Byłeś w Wietnamie? Upewnij się, czy Twoje dane nie wyciekły!
Byłeś w Wietnamie? Upewnij się, czy Twoje dane nie wyciekły! Błędy, niedociągnięcia, wirusy, nieprawidłowe działania czy ataki hakerskie stają się codziennością wirtualnego świata. Nie tak dawno słyszeliśmy o naruszeniach danych z Morele.net, Uber czy InPost. W ostatnich dniach w mediach pojawiła się kolejna wieść o przykrym incydencie, który może przynieść wiele negatywnych konsekwencji. Zgodnie z informacjami podawanymi przez portal niebezpiecznik.pl (źródło: https://niebezpiecznik.pl/post/wyciek-3000-paszportow-wietnam-wiza/) ponad 3000 skanów paszportów osób podróżujących do Wietnamu wyciekło do sieci ze strony Wietnamwiza.com. Co wiemy o wycieku? Wietnamwiza.com to firma pośrednicząca w zawieraniu m.in. wietnamskich wiz. Ten azjatycki kraj staje się coraz popularniejszym celem podróży dla polskich turystów. Niestety okazuje się, że samo załatwianie formalności w tym przypadku było bardziej niebezpieczne niż pobyt w egzotycznym kraju. W celu starania się o wizę za pośrednictwem Wietnamwiza.com, należy przesłać skan swojego paszportu, który umożliwi dalsze procedowanie. Wiele osób w ostrożny sposób podchodzi do takich praktyk i nie decyduje się na przesyłanie drogą elektroniczną skanów dokumentów zawierających dane osobowe. Biorąc pod uwagę fakt, co stało się w przypadku strony Wietnamwiza.com, należy przyznać rację osobom prewencyjnie dbającym o swoje dane osobowe. Co w takim razie działo się z Wietnamwiza.com? Po przesłaniu skanu dowodu oczom jednego z czytelników Niebezpiecznik.pl ukazał się skan dokumentu pod publicznym adresem URL. Następnie można było uzyskać dostęp do zbioru ponad 3000 skanów innych dokumentów. Pliki dotyczyły osób, które korzystały z serwisu od 2015 roku(!). Uzyskano dostęp do takich informacji jak: wizerunek, imię, nazwisko, PESEL, nr paszportu, podpis. Nie ulega wątpliwości, że przestępcy mogą w łatwy sposób wykorzystać takie dane do wyłudzenia kredytu czy pożyczki. Co dalej? Witryna jest obsługiwana przez firmę POLVIET. Według przedstawicieli podmiotu nie jest ona polską firmą, a prowadzi działalność według prawa wietnamskiego. Przyznano też, że w drugiej połowie 2018 roku kilkukrotnie stała się ofiarą ataków hakerskich. W omawianej sprawie skontaktowaliśmy się z Karolem Orłowskim – Inspektorem Ochrony Danych Osobowych w Mentor S.A., który specjalizuje się w przeprowadzaniu szkoleń z zakresu bezpieczeństwa cybernetycznego, o których więcej mogą się Państwo dowiedzieć w tym miejscu: https://it.mentor.pl/oferta/szkolenia. Zapytaliśmy go o ocenę całej sytuacji. Wskazał, iż firma nie może powoływać się na okoliczności, że jej siedziba znajduje się poza UE. Błędnym jest uznanie, że nie ponosi odpowiedzialności na gruncie unijnych przepisów o ochronie danych osobowych. Przytoczył jednocześnie treść artykułu 3 ust. 2 RODO, zgodnie z którym: Rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Ujęcie w taki sposób odpowiedzialności administratora bądź podmiotu przetwarzającego pozwala na objęcie reżimem przepisów aktu również firmy, które nie mają swoich oddziałów na terenie UE, ale ich usługi czy produkty są oferowane osobom przebywającym w Unii. Niewątpliwie usługi proponowane klientom przez POLVIET są skierowane bezpośrednio do obywateli RP, więc takie działanie powinno podlegać przepisom unijnym w zakresie ochrony danych osobowych. Powinnością firmy powinno być więc zgłoszenie, bez zbędnej zwłoki, wycieku do Urzędu Ochrony Danych Osobowych (artykuł 33 RODO). Nie ulega też wątpliwości, że w tym przypadku istnieje obowiązek poinformowania osób, których dane zostały naruszone. Jak przytaczaliśmy powyżej, wyciek obejmował m.in. wizerunek, PESEL, podpis. Naruszenie takich danych może więc prowadzić do wysokiego ryzyka naruszenia praw i wolności osób fizycznych, co zgodnie z RODO (artykuł 34) jest przesłanką notyfikacji.