27 sierpnia 2018 kancelaria

Co RODO może zrobić dla Ciebie?

Przez ostatnie miesiące dał się zaobserwować w mediach zalew informacji o problemach wynikających z wejścia w życie unijnego Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Od wyważonych tekstów informujących o kosztach ponoszonych przez przedsiębiorców w celu wdrożenia nowych przepisów w ich firmach po „perełki” informujące o wywoływaniu uczniów przez nauczycieli po numerach i „anonimizacji” rysunków dzieci w przedszkolu. Niewątpliwie dla przedsiębiorcy RODO oznacza problem. I wydatek. Ale co oznaczają te przepisy dla “przeciętnego Kowalskiego”, poza lawiną maili i wyskakujących podczas przeglądania Internetu okienek?

Art. 34 RODO nakłada na administratora danych obowiązek niezwłocznego powiadomienia osoby, której dane przetwarza, o naruszeniu bezpieczeństwa jej danych. Wcześniej obowiązujące przepisy w ogóle nie przewidywały takiego obowiązku. W związku z tym około 500 mln. użytkowników serwisu Yahoo o tym, że ich dane osobowe – imiona, nazwiska, adresy e-mail, hasła, dane wykorzystywane do odzyskiwania hasła – zostały wykradzione przez hakerów, dowiedziało się z gazet blisko dwa lata po zdarzeniu. Biorąc poprawkę na to, że bardzo wielu użytkowników używa takiego samego hasła w różnych serwisach, truizmem będzie powiedzieć, że brak wiedzy o tej sytuacji i dalsze korzystanie ze „spalonego” hasła jest ogromnie niebezpieczne dla użytkownika.

Pod rządami RODO administrator danych ma obowiązek niezwłocznego powiadomienia użytkownika o kradzieży jego danych oraz zgłoszenia tego faktu do Urzędu Ochrony Danych Osobowych (UODO) w terminie 72 godzin od zdarzenia. Informacja taka pozwala na podjęcie odpowiednich działań (jak chociażby niezwłoczna zmiana haseł) i chociażby obronę przed oszustwem podobnym do tego, które niedawno miało miejsce i w polskim Internecie. Nieustaleni dotychczas sprawcy rozesłali nieco ponad miesiąc temu liczne wiadomości e-mail z żądaniem okupu w zamian za nieujawnienie nagranych z kamery komputera adresatów wiadomości filmów nakręconych w czasie, gdy osoby te miały przeglądać strony internetowe o charakterze pornograficznym. Przełamanie zabezpieczeń komputera adresata wiadomości „uwiarygadniało” autentycznie używane przez niego hasło do skrzynki e-mail, podane w treści wiadomości. Jak się wydaje, wielu ludzi okup zapłaciło, o czym świadczy fakt, że w wiadomościach wysyłanych w kolejnych dniach jego wysokość wzrosła z około 300$ do około 3.000$.

Jaki ten atak ma związek z RODO? Prosty – gdyby adresat wiadomości e-mail z żądaniem okupu został powiadomiony o utracie jego danych, wiedziałby, że nadawca wiadomości nie przełamał zabezpieczeń jego komputera, tylko po prostu uzyskał jego hasło z innego źródła. I podjąłby stosowne kroki (w tym przypadku polegające na skasowaniu otrzymanej wiadomości i zmianie „spalonego” hasła – o ile jeszcze jest używane).

A my – w ślad za specjalistami od bezpieczeństwa w Internecie, dyrektorem FBI i Markiem Zuckerbergiem– i tak radzimy zakleić taśmą kamerę w laptopie w czasie, gdy nie jest ona wykorzystywana.