02.01.2018 Dziennik Gazeta Prawna opublikował wypowiedź Artura Piechockiego w artykule „Czy cyberprzestępcy zarobią na wprowadzeniu RODO?„.
Nagłośnione w ostatnim okresie przypadki kradzieży danych osobowych przez hakerów w celu wyłudzenia haraczy wywołały szeroką medialną dyskusję. Firmy obawiają się, że tego typu ataki nasilą się po wejściu w życie RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych; Dz.Urz. UE z 2016 r. L 199, s. 1). Niektórzy nawet twierdzą, że RODO może wręcz zachęcić przestępców do tego typu wyłudzeń. Wielu przedsiębiorców obawia się, że staną przed dylematem: zapłacić przestępcom za milczenie czy zgłosić wyciek i narazić się na kontrolę, a także ryzyko sankcji.
Dyskusję na forach dyskusyjnych wywołała m.in. głośna sprawa haraczu, jaki zapłacił hakerom Uber. Kilka tygodni temu amerykańska firma parataksówkowa przyznała, że rok temu wykradziono jej dane 57 mln użytkowników. Spółka przez rok ukrywała ten fakt oraz to, że zapłaciła hakerom 100 tys. dol. za milczenie. Dziś firma musi się zmierzyć z konsekwencjami tego działania – aż 7 państw członkowskich zadeklarowało, że poczyni kroki w kierunku ukarania Ubera. Zaś unijna komisarz ds. konsumentów Vera Jourová grzmi na Twitterze, że takie działanie na pewno nie ujdzie żadnej firmie na sucho, kiedy zacznie obowiązywać RODO. Co na to przedsiębiorcy? Otóż ich zdaniem Uber nie powinien przyznawać się do wycieku danych. Mówią wprost, że po wejściu RODO firmom może bardziej opłacać się zapłacić przestępcom za milczenie. Eksperci nie są zaskoczeni. – Faktycznie, w realiach RODO tym bardziej może pojawić się pokusa niezastosowania się do obowiązków informacyjnych.
(…)
Artur Piechocki, radca prawny w APLaw
Złośliwe oprogramowanie, w tym ransomware używane jest obecnie nie tylko w celu wymuszenia okupu, ale również dla paraliżu przedsiębiorcy, czy wręcz organizacji, nawet państwowej, jak miało to miejsce w przypadku Ukrainy i oprogramowania ransomware (albo złośliwego oprogramowania o zbliżonej naturze) pod nazwą Petya/Non-Petya. Ataki, których efektem ma być pozyskanie określonych informacji, np. danych osobowych niekoniecznie wiążą się z okupami, tzw. ciemny internet obfituje w oferty sprzedaży baz danych pozyskanych w nielegalny sposób. Okup przestaje być problemem, staje się nim obrót danymi pozyskanymi w sposób niezgodny z prawem. Skoro można już nawet „kupić” w internecie sprofilowany atak od przestępców, to można twierdzić, że zarówno ataki dla okupu, jak i dla sprzedaży danych, stają się prawdziwym biznesem, oczywiście nielegalnym.
Ze względu na przepisy RODO nie wyobrażam sobie sytuacji, w której przedsiębiorca miałby ukrywać wyciek danych. Obowiązek zgłoszenia wycieku w organie nadzorczym nie ulega wątpliwości, a w przypadku ryzyka naruszenia praw i wolności dodatkowo pojawia się konieczność zawiadomienia podmiotów, których dane zostały dotknięte wyciekiem. Jeżeli więc przedsiębiorca zapłaci hakerom za „milczenie”, a potem wyciek zostanie wykryty, to naraża się na ryzyko poniesienia odpowiedzialności dużo szerszej, niż w przypadku gdy zgłosi naruszenie danych osobowych. Nawet gdyby zapłata okupu za skradzioną bazę danych była rozważana ze względu na minimalizację dalszego ryzyka dla podmiotów danych, to powinna być rozważana niezależnie od obowiązku zgłoszenia, które powinno zostać dokonane w terminie 72 godzin po stwierdzeniu naruszenia. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.
(…)
Link do całej publikacji: http://serwisy.gazetaprawna.pl/nowe-technologie/artykuly/1094868,rodo-dane-osobowe-cyberprzestepcy.html
Opracowanie: Jakub Styczyński (DGP).
