Przeszukaj treści według wybranego tematu

Przeszukaj treści według wybranego tematu

Przeszukaj treści według wybranej branży

Branża
2016-09-12 09:00

Bezpieczeństwo danych osobowych okiem eksperta

Bezpieczeństwo danych osobowych okiem eksperta

W ostatnim czasie Polskę obiegła informacja o domniemanym wycieku z państwowej bazy PESEL. Towarzyszyły jej medialne doniesienia, które odsłoniły kilka istotnych prawd o ochronie danych osobowych. Jak zatem odpowiednio dbać o bezpieczeństwo naszych danych? W jaki sposób zareagować gdy zostały wykorzystane w sposób nieprawidłowy? Swoimi wnioskami na temat bezpieczeństwa danych dzieli się Jacek Grabowski, Senior Compliance Officer w firmie Gemius.

Czemu przejęliśmy się informacją o wycieku danych?

Wiadomość została ubrana i rozpropagowana w sposób niezwykle dramatyczny. Jej sedno brzmiało: każdy, kogo dane wyciekły, może obudzić się z nie-swoim kredytem. Dostrzegliśmy więc subtelny związek pomiędzy ochroną naszych danych a grubością naszego portfela. Świetnie, bo to pierwszy krok, by ochroną swoich danych się przejąć.

Część środowiska, związanego z bezpieczeństwem informacji, zarzuca niektórym specjalistom od bezpieczeństwa, występującym w mediach zbyt pochopne snucie apokaliptycznych wizji. W mojej opinii, to właśnie specjaliści od bezpieczeństwa powinni umieć rozważyć całą paletę różnego rodzaju możliwych nadużyć, nawet mało prawdopodobnych.

Efektem ubocznym tej „wizji odchudzonego portfela”, jaka pojawiła się w wyobraźni społecznej, jest wzrost liczby odwiedzin stron internetowych, umożliwiających zapytanie czy jakiś pożyczkodawca nie sprawdzał naszych danych np. w celu przypisania nam kredytu. Wielu internautów rozpoczęło proces rejestracji na stronach Biura Informacji Kredytowej oraz Krajowego Rejestru Długów. Zainteresowanie tego typu zapytaniami cieszy. Cieszyłoby bardziej, gdyby wynikało ze stałego wzrostu świadomości i troski o własne dane. A czas pokaże, na ile ten wzrost jest stabilny i zauważalny.

„Big data” w państwowej oprawce

Jestem świadom, że nadużywam pojęcia „Big data” w odniesieniu do danych z bazy PESEL, choć oczywiście w tej bazie znajduje się naprawdę sporo informacji. Może jednak warto przez moment zastanowić się nad tym, że współcześnie mamy do czynienia z tendencją do gromadzenia dużych ilości danych o nas ─ już nie tylko przez podmioty prywatne, ale także przez podmioty państwowe.

Każdy lub prawie każdy słyszał o tym, jak to śledzą nas portale społecznościowe czy najpopularniejsza wyszukiwarka. Niektórzy są rozdrażnieni tym, że podmioty te gromadzą wiedzę o nas dla swoich celów marketingowych. Niewielu jednak słyszało o powstaniu „Centralnej Informacji o Rachunkach” czy o elektronicznym zajęciu rachunku. Nietrudno sobie wyobrazić za jakiś czas kolejne centralne ewidencje ułatwiające urzędom, sądom, organom bezpieczeństwa czy innym podmiotom państwowym ich pracę, a wystawiające nas na coraz większe ryzyka. To wszystko w imieniu bezpieczeństwa i troski o obywateli. Warto o tym pomyśleć przy okazji burzy o bazie PESEL.

Stosowane zabezpieczenia – czy realne?

Fakt, że mówimy o bazach danych zabezpieczanych przez państwowe podmioty powinien budzić w nas dozę refleksji na temat stosowanych zabezpieczeń. Znając poziom niedofinansowania niektórych instytucji, zapewne należałoby sprawdzić, czy wszystkie zabezpieczenia wymagane przez prawo są przestrzegane
A jak wygląda sytuacja we własnym ogródku? Warto przyjrzeć się swoim praktykom bezpieczeństwa dotyczącym sprzętu – czy aby na pewno do mojego komputera służbowego po godzinach pracy mam dostęp tylko ja? Czy dzieci nie zainstalują sobie tam przypadkiem czegoś? Czy przenośny pendrive z zadaniami od szefa do zrobienia w domu nigdy nam nie zaginął?

Dlaczego (nie) uważamy na nasze dane?

Reakcja społeczna na doniesienia medialne dotyczące bazy PESEL była bardzo żywa. Trudno znaleźć podobną, gdy chodzi o realne nadużycia czy wycieki naszych danych osobowych. Podnosimy lament o wycieku z bazy PESEL, a nie burzymy się, gdy w czasie wypożyczania roweru wodnego właściciel wypożyczalni oczekuje od nas pozostawienia niestrzeżonego dowodu osobistego na przynajmniej godzinę. Warto również zauważyć, że nie przejmujemy się swoimi danymi w momencie, gdy chcemy uzyskać jakąś natychmiastową korzyść np. dostęp do określonej bezpłatnej usługi za darmo. Dodatkowo w grę mogą wchodzić emocje czy zaspokojenie innych naszych potrzeb. Wówczas trudno nam oszacować właściwie ryzyko.

Czemu tak się dzieje? Zapewne dlatego, że skutki nadużycia naszych danych osobowych są na ogół mocno odwleczone w czasie. Ci, którzy kompletują informacje o nas mogą to robić krok po kroku, nie budząc naszego sprzeciwu i wykorzystać dane w momencie, gdy już nad ich użyciem nie będziemy w stanie szybko zapanować. Tym bardziej potrzebna nam codzienna uwaga w tym zakresie.

Co można zrobić, gdy dane są nadużyte?

Prawo daje nam instrumenty, których możemy użyć w momencie, gdy zauważymy, że z naszymi danymi mogło się zadziać coś niepokojącego. Podmioty, które przetwarzają nasze dane osobowe mają liczne obowiązki udzielenia nam stosownych informacji. Co do zasady, dochodzenie swoich praw należy zacząć od kontaktu z taką firmą czy urzędem.

W kontekście afery wokół bazy PESEL można zwrócić się z zapytaniem do Ministerstwa Cyfryzacji o to, jakie podmioty pytały tę bazę o nasze dane. Naszym sprzymierzeńcem w tej dziedzinie, jak również w przypadku każdego innego nadużycia wobec naszych danych, będzie również Generalny Inspektor Ochrony Danych Osobowych czy Rzecznik Praw Obywatelskich.

Do schowka> Drukuj

Rodzaj treści

opinia

Autor:

Jacek Grabowski

specjalista ds. zgodności

Senior Compliance Officer w dziale prawnym firmy Gemius. Pełnomocnik do spraw bezpieczeństwa informacji i audytor Systemu Zarządzani Bezpieczeństwem Informacji. Specjalizuje się w prawie prywatności i ochronie danych osobowych. Prowadzi szkolenia i audyty w tym zakresie. Łącząc zagadnienia techniczne i prawne wspiera działy sprzedaży m.in. w negocjacjach umów. Koordynuje wewnętrzne działania grupy odpowiedzialnej za motywację pracowników. Od 2009 roku pełni w Gemiusie funkcję Administratora Bezpieczeństwa Informacji odpowiedzialnego za ochronę danych osobowych. Jest także psychologiem – prowadzi szkolenia z zakresu komunikacji interpersonalnej i zarządzania zespołem.

Pokaż wszystkie artykuły z ekspertem