiał wspierający decyzję (decision-support), a nie porada prawna. Wzór umowy powierzenia (DPA) wymaga przeglądu przez radcę prawnego / kancelarię przed podpisaniem. Funkcje oznaczone ROADMAP (m.in. szyfrowanie at-rest, niezmienny log dostępu, formalna lista subprocessorów) nie są jeszcze wdrożone. Zgodnie z doktryną claim ≤ proof deklarujemy dokładnie tyle, ile potrafimy pokazać kodem, konfiguracją i endpointem.

Powiązane: warstwa zaufania → /trust-center · granice dojrzałości → /known-limitations.