Wyciek danych funkcjonariuszy w związku z akcją szczepień przeciwko COVID-19

29 kwietnia 2021
hello world!

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych funkcjonariuszy służb mundurowych. Sprawa dotycząca wycieku danych funkcjonariuszy jest obecnie analizowana i uzupełniana pod kątem dodatkowych materiałów i informacji, które pozwolą wyjaśnić wszelkie jej okoliczności.

Kiedy mówimy o wycieku danych?

„Wyciek danych” to potoczne określenie „naruszenia ochrony danych osobowych” w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm., dalej również jako „RODO”).

Oznacza to więc sytuację, w której doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zgodnie z przepisami RODO naruszeniem bezpieczeństwa jest zdarzenie, w którym zawodzą organizacyjne lub techniczne środki bezpieczeństwa danych osobowych. Oznacza to, że „wyciek danych” nie wiąże się jedynie z włamaniami do sieci (np. danej firmy). Wiąże się także z umyślnym bądź nieumyślnym działaniem pracownika, które doprowadziło do naruszenia. Naruszeniem bezpieczeństwa będzie przykładowo już samo skopiowanie danych przez pracownika na nośnik zewnętrzny (np. pendrive, telefon) czy wysłanie ich do tzw. chmury.

Przeczytaj również: Wyciek danych z Facebooka

Wyciek danych funkcjonariuszy z RCB

Z Rządowego Centrum Bezpieczeństwa (RCB) wyciekły dane ponad 20 tys. przedstawicieli polskich służb mundurowych, agencji i instytucji państwowych – takich jak funkcjonariuszy policji, celników, pracowników Służby Ochrony Państwa, Administracji Skarbowej, Straży Granicznej, Straży Pożarnej, Inspekcji Transportu Drogowego, Straży Miejskiej, Służby Więziennej i Służby Ochrony Kolei. Osoby, których dane wyciekły, miały zgłosić się na szczepienia przeciwko COVID-19. Dane zostały udostępnione w serwisie do wizualizacji danych ArcGIS, na którym każdy odwiedzający mógł pobrać plik zawierający dane osobowe. Udostępnione informacje to m.in. imiona i nazwiska, numery PESEL, adres miejsca pracy, nazwy jednostek oraz telefony kontaktowe i adresy e-mail. Podkreślenia wymaga fakt, że w odniesieniu do funkcjonariuszy publicznych to są dane wyjątkowo wrażliwe. Rządowe Centrum Bezpieczeństwa poinformowało w specjalnym komunikacie o rozpoczęciu procedury wyjaśniającej.

UODO żąda wyjaśnień

O zdarzeniu administrator danych zawiadomił UODO oraz inne właściwe organy – policję, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK oraz Prokuraturę Krajową. Administrator poinformował też osoby fizyczne, których dane były przedmiotem naruszenia. UODO zażądał od administratora danych osobowych wyjaśnień związanych z tym wyciekiem. Jak podkreślił UODO, istnieje ryzyko związane z możliwością nieuprawnionego wykorzystania pobranych danych osobowych funkcjonariuszy. Może to wiązać się z wymierną szkodą dla funkcjonariuszy. Działanie takie może polegać na sfałszowaniu tożsamości, nadużyciach finansowych, naruszeniach prywatności. Co więcej, tego typu informacje dla środowiska przestępczego mogą posłużyć chociażby do tego, żeby stosować groźby wobec tych funkcjonariuszy.

Kolejne kroki

Następne kroki w sprawie wycieku zależą od kolejnych informacji uzyskiwanych od administratora. Obecnie podejmowane są wszelkie działania mające na celu zminimalizowanie ryzyka wykorzystania danych funkcjonariuszy do zaciągnięcia zobowiązań finansowych przez przestępców. Przy okazji UODO przypomina, jakie działania należy podjąć, aby zminimalizować negatywne konsekwencje naruszenia. Przede wszystkim należy zachować dużą ostrożność podczas podawania danych przez internet. Trzeba też dokładnie analizować wszelkie komunikaty zawarte np. w wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.

chevron-down
Copy link