Wniosek o udostępnienie danych rodzi ryzyko złamania RODO

Firmy kolekcjonują bardzo duże ilości danych o użytkownikach swoich serwisów, nabywcach usług lub produktów, czy po prostu osobach odwiedzających strony internetowe. Może Ci się wydawać, że przetwarzasz zupełnie nieistotne dane. Adres e-mail czy adres do korespondencji może w Twoich oczach być mało interesującą informacją o danej osobie. Dla kogoś, kto buduje profil osoby, lub – co gorsza – próbuje jej skraść tożsamość, dane, które przetwarzasz, mogą być bezcenne. Włamanie się do serwisów internetowych, czy Twojego laptopa, w cale nie musi być najprostszą formą ich zdobycia. Para badaczy z branży cybersecurity i infosec udowodniła, że niefrasobliwość przedsiębiorców w wypełnianiu ich obowiązków wynikających z RODO, może działać na szkodę obywateli powierzających swoje dane. A udostępnienie danych nieuprawnionej osobie może na administratora danych osobowych ściągnąć duże kary finansowe.

Udostępnienie danych to Twój obowiązek

Dzięki RODO obywatele UE zyskali wiele uprawnień takich jak prawo do sprzeciwu, wycofania zgody czy „prawo do zapomnienia”. Mogą także żądać od administratora danych osobowych udostępnienia kopii wszystkich przetwarzanych przez niego danych osobowych. Oznacza to, że gdy osoba zwróci się do Ciebie z takim żądaniem, musisz z każdego systemu teleinformatycznego, w którym przetwarzasz dane osobowe, odpowiednie informacje wydobyć i udostępnić. To samo tyczy się także papierowych dokumentów, jeżeli dane przetwarzasz w takiej postaci. Udostępnienie danych to Twój obowiązek wynikający bezpośrednio z zapisów RODO. Na jego wypełnienie masz miesiąc, w szczególnych przypadkach możesz przedłużyć ten okres do 3 miesięcy. Nie możesz go jednak zignorować.

To, w jaki sposób przeprowadzisz ten proces, zależy od procedur, które wdrożysz w swoim przedsiębiorstwie. Musisz dobrze wiedzieć w jakich systemach czy aplikacjach przetwarzasz dane osobowe. Pomocny w tym będzie dobrze prowadzony rejestr czynności przetwarzania, w którym te informacje powinny zostać zapisane. 

RODO działające na niekorzyść obywatela?

Para badaczy, James Pavur specjalizujący się w zagadnieniach cyberbezpieczeństwa, wraz ze swoją narzeczoną Casey Knerr pracującej w branży infosec udowodnili, że prawo dostępu do informacji może działać na niekorzyść obywateli. Wszystko zaczęło się od zakładu o to, czy uda się skraść tożsamość osoby wykorzystując do tego celu prawa wynikające z RODO. Jak się okazało, dzięki niefrasobliwości przedsiębiorców przetwarzających dane osobowe, nie było to trudne. O swoim eksperymencie i jego wynikach opowiadali na zakończonej niedawno największej konferencji poświęconej cyberbezpieczeństwie – BlackHat.

Research

Jak przebiegał eksperyment? Do jego rozpoczęcia James potrzebował kilku danych na temat Casey. Nie chodziło jednak o to, by ona je mu podała. Skorzystał w tym celu z OSINT, czyli techniki pozyskiwania informacji o ludziach lub firmach. Takie podejście zwane jest też białym wywiadem i polega na zbieraniu danych, które dana osoba sama udostępnia na swój temat. W ten sposób pozyskał pełne imię i nazwisko swojej partnerki, adres e-mail czy numer telefonu. Można by powiedzieć, że niewiele. Zebrane dane wykorzystał składając do 150 firm żądania o udostępnienie kopii przetwarzanych danych osobowych podszywając się pod Casey. 

Efekt eksperymentu był dość piorunujący. Uzyskał on w ten sposób takie informacje jak data urodzenia partnerki, nazwisko panieńskie jej matki, hasła, poprzednie miejsca zamieszkania, Social Security Number (taki odpowiednik polskiego numeru PESEL), informacje o podróżach i zakwaterowaniu w hotelach, część numeru karty kredytowej, a nawet informację o ocenach ze szkoły średniej oraz informację czy miała konto na portalu randkowym.

Przecież RODO miało chronić!

Jak wynika ze statystyk zaprezentowanych przez Jamesa i Casey aż 25% firm nie odpowiedziało na przesłane żądanie. Dwie trzecie firm, które odpowiedź przesłały, zamieściło w niej wystarczająco dużo informacji potwierdzających tożsamość Casey oraz fakt, że korzystała ona z ich usług. 25% firm przesłało dane bez odpowiedniej weryfikacji osoby wysyłającej żądanie. 15% żądało do weryfikacji osoby składającej żądanie informacji, które w łatwy sposób można podrobić. Na szczęście 40% wymagało potwierdzenia tożsamości w bardziej skomplikowany sposób, na przykład poprzez wysłanie samego żądania z adresu, na które konto w serwisie zostało założone, lub wysyłając na posiadany adres specjalny e-mail weryfikacyjny. 

Okazuje się, że prawo dostępu do informacji w tym przypadku może działać na niekorzyść osób, które rozporządzenie miało chronić. Wynika to jednak nie z samej regulacji a z najsłabszego ogniwa każdego procesu bezpieczeństwa – człowieka. To niedoskonałe procedury, czy niefrasobliwe zachowanie pracowników spowodowało, że dane zostały udostępnione bez należytej weryfikacji osoby składającej żądanie. Zdarzenie takie jest także incydentem, który musisz odnotować i na niego zareagować.

Jak postępować?

RODO nie mówi, w jaki sposób masz wypełnić obowiązki, które na Ciebie rozporządzenie nakłada. To do Ciebie należy decyzja, w jaki sposób zabezpieczasz proces przetwarzania danych osobowych. Wypełnienie żądania wynikającego z RODO jest jednym z takich procesów. Jako przedsiębiorca musisz mieć świadomość, że to od Ciebie zależy bezpieczeństwo tego procesu.

Proces weryfikacji musi być dokładny. Musisz w nim opierać się na danych, które już posiadasz. Poniżej kilka wskazówek, jakie metody możesz uwzględnić w swoich procedurach. Pamiętaj także o odpowiednim przeszkoleniu swoich pracowników. Muszą oni być świadomi zagrożeń i problemów, jakie udostępnienie danych niepowołanej, źle zweryfikowanej osobie, może na firmę ściągnąć.

Weryfikuj osobę, której udostępniasz dane
  • Oczekuj wysłania żądania z adresu e-mail, który masz zarejestrowany w swoim systemie.
  • Masz prawo odmówić wypełnienia żądania wysłanego przez firmę zewnętrzną w imieniu danej osoby. Akceptuj wnioski od prawników lub radców prawnych reprezentujących daną osobę po zweryfikowaniu ich upoważnienia.
  • Jeżeli przetwarzasz numer telefonu, w ramach potwierdzenia możesz dokonać weryfikacji, wysyłając na niego jednorazowy kod, który zgłaszający będzie musiał do Ciebie odesłać w mailu.
  • Nie proś o przesłanie skanu dokumentu tożsamości. Zawiera on sam w sobie więcej informacji, niż dotychczas przetwarzasz. 
  • Możesz zadać osobie proszącej o dane dodatkowe pytania. Przykładowo – jeżeli prowadzisz sklep internetowy zapytaj się o to, czy kiedykolwiek dokonał zakupów. 
  • Poproś o przesłanie wniosku podpisanego Profilem Zaufanym lub podpisem kwalifikowanym.

Przedstawione wyżej propozycje dostosuj do własnych potrzeb. Podziel się także własnymi w komentarzu do tego artykułu.

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO