14:57
2/7/2018

Ogromnym osiągnięciem (i zaletą) RODO są przepisy nakazujące zgłaszanie wycieków. Już wiemy ile takich zgłoszeń wpłynęło do Urzędu Ochrony Danych Osobowych w pierwszym miesiącu stosowania rozporządzenia w Polsce. Wiemy też czego najczęściej dotyczyły.

72 godziny na zgłoszenie naruszenia

Przypomnijmy, że RODO zawiera dwa przepisy dotyczące informowania o wyciekach danych.

  1. W przypadku naruszenia ochrony danych osobowych, administrator informuje o naruszeniu organ ochrony danych. Ma na to 72 godziny od czasu stwierdzenia naruszenia (art. 33 RODO).
  2. Jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (to już art. 34 RODO).

Dobrze wiecie, że po wprowadzeniu RODO trochę wycieków już było. Zapewne zastanawialiście się ile takich incydentów zostało już zgłoszonych. My zadaliśmy to samo pytanie Urzędowi Ochrony Danych Osobowych, czyli UODO (dawnemu GIODO).

Pierwszy miesiąc, ponad 320 zgłoszeń

Biuro prasowe UODO odpowiedziało nam, że w okresie od 25 maja do 29 czerwca do Prezesa UODO wpłynęło ponad 320 zgłoszeń naruszeń ochrony danych osobowych, czyli średnio ok. 10 dziennie. Zgłoszenia mogły dotyczyć wydarzeń takich jak:

  1. naruszenie poufności danych, a więc nieuprawnione lub przypadkowe ujawnienie bądź udostępnienie danych;
  2. naruszenie integralności danych, tj. wprowadzenie nieuprawnionych zmian podczas odczytu, zapisu, transmisji lub przechowywania;
  3. naruszenie dostępności danych, czyli brak możliwości wykorzystania danych w założonym czasie, przez osobę do tego uprawnioną.

Biuro prasowe wyjaśniło, że większość zgłoszeń dotyczyło “klasycznych” wpadek odnoszących się do danych pojedynczych osób lub niewielkich grup.

Chodzi tu przykładowo o sytuacje wysłania (pocztą elektroniczną bądź tradycyjną), a przez to udostępnienia, danych osobowych niewłaściwej osobie w wyniku błędu lub pomyłki pisarskiej (np. wysłanie faktury innemu odbiorcy).

Duża część zgłoszeń dotyczy ujawnienia adresów e-mail osobom nieuprawnionym na skutek masowej wysyłki jednobrzmiącej korespondencji do kilkudziesięciu, a czasami kilkuset adresatów, bez ukrycia ich adresów poczty elektronicznej. W większości tych przypadków korespondencja dotyczyła aktualizacji polityki prywatności administratora.

Jak nie brak BCC to co?

Poza tym sporo było zgłoszeń związanych z kradzieżą bądź zgubieniem dokumentów papierowych lub nośników elektronicznych (pendrive, telefon, laptop), na których były dane osobowe. Jeśli chodzi o zgłoszenia dotyczące poważniejszych naruszeń, obejmujących dane osobowe kilkuset osób, to biuro prasowe stwierdziło, że do tej pory wpłynęło ich do Prezesa UODO zaledwie “kilka”. Domyślamy się, że wśród tych kilku mogło być jedno od mBanku, jedno od dolnośląskiego urzędu i być może coś związanego z CV.pl.

Poza tym UODO odnotował zgłoszenia naruszeń dotyczące systemów teleinformatycznych, w których w wyniku błędów programistycznych bądź działania złośliwego oprogramowania, doszło bądź mogło dojść do utraty dostępu do danych bądź ich ujawnienia. Biuro prasowe UODO podkreśliło, że w tych przypadkach administratorzy danych wykazali się szybką reakcją na zaistniałe zagrożenia. Opisaliśmy jeden taki przypadek w IPLA TV, i faktycznie reakcja administratorów serwisu była bardzo szybka.

Pierwszy miesiąc to zbyt wcześnie aby mówić o karach. Ale spokojnie — i o nie niebawem odpytamy UODO.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. 320 na miesiąc na 38 milionów mieszkańców to tyle co nic w porównaniu do absurdów, które za sobą pociąga.

    • CIekawe ile nie bylo zgloszonych ;)

    • A konkretnie jakich? Pytam o rzeczywiste absurdy wynikające z RODO, a nie o te wynikające z niewiedzy i braku umiejętności czytania ze zrozumieniem.

    • @pcs taki przykład. Masz firmę w której pracuje 10 radców. Każdy ma swoja firmę ale pracują razem w jednym lokalu i nieraz nad jednymi sprawami.
      Jest tak wszędzie i od zawsze i nagle masz niesamowitą papierkologie. Po prostu przepisy tego jakoś nie rozwiązują.
      Problem tego że musimy wiedzieć skąd sie wzięły dane kto je przetwarzał kiedy i jak. Cóż teoretycznie istnieją systemy ale w praktycznie jest to fikcja dla większosci firm bo rozwiązania są poza ich zasięgiem.
      Dalej to programy pocztowe…

      Największy to obowiązek informacyjny i brak zgody domniemanej. Skoro tu pisze to dla mnie jasne jest że wyrażam zgodę na przetwarzanie moich danych. Ale… No właśnie nie dla ustawodawcy. Mamy prawo i jego znajomość dotyczy wszystkich. Informowanie wszędzie i o wszystkim zaczyna prowadzić do tego że wchodząc na stronę dostajesz litanie informacji.

      A szkoły? Cóż po numerkach wołają to podobno przesada. Ale z drugiej strony jeśli na korytarzu albo pod oknami pojawi się ktoś nieuprawniony to już sprawa przestaje być oczywista a zaczyna być to realne ujawnienie danych.
      Przedstawiasz swoim zdaniem niebezpieczny trend jaki zaczął panować. “przesadzacie nic w rodo takiego nie ma” Czyli jest kilka opcji. Albo wszyscy zaczynamy traktować wiele zapisów i sytuacji z przymrużeniem oka żeby funkcjonować normalnie albo “fachowcy” zlewają problem bo nie mają pomysłu jak to wdrożyć. Albo jedno i drugie.
      Kolejna opcja że najnormalniej fachowe uspokajanie skończy się jak zaczną się kary.

      Ilość obowiązków związanych z danymi zaczyna być absurdalna. Najśmieszniejsze że nie przyczyni się to do bezpieczeństwa danych. Rodo jest miałkie. Kara za błędy. Nie kara jednostek świadomie działających a podmioty. Nie rozwiązuje problemu wykorzystania danych pozyskanych bez zgody. Nie rozwiązuje problemu spamowania na adresy pozyskane z sieci.

      Pomysł był taki żeby ludzie wiedzieli co się z ich danymi dzieje. Wiedzieli przed rodo i wiedzą teraz. Dokładnie tak samo mało :D Przeczytałeś wszystkie wyskakujące okienka na każdej stronie? Powiadomienia z wszystkich programów zainstalowanych na komórce
      Jeśli nawet należysz do szaleńców dalej nie wiesz nic.
      Po kilku dniach przerwy w masowym przychodzeniu spamu problem powrócił. Cóż przychodzi spoza zwiazku krajów socjalistycznych ale ten sam syf.
      Prawnicy po wdrożeniu rodo u klientów zaczynają szukać dziur w rodo dla klientów :D

      Największym absurdem w rodo jest jej biurokratyczny charakter. Skupiamy się na informowaniu raportach dokumentacji i samo donosie. No i karach. Za to złodzieje i handlarze danych mają się całkiem nieźle. Nie ma żadnych sensownych narzędzi żeby ich zatrzymać.

    • @Krzysztof Kozłowski – pcs pytał o konkrety, a nie “nagle masz niesamowitą papierkologie” czy “Ilość obowiązków związanych z danymi zaczyna być absurdalna”. Powielasz tylko te mity, które generują spam i brednie informacyjne na stronach, czego najlepszym dowodem jest “Największym absurdem w rodo jest jej biurokratyczny charakter” – otóż nie, RODO zlikwidowało biurokrację, która była wcześniej. Tylko teraz zamiast biurokracji trzeba na prawdę chronić dane.

    • @Krzysztof Kozłowski
      Rzeczywiście, ilość dokumentów może być duża. Nie wiemy jednak na ile wynika to z zasady rozliczalności RODO, a na ile z naszego zamiłowania do dupochronów. Zawsze powtarzam, że zgodnie z RODO, mały podmiot powinien prowadzić mało dokumentacji, a duży z duża skalą przetwarzania (tak, niejasność tego pojęcia jest wkur…) powinien prowadzić jej „odpowiednio” więcej.

      Ale poza zasadą rozliczalności i niejasnością co do zasad określania wysokości kar, to pozostałe problemy nie pojawiły się wraz z RODO, a walczyliśmy z nimi już wcześniej na gruncie ustawy i dyrektywy.

      A pomysł, żeby każdy z radców był osobnym administratorem, nie wynika z RODO tylko z projektu ustawy dostosowującej. Oczywiście, możemy mieć sytuację, że 10 przedsiębiorców albo radców będzie pracowało na tym samym sprzęcie i poza szczególnym przypadkami żaden z niech nie powinien mieć dostępu do danych pozostałych. Ale to jest tak oczywiste, że rodo nie jest potrzebne. Być może powierzą przetwarzanie właścicielowi sprzętu, albo zostaną współadministratorami (i to jest nowość z RODO, chociaż Brytyjczycy to już mieli na gruncie ich ustawy i sobie radzili).
      A jeżeli radcowie pracują nad jedną sprawą? Też strasznej zmiany tu nie widzę. Mogę nie pamiętać tu szczegółów, ale w wypadku tajemnicy racy i tak należało wprowadzić odpowiednie mechanizmy, również wobec pracowników kancelarii. Kodeks etyki mówi nawet o zabezpieczeniach.

  2. Zwykły obywatel raczej nic nie zgłosi.

    Patrzył bym na firmy powyżej 10 osób, których jest 135tys. Wzglenie małe firmy których jest 2mln.
    Daje to 2.8% w skali roku. Dość dużo.

    • Jestem zwykłym obywatelem, zgłosiłem.

      Dzwonie telemarketer, odbieram:
      – Dzień dobry tu pani dfskdnflskndg (zbyt szybko by zrozumieć) Czy mogę Panu przedstawić ofertę na…
      – Nie dziękuję, proszę usunąć mój numer z Państwa bazy.
      – Nie mogę Panie X (?! tu moje imię WTF)

      I się rozłączyła.

      Zgłosiłem to do UODO z uwagi na: ma obowiązek usunąć mój numer, znała moje imię więc ma moje dane choć mojego nr nigdzie nie ma podanego, sam też zawsze odznaczałem i odznaczam wszystkie zgody na tego typu gówna.

      UODO zostało bodajże jeszcze 9 dni na odpowiedź :)

    • Ale tu mówimy o naruszeniach zgłaszanych przez administratora danych, a nie o skargach składanych do organu…

  3. np 1 naruszenie mogło dotyczyć miliona rekordów :) to już nie wyglada tak słodko

  4. A Ministerstwo Cyfryzacji nie zgłosiło naruszenia dostępności danych, czyli brak możliwości wykorzystania danych w założonym czasie, przez osobę do tego uprawnioną w sprawie niedostępności krytycznych systemów centralnych??

  5. A ja dalej dostaję MB spamu, na który nie wyrażałem zgody i “wypisania” nic nie dają… a miało być tak pięęęknieeee…

    • Użycie linku unsubscribe nie jest równoznaczne z usunięciem twoich danych, bo to zazwyczaj dotyczy samego newslettera. Sprawdź, czy masz coś w stopce takiego SPAMowego emaila – zazwyczaj jest tam informacja o tym na jakiej podstawie dostałeś tego emaila i kto jest administratorem danych. Wtedy możesz napisać do administratora danych z prośbą o zaprzestanie przetwarzania danych i ich usunięcie. Ja w ten sposób pozbyłem się już moich danych z kilku zbiorów :)
      Inna sprawa jak masz np. darmową skrzynkę na onecie – wtedy SPAMu się nie pozbędziesz :P

    • Do mnie przychodzi już tylko SPAM spoza UE, nawet te same treści, które poprzednio miały linki do stron .pl. Oczywiście wszystko ładną polszczyzną i zdecydowanie kierowane do Polaków. Krótko mówiąc, w zakresie SPAMu nic się nie zmieniło i nie widzę, aby miało się zmienić w przyszłości…

    • A to myślałeś, że jak wejdzie RODO, to przestaniesz dostawać SPAM z chińskich serwerów?
      RODO nic tu nie zmieni, jeśli ktoś w nielegalny sposób pozyska twojego emaila i zacznie cię SPAMować. Z resztą, co to za problem aby ustawić sobie filtry dla takich wiadomości.

  6. Też zgłaszałem sprzedaż danych osobowych przez pracownika orange ale nadal czekam o odpowiedź. Numery 146467469 oraz 123956019 dzwonią i znają dane osobowe, mimo, że karta jest bez zgód na rozpowszechnianie oraz numer telefonu znany jest tylko dla operatora to firma zewnętrzna zna dane osoby do której dzwonią. Dużo osób padło ofiarą (sprzedaży / kradzieży) danych, samo orange nic z tym nie robi z obawy przed karą i kompromitacją a UODO jeszcze nie odpowiedziała na złamanie prawa przez orange.

  7. Naprawdę. Proszę!
    Rozróżniajcie zawiadomienie o naruszeniu składane przez administratora danych, od skargi składanej przez osobę, której dane dotyczą…

  8. Ja zakładałem, że jak mam własną małą działalność to nie przetwarzam danych. Ostatnio mojemu dowiedziałem się, że muszę, bo jak np. wystawiam faktury to osoba podpisana na fakturze już ma dane osobowe. I teraz pytanie jak sobie z tym poradzić? Patrzyłem po wszystkich ‘sieciowych’ tutorialach, ale ceny wahają się ogromnie. Ostatecznie skorzystałem z [usunięty-link-przez-redakcje] Za 99 złotych dostałem szkolenie, certyfikat i mnóstwo dokumentów. I absolutnie wystarczy.

    • I ten spam, to jest rzeczywisty problem RODO.
      Ilość spamu i ofert za 50, 100, 400zł jest zatrważająca.
      I nie chodzi o cenę, ale o sugerowanie, że kupienie takiej “spersonalizowanej” dokumentacji wystarczy.
      I jak ma przedsiębiorca wiedzieć o co w tym chodzi? Albo kupi taką “dokumentację” albo znajdzie w necie informacje, że gdy wystawia fakturę, to potrzebuje zgody na przetwarzanie danych…
      Oczywiście, że nie wszystkich stać na moją usługę i nie wszystkim jest ona potrzebna, bo nie do każdego trzeba wysyłać kilku audytorów na dwa tygodnie. Ale prawda jest taka, że kupujący takie gotowce, nie mają szansy chociażby na poprawne zidentyfikowanie czynności przetwarzania. Tylko że korzystający z usług wielu firm, które ostatnio powstały, też nie mogą na to liczyć :(

    • śmierdzi reklamą na kilometr

    • No cóż… Można zapłacić i więcej, ale to niczego nie zmienia. W razie kontroli może się okazać, że wystarczyło przeczytać to RODO, a tak po prawdzie to pracować na zasadzie starej ustawy o ochronie danych osobowych z rozporządzeniem włącznie. Mała firma to dane osobowe ma raczej tylko na fakturach klientów. No chyba, że ma pracowników na umowie o pracę czy umowie dzieło a;bo podwykonawców, to także są dane osobowe. Jak chronić dane osobowe? Rozsądnie! Po prostu nie szpanować nimi na widoku! Czy własny dowód osobisty nosicie w sposób umożliwiający skopiowanie informacji z dowodu? Czy dowód osobisty trzymacie na widoku w biurze, tak aby każdy zainteresowany mógł sobie poczytać? A czy choćby telefonu nie zabezpieczacie przed nieuprawniony uruchomieniem? A dlaczego? Bo tam są wasze prywatne skarby?! No to dane osobowe osoby trzeciej, są dla tej osoby prywatnym skarbem! Tak trudno to zrozumieć? Trzeba aż szkoleń i certyfikatów? A potem kontroli i kar.. :-)

  9. “trochę wycieków już było” – chwalę za pomysłowość podlinkowania pod każde słowo innego artykułu, taka mała rzecz, a cieszy – jak to się zwykło mówić

  10. hahahahhaha FIKCJA

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.