Dzień Ochrony Danych Osobowych
- 28.01.2022, godz. 10:17
Dziś mamy Dzień Ochrony Danych Osobowych. W ciągu prawie 4 lat z RODO nauczyliśmy się korzystać i chronić swoje dane osobowe. A suma kar nałożonych przez UODO z tytułu RODO przekroczyła już równowartość 2 mln euro. Najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro.
RODO radykalnie zmieniło podejście do ochrony danych osobowych. Jesteśmy bardziej świadomi swoich praw i nie wahamy się ich bronić. Wystarczy spojrzeć na liczbę skarg zgłoszonych do Urzędu Ochrony Danych Osobowych (UODO) od wejścia w życie unijnego rozporządzenia (ponad 20 tys. od maja 2018 r. do końca 2020 r.). Tylko w roku, kiedy zaczęło obowiązywać RODO, liczba zgłaszanych skarg wzrosła czterokrotnie! I wysoka liczba zgłaszanych nieprawidłowości nadal jest duża – w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie.
– Wraz ze ściślejszą kontrolą pojawiły się też i kary, których łączna wartość przekroczyła już 2 mln euro. 35% z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy. Warto jednak pamiętać, że kradzież rekordów z serwerów firmy to tylko jeden typ ataku mającego na celu pozyskanie danych osobowych. Czasem możemy też sami niechcący upublicznić dane w wyniku błędu, np. w trakcie aktualizacji oprogramowania. Dlatego bazy danych trzeba szczególnie chronić, zawsze szyfrować, a najlepiej przetwarzać je w odrębnych systemach – radzi Patrycja Tatara, ekspert ds. cyberbezpieczeństwa w Sprint S.A.
Zobacz również:
Jak może najczęściej dojść do wycieku danych osobowych?
Oto 3 typy zdarzeń, na które firmy powinny zwracać szczególną uwagę:
• Przypadkowe upublicznienie danych
Wbrew pozorom do tego typu sytuacji, spotykających się z reakcją UODO, dochodzi całkiem często. Przykładem może być restart serwerów jednej z firm, podczas którego wystąpił błąd i zostały upublicznione dane ponad 140 tys. klientów. Zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro.
• Atak na stronę www, aplikacje webowe
Choć do tego w Polsce jeszcze nie doszło, to biorąc pod uwagę dynamicznie rosnącą częstotliwość ataków hakerskich, nie jest to wykluczone. Przyjrzyjmy się zatem przykładom zagranicznym. Jednym z nich jest sprawa linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych – pół miliona. Kara – 20 mln euro. Z kolei brytyjski Ticketmaster korzystał z „dziurawego” chatbota, co umożliwiało dostęp do danych finansowych klientów. Na szczęście nie doszło do wycieku, ale kara i tak przekroczyła 1 mln euro.
• „Klasyczny” wyciek w wyniku ataku na bazy danych
Do bezpośrednich ataków na firmowe serwery i bazy danych UODO podchodzi wyjątkowo surowo. Zwłaszcza, jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem. Tak stało się właśnie w przypadku najwyższej polskie kary (644 780 euro) – przedsiębiorca początkowo zaprzeczał, że do wycieku doszło i nie poinformował potencjalnych poszkodowanych.