Nie słyszeliśmy o wielu incydentach. Nikt nie musi o nich informować [OPINIA]

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji. Stawiane tezy mogą mieć subiektywny charakter.

Zacznijmy od pewnego stwierdzenia: „osoby muszą być poinformowane o tym, kiedy ich dane wyciekną do sieci”. Jest to zdanie jak najbardziej oparte o rozum i godność człowieka, które znajduje odwzorowanie w prawie. Artykuł 34 ust. 1 RODO brzmi:

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
RODO

Wyjątkiem od obowiązku informacyjnego jest m.in. wdrożenie środków uniemożliwiających „odczyt osobom nieuprawnionym do dostępu do tych danych osobowych” – mowa tu m.in. o szyfrowaniu. Warto też dodać, że w przypadku „niewspółmiernie dużego wysiłku” można wydać publiczny komunikat o incydencie.

Drążmy dalej

„Prasa, zgodnie z Konstytucją Rzeczypospolitej Polskiej, korzysta z wolności wypowiedzi i urzeczywistnia prawo obywateli do ich rzetelnego informowania, jawności życia publicznego oraz kontroli i krytyki społecznej” – czytamy w art. 1 Prawa Prasowego.

Zawiadomienia o naruszeniu ochrony danych osobowych są bardzo dobrym źródłem informacji, również stricte pod kątem prasowym. Tutaj jednak zahaczamy o bardzo ciekawy aspekt – jak można realnie dotrzeć do osób z informacją: „wasze dane wyciekły”?

Wiemy, że w przypadku podmiotów publicznych źródłem informacji będzie przede wszystkim Biuletyn Informacji Publicznej. Oczywiście prowadzenie BIP-u jest bardzo zasadne pod kątem jawności informacji, lecz warto sobie zadać pytanie: ile osób faktycznie dowie się, że doszło do naruszenia ochrony ich danych?

Nie mam zamiaru krytykować tutaj jakiegokolwiek podmiotu publicznego za… po prostu wypełnianie swoich obowiązków. Chciałbym jednak, aby informacje o takich zdarzeniach pojawiały się nie tylko tam, lecz…

…i tu trzeba się zatrzymać. Jak tak naprawdę podmioty publiczne się z nami komunikują?

Przeczytało X osób

Niezależnie od naszego stosunku do mediów społecznościowych faktem jest, że z platform korzysta wielu z nas. Z dużą dozą prawdopodobieństwa można stwierdzić, że post na Facebooku czy wpis na X zostanie zauważony przez większą liczbę osób, niż wpis w BIP-ie.

Stoję na stanowisku, że celem organizacji (szczególnie publicznej) nie powinno być „odhaczenie” obowiązku z art. 34 RODO, lecz faktycznie poinformowanie o zdarzeniu wszystkimi możliwymi środkami.

Porównajmy wybrane incydenty:

I tak dobrze, bo coś wiemy

Podmioty publiczne i tak charakteryzują się jedną, ważną cechą: odpowiadają na pytania o incydenty, do czego zobowiązuje ich m.in. ustawa o dostępie do informacji publicznej.

Zdarzają się niestety incydenty, gdzie prawdopodobnie doszło do nieuprawnionego upublicznienia danych osobowych wraz z możliwym brakiem poinformowania osób o tym fakcie. Mowa tutaj o m.in.:

• incydencie w Panrest: „Po analizie fragmentów, które krążą publicznie, trudno mówić o fake’u lub marketingowym fejk-leaku. Co tam mamy? Wygląda na pełny dump aplikacyjny WordPress i WooCommerce z produkcyjnego środowiska. W samplu widać żywe rekordy zamówień, konfigurację systemu oraz dane operacyjne platformy, zapisane w formie typowej dla bezpośredniego eksportu bazy danych” – Riffsec;
• widoczności danych na rządowym portalu (PARP): pliki przestały być widoczne po opublikowaniu artykułu opisującego zdarzenie, ok. trzy miesiące po powiadomieniu. „Administrator BUR nie ponosi jakiejkolwiek odpowiedzialności za treści zamieszczane w BUR przez Użytkowników oraz poprawność podawanych przez nich danych” – przekazała nam Polska Agencja Rozwoju Przedsiębiorczości;
• możliwym wycieku danych Polaków z porównywarki dostawców Internetu;
• publikacji zdjęć polskich dowodów osobistych;
• danych z polskich portali.

Czasem informowanie przez podmiot było niemożliwe z racji na brak możliwości ustalenia źródła – mowa tutaj m.in. o publikacji zbioru dokumentów tożsamości. Warto jednak sobie zadać pytanie: kto może poinformować osoby o takim zdarzeniu?

Informowanie

Jedno z trudnych pytań, na które nie umiem znaleźć jednoznacznej i dobrej odpowiedzi brzmi:

Kto i jak powinien informować, że Twoje dane pojawiły się w „darknecie”?

Wspomniany już artykuł 34 RODO zobowiązuje administratora do informowania osób o zdarzeniu. Co jednak w sytuacji, gdzie nie znamy administratora danych lub „zapadł się pod ziemię”? Pomińmy aspekt odpowiedzialności na bazie RODO, lecz przejdźmy do informowania o zdarzeniu.

Ciekawe podejście widzieliśmy w przypadku fałszywego wycieku danych z Empiku, którego – jak warto podkreślić – nie było.

„Skontaktowaliśmy się z osobami widniejącymi w próbce – dane zostały przez nie potwierdzone jako prawdziwe” – czytamy w artykule Sekuraka poświęconemu temu zdarzeniu.

Osobiście byłbym daleki od takiego działania na szeroką skalę poprzez osoby, które mają wiedzę techniczną, umożliwiającą dostęp do takich danych. Jednocześnie kto ma poinformować osoby, że ich adres e-mail, hash hasła czy adres zamieszkania został upubliczniony?

Byłbym daleki od apelowania do hakerów (w pozytywnym tego słowa znaczeniu, nie mylić z „cyberprzestępcą”  – zgodnie z Wikipedią, haker to „osoba o dużych, praktycznych umiejętnościach informatycznych”), aby rozsyłali ludziom maile o treści: „Cześć, Twoje dane wyciekły, wiem że kupiłeś XYZ na adres ABC, zmień hasło”. Nie widzę jednak praktycznego podejścia do tematu, czyli mechanizmu:

Instytucja x* widzi wyciek danych -> informuje osobę o zdarzeniu -> osoba dostaje praktyczne informacje, co warto zrobić

(gdzie x oznacza instytucję, której zostanie powierzone to zadanie, która zbiera informacje od innych podmiotów)

Zmiana podejścia (?)

Tak naprawdę uzyskanie informacji o wycieku zależy od dobrej woli administratora, pomijąc tutaj aktywne działanie osoby poszkodowanej.

Jednocześnie duże brawa należą się pomysłodawcom i osobom odpowiedzialnych za prowadzenie portalu Bezpieczne dane – jest to praktyczne miejsce, gdzie można sprawdzić, czy nasze dane były w zbiorach zagregowanych na stronie.

Oczywiście, informowanie niosłoby za sobą kolejne ryzyka, np. phishing na „wyciek danych”, gdyby odbywało się to za pomocą e-maili. Myśląc szeroko i praktycznie, widziałbym to jako element rozszerzenia „Bezpiecznie w Sieci” w mObywatelu - użytkownik aplikacji otrzymywałby alert o tym, że jego dane znalazły się w nowym wycieku wraz z sugerowanymi krokami do podjęcia.

Może ta wizja jest dość utopijna lub nierealna, ale pozwalałaby na zyskanie informacji w czasie rzeczywistym przez obywateli, którzy nie muszą wiedzieć czym są „Bezpieczne Dane” czy HaveIBeenPwned.

Obecnie uzyskanie informacji o incydencie wymaga jednego z pięciu scenariuszy:

1. Poinformowania przez organizację.
2. Zapoznania się z komunikatem na stronie podmiotu (jeśli nie ustalono zakresu osób, których dotyczy naruszenie).
3. Zapoznania się z komunikatem na stronie rządowej (wybrane incydenty, np. Ekotrade czy AIUT.
4. Przeczytania artykułu o wycieku w mediach (które bywają różnej jakości).
5. Wyszukania swoich danych w Bezpiecznych Danych czy Have I Been Pwned.

I choć w pełni rozumiem argumentację, że ochrona swoich danych może wymagać od nas podjęcia minimalnego wysiłku (opisanego powyżej z wyłączeniem punktu 1.), warto zastanowić się, czy nie możemy sprawić, że użytkownik zostanie poinformowany o zdarzeniu bez jego czynnego udziału.

Oczywiście warto tutaj rozważyć ew. korzyści i straty, np. otrzymanie informacji o wycieku danych w walentynki wieczorem (jak zrobiła Naczelna Rada Adwokacka), lecz sam proces może sprawić, że zdecydowanie więcej osób uzyska informację o naruszeniu ochrony ich danych osobowych, nie podejmując jakiegokolwiek aktywnego działania. Zapraszam wszystkich zainteresowanych do rozwijania tej myśłi lub polemiki.

A czemu nie zrobić publicznego rejestru?

Wracając do założenia, że administratorzy wywiązują się ze swoich obowiązków i informują o naruszeniach organ nadzorczy (UODO), warto podkreślić jedną rzecz: nie wiemy w pełni czy i jakie podmioty doświadczyły takich naruszeń.

Nie musi jednak tak być. W USA - kraju, gdzie istnieją brokerzy danych osobowych (naprawdę, niektóre stany posiadają bardzo ciekawą regulacje - informacje o naruszeniu danych osobowych jego mieszkańców są dostępne w publicznym rejestrze.

Na stronie stanu Maine (1,4 mln mieszkańców, podobnie do woj. warmińsko-mazurskiego) możemy zapoznać się z przejrzystą listą incydentów skutkujących naruszeniami ochrony danych osobowych.

Każdy zainteresowany jest w stanie uzyskać poniższe informacje:

• całkowitej liczbie osób, których dotyczy incydent;
• liczbie rezydentów stanu Maine, których dotyczy incydent;
• dniu wystąpienia naruszenia;
• dniu stwierdzenia wystąpienia naruszenia;
• przyczynie naruszenia (np. atak cyberprzestępców).

Przykładowo, wiemy, że organizacja „Independence Advocates of Maine” była ofiarą ataku (dosł. „zewnętrznego wycieku w sytemie (hackingu)”), wskutek którego doszło do naruszenia ochrony danych osobowych 101 osób, z czego 99 z nich było rezydentami stanu Maine. Do incydentu doszło 4 sierpnia 2025 r., zaś odkryto (stwierdzono) go 8 grudnia 2025 roku.

W Polsce mamy wyszukiwarkę orzeczeń UODO, która jest ciekawym źródłem wiedzy. Niestety, nie mamy odpowiednika prostej listy organizacji, które stwierdziły naruszenie ochrony danych, tak jak w USA.

Ktoś mógłby podnieść argument, że „przecież i tak firmy tego nie zaraportują, skoro to tylko jeden stan”. Tak nie jest: w przypadku incydentu związanego z wyciekiem danych ponad 3 mln osób z laboratorium toksykologicznego widzieliśmy zawiadomienia dotyczących rezydentów Maine (ok. 15 tys. osób) czy Massachusetts (ok. 360 tys. osób).

Podobne regulacje mają również m.in. stany New Hampshire czy Oregon.

UoKSC - światełko nadziei?

Obecnie obowiązująca Ustawa o Krajowym Systemie Cyberbezpieczeństwa nie zobowiązuje podmiotów wprost do informowania użytkownika o incydencie. Na szczęście trochę się to zmienia w przypadku obecnie procedowanej nowelizacji ustawy. W projekcie czytamy:

W przypadku zaistnienia poważnego cyberzagrożenia podmiot kluczowy lub podmiot ważny informuje użytkowników swoich usług, na których takie cyberzagrożenie może mieć wpływ, o możliwych środkach zapobiegawczych, które użytkownicy ci mogą podjąć. Podmiot kluczowy lub podmiot ważny informuje tych użytkowników o samym poważnym cyberzagrożeniu, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych.
Projekt Ustawy o KSC

Podmiot kluczowy lub podmiot ważny informuje użytkowników swoich usług o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie tych usług.
Projekt Ustawy o KSC

Jest to krok w dobrą stronę - jasne wskazanie na informowanie użytkowników o zaistniałych incydentach. Dotyczy to co prawda podmiotów ważnych i kluczowych, lecz widzimy krok ku większej transparentności.

Podsumowanie

Główną ideą podczas pisania tego artykułu było wskazanie, że w przypadku niewywiązywania się administratora danych ze swoich ustawowych obowiązków osoby mogą po prostu nie zostać poinformowane o wycieku ich danych do sieci.

Mowa tutaj również o sytuacjach, gdzie administratora (faktycznie) nie ma lub ciężko go ustalić, np. kiedy opublikowane dane prawdopodobnie pochodzą z wyłudzeń lub z jakiegoś powodu najprawdopodobniej administrator uznał, że możliwość wglądu dziennikarza do arkusza z numerami PESEL nie wymaga podjęcia decyzji o informowaniu osób, tak jak w pewnym polskim urzędzie.

W pełni rozumiem sytuacje, gdy informowanie bezpośrednie osób jest niemożliwe z racji na zaszyfrowanie danych, np. podczas ataku ransomware. Mowa jednak głównie o publikacji danych w darknecie (forach lub stronach grup ransomware), które są widoczne dla analityków, a nie kończą się poinformowaniem: „Janie Kowalski, dnia XYZ był wyciek danych, który obejmował…”.

Wróćmy do pierwotnego pytania z artykułu: „osoby muszą być poinformowane o tym, kiedy ich dane wyciekną do sieci”.

Czy możemy mieć pewność, że zostaniemy poinformowani o zdarzeniu, gdy administrator uzna, że nie trzeba nas informować lub „nie obchodzi go” incydent?

Moim zdaniem NIE, dlatego chciałbym widzieć podejście:

Instytucja x widzi wyciek danych -> informuje osobę o zdarzeniu -> osoba dostaje praktyczne informacje, co warto zrobić

A nie tylko:

Administrator stwierdza wyciek -> informuje o tym osobę (jeśli istnieje wysokie ryzyko…) Administrator stwierdza wyciek -> UODO dostaje informację -> informacja nie staje się publiczna

Być może opisany punkt widzenia jest nierealny lub obarczony sporymi wadami, których tutaj nie opisano. Warto jednak zastanowić się, czy nie służyłby nam wszystkim.

Jednocześnie duży szacunek należy się CERT Polska za moje.cert.pl - wdrożono tam kilka opisywanych mechanizmów, m.in. informowanie administratorów o wycieku danych z ich domeny oraz skanowanie pod kątem bezpieczeństwa.

Dokładnie takie podejście w mojej opinii jest słuszne i warte powszechnego uznania. Można jednak zastanowić się, jak rozszerzyć funkcjonalności narzędzia takiego rodzaju na osoby fizyczne.

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji. Stawiane tezy mogą mieć subiektywny charakter.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.