Od kilku tygodni w przestrzeni medialnej pojawiają się informacje o naruszeniu bezpieczeństwa danych osobowych w serwisie, zajmującym się wysyłaniem w imieniu różnych przedsiębiorców SMS do klientów.
Z informacji tych wynika, że nastąpiło włamanie i prawdopodobnie kradzież danych zgromadzonych na serwerach tego. Jak podaje Niebezpiecznik.pl (i nie tylko on) że SerwerSMS były (i prawdopodobnie są nadal) firmy kurierskie np. DPD, sieci sklepów meblowych np. AGATA, przychodnie lekarskie, podmioty świadczące usługi diagnostyki medycznej np. SYNEVO oraz wielu przedsiębiorców telekomunikacyjnych.
Dane, do których ktoś nieuprawniony mógł mieć dostęp to numer telefonu, na który wysyłano SMS oraz treść wysłanej informacji.
Treść przesyłanych SMS to głownie informacje techniczne (włączenie, wyłączenie, ograniczenie usług, przerwy techniczne) albo informacje o zaległościach finansowych. Czasami zdarza się, że w treści SMS znajdują się Imię i nazwisko klienta, adres, login do konta lub/i hasło do konta e-BOK.
Informacje te należy co do zasady uznać za dane osobowe, ale każdy przypadek wymaga oceny pod kątem skutków dla osób, których te dane dotyczą. Na przykład, nieuprawnione ujawnienie danych w postaci tylko numeru telefonu należy uznać za naruszenie bezpieczeństwa danych osobowych, jednak z analizy skutków takiego naruszenia może wynikać, że będą one (te skutki) stanowiły minimalne zagrożenie. Jeśli SMS zawiera inne dane (imię, nazwisko, nr PESEL, adres zamieszkania, login, hasło) to i skutki ich ujawnienia będą bardziej negatywne.
SerwerSMS zgłosił to zdarzenie do Prezesa UODO, który analizuje teraz takie zgłoszenie. W zgłoszeniu tym (prawdopodobnie) znalazły się informacje o ADMINISTRATORZE DANYCH OSOBOWYCH przetwarzanych przez SerwerSMS. Należy przypuszczać, że UODO zwróci się do ADO z pytaniem jak u niego wygląda ochrona danych osobowych. W tym przypadku SerwerSMS jest podmiotem przetwarzającym dane osobowe w imieniu ADO.
Sugerujmy przejrzeć swoje zabezpieczenia oraz spełnienie wymogów formalnych.
Jeśli ten przypadek naruszenia bezpieczeństwa w SerwerSMS również Was dotyczy, to rekomenduję podjąć działania „na wczoraj”. Jeśli ten przypadek nie dotyczy Waszego przedsiębiorstwa to nie zwlekaj i podejmij działania jeszcze dzisiaj.
Szczególną uwagę na ochronę danych osobowych powinni zwrócić przedsiębiorcy telekomunikacyjni a to ze względu na szczególne traktowanie tych podmiotów w przepisach prawa powszechnego. Niezależnie od obowiązków „ogólnych” określonych w przepisach o ochronie danych osobowych (rozporządzenie RODO, ustawa o ochronie danych osobowych) ustawa Prawo telekomunikacyjne oraz rozporządzenie unijne z 2013 r. nakładają na przedsiębiorców telekomunikacyjnych szczególne wymagania dotyczące ochrony danych osobowych.
Często spotykamy się z poglądem, że skoro realizację przedsięwziąć (kadrowych, biurowych, handlowych, itp.), z którymi wiąże się przetwarzanie danych osobowych, powierzono podmiotowi zewnętrznemu, to powierzający ADO ma spokojną głowę i nie ponosi żadnej odpowiedzialności. Obowiązki właściwej ochrony danych osobowych spoczywają na ADMINISTRATORZE DANYCH OSOBOWYCH i żadne okoliczności nie zdejmują z niego tej odpowiedzialności. Może ograniczyć skutki takiej odpowiedzialności prawidłowo realizując obowiązki wskazane w przepisach o ochronie danych osobowych.
Dużą trudność, nawet doświadczonym prawnikom, określenie ról podmiotów uczestniczących w przetwarzaniu danych osobowych: Administrator danych osobowych, współadministrator, podmiot przetwarzający, podmiot podpowierzający itp.
Każdy przypadek wymaga szczególnej analizy.
Z problemem takim można spotkać się w działalności telekomunikacyjnej np. w przypadku świadczenia usług naziemnej telewizji cyfrowej. Analizując takie przypadki często spotykamy się z przypadkami, gdzie występuje trzech a nawet czterech wspóladministratorów. RODO przewiduje funkcjonowanie wspóladministratorów, ale pomiędzy nimi powinna być zawarta umowa współadministrowania danymi osobowymi. Niestety w analizowanych przypadkach brak takich umów, natomiast czasami zdarzają się umowy powierzenia przetwarzania danych osobowych.
Po szczegółowej analizie często można dojść do wniosku, że można uprościć system przetwarzania danych osobowych.
Ponownie podkreślę, że bez względu na przyjęty model przetwarzania danych osobowych, za cały proces przetwarzania danych osobowych odpowiedz ADMINISTRATOR DANYCH OSOBOWYCH. Na ogół UODO bezbłędnie wskazuje teki podmiot.
Pamiętać należy, że przepisy o ochronie danych osobowych przewidują bardzo wysokie kary pieniężne nakładane przez Prezesa UODO za niedopełnienie obowiązków zapewnienia bezpieczeństwa danych osobowych, nawet w przypadku, gdy w wyniku tego niedopełnienia żadna osoba fizyczne nie doznała uszczerbku. Niezależnie od tego warto pamiętać o bardzo srogich sankcjach karnych. Za niedopełnienie obowiązków ochrony danych osobowych przewidziano karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. (w przypadku danych szczególnych do lat 3.).
W razie potrzeby doprecyzowania, wyjaśnienia lub udzielenia pomocy jesteśmy do Państwa dyspozycji: kontakt@sayf.com.pl