Naruszenie danych osobowych

Naruszenie danych osobowych klientów Netii

Poradnik przygotowany przez Netię

WSTĘP

Poradnik stanowi podstawowe sugestie związane minimalizacją skutków naruszenia (*1) danych osobowych, jakie miało miejsce wskutek ataku hakerskiego na serwis netia.pl w dniu 7 lipca 2016 r.

Prosimy nie traktować tego dokumentu jako porady prawnej, lecz jako zbiór sugerowanych działań służących minimalizacji skutków zaistniałego naruszenia.

Niezależnie od przekazanych sugestii polecamy Państwu zapoznanie się z poradami dotyczącymi bezpieczeństwa publikowanymi przez Komisję Nadzoru Finansowego (www.knf.gov.pl) oraz Związek Banków Polskich (www.zbp.pl, w szczególności https://zbp.pl/dla-konsumentow/bezpieczny- bank/bankowosc-internetowa). Pomocne będą również informacje zamieszczone w serwisie edukacyjnym Generalnego Inspektora Ochrony Danych Osobowych (https://edugiodo.giodo.gov.pl/) oraz  publikacje  dostępne  w  specjalistycznych  serwisach  zajmujących   się   e-bezpieczeństwem.  W ostatnim wypadku polecamy Państwa rozwadze weryfikację rzetelności publikowanych wiadomości.

 

CZYM SĄ DANE OSOBOWE?

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (*2).  Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,  kulturowe  lub  społeczne (*3). Koniecznie  trzeba  zaznaczyć,  że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (*4).

Przy szerszym wyjaśnieniu czym są dane osobowe warto przywołać informację przygotowaną przez Generalnego Inspektora Ochrony Danych osobowych:

Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych.

Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy  numerem PESEL, które      w konsekwencji można odnieść do konkretnej osoby.

Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL

Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności         i dowodach osobistych (tekst jedn. Dz.U. z 2006 r. nr 139, poz. 993, z późn. zm.), jest 11- cyfrowym, stałym symbolem  numerycznym,  jednoznacznie  identyfikującym  osobę  fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery ? liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą  do  komputerowej kontroli  poprawności  nadanego  numeru  ewidencyjnego.  Numer  ten,  występując  nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.

Adres poczty elektronicznej

Adres poczty elektronicznej ? bez dodatkowych informacji, umożliwiających ustalenie tożsamości osoby ? zasadniczo nie stanowi danych osobowych. Występujący samodzielnie adres poczty elektronicznej można w wyjątkowych przypadkach uznać za dane osobowe, ale tylko wtedy, gdy elementy jego treści pozwalają, bez nadmiernych kosztów, czasu lub działań ? na ustalenie na ich podstawie tożsamości danej osoby. Dzieje się tak w sytuacji, gdy  elementami treści adresu są np. imię i nazwisko jego właściciela.

Dane szczególnie chronione

Dane szczególnie chronione wyliczone są w art. 27 ust. 1 ustawy. Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych ?zwykłych?.

Dane ?zwykłe?

Nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL.

W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby.

Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który  zgodnie  z art. 15 ust. 2 ustawy  z dnia 24 września 2010 r. o ewidencji ludności (Dz.U.    z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Można więc   stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych (*5).

GIODO wyjaśnia również, że w większości wypadków dla oceny czy informacja stanowi dane  osobowe nieuniknione jest dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby (*6).

 

 

DO CZEGO MOGĄ BYĆ WYKORZYSTANE NARUSZONE DANE OSOBOWE?

Naruszenie danych osobowych nastąpiło wskutek działań bezprawnych, dlatego niestety można się spodziewać również prób bezprawnego wykorzystania naruszonych danych. Dlatego też zalecamy Państwu przede wszystkim ostrożność i rozwagę. Poniżej przedstawiane są dwa najczęściej spotykane sposoby bezprawnego wykorzystania danych osobowych:

 

  1. Dane osobowe zebrane w bazie mogą być przedmiotem bezprawnego handlu, np. zostać sprzedane firmom   zajmującym   się   marketingiem   bezpośrednim. Prosimy pamiętać,że w przypadku gdy dane nie zostały zebrane od Państwa podmiot nimi administrujący powinien poinformować Państwa m.in. o źródle danych (*7). Mogą Państwo żądać czasowego lub stałego wstrzymania przetwarzania danych osobowych lub ich usunięcia, m.in. jeżeli zostały zebrane z naruszeniem UODO (*8).
  2. W skrajnych przypadkach bezprawnie pozyskane dane osobowe mogą być wykorzystane przez przestępców do podszycia się pod inną osobę. Działania takie stanowią przestępstwo (*9) i należy je natychmiast zgłosić Policji.

 

ZMIANA HASEŁ

Zgodnie z ustaleniami Netia S.A. nie doszło do  kradzieży  haseł  serwisów  zarządzanych  przez  Netia S.A.

Przypominamy jednak  dobrą praktykę,  by (i)  korzystać  w różnych  serwisach  z różnych  haseł  oraz (ii) czasowo zmieniać te hasła. W zaistniałych okolicznościach daleko posuniętą ostrożnością, którą zalecamy, jest przeprowadzenie wcześniejszej zmiany haseł we wszystkich serwisach, w szczególności służących usługom finansowym (płatności internetowe, serwisy aukcyjne, bankowość elektroniczna).

 

AKTUALIZACJA PROGRAMÓW ANTYWIRUSOWYCH I FIREWALLI

Jest to kolejna dobra praktyka, na którą ponownie zwracamy uwagę. Zalecamy sprawdzenia aktualności i pewności posiadanych programów antywirusowych oraz firewalli.

 

OSTROŻNOŚĆ WOBEC WIADOMOŚCI SMS/E-MAIL

Bezprawnie pozyskane numery telefonów lub adresy e-mail mogą być przedmiotem wzmożonego spamu (wiadomości niepożądanych) oraz scamu (wiadomości służące wyłudzeniu informacji poufnych).

Zalecamy zwiększoną ostrożność wobec otrzymywanych wiadomości SMS z nieznanych źródeł zawierających odnośniki do serwisów internetowych. Prosimy również o uwagę wobec e-maili od oszustów np. podszywających się pod serwisy finansowe oraz wiadomości naśladujące informacje od dużych dostawców usług (energia, telekomunikacja itp.) lub obiecujących wielkie wynagrodzenie za pomoc w czyjejś sprawie osobistej wraz z prośbą o przekazanie danych osobowych (tzw. oszustwo nigeryjskie).

Uprzejmie przypominamy informację Związku Banków Polskich, że żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację. Podobnie jest to niespotykane u innych usługodawców (w tym operatorów telekomunikacyjnych).

Banki nigdy nie podają w przesyłanych wiadomościach linków do stron transakcyjnych. Listy, wiadomości e-mail lub telefony w takich sprawach należy traktować jako próbę wyłudzenia poufnych informacji. Nie odpowiadaj na nie przekazując swoje poufne dane. Bezzwłocznie skontaktuj się ze swoim Bankiem i poinformuj o zdarzeniu.

Uprzejmie zwracamy Państwa uwagę, że naruszenie danych osobowych przez ujawnienie numeru telefonu w przypadku większości operatorów telekomunikacyjnych nie jest podstawą do wypowiedzenia umowy o świadczenie usług telekomunikacyjnych zawartych na czas oznaczony.

 

WYMIANA DOWODU OSOBISTEGO

Ujawnienie numeru dowodu osobistego lub numeru PESEL wskutek bezprawnego naruszenia danych osobowych nie jest podstawą dla wymiany dowodu osobistego (*10)  Podstawą taką jest m.in. fizyczna utrata kontroli nad dowodem osobistym (*11).

ALERTY KREDYTOWE

Zgodnie z procedurami stosowanymi w instytucjach finansowych, osoby podpisujące w ich imieniu umowy z klientami są zobowiązane do weryfikacji tożsamości z pomocą okazanego dokumentu tożsamości. Nie wyklucza to niestety bezprawnych działań naruszających te procedury.

Nie jest to działanie niezbędne, ale jeśli obawiają się Państwo takiej sytuacji prosimy o rozważenie      w swoim przypadku zamówienie usług oferowanych przez instytucje weryfikujące zdolność kredytową. Polegają one na powiadomieniu Państwa, gdy ktoś będzie pytać o Państwa zdolność kredytową (co ma miejsce np. przed zawarciem umowy kredytu konsumenckiego).

Usługę taką oferują np.:

 

NUMERY RACHUNKÓW BANKOWYCH

W celu ustalenia konieczności i możliwości zmian numeru rachunku bankowego, sugerujemy kontakt  z Państwa bankiem.

 

 


 

*1 Takim pojęciem posługuje się Prawo telekomunikacyjne, por. art. 174a ust. 2 ustawy z dnia 16.07.2004 r. Prawo telekomunikacyjne (tekst jedn.: Dz. U. z 2014 r., poz. 243 ze zm.).

*2 Art. 6 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2016 r., poz. 922 ze zm.) dalej: ?UODO?.

*3 Art. 6 ust. 2 UODO.

*4 Art. 6 ust. 3 UODO.

*5 http://www.giodo.gov.pl/319/id_art/973/j/pl/

*6 http://www.giodo.gov.pl/319/id_art/973/j/pl/

*7  Art. 25 ust. 1 pkt 3 UODO.

*8  Art. 32 ust. 1 pkt 6 UDODO.

*9 Art. 190a §2 ustawy z dnia 6.06.1997 r. Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553 ze zm.).

*10 Por. art. 46 ustawy z dnia 06.08.2010 r. o dowodach osobistych (tekst jedn.: Dz. U. z 2016 r., poz. 391 ze zm.).

*11 Art. 46 ust. 1 pkt 4 w zw. z art. 2 ust. 1 pkt 4) ustawy o dowodach osobistych.