Co powinien zrobić operator telekomunikacyjny po odnotowaniu wycieku danych osobowych?

Beata Marek Bezpieczeństwo teleinformatyczne, Ochrona danych osobowych, Ochrona tajemnic prawnie chronionych, Prawo 14 Comments

Dzisiejszy news “Skradziono dane klientów Orange“, który obiegł w zawrotnym tempie Internet, wstrząsnął zarówno klientami operatorów telekomunikacyjnych jak i samymi operatorami. Sprawa jest poważna bo wyszło na jaw w jak łatwy sposób, bez potrzeby infekowania systemów teleinformatyczncyh, można wyprowadzić dane. I to nie byle jakie bo dane 135 tys. klientów objęte tajemnicą telekomunikacyjną.

Aż strach pomyśleć co dzieje się w służbie zdrowia, u ubezpieczycieli, w bankach, w e-sklepach, etc…

Sprawa z Orange pokazuje, że najsłabszym ogniwem okazał się pracownik za biurkiem (jak zwykle zresztą). Wyciek danych osobowych poprzez wyniesienie ich przez pracownika może zdarzyć się każdej organizacji. Orange pewnie się pozbiera, ale czy Twoja organizacja po takim wycieku jeszcze miałaby szansę istnieć? Pewnie trzeba byłoby zmieniać logo, nazwę i startować pod nowym projektem.

Zapytam tak czysto hipotetycznie.

Czy gdyby dane osobowe były np. przetwarzane w chmurze (u zaufanego dostawcy), a pracownik nie mógłby skopiować danych na pendrive / na prywatną pocztę albo wykonać zrzutów ekranu byłoby bezpieczniej? Możesz sprytnie dostrzec, że dochodzi kolejny podwykonawca do łańcucha i jeśli nie ma potrzeby korzystania z aplikacji chmurowej w modelu SaaS to lepszym rozwiązaniem byłoby korzystanie z wgranego softu na stanowisku pracy połączonego z bazą matką i wdrożenie nakładek systemowych na urządzenia pracownika, które blokują dalsze przesyłanie danych (co do zasady jest to standard dla podmiotów, które wdrożyły System Zarządzania Bezpieczeństwem Informacji).

Ale … jednak “pracownik-kret” mógłby wziąć aparat i zrobić fotki (dla chcącego nic trudnego). Może zatem kamery w miejscu pracy uzasadniają ochronę danych i mogłyby zapobiec wyciekowi danych na zewnątrz? Raczej wprawne oko operatora kamerki (bez względu na to czy będzie to emeryt, rencista czy 20 latek słuchający właśnie audiobooka) nie wychwyci robienia z ukrycia zdjęć smartphonem.

Zatem po co wdrażać System Zarządzania Bezpieczeństwem Informacji zgodny ze standardami ISO, wyznaczać CSO, ABIego, opiniować umowy przetwarzania danych, monitorować pracowników, przeprowadzać regularne audyty skoro podwykonawca może zniszczyć nasz wizerunek w ciągu kilku minut?

Jeśli outsourcujesz (a kto tego nie robi w dzisiejszych czasadach) to proszę zapamiętaj jedną z moich ulubionych maksym o oszczędzaniu. Zwykło się bowiem niestety przy wyborze podwykonawcy kierować się wiodącym kryterium jakim jest cena. A to nie prowadzi do niczego dobrego.

Maksyma, która idealnie pasuje do tego nawyku brzmi: Krańcowa skłonność do oszczędzania ludzi żyjących z pracy jest mała w porównaniu z krańcową skłonnością kapitalistów do oszczędzania. (Nicholas Kaldor, węgierski ekonomista). To daje do myślenia. Może jednak warto zapłacić te kilkaset złotych więcej pracownikowi lub/i wybrać trochę droższą ofertę outsourcingu niż potem płacić znacznie więcej po wystąpieniu szkody.

Nie oszczędzaj na outsourcingu, narzucaj standardy i wymagania wykonawcom, kontroluj ich i zastanów się nad tym by rozważnie dzielić zakres przetwarzanych tak przez Ciebie jak i przez nich danych (o tym jak jest to ważne pisałam m.in. tutaj podając przykład, który warto wdrożyć). Sprawdź czy przypadkiem poszczególne działy/pracownicy nie mają dostępu do zbyt dużej ilości informacji. Czy faktycznie jest im to potrzebne do wykonywania pracy? Po audytach, które przeprowadzam widzę, że to jest spory problem wielu organizacji.

Nie rezygnuj z procedur bezpieczeństwa bo to jest podstawa. Prawidłowo wdrożone i faktycznie stosowane stanowią solidny fundament ochrony. Wdrażaj je po to by planować scenariusze incydentów i Twoją reakcję. Przeprowadzaj symulacje. Kontroluj dostawcę pod kątem spełnienia Twojej zgodności (tak prawnej jak i tej związanej z wdrożonymi przez Ciebie procedurami – dostawca nie może zapewniać mniejszej ochrony niż Ty).

Tylko dynamiczne, przemyślane podejście do ochrony danych znajdujących się w zasobach systemów teleinformatycznych jak i w dokumentacji papierowej oraz nieoszczędzanie na innych aspektach związanych z bezpieczeństwem (w tym zatrudnianiu pracowników, którzy przetwarzają ważne dane) może skutecznie minimalizować ryzyko wycieku danych.


Naruszenie tajemnicy telekomunikacyjnej a bankowej – zgodzisz się ze mną?


Jeśli znany jest Tobie termin “tajemnica bankowa” to zapewne wiesz, że naruszenie tej tajemnicy wiąże się co do zasady z prowadzonym postępowaniem karnym dla pracownika, który dane te skompromituje i może się zakończyć dla niego karą pozbawienia wolności do lat 3 (bezprawnie ujawni w jakikolwiek sposób). Będziesz prawdopodobnie zaskoczony jak napiszę, że w przypadku naruszenia tajemnicy telekomunikacyjnej jest inaczej.

Biorąc pod uwagę skalę wycieku danych abonantów telekomunikacyjnych obejmującą jak w przypadku Orange: imiona i nazwiska, numery telefonów, PESEL, NIP, dokumenty tożsamości oraz adresy tradycyjne i e-mail (jak podaje Puls Biznesu) to jest bulwersujące, że pracownik nie ponosi odpowiedzialności takiej jak pracownik banku czy pracownik podwykonawcy banku, który jest obowiązany do zachowania tajemnicy bankowej.

Ja tu widzę dużą dysproporcję w zakresie odpowiedzialności za ujawnienie tajemnicy bankowej i telekomunikacyjnej. A przecież w przypadku obu tych tajemnic zakres skomromitowanych danych może być tożsamy!

Warto by ustawodawca coś z tym zrobił. Moim zdaniem warto by wprowadził odpowiedzialność karną analogiczną jak w przypadku naruszenia tajemnicy bankowej.

Zgodnie z art. 104 ust.1 i 107 ust.3 pkt. 5 ustawy z dnia z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. 1997 nr 140 poz. 939 z późn. zm.):

Art. 104.
1. Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje.


Art. 107 ust. 3
5. Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3.

Kto poniesienie karę za naruszenie tajemnicy telekomunikacynej?

Zgodnie z art. 159, 160 ust.1 i 2 oraz 162 ust.1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 z późn. zm., dalej jako “prawo telekomunikacyjne”):

Art. 159.
1. Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:
1) dane dotyczące użytkownika

2. Zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu.

3. Z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej.


Art. 160.
1. Podmiot uczestniczący w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmioty z nim współpracujące są obowiązane do zachowania tajemnicy telekomunikacyjnej.
2. Podmioty, o których mowa w ust. 1, są obowiązane do zachowania należytej staranności, w zakresie uzasadnionym względami technicznymi lub ekonomicznymi, przy zabezpieczaniu urządzeń telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów danych przed ujawnieniem tajemnicy telekomunikacyjnej.


Art. 162.
1. Przedsiębiorca telekomunikacyjny ponosi odpowiedzialność za naruszenie tajemnicy telekomunikacyjnej przez podmioty działające w jego imieniu.


Zgodnie z art. 209 ust.1 pkt. 24 prawa telekomunikacyjnego:

Prezes UKE może nałożyć karę pieniężną na podmiot, który był obowiązany do jej zachowania.


O tym, że w omawianym przypadku doszło do ujawnienia tajemnicy telekomunikacyjnej nie ma wątpliwości. W tej sytuacji nieuniknione będzie prowadzone postępowanie przez Prezesa UKE. Jak wynika z przepisów to jednak operator poniesie konsekwencje naruszenia tajemnicy telekomunikacyjnej. Pracownik może zostać oskarżony na wniosek pokrzywdzonego o naruszenie tajemnicy, do której przestrzegania był zobowiązany tj. o czyn z art. 266 §1 Kodeku Karnego zagrożony karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2 (w sprawie z Orange postawiono zarzuty z art. 267 Kodeku Karnego).

Być może rozwiązaniem na przyszłość dla operatora byłoby lepiej uświadomić pracowników co do odpowiedzialności karnej, którą można byłoby im przypisać na przykładzie poszczególnych stanów faktycznych. Może stworzenie takiego przewodnika opisującego wybrane zagadnienia, np. “Kopiujejesz dane? Zobacz co Ci za to grozi” jest jakimś tymczasowym rozwiązaniem. To w umyśle pracownika powinna zapalić się czerwona lampka zanim będzie chciał wynieść dane. Wizja utraty pracy (za naruszenie tajemnicy pracownika) a wizja odpowiedzialności karnej (np. za kradzież danych) są jednak skrajnie różne.

Pobudzanie wyobraźni jest ważne i rozsądne monitorowanie aktywności pracowników także.

Postępowanie poincydentalne

W każdej organizacji, w której wdrożony jest System Zarządzania Bezpieczeństwem Informacji po odnotowaniu incydentu bezpieczeństwa przeprowadza się postępowanie poincydentalne. I zapewne teraz takie jest prowadzone tak u administratora danych jak i przetwarzającego (dla przypomnienia podaję, że jednym ze sprawców usiłujących sprzedać dane osobowe objęte tajemnicą telekomunikacyjną był pracownik podwykonawcy Orange).

Postępowanie zakończy się przedstawieniem protokołu i udzieleniem rekomendacji dla uszczelnienia procedur bezpieczeństwa. Jak zakładam Orange pewnie podziękuję za dalszą współpracę temu podwykonawcy. Swoją drogą szkoda, że w mediach widać tylko logówkę Orange, a logówki tego podwykonawcy już nie. Szkoda bo być może inne podmioty przeprowadziłyby audyty.

Obowiązek notyfikacyjny

Na operatorach telekomunikacyjnych ciąży szczególny obowiązek notyfikowania (informowania) o naruszeniach dotyczących ochrony danych osobowych. To operatorzy są administratorami danych, a zatem odpowiadają za bezpieczne ich przetwarzanie dlatego na nich ciąży ten obowiązek a nie na przetwarzających (czyli podwykonawcach, np. call center).

W trybie dostępu do informacji publicznej z pewnością media będą pozyskiwały informacje o ilości odnotowanych i zgłoszonych naruszeń do biura GIODO. I nic w tym dziwnego. W USA obowiązek notyfikacyjny jest znany już od dawna i nie bez powodu słyszymy o wyciekach głównie z tej części świata.

Jak wygląda obowiązek notyfikacyjny operatora telekomunikacyjnego?

Zgodnie z art. 174a prawa telekomunikacyjngo:

Art. 174a.
1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia.
2. Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.
3. W przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.
4. Przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.
5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.
6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Generalny Inspektor Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.


Samo zaś zawiadomienie do biura GIODO powinno zawierać w szczególności:

1) opis charakteru naruszenia danych osobowych oraz zakładane ryzyko związane z naruszeniem;
2) dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;
3) informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;
4) informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;
5) informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych;
6) opis skutków naruszenia danych osobowych;
7) opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.


A zawiadomienie kierowane do abonanentów powinno zawierać:

1) opis charakteru naruszenia danych osobowych;
2) dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;
3) informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;
4) informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;
5) opis skutków naruszenia danych osobowych;
6) opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.


Reasumując operator powinien w pierwszej kolejności:

  • zawiadomić, zgodnie z przepisami prawa, o incydencie GIODO;
  • zawiadomić, zgodnie z przepisami prawa, abonentów;
  • wdrożyć postępowanie poincydentalne;
  • przeprowadzić audyty bezpieczeństwa;
  • zrewidować swoje umowy powierzenia z podwykonawcami oraz umowy z pracownikami;
  • zrewidować i wprowadzić nowy model szkolenia pracowników z zakresu ochrony danych osobowych
  • Autor grafiki promującej wpis: Sean Farrell