Średni koszt naruszenia bezpieczeństwa danych może kosztować firmę 4 mln dolarów. W każdej sekundzie z firm wycieka ok. 200 rekordów danych. Dotyczy to nawet 80 proc. podmiotów, które w ciągu ostatniego roku doświadczyły incydentu związanego z bezpieczeństwem swojej sieci.

Wyciek danych osobowych może się wiązać z utratą haseł dostępu do e-bankowości, profilu zaufanego czy portali społecznościowych. Grozi kradzieżą wirtualnej tożsamości, zainfekowaniem urządzeń, szpiegowaniem firmy. Konsekwencją wycieku danych osobowych jest m.in. wyczyszczenie konta z oszczędności czy zaciągnięcie pożyczki w aplikacji mobilnej banku.

Według TSUE w Polsce i innych krajach UE ochrona danych osobowych pozostawia wiele do życzenia, a prawo wciąż pozwala zbyt daleko ingerować w prywatność obywateli.

Czytaj więcej

UODO bada okoliczności wycieku danych sygnalistów z GIOŚ

Szukanie po omacku

Według badań przeprowadzonych przez Krajowy Rejestr Długów, Urząd Ochrony Danych Osobowych i ChronPESEL.pl co trzeci Polak nie wie, kto w razie wycieku danych powinien się zająć neutralizacją jego negatywnych skutków. 70 proc. z nas nie wie, co zrobić i dokąd się udać. Na służby ścigania wskazuje 69 proc. badanych, na firmę lub instytucję, która przetwarzała dane osobowe – 60 proc.

Jak mówi Jacek Młotkiewicz, dyrektor Departamentu Kontroli i Naruszeń UODO, niepokojące jest, że prawie 35 proc. osób uważa, że problem z wyciekiem ich danych muszą rozwiązać sami. A spora grupa osób może w takiej sytuacji poczuć się pozostawiona sama sobie. – Administrator danych powinien w aktywny sposób i na każdym etapie przetwarzania dbać o bezpieczeństwo danych. To on przede wszystkim ponosi odpowiedzialność za nieprzestrzeganie przepisów RODO, zwłaszcza gdy dojdzie do naruszenia ochrony danych osobowych np. w postaci wycieku – tłumaczy Jacek Młotkiewicz.

69 proc. badanych uważa, że zna procedury dotyczące ochrony danych osobowych w ich firmie. Ale jak mówi Bartłomiej Drozd, ekspert ChronPESEL.pl., blisko dwie trzecie ankietowanych mówi, że szkolenia na temat bezpieczeństwa danych osobowych nie są organizowane regularnie, od czasu do czasu, albo tylko na rozpoczęcie współpracy. Według adwokatki Elżbiety Niezgódki dane te są dowodem na to, że firmowe szkolenia z ochrony danych osobowych są fikcją, a firmy realnie ich nie chronią. Nie uczą też, czego nie należy robić.

Budowa świadomości

– Bez bezrefleksyjnego kopiowania danych na niezaszyfrowane pendrive’y. Bez czytania poufnych dokumentów w komunikacji publicznej. Bez udzielania nieformalnych referencji o byłych pracownikach. Taka zbudowana od podstaw świadomość, że ochrona danych osobowych, tak samo jak wszelkich wrażliwych informacji firmowych, jest czymś naturalnym, oczywistym, ułatwia zarządzanie sytuacją kryzysową – wyjaśnia adwokatka.

Gdy dojdzie do wycieku danych, łatwiej i szybciej będzie można zidentyfikować słaby punkt, naprawić go i ocenić ryzyko. To natomiast obowiązki i odpowiedzialność pracodawcy jako administratora.

Sprawę utrudnia fakt, że bezpieczeństwo baz danych nie zależy wyłącznie od nas. Dlatego istotne jest też, żeby wiedzieć, do kogo się zgłosić i jakie działania podjąć.

– Przykładowo, jeśli wśród informacji, które wyciekły, są też dane osobowe, np. PESEL, należy jak najszybciej sprawdzić, czy ktoś nie próbował ich wykorzystać. Warto pomyśleć też nad uruchomieniem monitoringu aktywności kredytowej naszego numeru PESEL. Dzięki temu dowiemy się, gdy ktoś będzie chciał wyłudzić na niego pożyczkę lub inne zobowiązanie finansowe – wylicza ekspert ChronPESEL.pl.

Jak informuje UODO, osoby, które mają podejrzenie, że mogły paść ofiarami kradzieży danych np. z dokumentów, powinny w pierwszej kolejności zgłaszać się na policję. Jeżeli działanie nie dotyczy naszych danych, ale mamy podejrzenie, że narusza ono ogólne zasady przetwarzania danych przez administratora, można o tym zawiadomić UODO. Organ nadzorczy może wówczas przeprowadzić postępowanie z urzędu.

Opinia dla „Rzeczpospolitej”
Jan Nowak, prezes Urzędu Ochrony Danych Osobowych

Prawie 1/3 osób pracujących zawodowo nie zna zasad ochrony danych osobowych obowiązujących w miejscu pracy. Ponadto 2/3 ankietowanych zapewnia, że szkolenia na temat bezpieczeństwa danych nie są przeprowadzane regularnie. Ponad 60 proc. oczekuje od administratorów rzetelnej informacji w przypadku wystąpienia naruszenia ochrony danych osobowych. Wszystkie te dane świadczą o tym, że musimy jeszcze większą uwagę przykładać do edukacji całego społeczeństwa, a zwłaszcza pracowników, inspektorów ochrony danych oraz administratorów. Postawa każdego z nas ma wpływ na budowanie bezpiecznego i kompletnego systemu ochrony danych osobowych.