Wyciek danych osobowych nie jest nowym zjawiskiem, z którym borykają się przedsiębiorcy, instytucje czy też inne organizacje posiadające zbiory danych. Natomiast staje się coraz powszechniejszy a konsekwencje mogą być bardzo dotkliwe. Głównie wyciek danych osobowych dotyczy zbiorów przechowywanych w wersji elektronicznej np. na platformach, w aplikacjach.
Czy wyciek danych osobowych jest naruszeniem?
W sytuacji wycieku danych osobowych mamy do czynienia z naruszeniem ochrony danych osobnych, co wynika wprost z definicji. Zgodnie z treścią art. 4 pkt. 12 Rozporządzenia o ochronie danych osobowych1 „naruszenie ochrony danych osobowych” – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Bez wątpienia wyciek danych osobowych w firmie, do którego może dojść w każdym momencie i dotyczyć każdego, to:
- ryzyko naruszenia praw i wolności osób, których dane dotyczą,
- ryzyko nałożenia administracyjnej kary pieniężnej w wysokości do 4 % światowego obrotu za poprzedni rok obrachunkowy,
- obowiązek naprawienia szkody,
- odpowiedzialność cywilna,
- ryzyko refutacyjne m.in. informacja zamieszczona na Twitter, na portalach takich jak m.in. Niebezpiecznik, Zaufana Trzecia Strona, portalach informacyjnych.
Przypadki wycieku danych osobowych w Polsce od maja 2018 r.
Ostatnimi czasy w Internecie możemy przeczytać o wielu przypadkach wycieku danych osobowych liczonych w setkach rekordów.
I. MORELE.NET – najwyższa kara RODO 2,8 mln zł
Obecnie Urząd Ochrony Danych Osobowych m.in. za wyciek bazy danych użytkowników portalu morele.net wydał decyzję o nałożeniu kary w wysokości ok. 2,8 mln zł. Link do decyzji
II. Krajowa Szkoła Sądownictwa i Prokuratury – wyciek danych osobowych ok 50 tys. osób
Wg. informacji, które pojawiły się m.in. na portalu niebezpiecznik.pl czy też zaufanatrzeciastrona.pl w sieci krążą obecnie dane osobowe ponad 50 tysięcy polskich prokuratorów, sędziów i asesorów. Krajowa Szkoła Sądownictwa i Prokuratury (jest to jedyna centralna instytucja odpowiedzialna za szkolenie wstępne oraz ustawiczne kadr sądownictwa i prokuratury w Polsce. Działa pod nadzorem Ministerstwa Sprawiedliwości.
Jak wynika z ustaleń wspomnianych portali naruszenie może dotyczyć danych osobowych osób, które zalogowały się na platformie szkoleniowej do dnia 21 lutego 2020 r. i obejmować takie dane jak:
- Imiona i nazwiska
- Numery telefonów
- Adresy e-mail
- Miejsce zamieszkania
- Daty pierwszego i ostatniego logowania
- Jednostka pracy
- Hasła (zaszyfrowane)
Zgodnie z obowiązkiem z art. 34 Rozporządzania RODO, Szkoła zawiadomiła osoby o naruszeniu ochrony danych osobowych oraz wskazała możliwe konsekwencje naruszenia ochrony danych osobowych. Warto także dodać, iż wyciek tych danych może mieć także negatywne konsekwencje, w sytuacji, gdy dane te trafią np. do osób, którzy zostali skazani przez sędziego albo oskarżeni przez prokuratora, którego dane znajdują się w Internecie.
III. Sklep internetowy foto-video – nieuprawniony dostęp do danych klientów
Branża e-commerce nie ma łatwo. O czym przekonał się nie tylko spółka morele.net. Tym razem problem z wyciekiem danych ma jedne z największych sklepów internetowych foto-video. Wg. informacji na portalach zajmujących się cyber zagrożeniami. Klienci sklepu otrzymali zawiadomienie, iż w wyniku celowego działania osób trzecich nastąpił nieautoryzowany dostęp do danych dostępowych do sklepu części klientów.
Dane osobowe, których dotyczyło naruszenie:
- Adres e-mail
- Hasło
Wg. informacji ze sklepu „istnieje także ryzyko, że wyciekły” takie dane osobowe jak:
- Imię i nazwisko
- Adres dostawy
- Numer telefonu
IV. MoneyMan.pl – wyciek danych ponad 260 tys. osób
MoneyMan.pl to serwis pożyczkowy, który także w ostatnim czasie ma problem z wyciekiem danych. Sprawa jest już zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych, który podjął działania w celu przeanalizowania sytuacji. Informacja o wycieku pojawiła się także na stronie UODO.
Wg. informacji umieszczonej na portalu Zaufana Trzecia Strona wyciek danych dotyczy ponad 260 tysięcy klientów.
Jakie dany osobowe zostały pozyskane?
- Imię i nazwisko
- Adres e-mail
- PESEL
- Nr dowodu osobistego lub paszportu
- Hasło
- Numer rachunku bankowego
Jak postępować w przypadku wycieku danych osobowych?
W sytuacji, jeżeli stwierdzisz, iż doszło do naruszenia ochrony danych osobowych należy:
- Odnotować naruszenie w Rejestrze naruszeń
- Podjąć działania w celu zabezpieczenia danych osobowych – wdrożenie środków zaradczych
- Powiadomić osoby, których dane osobowe mogły zostać naruszone (art. 34 Rozporządzania RODO) – podmiotów danych
- Złożyć zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych (art. 33 Rozporządzenia RODO)
W dobie Internetu powinniśmy pamiętać o właściwej komunikacji, tak abyśmy zadbali także o właściwy wizerunek firmy.
1 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)