Urząd Ochrony Danych Osobowych czeka na dokładniejsze wyjaśnienia od firmy ALAB, ale jak nieoficjalnie dowiedziała się „Rzeczpospolita” – w tej sprawie raczej nie obejdzie się bez kontroli w spółce. Z dużym prawdopodobieństwem może zakończyć się nałożeniem kary pieniężnej. Na razie sam administrator bada sprawę we współpracy z firmą zewnętrzną. Wstępne zgłoszenie incydentu do UODO zostało złożone już 21 listopada, ale było dość lakoniczne. Spółka zobowiązała się uzupełnić je do końca stycznia przyszłego roku.
– W tej chwili działania kontrolne urzędu nie miałyby sensu, skoro sam administrator jeszcze ustala, co się dokładnie stało – mówi Adam Sanocki, rzecznik prasowy UODO. – Nie uzyskalibyśmy odpowiedzi na żadne pytanie. Czekamy więc na uzupełnienie zgłoszenia i informacje o wdrożonych procedurach. Dopiero wówczas, jeżeli będzie to konieczne, zaczniemy kontrolę – dodaje.
Więcej postępowań?
Jak wynika z naszych nieoficjalnych ustaleń, liczba utraconych danych może być większa niż początkowo deklarowanych 30 tys. osób.
– Największym problemem ochrony danych w tego typu sytuacjach nie jest sam fakt włamania – wskazuje Jakub Groszkowski, wiceprezes UODO. – To się po prostu dzieje i nie ma systemu, do którego nie można się włamać. Problemem jest natomiast, że administrator nie ma świadomości, że ktoś te dane pobiera – dodaje.
Z kolei radca prawny Mirosław Gumularz zwraca uwagę, że z informacji dostępnej na stronie spółki wynika, że incydentem objęte są też dane, których przetwarzanie zostało powierzone jej przez klientów.
Czytaj więcej
Zastrzeżenie PESEL nie ochroni przed zaciągnięciem na nas kredytu, ale może pomóc w późniejszym unieważnieniu go.
– To oznacza, że postępowanie w sprawie naruszenia może być wszczęte także wobec kontrahentów spółki, którzy jej powierzyli przetwarzanie danych – tłumaczy Mirosław Gumularz.
Nie tylko kara
W ewentualnych postępowaniach UODO może badać m.in., czy przeprowadzono ocenę ryzyka (przed zdarzeniem) i jakie były wnioski z niej; jakie środki zaplanowano i czy je wdrożono; czy testowano odporność systemów (m.in. na zagrożenia oprogramowaniem typu ransomware); jak spółka postępowała w momencie stwierdzenia naruszenia i jakie działania zaradcze oraz naprawcze wdrożono.
RODO zawiera całą gamę rozwiązań, które służą wzmocnieniu ochrony danych osobowych. W przypadku stwierdzenia naruszenia UODO może, oprócz kary pieniężnej, m.in. wydać ostrzeżenie, udzielić upomnienia czy nakazać dostosowanie działań do obowiązujących przepisów.
– Osoby, których dane dotyczą, mogą także dochodzić roszczeń na drodze cywilnoprawnej – tłumaczy Mirosław Gumularz. – Niemniej będą musieli wykazać, że doszło do szkody majątkowej lub niemajątkowej. Dużym utrudnieniem jest, że dziś nie da się dochodzić takich roszczeń w postępowaniu grupowym – dodaje.
– Jeżeli do szkody doszło z powodu nienależytego wykonania obowiązków prawnych, nie da się wykluczyć roszczeń przeciwko spółce będącej ofiarą ataku – mówi Jakub Kubalski, adwokat z SW Pragmatic Solutions. – Można bowiem wykazać związek przyczynowy między naruszeniem dóbr osobistych w postaci upublicznienia danych a zaniechaniem ze strony firmy.
