PROBLEM: Nagłośnione w ostatnim okresie przypadki kradzieży danych osobowych przez hakerów w celu wyłudzenia haraczy wywołały szeroką medialną dyskusję. Firmy obawiają się, że tego typu ataki nasilą się po wejściu w życie RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych; Dz.Urz. UE z 2016 r. L 199, s. 1). Niektórzy nawet twierdzą, że RODO może wręcz zachęcić przestępców do tego typu wyłudzeń. Wielu przedsiębiorców obawia się, że staną przed dylematem: zapłacić przestępcom za milczenie czy zgłosić wyciek i narazić się na kontrolę, a także ryzyko sankcji.
Dyskusję na forach dyskusyjnych wywołała m.in. głośna sprawa haraczu, jaki zapłacił hakerom Uber. Kilka tygodni temu amerykańska firma parataksówkowa przyznała, że rok temu wykradziono jej dane 57 mln użytkowników. Spółka przez rok ukrywała ten fakt oraz to, że zapłaciła hakerom 100 tys. dol. za milczenie. Dziś firma musi się zmierzyć z konsekwencjami tego działania – aż 7 państw członkowskich zadeklarowało, że poczyni kroki w kierunku ukarania Ubera. Zaś unijna komisarz ds. konsumentów Vera Jourová grzmi na Twitterze, że takie działanie na pewno nie ujdzie żadnej firmie na sucho, kiedy zacznie obowiązywać RODO.
Co na to przedsiębiorcy? Otóż ich zdaniem Uber nie powinien przyznawać się do wycieku danych. Mówią wprost, że po wejściu RODO firmom może bardziej opłacać się zapłacić przestępcom za milczenie. Eksperci nie są zaskoczeni. – Faktycznie, w realiach RODO tym bardziej może pojawić się pokusa niezastosowania się do obowiązków informacyjnych. A tym samym sposobność dla tych, którzy chcieliby zarobić obiecując milczenie po naruszeniu danych osobowych – mówi dr Marlena Sakowska-Baryła radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. Dodaje, że przedsiębiorcy nie są przyzwyczajeni do samodenuncjacji, a zgłaszanie przypadków naruszeń uważają za wstydliwe i kłopotliwe wizerunkowo. Co więcej, narażone na szantaż ze strony przestępców mogą być nawet firmy dobrze przygotowane do RODO, którym danych osobowych nikt nie wykradł. Fałszywa informacja wypuszczona do internetu przez szantażystów najprawdopodobniej oznaczałaby bowiem niechybną kontrolę ze strony organu nadzorczego.
Jakie obowiązki
W RODO przewidziano liczne, nowe obowiązki związane z naruszeniem ochrony danych osobowych. Naruszenie takie trzeba będzie zgłosić organowi nadzorczemu (obecnie GIODO) w ciągu 72 godzin po jego stwierdzeniu. Jednocześnie konieczne może okazać się poinformowanie o wycieku osoby, której dane dotyczą. Niezależnie od tego będzie obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutków oraz podjętych działań zaradczych. Przy czym trzeba będzie to robić w taki sposób, by umożliwić organowi nadzorczemu weryfikowanie przestrzegania wymogów RODO.
W przypadku stwierdzenia naruszenia organ nadzorczy będzie miał prawo nałożyć karę do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (w zależności od tego, która z tych kar będzie dotkliwsza). – Wykładnia nowych przepisów nie zawsze jest oczywista, stąd prawie w każdym przypadku kontroli organu nadzorczego trzeba brać pod uwagę, że przedsiębiorca może zostać ukarany. Zwłaszcza to przekonanie może powodować duży dyskomfort przedsiębiorcy, który będzie ważył, czy zgłosić naruszenie, czy liczyć na to, że nikt wycieku nie zauważy – uważa dr Sakowska-Baryła.
Czy firmy będą płacić?
To pytanie zadaliśmy ekspertom. Doktor Paweł Litwiński, adwokat z Instytutu Allerhanda oraz partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, mówi, że to zależy oczywiście od sytuacji konkretnego podmiotu, na którą składają się z jednej strony stosowane przez niego zabezpieczenia, z drugiej to, jak troszczy się o swój wizerunek. – Mogę sobie wyobrazić np. podmioty z sektora finansowego, czy świadczące usługi prawne, dla których troska o wizerunek i zaufanie klientów mogą mieć tak wielkie znaczenie, że opcja zapłacenia okupu może być przez nie rozważana – mówi dr Litwiński.
Z kolei radca prawny Paweł Lipski, partner kierujący praktyką TMT i własności intelektualnej w kancelarii Wierzbowski Eversheds Sutherland, przyznaje, że już dziś większość ujawnionych wycieków danych to jedynie wierzchołek góry lodowej. – Większość z nich nigdy nie wychodzi na światło dzienne, bo przedsiębiorcy niestety płacą. Pamiętajmy jednak, że godząc się na haracz, dajemy jasny sygnał przestępcom, że ich sposób działania jest prawidłowy, nie dostając w zamian gwarancji, że atak się nie powtórzy – uważa mec. Lipski.
Czy warto negocjować z przestępcami?
Mec. Paweł Litwiński zastrzega, że decyzja o zapłacie haraczu byłaby błędem. Przypomina, że RODO nie nakazuje, aby zabezpieczenie danych osobowych było w stu procentach skuteczne, tylko dobrane do ryzyka, z uwzględnieniem bieżącej wiedzy technicznej i kosztów wdrożenia tych zabezpieczeń. – Jeżeli przy dobrze wdrożonych rozwiązaniach technicznych i organizacyjnych chroniących dane osobowe, dojdzie do incydentu, zwłaszcza sprowokowanego czy wręcz mającego charakter włamania, ryzyko kary jest znikome, a koszty wdrożenia RODO znacznie mniejsze, niż kwoty okupu, o jakich się czasem czyta – podkreśla dr Litwiński. Wtóruje mu Artur Piechocki, radca prawny w APLaw. [opinia 1] Ponadto zdaniem mec. Pawła Lipskiego społeczeństwo coraz lepiej rozumie, jak wielkim problemem jest cyberprzestępczość. W związku z tym sam fakt włamania nie zawsze będzie groził przedsiębiorcy utratą wizerunku. – Dla klientów istotna będzie reakcja firmy na włamanie: jak szybko poinformowała ich o zagrożeniu, kiedy usunęła źródło niebezpieczeństwa oraz jakie wdrożyła środki, by zapobiec ponownemu włamaniu – zauważa mec. Lipski. Dodaje, że orzeczenie kary przez organ nadzorczy i jej wysokość zależy od szeregu czynników określonych w samym RODO. Na jej wysokość wpływa m. in. to czy przedsiębiorca zawiadomił organ o wycieku danych oraz o jakie dane chodzi. Ekspert uważa, że przedsiębiorca zapłaci słono w momencie, gdy okaże się, że zapłacił hakerom za milczenie oraz nie dopełnił obowiązków informacyjnych przewidzianych w RODO.
OPINIE EKSPERTÓW
Nie należy płacić hakerom
Artur Piechocki radca prawny w APLaw / Dziennik Gazeta Prawna
Złośliwe oprogramowanie, w tym ransomware, używane jest obecnie nie tylko w celu wymuszenia okupu, ale również dla paraliżu przedsiębiorcy czy wręcz organizacji (nawet państwowej, jak miało to miejsce w przypadku Ukrainy i złośliwego oprogramowania pod nazwą Petya/Non-Petya). Ataki, których efektem ma być pozyskanie określonych informacji (np. danych osobowych), niekoniecznie wiążą się z okupami; tzw. ciemny internet obfituje w oferty sprzedaży baz danych pozyskanych w nielegalny sposób. Po wejściu RODO problemem staje się obrót danymi pozyskanymi w sposób niezgodny z prawem. Skoro można już nawet „kupić” w internecie sprofilowany atak od przestępców, to można twierdzić, że zarówno ataki dla okupu, jak i dla sprzedaży danych stają się prawdziwym biznesem. Oczywiście nielegalnym. Nie wyobrażam sobie sytuacji, w której po wejściu RODO przedsiębiorca miałby ukrywać wyciek danych. Rozporządzenie wprowadza obowiązek zgłoszenia wycieku w organie nadzorczym, a w przypadku zaistnienia ryzyka naruszenia praw i wolności dodatkowo pojawia się konieczność zawiadomienia podmiotów, których dane zostały dotknięte w wyniku tego incydentu. Jeżeli więc przedsiębiorca zapłaci hakerom za „milczenie”, a po pewnym czasie wyciek zostanie wykryty, to naraża się na ryzyko poniesienia odpowiedzialności dużo szerszej niż w przypadku gdyby od razu zgłosił naruszenie danych osobowych.
Przedsiębiorcy zmierzą się z wyłudzaczami
dr Maciej Kawecki koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji / Dziennik Gazeta Prawna
Problem ewentualnych wymuszeń był przez nas rozważany i to nawet w szerszym kontekście. Proszę zwrócić uwagę, że projekt krajowych przepisów o ochronie danych osobowych daje organizacjom społecznych prawo żądania wszczęcia postępowania i dopuszczenia ich do udziału w postępowaniu, jeżeli przemawia za tym ważny interes danej osoby. Rozwiązanie ogromnie ważne i bardzo proobywatelskie. Wiąże się z nim jednak ryzyko związane z pojawieniem się takich fundacji, stowarzyszeń, których działania nakierowane będą na nielegalne wyłudzenia. Ryzyko takie jest i w naszej ocenie nie da się go wyeliminować inaczej niż przez budowanie świadomości obywateli i zintegrowane działania izb gospodarczych, które będą przeciwdziałać takim procederom.
Stawiamy też na skuteczne działanie organu nadzorczego, który będzie dokonywał oceny takich żądań. Czy organ nadzorczy będzie inaczej podchodzić do pomiotów, które zataiły wyciek danych? Trudno jest nam teraz powiedzieć na to pytanie, bo nie jesteśmy organem nadzorczym. Powinien on przede wszystkim reagować na naruszenie. Bo jeżeli o naruszeniu dowie się późno z jakichkolwiek względów, postępowanie będzie toczyło się później – z krzywdą dla osób których dane dotyczą.
Trzeba zgłosić incydenty związane z cyberatakami
Anna Kobylańska adwokat w kancelarii prawnej Kobylańska & Lewoszewski / Dziennik Gazeta Prawna
Po wejściu RODO w przypadku naruszenia ochrony danych osobowych administrator powinien jak najszybciej zgłosić je organowi nadzorczemu. Będzie mógł od tego odstąpić, jeśli będzie mało prawdopodobne, by dany incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych (np. utratą kontroli nad własnymi danymi osobowymi, kradzieżą tożsamości). Wyciek danych osobowych klientów na skutek ataku hakerskiego może stanowić naruszenie ochrony danych osobowych, które podlega obowiązkowi zgłoszenia. Zatajenie naruszenia będzie natomiast zagrożone sankcją finansową.
Warto zawrócić uwagę, że także w planowanych przepisach ustawy o krajowym systemie bezpieczeństwa, która wdroży przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, przewidziane będą nowe (dodatkowe) obowiązki dla wybranych grup podmiotów w zakresie zgłaszania incydentów dotyczących cyberbezpieczeństwa. Np. dostawcy usług cyfrowych będą mieć obowiązek zgłaszania określonych incydentów w ciągu 24 godzin od momentu ich wykrycia.