Praktycznie wszystkie jednostki organizacyjne z sektora prywatnego i publicznego przetwarzają dane osobowe w systemach informatycznych. Mało kto dostatecznie je zabezpiecza. Przed wyciekiem poufnych danych nie ustrzegła się nawet CIA. Portal Wikileaks udostępnił 8761 tajnych dokumentów, które przedstawiają listę m.in. złośliwego oprogramowania oraz informacji wykorzystywanych przez CIA do przejmowania kontroli nad komputerami na całym świecie.
Z jednej strony ujawnione właśnie dane, które przez następne tygodnie będą wnikliwie analizowane na całym świecie wskazują, że lista potencjalnych zagrożeń jest większa niż do tej pory sądzono. Z drugiej zaś strony upublicznienie tych informacji najprawdopodobniej będzie skutkowało gwałtownym wzrostem cyberzagrożeń ze strony hackerów, którzy informacje wykorzystają do popełniania przestępstw. Wyciek pokazuje również jak daleko posuwają się instytucje rządowe państw świata zachodniego w celu kontroli działalności przedsiębiorstw i obywateli.
Wtorkowy wyciek danych stanowi kolejny poważy argument przemawiający za podjęciem zdecydowanych kroków zmierzających do skutecznej ochrony danych, w tym danych osobowych, w szczególności w sektorze finansowym, który stanowi jeden z głównych obszarów narażonych na incydenty bezpieczeństwa. Ma to związek ze szczególnym znaczeniem danych przetwarzanych w tym sektorze oraz szerokimi możliwościami ich wykorzystania przez osoby nieuprawnione.
Obowiązujące prawo przewiduje surowe sankcje za niewystarczające zabezpieczenie danych osobowych, zarówno przed cyberprzestępcami jak i instytucjami państwowymi, które nadużywają zaufania, którym są obdarzone. Można postawić pytanie, jaka jest różnica pomiędzy instytucją państwową a cyberprzestępcą? Czy sam fakt działania w imieniu bliżej nieokreślonego „interesu państwowego” stanowi okoliczność ekskulpacyjną? Wydaje się, że na to pytanie należy odpowiedzieć przecząco.
Zgodnie z ustawą o ochronie danych osobowych każdy, kto przetwarza dane osobowe, to jest jakiekolwiek informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w systemie informatycznym, ma obowiązek ich zabezpieczenia. Wymienić tu można członków zarządów spółek, spółdzielni lub stowarzyszeń, organy administracji rządowej i samorządowej.
Obowiązek ten należy realizować poprzez wdrożenie i eksploatację środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przed ich nieuprawnionym przetwarzaniem, na przykład wejściem w ich posiadanie osób nieuprawnionych.
Ustawodawca posłużył się sformułowaniem „środki techniczne i organizacyjne zapewniające ochronę”, co z prawnego punktu widzenia jest w pełni zasadne. Chodziło bowiem o to, aby obowiązek zapewnienia adekwatnego poziomu zabezpieczeń aktualizował się wraz z rozwojem technologicznym bez potrzeby dokonywania zmian na poziomie ustawy.
Obowiązek ten ma dziś zupełnie inne znaczenie niż 20 lat temu, kiedy wszedł w życie. Żyjemy w czasach rewolucji informacyjnej, a otaczający nas świat rozwija się dynamiczniej niż kiedykolwiek wcześniej. Liczba i zasięg incydentów bezpieczeństwa w cyberprzestrzeni drastycznie wzrasta. Wg najnowszego raportu PwC „W obronie cyfrowych granic, czyli 5 rad aby realnie wzmocnić ochronę firmy przed CYBER ryzykiem”, średnio na każdą firmę w Polsce przypadało aż 126 cyberataków rocznie, co stanowiło wzrost aż o 46 proc.
Cyberzagrożenia przekładają się na zainteresowanie specjalnymi polisami
Polska znajduje się na końcu listy krajów UE jeżeli chodzi o cyberbezpieczeństwo. Check Point Software Technonologies podaje w raporcie „Security Report”, że średnio na 100 ataków w Polsce aż 10,3 jest skutecznych. Oznacza to, że przy 126 atakach, każdy podmiot pada ofiarą około 13 skutecznych ataków rocznie!
Każdy z tych ataków zagraża na przykład danym osobowym lub tajemnicom przedsiębiorstw, a co za tym idzie sprowadza na nie realne niebezpieczeństwo poniesienia odpowiedzialności, włącznie z odpowiedzialnością karną.
Wzrost ilości i złożoności incydentów bezpieczeństwa wymusza stosowanie coraz bardziej zaawansowanych środków ochrony danych osobowych. Potwierdzają to interpretacje i decyzje Generalnego Inspektora Ochrony Danych Osobowych, które zawierają wytyczne w zakresie ochrony danych osobowych obowiązujące każdego, kto je przetwarza (tj. wykonuje jakiekolwiek operacje z ich udziałem, np. gromadzi, przechowuje, przesyła). Potwierdza to również uchwalone przez Parlament Europejski i Radę UE rozporządzenie ogólne o ochronie danych, zwane popularnie „RODO”, które wejdzie w życie w całej Unii 25 maja 2018 roku.
Podstawowe przepisy w omawianym zakresie zostały zawarte w ustawie o ochronie danych osobowych. Zgodnie z artykułem 51 tej ustawy, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Czyn ten może zostać popełniony również nieumyślnie. Górna granica grzywny to ponad milion złotych. Wówczas sprawca podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku.
Co istotne, z umyślnym popełnieniem czynu zabronionego mamy do czynienia nie tylko, gdy sprawca ma zamiar jego popełnienia, ale również wówczas, gdy przewidując możliwość jego popełnienia na to się godzi. Konfrontując to ze statystykami dotyczącymi incydentów bezpieczeństwa w systemach informatycznych, należy stwierdzić, że administratorzy danych (np. członkowie zarządu, organy administracji publicznej), którzy nie stosują odpowiedniego poziomu zabezpieczeń działają ze świadomością, że w wyniku ich zaniechań może dojść do udostępnienia lub umożliwienia dostępu do danych osobowych. Skutkiem powyższego jest możliwość poniesienia przez nich surowszej odpowiedzialności, to jest jak za działanie umyślne.
Kolejnym przepisem, który penalizuje nieprawidłową ochronę danych osobowych jest art. 52 omawianej ustawy. Stanowi on, że kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Również w tym przypadku górna granica grzywny to aż ponad milion złotych.
Skutkiem wycieku danych osobowych najczęściej jest szkoda po stronie przetwarzającego. Wynika ona na przykład z konieczności zapłaty zadośćuczynienia poszkodowanym, utraty klientów lub konieczności zapłaty grzywny, o której mowa w przepisach karnych. W przypadku, gdy szkoda ta przekracza 200 tys. zł osoba zobowiązana do zajmowania się sprawami majątkowymi lub działalnością gospodarczą administratora danych narażona jest na odpowiedzialność karną z artykułu 296 KK, czyli konkretnie karą pozbawienia wolności od 3 miesięcy do lat 5. W przypadku wystąpienia szkody w wysokości co najmniej 1 mln zł kara ta wynosi od roku do 10 lat pozbawienia wolności.
W każdym z wymienionych przypadków naruszeń, osobie zobowiązanej do zajmowania się sprawami jednostki, grozi sankcja w postaci zakazu zajmowania określonego stanowiska, na którym dopuściła się naruszeń.
W przypadku członków zarządów spółek kapitałowych odpowiedzialność ta wynika odpowiednio z artykułu 293 Kodeksu spółek handlowych w przypadku spółek z ograniczoną odpowiedzialnością oraz z artykułu 483 Kodeksu spółek handlowych w przypadku spółek akcyjnych. Odpowiedzialność majątkowa członków zarządu ma charakter nieograniczony, to jest odpowiadają oni za całość szkody. Możliwe jest też dochodzenie naprawienia szkody majątkowej w ramach prowadzonych postępowań karnych o czyny wymienione powyżej.
Konfrontując powyższe przepisy, ze stosunkowo wysoką (i wciąż rosnącą) ilością incydentów bezpieczeństwa w sektorze finansowym oraz charakterem danych na nim przetwarzanych, należy dojść do wniosku, że te podmioty oraz osoby sprawujące w nich funkcje zarządcze są szczególnie narażone na odpowiedzialność wynikającą z przetwarzania danych osobowych. Dane osobowe nie są oczywiście jedyną kategorią danych, które podlegają ochronie w sektorze finansowym. Nie można zapominać o konieczności ochrony danych zawierających tajemnicę bankową, która również podlega ochronie prawnej.
Organem odpowiedzialnym za sprawowanie nadzoru nad ochroną danych osobowych przez administratorów jest Generalny Inspektor Ochrony Danych Osobowych. Posiada on liczne prerogatywy w zakresie kontroli i sankcjonowania. Organ ten, w obowiązującym porządku prawnym, odpowiada za wykrywanie nadużyć i zaniechań oraz wszczynanie odpowiednich procedur administracyjnych oraz karnych.
Generalny Inspektor może w drodze decyzji administracyjnej nakazać przywrócenie stanu zgodnego z prawem, a w szczególności zastosowanie dodatkowych środków zabezpieczających dane osobowe. Wdrożenie odpowiednich zabezpieczeń to długotrwały proces, zwłaszcza w przypadku banków i innych instytucji finansowych. Dlatego też, wyznaczane przez Generalnego Inspektora terminy, nawet po uwzględnieniu specyfiki danego podmiotu, mogą okazać się zbyt krótkie.
W przypadku niewykonania decyzji we wskazanym terminie może zostać nałożona grzywna jednorazowo do 50 tys. zł, zaś łącznie do 200 tys. zł.
Niezależnie od przywrócenia stanu zgodnego z prawem, w razie stwierdzenia, że działanie lub zaniechanie osoby fizycznej zobowiązanej do zajmowania się sprawami administratora danych wyczerpuje znamiona przestępstwa, Generalny Inspektor ma obowiązek skierować do właściwej Prokuratury zawiadomienie o popełnieniu przestępstwa.
Świadomość prawna społeczeństwa w zakresie ochrony danych osobowych jest wciąż niewielka. Korzystają na tym cyberprzestępcy pozyskujący te dane w trakcie ich przetwarzania w systemach informatycznych w sposób nieuprawniony oraz podmioty trudniące się handlem takimi danymi. Pozyskane dane stanowią cenny towar, a rynek nielegalnego handlu nimi rośnie. Raz utracone dane mogą być wielokrotnie przetwarzane w sposób nieuprawniony. Granice wykorzystania tych danych są wyznaczane przez wyobraźnię cyberprzestępców. Likwidacja zagrożeń związanych z wyciekiem danych jest bardzo trudna, a czasami wręcz niemożliwa. Najczęściej następuje ona już po wystąpieniu określonych naruszeń i szkód z nimi związanych.
Wraz z postępowaniem rewolucji informacyjnej coraz bardziej istotne jest, zabezpieczanie tego, co stanowi jej esencję, czyli informacji. Zabezpieczenie się przed istniejącymi zagrożeniami ma szczególne znaczenie w kontekście ujawnienia przez Wikileaks informacji, które w dużej mierze można określić jako podręcznik do cyberataków.
Autor jest prawnikiem. W ramach praktyki adwokackiej specjalizuje się w prawie handlowym, rynków finansowych oraz prawie ochrony danych osobowych.
W styczniu 2020 roku Wielka Brytania formalnie opuściła Unię Europejską. Oczekiwane korzyści z brexitu, poza odzyskaniem suwerenności w zakresie kształtowania prawa i zewnętrznych relacji gospodarczych, jednak się nie zmaterializowały. Widoczny jest natomiast spadek wydajności i konkurencyjności brytyjskiej gospodarki, co wpływa także na kondycję rynku pracy.
