Nie takie RODO straszne, jak o nim mówią – czyli co wydarzyło się 9 miesięcy po

Ile miał kosztować, a ile kosztuje wyciek danych

Wiele firm, zwłaszcza niewielkich, dało się nabrać na kupno niszczarki „zgodnej z RODO” i inne pomysły. Naciągacze uwielbiali straszyć przedsiębiorców karami, które mogą wynosić 20 milionów euro. Okazuje się, że rzeczywistość nie jest aż tak brutalna, a wyciek 800 tysięcy haseł użytkowników to „koszt” 20 tysięcy euro.

Jesienią ubiegłego roku niemiecki portal randkowy Knuddels.de padł ofiarą hakerów. Wykradli dane blisko dwóch milionów kont użytkowników. Dokładnie chodziło o 808 tysięcy adresów e-mail oraz 1 872 000 loginów i haseł. Przyznajcie sami, że to ogromna baza danych, a na dodatek niezwykle wrażliwa. W końcu na tego typu platformach nie rozmawia się przecież o liście zakupów na kolację. Dane okazały się łakomym kąskiem dla przestępców, ponieważ nie były odpowiednio zaszyfrowane i okazały się całkiem proste do wyciągnięcia z serwerów serwisu. W konsekwencji wszystkie wykradzione hasła trafiły do Internetu.

Nie wiadomo, ile związków się z tego powodu rozpadło. Wiadomo natomiast, jakie konsekwencje poniósł administrator serwisu. Ostatecznie administracja Knuddels.de została ukarana grzywną w wysokości 20 tysięcy euro. Wychodzi zaledwie kilka centów za jedno hasło. Do Waszej oceny pozostawiam kwestię, czy to dużo, czy mało.

Ograniczenia prawne, a może nadinterpretacja?

Ale do rzeczy. Rozporządzenie o Danych Osobowych ma na celu chronić prywatność i zapobiegać nadużyciom związanym z niewłaściwym wykorzystaniem naszych danych. Prywatnie większość z nas ta zmiana prawa cieszy, zawodowo – denerwują nas ograniczenia i obowiązki. Dzieje się tak dlatego, że nagminnie pojawiają się absurdalne sytuacje, a wynikają one w znacznej mierze z braku stosownej wiedzy oraz nadinterpretacji przepisów. Jeśli tylko oswoimy RODO, okaże się ono niegroźne dla otoczenia. Da się z nim żyć.

Wycieki danych w liczbach

Ogromnym osiągnięciem (i zaletą) RODO są przepisy nakazujące zgłaszanie wycieków. Już w pierwszym miesiącu do Urzędu wpłynęło ponad 320 zgłoszeń, czyli średnio ok. 10 dziennie. Ze względu na obowiązek powiadamiania również osób, których dane dotyczą, będziemy wiedzieli, gdzie i kiedy nastąpiło naruszenie poufności naszych danych, a więc nieuprawnione lub przypadkowe ujawnienie bądź udostępnienie, naruszenie integralności danych lub naruszenie dostępności danych. Z czasem stopniowo ilość zgłoszeń zaczęła spadać, ale po pierwszym półroczu stosowania RODO liczby dalej prezentują się pokaźnie.

• Do UODO w tym okresie wpłynęło 3700 skarg. Dla porównania, w całym ubiegłym roku było 2950 skarg.
• Wpłynęło też 1800 zgłoszeń dotyczących naruszeń ochrony danych, czyli o sytuacji, gdy administrator zgłasza urzędowi, że miał wyciek (to jest obowiązkowe). Nie należy tego mylić ze skargami, ani ze zgłaszaniem wycieków osobom, których dane dotyczą

W kilkunastu przypadkach Prezes UODO podjął działania z urzędu. Dotyczyło to naruszeń, które nie zostały zgłoszone przez administratorów, a o których organ dowiedział się z „donosu” bądź został o nich poinformowany przez inny organ. Można wnioskować z tego, że jak już się zdarzy, lepiej zgłaszać naruszenia.

Tego zdecydowanie nie lubimy…

Ciekawi jesteście, na jakie sytuacje najczęściej skarżą się ludzie?

• usuwanie danych osobowych – głównie odnoszą się one do sektora bankowego, firm zajmujących się windykacją należności, usług dostępnych online (portale społecznościowe, serwisy internetowe);
• wymuszanie zgody na przetwarzanie danych w celach marketingowych;
• przesyłanie przez firmy niechcianej korespondencji;
• wykonywanie niechcianych telefonów marketingowych;
• nieuprawnione udostępnianie danych osobowych osobie trzeciej;
• pozyskiwanie zbyt szerokiego zakresu danych osobowych;
• uzależnianie zawarcia umowy od wykonania lub udostępnienia kopii dokumentu tożsamości, zwłaszcza dowodu osobistego
• spełniania obowiązku informacyjnego;
• przetwarzania danych biometrycznych pracowników;
• stosowanie monitoringu wizyjnego;
• nieuprawnione udostępnianie danych osobowych w związku z realizacją obowiązków dotyczących dostępu do informacji publicznej (m.in. poprzez publikację w BIP dokumentów zawierających dane osobowe bez stosownej anonimizacji);
• wymiana danych osobowych pomiędzy podmiotami publicznymi.

Naruszenia – czyli co, jest zdecydowanie nie tak, jak być powinno

A naruszenia? Lista jest równie pokaźna, a dotyczyły one najczęściej:

• przesyłania dokumentacji administratora do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej);
• zagubienia/kradzieży nośników elektronicznych/komputerów (w wielu przypadkach okazuje się, że urządzenia te nie są zabezpieczone lub są zabezpieczone w sposób nieprawidłowy);
• nieprawidłowego niszczenia dokumentacji przez administratorów (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie administratora lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach);
• zagubienia dokumentacji papierowej przez administratora lub jego personel;
• ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora.

Obowiązek zgłaszania incydentów spowodował, że firmy znacznie większą uwagę przywiązują do ochrony danych – chyba właśnie na tym nam zależało. Nie chcemy, żeby nasze dane fruwały byle gdzie, wskutek czego jesteśmy nękani nadmierną ilością telefonów lub też aby oszust wziął pożyczkę na nasze dane lub wyłudził naszą kartę SIM.

Z drugiej strony, zawodowo obawiamy się, że nasz klient lub potencjalny klient będzie nas miał dosyć z powodu RODO. Nic bardziej błędnego. Pamiętaj, że wszystkie albo prawie wszystkie firmy przetwarzają dane osobowe i stykają się z tym samym problemem (obowiązki informacyjne, zgody, itp.). Dlatego też poważnie zainteresowanego naszą ofertą klienta nie zrazi konieczność udzielenia zgód – podejdzie do tego ze zrozumieniem, co więcej, będzie wiedział, że ma do czynienia z poważną firmą, która jest godna zaufania i będzie odpowiednio chroniła jego dane.

Autor: Agnieszka Wiśniewska, Kierownik Działu Ochrony Danych Osobowych i IT SEC