2026-05-10
Zero-KnowledgeRODO, szyfrowanie zero-knowledge i problem powiadamiania o naruszeniu danych
RODO wymaga powiadamiania o naruszeniu w ciągu 72 godzin. Szyfrowanie zero-knowledge zmienia rachunek — bo naruszenie szyfrogramatu może nie być naruszeniem danych osobowych.
Powiadamianie o naruszeniu RODO — jak zero-knowledge zmienia równanie
Gdy serwer przechowuje tylko szyfrogramat, naruszenie to zdarzenie techniczne — nie kryzys regulacyjny.
Artykuł 33 RODO zobowiązuje administratorów do powiadomienia organu nadzorczego w ciągu 72 godzin od wykrycia naruszenia ochrony danych osobowych. Artykuł 34 może dodatkowo wymagać powiadomienia poszkodowanych osób. Obowiązki te niosą poważne konsekwencje reputacyjne i finansowe — kary do 20 milionów euro lub 4% rocznego globalnego obrotu.
Co kwalifikuje się jako naruszenie? Motyw 83 RODO i artykuł 32 wskazują na szyfrowanie jako czynnik łagodzący. Kluczowy przepis: jeśli dane osobowe są zaszyfrowane w sposób czyniący je niezrozumiałymi dla nieupoważnionych stron, ryzyko dla osób, których dane dotyczą, może zostać uznane za wystarczająco niskie, że indywidualne powiadomienie nie jest wymagane — a w niektórych interpretacjach incydent może w ogóle nie spełniać definicji naruszenia wymagającego zgłoszenia.
Architektura zero-knowledge sprawia, że ma to praktyczne znaczenie. W systemie zero-knowledge serwer nigdy nie przechowuje klucza deszyfrującego. Atakujący, który uzyska dostęp do serwera, otrzymuje wyłącznie szyfrogramat — obliczeniowo nieodróżnialny od losowego szumu. Nie ma jawnych rekordów do odczytania, nie ma kluczy do kradzieży. Jeśli chcesz najpierw złapać ogólny model, zacznij od tekstu jak działa szyfrowanie zero-knowledge.
Ta różnica ma znaczenie już podczas reakcji na incydent. W klasycznym systemie pierwsze pytanie brzmi zwykle, czy czytelne dane osobowe opuściły środowisko. W systemie zero-knowledge analiza startuje z innego punktu: atakujący mógł pozyskać zapisane obiekty, ale nie środek do ich interpretacji. Obowiązki raportowe nadal zależą od faktów, ale techniczna narracja od pierwszej godziny śledztwa jest wyraźnie mocniejsza. Dla kancelarii, notariuszy i biur rachunkowych ten argument przekłada się też bezpośrednio na proces obsługi klienta, co opisuję we wpisie dlaczego secure sharing jest przewagą konkurencyjną firm usług profesjonalnych.
Wynik: to, co w innym przypadku byłoby kryzysem wymagającym zespołów ds. komunikacji kryzysowej, zgłoszeń regulacyjnych i eskalacji na poziomie zarządu, staje się incydentem technicznym. Łatasz podatność, dokumentujesz, do czego atakujący uzyskał dostęp (zaszyfrowane dane bez klucza) i analiza naruszenia stwierdza, że żadne dane osobowe nie zostały skompromitowane w czytelnej formie. W praktyce właśnie dlatego usługi typu secure file drop są strukturalnie bezpieczniejsze niż platformy przechowujące pliki w plaintext.
To nie jest porada prawna — Twój IOD i radca prawny muszą ocenić konkretne fakty. Ale architektura ma ogromne znaczenie w scenariuszach reagowania na naruszenia.
Pytania o RODO i szyfrowanie
Czy szyfrowanie zero-knowledge gwarantuje, że nie będę musiał powiadamiać na mocy RODO?
Nie automatycznie. Analiza zależy od siły szyfrowania, praktyk zarządzania kluczami i konkretnych faktów incydentu. Zero-knowledge znacząco zmniejsza ryzyko, ale IOD musi przeprowadzić ocenę każdego przypadku z osobna.
Czy mbox.pl działa jako administrator czy procesor danych na mocy RODO?
W przypadku treści przesyłanych przez naszą usługę działamy jako procesor — obsługujemy szyfrogramat w Twoim imieniu. Ponieważ przechowujemy tylko szyfrogramat i nigdy klucz, nie możemy uzyskać dostępu do bazowych danych osobowych.
Które przepisy RODO są najbardziej istotne dla zaszyfrowanych wiadomości?
Artykuł 32 (bezpieczeństwo przetwarzania), artykuł 33 (powiadomienie organu nadzorczego), artykuł 34 (powiadomienie osób, których dane dotyczą) i motyw 83 (szyfrowanie jako środek łagodzenia ryzyka).
Jeśli wycieknie szyfrogramat, czy to nadal jest incydent bezpieczeństwa?
Tak — ale niekoniecznie ten sam rodzaj incydentu co ekspozycja plaintextu. Włamanie na serwer, kradzież poświadczeń czy nieautoryzowany dostęp do bazy nadal są zdarzeniami bezpieczeństwa wymagającymi analizy. Zero-knowledge zmienia głównie prawdopodobny wpływ na osoby, których dane dotyczą, a więc także ocenę regulacyjną.
Czytaj dalej
Więcej z kategorii Zero-Knowledge
2026-03-12
Znak # w linku, który chroni Twój klucz szyfrowania
Mały symbol krzyżyka w bezpiecznym linku to nie przypadek — to mechanizm techniczny, dzięki któremu nawet my nie możemy przechwycić klucza deszyfrującego.
2026-03-04
Jak działa szyfrowanie Zero-Knowledge?
Proste wyjaśnienie, jak Twoje dane pozostają prywatne — i dlaczego nawet my nie możemy odczytać Twoich wiadomości.