Wyciek lub utrata danych –
jak zidentyfikować te zdarzenia i jak
postępować w razie ich wystąpienia?

Gdy myślimy o wyciekach danych osobowych, najczęściej stają nam przed oczami obrazy wielkich korporacji obracających milionami rekordó w i hakeró w czyhających na ich olbrzymie bazy danych.

Raz na jakiś czas słyszy się o aferach, takich jak ta z 2013 roku, kiedy w firmie Yahoo wyciekły dane trzech miliardó w kont użytkowników. Wśród nich były numery telefonów, daty urodzenia, a nawet pytania bezpieczeństwa i odpowiedzi na nie.

Użytkownicy dowiedzieli się o wycieku… trzy lata później.

Inny przykład to stosunkowo niedawny atak hakerski na bazę danych brytyjskich linii lotniczych, czego skutkiem była kradzież danych dotyczących ok. 380 tysięcy kart płatniczych (tj. ich numerów, informacji o dacie ważności oraz kodó w CVV).

Z kolei utratę danych utożsamiamy zazwyczaj z przypadkowym usunięciem/utraceniem pokaźnych zbioró w danych, przykładowo na skutek pożaru czy awarii systemu informatycznego.

Utrata – rozumiana jako sytuacja, w której co prawda dane mogą nadal istnieć, ale administrator nie sprawuje już nad nimi kontroli, nie ma do nich dostępu lub nie jest w ich posiadaniu – to na przykład zdarzenie, którego skutkiem jest uniemożliwienie pacjentowi dostępu do jego dokumentacji medycznej lub nieodwracalne usunięcie całej zawartości dysku twardego.

Natomiast rzadko patrzymy na naszą codzienną pracę na danych osobowych i popełniane drobne pomyłki przez pryzmat tak „poważnych” zdarzeń jak wyciek danych czy ich utrata.

Przypomnij sobie, kiedy ostatnio zdarzyło Ci się:

• wysłać przez przypadek wiadomość e-mail zawierającą dane osobowe (np. skan umowy) do niewłaściwego adresata,
• mieć problemy z odszukaniem jakichś dokumentó w ( w tym w formie elektronicznej) i ostatecznie ich nie zidentyfikować,
• telefoniczne udostępnić dane niezidentyfikowanemu rozmówcy,
• dokonać masowej wysyłki e-maili z otwartą listą adresową (bez skorzystania z pola „UDW”),
• przypadkowo usunąć formularz czy kwestionariusz i być zmuszonym do ponownego zebrania danych,
• zgubić telefon lub laptop służbowy.

Każda z wyżej wymienionych sytuacji w określonych okolicznościach może stanowić naruszenie ochrony danych.

Natomiast o tym, czy konkretne wydarzenie zakwalifikować jako takie naruszenie, a tym bardziej poinformować o nim Prezesa Urzędu Ochrony Danych Osobowych lub nawet osobę, której dane dotyczą (czyli odpowiednio klienta, kandydata do pracy czy odbiorcę treści marketingowych itp.), powinien decydować IOD, czyli inspektor ochrony danych wyznaczony w Twojej organizacji.

Nie bagatelizuj zatem żadnych przypadków, w których nawet potencjalnie może dojść do ujawnienia danych osobie, która nie jest w żaden sposób uprawniona do ich przetwarzania (w tym wglądu do danych), lub do utraty danych osobowych.

O każdym swoim podejrzeniu (nawet jeśli ryzyko w Twojej opinii jest nieznaczne) poinformuj swojego przełożonego lub inspektora ochrony danych.