Marek Mądrzejewski: Naszym gościem jest doktor nauk prawnych Edyta Bielak–Jomaa, generalny inspektor ochrony danych osobowych. Witam serdecznie.
Edyta Bielak–Jomaa: Witam, dzień dobry.
Z roku na rok nasze dane osobowe są coraz więcej warte, o czym najlepiej świadczą ich regularne wycieki, mnożące się włamania hakerskie, coraz sprytniejsze metody ich pozyskiwania, wreszcie kwitnący nielegalny handel tymi danymi. Handel albo szantaż, jak to się zdarzyło Plus Bankowi ze strony Razora 4 żądającego 200 albo 400 w przypadku rozłożenia na raty tysięcy okupu za nieujawnienie danych, w posiadanie których nielegalnie, ale wskutek złych zabezpieczeń bankowej sieci wszedł na początku roku. Czy prawdą jest, jak włamywacz stwierdzi w swoim oświadczeniu (cytuję za portalem niebezpiecznik.pl), że informował o nieprawidłowościach, o kradzieży danych jeszcze w maju głównego inspektora ochrony danych osobowych, a w kwietniu pytał o ewentualne konsekwencje wobec niefrasobliwego banku?
Rzeczywiście taka informacja gdzieś dotarła na temat takiego zachowania, natomiast nie traktowaliśmy tego, ponieważ nie dotarła ona do nas w taki sposób, żeby można było potraktować to jako skargę albo jakąś informację. Myślę, że tutaj chodziło o wywołanie pewnego zamieszania, być może sprowokowanie jakiegoś działania przez hakera.
Ja mam skan tego maila i faktycznie nie ma w nim nazwy banku, nie ma opisu tej konkretnej sytuacji, tylko takie hipotetyczne pytanie: co by się stało, gdyby bank...
Tak.
Co GIODO radzi osobom, których danych zostały wykradzione i opublikowane w Internecie?
No, to wszystko zależy od tego, o jakich danych mówimy, o jakich danych kradzionych...
No, tam był komplet.
...i opublikowanych w Internecie, ale rzeczywiście może na początek powiedzmy sobie tak: dane osobowe należy chronić i mamy pewne mechanizmy, my jako osoby prywatne, jako tak zwane podmioty danych, do tego, żeby danych osobowych naszych chronić. Przede wszystkim, i od tego chyba trzeba zacząć, że pamiętać o tym należy, po co komu, kiedy, jakich danych udostępniamy.
Czego mam się bać po prostu.
Czego mam się bać, naturalnie. Jeśli chcę udostępnić swoje dane, to muszę wiedzieć, jakie są konsekwencje tego, że te dane są udostępnione. Natomiast jeśli dzieje się to poza nami, nie mamy świadomości, występowaliśmy do banku o kredyt na przykład i te nasze dane są ujawnione, no to tutaj już jest kwestia odpowiedzialności administratora danych i możliwości dochodzenia przez podmiot danych, czyli przez nas, przez obywateli, swoich praw. W przypadku naruszenia ustawy o ochronie danych osobowych, no bo o tym możemy mówić, są przewidziane przepisy karne, które my możemy stosować za ujawnienie czy niewłaściwe zabezpieczenie danych osobowych w zależności od tego, czy są to dane zwykłe, czy dane tak zwane wrażliwe, czyli dane, które ujawniają pochodzenie chociażby rasowe albo stan zdrowia, np. niepełnosprawność, przewidziane są odpowiednie kary, kary grzywny, ograniczenia wolności, łącznie z karą pozbawienia wolności do dwóch, a w przypadku danych wrażliwych do trzech lat.
No ale kary to jest jedno, a zadośćuczynienie to jest drugie. I rozumiem, że tego też możemy się domagać.
Zadośćuczynienie, naturalnie. Oczywiście, mówimy tutaj o tak zwanych dobrach osobistych i przechodzimy na grunt kodeksu cywilnego, dochodzimy swoich roszczeń z kodeksu cywilnego.
A jakie działanie GIODO może podjąć w przypadku takich incydentów, a dokładnie w tym konkretnym przypadku? Czy Plus Bank może być ukarany, gdyby okazało się, że jego ochrona danych klientów była niewystarczająca?
Prawo bankowe przewiduje, że kto jest zobowiązany do zachowania tajemnicy bankowej, a tutaj na pewno mówimy o tajemnicy bankowej, ujawnia albo wykorzystuje informacje, które stanowią tajemnicę bankową, niezgodnie z upoważnieniem, o którym mowa w ustawie, podlega grzywnie do miliona złotych i karze pozbawienia wolności do lat 3. GIODO oczywiście ma uprawnienia wynikające z ustawy o ochronie danych osobowych, przyjmując, że dane osobowe, ustawa została naruszona, a dane osobowe wyciekły, brzydko mówiąc, no, podejmuje określone działania. Wzywa przede wszystkim do wyjaśnienia, może kontrolować, czy dokumenty były odpowiednio zabezpieczone, te dokumenty, w których dane się znajdują. I na skutek takiego postępowania, tak jak mówię, w przypadku, w konkretnym przypadku...
Stwierdzenia ułomności, tak mówiąc elegancko.
...tak, kierujemy sprawę na przykład do prokuratury, uznając, że mamy do czynienia z potencjalnym zagrożeniem czy z potencjalnym przestępstwem.
Pani doktor, jak postępuje wdrażanie nowelizacji ustawy o ochronie danych osobowych, która weszła w życie z początkiem roku? Jakie rozporządzenia wydano, na jakie czekamy?
Ta ustawa, ta zmiana ustawy, która weszła w życie w styczniu 2015 roku, dotyczy przede wszystkim wzmocnienia pozycji tak zwanego ABI-ego, czyli administratora bezpieczeństwa informacji, czyli tej osoby, administratora danych osobowych, która ma wzmocnić ochronę danych osobowych, klientów, konsumentów, pracowników, wszystkich tych osób, których dane są przetwarzane przez administratora danych osobowych. My odczytujemy te zmiany jako pozytywną zmianę, mimo iż niektórzy bardzo chcieliby i głośno o tym mówią, z czym absolutnie się nie zgadzamy, że ABI będzie traktowany jako piąta kolumna albo jako dodatkowe oko GIODO. Proszę tego absolutnie tak nie traktować, my chcemy...
Aczkolwiek z punktu widzenia klientów akurat wcale by nas to nie martwiło, gdyby GIODO miało piąte oko.
Tak, chcemy traktować ABI-ego jako osobę, która wzmocni tak naprawdę administratora danych osobowych. To ma być osoba, która jest kompetentna, odpowiednio wykształcona, czyli ma doświadczenie zawodowe i wiedzę...
Kto decyduje o wyborze, kto powierza tę rolę i komu?
Administrator danych osobowych, to w jego kompetencji należy powierzenie roli ABI-ego pracownikowi, który do tej pory jest zatrudniony i administrator uznaje, że ma odpowiednią wiedzę i doświadczenie, bądź też zatrudnia na to stanowisko kogoś, kogo wiedza i kompetencje jest w stanie ocenić. Tutaj chodzi o to, żeby mieć taką pewność, że osoba, którą zatrudniamy, czy osoba, z której pracy korzystamy w zakresie zabezpieczenia danych, zna się na tym i wie, w jaki sposób prowadzić tę politykę zmierzającą do ochrony danych osobowych wszystkich podmiotów danych, których dane są przetwarzane, czyli wszystkich nas, których dane są przez administratora przetwarzane, po to, żeby właśnie nie doprowadzić do takiej sytuacji wycieków, ujawniania danych, tak, żebyśmy mieli świadomość i pewność, że nasze informacje, nasza prywatność jest odpowiednio chroniona.
Czy jakiś rejestr tych ABI-ch będzie prowadzony?
Tak, jest prowadzony, zgłasza się ABI-ch do rejestru prowadzonego przez GIODO, do końca czerwca zapraszamy ABI-ch, którzy wykonują swoje funkcje, do zgłaszania do rejestru. Zgłoszeń już jest mnóstwo, bo około 7 tysięcy, więc myślimy, że jest bardzo dobry odzew, jeśli chodzi o zabezpieczenie danych.
W każdym razie przypominamy – tydzień pozostał, aby ten proces (...)
Tak, żeby zgłaszać ABI-ch.
A pięć sekund pozostało do tego, żebyśmy się pożegnali. Doktor nauk prawnych Edyta Bielak–Jomaa, generalny inspektor ochrony danych osobowych, była naszym gościem.
Dziękuję bardzo.
(J.M.)
