25.01.2014 | 20:37

Adam Haertle

Operatorzy: 136 naruszeń ochrony danych osobowych w 2013

Orange, TP, Plus, T-Mobile, Netia, Vectra, Internetia, P4, Dialog, Cyfrowy Polsat – wszystkie te firmy w 2013 zgłosiły GIODO łącznie ponad 100 naruszeń ochrony danych osobowych abonentów. Niestety szczegóły tych naruszeń pozostają tajemnicą.

Zgodnie z nowym art. 174a ust. 1 Prawa Telekomunikacyjnego od dnia 22 marca 2013 operatorzy telekomunikacyjni mają obowiązek zgłaszać GIODO przypadki naruszenia danych osobowych. Zapytaliśmy zatem GIODO, ile takich zgłoszeń dostał w roku 2013 i otrzymaliśmy listę 136 przypadków.

Kto zgłaszał naruszenia

Lista, którą otrzymaliśmy od GIODO, jest dość charakterystyczna. Są na niej prawie wszyscy duzi dostawcy usług telekomunikacyjnych – i nie ma na niej prawie żadnej małej firmy (a w rejestrze operatorów jest ponad 10 000 podmiotów). Czy to znaczy, ze incydenty zdarzają się tylko w dużych firmach? Raczej nie, prawdopodobnie powodem jest brak wiedzy mniejszych operatorów o konieczności ich zgłaszania.

Kto zatem zgłosił najwięcej naruszeń danych osobowych?

Zgłoszenia naruszenia danych osobowych w 2013

Zgłoszenia naruszenia danych osobowych w 2013

Jak widać najwięcej zgłoszeń, bo aż 53, przekazało GIODO Orange. To oznacza średnio więcej niż 1 zgłoszenie tygodniowo. Na drugim miejscu plasuje się TP z 30 zgłoszeniami, a na trzecim Plus z 20. Za podium lokuje się T-Mobile i jego 13 zgłoszeń. Kategoria pozostali to:

  • Netia – 7
  • Vectra – 3
  • Internetia – 2
  • Play – 2
  • Dialog – 2
  • Cyfrowy Polsat – 1
  • Hyperion – 1
  • NOM – 1
  • GRAF – CAD – 1

O ile pierwsze 8 spółek z tej kategorii to znani na rynku operatorzy, o tyle firma GRAF-CAD nie znajduje się nawet w rejestrze operatorów telekomunikacyjnych.

Czym jest naruszenie

Istotne jest przytoczenie definicji „naruszenia danych osobowych”.

Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.

Jak więc widać, w tej samej kategorii znajdują się zarówno przypadki przypadkowego zniszczenia, jak i nieuprawnionego ujawnienia. Trudno jednak wierzyć, by ze 136 zgłoszonych przypadków co najmniej część nie stanowiła tzw. wycieków danych. Zwróciliśmy się zatem do 4 operatorów sieci komórkowych o podanie chociaż przybliżonych informacji na temat incydentów zgłoszonych GIODO. Orange odpowiedział, że nic nie powie, a pozostałe firmy nie raczyły nawet przesłać swojej odpowiedzi.

Czego nie wiemy

Z powyższej listy firm znany jest nam jedynie ujawniony przez nasz serwis przypadek Hyperionu oraz niedawny wyciek danych z Orange.  To jednak tylko 2 ze 136 incydentów. Nie wiemy przede wszystkim:

  • które z pozostałych 134 wydarzeń były utratą, zniszczeniem czy zmianą danych, a które ujawnieniem lub nieuprawnionym dostępem,
  • jaką grupę klientów obejmowały poszczególne wydarzenia (możemy mieć do czynienia z incydentami obejmującymi pojedynczych klientów lub ich miliony – w raporcie wyglądają tak samo),
  • według jakich wewnętrznych zasad poszczególne firmy przesyłają zgłoszenia do GIODO (przepisy są na tyle niejasne, że ta sama sytuacja może dla jednej firmy oznaczać konieczność zgłoszenia, a dla drugiej nie).

Nie wiemy także, w których przypadkach firmy informowały o problemach abonentów. Prawo nakazuje oprócz GIODO informować również użytkowników usługi wtedy, gdy

naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną […], przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.

Z jednym wyjątkiem:

dostawca publicznie dostępnych usług telekomunikacyjnych nie musi zawiadamiać abonenta lub użytkownika końcowego o naruszeniu, jeżeli wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.

Jak więc samo widzicie, decyzja, czy abonenta należy informować, czy nie, może być dość trudna.

Podsumowanie

Wiemy zatem, że w roku 2013 incydentów nie brakowało, ale niestety od operatorów nie udało się uzyskać informacji o szczegółach. Co zatem tak naprawdę działo się z naszymi danymi i gdzie one trafiły? Jest jeszcze szansa otrzymać te informacje od GIODO, który dysponuje detalami ze zgłoszeń operatorów – trzeba tylko złożyć wniosek o udostępnienie informacji publicznej, wraz z uzasadnieniem wskazującym, iż jej pozyskanie jest szczególnie istotne dla interesu publicznego. Kto podejmie się tego szlachetnego zadania?

Powrót

Komentarze

  • 2014.01.25 21:59 Mat

    „trzeba tylko złożyć wniosek o udostępnienie informacji publicznej, wraz z uzasadnieniem wskazującym, iż jej pozyskanie jest szczególnie istotne dla interesu publicznego. Kto podejmie się tego szlachetnego zadania?”

    Jako redakcja powinniście przygotować taki wniosek… Bo sorry, ale jeżeli w tej chwili jakiś arab kupuje moje nazwisko za 40gr to coś tu jest nie tak…

    Odpowiedz
  • 2014.01.25 23:21 Adam Dobrawy

    Jest jeszcze szansa otrzymać te informacje od GIODO, który dysponuje detalami ze zgłoszeń operatorów – trzeba tylko złożyć wniosek o udostępnienie informacji publicznej, wraz z uzasadnieniem wskazującym, iż jej pozyskanie jest szczególnie istotne dla interesu publicznego.

    Źródło?

    Utrwalony jest pogląd wskazujący, że takie czynności organu, jak selekcja dokumentów i protokołów, ich analiza pod względem treści, są zwykłymi czynnościami, które nie mają wpływu i nie dają podstaw do zakwalifikowania żądanych dokumentów, jako informacji przetworzonej. W wyniku stosowania takich czynności organu nie powstaje bowiem żadna nowa informacja. O przetworzeniu informacji nie stanowi też sięganie do materiałów archiwalnych czy też źródłowych. Także czasochłonność oraz trudności organizacyjno-techniczne jakie wiążą się z przygotowaniem informacji publicznej, nie mogą zwalniać zobowiązanego podmiotu z tego obowiązku, a tym samym kwestie te nie mogą ograniczać prawa do uzyskania informacji publicznej przewidzianego w art. 3 u.d.i.p. (Wyrok WSA w Poznaniu z dn. 12 grudnia 2013 roku – sygn. akt. IV SAB/Po 99/13; IV SAB/Po 60/13 – Wyrok WSA w Poznaniu z 26 września 2013; IV SAB/Po 73/13 – Wyrok WSA w Poznaniu z 26 września 2013; VIII SA/Wa 179/13 – Wyrok WSA w Warszawie z 12 czerwiec 2013; IV SAB/Po 33/13 – Wyrok WSA w Poznaniu z 6 czerwiec 2013; II SA/Sz 372/13 – Wyrok WSA w Szczecinie z 29 maj 2013; IV SAB/Po 27/13 – Wyrok WSA w Poznaniu z 23 maj 2013; II SAB/Po 17/13 – Wyrok WSA w Poznaniu z 12 kwiecień 2013; IV SAB/Po 95/12 – Wyrok WSA w Poznaniu z 7 marzec 2013; IV SAB/Po 101/12 – Postanowienie WSA w Poznaniu z 21 luty 2013; IV SAB/Po 102/12 – Wyrok WSA w Poznaniu z 21 luty 2013; IV SAB/Po 93/12 – Wyrok WSA w Poznaniu z 31 styczeń 2013; IV SAB/Po 88/12 – Wyrok WSA w Poznaniu z 31 styczeń 2013; wskazano tutaj tylko tylko części orzecznictwa wyłącznie z roku 2013 prezentującego ten pogląd). Nawet przeniesienie informacji na inny nośnik, pomijanie pewnych fragmentów, czy proste zsumowanie danych to zabiegi, które nie pozwalają mówić o „przetworzeniu”, a co najwyżej o „przekształceniu” informacji w inną formę i nie stanowi informacji przetworzonej. Przetworzenie informacji, o jakim mowa w art. 3 ust. 1 pkt 1 omawianej ustawy, polega na dokonaniu zmian w jej treści, a nie na odjęciu z jakiegoś dokumentu elementów niezwiązanych z jego treścią. Nawet tzw. anonimizacja pisma polegająca na wykreśleniu z niej niektórych elementów formalnych, dotyczących danych osobowych stron bez naruszenia samego rozstrzygnięcia administracyjnego, nie jest przetworzeniem informacji (por. wyrok WSA w Krakowie z dnia 30 stycznia 2009 r., sygn. akt II SA/Kr 1258/08).

    Odpowiedz
    • 2014.01.26 17:00 Hipp

      Tyle że to wskazane orzecznictwo traktuje o ustawie o dostępie do informacji publicznej a nie o ustawie o ochronie danych osobowych, a w jej akurat pojęciu przetwarzaniem jest każda operacja na danych osobowych.

      Odpowiedz
      • 2014.01.26 23:03 Adam Dobrawy

        @Hipp, ja odnoszę się do trybu uzyskiwania informacji o zgłoszeniach i dokumentów z tym związanych, o czym mowa na końcu artykułu. Powyższe statystyki zostały prawdopodobnie pozyskane w trybie ustawy o dostępie do informacji publicznej w związku z ustawą – Prawo prasowe (art. 3a tej ustawy stanowi, że w zakresie prawa dostępu prasy do informacji publicznej stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej).

        Ustawa o ochronie danych osobowych nie przewiduje odrębnego trybu dostępu do tych danych, a wtedy ma zastosowanie tryb z ustawy, o której mowa w art. 61 ust. 4 Konstytucji RP (ustawa o dostępie do informacji publicznej), bo nie jest ona wyłączona na podstawie art. 1 ust. 2 ustawy o dostępie do informacji publicznej.

        W trybie ustawy o dostępie do informacji publicznej masz prawo dostępu do informacji publicznej, a w orzecznictwie sądów administracyjnych na tle art. 61 Konstytucji RP i art. 1 ust. 1 ustawy o dostępie do informacji publicznej przyjmuje się szerokie rozumienie pojęcia informacji publicznej. Definiuje się ją zatem jako każdą wiadomość wytworzoną przez szeroko rozumiane władze publiczne oraz osoby pełniące funkcje publiczne, a także inne podmioty ,które tę władzę realizują bądź gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa w zakresie swoich kompetencji. Podkreśla się, że taki charakter ma również wiadomość niewytworzona przez podmioty publiczne, lecz odnosząca się do tych podmiotów /por. jako jedne z pierwszych wyroki NSA z dnia 30 października 2002r ., sygn. akt II SA 181/02 i II SA 1956/02 oraz II SA 2036-2037/02/. Po reformie sądownictwa administracyjnego linia ta była kontynuowana /por. wyrok NSA z dnia 11 lipca 2006 r., sygn. akt I OSK 1060/05, wyrok NSA z dnia 16 marca 2009 r. ,sygn. akt I OSK 1277/08, ONSAiWSA 2010 nr 5 poz. 91, wyrok NSA z dnia 24 listopada 2009 r., sygn. akt I OSK 852/09, oraz wyrok NSA z dnia 16 marca 2010 r., sygn. akt I OSK 1643/09, wyroki NSA z dnia 18 sierpnia 2010 r., sygn. akt I OSK 775/10 i I OSK 844/10, wyroki NSA z dnia 5 listopada 2010 r., sygn. akt I OSK 1469/10, sygn. akt I OSK 1470/10, sygn. akt I OSK 1501 /10, wyrok NSA z dnia 18 maja 2011 r., sygn. akt I OSK 198/11, wyrok NSA z dnia 17 czerwca 2011 r., sygn. akt I OSK 490/11, wyrok NSA z dnia 9 listopada 2011 r., sygn. akt I OSK 1372/11, wyrok NSA z dnia 1 grudnia 2011 r., sygn. akt I OSK 1550/11, wyrok NSA z dnia 12 grudnia 2012 r. sygn. akt I OSK 2149/12/, wyrok NSA z dnia 5 kwietnia 2013 r., sygn. akt I OSK 175/13/.

        Ustawa przewiduje pewne ograniczenia w dostępie do statystyk jak przedstawione w artykule (to mogła by być przetworzona w szczególnych okolicznościach), ale co do zasady winien być zapewniony dostęp do informacji prostej (nie wymagającej przetworzenia).

        Urzędy jednak lubią nadużywać pojęcia informacja przetworzona, aby nie udostępniać. Po GIODO się jednak nie spodziewam, bo jak znam ten urząd i ministra to jest dość otwarty.

        Ustawa o ochronie danych osobowych nie ogranicza prawa do informacji publicznej (moim zdaniem, wykładnią uznawaną przez GIODO, a także wyrok WSA w Warszawie – VIII SAB/Wa 23/11; dr Grzegorz Sibiga. Ujawnienie imion i nazwisk osób zawierających umowy cywilnoprawne z jednostką samorządu terytorialnego Monitor Prawniczy nr 8/2013. C.H. Beck) uznając, że u.o.d.o. dopuszcza ich ujawnienie, a art. 5 ust. 1 i 2 ustawy o dostępie do informacji publicznej mogą ograniczać dostęp do tych danych, zwłaszcza w wyniku „prawa do prywatności”. Należy dodatkowo wskazać, że ochrona danych osobowych realizuje „prawo do prywatności” (art. 54 Konstytucji RP), więc ze względu na spójność prawa akt realizujący „prawo do informacji publicznej” (art. 61 Konstytucji RP) ma własne kompleksowe, szersze regulacje w tym zakresie.

        Podsumowując, firma ma przekazać dane do urzędu z powodu przepisów o ochronie danych osobowych, a ty masz prawo na podstawie ustawy o dostępie do informacji publicznej je pozyskać. Masz prawo do informacji bez względu na to na jakiej podstawie je przekazano, z wyjątkiem przypadków, gdy jakakolwiek ustawa stanowi, że są chronione.

        Odpowiedz
  • 2014.01.26 16:26 Robert

    Niestety, nie możemy być pewni, że nasze dane osobowe są bezpieczne

    Odpowiedz
  • 2014.01.27 17:30 Artur

    Fajnie, że zapytaliście o liczbę incydentów. Też mnie to ciekawiło. Zastanawiam się jak to jest, że na cyberlaw.pl przeczytałam z ust samego GIODO, że zdarzeń było ponad 170. Jak oni to liczą? Swoją drogą GIODO mówił, że najwięcej incydentów jest drobnych – ktoś błędnie wyśle faktury. Co ciekawe wspomniał wyraźnie, że jeden duży operator ma problem z raportowaniem i teraz już wiem o kogo chodzi.

    Odpowiedz

Zostaw odpowiedź do Artur

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Operatorzy: 136 naruszeń ochrony danych osobowych w 2013

Komentarze