K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / playbook-wyciek-danych

Playbook E · Wyciek danych / RODO / eksfiltracja

Procedura reagowania na ujawnienie lub nieuprawnioną eksfiltrację danych — ze szczególnym uwzględnieniem danych osobowych. Nie każdy incydent bezpieczeństwa jest naruszeniem ochrony danych w rozumieniu RODO, ale ocena, czy jest, jest obowiązkowa i podlega terminowi. Playbook prowadzi od wykrycia eksfiltracji do decyzji o zgłoszeniu (lub jego braku) — zawsze z uzasadnieniem i dowodem.

Zegar RODO startuje w chwili stwierdzenia naruszenia, nie w chwili, gdy zdecydujesz się je zgłosić.

Poziom 3 (naruszenia prawne), z korzeniem w poziomie 1. Priorytet P0 gdy potwierdzone ujawnienie danych osobowych. Wyzwalane flagi: GDPR_PERSONAL_DATA, GDPR_BREACH, warunkowo NIS2_RELEVANT, LAW_ENFORCEMENT. Kluczowe terminy: RODO art. 33 (72h zgłoszenie do PUODO), art. 34 (zawiadomienie osób, których dane dotyczą).

Problem — incydent bezpieczeństwa vs. naruszenie ochrony danych

To rozróżnienie jest sednem playbooka. Naruszenie ochrony danych osobowych (personal data breach) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych. RAMKA / NORMA (RODO art. 4 pkt 12)

WYKRYCIE EKSFILTRACJIPOWSTRZYMANIEUSTAL ZAKRES DANYCHOCENA RYZYKADECYZJA: NARUSZENIE?art.33 / art.34DOWÓD + REJESTRRAPORT
72h
RODO art. 33 → PUODO
od stwierdzenia naruszenia
art.34
Zawiadomienie osób
gdy wysokie ryzyko dla praw i wolności
P0
Priorytet reakcji
potwierdzone dane osobowe
8
Kroków playbooka
od wykrycia do rejestru

Rozwiązania techniczne — zapobieganie i ograniczanie zasięgu

Klasyfikacja danych

Etykietowanie zasobów wg wrażliwości (publiczne / wewnętrzne / poufne / dane osobowe / szczególne kategorie art. 9). Bez klasyfikacji ocena zakresu wycieku jest zgadywaniem.

DLP

Data Loss Prevention — detekcja i blokada wyprowadzania danych wrażliwych (poczta, upload, endpointy, kanały wyjścia). Alert na wzorce (PESEL, numer karty, IBAN).

Szyfrowanie at-rest

Szyfrowanie danych w spoczynku. Dane zaszyfrowane, których klucz nie wyciekł, mogą obniżać ryzyko dla praw i wolności (a więc i obowiązek art. 34).

Szyfrowanie in-transit

TLS na wszystkich kanałach transmisji; brak protokołów w postaci jawnej dla danych osobowych.

Minimalizacja logów

Logi nie powinny zawierać danych osobowych ani sekretów w postaci jawnej — log jako kanał wycieku jest częstym, niedocenianym wektorem.

Tokenizacja / pseudonimizacja

Zastąpienie danych wrażliwych tokenami; oryginał w odseparowanym, silnie chronionym magazynie. Ogranicza skutki ujawnienia.

Kontrola dostępu

Least privilege + rozdział obowiązków; dostęp do zbiorów danych osobowych ograniczony, logowany i okresowo rewidowany.

CASB

Cloud Access Security Broker — widoczność i kontrola przepływu danych do usług chmurowych i SaaS (shadow IT, nieautoryzowany upload).

Rozwiązania organizacyjne — gotowość na obowiązek zgłoszenia

Ramka prawna — RODO art. 33 i art. 34

ObowiązekPodstawaWyzwalaczTermin / treść
Zgłoszenie do organu nadzorczego (PUODO)RODO art. 33Naruszenie skutkujące ryzykiem naruszenia praw i wolności osób fizycznychBez zbędnej zwłoki, w miarę możliwości do 72h od stwierdzenia. Późniejsze zgłoszenie wymaga wyjaśnienia opóźnienia.
Zawiadomienie osób, których dane dotycząRODO art. 34Naruszenie skutkujące wysokim ryzykiem naruszenia praw i wolnościBez zbędnej zwłoki, prostym i jasnym językiem. Wyjątki: dane były zaszyfrowane / środki eliminujące wysokie ryzyko / niewspółmierny wysiłek (wtedy komunikat publiczny).
Wpis do rejestru naruszeńRODO art. 33 ust. 5Każde naruszenie (także niezgłaszane)Dokumentacja okoliczności, skutków i działań — bezterminowo dostępna dla organu.
Powiadomienie administratora przez procesoraRODO art. 33 ust. 2Procesor stwierdza naruszenieBez zbędnej zwłoki po stwierdzeniu.
Uwaga: gdy wyciek dotyczy podmiotu kluczowego/ważnego, równolegle do RODO może powstać obowiązek NIS2_RELEVANT (zgłoszenie do CSIRT: wczesne ostrzeżenie 24h, zgłoszenie 72h, raport końcowy). Terminy RODO i NIS2 biegną niezależnie.

Playbook operacyjny — 8 kroków

1. Wykrycie i wstępne zabezpieczenie — źródło sygnału (DLP, alert dostępu, zgłoszenie, informacja z zewnątrz). Zamroź stan: logi dostępu, sesje, artefakty. Zarejestruj dokładny czas stwierdzenia — to punkt startu zegara 72h.
2. Powstrzymanie eksfiltracji — odetnij kanał wyprowadzania (zablokuj konto, sesję, regułę wyjścia, klucz API), zablokuj dalszy dostęp. Nie niszcz dowodów — izoluj, nie „sprzątaj".
3. Ustalenie zakresu danych — jakie kategorie danych, ilu podmiotów dotyczy, czy obejmują szczególne kategorie (art. 9), czy były zaszyfrowane/tokenizowane. Wykorzystaj klasyfikację danych. To fundament oceny ryzyka.
4. Ocena ryzyka dla praw i wolności — DPO/Legal ocenia dotkliwość i prawdopodobieństwo skutków (kradzież tożsamości, strata finansowa, dyskryminacja, naruszenie dóbr). Wynik: brak ryzyka / ryzyko / wysokie ryzyko.
5. Decyzja o kwalifikacji i zgłoszeniu — czy zdarzenie jest naruszeniem RODO? Jeśli tak i występuje ryzyko → przygotuj zgłoszenie art. 33 (PUODO, ≤72h). Jeśli wysokie ryzyko → dodatkowo zawiadomienie osób art. 34. Decyzja i uzasadnienie zawsze udokumentowane — również gdy nie zgłaszasz.
6. Zgłoszenia i zawiadomienia — złóż zgłoszenie do PUODO w terminie (jeśli niepełne — zgłoszenie etapowe z uzupełnieniem). Zawiadom osoby (art. 34) jasnym językiem: co się stało, jakie dane, jakie skutki, jakie kroki mogą podjąć, kontakt do DPO. Równolegle NIS2/CSIRT jeśli dotyczy.
7. Eradykacja i wzmocnienie — usuń przyczynę (podatność, przejęte konto, błąd konfiguracji), rotuj poświadczenia i klucze, wzmocnij kontrole (DLP, dostęp, szyfrowanie). Potwierdź brak dalszej eksfiltracji.
8. Walidacja, rejestr i raport — wpisz naruszenie do rejestru (art. 33 ust. 5) z pełnym opisem. Skompletuj ślad dowodowy (hash artefaktów, chronologia, decyzje). Lessons learned: aktualizacja klasyfikacji, reguł DLP, kontroli dostępu. Poziom odporności +1.

Powiązania systemowe

← Classification Engine

Flagi GDPR_PERSONAL_DATA/GDPR_BREACH wyzwalają ścieżkę prawną. Silnik klasyfikacji.

← Evidence Layer

Logi dostępu, zakres danych, decyzje DPO — z hashem i znacznikiem czasu. Evidence Board.

→ Legal / Compliance

Terminy art. 33/34, rejestr naruszeń, NIS2. Compliance · Legal Board.

↔ Powiązane playbooki

Źródłem wycieku często jest podatność (D), ransomware (B) lub phishing (A).

Uwaga metodyczna: ramki RODO (art. 4 pkt 12, art. 33, art. 34) opierają się na publicznie znanej treści rozporządzenia (norma prawna), nie na konkretnym incydencie u odbiorcy. Niniejszy playbook nie jest poradą prawną — decyzje o kwalifikacji naruszenia i zgłoszeniu podejmuje DPO/Legal odbiorcy. Wszelkie wartości liczbowe użyte przykładowo to SYMULACJA (dane demonstracyjne), nie realne naruszenia.
Doktryna: brak decyzji o kwalifikacji to nie „brak naruszenia" — to GAP w rozliczalności. Każde zdarzenie z danymi osobowymi kończy się udokumentowaną decyzją (zgłaszam / nie zgłaszam + dlaczego), zgodnie z zasadą claim ≤ proof.