- Twój koszyk jest pusty Przeglądaj sklep
GDPR vs OSINT w 2026: Jak legalnie mapować cyfrowe ślady firmy
Autor: Piotr Oleksiak, Osintownia.pl | Data: Styczeń 2026
W erze RODO 2.0 OSINT stał się polem minowym – niezbędny do ochrony firm przed cyberzagrożeniami, ale pod lupą UODO za naruszenia prywatności. W 2025 r. kary za nielegalny monitoring przekroczyły 4% obrotu w polskich przedsiębiorstwach. Teza: legalny OSINT jest możliwy i kluczowy dla zgodności GDPR 2026.
Zmiany w GDPR 2026 (RODO 2.0)
Nowe regulacje UE (od stycznia 2026) zaostrzyły definicje danych osobowych – obejmują pseudonimizowane footprinty (IP, geolokacja z social media). Obowiązkowe DPIA dla OSINT-u powyżej 100 zapytań, zakaz masowego scrapingu bez zgody. W Polsce UODO wymaga dokumentowania źródeł w narzędziach OSINT – przykład kary: 2 mln zł dla firmy z Mazowsza za LinkedIn bez DPIA.
Legalne techniki OSINT
Używaj publicznych źródeł: KRS, CEIDG, social media bez logowania, WHOIS. Zgoda implikytna tylko dla danych jawnych – unikaj dark web bez OPSEC. Anonimizacja: VPN/Tor + VM (Tails OS), Proxychains. Dokumentuj w DPIA: „publiczne źródło, brak PII”. Integruj z SIEM dla audytu.
Case study: Wycieki w urzędzie miasta
W 2025 r. w urzędzie miasta X (Polska) pracownicy używali służbowych maili (@urzad.gov.pl) do kont randkowych (Tinder), zakupowych (Allegro), growych (Steam). Wyciek haseł via credential stuffing ujawnił dostęp do korporacyjnych skrzynek – brak MFA mimo YubiKey od NASK. Ryzyko: ransomware na PESEL-e.
Lekcja OSINT: Legalny rekonesans (theHarvester, Have I Been Pwned) wykryłby to wcześniej. GDPR OK: publiczne źródła + DPIA z minimalizacją danych. Wdrożono „no reuse passwords”.
Checklista zgodności: 10 kroków do legalnego OSINT
| Krok | Narzędzie | Ryzyko GDPR | Mitigacja |
|---|---|---|---|
| 1. DPIA | UODO template | Brak oceny | Dokument PDF |
| 2. Źródła | KRS/CEIDG | Prywatne dane | Tylko jawne rejestry |
| 3. Anonimizacja | VPN/Tor | IP tracking | Proxy rotation |
| 4. Dokumentuj | OSINT Logger | Masowe dane | Metadata |
| 5. Minimalizacja | theHarvester | PII collection | Emails/domeny |
| 6. Zgoda | Polityka DPIA | Brak podstawy prawnej | Dokumentacja zgody |
| 7. Audyt | Maltego CE | Niesprawdzone tools | GDPR compliance check |
| 8. Szkolenia | Osintownia.pl | Brak kompetencji | Certyfikowane moduły |
| 9. Raportowanie | UODO portal | Opóźnienie 72h | Automatyczne alerty |
| 10. SOC | Spiderfoot | Brak integracji | Automatyzacja + retencja |
Podsumowanie i korzyści
Legalny OSINT zmniejsza incydenty o 70% (ENISA 2025). Zainwestuj w szkolenia – unikniesz kar UODO.
Zamów raport ekspozycji cyfrowej w Osintownia.pl – kontakt@osintownia.pl