k0nsult.cloud / ai-truth / ipIII / playbook-wyciek-danych
Playbook E · Wyciek danych / RODO / eksfiltracja
Procedura reagowania na ujawnienie lub nieuprawnioną eksfiltrację danych — ze szczególnym uwzględnieniem danych osobowych. Nie każdy incydent bezpieczeństwa jest naruszeniem ochrony danych w rozumieniu RODO, ale ocena, czy jest, jest obowiązkowa i podlega terminowi. Playbook prowadzi od wykrycia eksfiltracji do decyzji o zgłoszeniu (lub jego braku) — zawsze z uzasadnieniem i dowodem.
Zegar RODO startuje w chwili stwierdzenia naruszenia, nie w chwili, gdy zdecydujesz się je zgłosić.
Poziom 3 (naruszenia prawne), z korzeniem w poziomie 1. Priorytet P0 gdy potwierdzone ujawnienie danych osobowych. Wyzwalane flagi: GDPR_PERSONAL_DATA, GDPR_BREACH, warunkowo NIS2_RELEVANT, LAW_ENFORCEMENT. Kluczowe terminy: RODO art. 33 (72h zgłoszenie do PUODO), art. 34 (zawiadomienie osób, których dane dotyczą).
Problem — incydent bezpieczeństwa vs. naruszenie ochrony danych
To rozróżnienie jest sednem playbooka. Naruszenie ochrony danych osobowych (personal data breach) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych. RAMKA / NORMA (RODO art. 4 pkt 12)
- Nie każdy incydent = naruszenie RODO — np. DDoS bez dostępu do danych, wykrycie i zablokowanie próby przed eksfiltracją. Ale ocena „czy to naruszenie" jest obowiązkowa i musi być udokumentowana.
- Trzy wymiary naruszenia — poufność (ujawnienie/dostęp), integralność (nieuprawniona modyfikacja), dostępność (utrata/zniszczenie, np. ransomware bez backupu też bywa naruszeniem).
- Obowiązek oceny ryzyka dla praw i wolności osób fizycznych decyduje o zakresie obowiązków: brak ryzyka → wpis do rejestru bez zgłoszenia; ryzyko → zgłoszenie PUODO (art. 33); wysokie ryzyko → dodatkowo zawiadomienie osób (art. 34).
- Eksfiltracja — celowe wyprowadzenie danych (insider, malware, przejęte konto) jest najcięższym scenariuszem poufności; wymaga ustalenia zakresu, kategorii i liczby podmiotów danych.
WYKRYCIE EKSFILTRACJI→POWSTRZYMANIE→USTAL ZAKRES DANYCH→OCENA RYZYKA→DECYZJA: NARUSZENIE?→art.33 / art.34→DOWÓD + REJESTR→RAPORT
72h
RODO art. 33 → PUODO
od stwierdzenia naruszenia
art.34
Zawiadomienie osób
gdy wysokie ryzyko dla praw i wolności
P0
Priorytet reakcji
potwierdzone dane osobowe
8
Kroków playbooka
od wykrycia do rejestru
Rozwiązania techniczne — zapobieganie i ograniczanie zasięgu
Klasyfikacja danych
Etykietowanie zasobów wg wrażliwości (publiczne / wewnętrzne / poufne / dane osobowe / szczególne kategorie art. 9). Bez klasyfikacji ocena zakresu wycieku jest zgadywaniem.
DLP
Data Loss Prevention — detekcja i blokada wyprowadzania danych wrażliwych (poczta, upload, endpointy, kanały wyjścia). Alert na wzorce (PESEL, numer karty, IBAN).
Szyfrowanie at-rest
Szyfrowanie danych w spoczynku. Dane zaszyfrowane, których klucz nie wyciekł, mogą obniżać ryzyko dla praw i wolności (a więc i obowiązek art. 34).
Szyfrowanie in-transit
TLS na wszystkich kanałach transmisji; brak protokołów w postaci jawnej dla danych osobowych.
Minimalizacja logów
Logi nie powinny zawierać danych osobowych ani sekretów w postaci jawnej — log jako kanał wycieku jest częstym, niedocenianym wektorem.
Tokenizacja / pseudonimizacja
Zastąpienie danych wrażliwych tokenami; oryginał w odseparowanym, silnie chronionym magazynie. Ogranicza skutki ujawnienia.
Kontrola dostępu
Least privilege + rozdział obowiązków; dostęp do zbiorów danych osobowych ograniczony, logowany i okresowo rewidowany.
CASB
Cloud Access Security Broker — widoczność i kontrola przepływu danych do usług chmurowych i SaaS (shadow IT, nieautoryzowany upload).
Rozwiązania organizacyjne — gotowość na obowiązek zgłoszenia
- Rejestr naruszeń — obowiązkowy wewnętrzny rejestr wszystkich naruszeń (także tych niezgłoszonych do PUODO), z okolicznościami, skutkami i podjętymi działaniami. To dowód rozliczalności (accountability).
- Workflow DPO — jasna ścieżka eskalacji do Inspektora Ochrony Danych / Legal; DPO ocenia, czy zdarzenie jest naruszeniem i jaki poziom ryzyka niesie.
- Ocena ryzyka dla praw i wolności — udokumentowana metodyka: kategorie danych, liczba osób, łatwość identyfikacji, dotkliwość skutków (kradzież tożsamości, strata finansowa, dyskryminacja).
- Gotowe szablony — formularz zgłoszenia do PUODO (art. 33) i komunikatu do osób (art. 34) przygotowane wcześniej — czas w oknie 72h jest krytyczny.
- Umowy powierzenia — jeśli dane przetwarza procesor, umowa musi zobowiązywać go do niezwłocznego powiadomienia administratora o naruszeniu (bieg 72h liczy się od stwierdzenia przez administratora).
Ramka prawna — RODO art. 33 i art. 34
| Obowiązek | Podstawa | Wyzwalacz | Termin / treść |
| Zgłoszenie do organu nadzorczego (PUODO) | RODO art. 33 | Naruszenie skutkujące ryzykiem naruszenia praw i wolności osób fizycznych | Bez zbędnej zwłoki, w miarę możliwości do 72h od stwierdzenia. Późniejsze zgłoszenie wymaga wyjaśnienia opóźnienia. |
| Zawiadomienie osób, których dane dotyczą | RODO art. 34 | Naruszenie skutkujące wysokim ryzykiem naruszenia praw i wolności | Bez zbędnej zwłoki, prostym i jasnym językiem. Wyjątki: dane były zaszyfrowane / środki eliminujące wysokie ryzyko / niewspółmierny wysiłek (wtedy komunikat publiczny). |
| Wpis do rejestru naruszeń | RODO art. 33 ust. 5 | Każde naruszenie (także niezgłaszane) | Dokumentacja okoliczności, skutków i działań — bezterminowo dostępna dla organu. |
| Powiadomienie administratora przez procesora | RODO art. 33 ust. 2 | Procesor stwierdza naruszenie | Bez zbędnej zwłoki po stwierdzeniu. |
Uwaga: gdy wyciek dotyczy podmiotu kluczowego/ważnego, równolegle do RODO może powstać obowiązek NIS2_RELEVANT (zgłoszenie do CSIRT: wczesne ostrzeżenie 24h, zgłoszenie 72h, raport końcowy). Terminy RODO i NIS2 biegną niezależnie.
Playbook operacyjny — 8 kroków
1. Wykrycie i wstępne zabezpieczenie — źródło sygnału (DLP, alert dostępu, zgłoszenie, informacja z zewnątrz). Zamroź stan: logi dostępu, sesje, artefakty. Zarejestruj dokładny czas stwierdzenia — to punkt startu zegara 72h.
2. Powstrzymanie eksfiltracji — odetnij kanał wyprowadzania (zablokuj konto, sesję, regułę wyjścia, klucz API), zablokuj dalszy dostęp. Nie niszcz dowodów — izoluj, nie „sprzątaj".
3. Ustalenie zakresu danych — jakie kategorie danych, ilu podmiotów dotyczy, czy obejmują szczególne kategorie (art. 9), czy były zaszyfrowane/tokenizowane. Wykorzystaj klasyfikację danych. To fundament oceny ryzyka.
4. Ocena ryzyka dla praw i wolności — DPO/Legal ocenia dotkliwość i prawdopodobieństwo skutków (kradzież tożsamości, strata finansowa, dyskryminacja, naruszenie dóbr). Wynik: brak ryzyka / ryzyko / wysokie ryzyko.
5. Decyzja o kwalifikacji i zgłoszeniu — czy zdarzenie jest naruszeniem RODO? Jeśli tak i występuje ryzyko → przygotuj zgłoszenie art. 33 (PUODO, ≤72h). Jeśli wysokie ryzyko → dodatkowo zawiadomienie osób art. 34. Decyzja i uzasadnienie zawsze udokumentowane — również gdy nie zgłaszasz.
6. Zgłoszenia i zawiadomienia — złóż zgłoszenie do PUODO w terminie (jeśli niepełne — zgłoszenie etapowe z uzupełnieniem). Zawiadom osoby (art. 34) jasnym językiem: co się stało, jakie dane, jakie skutki, jakie kroki mogą podjąć, kontakt do DPO. Równolegle NIS2/CSIRT jeśli dotyczy.
7. Eradykacja i wzmocnienie — usuń przyczynę (podatność, przejęte konto, błąd konfiguracji), rotuj poświadczenia i klucze, wzmocnij kontrole (DLP, dostęp, szyfrowanie). Potwierdź brak dalszej eksfiltracji.
8. Walidacja, rejestr i raport — wpisz naruszenie do rejestru (art. 33 ust. 5) z pełnym opisem. Skompletuj ślad dowodowy (hash artefaktów, chronologia, decyzje). Lessons learned: aktualizacja klasyfikacji, reguł DLP, kontroli dostępu. Poziom odporności +1.
Powiązania systemowe
← Classification Engine
Flagi GDPR_PERSONAL_DATA/GDPR_BREACH wyzwalają ścieżkę prawną. Silnik klasyfikacji.
← Evidence Layer
Logi dostępu, zakres danych, decyzje DPO — z hashem i znacznikiem czasu. Evidence Board.
Uwaga metodyczna: ramki RODO (art. 4 pkt 12, art. 33, art. 34) opierają się na publicznie znanej treści rozporządzenia (norma prawna), nie na konkretnym incydencie u odbiorcy. Niniejszy playbook nie jest poradą prawną — decyzje o kwalifikacji naruszenia i zgłoszeniu podejmuje DPO/Legal odbiorcy. Wszelkie wartości liczbowe użyte przykładowo to SYMULACJA (dane demonstracyjne), nie realne naruszenia.
Doktryna: brak decyzji o kwalifikacji to nie „brak naruszenia" — to GAP w rozliczalności. Każde zdarzenie z danymi osobowymi kończy się udokumentowaną decyzją (zgłaszam / nie zgłaszam + dlaczego), zgodnie z zasadą claim ≤ proof.