Dane osobowe: co zrobić po ataku hakerów

Każdy, kto uzyska informację o przejęciu jego danych osobowych, powinien zmienić hasła dostępowe do wszystkich serwisów, wymienić dowód osobisty, a także sprawdzić swoją zdolność kredytową. Pozwoli to zminimalizować ryzyko zaciągnięcia kredytu na jego koszt – radzi prawnik.

Publikacja: 30.07.2016 14:00

Coraz częściej dane osobowe powierzone firmom, które opowiadają za ich bezpieczeństwo, wpadają w nie

Coraz częściej dane osobowe powierzone firmom, które opowiadają za ich bezpieczeństwo, wpadają w niepowołane ręce. Ostatnio jednemu z operatorów telekomunikacyjnych hakerzy ukradli m.in. imiona, nazwiska, pełne adresy, numery telefonów i rachunków bankowych, a nawet numery PESEL i dowodów osobistych

Foto: 123RF

Coraz częściej infrastruktura teleinformatyczna administratorów danych osobowych staje się celem ataków cyberprzestępców. W efekcie zarówno administratorzy, jak i osoby, których dane zostały bezprawnie pozyskane, całkowicie tracą kontrolę nad sposobem i zakresem ich przetwarzania. Ważne jest w takiej sytuacji, aby jak najszybciej podjąć przeciwdziałanie nielegalnemu wykorzystaniu tych danych w celach przestępczych.

Udostępnianie danych osobowych dostawcom usług za pośrednictwem internetu, choć konieczne ze względu na coraz powszechniejszą informatyzację procesu zawierania umów, niesie z sobą ryzyko, o czym przekonali się ostatnio chociażby klienci jednego z operatorów telekomunikacyjnych.

W wyniku przeprowadzonego na początku lipca ataku na infrastrukturę teleinformatyczną jednego z operatorów uzyskano bezprawnie dane osobowe zarówno klientów, jak i potencjalnych odbiorców usług. W wyniku tego utracono całkowicie kontrolę nad łącznie 18 GB danych obejmujących między innymi imiona, nazwiska, pełne adresy, numery telefonów i rachunków bankowych, adresy e-mail, a nawet numery PESEL i numery dowodów osobistych.

W związku z tym pojawia się pytanie, jak powinien postępować przezorny klient, aby dane osobowe nie dostały się w niepowołane ręce oraz jakie działania może lub powinien podjąć, kiedy jego dane staną się już przedmiotem ataku.

Narzucona zgoda

W wyniku postępującej informatyzacji procesu zawierania umów i świadczenia usług na odległość normą stało umieszczanie danych w systemach teleinformatycznych, niezależnie od tego, w jaki sposób została zawarta umowa. Konsument chcący zawrzeć umowę z dostawcą usług telekomunikacyjnych zmuszony jest udostępnić swoje dane osobowe w zakresie niezbędnym do realizacji umowy i operator nie musi uzyskiwać jego zgody na przetwarzanie danych w tym celu. Uwalnia go od tego ustawa o ochronie danych osobowych. Nawet jeśli konsument nie wyrazi zgody, i tak trafią one do systemów teleinformatycznych w związku z wykonywaniem umowy, którą podpisał.

Między innymi z tego względu to na odbiorców tych danych osobowych zostały nałożone rygorystyczne i egzekwowane przez generalnego inspektora ochrony danych osobowych obowiązki związane z zapewnieniem bezpieczeństwa gromadzonych danych (np. obowiązek wdrożenia procedur ochrony danych i odpowiednich zabezpieczeń informatycznych). Skoro dostawca usług wymaga od klienta, żeby ten przekazał mu cały wachlarz identyfikujących go danych osobowych, to ma obowiązek zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć je przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych).

Kto i kiedy ponosi odpowiedzialność

Ustawa o ochronie danych osobowych nie wprowadza jednak absolutnej odpowiedzialności firm za bezpieczeństwo powierzonych im danych osobowych. Przepisy przewidują jedynie, jakie wymagania firma musi spełnić, aby uznać ją za przestrzegającą bezpieczeństwa danych osobowych.

Jest to między innymi wdrożenie odpowiednich rozwiązań informatycznych (na przykład systemu serwerowego umożliwiającego zarządzanie zasobami i użytkownikami, systemu automatycznego i systematycznego tworzenia kopii zapasowych, monitorowanego łącza internetowego), stworzenie i dokumentowanie procedur bezpiecznego przetwarzania, prowadzenie rejestru osób dopuszczonych do przetwarzania danych, rejestrowanie zbiorów danych osobowych w GIODO bądź u specjalnie powołanego w tym celu administratora bezpieczeństwa informacji.

Spełnienie tych i innych wymagań ustawowych powoduje, że nawet jeśli administrator padnie ofiarą ataku hakerskiego wymierzonego w przetwarzane przez niego dane, to nie będzie ponosił odpowiedzialności. Oczywiście nie wyłącza to obowiązku poinformowania o ataku GIODO oraz osoby, której dane osobowe zostały bezprawnie przejęte (jeżeli może mieć to niekorzystny wpływ na jego prawa). Wymóg ten wynika z art. 174a prawa telekomunikacyjnego i w obu przypadkach zawiadomienie powinno nastąpić nie później niż w terminie trzech dni od stwierdzenia naruszenia bezpieczeństwa danych.

Dopiero stwierdzenie, że administrator nie miał wdrożonych procedur i zabezpieczeń wymaganych powszechnie obowiązującymi przepisami prawa, albo pomimo ich wdrożenia nie przestrzegał ich, otwiera drogę do pociągnięcia go do odpowiedzialności – i to zarówno karnej, jak i cywilnej.

Przede wszystkim stosownie do art. 51 ust. 1 ustawy o ochronie danych osobowych administrator zbioru danych, który umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Ponadto jeżeli administrator w sposób zawiniony umożliwiła dostęp do nich osobom nieuprawnionym (na przykład poprzez niestosowanie odpowiednio zaawansowanych technicznie zabezpieczeń), klienci będą mogli dochodzić od niej zadośćuczynienia, a po doznaniu szkody majątkowej – także odszkodowania. Podstawą tych roszczeń nie będą jednak przepisy ustawy o ochronie danych osobowych, ale przepisy kodeksu cywilnego o ochronie dóbr osobistych.

Co zrobić po ataku

Niezależnie od kwestii odpowiedzialności administratora za bezprawne udostępnienie lub niewłaściwe zabezpieczenie danych pojawia się też pytanie, jak powinien zachować się klient, którego dane wyciekły. W pierwszej kolejności powinien zwrócić się do administratora z wnioskiem o przekazanie możliwie najbardziej szczegółowych danych o dokonanym ataku, w tym informacji o tym, jakie dane zostały przejęte oraz jakie były realne przyczyny ataku. Często powstaje pytanie: skąd dany podmiot w ogóle posiadał dane konkretnej osoby, i z takim zapytaniem również można się zgłosić.

Niezwłocznie po uzyskaniu informacji o przejęciu danych należy dokonać zmiany haseł dostępowych do wszelkich serwisów, w których klient używał hasła tożsamego z tym wykorzystywanym do kontaktu z administratorem będącym ofiarą ataku.

Należy rozważyć także zmianę tych danych osobowych, która jest możliwa. Przykładowo, choć ustawa o dowodach osobistych nie wymienia w art. 46 bezprawnego udostępnienia numeru dowodu osobistego jako podstawy jego wymiany, to praktyka uczy, że wydanie takiego nowego dowodu osobistego jest możliwe.

Aby zminimalizować ryzyko, że nasze dane osobowe posłużą na przykład do zaciągnięcia pożyczki, można skorzystać z usług instytucji weryfikujących zdolność kredytową osób ubiegających się o taką pożyczkę.

Choć jest to usługa odpłatna, klient zostanie powiadomiony, gdy któraś z instytucji udzielających pożyczek zapyta o zdolność kredytową klienta. Będzie to sygnał, że ktoś bezprawnie chce wykorzystać nasze dane osobowe w celu zaciągnięcia zobowiązania finansowego.

Autor jest prawnikiem w Kancelarii Zouner Legal sp.k.

Już dziś zgłoś udział w warsztatach "Cybercrime 2016". Szczegóły

Coraz częściej infrastruktura teleinformatyczna administratorów danych osobowych staje się celem ataków cyberprzestępców. W efekcie zarówno administratorzy, jak i osoby, których dane zostały bezprawnie pozyskane, całkowicie tracą kontrolę nad sposobem i zakresem ich przetwarzania. Ważne jest w takiej sytuacji, aby jak najszybciej podjąć przeciwdziałanie nielegalnemu wykorzystaniu tych danych w celach przestępczych.

Udostępnianie danych osobowych dostawcom usług za pośrednictwem internetu, choć konieczne ze względu na coraz powszechniejszą informatyzację procesu zawierania umów, niesie z sobą ryzyko, o czym przekonali się ostatnio chociażby klienci jednego z operatorów telekomunikacyjnych.

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Opinie Prawne
Prof. Pecyna o komisji ds. Pegasusa: jedni mogą korzystać z telefonu inni nie
Opinie Prawne
Joanna Kalinowska o składce zdrowotnej: tak się kończy zabawa populistów w podatki
Opinie Prawne
Robert Gwiazdowski: Przywracanie, ale czego – praworządności czy władzy PO?
Opinie Prawne
Ewa Szadkowska: Bieg z przeszkodami fundacji rodzinnych
Opinie Prawne
Isański: O co sąd administracyjny pytał Trybunał Konstytucyjny?