TOP 10 - incydenty ODO w Polsce

Mój subiektywny ranking rozpoczynam od wycieku danych osobowych z urzędu miasta i gminy Węgrowiec w 2010 roku (Numer 10). Na stronie Biuletynu Informacji Publicznej pojawiały się dane osobowe osób składających skargi i wnioski. Nie było to tylko imię i nazwisko ale również dokładny adres zamieszkania, gdyż takie wymagania nakłada Kodeks postępowania administracyjnego.

Pierwotnie pracownicy urzędu twierdzili, że tak robią wszystkie urzędy, ale szybko zaczęto usuwać dane osobowe ze stron urzędu. Po zgłoszeniu jednego z poszkodowanych prokuratura rejonowa wszczęła postępowanie, a policja dochodzenie…

Jest to dotkliwy incydent, ponieważ najbardziej uderza w opinie o pracownikach urzędu. Może się zdarzyć tak, że w jego wyniku będzie mniej odważnych do złożenia skargi w urzędzie… Chyba, że będzie to skarga na udostępnienie danych osobowych bez zgody uprawnionego.

Numer 9.

Pod koniec marca 2012 r. na zgliszczach ugaszonej przez straż pożarną altany śmietnikowej warszawska straż miejska znalazła nadpalone dokumenty, zawierające dane osobowe osób z całej Polski. Nie podano, jaka instytucja dopuściła się takiego zaniedbania. Dokumenty zabezpieczono i przekazano policji. Na tym wszelkie informacje się kończą. Można jedynie spekulować, która instytucja w tak dziwaczny sposób chciała usunąć dane osobowe w wersji papierowej. Biorąc pod uwagę to, że nie ujawniono źródła przecieku można przypuszczać, że chodzi o jakąś instytucję państwową.

Numer 8.

Udostępnienie na stronie internetowej elektronicznego dziennika urzędowego województwa podkarpackiego listy biegłych sądowych wraz z ich wszystkimi danymi osobowymi. Dane takie jak numery PESEL, adresy zamieszkania i telefony komórkowe mógł pobrać każdy. Najbardziej szokujące było to, że pod dokumentem podpisał się prezes Sądu Okręgowego w Przemyślu. Korzystając z udostępnionej listy oskarżeni z łatwością mogli dotrzeć do orzekających w ich sprawach biegłych i wpłynąć na ich opinie.

Numer 7.

Udostępnienie przez informatyka Urzędu Skarbowego Warszawa-Śródmieście danych osobowych ok. 400 podatników. Urząd Skarbowy, chcąc przypomnieć podatnikom o możliwości składania zeznań podatkowych za pośrednictwem internetu, przesłał im taką informację drogą mailową, ujawniające tym samym dane osobowe wszystkich adresatów wiadomości. Poza ujawnieniem danych osobowych, złamano jednocześnie tajemnicę skarbową określoną w ordynacji podatkowej. Urząd stwierdził jedynie, że ich pracownik zrobił to przez nieuwagę i w związku z tym nie można wyciągnąć wobec niego konsekwencji, a jedynie przestrzec i pouczyć.

Numer 6.

Kradzież hakerska danych osobowych ok. 1 500 studentów Akademii Morskiej w Szczecinie i udostępnienie ich w serwisie Twitter. Były to dane takie jak imię, nazwisko, adres mailowy, numer telefonu. Dane te zostały wykradzione z Biura Karier, co wyraźnie wskazuje na wyjątkowo słabe zabezpieczenia informatyczne uczelni. Władze uczelni zgłosiły sprawę na policję. Swoje niedopatrzenie tłumaczyły tym, że dane były zabezpieczane zewnętrznym oprogramowaniem, które to zabezpieczenie zostało złamane. Najciekawsze jest to, że policja bada kto wykradł dane, ale nie wyciągnęła żadnych konsekwencji wobec uczelni, która dane w sposób niewystarczający zabezpieczyła.

Numer 5.

Ściągnięcie kilkuanastu tysięcy CV z serwisu terazpraca.pl. Osoba, która weszła w posiadanie tej bazy danych oferowała jej sprzedaż. Co ciekawe, sprawę ujawniło radio RMF FM, które poinformowało GIODO o incydencie. GIODO przeprowadził kontrolę w serwisie terazpraca.pl, informując jednocześnie, że osoby poszkodowane powinny zgłaszać się na policję, a osoby, które zechcą kupić skradzioną bazę danych będą de facto łamały prawo, gdyż posiadanie danych osobowych przez osobę nieuprawnioną jest zgodnie z ustawą przestępstwem.

Numer 4.

Wyciek danych osobowych 155 klientów ubezpieczyciela Link4. Dane zostały udostępnione na zewnątrz z powodu błędnego zaadresowanie poczty elektronicznej przez jednego z pracowników. Dane trafiły do pracownika firmy botak.com.pl. Wśród przekazanych danych znalazły się imiona i nazwiska właścicieli pojazdów, marki i modele samochodów oraz ich numery rejestracyjne. Najbardziej przerażające było to, że firma Link4 nie zorientowałaby się w swojej pomyłce gdyby nie osoba, która otrzymała omyłkowego maila. Odnosząc się do doniesień medialnych GIODO poinformował jedynie, że w wyniku incydentu tylko jedna osoba weszła w nieuprawnione posiadanie danych osobowych i firma Link4 poprosiła ją o ich usunięcie. W związku z tym GIODO nie widzi potrzeby podejmowania dalszych kroków i ma nadzieję, że osoba ta usunie dane.

Numer 3.

Bardzo słabe zabezpieczenia jednego z największych dostawców usług multimedialnych (internet, telewizja, telefon) – firmy Multimedia Polska. Jeden z klientów firmy, korzystając ze swojej amatorskiej wiedzy informatycznej uzyskał dostęp do danych 700 tysięcy klientów firmy. Klient odkrył między innymi, że główny administrator ds. bezpieczeństwa systemu informatycznego, czyli osoba z najwyższymi uprawnieniami, posiadał prosty pięcioliterowy login i równie proste, siedmioznakowe hasło. Na straży tak wielkiej bazy danych nie było żadnych innych zabezpieczeń.

Numer 2.

Wyciek danych osobowych ok. 1 000 dziennikarzy z elektronicznego biura prasowego KS Legia Warszawa. Klub wykrył wyciek niedługo po tym jak do niego doszło, ale ze względu na to, że ustawa o ochronie danych osobowych nie nakłada na niego takiego obowiązku, nie ujawniał tego faktu. Zawiadomienie o podejrzeniu popełnienia przestępstwa klub złożył dopiero kilka dni po wypłynięciu pierwszych informacji o incydencie. Wykradzione, jak się później okazało, dane osobowe zawierały imiona, nazwiska, adresy, a nawet numery PESEL. Złodziej danych oferował ich sprzedaż za 500 zł. Miał już nawet na nie kupca, który jednak zrezygnował z zakupu, gdy się dowiedział, że zbiór nie zawiera numerów kart kredytowych

Moim zdaniem bezapelacyjnym numerem 1 jest jeden z największych incydentów, wg GIODO, do jakiego doszło w Polsce. Bank PEKAO SA udostępnił na stronie internetowej www.zainwestujwprzyszłość.pl 1,5 tysiąca CV nadesłanych przez osoby szukające pracy w banku. Po wypłynięciu informacji bank oczywiście za zaistniałą sytuację przepraszał ale winą za całe zajście obarczył firmę zewnętrzną, która w niewystarczający sposób zabezpieczyła dane osobowe. Po kontroli GIODO ocenił, że największą odpowiedzialność za incydent ponosi firma, która stworzyła stronę internetową. Nie mógł jednak podać szczegółów gdyż bank złożył ostatecznie zawiadomienie o podejrzeniu popełnienia przestępstwa i zostało wszczęte postępowanie prokuratorskie.

Czytaj także:

-
4.54/5 (37) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".