Odpowiada zawsze administrator danych

Administrator danych osobowych ma obowiązek zastosowania dostępnych środków technicznych i organizacyjnych w celu ich należytego zabezpieczenia. Nie zwalnia go z tego obowiązku powierzenie danych firmie zewnętrznej.

Bank Pekao uruchomił stronę rekrutującą pracowników www.zainwestuj-wprzyszlosc.pl. Pod ogólnie dostępnym adresem internetowym każdy mógł zobaczyć prawie 3 tys. nadesłanych CV i listów motywacyjnych.

- Niewątpliwie doszło do jednego z największych w Polsce wycieków danych osobowych - twierdzi Michał Serzycki, generalny inspektor ochrony danych osobowych.

Lekkomyślność

- Sprawa wycieku danych wpisuje się w nurt lekkomyślnego podejścia do tematu ochrony danych i bardzo małej świadomości osób mających do nich dostęp ze strony administratora - uważa Tomasz Osiej, radca prawny, współpracownik portalu e-ochronadanych.pl.

Przyczyną wycieku danych prawdopodobnie było włamanie hakerskie do serwera strony zarządzanej przez firmę zewnętrzną.

- Mamy do czynienia z przestępstwem niezależnie od tego, czy ujawnienie danych osobowych nastąpiło w wyniku włamania do serwera czy też z powodu niewłaściwego zabezpieczenia - tłumaczy prokurator Kazimierz Rubaszewski z Prokuratury Okręgowej w Zielonej Górze.

- Przestępstwo takie ścigane jest z urzędu i zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku - mówi Marek Wiński, radca prawny z Kancelarii Wiński Czernicki we Wrocławiu. W świetle orzecznictwa Sądu Najwyższego wyciek danych osobowych stanowi naruszenie dóbr osobistych osoby uprawnionej, uzasadniający żądanie zadośćuczynienia pieniężnego za doznaną krzywdę.

Bank zablokował stronę internetową w ciągu siedmiu minut od otrzymania pierwszej informacji o przecieku. Pekao wyraził już ubolewanie z powodu wydostania się danych do internetu i zapewnił, że podjął działania, aby zminimalizować ewentualność wykorzystania informacji przez osoby nieuprawnione.

Potrzebna nowelizacja

- Sektor bankowy zawsze oceniany był dobrze pod względem zabezpieczeń. Pocieszające jest jednak, że włamanie nastąpiło na serwer firmy zewnętrznej, a nie bankowy - mówi Michał Serzycki.

Niestety, serwis Google zbiera i indeksuje wszystkie publicznie dostępne dokumenty. Nawet po wykasowaniu danych kopie są przechowywane na swoich serwerach w USA. Według Michała Serzyckiego konieczna jest więc zmiana prawa. Ustawa o ochronie danych osobowych nie daje generalnemu inspektorowi uprawnień do ścigania przestępstw ani też możliwości nakładania kar finansowych na osoby, które są odpowiedzialne za ujawnienie danych.

Pozostało 85% treści

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Wybierz pakiet odpowiedni dla siebie i korzystaj codziennie!

Jesteś subskrybentem?
Zaloguj się

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Jesteś subskrybentem?
Zaloguj się

<span style="font-size:20px; color: #000000">Kup dostęp <br>już od <strong style="color: #FD0509">9,90 zł</strong> za pierwszy miesiąc</span>

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Ten artykuł jest dostępny tylko dla subskrybentów wersji cyfrowej DGP Premium.

Potrzebujesz więcej treści dla specjalistów? Szukasz kompleksowej informacji i wyjaśnień ekspertów dotyczących zmieniającego się prawa?
Wybierz wersję cyfrową DGP Premium z nielimitowanym dostępem do wszystkich treści (gazetaprawna.pl. edgp.gazetaprawna.pl, aplikacja DGP) i pełnym archiwum wydań.