Polskie prawo nie reguluje kompleksowo kwestii wycieku danych. Pomimo coraz liczniejszych incydentów, jak też wagi bezprawnie udostępnianych danych od lat sytuacja się nie zmienia.
Ostatnie wydarzenia związane z bezprawnym udostępnieniem w internecie akt z jednego z toczących się postępowań karnych pokazują, że w bardzo krótkim czasie ogromna liczba – w praktyce anonimowych –osób uzyskała wyjątkowo łatwy dostęp do ponad 2 tys. stron dokumentów zawierających informacje objęte różnego rodzaju tajemnicami. Wśród tych materiałów znalazły się dane osobowe osób, które w taki czy inny sposób są związane z toczącym się postępowaniem. Można domniemywać, że informacje zawarte w udostępnionych aktach będzie można odnaleźć w Internecie aż do momentu, kiedy zainteresowanie nimi nie zmaleje na tyle, że koszt udostępniania okaże się zbyt wysoki. To oczywiście zgodnie z zasadą, że jeżeli coś trafia do internetu, to najczęściej już w nim zostaje. Tymczasem możliwość wystąpienia negatywnych skutków wycieku danych – nie tylko prawnych, ale także biznesowych i typowo wizerunkowych – wydaje się wciąż niedoceniana zarówno przez sektor prywatny, jak i organy administracji publicznej.
Minimalizować ryzyko
Oczywiście problem nie jest nowy. Odkąd rzeczywistość stała się w każdym calu cyfrowa, dane wyciekały (i prawdopodobnie będą), i to z różnych przyczyn. Najczęściej – z powodu ludzkich błędów czy działania nakierowanego na bezinteresowne szkodnictwo (dawniej) albo na taki czy inny zysk (obecnie).
Wyciekom danych nie można całkowicie zapobiec, ponieważ zawsze, kiedy w procesie dostępu do informacji uczestniczy człowiek, takie ryzyko istnieje. Chociaż oczywiście można nim w ten czy inny sposób zarządzać, ponosząc przy tym odpowiednie nakłady finansowe i organizacyjne. Co ciekawe, w krajach o długiej (i niechlubnej) tradycji w końcu powstał sektor usług niszowych nakierowanych właśnie na zarządzanie ryzykiem prawnym i biznesowym związanym z wyciekami danych (nazwijmy go roboczo „data breach industry").
W ramach data breach industry oferowane są m.in. usługi technicznego zabezpieczenia danych przed wyciekiem, ubezpieczenie na wypadek wycieku, wyspecjalizowane usługi prawne czy chroniące wizerunek przedsiębiorców dotkniętych akurat tym problemem. Co ważne, odpowiednie czynności są podejmowane zarówno przed incydentem, jak i bez zbędnej zwłoki po nim, kiedy w ciągu maksymalnie kilku godzin cały sztab specjalistów pochyla się nad zaistniałym problemem. Trudno się dziwić, że data breach industry powstało, kiedy za oceanem jednemu z administratorów danych z sektora handlu elektronicznego wyciekło ponad 140 mln rekordów odnoszących się do osób fizycznych, a jednej z globalnie działających instytucji finansowych tylko o połowę mniej (jak się wskazuje, problem ten dotknął ponad 70 mln amerykańskich gospodarstw domowych). Te dwa incydenty nastąpiły w jednym tylko roku i były rzecz jasna jednymi z wielu, ale dotyczyły największej liczby osób.