Jak wynika ze statystyk Urzędu Ochrony Danych Osobowych, liczba zgłaszanych naruszeń ochrony danych osobowych w ostatnich latach rośnie. W 2022 r. do UODO zgłoszono niemal 13 tys. takich przypadków, podczas gdy dwa lata wcześniej było ich 7,5 tys. Rzeczywista skala zagrożenia bezpieczeństwa danych osobowych jest jednak znacznie wyższa.
– Wiele osób może nie być świadomych tego, że ich dane osobowe trafiły w niepowołane ręce. Zwłaszcza, jeśli chodzi o te zgromadzone w różnych instytucjach czy firmach, nad którymi nie mamy kontroli. Możemy nawet nie pamiętać, że udostępnialiśmy je jakiemuś podmiotowi, więc informacja o wycieku z jego baz danych nas nie zaalarmuje. Dodatkowo część z nas ignoruje taki fakt, bo sądzi, że i tak nie może w tej sytuacji nic zrobić. A właśnie na to liczą przestępcy. Korzystają z naszej niewiedzy i nieostrożności, ale też poczucia braku odpowiedzialności za bezpieczeństwo swoich danych. Wyniki naszego badania pokazują, że mało kto sądzi, iż sam powinien o nie zadbać – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Według badania „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” 1/4 Polaków sądzi, że potrafi wskazać, kto powinien zająć się neutralizacją negatywnych skutków wycieku wrażliwych danych. 37 proc. nie ma o tym pojęcia, a drugie tyle nie ma na ten temat zdania. Respondenci, zapytani o konkrety, w większości wskazują na podmiot, który jest odpowiedzialny za taką sytuację oraz policję i prokuraturę. Tak sądzi 2/3 z nich. Często wymieniają też inspektorów ochrony danych i UODO. Najrzadziej wskazują na osoby, których dane zostały upublicznione. Wyniki te pokazują, że wciąż nie doceniamy własnej roli w procesie chronienia swoich danych osobowych.
Chcemy wiedzieć, że doszło do wycieku, ale nie jak zneutralizować jego skutki
Od podmiotów odpowiedzialnych za wyciek danych oczekujemy przede wszystkim informacji o tym, że do takiej sytuacji doszło, jakie dane trafiły w niepowołane ręce (po 63,5 proc. wskazań) oraz wdrożenia działań zmniejszających ryzyko wystąpienia podobnych zdarzeń w przyszłości (60,2 proc.). W mniejszym stopniu interesują nas informacje do kogo nasze dane trafiły (54,8 proc.), jakie są możliwe skutki takiego wycieku (49,5 proc.) oraz rekomendacje działań, które powinniśmy sami podjąć, żeby jego konsekwencje były dla nas jak najmniej negatywne (45,4 proc.).
– To niestety ilustracja częstej postawy, że „to nie nasz kłopot”, niech się martwi ten, kto zawinił. To oczywiście racja, że podmiot odpowiedzialny za brak należytej ochrony naszych danych powinien zrobić wszystko, żebyśmy przez to nie ucierpieli. Stąd zasadne są oczekiwania ponad połowy ankietowanych, że od takiej firmy bądź instytucji uzyskają wsparcie prawne czy pokrycie kosztów konsekwencji wycieku. Ale to nam komornik potem zajmie konto, jeśli ktoś na przykład założy na nasze dane fikcyjną firmę i wyłudzi z hurtowni towar za kilka milionów złotych. Po kilku latach procesu w końcu się wybronimy, ale stresu nikt nam nie zrekompensuje. Lepiej więc monitorować na bieżąco, czy ktoś nie używa naszego PESEL-u i reagować natychmiast, gdy zostaniemy o tym ostrzeżeni – dodaje Bartłomiej Drozd.
Na szczęście tylko co 3. ankietowany oczekuje w takiej sytuacji rabatu na usługi firmy, z której doszło do wycieku. To świadczy o tym, że coraz większa grupa Polaków rozumie, że ich dane to nie towar, którym można handlować i rozumie, że konsekwencje wycieku danych mogą mieć dla nich poważne skutki.
– Ogólne rozporządzenie o ochronie danych, czyli RODO, zapewnia właściwy balans pomiędzy prawami przedsiębiorców, administratorów a prawami osób, których dane dotyczą. Administratorzy muszą gwarantować ochronę przetwarzanych przez siebie danych osobowych oraz legitymować się podstawą do ich przetwarzania. RODO kładzie także nacisk na transparentność przetwarzania danych, czego wyrazem jest między innymi rozbudowanie obowiązku informacyjnego, dzięki któremu wiemy, kto i na jakiej podstawie przetwarza nasze dane. Z kolei w sytuacji, kiedy dochodzi do naruszenia ochrony danych, przykładowo w postaci wycieku, i zarazem istnieje wysokie ryzyko dla praw i wolności osoby, której dane dotyczą wynikające z naruszenia, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę o incydencie w sposób jasny i używając prostego języka. To bardzo ważne, ponieważ takie informacje umożliwią tej osobie podjęcie niezbędnych działań zapobiegawczych – zaznacza Adam Sanocki, dyrektor Departamentu Komunikacji Społecznej oraz rzecznik prasowy UODO.
W deklaracjach wypadamy nieźle
Kroki naprawcze, które powinny podjąć podmioty po naruszeniu ochrony danych osobowych, to jedno. Drugie, to nasze własne działania. Wbrew opinii wyrażonej przez badanych, osoby, których dane dotyczą, również powinni aktywnie zadbać o to, aby uchronić się przed konsekwencjami kradzieży tożsamości.
Większość Polaków na pytanie „Jakie działania podejmujesz, aby zapewnić bezpieczeństwo swoim danym osobowym?” wskazuje przede wszystkim na ostrożność w podawaniu innym numeru PESEL (94 proc.), nie klika w linki z SMS-ów czy e-maili, nie otwiera wiadomości e-mailowych niewiadomego pochodzenia oraz zawsze niszczy dokumenty zawierające dane osobowe przed ich wyrzuceniem (po ok. 92 proc). Gorzej wypadamy, jeśli chodzi o bezpieczeństwo w sieci. Zainstalowany program antywirusowy na komputerze, laptopie lub tablecie ma 85 proc. osób. Na smartfonie używa go już niecałe 3/4 z nas. Podobny odsetek deklaruje, że nie powtarza tego samego hasła do logowania w różnych miejscach. Dodatkowo, prawie 70 proc. zawsze sprawdza, czy dane osobowe przekazywane firmom lub instytucjom mogą zostać dostarczone także ich biznesowym partnerom.
Rzecznik prasowy UODO zwraca uwagę, że odpowiednio chroniąc swoje dane osobowe, możemy ograniczyć ryzyko ich wykorzystania przez osoby do tego nieuprawnione.
– Pamiętajmy, aby zachować czujność podczas podawania danych przez Internet. Cieszy nas fakt, że działania edukacyjne przynoszą skutek i Polacy są ostrożniejsi w podawaniu danych w postaci numeru PESEL czy też nie otwierają wiadomości i załączników nieznanego pochodzenia. To jednak tylko kilka podstawowych zasad, które powinniśmy stosować w życiu codziennym. W dobie nowych technologii, dostępnych urządzeń wykorzystujących sztuczną inteligencję, przestępcy stosują coraz nowsze sposoby na pozyskiwanie naszych danych osobowych. Co świadczy o tym, jak cenną walutę stanowią wszelkie informacje na nasz temat – dodaje Adam Sanocki.
Monitoruj własny PESEL
Bartłomiej Drozd zwraca jednak uwagę, że są to działania, które zabezpieczą nas przed ujawnieniem wrażliwych danych przez nas samych. Nie uchronią jednak przed negatywnymi skutkami wycieku danych z zasobów firm i instytucji, w których są już one zgromadzone. Tymczasem z takiego monitoringu własnego PESEL-u, który pozwala na błyskawiczną reakcję w razie jego wykorzystania przez przestępców, korzysta 42 proc. ankietowanych.
W badaniu serwisu ChronPESEL.pl i Krajowego Rejestru Długów niemal 33 proc. respondentów przyznało, że w ciągu ostatnich 12 miesięcy spotkało się z próbą wyłudzenia ich danych przez fałszywy telefon, sms lub e-mail. 1/4 osób pamiętała też, że takiej sytuacji doświadczył ich znajomy bądź członek rodziny. 12,4 proc. badanych przyznało, że oszustom udało się wyłudzić takim sposobem ich dane. Dla podobnego odsetka osób (13,7 proc.) ofiarą był ktoś bliski. Kolejne 13,1 proc. Polaków mierzyło się z wyciekiem danych z prywatnych firm (7,5 proc.) i instytucji publicznych (5,6 proc.). Podobnie wskazywali w odniesieniu do swoich rodzin i znajomych. Niemal 6 proc. badanych doświadczyło też kradzieży danych w wyniku włamania na komputer lub telefon. 7,5 proc. wskazało, że przytrafiło się to osobie z jej otoczenia.
Badanie „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” zostało przeprowadzone w maju 2023 r. przez IMAS International na reprezentatywnej próbie 1007 Polaków na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów Biura Informacji Gospodarczej pod patronatem Urzędu Ochrony Danych Osobowych oraz Instytutu Prawa Ochrony Danych Osobowych.