RODO tuż za progiem, a polskie urzędy, banki i uczelnie nadal nie nauczyły się używać BCC

dodał 10 kwietnia 2018 o 06:56 w kategorii Wpadki  z tagami:
RODO tuż za progiem, a polskie urzędy, banki i uczelnie nadal nie nauczyły się używać BCC

Niby każdy wie, że wysyłając maila do kilku odbiorców, może użyć pola UDW, czyli „ukryte do wiadomości” (ang. blind carbon copy, BCC), ale zdarzają się pomyłki. Gorzej, jeśli zdarzają się przedstawicielom poważnych instytucji.

Pod koniec stycznia pisaliśmy o pewnej polskiej uczelni, która prowadząc badania nad jakością nasienia, ujawniła adresy e-mail kilkudziesięciu ochotników, których wyniki odbiegały od normy. Zgłoszenia dotyczące użycia pola „do” lub „do wiadomości” (DW) zamiast „ukryte do wiadomości” (UDW) otrzymujemy od naszych Czytelników dość regularnie. Dziś pokażemy kilka wartych uwagi przypadków z ostatnich miesięcy.

Przypadek 1. Komisja Nadzoru Finansowego

Być może słyszeliście, że system płatności Homepay trafił ostatnio na listę ostrzeżeń Komisji Nadzoru Finansowego. Zanim do tego doszło, do KNF-u spływały skargi od poszkodowanych. Urząd podziękował tym, którzy wysłali mu zawiadomienie o nieprawidłowościach, poinformował o podjętych działaniach… Niestety zapomniał o skorzystaniu z UDW (inaczej BCC), ujawniając adresy e-mail 25 osób.

Przypadek 2. Ministerstwo Spraw Zagranicznych

„Jak widać na poniższym przykładzie, MSZ jest jeszcze w lesie, jeśli chodzi o przygotowanie do RODO” – napisał jeden z naszych Czytelników, forwardując wiadomość, którą przedstawicielka ministerstwa rozesłała do 357 uczestników zeszłorocznej edycji konkursu na aplikację dyplomatyczno-konsularną. Zaprosiła ich do udziału w kolejnej rekrutacji, umieszczając wszystkie adresy e-mail w polu „do”.

Przypadek 3. Alior Bank

Oprócz wysłania wiadomości w błędny sposób, można także podwoić skalę wpadki, próbując ją odwołać. Tak właśnie zachowała się pracownica Alior Banku. Najpierw wysłała informację o kredycie gotówkowym do 20 osób, którym zdarzyło się wcześniej zaciągnąć pożyczkę.

Gdy zorientowała się, że zapomniała o użyciu BCC, poinformowała odbiorców, że poprzedni e-mail odwołuje, nadal korzystając wyłącznie z pola „do” (to domyślne działanie klienta pocztowego, z którego korzystała).

Przypadek 4. Politechnika Poznańska

Podobne wpadki zdarzają się też na polskich uczelniach. Kilka dni temu jeden z Czytelników podzielił się z nami e-mailem, który do studentów wysłały Koło Naukowe Mechaników i Koło Naukowe Silników Spalinowych działające na Wydziale Maszyn Roboczych i Transportu Politechniki Poznańskiej. W tym przypadku również zapomniano o BCC.

Zastanówmy się teraz, jak można wykorzystać pozyskane w ten sposób adresy e-mail. Ktoś powie, że do rozsyłania spamu – i będzie miał rację. Równie prawdopodobny wydaje się spear phishing, czyli ataki spersonalizowane, zwłaszcza na klientów banków. Kolejna możliwość to wyłudzanie dodatkowych danych w oparciu o już posiadane. Przykładowo uczestnicy konkursu na aplikację dyplomatyczno-konsularną posługują się zwykle adresami e-mail zawierającymi imię i nazwisko danej osoby, co w połączeniu z informacją o rekrutacji daje atakującym spore pole do popisu.

Pora, by przedstawiciele polskiej administracji i banków zaczęli sobie zdawać sprawę z konsekwencji opisanych wyżej, z pozoru niewinnych pomyłek. Pozostaje jeszcze jedna kwestia.

Czy adres e-mail należy do danych osobowych?

Na stronie GIODO (Generalnego Inspektora Ochrony Danych Osobowych) można przeczytać, że „zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. (…) jeżeli elementy treści adresu poczty elektronicznej pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby, można uznać go za daną osobową”.

W praktyce możemy wyróżnić trzy rodzaje adresów e-mail. Adresy typu jankowalski@nazwafirmy.pl z reguły nie nastręczają trudności przy próbie ustalenia, kto się nimi posługuje (chyba że firma zatrudnia kilku Janów Kowalskich naraz). W przypadku adresów typu jankowalski@popularnyserwis.pl można kogoś zidentyfikować w powiązaniu z innymi informacjami, np. jako osobę, która wysłała skargę do KNF-u lub zaciągnęła w przeszłości pożyczkę w Alior Banku. Mając do czynienia z adresami typu ksywa@popularnyserwis.pl, będziemy musieli włożyć sporo wysiłku w ustalenie tożsamości ich właścicieli (chyba że jakiś pseudonim nierozerwalnie wiąże się z konkretną osobą). Jak widać, wiele zależy od kontekstu.

Jednak konsekwencją tego, że adresy e-mail osób fizycznych mogą (choć nie zawsze muszą) być danymi osobowymi, jest to, że podmioty, które je przetwarzają, mają obowiązek należycie o nie dbać. Liczymy na to, że RODO – unijne rozporządzenie dotyczące ochrony danych osobowych, które niebawem wejdzie w życie – przyśpieszy naukę korzystania z BCC przy rozsyłaniu mailingów.

Okiem prawnika

Komentarza na ten temat udzielił nam Artur Bierć – radca prawny z ponad 15-letnim doświadczeniem zdobytym podczas świadczenia obsługi prawnej dla jednego z największych funduszy inwestycyjnych, pasjonat nowych technologii oraz tematyki bezpieczeństwa informacji, który może pochwalić się bogatym doświadczeniem w obszarze wdrażania wymagań prawnych w branży nieruchomości, finansowej, automotive oraz IT.

Komentarz eksperta

W świetle obecnie obowiązujących przepisów działanie pracownika wypełnia dyspozycję art. 51 ust. 1 ustawy o ochronie danych osobowych: „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Podmiotem przestępstwa może być bowiem zarówno administrator danych, jak i inna osoba, która przetwarza dane osobowe na podstawie upoważnienia od administratora danych. W tym przypadku będzie to pracownik.

Ze statystyk dostępnych na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wynika, że za 2017 rok na ponad 2950 skarg GIODO zdecydował się w 45 przypadkach na zawiadomienie prokuratury, która wszczynała w takich przypadkach postępowania przygotowawcze. Część z nich kończyła się warunkowym umorzeniem postępowania. Ponieważ nie ma pełnych statystyk, to wiadomo nam o 9 przypadkach, w których zapadły wyroki skazujące.

Niedługo wchodzi jednak ogólne rozporządzenie o ochronie danych osobowych – RODO (General Data Protection Regulation – GDPR). Rozporządzenie to stanowi całkowitą rewolucję zarówno w systemie ochrony, jak i karania. RODO wymaga, aby organizacje, poruszając się w wyznaczonych prawem granicach, same zdefiniowały posiadane zasoby informacyjne (kategorie danych osobowych), ryzyka związane z ich przetwarzaniem i odpowiednie zabezpieczenia. To przedsiębiorca poprzez odpowiednie procedury, zabezpieczenia i szkolenia pracowników będzie musiał zapewnić, że do takich incydentów nie będzie dochodziło.

A gdyby doszło, to RODO stanowi również zmiany w systemie karania. Po wejściu RODO niezbędna będzie zmiana obowiązującej obecnie ustawy o ochronie danych osobowych, aby uregulować obszary pominięte w regulacji europejskiej oraz te, co do których RODO pozostawia swobodę ich doprecyzowania. Zatem głównymi źródłami informacji na temat grożących sankcji za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych będzie zatem nie tylko RODO, ale również ustawa o ochronie danych osobowych, kodeks cywilny oraz kodeks karny.

Jednak odpowiedzialność karna ma być co do zasady wyjątkiem przewidzianym dla najcięższych naruszeń przepisów i stanowić jedynie uzupełnienie dla odpowiedzialności administracyjnej oraz cywilnej.

W przypadku stwierdzenia naruszeń RODO organ nadzorczy (według projektu ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) może stosować środki naprawcze oraz administracyjne kary pieniężne. Środki naprawcze będą mogły być nakładane na przedsiębiorców zamiast lub obok innych sankcji, w tym obok administracyjnych kar pieniężnych. W zależności od indywidualnego przypadku i naruszonych zasad wysokość administracyjnej kary pieniężnej może sięgnąć 10.000.000 EUR, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa), lub nawet 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa).

Nałożenie na przedsiębiorcę ww. administracyjnej kary pieniężnej nie zwalnia go z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania, a także może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Ponadto każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę.

Perełka na koniec

Na deser chcielibyśmy pokazać przykład najlepiej obrazujący sytuację na rynku. Oto przedstawiciel firmy sprzedającej drukarki pyta potencjalnych klientów „Czy jesteś gotowy na RODO?”, umieszczając wszystkich odbiorców w polu „do”.

W tej sytuacji odpowiedzieć na powyższe pytanie możecie sami.