Rz: Uber podał właśnie, że w 2016 r. wyciekły dane 70 tys. pasażerów i kierowców w Polsce. To dużo?
Łukasz Olejnik: W obliczu 57 mln na świecie i milionów w Europie sama liczba 70 tys. może nie wyglądać groźnie, ale taki problem jest zawsze poważny. Mowa o danych konkretnych ludzi, choć przy tej skali przecież zaciera się ten indywidualny charakter. Głównym problemem jest jednak sposób zarządzania tym incydentem, który staje się modelowym przykładem, delikatnie mówiąc, nie najlepszych praktyk.
Zdaniem Ubera zatrudnieni przez firmę zewnętrzni eksperci ds. kryminalistyki stwierdzili, że nie zostały ujawnione historie lokalizacji przejazdów, numery kart kredytowych, numery kont bankowych ani daty urodzenia pasażerów. I pasażerowie nie muszą podejmować żadnych działań. A pan co by poradził?
Szczęśliwie mówi się, że te wymienione wrażliwe dane nie wyciekły. W ogólności użytkownicy mogą jednak stosunkowo niewiele. Zwłaszcza jeśli dowiadują się o wyciekach późno. Pozostaje im wierzyć w profesjonalizm administratora danych oraz ramy zabezpieczeń oferowanych przez państwo. Można jednak świadomie podejmować decyzję o wyborze dostawcy usług.
W maju 2018 r. wejdzie unijne rozporządzenie o ochronie danych osobowych (RODO). Czy gdyby już obowiązywało, Uber mógłby postąpić tak samo, czyli powiadomić o wycieku z takim opóźnieniem?
RODO faktycznie wymaga zgłaszania naruszeń prywatności i ochrony danych. W wielu krajach to nowość, ale już w 2016 r. ramy regulacyjne krajów zachodniej Europy i USA przewidywały konieczność zgłaszania w pewnych przypadkach naruszeń regulatorom. Jak więc widać, w sytuacjach brzegowych może być trudno stwierdzić, co faktycznie zmieniłoby tu RODO systemowo. Poza oczywiście ogólnymi zachętami do kulturowej zmiany podejścia do prywatności danych użytkowników. Do tego trzeba jednak dojrzeć. W RODO faktycznie są jednak mechanizmy motywujące do takich zmian.
Dr Łukasz Olejnik, konsultant i badacz cyberbezpieczeństwa i prywatności, afiliowany przy Center for Information Technology Policy Uniwersytetu Princeton.
