Galopująca cyfryzacja naszego życia staje się faktem. Pandemia tylko przyspieszyła ten proces i z dnia na dzień zmusiła nawet największych sceptyków do odnalezienia się
w nowej rzeczywistości. Praca zdalna, nauka online, zakupy i porady lekarskie przez internet to już nasza codzienność. Czy wiemy, jak należycie zadbać o nasze dane w sieci?
A może nasi klienci przenieśli swoje biznesy do świata cyfrowego i musimy zadbać o to,
by w odpowiedni sposób przetwarzali powierzane im dane osobowe?
KAROLINA OLECHNOWICZ
LL.M., radca prawny, inspektor ochrony danych, specjalista z zakresu ochrony danych osobowych
Fot. Archiwum K. Olechnowicz
Niezależnie od tego, czy stoimy po stronie administratora, czy to my przekazujemy nasze dane w związku z korzystaniem z dobrodziejstw cyfrowego świata, wiedza na temat bezpieczeństwa danych w sieci jest niezwykle ważna.
GŁOŚNE INCYDENTY I WYSOKIE KARY
Z moich obserwacji wynika, że coraz więcej firm zaczyna zwracać uwagę na kwestię bezpieczeństwa przetwarzania danych. Kiedy rozpoczynaliśmy stosowanie przepisów RODO, wyraźnie zauważalny był podział na RODOsceptyków i RODOoptymistów. Ci pierwsi głośno negowali konieczność wdrażania w swoich firmach stosownych zasad i procedur, a także wprowadzenia i dostosowania zabezpieczeń do poziomu ryzyka. Uważali przede wszystkim, że UODO nie będzie przeprowadzał kontroli i nakładał kar, a ograniczy się do znikomej aktywności, jak jego poprzednik GIODO. Coś w tym stanowisku się jednak zmieniło. Zazwyczaj najskuteczniejszym motorem do działań jest wizja kary, stąd przypuszczenie, że to właśnie ten aspekt działania UODO ma obecnie największy wpływ na administratorów.
W ostatnich miesiącach regularnie docierają do nas informacje na temat poważnych naruszeń danych osobowych, które miały miejsce m.in. w dużych sklepach internetowych, firmach ubezpieczeniowych, wypożyczalniach samochodów, uczelniach wyższych czy nawet na platformie szkoleniowej KSSIP. W ślad za tymi publikacjami pojawiają się informacje o podejmowanych w tych sprawach czynnościach przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO), a finalnie o karach nakładanych na administratorów. A te mogą przerazić?
Dotychczas najwyższa kara w wysokości 2,830 mln zł została nałożona przez PUODO na firmę Morele.net. Administrator zaskarżył tę decyzję, jednak została utrzymana w mocy przez Wojewódzki Sąd Administracyjny w Warszawie. Polski organ ochrony danych ukarał administratora za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych 2,2 mln osób. Oznacza to, że firma nie dostosowała zabezpieczeń do ryzyka, które niosło za sobą przetwarzanie danych w sposób przyjęty w tej organizacji, skutkiem czego było włamanie do bazy danych oraz kradzież danych klientów. Jakie dane wyciekły? Imiona, nazwiska, adresy e-mail, hasła, a w niektórych przypadkach także numery PESEL i dane z dowodów tożsamości.
O tym, jak ważne są odpowiednie zabezpieczenia i procedury, świadczyć może z kolei historia naruszenia, do którego doszło w spółce ID Finance Poland, która prowadzi serwis MoneyMan.pl. W marcu 2020 r. Bob Diachenko, specjalista od cyberbezpieczeństwa, zawiadomił spółkę, że wykrył wyciek danych osobowych z serwisu. Wobec braku odpowiedzi ze strony spółki Diachenko poinformował o tym fakcie opinię publiczną za pośrednictwem serwisu Twitter. Krótko po tym baza zniknęła, a w jej miejscu pojawił się komunikat z żądaniem okupu. Dlaczego firma nie zareagowała natychmiast w sposób właściwy? Dlaczego nie zastosowała procedur, które powinny być wdrożone? Informację od Diachenki kierownictwo spółki przekazało do firmy IDFT, która była w tej relacji podmiotem przetwarzającym, sugerując jednak, że może być to smart phishing. Komunikat ten uśpił czujność i znacznie wydłużył czas właściwej reakcji, doprowadzając w efekcie do faktycznego przejęcia bazy danych części klientów. W tym przypadku były to adresy e-mail oraz hasła (otwartym tekstem), numery telefonów i adresy, a także dane o pożyczkach ponad 140 tys. klientów. Pod koniec ubiegłego roku UODO poinformował o nałożeniu kary w kwocie przekraczającej 1 mln zł.
Z kolei pewien związek sportowy został ukarany grzywną w kwocie 55 750,50 zł za opublikowanie na stronie internetowej danych osobowych prawie 600 sędziów. Ujawnione dane obejmowały imiona i nazwiska, dokładne adresy
i numery PESEL osób, którym przyznano licencję sędziego drogą internetową. Zdaniem organu, ujawniając je, administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszycia się pod te osoby w celu zaciągania pożyczek lub innych zobowiązań.
To tylko niektóre z decyzji PUODO, które związane są z nałożeniem grzywny za naruszenia wynikające z nieprawidłowego przetwarzania danych osobowych w sieci. Podkreślić należy przy tym, że kara ta nie musi kończyć wydatków administratorów związanych z atakiem, ponieważ osobom poszkodowanym na skutek naruszenia przysługuje także prawo do żądania odszkodowania lub zadośćuczynienia od administratora. Nie jestem zwolennikiem straszenia karami i potencjalnymi procesami sądowymi, jednak niekiedy taka forma przedstawienia administratorom konsekwencji zaniedbań w zakresie ochrony danych jest najskuteczniejszą metodą mobilizującą do działania.
CZŁOWIEK NAJSŁABSZYM OGNIWEM
Jak wynika z analizy publikowanych na stronie UODO opisów zdarzeń skutkujących wszczęciem postępowań przez organ, a także z doświadczeń moich i innych inspektorów ochrony danych, niezwykle częstą przyczyną naruszeń jest błąd ludzki. Zazwyczaj administratorzy koncentrują się na odpowiednich zabezpieczeniach technicznych i programistycznych oraz na ciągłym podążaniu za zmianami w tym zakresie. Jest to oczywiście postawa godna naśladowania, jednak nie można zapominać o właściwym przeszkoleniu pracowników przetwarzających dane i wypracowaniu w nich nawyków przestrzegania zasad bezpieczeństwa przyjętych w organizacji. Niestety często otrzymuję od moich klientów informacje o problemach wywołanych otworzeniem załącznika powodującego zainfekowanie systemu wirusem. Jeden nierozważny ruch pracownika powoduje wówczas szereg zdarzeń, których skutki są dla administratora bardzo poważne. Najczęściej ci pracownicy są przeszkoleni i wiedzą, że nie wolno otwierać im załączników pochodzących od podejrzanych nadawców, jednak zazwyczaj zdarza się to w natłoku obowiązków lub gdy nazwa nadawcy jest bardzo zbliżona do nazwy kontrahenta danej firmy czy instytucji. Zdarza się także, że pracownik pomyli się i wyśle wiadomość e-mailową zawierającą w załączniku dokument z danymi osobowymi do innego adresata lub wyśle e-mail do wielu odbiorców bez zastosowania opcji UDW (ukryta kopia) i w ten sposób ujawnia innym osobom pełne adresy e-mailowe pozostałych adresatów. Wydaje się, że są to drobne zdarzenia i nie trzeba robić z tego powodu problemów. Nic bardziej mylnego. Każda tego typu sytuacja, choćby w pierwszym momencie nie sprawiała wrażenia zdarzenia istotnego z punktu widzenia ochrony danych osobowych, powinna być dogłębnie przeanalizowana pod kątem zgłoszenia tego faktu do UODO. Decyzją z 9 grudnia 2020 r. PUODO stwierdził naruszenie przez TUiR WARTA S.A. przepisów RODO polegających na niezgłoszeniu PUODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, a także na niezawiadomieniu o zdarzeniu tych osób, których ono dotyczyło. W związku z tym nałożono na ubezpieczyciela karę pieniężną w wysokości 85 588 zł. Stan faktyczny był taki, że polisa została wysłana na błędny adres e-mail, jednak dokładnie taki adres (z błędem) został podany przez samego klienta. Fakt ten nie miał jednak dla organu znaczenia, ponieważ administrator, wiedząc o naruszeniu i jego możliwych konsekwencjach dla podmiotu danych, nie podjął odpowiednich kroków, do których był zobowiązany.
BEZPIECZEŃSTWO W SIECI WAŻNE
DLA KAŻDEGO
Zapewne większość z nas zdaje sobie sprawę, że bezpieczeństwo danych osobowych w sieci jest niezwykle ważne, jednak w życiu codziennym (zarówno w sferze osobistej, jak i zawodowej), wykonując w pośpiechu wiele czynności, nie dbamy o zabezpieczenie danych osobowych. Klikamy załączniki w sposób niemal automatyczny bez analizy pochodzenia wiadomości, nie szyfrujemy załączników, godzimy się, aby urządzenia zapamiętywały dane do logowania, by szybciej realizować zadania w różnych aplikacjach czy na stronach internetowych. Często nie czytamy klauzul informujących nas m.in. o tym, w jakim celu i w jaki sposób nasze dane będą przetwarzane i komu udostępniane. Godzimy się na przesyłanie nam treści marketingowych, aby kupić jakiś przedmiot w sklepie internetowym, choć sprzedawca nie ma prawa warunkować wykonania umowy od wyrażenia takiej zgody.
Pandemia spowodowała przeniesienie się do sieci wielu aspektów naszego życia, więc konieczność zadbania
o bezpieczne korzystanie z internetu nas nie ominie. Pamiętajmy, że obecnie dane osobowe są cenniejsze niż złoto. Dzięki nim można ukraść czyjąś tożsamość, osiągać duży zysk poprzez skuteczny marketing, a nawet wygrać wybory
w USA. Wartość danych osobowych w czasach totalnej cyfryzacji świata będzie nadal wzrastać, a to z kolei będzie napędzało pomysłowość cyberprzestępców. Skuteczna ochrona danych osobowych przetwarzanych w sieci nie może być już wyjątkiem, lecz musi stać się koniecznością.