Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Naruszenie ochrony danych osobowych
na Facebooku od prewencji aż po kary

Naruszenie danych na Facebooku

Miliony użytkowników portali społecznościowych, w szczególności najpopularniejszego z nich, czyli Facebooka, regularnie padają ofiarą cyberprzemocy. Zwłaszcza 2018 rok nie był łaskawy dla Facebooka, obfitując w incydenty związane z naruszeniem zasad bezpieczeństwa.

W kwietniu 2018 r. z FB do brytyjskiej firmy doradczej Cambridge Analytica wyciekły dane 87 mln użytkowników, w tym 2,7 mln z terenu Unii Europejskiej i ponad 57 tys. osób z Polski. Szef serwisu Mark Zuckerberg zobowiązany był do złożenia w tej sprawie zeznań przed komisjami Senatu USA oraz w Parlamencie Europejskim, choć oczywiście powstałe dotychczas liczne szkody związane z aferą okazały się nieodwracalne.

Następnie, pod koniec września tego samego roku hakerzy pozyskali wirtualne klucze do kont 50 milionów użytkowników. Mimo że po zaistnieniu incydentu nie było jasne, czy doszło do kradzieży jakichkolwiek danych osobowych, w reakcji na kryzysową sytuację, Facebook wylogował z sesji prawie 90 milionów użytkowników. Z ostatnich ustaleń, poczynionych w wyniku prowadzonego dochodzenia, wynika, że cyberprzestępcy pozyskali nazwiska i podane dane kontaktowe, takie jak mail czy numer telefonu z 15 milionów kont. Natomiast z 14 milionów kont, poza przywołanymi danymi, zdobyli szereg znacznie bardziej szczegółowych informacji, w tym: nazwę użytkownika, płeć, region pochodzenia, język, status związku, informacje o wyznaniu, miasto rodzinne, miasto bieżące (wpisane przez użytkownika, nie pobrane z usług lokalizacyjnych), datę urodzenia, rodzaje powiązanych z Facebookiem urządzeń użytkownika, wykształcenie, historię kariery zawodowej, ostatnich dziesięć miejsc z których użytkownik się zameldował, stronę domową, wykaz obserwowanych stron oraz profili, jak również piętnaście ostatnich haseł wpisanych do wyszukiwarki. Taki zbiór danych bez wątpienia wykracza poza informacje, którymi chcielibyśmy podzielić się z nieograniczonym gronem odbiorców. Co istotne, pośród danych, które uległy „wyciekowi” znalazły się dane osobowe szczególnych kategorii (np. informacja o wyznaniu), wyjątkowo restrykcyjnie chronione przez przepisy RODO.

E-learning z RODO

Poza dyskusją pozostaje, że takie komunikaty wzbudzają w internautach nie tylko niepokój, ale i niepewność, co do możliwości dalszego, niezakłóconego niczym korzystania z usług hegemona wśród portali społecznościowych. Nie sposób zaprzeczyć bowiem, że nasza aktywność w social mediach narażona jest na duże ryzyko, a akcje cyberprzestępców stanowią coraz częstszy problem, którego - mając na uwadze własne bezpieczeństwo – nie można bagatelizować.

Jak się zabezpieczyć?

Korzystając z Facebooka musimy mieć przede wszystkim świadomość, że już niewielka aktywność, a nawet samo posiadanie konta w serwisie prowadzi do udostępniania znacznej ilości naszych danych osobowych. Ich utrata oraz wpadnięcie w niepowołane ręce może narażać na uszczerbek zarówno nasze dobra osobiste, jak i sferę finansową. W związku z tym, że wywołane „wyciekiem” danych skutki okazują się przeważnie nieodwracalne, już na etapie codziennego użytkowania powinniśmy dbać o odpowiednie zabezpieczenia naszych kont oraz gromadzonych na nich danych osobowych.

Ważne
Podstawowymi czynnościami, ograniczającymi dostęp osób trzecich do naszego konta są odpowiednia konstrukcja hasła („siłę” hasła wzmacnia, m.in. zawarcie w haśle cyfr, wielkich liter czy znaków specjalnych) oraz systematyczne jego zmienianie.

Reguły te odnoszą się nie tylko do portali społecznościowych i każdy świadomy użytkownik internetu powinien mieć nawyk regularnego, choćby co kilkumiesięcznego, odświeżania haseł dostępu do używanych przez siebie serwisów. Należy nadto zaznaczyć, że praktyką wyjątkowo niebezpieczną i stanowczo niedopuszczalną – choć często stosowaną – jest posiadanie jednakowego hasła do wielu serwisów, w tym bankowych, co w przypadku ewentualnego ataku może spowodować znaczną eskalację poniesionych przez nas szkód.

W celu minimalizacji potencjalnych niebezpieczeństw, rekomendowanym rozwiązaniem jest także skorzystanie z proponowanych przez Facebook funkcji konta. I tak, każdy użytkownik ma możliwość ograniczenia dostępu publikowanych przez siebie postów czy zdjęć, do grona swoich znajomych czy też określonego ich kręgu. Działaniem z pozoru oczywistym, choć równie istotnym, jest weryfikacja osób, przesyłających nam prośbę o dołączenie do znajomych. Niejednokrotnie to właśnie cyberprzestępcy podszywają się pod z pozoru znane nam osoby, docierając w ten sposób do pożądanych informacji obecnych na naszym profilu.

Niezależnie od przytoczonych wyżej sugestii, kwestią o znaczeniu największym dla naszego bezpieczeństwa jest zachowanie zdrowego rozsądku oraz umiaru w korzystaniu z mediów społecznościowych. Należy rozumieć przez to przede wszystkim powstrzymanie się przed udostępnianiem za ich pośrednictwem szczegółów życia prywatnego (tak własnego, jak i naszych bliskich). Nie zapominajmy również o prowadzonych poprzez powszechnie dostępne komunikatory (np. podpięty do Facebooka Messenger) rozmowach – nawet jeśli na co dzień nikt poza nami nie ma w nie wglądu, nie oznacza to, że w przypadku włamania hakerów pozostaną one bezpieczne. Mając to zagrożenie na uwadze, starajmy się nie przekazywać tą drogą danych newralgicznych, takich jak, np. numery rachunków bankowych, PIN-y czy hasła.

Wsparcie w ochronie danych osobowych

Niestety nie można mieć gwarancji, że podjęcie nawet wszystkich tych działań da nam stuprocentową ochronę, tym niemniej stosowanie się do określonych zasad bez wątpienia pozwoli zmniejszyć potencjalne niebezpieczeństwo i zapewni komfort korzystania z internetu każdemu z nas.

Jaka rola organu nadzorczego?

Jaki jest tryb postępowania, jeśli wszelkie zabezpieczenia jednak zawiodą i dojdzie do pogwałcenia zasad ochrony danych osobowych? Jakie są prawne konsekwencje i następstwa incydentu zaistniałego tak rozpowszechnionym i rozbudowanym serwisie jak Facebook?

Ważne
Należy podkreślić, że każde tego typu zdarzenie, naruszające zasady ochrony danych osobowych, w oparciu o art. 33 RODO, podlega obligatoryjnemu zgłoszeniu przez Administratora Danych Osobowych organowi nadzorczemu w ciągu 72 h od chwili stwierdzenia naruszenia.

W związku z powyższym, postępowanie w sprawie ostatniego ataku skutkującego naruszeniem zostało niezwłocznie wszczęte przez irlandzki organ nadzorczy. Na gruncie art. 56 RODO, z uwagi na siedzibę europejskiej centrali Facebooka, to właśnie tamtejszy urząd jest organem właściwym do zbadania przedmiotowego zdarzenia związanego z transgranicznym przetwarzaniem przez niego danych. Tym niemniej, w oparciu o regulacje przewidziane w RODO, także polski Urząd Ochrony Danych Osobowych będzie miał swój udział w rozpatrzeniu niniejszej sprawy, z uwagi na prawdopodobieństwo dotknięcia naruszeniem obywateli polskich.

Mając na celu realizację przywołanych zadań, UODO podejmie współpracę z irlandzkim organem ochrony danych osobowych oraz jego odpowiednikami z innych państw europejskich, w dążeniu do ustalenia szczegółów dotyczących naruszenia. Niezależnie od powyższego, UODO po przystąpieniu do postępowania - jako organ, którego sprawa dotyczy - będzie ją monitorował, mając równocześnie dostęp do wszystkich ustaleń miejscowego organu. Co więcej, Urząd Ochrony Danych Osobowych będzie uprawniony do czynnego udziału w postępowaniu poprzez zgłaszanie swoich uwag i propozycji do decyzji, którą ostatecznie wyda irlandzka Komisja Ochrony Danych (ang. Data Protection Commission).

Uprawnienia te wynikają z działu VII RODO, dotyczącego współpracy i spójności. Wskazuje się w nim wprost, że organ wiodący zobowiązany jest do niezwłocznego przekazywania wszelkich, niezbędnych informacji organom, których sprawa dotyczy. Jest nadto zobowiązany do przedłożenia projektu decyzji, w celu uzyskania ich opinii i należytego uwzględnienia ich uwag, a zatem Urząd Ochrony Danych Osobowych będzie miał realny wpływ na ostateczne rozstrzygnięcie w przedmiotowej sprawie.

Abstrahując od samego toku postępowania, największe emocje budzi bez wątpienia jego potencjalny efekt. Jeśli w wyniku rozpatrzenia sprawy okaże się bowiem, że Facebook faktycznie naruszył zasady ustanowione przez RODO organ wiodący może nałożyć na niego karę wynoszącą równowartość 4 proc. rocznych globalnych przychodów. Ze względu na gigantyczne obroty serwisu Marka Zuckerberga, kwota kary mogłaby przekroczyć 1,6 mld dolarów. Internetowemu krezusowi, którym jest Facebook, zapłata kary w prognozowanej kwocie niewątpliwie nie spowoduje trudności finansowych, mogących zagrozić istnieniu serwisu. Biorąc jednak pod uwagę częstotliwość oraz kaliber pojawiających się incydentów oraz wiążących się z tym potencjalnych postępowań, nie można wykluczyć, że kwestia sankcji wynikających z coraz to kolejnych naruszeń może zrodzić problem, stanowiący nie lada wyzwanie dla zarządzających serwisem.


Joanna Ożóg
31 października 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.