Administrator danych osobowych ma obowiązek zastosowania dostępnych środków technicznych i organizacyjnych w celu ich należytego zabezpieczenia. Nie zwalnia go z tego obowiązku powierzenie danych firmie zewnętrznej.
Bank Pekao uruchomił stronę rekrutującą pracowników www.zainwestuj-wprzyszlosc.pl. Pod ogólnie dostępnym adresem internetowym każdy mógł zobaczyć prawie 3 tys. nadesłanych CV i listów motywacyjnych.
- Niewątpliwie doszło do jednego z największych w Polsce wycieków danych osobowych - twierdzi Michał Serzycki, generalny inspektor ochrony danych osobowych.
Lekkomyślność
- Sprawa wycieku danych wpisuje się w nurt lekkomyślnego podejścia do tematu ochrony danych i bardzo małej świadomości osób mających do nich dostęp ze strony administratora - uważa Tomasz Osiej, radca prawny, współpracownik portalu e-ochronadanych.pl.
Przyczyną wycieku danych prawdopodobnie było włamanie hakerskie do serwera strony zarządzanej przez firmę zewnętrzną.
- Mamy do czynienia z przestępstwem niezależnie od tego, czy ujawnienie danych osobowych nastąpiło w wyniku włamania do serwera czy też z powodu niewłaściwego zabezpieczenia - tłumaczy prokurator Kazimierz Rubaszewski z Prokuratury Okręgowej w Zielonej Górze.
- Przestępstwo takie ścigane jest z urzędu i zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku - mówi Marek Wiński, radca prawny z Kancelarii Wiński Czernicki we Wrocławiu. W świetle orzecznictwa Sądu Najwyższego wyciek danych osobowych stanowi naruszenie dóbr osobistych osoby uprawnionej, uzasadniający żądanie zadośćuczynienia pieniężnego za doznaną krzywdę.
Bank zablokował stronę internetową w ciągu siedmiu minut od otrzymania pierwszej informacji o przecieku. Pekao wyraził już ubolewanie z powodu wydostania się danych do internetu i zapewnił, że podjął działania, aby zminimalizować ewentualność wykorzystania informacji przez osoby nieuprawnione.
Potrzebna nowelizacja
- Sektor bankowy zawsze oceniany był dobrze pod względem zabezpieczeń. Pocieszające jest jednak, że włamanie nastąpiło na serwer firmy zewnętrznej, a nie bankowy - mówi Michał Serzycki.
Niestety, serwis Google zbiera i indeksuje wszystkie publicznie dostępne dokumenty. Nawet po wykasowaniu danych kopie są przechowywane na swoich serwerach w USA. Według Michała Serzyckiego konieczna jest więc zmiana prawa. Ustawa o ochronie danych osobowych nie daje generalnemu inspektorowi uprawnień do ścigania przestępstw ani też możliwości nakładania kar finansowych na osoby, które są odpowiedzialne za ujawnienie danych.
