Wyciek danych- aspekty prawne, organizacyjne i techniczne

Atak ukierunkowany, łamanie haseł, włamanie do sieci, phishing, ataki typu DDoS to tylko niektóre przykłady incydentów z szerokiego spektrum cyberprzestępczości, których konsekwencją może być wyciek danych. Przyczyny sukcesu ww. działań wydają się różnorodne. Do najczęściej spotykanych zaliczamy opieszałość w przestrzeganiu podstawowych procedur bezpieczeństwa informacji czy zachowania polegające na nieumyślnym udostępnieniu danych. Przedmiotem niniejszego opracowania jest analiza ostatnich przypadków wycieków danych. Zastanowimy się, dlaczego dochodzi do takich wypadków i co robić, aby ograniczyć ryzyko ich powstania w przyszłości. Poniżej przedstawię kilka przykładów, które stanowią tylko medialny szczyt góry lodowej.

Postęp technologiczny i luki prawne diametralnie zmieniają podejście do cyberprzestępczości. Punktem wyjścia wszelkich rozważań jest teza, iż na wycieki informacji najbardziej narażone są firmy z branży medycznej i bankowości. Wynika to ze specyfiki przechowywanych przez nie danych. Wrażliwe informacje, które posiadają, stają się przedmiotem wyłudzeń na szeroką skalę. Dlaczego tak właśnie jest? Oczywiście chodzi o wartość materialną tego typu danych na rynku.

Na każdym kroku słyszymy o kolejnej aferze związanej z wyciekiem danych. Skala procederu w tym zakresie wydaje się ogromna. W ostatnim czasie na łamach jednego z tygodników pojawiła się informacja, iż włoska firma Hacking Team, zajmująca się tworzeniem oraz sprzedażą specjalistycznego oprogramowania szpiegowskiego, wykorzystywanego przez wiele krajów (w tym polskie CBA) i służb specjalnych została zaatakowana przez hakerów. Przedmiotem wycieku stały się listy klientów, serwerów oraz hasła do wielu kont. Kwestią odrębną jest sprzedaż systemu do państw, które nagminnie łamią podstawowe prawa człowieka. Zagadnienie te nie będzie jednak przedmiotem dłuższej refleksji. Zaniepokojenie budzi fakt, że używane hasła nie były zbyt skomplikowane i bardzo często się powtarzały.

Pytanie w tym momencie nasuwa się samo. Dlaczego tak wyspecjalizowana w obszarze bezpieczeństwa firma nie stosuje się do podstawowych wymogów w tym zakresie? Zadaliśmy to pytanie Pawłowi Janiszewskiego – ekspertowi bezpieczeństwa systemów informatycznych Auraco sp. z o.o. (firmy zajmującej się doradztwem w obszarze ochrony danych osobowych). Oto jego komentarz.

Moim zdaniem wynika to z 2 powodów. Po pierwsze, firmy zajmujące się bezpieczeństwem często same we własnej organizacji mają problemy z tego typu zagadnieniami. Są one bowiem przekonane, że w związku z tym czym się zajmują, nie grozi im żadne niebezpieczeństwo. Oczywiście jest to nieprawda. Wielokrotnie mogliśmy obserwować tego typu sytuacje, np. doklejanie złośliwego kodu do programów komputerowych służących w intencji ich twórców do zapewnienia bezpieczeństwa. Druga przyczyna to brak poszanowania procedur bezpieczeństwa i okresowych weryfikacji stopnia ich skuteczności. Procedury to, najskuteczniejszy jaki do tej pory wymyślono, środek służący zachowaniu określonych standardów bezpieczeństwa. Aby procedury działały – konieczne jest ich szanowanie i stosowanie przez ścisłe kierownictwo organizacji oraz prowadzenie okresowych, profesjonalnych audytów. Jeśli „sam szef” się do nich nie stosuje to jest to sygnał dla pracownika, że najwidoczniej nie jest to ważne. W dzisiejszych czasach kwestia odpowiedniego zabezpieczenia danych to nie tylko wyraz korporacyjności i wielkości organizacji, ale środek służący realizacji celów biznesowych – utrzymania i pozyskiwania nowych klientów. – Paweł Janiszewski

Kolejny przykład wycieku danych to przedsiębiorstwo oferujące usługi dietetyczne Fit and Eat. Wyciek obejmował dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach oraz urazach. Pole roszczeń cywilnoprawnych w tym zakresie wydaje się mieć ogromny potencjał. Mamy do czynienia z wyciekiem danych wrażliwych, które w konsekwencji stanowią naruszenie newralgicznych dóbr osobistych. Nieodzownym elementem przy omawianej sprawie wydaje się również zakres odpowiedzialności w aspekcie społecznym. Utrata renomy firmy, brak zaufania w oczach obecnych i potencjalnych klientów wydaje się jedną z większych bolączek dobrze prosperującej firmy.

Włamania do systemów informatycznych zdarzają się także w sektorze bankowym. W ostatnim czasie mieliśmy do czynienia z bezprecedensową sprawą dotycząca wycieku danych klientów jednego banków. Informacja o hakerskim incydencie szybko nabrała rozgłosu. Zaciekawienie wzbudza fakt, że na pewnym etapie sprawy haker żądał 200 tys. na dowolny dom dziecka. Kilka minut wystarczyło by w Internecie opublikowano dane osobowe klientów biznesowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu e-mail, numeru dowodu, PESEL oraz wartości sald łącznie z historią transakcji. Komunikat banku dotyczący bezpieczeństwa danych zbudził strach klientów. Treść oświadczenia wskazywała, że w I kwartale roku 2015 r. doszło do przestępczego ataku grupy hakerów. Po raz kolejny wytknięto mankamenty w sferze bezpieczeństwa.

Kolejna kwestia jaka wymaga dłuższej refleksji dotyczy szerzącego się trendu, a mianowicie zdalnego dostępu do danych. Zbyt dużym stopniem zaufania obdarza się pracowników lub współpracowników mających zdalny dostęp do sensytywnych danych. Wielokrotnie zaufanie to jest nadużywane. Wyprowadzenie baz danych czy szeroko rozumiane działanie na niekorzyść firmy stają się procederem na porządku dziennym. Wielu ekspertów twierdzi, że zagrożenia „z wewnątrz” są zmorą wielu organizacji. Właściwym rozwiązaniem w tej sytuacji wydaje się wprowadzenie inteligentnego systemu monitorowania sesji zdalnych, którego zadaniem będzie wsparcie administratorów danych w zarządzaniu zasobami. Nie zapominajmy również o ciągłym dbaniu o adekwatność dostępu do danych osobowych. Żaden z naszych pracowników nie powinien posiadać szerszego dostępu do danych niż wymagają tego jego obowiązki służbowe.

Kilka słów na temat skutków prawnych wycieku danych. Czyn taki stanowi przestępstwo uregulowane w art. 51 Ustawy o ochronie danych osobowych. W myśl przepisu „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

W rozdziale XXXIII Kodeksu Karnego odnajdujemy przepisy odnoszące się odpowiedzialności za przestępstwa przeciwko ochronie informacji. W myśl art. 269a kk „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. W rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu” odnajdujemy art. 287 kk, który wskazuje natomiast, że „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Niezależnie od odpowiedzialności karnej należy wskazać, że wyciek danych stanowi poważne naruszenie prywatności. Prawo do prywatności jest jednym z dóbr osobistych podlegającym ochronie na gruncie przepisów Kodeksu Cywilnego. Niejednokrotnie zdarza się, że wyciek danych jest przedmiotem skargi kierowanej do Generalnego Inspektora Ochrony Danych Osobowych. W przypadku niezastosowania się do decyzji wydanej przez GIODO stosowane są środki egzekucyjne przewidziane w przepisach ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Kilka słów podsumowujących. Wyciek danych stanowi kryzysową sytuację u każdego przedsiębiorcy. Straty wynikające z nieprzewidzianego incydentu mogą być ogromne. Zakłócenie działalności firmy, straty finansowe (konieczność zakupu nowego oprogramowania oraz przeszkolenia pracowników z zakresu ochrony danych osobowych generują kolejne koszty), a kończąc na utracie renomy. Po zaistniałym incydencie pora na podjęcie odpowiednich kroków oraz wyciągnięcie stosownych wniosków. Warto by się zastanowić w jaki sposób można zminimalizować ryzyko wystąpienia wycieku danych. Zaleceń i rekomendacji w tym zakresie wydaje się wiele. Przed szereg wysuwa się kwestia kładzenia dużego nacisku na edukowanie pracowników w sferze ochrony danych osobowych oraz ciągłe doskonalenie systemu ochrony danych osobowych. Co więcej, właściwe obchodzenie się z dokumentacja firmową oraz prawidłowe wykorzystywanie narzędzi informatycznych wydają się kluczem do sukcesu.

Należy pamiętać, że cyberprzestępczość to świetnie prosperujący biznes. Pojedyncza informacja może nie będzie stanowić przedmiotu ataku hakera, ale paczka wartościowych danych na pewno go zainteresuje.

 

Odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych

odpowiedzialnośćWiele osób podczas szkoleń zadaje pytanie jaka jest odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych. W ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r. poz. 1182) znajdziemy informacje na temat odpowiedzialności karnej (cały rozdział), administracyjnej i dyscyplinarnej. Oprócz  odpowiedzialności przewidzianej w ustawie o ochronie danych osobowych możemy także opierać się na przepisach prawa cywilnego. Odpowiedzialności tej może podlegać zarówno pracodawca jak i pracownik. Różny jest oczywiście zakres tej odpowiedzialności, o czym szczegółowo pokażemy poniżej.

Jak już wyżej zostało wspomniane w ustawie o ochronie danych osobowych jest cały rozdział regulujący kwestie  odpowiedzialność karnej. Cześć z przepisów art. 49 – 54a ustawy dotyczy tylko administratora danych natomiast pracownik może ponieść odpowiedzialność z art. 51-52 i 54a ustawy. Art. 51 stanowi o odpowiedzialności za udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym. Jest to jeden z niewielu przykładów w polskim ustawodawstwie  regulującego kwestie tzw. przestępstwa bezskutkowego – polegającego na tym, że nie musi nastąpić skutek w postaci udostępnienia danych osobom nieupoważnionym, a wystarczy samo stworzenie sposobności, żeby takie przestępstwo popełnić. W zależności od umyślności/nieumyślności działania takie działanie zagrożone jest następującymi karami: grzywny, ograniczenia wolności,  roku lub dwóch lat pozbawienia wolności. Przechodząc do praktycznego aspektu tego przepisu nie radzę zostawiać dokumentów z danymi osobowymi w samochodzie, czy niezabezpieczonego komputera.

Art. 52 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, którą mogą ponieść również pracownicy administratora danych, zagrożoną karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku. Odpowiedzialność karna jest przewidziana za choćby nieumyślne niezabezpieczenie danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 54a ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną za utrudnianie lub udaremnianie inspektorowi GIODO kontroli. Taki czyn zagrożony jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do dwóch lat. Warto w tym miejscu wspomnieć o tym, że w praktyce, sądy nie stosują samoistnej kary pozbawienia wolności i głównymi karami jakie są stosowane są kary grzywny.

Jeżeli chodzi o odpowiedzialność cywilną pracownika to kwestie związane z ochroną danych osobowych stanowią cześć naszego prawa do prywatności, które to z kolei jest dobrem osobistym podlegającym ochronie na podstawie art. 24 kodeksu cywilnego. W związku z tym, jeżeli pracownik swoim działaniem naruszy kwestie związane z ochroną danych osobowych to może narazić się na to, że osoba poszkodowana jej działaniem wytoczy powództwo w sądzie cywilnym. Takiemu poszkodowanemu przysługują następujące roszczenia: roszczenie o zaniechanie naruszeń, o odszkodowanie lub zadośćuczynienie. Z praktyki znam sprawę w której sąd zasądził odpowiedną sumę pieniężną tytułem zadośćuczynienia od nauczyciela, który na wywiadówce w obecności pozostałych rodziców poruszał kwestie związane z problemami psychicznymi ucznia. Informacje te, stanowią dane wrażliwe w rozumieniu art. 27 ustawy.

W kontekście odpowiedzialności dyscyplinarnej to art. 17 ustawy przewiduje kompetencję dla inspektorów GIODO dla żądania wszczęcia wobec pracownika, który dokonał naruszeń postępowania dyscyplinarnego, a także informowania o wynikach postępowania i podjętych działań. Ponadto jeżeli pracownik został zapoznany z obowiązującymi procedurami, otrzymał upoważnienie do przetwarzania danych osobowych, odebrano od niego oświadczenie o zachowaniu danych w poufności to naruszenie zasad ochrony danych osobowych określonych w ustawie lub wewnętrznych procedurach może skutkować ciężkim naruszeniem obowiązków pracowniczych w rozumieniu art. 52 kodeksu pracy i skutkować rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika, nie wspominając o karach dyscyplinarnych wyodrębnionych w kodeksie pracy.

Ostatnim rodzajem odpowiedzialności jakie jest związanych z ustawą o ochronie danych osobowych, a może dotyczyć pracownika jest odpowiedzialność administracyjna. Ten rodzaj odpowiedzialności został wprowadzony do ustawy nowelizacją z marca 2011 r. Art. 12 pkt. 3) ustawy wśród zadań Generalnego Inspektora Ochrony Danych Osobowych wymienia zapewnienie wykonania obowiązków o charakterze niepieniężnym wynikających z decyzji i daje możliwość GIODO stosowania środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji. Takim środkiem, który może być wobec pracownika zastosowany przez GIODO jest grzywna w wysokości do 50 tyś. zł w przypadku jednorazowego naruszenia i do 200 tyś. zł. w przypadku wielokrotnego naruszenia obowiązków o charakterze niepieniężnym.

Jak widać odpowiedzialność pracownika może być różna i mieć szeroki zakres. Ten artykuł nie jest jednak czymś w rodzaju „straszaka” a raczej ma za zadanie uświadamiać o potencjalnym zagrożeniu i pokazywać, że kwestie ochrony danych osobowych są co najmniej istotne.

Dane osobowe a Kancelaria Prawna (adwokacka, notariala, radców prawnych)

kancelaria prawnaPodobno pod latarnią zawsze najciemniej. Może trochę za mocne jest to twierdzenie, ale w niektórych przypadkach jest to stwierdzenie oddające faktyczny stan rzeczy. Teoretycznie Ci (Kancelaria Prawna), którzy w pierwszej linii powinni dbać o to, aby kwestie ochrony danych osobowych, w szczególności spełnić podstawowe obowiązki wynikające z przepisów ochrony danych osobowych, nic nie mają. Dlaczego się tak dzieje, trudno to wytłumaczyć, ale Generalny Inspektor Ochrony Danych Osobowych postanowił ruszyć do korporacji prawniczych ze szkoleniami przedstawiając podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych i z innych branżowych przepisów. Miejmy nadzieje, że ta akcja przyniesie powodzenie.

Ustawa o ochronie danych osobowych nakłada na administratorów danych szereg obowiązków. Ustawa, stosownie do art. 3 ust. 2 pkt. 2 ustawy o ochronie danych osobowych ma zastosowanie do osób fizycznych i osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Warto również przytoczyć definicję administratora danych, stosownie do art. 7 pkt. 4 ustawy o ochronie danych osobowych pod pojęciem administratora danych należy rozumieć organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. W stosunku do opisywanej sprawy oznacza to tyle, że niezależnie od formy prowadzonej przez kancelarię działalności, czy to będzie spółka kapitałowa, spółka osobowa, czy osoba fizyczna prowadząca działalności gospodarczą w oparciu o przepisy ustawy o swobodzie działalności gospodarczej, kancelarie prawne zobowiązane są posiadać dokumentację ochrony danych osobowych (Politykę Bezpieczeństwa Ochrony Danych Osobowych i Instrukcję Zarządzania Systemami Informatycznymi). W dokumentacji m.in trzeba wyodrębnić zbiory danych osobowych. Warto przy tym wspomnieć że art. 43 ust. 1 pkt. 5 ustawy o ochronie danych osobowych wyłącza obowiązek rejestracji wobec zbiorów danych osobowych przetwarzanych w związku z obsługą adwokata, radcy prawnego, notariusza, doradcy podatkowego, rzecznika patentowego lub biegłego rewidenta, w związku z powyższym kancelarie nie mają obowiązku rejestracji w GIODO takich zbiorów danych osobowych (ale tak jak zostało wspomniane powyżej mają obowiązek ich wyodrębnienia). Jednakże gdyby kancelaria przetwarzała dane osobowe swoich klientów lub potencjalnych klientów w innych celach, np. w związku z wysyłką newslettera lub marketingowych, to już nie skorzysta z tego zwolnienia i powinna zarejestrować w GIODO zbiór danych osobowych.

Kolejną kwestią na jaką warto zwrócić uwagę jest kwestia potencjalnej kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w kancelarii. Przykładowo wyłączenia i zastrzeżenia ustawowe (…) również nie będą dotyczyły adwokatów (art. 15 ust. 2 w zw. z art. 43 ust. 1 pkt 1a oraz art. 18 ust. 2 i 2a ustawy o ochronie danych osobowych). W tym miejscu, na podstawie wykładni wskazanych przepisów ustawy o ochronie danych osobowych, wobec braku szczególnych wyłączeń i zastrzeżeń odnośnie do tajemnicy adwokackiej w tej ustawie, można jedynie postawić wniosek de lege ferenda, by wyłączenia ustawowe, o których mowa w art. 43 ust. 2, objęły również adwokatów w zakresie przedmiotowym danych dotyczących osób korzystających z obsługi adwokackiej¹. W związku z brakiem takiego wyłączenia kancelarię są więc narażone na możliwość kontroli ze strony GIODO. Jest to kolejny argument za tym, aby kancelarie stosowały się do przepisów ustawy o ochronie danych osobowych.

Poza posiadaniem dokumentacji ochrony danych osobowych w każdej kancelarii należy stosować środki ochrony odpowiednie do zagrożeń. Do podstawowych środków ochrony danych osobowych zalecamy:

• Przeszkolenie wszystkich pracowników kancelarii z podstawowych zagadnień ochrony danych osobowych oraz zastosowanych środków bezpieczeństwa;

• Zebranie od wszystkich pracowników kancelarii oświadczeń o zachowaniu w poufności danych osobowych i sposobów ich zabezpieczania;

• Korzystanie z urządzeń zapewniającą możliwość szyfrowania dokumentów przechowywanych lokalnie oraz wysyłanych między sobą i do klientów firmy przy użyciu środków komunikacji elektronicznej;

Stosowanie takich zabezpieczeń jest nie tylko spełnieniem obowiązków ustawowych, ale i leży w interesie kancelarii, gdyż zapewne klient nie skorzysta więcej z usług kancelarii, która gubi przekazane dane osobowe. Warto na koniec również wspomnieć, o tym, że nieprzestrzeganie przepisów ustawy o ochronie danych osobowych może narazić Pracowników i wspólników kancelarii na odpowiedzialność karną przewidzianą w rozdziale 8 ustawy o ochronie danych osobowych (przestępstwa zagrożone karą pozbawienia wolności do lat 3) oraz przepisami kodeksu karnego (np. 267 kk, 269b kk).

¹ – M.Swora, Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie danych osobowych, Palestra nr 3-4 z 2004 r.