Generalny Inspektor Ochrony Danych Osobowych uczula administratorów, że wstawianie skryptów, czyli krótkich programów komputerowych, umożliwiających np. zbieranie danych statystycznych czy pośrednictwo w sprzedaży reklam, w prowadzonych przez tych administratorów systemach informatycznych, może prowadzić do wykradania danych.
Ma to potwierdzać przypadek zaobserwowany i zgłoszony administratorowi danych przez klienta jednego z banków.
Otóż klient ten zauważył, że dane dotyczące kwoty operacji wykonywanych przez niego na rachunku bankowym przekazywane są z systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie usług analitycznych i doradczych związanych z badaniem rynku świadczonych usług. Firma miała analizować w tym celu oglądalność strony internetowej banku, a tymczasem, jak zauważył klient, uzyskiwała również dostęp do szczegółów wykonywanych przez nich operacji finansowych.
Zaistniałe zdarzenie może świadczyć o luce w stosowanych przez ten bank procedurach zarządzania bezpieczeństwem. Umożliwiła ona bowiem podmiotowi trzeciemu (z którym bank zawarł umowę o współpracy) zmodyfikowanie procesu przetwarzania do postaci wykraczającej poza dopuszczalny przez bank zakres – pisze GIODO.
GIODO przypomina, iż obowiązkiem administratorów danych przetwarzających dane osobowe przy użyciu stron internetowych, za pośrednictwem których świadczone są różnego rodzaju publicznie dostępne usługi (m.in. urzędów, banków, sklepów internetowych), jest zapewnienie pełnej kontroli nad tym, jakie dane osobowe, nad którymi sprawują nadzór, są przetwarzane oraz komu i w jakim zakresie są udostępniane. Przy czym pełna kontrola oznacza nie tylko kontrolę odnoszącą się wyłącznie do przetwarzania realizowanego przez aplikacje administratora danych (np. banku), ale również kontrolę przetwarzania, do którego dochodzi w wyniku działania programów stron trzecich (skryptów) wstawianych przez administratora danych do swojej aplikacji w celu np. zbierania danych statystycznych, badania rynku lub do zamieszczania reklam przez wyspecjalizowane podmioty w ramach sprzedanej im powierzchni reklamowej. Skrypty takie mogą być umieszczane albo bezpośrednio w aplikacji administratora danych, co jest często stosowaną praktyką, albo na serwerach podmiotów trzecich i za pośrednictwem odnośników (linków) łączone funkcjonalnie z systemem administratora danych. Rozwiązanie takie skutkuje często brakiem kontroli administratora danych nad działaniem tych skryptów, zwłaszcza nad tym, kiedy i w jakim celu kod źródłowy skryptu został zmodyfikowany przez podmiot nim zarządzający. Wielu administratorów danych, którzy doświadczają takich sytuacji, usprawiedliwia się tym, że nie mają wpływu na działanie skryptów, którymi zarządza firma, której oni udostępnili jedynie miejsce na swojej stronie internetowej (np. na potrzeby zamieszczania reklam). GIODO przypomina jednak, że sytuacja taka nie może mieć miejsca.
