Polityka i prawo
UODO bada incydent w Krajowej Szkole Sądownictwa i Prokuratury
Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie. Sprawa jest obecnie analizowana i uzupełniania pod kątem dodatkowych materiałów oraz informacji, które pozwolą wyjaśnić wszelkie jej okoliczności.
Administrator poinformował Prezesa, że powiadomił o incydencie osoby, których dane dotyczą, opisując charakter naruszenia i wskazując zakres ujawnionych danych.
Naruszenie to zostało także zgłoszone innym podmiotom jak Policja, Zespół Zarządzania Incydentami Biuro Cyberbezpieczeństwa w Ministerstwie Sprawiedliwości, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK oraz Prokuratura Krajowa.
Warto przy tej okazji podkreślić, że do Prezesa UODO należy zgłaszać naruszenia, nie później niż w ciągu 72 godzin od jego stwierdzenia. Do Prezesa UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Przede wszystkim celem zgłaszania naruszeń Prezesowi Urzędu Ochrony Danych Osobowych jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił m.in. obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić.
Jak informowaliśmy wcześniej, do Internetu wyciekły dane tysięcy sędziów i prokuratorów, które miała w swoich zasobach Krajowa Szkoła Sądownictwa i Prokuratury w Krakowie. W sieci pojawiły się prywatne adresy mailowe, adresy zamieszkania, numery telefonów, a także hasła logowania. Jednocześnie dyrektor KSSiP zaznaczyła że z poczynionych na dzień dzisiejszy ustaleń, brak jest danych, pozwalających na jednoznaczne stwierdzenie, że przedmiotem nieuprawnionego ujawnienia były również numery PESEL.
Co robić, gdy naruszenie dotyczy moich danych?
Ataki hakerskie, czyli przełamywanie zabezpieczeń systemów informatycznych w których przetwarzane są dane osobowe czy wykorzystywanie istniejących podatności (luk) w tych systemach, - to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (bądź mają taką możliwość) w posiadanie danych osobowych. Należy wtedy podjąć odpowiednie działania, aby ograniczać ewentualne negatywne konsekwencje.
Przede wszystkim należy zachować dużą ostrożność podczas podawania danych przez Internet. Dokładnie analizować komunikaty od administratora, zawarte np. w wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.
Osoby, które padły lub mają podejrzenie, że mogły paść ofiarami kradzieży tożsamości powinny w pierwszej kolejności zgłaszać się na Policję. Prezes UODO, nie jest organem ścigania, nie ma uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.
Każda osoba, która uzna, że jej dane osobowe są przetwarzane niezgodnie z prawem może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Co więcej, art. 79 RODO daje jej także prawo, niezależnie od złożenia skargi do Prezesa UODO, do ochrony swoich praw przed sądem cywilnym. Zgodnie zaś z art. 82 RODO jeżeli poniosła ona szkodę majątkową lub niemajątkową, ma także prawo uzyskać od administratora odszkodowanie.
Więcej wskazówek UODO dotyczących zmniejszenia ryzyka kradzieży tożsamości dostępnych jest w materiałach:
- Co zrobić w przypadku kradzieży tożsamości? https://uodo.gov.pl/pl/138/1222
- Warto wiedzieć, jak minimalizować ryzyko kradzieży tożsamości https://uodo.gov.pl/pl/138/1267
Informacja prasowa UODO