W kwietniu 2018 r. z FB do brytyjskiej firmy doradczej Cambridge Analytica wyciekły dane 87 mln użytkowników, w tym 2,7 mln z terenu Unii Europejskiej i ponad 57 tys. osób z Polski. Szef serwisu Mark Zuckerberg zobowiązany był do złożenia w tej sprawie zeznań przed komisjami Senatu USA oraz w Parlamencie Europejskim, choć oczywiście powstałe dotychczas liczne szkody związane z aferą okazały się nieodwracalne.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Poza dyskusją pozostaje, że takie komunikaty wzbudzają w internautach nie tylko niepokój, ale i niepewność, co do możliwości dalszego, niezakłóconego niczym korzystania z usług hegemona wśród portali społecznościowych. Nie sposób zaprzeczyć bowiem, że nasza aktywność w social mediach narażona jest na duże ryzyko, a akcje cyberprzestępców stanowią coraz częstszy problem, którego - mając na uwadze własne bezpieczeństwo – nie można bagatelizować.
Jak się zabezpieczyć?
Korzystając z Facebooka musimy mieć przede wszystkim świadomość, że już niewielka aktywność, a nawet samo posiadanie konta w serwisie prowadzi do udostępniania znacznej ilości naszych danych osobowych. Ich utrata oraz wpadnięcie w niepowołane ręce może narażać na uszczerbek zarówno nasze dobra osobiste, jak i sferę finansową. W związku z tym, że wywołane „wyciekiem” danych skutki okazują się przeważnie nieodwracalne, już na etapie codziennego użytkowania powinniśmy dbać o odpowiednie zabezpieczenia naszych kont oraz gromadzonych na nich danych osobowych.
Ważne
Podstawowymi czynnościami, ograniczającymi dostęp osób trzecich do naszego konta są odpowiednia konstrukcja hasła („siłę” hasła wzmacnia, m.in. zawarcie w haśle cyfr, wielkich liter czy znaków specjalnych) oraz systematyczne jego zmienianie.
Reguły te odnoszą się nie tylko do portali społecznościowych i każdy świadomy użytkownik internetu powinien mieć nawyk regularnego, choćby co kilkumiesięcznego, odświeżania haseł dostępu do używanych przez siebie serwisów. Należy nadto zaznaczyć, że praktyką wyjątkowo niebezpieczną i stanowczo niedopuszczalną – choć często stosowaną – jest posiadanie jednakowego hasła do wielu serwisów, w tym bankowych, co w przypadku ewentualnego ataku może spowodować znaczną eskalację poniesionych przez nas szkód.
W celu minimalizacji potencjalnych niebezpieczeństw, rekomendowanym rozwiązaniem jest także skorzystanie z proponowanych przez Facebook funkcji konta. I tak, każdy użytkownik ma możliwość ograniczenia dostępu publikowanych przez siebie postów czy zdjęć, do grona swoich znajomych czy też określonego ich kręgu. Działaniem z pozoru oczywistym, choć równie istotnym, jest weryfikacja osób, przesyłających nam prośbę o dołączenie do znajomych. Niejednokrotnie to właśnie cyberprzestępcy podszywają się pod z pozoru znane nam osoby, docierając w ten sposób do pożądanych informacji obecnych na naszym profilu.
Niezależnie od przytoczonych wyżej sugestii, kwestią o znaczeniu największym dla naszego bezpieczeństwa jest zachowanie zdrowego rozsądku oraz umiaru w korzystaniu z mediów społecznościowych. Należy rozumieć przez to przede wszystkim powstrzymanie się przed udostępnianiem za ich pośrednictwem szczegółów życia prywatnego (tak własnego, jak i naszych bliskich). Nie zapominajmy również o prowadzonych poprzez powszechnie dostępne komunikatory (np. podpięty do Facebooka Messenger) rozmowach – nawet jeśli na co dzień nikt poza nami nie ma w nie wglądu, nie oznacza to, że w przypadku włamania hakerów pozostaną one bezpieczne. Mając to zagrożenie na uwadze, starajmy się nie przekazywać tą drogą danych newralgicznych, takich jak, np. numery rachunków bankowych, PIN-y czy hasła.
Niestety nie można mieć gwarancji, że podjęcie nawet wszystkich tych działań da nam stuprocentową ochronę, tym niemniej stosowanie się do określonych zasad bez wątpienia pozwoli zmniejszyć potencjalne niebezpieczeństwo i zapewni komfort korzystania z internetu każdemu z nas.
Jaka rola organu nadzorczego?
Jaki jest tryb postępowania, jeśli wszelkie zabezpieczenia jednak zawiodą i dojdzie do pogwałcenia zasad ochrony danych osobowych? Jakie są prawne konsekwencje i następstwa incydentu zaistniałego tak rozpowszechnionym i rozbudowanym serwisie jak Facebook?
Ważne
Należy podkreślić, że każde tego typu zdarzenie, naruszające zasady ochrony danych osobowych, w oparciu o art. 33 RODO, podlega obligatoryjnemu zgłoszeniu przez Administratora Danych Osobowych organowi nadzorczemu w ciągu 72 h od chwili stwierdzenia naruszenia.
W związku z powyższym, postępowanie w sprawie ostatniego ataku skutkującego naruszeniem zostało niezwłocznie wszczęte przez irlandzki organ nadzorczy. Na gruncie art. 56 RODO, z uwagi na siedzibę europejskiej centrali Facebooka, to właśnie tamtejszy urząd jest organem właściwym do zbadania przedmiotowego zdarzenia związanego z transgranicznym przetwarzaniem przez niego danych. Tym niemniej, w oparciu o regulacje przewidziane w RODO, także polski Urząd Ochrony Danych Osobowych będzie miał swój udział w rozpatrzeniu niniejszej sprawy, z uwagi na prawdopodobieństwo dotknięcia naruszeniem obywateli polskich.
Mając na celu realizację przywołanych zadań, UODO podejmie współpracę z irlandzkim organem ochrony danych osobowych oraz jego odpowiednikami z innych państw europejskich, w dążeniu do ustalenia szczegółów dotyczących naruszenia. Niezależnie od powyższego, UODO po przystąpieniu do postępowania - jako organ, którego sprawa dotyczy - będzie ją monitorował, mając równocześnie dostęp do wszystkich ustaleń miejscowego organu. Co więcej, Urząd Ochrony Danych Osobowych będzie uprawniony do czynnego udziału w postępowaniu poprzez zgłaszanie swoich uwag i propozycji do decyzji, którą ostatecznie wyda irlandzka Komisja Ochrony Danych (ang. Data Protection Commission).
Uprawnienia te wynikają z działu VII RODO, dotyczącego współpracy i spójności. Wskazuje się w nim wprost, że organ wiodący zobowiązany jest do niezwłocznego przekazywania wszelkich, niezbędnych informacji organom, których sprawa dotyczy. Jest nadto zobowiązany do przedłożenia projektu decyzji, w celu uzyskania ich opinii i należytego uwzględnienia ich uwag, a zatem Urząd Ochrony Danych Osobowych będzie miał realny wpływ na ostateczne rozstrzygnięcie w przedmiotowej sprawie.
Abstrahując od samego toku postępowania, największe emocje budzi bez wątpienia jego potencjalny efekt. Jeśli w wyniku rozpatrzenia sprawy okaże się bowiem, że Facebook faktycznie naruszył zasady ustanowione przez RODO organ wiodący może nałożyć na niego karę wynoszącą równowartość 4 proc. rocznych globalnych przychodów. Ze względu na gigantyczne obroty serwisu Marka Zuckerberga, kwota kary mogłaby przekroczyć 1,6 mld dolarów. Internetowemu krezusowi, którym jest Facebook, zapłata kary w prognozowanej kwocie niewątpliwie nie spowoduje trudności finansowych, mogących zagrozić istnieniu serwisu. Biorąc jednak pod uwagę częstotliwość oraz kaliber pojawiających się incydentów oraz wiążących się z tym potencjalnych postępowań, nie można wykluczyć, że kwestia sankcji wynikających z coraz to kolejnych naruszeń może zrodzić problem, stanowiący nie lada wyzwanie dla zarządzających serwisem.