„Nigdy nie wiadomo, kto jest po drugiej stronie”, czyli jak bezpiecznie udostępniać dane osobowe

Ta kampania medialna prowadzona pod hasłem „Nigdy nie wiadomo, kto jest po drugiej stronie” była projektem zrealizowanym w ramach programu Dziecko w Sieci i dotyczyła przypadków pedofilii w Internecie. W 2008 roku przez tygodnik „Przekrój” została uznana za jedną z 20 reklam, które wstrząsnęły Polską. Najwyraźniej jednak cały czas trzeba o tym przypominać, i to bynajmniej nie tylko dzieciom. To my, dorośli, a zwłaszcza osoby zatrudnione przy przetwarzaniu danych osobowych, powinniśmy pamiętać o tym, że w kontaktach e-mailowych, telefonicznych, czy w Internecie, wtedy kiedy to ktoś do nas pisze czy dzwoni, to nigdy nie wiadomo kto jest po drugiej stronie.

W sierpniu tego roku, z jednej z placówek opiekuńczo-wychowawczych, pedofil, morderca, zamknięty w ośrodku w Gostyninie, podszywając się pod darczyńcę, wyłudził dane osobowe 8-letniej wychowanki placówki, po czym przesłał jej kartkę i paczkę. Szczęśliwie nie dotarło to do adresatki, ponieważ już wtedy zdrowy rozsądek pracowników podpowiedział, że skoro przesyłka pochodzi z Gostynina, to należy przyjrzeć się sprawie.

Niemniej Miejski Ośrodek Pomocy Rodzinie przeprowadził kontrolę w placówce pod kątem procedur pozyskiwania darczyńców, kontaktów kadry merytorycznej z darczyńcami czy związanych z przekazywaniem darczyńcom informacji. Niedopuszczalne jest bowiem, aby bez odpowiedniego uwierzytelnienia rozmówcy czy wnioskodawcy i bez właściwej podstawy prawnej, a także zatwierdzenia przez osobę odpowiedzialną w jednostce za przekazywanie danych na zewnątrz, pracownik mógł udostępnić dane osobowe nieuprawnionej osobie czy podmiotowi.

Przykładów wycieku danych, utraty dużych pieniędzy, czy padania ofiarą innych oszustw, będących skutkiem nie tyle zaawansowanego złośliwego oprogramowania i cyberprzestępczych metod, ile naszej niefrasobliwości, naiwności, podatności na socjotechniczne manipulacje, jest bardzo wiele. Niedawno wyrokami skazującymi zakończyła się sprawa księgowej, która na konto oszustów podszywających się pod jednego z wykonawców, w odpowiedzi na e-mail informujący o zmianie konta, przelała cztery i pół miliona złotych.

Podobna sytuacja zdarzyła się w jednym z krakowskich szpitali, gdzie na konto oszusta, który podszył się pod dostawcę leków dla tego szpitala, w kilku transzach przelano ponad pół miliona złotych. Coraz częściej rozsyłane są e-maile lub wykonywane telefony przez jakoby urzędowe instytucje typu GIODO (Generalny Inspektor Ochrony Danych Osobowych), US (Urząd Skarbowy) czy UOKiK (Urząd Ochrony Konkurencji i Konsumenta) z zapowiedziami czy to kontroli, czy obowiązku realizacji często nieistniejących przepisów, a obliczone na dokonanie bezpodstawnych opłat lub ściągnięcia sobie złośliwego oprogramowania zaszytego w zainfekowanych odnośnikach i załącznikach. O wiadomościach od niby firm kurierskich, Poczty Polskiej, czy banków, już nawet nie wspomnę.

Najprostszą obroną i reakcją w takich sytuacjach jest rozsądek, uwaga, pewna doza nieufności, potwierdzanie prawdziwości informacji i uwierzytelnienie nadawcy, lub też korzystanie z praktycznych, mądrze wdrożonych procedur dotyczących bezpieczeństwa informacji i ochrony, w tym udostępniania danych osobowych. Konieczne jest przeszkolenie pracowników pod kątem zagadnień bezpieczeństwa teleinformatycznego, a także organizacyjnych i technicznych środków bezpieczeństwa wynikających z przepisów prawa oraz wewnętrznych procedur zastosowanych dla ochrony danych w jednostce. Obecne przepisy z zakresu ochrony danych osobowych wprost narzucają obowiązek zorganizowania takiego szkolenia, a także określają warunki techniczne i organizacyjne, jakie muszą być spełnione zarówno przez osoby upoważnione do przetwarzania danych, jak i systemy informatyczne służące do przetwarzania danych osobowych.

Wraz z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych przestanie obowiązywać m.in. rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Od 25 maja 2018 r. każdy administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentacje i procedury przetwarzania danych wdrożyć.

Pomocne w podjęciu decyzji w tym zakresie mogą być wskazane w rozporządzeniu instrumenty, takie jak zatwierdzane przez GIODO tzw. kodeksy postępowania, a także mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych. Ponadto źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być również np. normy ISO. Tam natomiast, jak i w samym ogólnym rozporządzeniu, znajdziemy wymogi zapewnienia zasad integralności i poufności, tj. przetwarzania danych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Trzeba się do tego stosować zwłaszcza w przypadku przekazywania danych za pośrednictwem środków komunikacji elektronicznej. Oczywiście dane udostępniamy jedynie uprawnionym osobom i podmiotom.

Warto prowadzić ewidencję udostępniania danych lub w inny sposób odnotowywać takie informacje jak imię i nazwisko osoby, której dane zostały udostępnione, sposób i zakres udostępnionych informacji, nazwę uprawnionego organu lub podmiotu, któremu udostępniono dane, cel i podstawę prawną udostępnienia, datę, imię i nazwisko osoby uprawnionej, która udostępniła informacje. Dbając o bezpieczeństwo danych osobowych, należy przede wszystkim zapewnić dostęp do nich wyłącznie osobom uprawnionym, chronić je przed przypadkowym lub nieuprawnionym zniszczeniem, stosować metody i środki ochrony danych, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Bezpieczeństwo informacji, zawierających zwłaszcza dane osobowe, wymaga w szczególności:

• systematycznej analizy zagrożeń,
• opracowania i stosowania procedur zabezpieczania danych osobowych i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
• stosowania środków bezpieczeństwa adekwatnych do zagrożeń,
• bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także
• okresowej oceny skuteczności tych sposobów.

Raz jeszcze przypominam, że przy korespondencji e-mailowej czy rozmowach telefonicznych, w przypadku kiedy to do nas ktoś pisze czy dzwoni, to nigdy tak do końca nie wiadomo, kto jest po drugiej stronie. Nie można więc przekazywać szczegółowych informacji przez telefon czy e-mailem osobie, co do której tożsamości nie ma się pewności. Jedną z metod potwierdzania tożsamości rozmówcy jest na przykład oddzwanianie do instytucji czy osoby, która się z nami kontaktuje, ale na oficjalne dane kontaktowe, czy widniejące w naszej dokumentacji. Z kolei wysyłając e-mailem zabezpieczony hasłem dokument czy plik do uprawnionego odbiorcy, hasło do otworzenia załącznika należy przesłać SMS-em lub inną drogą, a nie w treści tego samego e-maila.

Coraz częściej ma się do czynienia z żądaniami czy wnioskami o dostęp do danych, zarówno od osób, których dane dotyczą, jak i uprawnionych instytucji. Zmieniają się też przepisy dotyczące uprawnień niektórych organów i podmiotów, które mogą mieć dostęp do różnych danych. Jednak to, kto i do jakich informacji ma prawo dostępu, określają przepisy prawa. Nie można udostępniać szerszego zakresu, a już bezwzględnie należy uważać, aby nie przekazać informacji nieuprawnionej osobie czy instytucji.

Pamiętajmy, że ktoś, pisząc e-mail czy wykonując telefon, może się przedstawić za urzędnika, komornika, policjanta, pracownika banku czy kogokolwiek, a to po naszej stronie jest obowiązek weryfikacji, potwierdzenia tożsamości i ewentualnych uprawnień danego podmiotu. Zachowujmy przy takich kontaktach czujność, a w podświadomości miejmy zasadę, że nigdy nie wiadomo, kto jest po drugiej stronie.