Je to #TopWP. Připomínáme nejlepší materiály posledních měsíců

Beata obdržela dopis od Sociální pojišťovny (ZUS), ve kterém ji informovali, že došlo k porušení ochrany jejích osobních údajů. Když dopis otevřela, podlomily se jí nohy. Bylo zjištěno, že jeho osobní údaje byly zpřístupněny na profilu jiného pacienta na platformě elektronických služeb ZUS.

Když vyprávěla, její první reakcí bylo zděšení, pak pobouření, když si dopis přečetla. Zjistila, že pro „minimalizaci negativních dopadů narušení osobních údajů“ – bude si muset vytvořit účet v Úvěrovém a ekonomickém informačním systému, aby neustále kontrolovala, zda někdo nepodvedl její kreditní údaje – to mu poradil ZUS. .

Jak si úřad tuto situaci vysvětluje? V odpovědi na dotazy ze strany money.pl ZUS informuje, že nahlásil porušení ochrany osobních údajů, o kterém hovoříme, prezidentovi UODO a také potvrdil, že o porušení informoval poškozenou stranu .

Zároveň ujišťuje, že továrna má „pro takové případy vypracované provozní postupy a zaměstnanci procházejí školením“. Informuje také, že „ihned po obdržení informace vymazal ZUS omylem odeslaný dopis s údaji zákazníka z profilu PUE ZUS neoprávněné osoby“ – informuje jménem velitelství ZUS Grzegorz Dyjak.

Na otázku, jak tato situace vznikla, jsme však odpověď nedostali.

Jak upozorňují odborníci, k podobným situacím – souvisejícím s úniky dat z různých míst či jiným narušením – dochází stále častěji. Oběti se i přes to, že jim někdo ukradl data, musí vysvětlit u soudu.

Údaje zveřejněné společnostmi nebo institucemi využívají kyberzločinci, např. smluvní úvěry nebo půjčky. Bohužel je těžké se poté vrátit zpět a oběti musí často u soudu dokazovat svou nevinu.

Co dělat, když nás taková situace postihne? Artur Piechocki, právní poradce ve společnosti APlaw Artur Piechocki, zvyšuje povědomí o tom, že v případě obdržení informace o úniku našich dat to není radno podceňovat. Ihned by se mělo zkontrolovat, zda se naše údaje neobjevily v registru národního dluhu (KRD).

Úvěrové podvody nejsou neobvyklé a je těžké se k nim následně dostat legálně, zdůrazňuje.

K událostem spojeným s únikem dat dochází jak ve veřejných institucích, tak v soukromých společnostech – v Polsku i v zahraničí. Loni například unikla data pacientů z provinční odborné nemocnice v Rzeszówě. Naopak v zahraničí spektakulárním příkladem bylo veřejné zveřejnění dat 500 milionů uživatelů WhatsApp, které se dostaly do rukou zločinců.

Proč se to děje? – Naprostá většina těchto porušení je výsledkem lidské chyby. Nejčastěji se jedná o nejběžnější chyby, například špatně zadanou e-mailovou adresu – říká money.pl Łukasz Onysyk, viceprezident společnosti Auraco, která se zabývá ochranou osobních údajů.

Bohužel tyto chyby nelze vyloučit. Školení, stanovení postupů, informovanost zaměstnanců o tomto tématu může rozsah takových úniků jen snížit, ale neodstraní, dodává.

Náš kontakt upozorňuje, že k takovým nesrovnalostem docházelo i před zavedením GDPR, ale tehdy nebyla povinnost je hlásit.

Ustanovení GDPR ukládala institucím a společnostem povinnost hlásit tato porušení dotčeným osobám.a také informace o možných rizicích s tím spojených. V závislosti na míře porušení to musí daná instituce nebo společnost nejprve nahlásit UODO. Pokud je porušení vysoké, musí to kromě oznámení Úřadu pro ochranu osobních údajů oznámit i subjektu údajů, vysvětluje.

Łukasz Onysyk také vysvětluje, co znamená „vysoká úroveň porušení“.

„Obvykle to závisí na závažnosti porušení ochrany osobních údajů u dotyčné osoby. Pokud se jedná o široký rozsah, který umožňuje například vzít si například úvěr, pak se to považuje za porušení nejvyšší úrovně – vysvětluje.

Zbytek článku pod videem

Artur Piechocki poukazuje na to, že zločinci jsou velmi chytří. Většinu času, při čerpání půjčky na odcizená data dostávají oběti platební příkazy, které jsou okamžitě aplikovány.

– Případ se velmi rychle dostane k soudnímu vykonavateli a oběti je najednou zabaven bankovní účet nebo plat. Navíc často neví, že v jejím případě probíhalo řízení – vysvětluje náš partner. Jak je to možné?

Platební příkaz je odeslán na špatnou adresucož je pro takové případy typické. Zbytek údajů je pravdivý a týká se osoby, jejíž údaje byly odcizeny. Obvykle se jedná o jméno, číslo PESEL nebo číslo průkazu totožnosti. Falešná je pouze poštovní adresa, vysvětluje právník.

Dodává, že záležitost je tak obtížná, že pokud společnost, která se snaží peníze požadovat, prokáže, že korespondenci někdo skutečně obdržel, pak i když se jedná o zastupovanou osobu, je platební rozkaz účinný a věc se dostane k soudnímu exekutorovi.

– Nedávno byly provedeny změny v občanském soudním řádu, které mají takovým situacím předcházet. Přesto tato praxe stále existuje. Dostat se z této situace není vůbec jednoduché. Poškozený musí nejprve zrušit doložku vykonatelnosti. Teprve v další fázi se může pokusit prokázat, že nebylo potřeba vydávat vykonatelnou doložku a platební rozkaz – zdůrazňuje Artur Piechocki.

Může někdo, komu unikla data, požadovat odškodnění?

– Samotný únik dat neznamená, že se tato data dostanou k někomu, kdo je bude nelegálně zpracovávat. Dotčená osoba musí prokázat například skutečnost reálného rizika vydírání úvěru a teprve na tomto základě může žádat odškodnění – vysvětluje Artur Piechocki.

Dodává, že hodně záleží také na typu dat, která byla zveřejněna. Pokud jde např. o adresu, číslo PESEL a také informace o zdravotním stavu člověka, pak nastává vážný problém.

Dokázat, že nám vznikla škoda jen kvůli samotnému úniku dat, však není jednoduché.

Łukasz Onsyk v této souvislosti uvádí příklad situace, která nastala po dopravní nehodě. – Poté se pojistitel spletl a poskytl údaje osoby, na kterou byla pojistka OC vystavena, původce nehody. Výsledkem bylo, že tato osoba začala přijímat tiché hovory a cítila se z toho nesvá. Případ skončil u soudu. Přestože se poškozený snažil dokázat, že se jeho situace v důsledku zpřístupnění dat zhoršila, soud mu přiznal odškodné pouze 1500 PLN – říká náš partner.

Podle našich partnerů se problém s úniky dat bude jen zhoršovat, zvláště když se digitalizace zrychlí.

Mezitím je výběr pokut za porušení údajů v Polsku stále velmi nízký. V loňském roce jsme informovali, že z pokut udělených Úřadem pro ochranu osobních údajů (ÚODO) bylo za několik let platnosti GDPR vybráno pouze 150 780 PLN. V praxi byly během čtyř let GDPR uděleny pokuty pouze ve čtyřech případech. Roční pokuta činila něco málo přes 37 000 PLN. zlotý.

Polský regulátor mezitím od vstupu nařízení v platnost (tedy od května 2018) podle údajů mezinárodní advokátní kanceláře DLA Piper uložil pokuty za více než 2,2 milionu eur.

Loni byl také sankcionován mimo jiné za porušení pravidel GDPR. jedna z bank. ÚODO mu udělil pokutu více než 545 000 PLN. zlotý.

UODO ukládá sankce firmám a úřadům zejména tehdy, když nechtějí například informovat poškozené o úniku dat. Dosud takové sankce uvaluje ÚODO ​​na firmy, instituce a internetové obchody. Vzhledem k tomu, že k porušování stále dochází, dá se očekávat, že se počet uložených pokut nesníží “ řekl Lukasz Onsyk.

Co by měly firmy dělat, aby se před podobnými situacemi lépe chránily? – Určitě se vyplatí průběžně monitorovat počítačové systémy a také školit zaměstnance. Je to důležité, protože v případě možného porušení může společnost nebo instituce prokázat, že postupovala s náležitou péčí, uzavírá odborník.

Nezapomeňte, že ustanovení GDPR platí od května 2018. Měla zabránit nezákonným praktikám souvisejícím se zpracováním osobních údajů. Maximální sankce za porušení těchto zákonů na ochranu osobních údajů je až 4 %. celkový roční obrat společnosti za předchozí rok.

Při přípravě tohoto materiálu jsme také zaslali dotazy na ÚODO. Úřadu jsme se zeptali na počet úniků dat, ke kterým došlo za poslední rok, na uložené sankce a jejich výši. Čekáme na odpověď.

Agnieszka Zielińska, novinářka money.pl

Pokud chcete mít aktuální informace o nejnovějších ekonomických a obchodních událostech, použijte našeho Chatbota kliknutím na tady.