Podczas klęsk żywiołowych trzeba uważać na dane osobowe

Zalanie papierowych dokumentów zawierających dane osobowe, zniszczenie systemów elektronicznych czy też kradzież komputerów przez szabrowników muszą zostać zgłoszone przez administratora do prezesa UODO oraz podmiotów danych – pisze dr Joanna Worona-Vlugt na łamach Rzeczpospolitej.

W połowie września 2024 r. w południowo-zachodniej części Polski miała miejsce powódź powodująca ogromne straty materialne. Powódź, jako katastrofa naturalna, zawsze wiąże się z gwałtownymi zjawiskami, które mają wpływ na infrastrukturę, ale też na życie obywateli. Spowodowała wymierne straty materialne zarówno u osób fizycznych, jak i u przedsiębiorców będących administratorami danych osobowych. Przy ratowaniu dobytku w obliczu katastrofy naturalnej ochrona danych osobowych mogła zejść na drugi plan. Wobec zaistniałej katastrofy naturalnej należy zatem podjąć rozważania o jej konsekwencjach dla ochrony danych osobowych.

Obowiązek administratora danych

Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W przypadku powodzi może to być m.in. zalanie papierowych dokumentów zawierających dane osobowe, zniszczenie systemów elektronicznych czy też kradzież mienia, w tym komputerów, przez szabrowników. Obowiązkiem administratora jest wewnętrzne dokumentowanie zaistniałych naruszeń ochrony danych osobowych. W zależności od wagi naruszenia do obowiązków administratora będzie należało powiadomienie prezesa Urzędu Ochrony Danych Osobowych oraz zawiadomienie podmiotów danych.

RODO nie przewiduje wyjątków od przestrzegania przepisów nawet w sytuacjach kryzysowych, takich jak powodzie. Niemniej jednak 20 września 2024 r. prezes Urzędu Ochrony Danych Osobowych wydał komunikat przypominający, że termin 72 godzin na zgłoszenie takiego zdarzenia do prezesa biegnie dopiero od momentu jego stwierdzenia, a w wielu przypadkach będzie to możliwe dopiero po opanowaniu sytuacji i wstępnym oszacowaniu potencjalnych strat. Prezes UODO wskazał również, że gdyby nie udało się dotrzymać wymaganego terminu, administratorzy powinni pamiętać o wskazaniu przyczyn opóźnienia, odwołując się do nadzwyczajnych warunków związanych z sytuacją powodziową.

Drugim obowiązkiem, jaki może pojawić się przy naruszeniu, jest zawiadomienie osób, których dane naruszono. Obowiązek taki powstaje, jeżeli istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W obecnej sytuacji część administratorów może mieć problem z realizacją tego obowiązku – w wyniku powodzi mogło dojść do utraty baz danych oraz ich kopii zapasowych. Wykonanie obowiązku powiadomienia osób, których dane naruszono w przypadku utraty zasobów firmy (drukarek, sprzętu elektronicznego), również może napotkać realne problemy. Należy jednak pamiętać, że art. 34 RODO nakłada obowiązek informowania podmiotów danych wyłącznie w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Każdy z administratorów powinien zatem ocenić, czy w wyniku naruszenia danych osobowych w następstwie powodzi faktycznie zachodzi wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Dostęp do systemów informatycznych

W trakcie powodzi, gdy kluczowa infrastruktura zostaje zniszczona lub uszkodzona, administratorzy danych muszą stawić czoła nie tylko wyzwaniom związanym z fizycznym zabezpieczeniem swoich zasobów, ale również z zapewnieniem ciągłości funkcjonowania systemów informatycznych. Naturalne katastrofy, takie jak powódź, mogą doprowadzić do awarii zasilania, uszkodzeń serwerów, a nawet całkowitego paraliżu infrastruktury IT. W takich okolicznościach utrzymanie skutecznych zabezpieczeń staje się szczególnie trudne, co może prowadzić do nieautoryzowanego dostępu do danych przez osoby trzecie, w tym cyberprzestępców.

Przerwy w dostawie energii elektrycznej, spowodowane zalaniem instalacji, mogą wyłączyć systemy zabezpieczające, takie jak firewalle czy serwery autoryzacyjne, co zwiększa ryzyko naruszenia bezpieczeństwa danych. Gdy systemy zabezpieczające są niesprawne, cyberprzestępcy mogą wykorzystać ten moment słabości, aby przeprowadzić ataki. Hakerzy, świadomi problemów związanych z katastrofami naturalnymi, mogą aktywnie poszukiwać takich okazji, aby uzyskać nieautoryzowany dostęp do systemów, które w normalnych warunkach byłyby skutecznie chronione. W efekcie przestępcy mogą zdobyć dane przedsiębiorstwa, urzędu czy też instytucji publicznych.

W takich warunkach administratorzy mogą być zmuszeni do podejmowania szybkich i nie zawsze przemyślanych działań ratunkowych, co dodatkowo zwiększa ryzyko błędów ludzkich, które mogą doprowadzić do naruszeń bezpieczeństwa danych. Brak fizycznego dostępu do centrów danych lub niemożność zabezpieczenia serwerów może sprawić, że dostęp do informacji uzyskają osoby nieuprawnione np. w wyniku uszkodzenia drzwi serwerowni czy konieczności szybkiego przeniesienia sprzętu. W przypadku awarii zasilania niektóre systemy mogą uruchomić procedury awaryjne, które powodują wyłączenie pewnych zabezpieczeń, np. systemów szyfrujących.

Warto również zauważyć, że problematyka dostępu do danych w sytuacji kryzysowej nie ogranicza się jedynie do ataków zewnętrznych. Również wewnętrzni pracownicy w sytuacji stresu i chaosu mogą dopuścić się naruszeń, np. logując się do systemów poza standardowymi procedurami bezpieczeństwa, używając osobistych urządzeń bez odpowiedniego zabezpieczenia. W obliczu powodzi, gdy wiele działań podejmowanych jest w trybie awaryjnym, trudniej jest monitorować i kontrolować dostęp do systemów, co może skutkować przypadkowymi naruszeniami danych.

Zbieranie danych bez podstawy prawnej

Podczas powodzi i innych sytuacji kryzysowych ludzie mobilizują się do niesienia pomocy poszkodowanym. Akcje ratunkowe, zbiórki darów, organizacja schronień i inne inicjatywy humanitarne często realizowane są przez organizacje pomocowe, lokalnych wolontariuszy, a nawet osoby prywatne. Niestety, nierzadko dochodzi wtedy do zbierania danych osobowych bez odpowiedniej podstawy prawnej. Organizacje i osoby prywatne, często z najlepszymi intencjami, zbierają dane osobowe, aby lepiej koordynować pomoc. Problem pojawia się jednak, gdy dane są gromadzone bez wyraźnie określonego celu, bez zgody poszkodowanych, administrator zbiera je nadmiarowo i nie ma świadomości obowiązku przestrzegania przepisów RODO.

Zdarza się, że potrzebujący pomocy powodzianie udostępniają swoje dane – takie jak imię, nazwisko, adres zamieszkania, stan zdrowia czy dane członków rodziny – bez zastanowienia, kto i w jaki sposób będzie je przetwarzał. W wielu przypadkach osoby zbierające te informacje działają w dobrej wierze, ale brakuje im wiedzy na temat przepisów związanych z ochroną danych osobowych. Brak formalnych procedur prowadzi do tego, że dane mogą być później wykorzystywane niezgodnie z pierwotnym celem ich zebrania, na przykład do celów handlowych, a nawet do popełniania przestępstw.

Szczególnie niebezpieczna jest sytuacja, w której dane osobowe są zbierane przez osoby lub grupy podszywające się pod prawdziwe organizacje pomocowe. Podszywając się pod organizacje charytatywne, takie osoby zbierają dane pod pretekstem dostarczenia pomocy humanitarnej – organizacji noclegu, pomocy medycznej, dystrybucji darów czy środków finansowych. Dane zdobyte w taki sposób mogą później zostać użyte do oszustw czy też kradzieży tożsamości.

Brak przejrzystości w zakresie tego, kto jest odpowiedzialny za zbieranie danych i do jakich celów dane będą używane, stwarza ryzyko naruszenia zasad RODO, takich jak zasada legalności, rzetelności i przejrzystości przetwarzania. Administratorzy, zbierając dane osobowe, powinni działać na podstawie określonych przepisów prawa i jasno informować osoby, których dane dotyczą, o celu przetwarzania oraz o podstawach prawnych tego działania. Niestety podczas powodzi te zasady są często pomijane, a osoby w potrzebie są proszone o udostępnienie danych bez wyjaśnienia, jak będą one wykorzystywane, kto będzie je przetwarzał i jak długo.

Wyłudzenia danych osobowych

Sytuacja powodziowa jest również wykorzystywana przez przestępców do wyłudzania m.in. danych osobowych, ale również danych do logowania do kont społecznościowych. Wyłudzenia danych w takich sytuacjach mogą być realizowane zarówno przez bezpośredni kontakt z poszkodowanymi, jak i za pośrednictwem internetu czy telefonu.

Cyberprzestępcy, tworząc różnego rodzaju fake newsy i fałszywe wpisy na portalach społecznościowych oraz szerząc dezinformacje, próbują wyłudzić dane internautów. Zdarza się, że po kliknięciu w link zamieszczony na portalach społecznościowych użytkownicy muszą podać dane do logowania. Strona logowania jest jednak podrobiona przez oszustów, więc dane logowania trafiają do przestępców. Działania takie wyczerpują znamiona przestępstwa opisane w art. 269b § 1 k.k. w związku z art. 267 § 1 k.k., tj. wytwarzanie programów komputerowych w związku z bezprawnym uzyskaniem informacji lub też art. 286 k.k., tj. oszustwa.

Szczególnie niechlubnym procederem jest wyłudzenie danych osobowych powodzian. Typowe schematy wyłudzeń danych podczas sytuacji kryzysowych obejmują bezpośrednie kontakty z poszkodowanymi – zarówno osobiście, jak i telefonicznie. Oszuści często przedstawiają się jako przedstawiciele organizacji humanitarnych, oferujący pomoc finansową lub rzeczową, ale wymagają podania szczegółowych danych osobowych, takich jak PESEL, adres zamieszkania, a nawet informacje dotyczące kont bankowych. Innym sposobem wyłudzania jest tworzenie fałszywych stron internetowych, które wyglądają jak autentyczne witryny organizacji charytatywnych. Na takich stronach oszuści proszą o rejestrację, wymagając podania pełnych danych osobowych, rzekomo w celu kwalifikacji do otrzymania pomocy.

Wyłudzenia danych osobowych podczas sytuacji kryzysowej mogą mieć poważne konsekwencje. Dane zdobyte przez oszustów mogą być wykorzystane do kradzieży tożsamości, zaciągania zobowiązań finansowych na dane osoby poszkodowanej, a także do przeprowadzenia dalszych oszustw, takich jak phishing czy wyłudzanie kolejnych informacji. Ochrona przed takim zagrożeniem wymaga zarówno zwiększenia świadomości społecznej na temat ochrony danych osobowych, jak i skutecznych działań ze strony instytucji publicznych oraz organizacji pomocowych.

* * *

Zarządzanie danymi osobowymi w sytuacji powodziowej jest wyzwaniem, które wymaga odpowiedniego przygotowania zarówno od strony technicznej, jak i organizacyjnej. Katastrofy naturalne są nieprzewidywalne, a ich skutki mogą być bardzo poważne nie tylko dla infrastruktury fizycznej, ale także dla bezpieczeństwa informacji i ochrony danych osobowych. Kluczowym elementem minimalizacji ryzyka naruszeń jest odpowiednie planowanie i świadomość potencjalnych zagrożeń.