Wyciekło kilka tysięcy CV. Giodo zapowiedział kontrolę u administratora danych (Pekao SA) oraz firmie marketingowej, która akcję przygotowała. Rzecznik banku zagroził postępowaniem karnym wszystkim osobom, które oglądały CV bezprawnie umieszczone w sieci przez bank i jego kooperanta. Więcej stanu faktycznego, linków u niezawodnego VAGLI.
Jakie jest moje zdanie ?
Jeśli udostępnienie danych nie było spowodowane atakiem hakerskim (a takie pojawiły się pogłoski), to administrator danych (bank) powinien ponieść surowe konsekwencje, włącznie z karnymi. Jest to tak poważna wpadka, że jakieś sankcje muszą zostać nałożone, w przeciwnym razie ochrona danych będzie fikcją. W żadnym wypadku rzecznik banku nie powienien nawet wspominać o odpowiedzialności osób zapoznających się z CV, to bank jest największym winowajcą i osoby odpowiedzialne za zabezpieczenie danych powinny zadbać o skuteczne ich zabezpieczenia.
Jakie jest moje zdanie ?
Jeśli udostępnienie danych nie było spowodowane atakiem hakerskim (a takie pojawiły się pogłoski), to administrator danych (bank) powinien ponieść surowe konsekwencje, włącznie z karnymi. Jest to tak poważna wpadka, że jakieś sankcje muszą zostać nałożone, w przeciwnym razie ochrona danych będzie fikcją. W żadnym wypadku rzecznik banku nie powienien nawet wspominać o odpowiedzialności osób zapoznających się z CV, to bank jest największym winowajcą i osoby odpowiedzialne za zabezpieczenie danych powinny zadbać o skuteczne ich zabezpieczenia.
Druga rzecz - urzędniczka GIODO wspomniała o wymogu formy pisemnej dla umowy o powierzenie danych osobowych, choć jest to pogląd wątpliwy w nauce prawa. Utrawalanie stanowiska o konieczności zawierania tego rodzaju umów na piśmie powoduje , że w 90% przypadków w branży internetowego marketingu/e-commerce będziemy mieli bezprawne przetwarzanie danych i narażenie się na odpowiedzialność karną.
Trzeci i ostatni komentarz z mojej strony dotyczy konieczności wprowadzenia cywilnoprawnych roszczeń i sposobu ich dochodzenia w postaci pozwu zbiorowego przez poszkodowanych z tytułu masowego naruszenia bezpieczeństwa danych. Wydaje mi się, że te kilka tysięcy osób powinno mieć możliwość wspólnego dochodzenia roszczeń od banku. Nie podoba mi się model istniejący oraz proponowany, w którym idzie nowelizacja ustawy o ochronie danych osobowych . W noweli proponuje się nałożenie sankcji administracyjno prawnych na podmiot uchylający się od implementacji zaleceń pokontrolnych GIODO. Nikomu to nic nie da w przypadku takich wpadek (tak samo jak nie zmniejszyła się liczba jeżdżących po pijanemu po zaostrzeniu kar) natomiast umożliwi wzbogacanie skarbu państwa w drodze kolejnych kar i grzywien.
Trzeci i ostatni komentarz z mojej strony dotyczy konieczności wprowadzenia cywilnoprawnych roszczeń i sposobu ich dochodzenia w postaci pozwu zbiorowego przez poszkodowanych z tytułu masowego naruszenia bezpieczeństwa danych. Wydaje mi się, że te kilka tysięcy osób powinno mieć możliwość wspólnego dochodzenia roszczeń od banku. Nie podoba mi się model istniejący oraz proponowany, w którym idzie nowelizacja ustawy o ochronie danych osobowych . W noweli proponuje się nałożenie sankcji administracyjno prawnych na podmiot uchylający się od implementacji zaleceń pokontrolnych GIODO. Nikomu to nic nie da w przypadku takich wpadek (tak samo jak nie zmniejszyła się liczba jeżdżących po pijanemu po zaostrzeniu kar) natomiast umożliwi wzbogacanie skarbu państwa w drodze kolejnych kar i grzywien.
2 komentarze:
Pomijając kwestię zasadności stanowiska GIODO w zakresie stosowania formy pisemnej przy powierzaniu (podważanego najczęściej na podstawie KC) to właśnie na przykładzie PKO widać, że brak formy pisemnej może zaboleć.
Argument o e-commerce jest chyba mało przekonujący. Jeżeli firma hostingowa nie chce podpisać umowy o powierzenie, to trzeba znaleźć taką, która zechce. Zapewne będzie to więcej kosztowało ale zapewniam, że to da się zrobić. Do tego na pewno się opłaci, czego najlepszym dowodem jest sprawa PKO (nie podpisali, to teraz będą dowodzić... a winny wycieku musi się znaleźć). Niechęć do stosowania formy pisemnej ze strony hostingodawcy jest conajmniej podejrzana - albo ma słabe zabezpieczenia, albo to "firma Kogucik". W obu przypadkach lepiej poszukać innego usługodawcy, który z ochrony danych zrobi dochodowy interes, w dodatku z korzyścią dla wszystkich :)
Pozdrawiam,
ML
To może zaproszę największe firmy hostingowe,aby pochwaliły się swoją polityką w zakresie zawierania takich umów ? Ciekawe czy jedna by się taka znalazła.
Jeśli zatem chce Pan bronić tej tezy proszę o konkretne przykłady firm hostingowych deklarujących zawieranie pisemnych umów o powierzenie danych.
This is a real life...
Prześlij komentarz