Pierwsze światło zarzutów zostało rzucone w stronę działu IT uczelni jako odpowiedzialnego m. in. za bezpieczne korzystanie z komputerów przenośnych. Szybko zweryfikowano, że niesłusznie, gdyż był to laptop prywatny, a więc kopiowanie na niego danych miało miejsce z pominięciem uczelnianych procedur. Pamiętajmy, że kradzież komputerów miała, ma i będzie miała miejsce. Jednak w takim przypadku zawsze pojawia się pytanie: „czy dane były zaszyfrowane?” I tutaj, niestety, odpowiedź była przecząca.

              Należy zauważyć, że rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych (dalej: RODO) zmieniło podejście do stosowanych zabezpieczeń. Uchylone Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczny służące do przetwarzania danych osobowych przewidywało
np. hasło składające się z co najmniej 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne, gdy rozporządzenie wymagało stosowania środków bezpieczeństwa na poziomie podwyższonym. RODO nakierowuje wybór zabezpieczeń w stronę Administratora (danych osobowych), i tak w art. 24 ust. 1 stanowi, że:

„Uwzględniając charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom
i uaktualniane.”

Dodać tutaj należy jeszcze art. 32 RODO:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Żeby właściwie rozkodować powyższe normy, trzeba zauważyć, że to Administrator powinien wybrać jakie zabezpieczenia zastosować, ponieważ zna swoją organizację najlepiej (a potem być w stanie dowieść słuszności wyboru zgodnie z zasadą rozliczalności). Tego wyboru najlepiej dokonać w oparciu o przeprowadzoną analizę ryzyka, która wykaże m. in. newralgiczne punkty (aktywa/czynności na danych osobowych), które wymagają zastosowania podwyższonego poziomu zabezpieczeń. Katalog zabezpieczeń jest otwarty, ale prawodawca zdecydował się, by w szczególności wymienić szyfrowanie danych osobowych, więc tym bardziej powinien to być znak dla Administratorów, by zwrócić szczególną uwagę na to zabezpieczenie i wdrożyć je, gdy zachodzi taka potrzeba. Warto też pamiętać, że po wdrożeniu zabezpieczenia, powinno nastąpić jego monitorowanie poprzez regularnie testowanie, mierzenie i ocenianie. O tym elemencie często się zapomina.

              Zauważenie skali wycieku, wymaga wyliczenia rodzaju danych osobowych, które były przetwarzane (rzecz dotyczy prowadzonych postępowań rekrutacyjnych): imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, płeć, narodowość, obywatelstwo, adres zamieszkania, PESEL, seria i numer dowodu osobistego/paszportu, nr telefonu komórkowego i stacjonarnego, ukończona szkoła średnia, miejscowość szkoły średniej, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega, zdjęcia kandydatów. Jest to relatywnie szeroki katalog danych osobowych, który bez większych problemów pozwala na zaciąganie zobowiązań w imieniu osób, których dane dotyczą, okradnięcie rachunków bankowych, uwierzytelnienie na infolinii czy wyrobienie duplikatu karty SIM.

              Co w tej sytuacji można zrobić? Najważniejszym krokiem jest złożenie wniosku o wyrobienie nowego dowodu osobistego (można to zrobić przez Internet). Następnymi mogą być zastrzeżenie dowodu w banku czy skorzystanie z usługi powiadomienia czy na wskazane dane nie został założony rachunek. Zaleca się również zmianę numeru telefonu, który jest podpięty do rachunku bankowego. To są działania, tylko i aż, minimalizujące wspomniane wcześniej ryzyka.

              Ze swojej strony chciałbym zwrócić uwagę, że w każdym takim przypadku zajmujemy się skutkiem, a nie przyczyną. Skoro wiemy, że nasze dane prawdopodobnie już w jakimś zakresie wyciekły, to należy zastanowić się nad tym jakie drogi otwierają konkretne dane osobowe. Gdyby katalog danych nie dawał takich możliwości albo byłyby one bardzo ograniczone, to nie istniałby taki popyt na ich wykradanie. A tak, dzisiaj za sprawą m. in. słabej weryfikacji tożsamości czy łatwości w zaciąganiu chociażby tzw. „chwilówek”, jest to proceder niezbyt skomplikowany, a więc atrakcyjny w oczach osób, które się nim zajmują.

              Niedługo po tym jak się dowiedzieliśmy o kradzieży, znaleziono sprawców. Okazało się, że działali wyłącznie dla zysku poprzez szybkie pozbywanie się skradzionego sprzętu np. w lombardzie. A przecież wiemy, że znajdujące się dane na laptopie były warte o wiele więcej. To po raz kolejny dowodzi, że dane osobowe są dzisiaj walutą.

              W tej historii z jednej strony ukazuje się zwodnicze podejście na zasadzie, że nic złego się nie wydarzy (choć praca na prywatnym komputerze nie jest kontrolowanym środowiskiem), to z drugiej strony trzeba zauważyć, że uczelnia nie zamiotła sprawy pod dywan. Incydenty i naruszenia się zdarzają i zdecydowanie uczciwiej jest wziąć za nie odpowiedzialność niż tłumaczyć się dlaczego zostały one przemilczane (pod warunkiem, że się o nich dowiedzieliśmy). Co więcej, taka reakcja jest obowiązkiem Administratora, a w stosownych przypadkach należy poinformować również Urząd Ochrony Danych Osobowych, a gdy ryzyko naruszenia praw i wolności osób jest wysokie, także osoby, których dane dotyczą.

              Odpowiednie zabezpieczanie danych osobowych może dzisiaj stanowić kapitał. Gdy dochodzi do takiego naruszenia ochrony danych osobowych (zwłaszcza medialnego), organizacja może bardzo ucierpieć wizerunkowo. Warto więc dbać, by osoba (np. klient) miała poczucie, że jej dane będą bezpiecznie przechowywane.

              Rynek dostarcza dzisiaj wiele rozwiązań w zakresie szyfrowania danych (również bezpłatnych). Niekorzystanie z nich, może okazać się poważnym błędem.

 

Autor: Patryk Makowski, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.