16 kwietnia 2025 roku brytyjski organ nadzorczy ICO (Information Commissioner’s Office) ukarał kancelarię prawną kwotą 60 tys. funtów. Dane klientów, zawarte m.in. we wrażliwych dokumentach prawnych, trafiły po cyberataku do tzw. darknetu. Za podobne naruszenie 28 lutego 2024 roku grecki odpowiednik UODO decyzją ostateczną obciążył państwowego operatora pocztowego karą w kwocie prawie 3 mln euro. W obu przypadkach organy zwróciły uwagę nie tylko na sam wyciek, ale też na brak odpowiednich zabezpieczeń i spóźnioną reakcję firm.

Darknet (lub darkweb), czyli część internetu dostępna wyłącznie za pomocą specjalistycznych narzędzi (np. przeglądarka Tor), może stać się miejscem, gdzie materializują się skutki wycieków lub kradzieży danych.

Haker włamał się do systemu. Kto odpowiada?

Przedsiębiorcy czasami błędnie zakładają, że skoro do wycieku doprowadziło działanie osób trzecich, np. hakerów, cyberprzestępczych grup czy twórców złośliwego oprogramowania, to oni sami nie ponoszą za to odpowiedzialności. To rozumowanie jest jednak niepoprawne i może prowadzić do negatywnych konsekwencji.

RODO definiuje naruszenie ochrony danych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych” (art. 12 pkt 4). Przepis nie rozróżnia, czy naruszenie wynika z błędu pracownika, awarii systemu czy zewnętrznego ataku. Administrator zawsze odpowiada za zapewnienie odpowiedniego poziomu bezpieczeństwa.

Praktyka organów nadzorczych potwierdza to jednoznacznie. Brytyjski ICO w decyzji dotyczącej kancelarii DPP Law wprost wskazał, że firma naruszyła art. 32 RODO, czyli przepis o bezpieczeństwie przetwarzania danych. Grecki organ w sprawie operatora pocztowego również podkreślił brak „adekwatnych środków technicznych i organizacyjnych”. Fakt działania hakerów nie został uznany za okoliczność łagodzącą, lecz przeciwnie — potwierdził niedostateczny poziom zabezpieczeń.

RODO - 72 godziny na reakcję

Gdy administrator stwierdzi naruszenie, zaczyna biec termin. Art. 33 RODO daje 72 godziny na zgłoszenie incydentu organowi nadzorczemu – w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych. Wyjątek jest tylko jeden: kiedy naruszenie prawdopodobnie nie wiąże się z ryzykiem dla praw i wolności osób fizycznych.

Publikacja danych w darkwebie z reguły oznacza jednak wysokie ryzyko. Dane dostępne w tej części internetu mogą być wykorzystane do kradzieży tożsamości, oszustw finansowych, szantażu itp. Dlatego w praktyce pojawienie się informacji w darkwebie będzie niemal zawsze wymagać zgłoszenia.

Firma musi w czasie tych 72 godzin:

  1. wykryć, że naruszenie faktycznie nastąpiło. To wymaga prowadzenia systemów monitoringu i wykrywania incydentów. Organizacje bez takich rozwiązań często dowiadują się o wycieku po tygodniach lub miesiącach od zaistnienia tego faktu, a więc gdy jest już za późno na terminowe zgłoszenie.
  2. przeprowadzić analizę ryzyka. Ustalić, jakie konkretnie dane wyciekły i ilu osób dotyczą. Czy są to dane zwykłe czy szczególnych kategorii (np. dane o zdrowiu, przekonaniach religijnych, orientacji seksualnej)? Jakie jest prawdopodobieństwo zaistnienia szkody?
  3. przygotować i złożyć zgłoszenie zawierające opis naruszenia, kategorie i przybliżoną liczbę osób, których dotyczy ryzyko, oraz ustalić prawdopodobne konsekwencje oraz środki podjęte lub planowane.

Spóźnione zgłoszenie wymaga uzasadnienia opóźnienia, które organ i tak może uznać za niewystarczające.

Kiedy trzeba zawiadomić osoby, których dane dotyczą?

Zgłoszenie do organu to nie wszystko. Art. 34 RODO nakłada dodatkowy obowiązek – jeżeli naruszenie może powodować wysokie ryzyko dla praw lub wolności osób fizycznych, administrator musi niezwłocznie je o tym zawiadomić.

Jak ocenić, czy ryzyko jest wysokie? Należy wziąć pod uwagę charakter danych, łatwość identyfikacji osób, prawdopodobieństwo wykorzystania danych oraz potencjalne konsekwencje. Przykładowo dane medyczne pacjenta opublikowane w darkwebie to wysokie ryzyko, a lista imion i nazwisk pracowników bez dodatkowych informacji – to ryzyko do indywidualnej oceny.

Przepis przewiduje trzy wyjątki od obowiązku zawiadomienia. Pierwszy: dane były skutecznie zabezpieczone, na przykład zaszyfrowane w sposób uniemożliwiający odczyt osobom nieuprawnionym. To kluczowa kwestia. Firma, która szyfruje dane osobowe, może uniknąć obowiązku masowego informowania osób o wycieku. To znacznie ogranicza konsekwencje incydentu.

Drugi wyjątek: administrator podjął działania zapewniające, że wysokie ryzyko już nie istnieje.

Trzeci: zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – wówczas można zastosować publiczny komunikat lub inne równie skuteczne środki.

Zawiadomienie musi zawierać opis naruszenia, dane kontaktowe osoby, od której można uzyskać więcej informacji (często będzie to inspektor ochrony danych), opis prawdopodobnych skutków oraz informację o środkach zaradczych podjętych przez administratora.

Dane osobowe - co sprawdzają organy nadzorcze?

Analizując decyzje organów nadzorczych z całej Europy, widać wyraźne kryteria oceny. Organy przede wszystkim rozważają dwa aspekty: prewencję i reakcję.

W zakresie prewencji kluczowe znaczenie ma art. 32 RODO, który wymaga wdrożenia „odpowiednich środków technicznych i organizacyjnych” zapewniających poziom bezpieczeństwa odpowiadający ryzyku. Przepis wprost wymienia przykłady: pseudonimizację i szyfrowanie, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów, zdolność do szybkiego przywrócenia dostępności danych oraz regularnego testowania skuteczności środków.

Katalog nie jest jednak zamknięty. Organy oczekują, że organizacja przeprowadzi analizę ryzyka i dostosuje środki bezpieczeństwa do specyfiki swojej działalności. Kancelaria prawna przetwarzająca wrażliwe dokumenty klientów musi więc zastosować inne zabezpieczenia niż sklep internetowy zbierający adresy do wysyłki.

W zakresie reakcji organy zwracają uwagę na czas wykrycia naruszenia, terminowość zgłoszenia, rzetelność analizy ryzyka oraz komunikację z osobami, których dane dotyczą. Firma, która wykryła incydent po trzech miesiącach, znajdzie się w znacznie trudniejszej sytuacji niż ta, która zareagowała w ciągu kilku godzin.

Szyfrowanie jako podstawowa ochrona

Jeśli jakiś jeden konkretny środek bezpieczeństwa zasługuje na szczególną uwagę, to właśnie szyfrowanie. Dzieje się tak z dwóch powodów. Po pierwsze, skutecznie zaszyfrowane dane, nawet gdy wyciekną do darkwebu, są bezużyteczne dla osób nieupoważnionych. Haker, który zdobędzie zaszyfrowaną bazę bez klucza deszyfrującego, nie może ich odczytać ani sprzedać, co w znaczącym stopniu zmniejsza ryzyko.

Po drugie, szyfrowanie wpływa na prawne konsekwencje naruszenia. Jeśli dane były skutecznie zaszyfrowane, administrator może nie mieć obowiązku zawiadomienia osób, których dotyczą, ponieważ wysokie ryzyko dla ich praw nie istnieje. To oznacza mniej chaosu organizacyjnego, mniejsze koszty oraz niższe ryzyko utraty reputacji.

Takie zabezpieczenia warto stosować zarówno dla danych przechowywanych (encryption at rest), jak i przesyłanych (encryption in transit). Szczególnie dotyczy to danych wrażliwych: informacji o zdrowiu, danych biometrycznych, dokumentów prawnych, danych uwierzytelniających.

Co jeszcze warto wdrożyć?

Poza szyfrowaniem, kluczowe znaczenie ma uwierzytelnianie wieloskładnikowe (MFA, Multi-Factor Authentication) dla dostępu do systemów przetwarzających dane osobowe. Większość ataków wykorzystuje skradzione lub słabe hasła, które MFA skutecznie blokuje.

Ponadto przydatna jest segmentacja sieci – podział infrastruktury tak, by atak na jeden system nie dawał automatycznie dostępu do wszystkich danych. Wtedy, nawet jeśli haker włamie się do serwera WWW, nie powinien przez to uzyskać dostępu do bazy danych personalnych.

Istotne są również regularne aktualizacje oprogramowania. Większość ataków wykorzystuje znane, ale „niezałatane” luki w programach. Organizacja, która odkłada aktualizacje „na później”, świadomie naraża się na ryzyko.

Co jeszcze? Systemy wykrywania i monitoringu incydentów. Firma, która dowiaduje się o naruszeniu po miesiącach, nie ma szans na terminową reakcję wymaganą przez RODO.

Wreszcie cenny jest plan reagowania na incydenty. Kryzys nie sprzyja ustalaniu procedur, a plan nieprzetestowany, to plan, który ma mniejsze szanse zadziałać w obliczu zaistniałego incydentu.

Monitoring darkwebu – czy warto?

Na rynku dostępne są usługi monitorujące pojawienie się konkretnych danych w darkwebie. Skanowane są fora, bazy danych, rynki handlu danymi w poszukiwaniu adresów e-mail firmy, nazw domen, informacji o pracownikach. Czy to ma sens? Może być użytecznym elementem systemu wczesnego ostrzegania, ale należy znać ograniczenia takich narzędzi (rekomendacje ENISA i EROD). Darkweb jest bowiem rozległy i zdecentralizowany, a żadna usługa nie zagwarantuje wykrycia wszystkich incydentów. Dane mogą krążyć w zamkniętych grupach tygodniami, zanim trafią do publicznie dostępnych miejsc. Fałszywe alarmy mogą z kolei generować chaos i koszty.

Monitoring darkwebu nie zastępuje podstawowych środków bezpieczeństwa. To może być dodatek, a nie fundament. Firma, która nie wdrożyła szyfrowania i MFA, ale kupuje monitoring darkwebu, nadal może paść ofiarą niezauważonego cyberataku.

Jakie mogą być konsekwencje?

RODO przewiduje administracyjne kary pieniężne w wysokości do 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. To górne granice dla najpoważniejszych naruszeń.

W praktyce organy stosują kary znacznie niższe, ale wciąż dotkliwe. 60 tys. funtów dla brytyjskiej kancelarii czy 3 mln euro dla greckiego operatora pocztowego to tylko niektóre przykłady. Innym z nich mógłby być fakt nałożenia kary administracyjnej przez włoski organ ochrony danych w 2024 roku na firmę Postel S.p.A. w kwocie 900 tys. euro za wyciek danych około 25 tys. osób.

Do tego dochodzą koszty pośrednie: obsługa incydentu, komunikacja kryzysowa, potencjalne roszczenia cywilne osób poszkodowanych, wreszcie utrata reputacji. Firmy, których dane klientów wyciekły do darkwebu, często tracą zaufanie rynku na lata. Z tej perspektywy inwestycja w bezpieczeństwo może okazać się oszczędnością.

Podsumowanie

Darkweb nie jest „złym internetem”, „siedliskiem przestępców”, ani „miejscem wyjętym spod prawa”. W kontekście ochrony danych może być jednak miejscem, w którym materializują się skutki naruszeń bezpieczeństwa danych (jak każde inne miejsce). Organizacje przetwarzające dane osobowe muszą mieć świadomość, że pojawienie się ich danych w tej części internetu, pomimo iż trudniej je znaleźć, uruchamia konkretne, terminowe obowiązki prawne.

72 godziny na zgłoszenie incydentu organowi to bardzo krótki czas. Bez przygotowanego planu reakcji firma ma mniejsze szanse na zgodną z prawem obsługę incydentu, a plan ten wymaga regularnych testów – symulacji incydentów, weryfikacji kontaktów, szkoleń pracowników.

Szyfrowanie może mieć realne pozytywne skutki. Skutecznie zaszyfrowane dane ujawnione w darkwebie mogą nie wymagać zawiadomienia osób, co radykalnie zmniejsza konsekwencje prawne i reputacyjne straty.

Zdolność do wykrycia incydentu ma znaczenie. Organy nadzorcze oceniają nie tylko to, czy naruszenie nastąpiło, ale czy firma potrafiła je wykryć w rozsądnym czasie. Organizacja, która dowiaduje się o wycieku po trzech miesiącach, bo nie ma systemów monitoringu, znajduje się w znacznie trudniejszej pozycji.

Fundamentem obrony będzie też dokumentacja. Każde naruszenie musi być udokumentowane: okoliczności, skutki, podjęte działania są podstawą do wykazania przed organem, że firma spełniła swoje obowiązki.

I na koniec: atak hakerski nie zwalnia z odpowiedzialności. Administrator odpowiada prawnie za zapewnienie odpowiedniego poziomu bezpieczeństwa niezależnie od źródła ataku. Oznacza to odpowiedzialność podobną do odpowiedzialności na zasadzie ryzyka.