Szczególne ryzyko

Telekomunikacja to obszar, w którym dane te muszą być szczególnie chronione. Poza zwykłymi informacjami posiadanymi przez większość przedsiębiorców, takimi jak imię i nazwisko czy adres i numer konta bankowego konsumenta, operatorzy przechowują też dane na temat tego, do kogo dzwonimy, czy jakie strony w internecie odwiedzamy. Dlatego też w 2011 r. prawo unijne wprowadziło wymóg informowania organów ochrony danych osobowych o naruszeniach bezpieczeństwa tych danych. A w szczególnie groźnych wypadkach – także samych klientów.

W Polsce ten obowiązek wszedł w życie w marcu tego roku, wprowadzony przez art. 174a ustawy – Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171, poz. 1800 z późn. zm.).

– Liczba dotychczas zgłoszonych nam naruszeń nie jest duża, przy czym żadne z nich nie dotyczyło poważnego wycieku danych skutkującego koniecznością powiadomienia o tym wszystkich abonentów – mówi dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.

Potencjalnie jednak ryzyko dotyczące danych przechowywanych przez operatorów jest bardzo duże. Wystarczy wyobrazić sobie, jakie informacje mógłby posiąść haker, włamując się na ich serwery. Dlatego Komisja Europejska doprecyzowuje wymagania dotyczące tego, co powinno zawierać zgłoszenie o naruszeniu. Obecne przepisy mówią bowiem jedynie o samym obowiązku zgłaszania.

24 godziny na reakcję

Wprowadzony ma zostać jednolity formularz, prawdopodobnie internetowy, taki sam we wszystkich krajach UE. Określony zostanie też czas reakcji – wstępne zgłoszenie ma być wysyłane w ciągu 24 godzin od naruszenia (polskie przepisy mówią dzisiaj o trzech dniach). Firmy mają też informować o środkach, jakie zamierzają podjąć w celu uniknięcia naruszeń w przyszłości.

– Ujednolicenie przepisów uważam za krok w dobrym kierunku. W propozycji KE brakuje mi jednak wskazania, kiedy mamy do czynienia z poważnym naruszeniem – ocenia dr Wojciech Wiewiórowski.

I dodaje:

– To ważne, bo wówczas operator musi powiadamiać wszystkich abonentów o zaistniałej sytuacji, co dla niego wiąże się z jednej strony z poważnymi kosztami, a z drugiej ze stratami wizerunkowymi. Dlatego istotne jest, by wszyscy operatorzy z całej UE byli równo traktowani. A dzisiaj organ ochrony danych osobowych z Francji czy Niemiec może podchodzić do tych kwestii inaczej niż ja.

Nowe przepisy mają zachęcić operatorów do szyfrowania danych. W tym celu KE przygotuje listę metod szyfrowania, które uniemożliwiają odczyt osobom nieupoważnionym. Firmy telekomunikacyjne nie będą zobligowane do ich stosowania. Jeśli jednak się na to zdecydują, to w przypadku naruszenia zostaną zwolnione z obowiązku informowania o tym klientów. Szyfrowanie danych ma bowiem sprawić, że nawet gdy wpadną one w niepowołane ręce, będą nie do odczytania.