RODO, szyfrowanie zero-knowledge i problem powiadamiania o naruszeniu danych

Artykuł 33 RODO zobowiązuje administratorów do powiadomienia organu nadzorczego w ciągu 72 godzin od wykrycia naruszenia ochrony danych osobowych. Artykuł 34 może dodatkowo wymagać powiadomienia poszkodowanych osób. Obowiązki te niosą poważne konsekwencje reputacyjne i finansowe — kary do 20 milionów euro lub 4% rocznego globalnego obrotu.

Co kwalifikuje się jako naruszenie? Motyw 83 RODO i artykuł 32 wskazują na szyfrowanie jako czynnik łagodzący. Kluczowy przepis: jeśli dane osobowe są zaszyfrowane w sposób czyniący je niezrozumiałymi dla nieupoważnionych stron, ryzyko dla osób, których dane dotyczą, może zostać uznane za wystarczająco niskie, że indywidualne powiadomienie nie jest wymagane — a w niektórych interpretacjach incydent może w ogóle nie spełniać definicji naruszenia wymagającego zgłoszenia.

Architektura zero-knowledge sprawia, że ma to praktyczne znaczenie. W systemie zero-knowledge serwer nigdy nie przechowuje klucza deszyfrującego. Atakujący, który uzyska dostęp do serwera, otrzymuje wyłącznie szyfrogramat — obliczeniowo nieodróżnialny od losowego szumu. Nie ma jawnych rekordów do odczytania, nie ma kluczy do kradzieży. Jeśli chcesz najpierw złapać ogólny model, zacznij od tekstu jak działa szyfrowanie zero-knowledge.

Ta różnica ma znaczenie już podczas reakcji na incydent. W klasycznym systemie pierwsze pytanie brzmi zwykle, czy czytelne dane osobowe opuściły środowisko. W systemie zero-knowledge analiza startuje z innego punktu: atakujący mógł pozyskać zapisane obiekty, ale nie środek do ich interpretacji. Obowiązki raportowe nadal zależą od faktów, ale techniczna narracja od pierwszej godziny śledztwa jest wyraźnie mocniejsza. Dla kancelarii, notariuszy i biur rachunkowych ten argument przekłada się też bezpośrednio na proces obsługi klienta, co opisuję we wpisie dlaczego secure sharing jest przewagą konkurencyjną firm usług profesjonalnych.

Wynik: to, co w innym przypadku byłoby kryzysem wymagającym zespołów ds. komunikacji kryzysowej, zgłoszeń regulacyjnych i eskalacji na poziomie zarządu, staje się incydentem technicznym. Łatasz podatność, dokumentujesz, do czego atakujący uzyskał dostęp (zaszyfrowane dane bez klucza) i analiza naruszenia stwierdza, że żadne dane osobowe nie zostały skompromitowane w czytelnej formie. W praktyce właśnie dlatego usługi typu secure file drop są strukturalnie bezpieczniejsze niż platformy przechowujące pliki w plaintext.

To nie jest porada prawna — Twój IOD i radca prawny muszą ocenić konkretne fakty. Ale architektura ma ogromne znaczenie w scenariuszach reagowania na naruszenia.