Dane osobowe i adresowe oraz kwoty zadłużenia ponad trzech tysięcy czytelników pewnej biblioteki przez pomyłkę trafiły w niepowołane ręce. Zobaczcie, jak powinna wyglądać prawidłowa reakcja na tego typu incydent.
„Biblioteka Miejska w Katowicach (której jestem czytelnikiem z nieposzlakowaną historią wypożyczeń ;)) przysłała mi wiadomość mailową (bez treści) z załącznikiem. Załącznik to plik Excel o nazwie «czytelnicy z zaległymi», zawierający identyfikatory, dane osobowe, adresowe i kwoty zadłużenia kilku tysięcy (!!!) ich czytelników. Na szczęście nie ma mnie na tej liście, ale myślę sobie, że to bardzo ciekawy incydent i czytelnicy-dłużnicy nie byliby zbyt szczęśliwi, gdyby się o tym dowiedzieli” – napisała do z3s pragnąca zachować anonimowość Czytelniczka.
Plik z danymi dłużników
Wiadomość, która do niej dotarła, pochodziła z adresu [email protected] i miała temat „Wysyłanie wiadomości e-mail: czytelnicy z zaległymi.xls”, a w treści standardową formułkę dodawaną przez Outlook przy załączaniu plików oraz podpis, z którego wynikało, że e-mail został wysłany przez pracownika Działu Obsługi Sieci i Kontroli Zbiorów Miejskiej Biblioteki Publicznej w Katowicach.
„Arkusz1” załączonego pliku zawierał w 3153 rekordy, a w nich takie pola jak:
- Identyfikator,
- Dłużnik (Nazwisko i Imię),
- Opiekun prawny,
- Adres dłużnika – Ulica, Nr domu, Kod pocztowy, Miejscowość, Poczta,
- Kwota wierzytelności,
- Szczegóły kar/opłat – Rodzaj kary/opłaty, Daty, Kwota.
Na liście można było znaleźć osoby, których zadłużenie wobec biblioteki przekroczyło 95 PLN. Rekordziści winni byli ponad 10 000 PLN. Żadnych danych nie zawierała tylko sekcja dotycząca kar i opłat. Zanonimizowany fragment pliku możecie zobaczyć poniżej. „Arkusz2” i „Arkusz3” były puste.
Jak zwykle w podobnych przypadkach, postanowiliśmy nawiązać kontakt z instytucją, w której doszło do naruszenia ochrony danych. Zapytanie wysłaliśmy w piątek po południu, odpowiedź otrzymaliśmy w poniedziałek.
Biblioteka wyjaśnia i podejmuje kroki
Z pisma, które podpisała Dyrektor MBP w Katowicach mgr Anna Fałat, wynika, że dane wyciekły „w wyniku błędu pracownika Biblioteki, polegającego na omyłkowym wybraniu adresata wiadomości poczty elektronicznej. Pracownik nie poinformował o swoim błędzie inspektora ochrony danych, administratora ani bezpośredniego przełożonego”. Miał natomiast skontaktować się z Czytelniczką z3s, prosząc ją o usunięcie felernej wiadomości.
Zapytaliśmy naszą informatorkę, czy faktycznie tak było. Potwierdziła, że 1-2 dni po otrzymaniu e-maila z danymi dłużników dostała lakoniczną prośbę o jego skasowanie. „Jednakże nie wydaje mi się, aby było to wystarczające posunięcie po tym, gdy udostępniło się niepowołanej osobie kilka tysięcy adresów” – czytamy w przesłanej nam odpowiedzi. Dopiero po zgłoszeniu incydentu za pośrednictwem z3s Czytelniczka otrzymała od biblioteki oficjalne pismo ze sprostowaniem i zobowiązaniem jej do trwałego usunięcia udostępnionych przez pomyłkę informacji.
W wyjaśnieniu, które dotarło na nasz adres, możemy ponadto przeczytać:
W wyniku przeprowadzonej analizy przepisów RODO ustalono, że o incydencie nie zostaną indywidualnie zawiadomione osoby, których dane dotyczą, albowiem nie wystąpiło ryzyko naruszenia ich praw i wolności, tj. nie występuje przesłanka wymagana do zawiadomienia, a wskazana w art. 34 ust. 1 RODO. Dla przykładu, ujawnione dane nie wystarczą do kradzieży tożsamości mogącej naruszyć prawa lub wolności osób fizycznych. Ponadto w art. 34 ust. 3 RODO stwierdzono, że zawiadomienie nie jest konieczne, gdyby wymagało to niewspółmiernie dużego wysiłku – to w takim przypadku ma zostać wydany publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o incydencie. Biorąc pod uwagę, iż chodziło o liczbę 3153 osób, stwierdzono – pomimo oceny niskiego ryzyka – że komunikat o incydencie zostanie zamieszczony na stronie BIP Biblioteki.
Sprawdziliśmy, na stronie Biuletynu Informacji Publicznej katowickiej biblioteki rzeczywiście pojawił się „Komunikat z dnia 30.07.2018 r. o naruszeniu ochrony danych”. Można się z niego dowiedzieć, że środkiem zastosowanym w celu zminimalizowania negatywnych skutków incydentu było wspomniane wcześniej zobowiązanie osoby, której omyłkowo przekazano dane, do trwałego ich usunięcia. W piśmie, które otrzymaliśmy, można dodatkowo przeczytać:
Co do działań zapobiegawczych, które ograniczą ryzyko wystąpienia podobnych zdarzeń w przyszłości, informuję, że pracownicy zostaną zobowiązani do uważności oraz szyfrowania dokumentów zawierających dane osobowe i wykorzystywania alternatywnych sposobów wymiany dokumentów z danymi.
(…) Pracownik, który popełnił błąd, zostanie ukarany dyscyplinarnie.
Czy podjęte przez bibliotekę działania są wystarczające?
Z takim pytaniem postanowiliśmy zwrócić się do kogoś, kto naukowo i zawodowo zajmuje się ochroną danych osobowych. Komentarza udzielił nam Piotr Siemieniak, doktorant WPiA UG, właściciel firmy upsecure.pl.
Naruszenie ochrony danych osobowych zostało zdefiniowane w art. 4 pkt. 12 ogólnego rozporządzenia o ochronie danych. Oznacza ono naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W omawianym przypadku mamy do czynienia z przypadkowym ujawnieniem danych osobowych osobie nieupoważnionej do ich przetwarzania. W tej sytuacji należy zweryfikować, czy istnieją obowiązki notyfikacyjne w stosunku do organu ochrony danych osobowych (Prezesa Urzędu Ochrony Danych Osobowych) oraz osób, których dane naruszenie dotyczy.
Informowanie o naruszeniu ochrony danych
Zgłoszenie naruszenia ochrony danych do PUODO (art. 33 RODO) jest wymagane, gdy zachodzi prawdopodobieństwo, że naruszenie skutkowałoby ryzykiem naruszenia praw lub wolności osób fizycznych. Natomiast osobę fizyczną o naruszeniu ochrony danych należy zawiadomić, gdy naruszenie powodowałoby wysokie ryzyko naruszenia praw lub wolności (art. 34 RODO).
W związku z tym administrator danych powinien przeprowadzić analizę ryzyka określającą prawdopodobieństwo materializacji tego ryzyka oraz jego oddziaływanie na osoby fizyczne objęte naruszeniem. Należy zwrócić uwagę, że motyw 85 RODO daje wskazówki administratorowi danych dla procesu przeprowadzania analizy ryzyka. W procesie analizy ryzyka administrator danych musi przewidzieć możliwość powstania uszczerbku fizycznego oraz ryzyk związanych ze szkodami majątkowymi i niemajątkowymi, które przykładowo obejmują m.in. kradzież tożsamości, utratę kontroli nad własnymi danymi osobowymi, dyskryminację, stratę finansową. Motyw 85 zawiera otwarty katalog przesłanek, które należy uwzględnić w procesie analizy ryzyka. Każdorazowo administrator danych musi uwzględnić inne ryzyka, które nie są wymienione w omawianym motywie.
Analiza przypadku i lekcja na przyszłość
W analizowanym przypadku naruszenie ochrony danych polega na ujawnieniu danych wyłącznie jednej osobie. Prawdopodobieństwo wystąpienia ryzyk i ich oddziaływanie jest znacznie mniej dotkliwe niż w sytuacji, gdyby dane zostały opublikowane w sieci dla nieograniczonego grona odbiorców.
Uważam, że postępowanie administratora danych jest w pełni prawidłowe, a proponowane środki bezpieczeństwa, które mają w przyszłości ograniczyć lub wyeliminować podobne naruszenia, są zasadne pod warunkiem, że zostaną skutecznie zaimplementowane.
Należy pamiętać o tym, że organ ochrony danych może zażądać realizacji obowiązku notyfikacyjnego z art. 34 ust. 4 RODO wobec osób, których naruszenie dotyczy, gdyby stwierdził, że naruszenie może spowodować duże ryzyko naruszenia praw i wolności.
Wygląda na to, że Miejska Biblioteka Publiczna w Katowicach zareagowała na incydent prawidłowo – przynajmniej po otrzymaniu od nas zgłoszenia, bo zachowanie pracownika, który omyłkowo udostępnił dane, pozostawiało wiele do życzenia. Jeśli zaobserwujecie podobny wyciek danych lub inny problem z bezpieczeństwem i będziecie chcieli go nagłośnić, zapraszamy do kontaktu. Gwarantujemy anonimowość i chętnie pomożemy w usunięciu zagrożenia.
Komentarze
Jeśli teraz ta osoba z3s przekazała plik Excel do Was sama może beknąć za rozpowszechnianie danych osobowych.
To nie jest tak, że jak dostaniesz przez przypadek dane osobowe to rozsyłasz je do Onetu, WP i innych.
Oczywista bzdura wynikająca z nieznajomości przepisów. Wytłumacz nam, proszę, jaki jest cel zabierania głosu w Internecie, o rzeczach, o których nie ma się pojęcia?
To jest wielkie pytanie, do 99% osób zabierających głos.
A możesz przytoczyć przepisy, które Ty znasz a @Jacek nie zna i które pozwalają na takie działanie
Dozwolone jest wszystko co nie jest zabronione. Podaj więc przepisy, które zabraniają tego
Przepisy „pozwalające” na określone działanie? Rozumiem, że przepisy regulujące ile dziennie wolno oddychać też są? :)
Sprawa jest trochę bardziej skomplikowana niż myślisz. Otoż RODO (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679
z dnia 27 kwietnia 2016 r.) wymaga przetwarzania danych osobowych zgodnie z prawem. Jeżeli chodzi o osoby fizyczne to nie stosuje się RODO o ile jest wykonywane „w ramach czynności o czysto osobistym lub domowym charakterze” (art. 2 ust. 2 lit. c)). Przesłanie otrzymanych danych osobowych do z3s jest z pewnością przetwarzaniem i trudno tę czynność podciągnąć pod ww. czynności osobiste lub domowe: zazwyczaj, w ramach codziennych czynności, nie przesyłacie np. swoich danych osobowych do z3s. Jeżeli w takim razie przesłanie (cudzych) danych osobowych do z3s ma być zgodne z prawem to wymaga odpowiedniej podstawy prawnej i tym się rożni od oddychania. Podstawę prawną do przetwarzania danych dają punkty wymienione w art. 6 RODO i jakoś żaden z nich w mojej opinii nie uprawnia do takiego działania jak przesłanie „pomyłkowo” otrzymanych cudzych danych osobowych do innych osób – być może dałoby się to podciągnąć pod przesłankę spod litery d) w tym przepisie „żywotne interesy osób, których dane dotyczą”, ale to dość naciągane.
Reasumując: niezgodne z prawem przetwarzanie danych osobowych nawet przez osoby fizyczne poza ww. wyjątkiem jest zabronione.
Stąd też było moje poprzednie pytanie o przepis, który na to pozwala .
Znacznie lepszy komentarz niż poprzednio (wskazanie czemu miałoby być nielegalne), dzięki.
To się w wolnym tłumaczeniu na polski nazywa „ponadsandalizmem”.
Odbiegając trochę od meritum, czy nie macie wrażenia że tutaj „prawo chroni złodzieja”?
To jest lista dłużników instytucji utrzymywanej z podatków, czyli są to nasi (podatników) dłużnicy. I nie chodzi o drobne kwoty.
Ja chciałbym aby ta lista była dostępna publicznie.
Długi należy spłacać i trochę zabrakło mi takiego stwierdzenia w artykule.
Należy spłacać, ale publikacja w internecie nie jest właściwą drogą postępowania. Przerabiano to już na wielu ogródkach działkowych i wspólnotach mieszkaniowych.
„Ja chciałbym aby ta lista była dostępna publicznie.”
a ja chciałbym willę z basenem, i do czego miałoby służyć ta lista? do linczu?
„Długi należy spłacać”
takie teksty sadzą misie z windykacyjnych…. lepiej pilnuj swojego portfela
” instytucji utrzymywanej z podatków”
skoro instytucja jest utrzymywana z podatków, to dlaczego pobiera dodatkowe pieniądze za jej używanie?
Odnoszę wrażenie, że to całe RODO to jedna wielka ściema, skoro są takie furtki i możliwości nie informowania o wycieku. Ja na przykład chciałbym wiedzieć, że jakaś lista na jakiej się znajdują moje dane została udostępniona lub wyciekła, i nie obchodzi mnie to czy jednej, czy stu osobom (ręka do góry kto miałby gdzieś, gdyby na tej liście były także jego dane). Co to za klasyfikacja czynu, skoro wyciek na małą skalę nagle okazuje się nie być wyciekiem? To od ilu osób jest wyciek danych – 2, 50, 100? Dla mnie wyciek danych jest wyciekiem, niezależnie od tego ilu osób dotyczy i w ile rąk dane wpadły, podobnie jak kradzież jest kradzieżą, niezależnie od tego ile osób zostało okradzionych lub jak duża była banda złodziei.
Niby jedna osoba… Która udostępniła dane portalowi.
A czytelniczka mogła zrobić z tym mailem co chciała.
Mimo prośny o skasowanie wiadomości, podobno ją przesłała dalej z3s?
Jak widać, trwale maila nie usunęła, więc powiadomienie powinno jak najbardziej wpłynąć do wszystkich poszkodowanych, aby w razie czego, wszyscy wiedzieli do kogo zgłaszać się z prośbą o naprawienie ewentualnej szkody w przyszłości!
Może wysłała do Z3S zanim dostała drugiego maila z prośbą o usunięcie…
RODO jest narzędziem wymierzonym przede wszystkim w duże korporacje, którw działają na zasadzie transgranicznej, z przypadkiem biblioteki może sobie poradzić prawodawstwo krajowe. Poza tym to wydaje mi się, że chociaż nie doszło do naruszenia praw i wolności, to trafjniejszym byłoby przyjąć, że na bibliotece spoczywa obowiązek poinformowania każdego osobno, bo skoro ma e-maila jednej czytelniczki, to ma pewnie całej reszty, czyli nie jest to problematyczne. Jeśli naromiast ich nie ma, to rzeczywiście postąpili słusznie.
Wielkch kontrowersji tu nie widzę, nawet przy przyjęciu interpetacji biblioteki. Tobie ta wiedza i tak nic nie daje, bo nieuprawniony odbiorca danych jest znany organom państwa, a wysyłanie listów to pewnie koszt kilkudziesięciu tysięcy złotych.
Inatytucja powiadamiania ma służyć temu, aby osoba poszkodowana zmieniła hasła, zastrzegła dowód, mogła dochodzić roszczeń itd. Taka konieczność w tym przypadku nie zachodzi. Chyba jeszcze jesteśmy choć trochę państwem prawa cywilizacji zachodniej i to organy państwa mają się zajmować ochroną pewnych wartości, a nie robimy tu dziki wschód z detektywami celebrytami.
A ja uważam, że doszło do naruszenia praw i wolności – udostępniono przecież nieupoważnionej osobie kilka tysięcy cudzych adresów zamieszkania. Dlatego na miejscu Biblioteki wysłałbym emaile (a w razie ich braku zwykłe listy) z informacją o wycieku i przeprosinami.
Być zadłużonym na ponad 4k w bibliotece :D mistrzostwo
A może chcecie zając się przypadkiem przetwarzania danych pomimo mojego sprzeciwu i otrzymania potwierdzenia wypisania mnie z bazy firmy i jej partnerów?
Po miesiącu dostałem ponownie maila (że moje zgłoszenie jest przetwarzane hahaha), mimo, że potwierdzili wcześniej mailowo usunięcie mojego maila i że nie będą się ze mną więcej kontaktować.
Jedna wielka ściema z tym całym RODO, a firma o której piszę to D B M S.
Może jakiś realny przykład, czy jakakolwiek firma i kiedykolwiek w ogóle za to beknęła od wprowadzenia tego durnego RODO?
Mam podobnie, po wprowadzeniu RODO nadal nękają mnie telefonami. Ściema jqk nic, w dodatku utrudniająca życie.
A twój przypadek może być taki, że jakiś podmiot zewnętrzny otrzymał dane i to jemu też trzeba zgłosić usunięcie. Albo jest spoza UE.
Ad Nitro: To że jest to instytucja finansowana z podatków to ma oznaczać że można mieć w poważaniu regulamin i innych czytelników co do czasu przetrzymywania książek? Pobierać opłaty powinna i publicznie piętnować takie samolubne zachowania. Jeśli ktoś jest zadłużony w bibliotece na 4k to chyba ma te zasady za nic.
Przy tej okazji chciałbym zwrócić uwagę na kwestię odpowiedzialności. Niestety często w polskich instytucjach wygląda to właśnie tak, że największe konsekwencje ponosi pracownik, który był na końcu łańcucha, który doprowadził do incydentu. Nikt nie doszukuje się winy w odpowiedzialnych za konstrukcję systemu, w którym pracownik przez lata funkcjonował i w którym określone zachowania nie budziły niczyjego niepokoju dopóki nie doprowadziły do incydentu. Biblioteka pisze, że po incydencie zobowiązała pracowników do szyfrowania przesyłanych danych osobowych. Jeśli na tak elementarną sprawę nie stawiano nacisku wcześniej to wg. mnie pracownik ponosi mniejszą odpowiedzialność za incydent niż osoby, które odpowiadają za kulturę organizacyjną.
1. Wycieku poprzez maila nie da się załatwić prośbą o usunięcie, ponieważ dane przechodzą przez zewnętrzne wobec nadawcy i odbiorcy serwery, co samo w sobie jest już wyciekiem – to że adresat skasuje maila, nie oznacza, że treści jego nie da się odtworzyć np. z backupu dostawcy usługi poczty. Czyli wysłanie maila automatycznie jest wyciekiem, niezależnie czy mail został odebrany przez adresata.
2. Udostępnienie danych dłużników biblioteki owszem jest problemem, ponieważ ktoś może próbować wykorzystać takie dane do zastraszania osoby wymienionej na liście i wyłudzania pieniędzy podszywając się pod instytucje państwowe.
Jak można mieć dług w bibliotece ? nie kumam. Ide, porzyczam, czytam, oddaje, nie rozumiem.
Idziesz, pożyczasz, sprzedajesz albo gubisz. I kumasz.