Dane logowania i informacje o kontrahentach sklepu internetowego czy portalu społecznościowego powinny być niejawne dla zatrudnionych. W innym razie można mówić o wycieku danych osobowych.
ikona lupy />
DGP
Portal społecznościowy Face book zanotował niedawno kolejną wpadkę z związaną z ochroną danych osobowych. W mediach pojawiła się informacja, że w efekcie luki w wewnętrznym systemie bezpieczeństwa danych nawet 20 tys. pracowników miało mieć możliwość podejrzenia loginów i pełnych haseł blisko 600 mln użytkowników portalu. Niektórzy z nich mogli ponoć przeglądać dane logowania już od 2012 r. Facebook potwierdził w oficjalnym stanowisku, że luka istniała, ale była trudna do wykrycia ze względu na to, że system loginów został zaprojektowany w taki sposób, aby maskować hasła, uniemożliwiając ich odczyt przez osoby nieuprawnione. Serwis stwierdził, że naprawił swój błąd w systemie i każda osoba, której dane mogły zostać narażone na odczytanie, zostanie o tym fakcie powiadomiona.
Z podobnym kłopotem zmierzyły się również Twitter oraz Github, ale jeszcze przed rozpoczęciem stosowania RODO (rozporządzenie 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.Urz. UE z 2016 r. L 119, s. 1). Jednak tego typu błąd systemowy może przydarzyć się nie tylko gigantom technologicznym, lecz także mniejszym przedsiębiorcom, np. prowadzącym sklep internetowy – każdemu, kto udostępnia klientom indywidualne konta. Czy tego typu zdarzenie powinno się uznawać za naruszenie ochrony danych osobowych, które – zgodnie z RODO – należy zgłosić do Urzędu Ochrony Danych Osobowych? Czy należy poinformować o tego typu wycieku osoby, których te dane dotyczą?

Jak zabezpieczać

RODO nie wskazuje wprost, w jaki sposób dane osobowe powinny być chronione. Jego art. 32 ust. 1 daje administratorowi danych osobowych swobodę wyboru zabezpieczeń z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolości osób fizycznych. W przytoczonym przepisie wskazano jednak przykład zabezpieczenia danych osobowych poprzez pseudonimizację (czyli np. skrócenie loginów lub haseł, co uniemożliwia skorzystanie z nich) i szyfrowanie (np. zamianę danych na ciąg liter i cyfr, które są możliwe do odczytania jedynie dzięki kluczowi ‒ algorytmowi deszyfrującemu).
Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird, kierująca praktyką ochrony prywatności i danych osobowych, mówi, że dane logowania nie powinny być dostępne szerokiemu gronu pracowników – jedynie tym mającym odpowiednie upoważnienie. A i wtedy najlepiej w formie spseudonimizowanej, aby minimalizować ryzyko ich wycieku.
Zgadza się z tym Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Dodaje, że z powodu konieczności minimalizowania niebezpieczeństwa wycieku pracownicy, którzy nie mają żadnego interesu w podglądaniu haseł użytkowników, nie powinni otrzymywać takiej możliwości, nawet jeśli w ich umowach pojawią się klauzule o karach finansowych za wyciek tych danych. Prawnik przyznaje, że ujawnienie haseł spedytorowi, grafikowi czy marketingowcowi jest z punktu widzenia bezpieczeństwa informacji tak samo bez sensu i ma taki sam skutek, co przekazanie ich sprzątaczce czy ochroniarzowi.

Incydent czy wewnętrzna usterka

Eksperci nie mają wątpliwości, że tego typu zdarzenia to naruszenie. Zgodnie z art. 4 pkt 12 RODO naruszenie ochrony danych oznacza bowiem „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Czy jednak należy je zgłaszać? Eksperci uważają, że wszystko zależy od skali zdarzenia. – Jeżeli dany pracownik nie powinien mieć dostępu do jawnych haseł, a jednak w wyniku błędu dochodzi do takiej sytuacji, to reakcja przedsiębiorcy musi być adekwatna do skali tego naruszenia – mówi Izabela Kowalczuk-Pakuła. Wyjaśnia, że jeżeli doszło do wycieku jedynie kilku loginów albo tylko haseł, a jednocześnie dany pracownik nie ma dostępu do całej bazy danych klientów, to takie zdarzenie powinno się wpisać do rejestru czynności przetwarzania, ale niekoniecznie należy o tym informować UODO czy użytkownika. Co innego, gdy nieuprawniony pracownik uzyskał pełne dane logowania lub dane wystarczające np. do podejrzenia w systemie informatycznym danych PESEL czy informacji o zdolności kredytowej (w przypadku sklepów internetowych zezwalających kupować na raty). – Wówczas zdecydowanie mamy do czynienia z incydentem, który należy zgłosić – podkreśla mec. Izabela Kowalczuk-Pakuła.
Z kolei Jarosław Mackiewicz, kierownik zespołu ds. audytów bezpieczeństwa w firmie DAGMA, mówi, że login i hasło nie są danymi osobowymi w myśl obowiązujących przepisów, więc sam dostęp do nich (bez powiązania z innymi danymi bezpośrednio identyfikującymi daną osobę) nie jest naruszeniem ochrony danych. – Taka sytuacja tworzy jednak duże pole do nadużyć i łamania zasad prywatności, które mogą już nieść za sobą poważne konsekwencje. Bo przecież jeżeli ktoś uzyskał dostęp do naszych danych logowania, to nie ma absolutnie żadnej pewności, że ich nie wykorzysta. W myśl wszystkich dobrych praktyk z zakresu bezpieczeństwa hasła powinny być znane jedynie ich właścicielom – radzi ekspert.
Są jednak eksperci, którzy prezentują bardziej liberalne podejście. Ich zdaniem odkrycia haseł przed pracownikami formalnie nie można oceniać jako incydentu (naruszenia) w ochronie danych osobowych, skoro wyciek danych ma miejsce jedynie wewnątrz organizacji. Według mec. Pawła Litwińskiego może zatem nie być konieczności informowania o zdarzeniu UODO oraz osób, których dane zostały odkryte przed pracownikami. Prawnik podkreśla jednak, że to nie oznacza, iż administrator może uniknąć sankcji od organu nadzorczego.
– Przechowywanie danych w ten sposób może być ocenione podczas kontroli organu nadzorczego jako niezgodne z zasadami zabezpieczenia danych, w szczególności z tzw. podejściem opartym na ryzyku. Taki poziom zabezpieczenia danych nie odpowiada potencjalnemu ryzyku naruszenia praw i wolności osób, których te dane dotyczą – uważa dr Litwiński.

Co na to Grupa Robocza

W swojej opinii 03/2014 na temat powiadamiania o przypadkach naruszenia Grupa Robocza Art. 29 nie odnosiła się bezpośrednio do przypadku wycieku danych wewnątrz firmy. Wyjaśniła jednak, że naruszenie poufności danych osobowych, które zaszyfrowano przy użyciu najnowocześniejszego algorytmu, nadal stanowi naruszenie danych osobowych i musi zostać zgłoszone. Jeżeli jednak nie dojdzie do naruszenia poufności klucza – tj. jeżeli klucz nie został złamany w wyniku naruszenia bezpieczeństwa oraz został wygenerowany w sposób, który uniemożliwia osobie nieupoważnionej poznanie go za pomocą dostępnych technologicznie środków – to dane zasadniczo pozostają nieczytelne. Nie jest więc prawdopodobne, aby takie naruszenie wywarło niekorzystny wpływ na osoby, których dane dotyczą, a zatem nie zachodzi konieczność powiadamiania ich. Nawet jeżeli dane są zaszyfrowane, ich utrata lub zmiana może jednak wywrzeć niekorzystny wpływ na osoby, których dane dotyczą, jeżeli administrator danych nie ma odpowiednich kopii zapasowych. W takim przypadku należy powiadomić osoby, których dane dotyczą, nawet jeżeli same dane odpowiednio zaszyfrowano.
Przekładając powyższe na opisywaną przez nas sytuację ujawnienia haseł: wydaje się, że najbardziej bezpiecznie będzie ten fakt zgłosić do organu nadzorczego.

opinia eksperta

Pracownicy firmy nigdy nie powinni mieć dostępu do haseł użytkowników, nie ma zresztą takiej potrzeby. Zgodnie z powszechnie przyjętymi i uznawanymi standardami bezpieczeństwa hasła użytkowników należy przechowywać w bazie danych w postaci jednostronnie zaszyfrowanej. Oznacza to, że w bazie przechowywany jest jedynie tzw. hash – bardzo łatwo jest go wyliczyć na podstawie hasła, natomiast sytuacja odwrotna, czyli wyliczenie hasła na podstawie „hasha”, jest niemożliwa. Sprawia to, że uzyskanie dostępu do bazy danych nawet przez osobę niepowołaną nie poskutkuje wyciekiem haseł użytkowników. Napastnik może tylko (i aż) stosować ataki siłowe oraz słownikowe, próbując odgadywać hasła i sprawdzać, czy w którymś przypadku „hash” zgadza się z testowanym hasłem. W przypadku złożonego i skomplikowanego hasła te ataki są jednak nieefektywne.
Hasło ma za zadanie gwarantować użytkownikom wyłączny dostęp do ich konta. Portal, na którym założyliśmy konto, musi być w stanie określić, czy podane przez nas hasło jest prawidłowe – nie musi jednak tego hasła nigdzie przechowywać. Aktualne algorytmy kryptograficzne zapewniają takie działanie. Przechowywanie haseł w jawnej postaci, bez wykorzystania mechanizmów kryptograficznych, jest jednak nadal częstym błędem bezpieczeństwa popełnianym przed twórców dzisiejszych systemów.