W dniu 8 lipca rzecznik Orange Wojciech Jabczyński na blogu Orange stwierdził, że awarie zdarzają się każdemu operatorowi, podsumowując żenującą awarię Orange. "Nie my pierwsi i ostatni. Wiemy, że niektórzy z Was mieli wczoraj przez kilka godzin kłopoty z rozmowami i dostępem do mobilnego netu. Dlatego chcemy Wam" to zadośćuczynić i zdecydowaliśmy, że w najbliższą sobotę i niedzielę (9-10 lipca) będziecie mogli korzystać z mobilnego internetu w kraju całkowicie za darmo. Dotyczy to wszystkich klientów Orange i nju mobile, zarówno indywidualnych jak i biznesowych. Jeśli korzystacie z pakietów, to transmisja danych z weekendu ich nie zmniejszy. Rozliczenia dokonamy automatycznie bez konieczności kontaktu z nami. Jeszcze raz przepraszamy za niedogodności, które mieliście w wyniku awarii". Tym samym klienci dostali 2 dni (48 godzin) internetu za darmo. Choć były z tym problemy, pomarańczowi nie tracili rezonu.

Jak uznał Jabczyński weekendowy, darmowy mobilny internet działa. Jednak ze względu na szybkość i skalę jego wprowadzenia dla części z klientów mógł nie włączyć się przed północą. Jeśli tak się stało, rachunki za internet wyzerujemy, a w prepaid pieniądze wrócą na konto. To samo dotyczy pakietów, które zostaną uzupełnione do stanu sprzed północy. Przepraszamy i miłego surfowania. I liczymy, że takie bicie w piersi będzie standardem.

Nie gorszy postanowił być T-Mobile, który tez miał problem z siecią. W ramach rekompensaty za ostatnią awarię sieci LTE, T-Mobile uruchomi klientom darmowy pakiet 10 GB do wykorzystania w każdą sobotę i niedzielę do końca lipca o czym informował serwis branżowy Telepolis.

O ile pech pracowników Orange i T-Mobile by przypadkiem o tyle Netia miała problem od początku lipca. Zadecydowali o tym cyberprzestępcy. Zdaniem polskich władz atak na klientów i ewentualnych klientów Netii nie był przypadkiem. Postanowiliśmy sprawdzić, co operatorzy mogą zaoferować za utracone danie. Niestety na "ludową sprawiedliwość nie ma co liczyć".

Każdy administrator danych, czyli podmiot decydujący o celach i środkach przetwarzania danych, jest bowiem zobowiązany do właściwego zabezpieczenia danych osobowych. Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Wybór odpowiednich środków gwarantujących optymalny stopień zabezpieczenia danych pozostawiony jest do uznania administratora danych, bowiem tylko ten podmiot ma świadomość zagrożeń wynikających ze środowiska, w którym przetwarza dane osobowe. Mogą to być różnego rodzaju rozwiązania architektoniczno–budowlane, systemy alarmowe, służby ochrony czuwające nad bezpieczeństwem czy rozwiązania informatyczne chroniące dane osobowe. Ważne jest, aby administrator danych dysponował takimi instrumentami organizacyjnymi i technicznymi, za pomocą których będzie w stanie wyeliminować zagrożenia utraty, zmiany czy zniszczenia danych osobowych. Udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności bądź pozbawienia wolności do lat 2, o czym stanowi art. 51 ustawy o ochronie danych osobowych.

Jeśli sprawa dotyczy danych klientów firmy Netia, świadczącej m.in. usługi telekomunikacyjne, dodatkowo wskazać należy na przepisy szczególne w tym zakresie, tj. przepisy Prawa telekomunikacyjnego. Zgodnie z ich brzmieniem, dane abonentów objęte są tajemnicą telekomunikacyjną (art. 159 ust. 1). Z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej (art. 159 ust. 3). Za jej naruszenie przewidziana jest kara pieniężna (art. 209 ust. 1 pkt 24).

Ponadto wskazać należy, że przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne stanowią, że gdy dojdzie do naruszenia danych osobowych, dostawca usług telekomunikacyjnych musi zawiadomić o tym niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a gdy naruszenie to może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną – również abonenta lub użytkownika końcowego (art. 174a ust. 1 i ust. 3). Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych (art. 174a ust. 2). Z kolei przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej (art. 174a ust. 4).

Dodać jednak należy, że przepisy Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, wydanego na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej precyzują, że obowiązek zgłoszenia naruszenia danych osobowych do organu krajowego powinien być zrealizowany niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia. Ponieważ w związku z tymi rozbieżnościami może dojść do kolizji norm, wówczas mając na względzie klasyfikację źródeł prawa obowiązujących w Polsce, stosujemy bezpośrednio postanowienia rozporządzenia, stąd za obowiązujący termin należy uznać 24 godziny.

Istnieje także możliwość wstępnego zawiadomienia organu ochrony danych w sytuacji, kiedy przedsiębiorca telekomunikacyjny nie dysponuje wszystkimi informacjami, których podanie wymagane jest w zawiadomieniu i konieczne jest dalsze badanie przypadku naruszenia danych osobowych. W tej sytuacji to wstępne zawiadomienie składa się nie później niż 24 godziny po wykryciu naruszenia danych osobowych, natomiast drugie (uzupełnione) zawiadomienie należy złożyć najszybciej, jak to możliwe i najpóźniej w ciągu trzech dni po wstępnym zawiadomieniu.

W przypadku natomiast powiadamiania abonenta lub użytkownika końcowego będącego osobą fizyczną, rozporządzenie mówi jedynie o tym, że abonenta należy powiadomić „bez zbędnej zwłoki” (bez wskazania konkretnego terminu), nasza ustawa natomiast doprecyzowuje, że należy to zrobić najpóźniej w terminie 3 dni.
Zawiadomienie nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione, oraz zastosował je do danych, których ochrona została naruszona (art. 174a ust.5 Prawa telekomunikacyjnego).

Zgodnie zaś z art. 174a ust. 8, zawiadomienie, jakie przedsiębiorca telekomunikacyjny ma obowiązek skierować do abonenta lub użytkownika końcowego, powinno zawierać:
1) opis charakteru naruszenia danych osobowych;
2) dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;
3) informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;
4) informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;
5) opis skutków naruszenia danych osobowych;
6) opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.

Stosownie do przepisów omawianej ustawy, do sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (art. 174b). A zatem, biorąc je pod uwagę, GIODO może np. przeprowadzić czynności kontrole w siedzibie administratora danych (art. 12 pkt 1 i 2, art. 14, art. 16), może kierować do niego wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych (art. 19a w zw. z art. 12 pkt 6), oraz może kierować do organów ścigania zawiadomienia o popełnieniu przestępstwa (art. 19). Należy także zauważyć, że – jak stanowi art. 174c Prawa telekomunikacyjnego – Generalny Inspektor Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 19a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Generalny Inspektor Ochrony Danych Osobowych może publikować wystąpienia na swojej stronie podmiotowej BIP, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.

Zatem przepisy prawa wyraźnie wskazują, że ochrona danych osobowych abonentów powinna być istotną kwestią w działalności operatorów telekomunikacyjnych, a w przypadku naruszenia tych danych operator musi podjąć odpowiednią procedurę prawną, która podlega także kontroli Generalnego Inspektora Ochrony Danych Osobowych (art. 174b Prawa telekomunikacyjnego).

Jeśli zaś chodzi o możliwość domagania się ewentualnego odszkodowania od operatora telekomunikacyjnego informuję, że kwestię tę należy rozpatrywać na podstawie przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, regulujących naruszenie dóbr osobistych. Dlatego każdy, kto uważa, że wyciek danych od operatora telekomunikacyjnego spowodował naruszenie jego dóbr osobistych, może wystąpić z powództwem cywilnym do sądu powszechnego, w tym starać się o odszkodowanie z tego tytułu (na podstawie art. 23 i 24 ustawy Kodeks cywilny). O tym bowiem, czy w określonym przypadku nastąpiło naruszenie dóbr osobistych oraz o ewentualnych roszczeniach odszkodowawczych z tego tytułu orzekają sądy powszechne w trybie przewidzianym przepisami ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego.

Odpowiedzią na nowe zagrożenia dla ochrony danych osobowych, jakie niesie ze sobą rozwój technologii informacyjnych, jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które weszło w życie w maju 2016 r, a będzie stosowane od 25 maja 2018 r. Rozporządzenie, które zastąpi obecnie obowiązujące przepisy (pochodzące jeszcze z lat 90. ubiegłego stulecia), ma w założeniu stworzyć gwarancje ochrony danych osobowych adekwatne do zagrożeń XXI w. Dlatego m.in. nie znajdziemy w nim precyzyjnych wytycznych dotyczących niezbędnych zabezpieczeń technicznych w procesie przetwarzania danych. Zniesiono również obowiązek uprzedniego informowania o rozpoczęciu procesu przetwarzania danych (jakim był obowiązek notyfikacji zbiorów danych do Generalnego Inspektora). Od 2018 r. administratorzy danych będą musieli sami ocenić ryzyko, jakie wiąże się w przetwarzaniem danych, zastosować środki techniczne i organizacyjne adekwatne do tego ryzyka i udowodnić, że zastosowane środki zapewniają poszanowanie zasad i wartości nowego rozporządzenia. W szczególnych, prawem określonych przypadkach, na administratorze danych ciążyć będzie obowiązek przeprowadzania oceny wpływu na prywatność konkretnych rozwiązań przyjętych przez tego administratora czy też powołania inspektora ochrony danych (nazywanego dzisiaj administratorem bezpieczeństwa informacji). W połączeniu z generalną zasadą uwzględniania zasad ochrony danych już w fazie projektowania procesów przetwarzania danych osobowych, rozporządzenie kreśli zupełnie nowe scenariusze dla sektora ochrony danych osobowych – zdecydowanie bardziej dopasowane do ryzyka i nowych zagrożeń, jakie wiążą się z przetwarzaniem danych przy użyciu nowoczesnych technologii. W sytuacji, w której administrator dopuści się jednak naruszenia przepisów rozporządzenia, Generalny Inspektor Ochrony Danych Osobowych będzie uprawniony do nałożenia kary pieniężnej w wysokości nawet 20 milionów EURO lub, w przypadku przedsiębiorstw, do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Źródło: własne, GIODO