Operatorzy: 136 naruszeń ochrony danych osobowych w 2013

dodał 25 stycznia 2014 o 20:37 w kategorii Prawo, Prywatność  z tagami:
Operatorzy: 136 naruszeń ochrony danych osobowych w 2013

Orange, TP, Plus, T-Mobile, Netia, Vectra, Internetia, P4, Dialog, Cyfrowy Polsat – wszystkie te firmy w 2013 zgłosiły GIODO łącznie ponad 100 naruszeń ochrony danych osobowych abonentów. Niestety szczegóły tych naruszeń pozostają tajemnicą.

Zgodnie z nowym art. 174a ust. 1 Prawa Telekomunikacyjnego od dnia 22 marca 2013 operatorzy telekomunikacyjni mają obowiązek zgłaszać GIODO przypadki naruszenia danych osobowych. Zapytaliśmy zatem GIODO, ile takich zgłoszeń dostał w roku 2013 i otrzymaliśmy listę 136 przypadków.

Kto zgłaszał naruszenia

Lista, którą otrzymaliśmy od GIODO, jest dość charakterystyczna. Są na niej prawie wszyscy duzi dostawcy usług telekomunikacyjnych – i nie ma na niej prawie żadnej małej firmy (a w rejestrze operatorów jest ponad 10 000 podmiotów). Czy to znaczy, ze incydenty zdarzają się tylko w dużych firmach? Raczej nie, prawdopodobnie powodem jest brak wiedzy mniejszych operatorów o konieczności ich zgłaszania.

Kto zatem zgłosił najwięcej naruszeń danych osobowych?

Zgłoszenia naruszenia danych osobowych w 2013

Zgłoszenia naruszenia danych osobowych w 2013

Jak widać najwięcej zgłoszeń, bo aż 53, przekazało GIODO Orange. To oznacza średnio więcej niż 1 zgłoszenie tygodniowo. Na drugim miejscu plasuje się TP z 30 zgłoszeniami, a na trzecim Plus z 20. Za podium lokuje się T-Mobile i jego 13 zgłoszeń. Kategoria pozostali to:

  • Netia – 7
  • Vectra – 3
  • Internetia – 2
  • Play – 2
  • Dialog – 2
  • Cyfrowy Polsat – 1
  • Hyperion – 1
  • NOM – 1
  • GRAF – CAD – 1

O ile pierwsze 8 spółek z tej kategorii to znani na rynku operatorzy, o tyle firma GRAF-CAD nie znajduje się nawet w rejestrze operatorów telekomunikacyjnych.

Czym jest naruszenie

Istotne jest przytoczenie definicji „naruszenia danych osobowych”.

Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.

Jak więc widać, w tej samej kategorii znajdują się zarówno przypadki przypadkowego zniszczenia, jak i nieuprawnionego ujawnienia. Trudno jednak wierzyć, by ze 136 zgłoszonych przypadków co najmniej część nie stanowiła tzw. wycieków danych. Zwróciliśmy się zatem do 4 operatorów sieci komórkowych o podanie chociaż przybliżonych informacji na temat incydentów zgłoszonych GIODO. Orange odpowiedział, że nic nie powie, a pozostałe firmy nie raczyły nawet przesłać swojej odpowiedzi.

Czego nie wiemy

Z powyższej listy firm znany jest nam jedynie ujawniony przez nasz serwis przypadek Hyperionu oraz niedawny wyciek danych z Orange.  To jednak tylko 2 ze 136 incydentów. Nie wiemy przede wszystkim:

  • które z pozostałych 134 wydarzeń były utratą, zniszczeniem czy zmianą danych, a które ujawnieniem lub nieuprawnionym dostępem,
  • jaką grupę klientów obejmowały poszczególne wydarzenia (możemy mieć do czynienia z incydentami obejmującymi pojedynczych klientów lub ich miliony – w raporcie wyglądają tak samo),
  • według jakich wewnętrznych zasad poszczególne firmy przesyłają zgłoszenia do GIODO (przepisy są na tyle niejasne, że ta sama sytuacja może dla jednej firmy oznaczać konieczność zgłoszenia, a dla drugiej nie).

Nie wiemy także, w których przypadkach firmy informowały o problemach abonentów. Prawo nakazuje oprócz GIODO informować również użytkowników usługi wtedy, gdy

naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną […], przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.

Z jednym wyjątkiem:

dostawca publicznie dostępnych usług telekomunikacyjnych nie musi zawiadamiać abonenta lub użytkownika końcowego o naruszeniu, jeżeli wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.

Jak więc samo widzicie, decyzja, czy abonenta należy informować, czy nie, może być dość trudna.

Podsumowanie

Wiemy zatem, że w roku 2013 incydentów nie brakowało, ale niestety od operatorów nie udało się uzyskać informacji o szczegółach. Co zatem tak naprawdę działo się z naszymi danymi i gdzie one trafiły? Jest jeszcze szansa otrzymać te informacje od GIODO, który dysponuje detalami ze zgłoszeń operatorów – trzeba tylko złożyć wniosek o udostępnienie informacji publicznej, wraz z uzasadnieniem wskazującym, iż jej pozyskanie jest szczególnie istotne dla interesu publicznego. Kto podejmie się tego szlachetnego zadania?