Jak powstrzymać wyciek danych - pisze prawnik

Polskie prawo nie reguluje kompleksowo kwestii wycieku danych. Pomimo coraz liczniejszych incydentów, jak też wagi bezprawnie udostępnianych danych od lat sytuacja się nie zmienia.

Ostatnie wydarzenia związane z bezprawnym udostępnieniem w internecie akt z jednego z toczących się postępowań karnych pokazują, że w bardzo krótkim czasie ogromna liczba – w praktyce anonimowych –osób uzyskała wyjątkowo łatwy dostęp do ponad 2 tys. stron dokumentów zawierających informacje objęte różnego rodzaju tajemnicami. Wśród tych materiałów znalazły się dane osobowe osób, które w taki czy inny sposób są związane z toczącym się postępowaniem. Można domniemywać, że informacje zawarte w udostępnionych aktach będzie można odnaleźć w Internecie aż do momentu, kiedy zainteresowanie nimi nie zmaleje na tyle, że koszt udostępniania okaże się zbyt wysoki. To oczywiście zgodnie z zasadą, że jeżeli coś trafia do internetu, to najczęściej już w nim zostaje. Tymczasem możliwość wystąpienia negatywnych skutków wycieku danych – nie tylko prawnych, ale także biznesowych i typowo wizerunkowych – wydaje się wciąż niedoceniana zarówno przez sektor prywatny, jak i organy administracji publicznej.

Minimalizować ryzyko

Oczywiście problem nie jest nowy. Odkąd rzeczywistość stała się w każdym calu cyfrowa, dane wyciekały (i prawdopodobnie będą), i to z różnych przyczyn. Najczęściej – z powodu ludzkich błędów czy działania nakierowanego na bezinteresowne szkodnictwo (dawniej) albo na taki czy inny zysk (obecnie).

Wyciekom danych nie można całkowicie zapobiec, ponieważ zawsze, kiedy w procesie dostępu do informacji uczestniczy człowiek, takie ryzyko istnieje. Chociaż oczywiście można nim w ten czy inny sposób zarządzać, ponosząc przy tym odpowiednie nakłady finansowe i organizacyjne. Co ciekawe, w krajach o długiej (i niechlubnej) tradycji w końcu powstał sektor usług niszowych nakierowanych właśnie na zarządzanie ryzykiem prawnym i biznesowym związanym z wyciekami danych (nazwijmy go roboczo „data breach industry").

W ramach data breach industry oferowane są m.in. usługi technicznego zabezpieczenia danych przed wyciekiem, ubezpieczenie na wypadek wycieku, wyspecjalizowane usługi prawne czy chroniące wizerunek przedsiębiorców dotkniętych akurat tym problemem. Co ważne, odpowiednie czynności są podejmowane zarówno przed incydentem, jak i bez zbędnej zwłoki po nim, kiedy w ciągu maksymalnie kilku godzin cały sztab specjalistów pochyla się nad zaistniałym problemem. Trudno się dziwić, że data breach industry powstało, kiedy za oceanem jednemu z administratorów danych z sektora handlu elektronicznego wyciekło ponad 140 mln rekordów odnoszących się do osób fizycznych, a jednej z globalnie działających instytucji finansowych tylko o połowę mniej (jak się wskazuje, problem ten dotknął ponad 70 mln amerykańskich gospodarstw domowych). Te dwa incydenty nastąpiły w jednym tylko roku i były rzecz jasna jednymi z wielu, ale dotyczyły największej liczby osób.

Tymczasem do bezpieczeństwa danych w Polsce do tej pory nie podchodzi się kompleksowo ani na poziomie ustawodawczym, ani praktycznym. Jak się wydaje, jedynym obszarem gospodarki regulacyjnie (legislacyjnie) przygotowanym jest sektor telekomunikacyjny. Przewidziano w nim wprost procedurę postępowania w sytuacji bezprawnego udostępnienia danych. Nakłada ona na podmiot, który padł ofiarą wycieku, obowiązek kontaktu z regulatorem (tj. GIODO) i w określonych wypadkach także z osobami, których dane wyciekły. Co najważniejsze i wymaga podkreślenia – w tej konkretnej regulacji sektorowej zadbano (choć minimalnie) o zabezpieczenie interesów poszkodowanych osób właśnie poprzez obowiązek udzielenia im informacji o zaistniałym problemie.

Szczątkowe regulacje

Objęcie obowiązkami związanymi z wyciekiem danych jednego wąskiego sektora gospodarki to w mojej ocenie za mało. Zresztą, trudno znaleźć odpowiedź na pytanie, dlaczego akurat ten (a nie inny) sektor podlega tak szczególnym regulacjom, bez wątpienia ponosząc przy tym znaczne koszty finansowe i organizacyjne. I dlaczego akurat klienci firm telekomunikacyjnych objęci zostali szczególną ochroną. Biorąc pod uwagę choćby tylko ilość danych, pomijając przy tym ich znaczenie, podobna ochrona powinna przysługiwać klientom w takich sektorach jak finansowy czy ochrony zdrowia, w których coraz więcej dokumentacji jest albo będzie prowadzona w formie elektronicznej.

W Polsce problemem bezpieczeństwa danych i ewentualnych ich wycieków zajmują się jedynie szczątkowe regulacje, a znikome wręcz sankcje wynikają z kilku przepisów karnych. Sankcje za niewłaściwe zabezpieczenie danych albo ich bezprawne udostępnienie na gruncie ustawy o ochronie danych osobowych w praktyce są niezwykle rzadkie. Nie wydaje się przy tym, żeby przepisy karne były najwłaściwszą motywacją dla przedsiębiorców, skłaniającą do odpowiednich nakładów gwarantujących bezpieczeństwo danych. Na marginesie można jedynie wskazać, że zgodnie z projektowanym prawem unijnym(jeżeli nie ulegnie ono zmianom), przedsiębiorcy, którzy nie zabezpieczą właściwie danych, muszą liczyć się z możliwością nałożenia na nich poważnych sankcji finansowych.

Jest także inna kwestia, na którą warto zwrócić uwagę ustawodawcy. Obecnie nie ma ani powszechnego (generalnego) obowiązku mającego umocowanie w przepisach prawa, ani właściwie możliwości łatwej, a zarazem skutecznej pomocy osobom, których dane zostały bezprawnie udostępnione. Odpowiadając na często zadawane pytanie – co zagraża osobom, które utraciły kontrolę nad swoimi danymi? Przede wszystkim znacząco wzrasta ryzyko wykorzystania tych informacji do nadużyć finansowych (szczególnie w związku z ujawnieniem danych dotyczących kart kredytowych), łatwego zlokalizowania i dotarcia do osób im najbliższych czy też posiadanego majątku (np. mieszkania).

Oczywistą konsekwencją wycieku informacji jest utrata prywatności (szczególnie bolesna w przypadku wycieku np. danych medycznych). Nie można zatem zapominać, że na końcu każdej regulacji dotyczącej ochrony danych (w tym szczególnie danych osobowych) jest osoba fizyczna. Tymczasem osoby dotknięte incydentem zostają pozostawione same sobie, przy czym – niestety – najczęściej nawet nie wiedzą, że ich dane znajdują się w niepowołanych rękach. A kiedy się dowiadują, zazwyczaj jest już za późno.

Przyczyn takiego stanu rzeczy należy poszukiwać albo w niedostrzeganiu problemu przez ustawodawcę, albo w oczekiwaniu, że kwestia wycieku danych zostanie uregulowana na poziomie unijnym. Ze względu na trwające na szczeblu Unii Europejskiej intensywne prace nad generalnym rozporządzeniem dotyczącym ochrony danych osobowych zapewne oczekiwanie to nie jest bezzasadne. Należy tylko pamiętać, że na tym etapie prac nikt z całą pewnością nie wie, kiedy i w jaki sposób kwestia wycieku danych zostanie uregulowana. Wydaje się, że wątpliwości co do terminu zakończenia prac unijnych mają także inne kraje europejskie i na własną rękę próbują rozwiązać tę kwestię. Przykładowo: Holandia w maju tego roku skierowała do Senatu projekt zmiany holenderskiego prawa w zakresie wycieków danych. Na gruncie nowego prawa wszyscy administratorzy danych w Holandii zobowiązani będą do notyfikacji poważnych wycieków danych regulatorowi. Podobne przepisy albo kodeksy dobrych praktyk obowiązują już w kilku innych europejskich krajach, między innymi w Irlandii czy we Włoszech, ale nie tylko tam.