Oto #HIT2023. Przypominamy najlepsze materiały minionego roku
Pani Beata dostała pismo z ZUS zawiadamiające ją o tym, że doszło do naruszenia ochrony jej danych osobowych. Gdy otworzyła list – jak opowiada – nogi się pod nią ugięły. Okazało się, że jej dane osobowe zostały udostępnione na profilu innego pacjenta na Platformie Usług Elektronicznych ZUS.
Jak relacjonuje, jej pierwszą reakcją było przerażenie, a potem oburzenie, gdy doczytała pismo do końca. Dowiedziała się, że aby "zminimalizować negatywne sutki naruszenia danych osobowych" – powinna założyć konto w systemie informacji kredytowej i gospodarczej po to, aby na bieżąco sprawdzać, czy ktoś nie wyłudził na jej dane kredytu – tak radził jej ZUS.
Większość naruszeń jest skutkiem ludzkich błędów
Jak urząd tłumaczy tę sytuację? W odpowiedzi na pytania money.pl ZUS informuje, że zgłosił fakt naruszenia ochrony danych osobowych, o którym piszemy, do prezesa UODO, potwierdził też, że zawiadomił poszkodowaną o naruszeniu.
Jednocześnie zapewnia, że w Zakładzie działają "wypracowane procedury działania w takich przypadkach, a pracownicy przechodzą szkolenia". Informuje też, że "niezwłocznie po otrzymaniu informacji ZUS usunął błędnie zamieszczone pismo z danymi klientki z profilu PUE ZUS nieuprawnionej osoby" – informuje Grzegorz Dyjak w imieniu centrali ZUS.
Jednak na pytanie, jak doszło do tej sytuacji, odpowiedzi nie uzyskaliśmy.
Poszkodowani muszą udowadniać w sądzie swoją niewinność
Jak zwracają uwagę eksperci, do podobnych sytuacji – związanych z wyciekiem danych z różnych miejsc czy innym naruszeniem – dochodzi coraz częściej. Poszkodowani, mimo że to ktoś wykradł ich dane, muszą tłumaczyć się w sądzie.
Dane, które wyciekły z firm lub instytucji, wykorzystują cyberprzestępcy m.in. do zaciągnięcia kredytów lub pożyczek. Niestety trudno to potem odkręcić, a poszkodowani muszą często w sądzie udowadniać swoją niewinność.
Co zrobić, gdy dotknie nas taka sytuacja? Artur Piechocki, radca prawny w kancelarii APLaw Artur Piechocki, uczula, że w przypadku otrzymania informacji o wycieku naszych danych, nie należy tego lekceważyć. Warto od razu sprawdzić, czy nasze dane nie pojawiły się w Krajowym Rejestrze Długów (KRD).
Wyłudzenia kredytów wcale nie są rzadkie, w dodatku trudno to potem prawnie wyprostować – podkreśla.
Do zdarzeń związanych z wyciekiem danych dochodzi i w państwowych instytucjach, i prywatnych firmach – zarówno w Polsce, jak i za granicą. W ubiegłym roku doszło na przykład do wycieku danych pacjentów Wojewódzkiego Szpitala Specjalistycznego w Rzeszowie. Z kolei za granicą spektakularnym przykładem było upublicznienie danych 500 milionów użytkowników WhatsAppa, które trafiły w ręce przestępców.
Dlaczego tak się dzieje? – Zdecydowana większość takich naruszeń jest skutkiem ludzkich błędów. Najczęściej polegają one na najzwyklejszych pomyłkach, np. błędnie wpisanym adresie mailowym – mówi money.pl Łukasz Onysyk, wiceprezes w firmie Auraco, zajmującej się ochroną danych osobowych
– Tych błędów niestety nie da się wykluczyć. Szkolenia, wdrażanie procedur, budowanie świadomości pracowników na ten temat mogą jedynie ograniczyć skalę takich wycieków, ale ich nie wyeliminują – dodaje.
Nasz rozmówca zwraca uwagę, że do tego typu nieprawidłowości dochodziło także przed wprowadzeniem RODO, ale wówczas nie było obowiązku ich zgłaszania.
Przepisy RODO nałożyły na instytucje i firmy obowiązek zgłaszania takich naruszeń osobom, które to dotknęło, wraz z informacją o możliwych ryzykach, które się z tym wiążą. W zależności od poziomu naruszenia, dana instytucja lub firma musi to przede wszystkim zgłosić do UODO. Jeżeli naruszenie jest na tzw. wysokim poziomie, to poza zgłoszeniem do UODO, musi także poinformować osobę, której te dane dotyczą – wyjaśnia.
Łukasz Onysyk wyjaśnia także, co kryje się za sformułowaniem "wysoki poziom naruszenia".
– Zazwyczaj to zależy od tego, jak negatywne skutki wyciek danych może przynieść osobie, którą to dotknęło. Jeżeli jest to szeroki zakres, co umożliwia m.in. zaciągnięcie np. pożyczki, wówczas określa się to naruszeniem na wysokim poziomie – tłumaczy.
Artur Piechocki podkreśla, że przestępcy są bardzo sprytni. Najczęściej, gdy zaciągają kredyt czy pożyczkę na skradzione dane, ofiary otrzymują nakazy zapłaty, które są błyskawicznie egzekwowane.
– Bardzo szybko sprawa trafia do komornika i nagle ofiara ma zajęty rachunek bankowy, czy wynagrodzenie. W dodatku często nie wie, że w jej sprawie toczyło się jakieś postępowanie – wyjaśnia nasz rozmówca. Jak to w ogóle możliwe?
Dalsza część artykułu pod materiałem wideo
Nakaz zapłaty trafia pod fałszywy adres, co jest charakterystyczne dla tego typu spraw. Pozostałe dane są prawdziwe i dotyczą osoby, której dane zostały skradzione. Zazwyczaj chodzi o nazwisko, PESEL czy numer dowodu osobistego. Tylko adres do korespondencji jest fałszywy – tłumaczy prawnik.
Dodaje, że sprawa jest o tyle trudna, że jeśli firma, która próbuje wyegzekwować pieniądze, udowodni, że ktoś rzeczywiście odebrał korespondencję, to nawet jeśli jest to osoba podstawiona, nakaz zapłaty jest skuteczny i sprawa trafia do komornika.
– Niedawno w Kodeksie Postępowania Cywilnego wprowadzono zmiany, które mają zapobiegać takim sytuacjom. Jednak mimo to ten proceder nadal istnieje. Wyjście z tej sytuacji wcale nie jest proste. Poszkodowany musi najpierw doprowadzić do tego, aby unieważnić klauzulę wykonalności. Dopiero w następnym kroku może starać się udowodnić, że nie było podstaw do wydania klauzuli wykonalności i nakazu zapłaty – podkreśla Artur Piechocki.
Ubezpieczyciel pomylił się i udostępnił dane poszkodowanego
Czy każda osoba, której dane wyciekły, może domagać się odszkodowania?
– Sam wyciek danych nie oznacza jeszcze, że te dane trafią do kogoś, kto postąpi z nimi w bezprawny sposób. Osoba, którą to dotknęło, musi udowodnić np. fakt realnego zagrożenia związanego z wyłudzeniem kredytu i dopiero na tej podstawie może domagać się zadośćuczynienia – tłumaczy Artur Piechocki.
Dodaje, że wiele zależy też od tego, jakiego rodzaju dane zostały upublicznione. Jeżeli w grę wchodzi np. adres, PESEL, a także informacje o stanie zdrowia danej osoby, wówczas pojawia się poważny problem.
Jednak udowodnienie, że ponieśliśmy szkodę tylko na skutek samego wycieku danych, nie jest proste.
Łukasz Onysyk w tym kontekście jako przykład podaje sytuację, do jakiej doszło po wypadku komunikacyjnym. – Wówczas ubezpieczyciel pomylił się i udostępnił dane osoby na którą była wystawiona polisa OC, sprawcy wypadku. W efekcie ta osoba zaczęła dostawać głuche telefony i nie czuła się komfortowo z tego powodu. Sprawa znalazła swój finał w sądzie. Mimo że osoba poszkodowana starała się udowodnić, że na skutek udostępnienia danych jej sytuacja się pogorszyła, to sąd zasądził na jej rzecz zaledwie 1500 zł zadośćuczynienia – mówi nasz rozmówca.
Ściągalność kar za wyciek danych wciąż niska
Zdaniem naszych rozmówców problem związany z wyciekami danych będzie się coraz bardziej pogłębiał, tym bardziej że cyfryzacja przyspiesza.
Tymczasem ściągalność kar za wyciek danych w Polsce wciąż jest bardzo niska. W ubiegłym roku informowaliśmy, że w ciągu kilku lat obowiązywania RODO ściągnięto tylko 150 780 zł z nałożonych kar przez Urząd Ochrony Danych Osobowych (UODO). W praktyce przez cztery lata obowiązywania RODO udało się ściągnąć kary w zaledwie czterech przypadkach. Na jeden rok przypadała jedna kara, w wysokości nieco ponad 37 tys. zł.
Tymczasem od początku obowiązywania regulacji (czyli od maja 2018 roku) – według danych międzynarodowej kancelarii prawnej DLA Piper – polski regulator nałożył kary w wysokości ponad 2,2 mln euro.
W ubiegłym roku za naruszenie zasad RODO ukarany został także m.in. jeden z banków. UODO nałożył na niego karę w wysokości ponad 545 tys. zł.
UODO nakłada kary na firmy i urzędy, zwłaszcza w sytuacji, gdy nie chcą np. informować poszkodowanych osób o wycieku danych. Jak dotąd takie kary UODO nałożył zarówno na firmy, instytucje, jak i sklepy internetowe. Ponieważ naruszenia dalej będą się pojawiać, należy się spodziewać, że liczba nakładanych kar raczej nie spadnie – uważa Łukasz Onysyk.
Co powinny zrobić firmy, aby lepiej się ochronić przed takimi sytuacjami? – Na pewno warto na bieżąco monitorować systemy informatyczne, a także szkolić pracowników. Jest to o tyle ważne, że w przypadku ewentualnego naruszenia firma czy instytucja może w razie czego wykazać, że dochowała należytej staranności – podsumowuje ekspert.
Przypomnijmy, że przepisy RODO obowiązują od maja 2018 roku. Miały one zapobiec nielegalnym praktykom związanym z operowaniem danymi osobowymi. Maksymalna kara za złamanie tych przepisów o ochronie danych może wynieść nawet 4 proc. całkowitego rocznego obrotu firmy za poprzedni rok.
W trakcie przygotowania tego materiału wysłaliśmy także pytania do UODO. Zapytaliśmy urząd m.in. o to, ile było przypadków wycieków danych w ubiegłym roku, jakie kary w związku z tym nałożono i w jakiej wysokości. Czekamy na odpowiedź.
Agnieszka Zielińska, dziennikarka money.pl
Jeśli chcesz być na bieżąco z najnowszymi wydarzeniami ekonomicznymi i biznesowymi, skorzystaj z naszego Chatbota, klikając tutaj.