Brytyjska gazeta The Gaurdian poinformowała dziś o bardzo ciekawym wycieku danych. Dotyczył on danych polityków, którzy brali udział w szczycie G20, m.in. prezydenta USA Baracka Obamy, prezydenta Rosji Władimira Putina, niemieckiej kanclerz Angeli Merkel, brytyjskiego premiera Davida Camerona, przewodniczącego Chińskiej Repugliki Ludowej Xi Jinpinga, japońskiego premiera Shinzo Abe i innych. W sumie wyciek dotyczył 31 osób i miał miejsce na początku listopada ubiegłego roku.

Urzędnik nie patrzył, gdzie wysyła

Jak doszło do wycieku? Otóż pewien pracownik australijskiego urzędu ds. imigracji skorzystał z autouzupełniania adresu w czasie wysyłania e-maila za pomocą programu Microsoft Outlook. Niestety ten pracownik nie zauważył, że autouzupełnianie zaproponowało adres osoby, która nie powinna tego e-maila otrzymać. W efekcie dane dotyczące światowych przywódców omyłkowo poszły do organizatorów mistrzostw Azji w piłce nożnej.

Dane ujawnione w wyniku tego "wycieku" to m.in. nazwiska, narodowości i daty urodzeń, co w przypadku znanych polityków nie wydaje się szczególną tajemnicą. Gorzej, że ujawniono także numery paszportów i dane wizowe. Nie wiadomo nic o tym, aby te dane weszły w posiadanie innych osób niż odbiorcy. Niemniej fakt zaistnienia takiego wycieku może niepokoić. 

Nie mówmy o wycieku... bo i po co?

Jak Guardian się o tym dowiedział? Otóż gazeta dotarła do treści e-maila, jaki został już po wycieku wysłany do australijskiego komisarza ds. prywatności. Nadawcą tego e-maila był przedstawiciel urzędu imigracyjnego, który zawiadamiał o wycieku.

Co ciekawe, przedstawiciel urzędu imigracyjnego doradzał, by nie informować światowych przywódców o wycieku. Przecież wyciek nie wydawał się bardzo ryzykowny i podjęto akcje mające na celu ograniczenie dalszej dystrybucji ujawnionych danych. Nie wiadomo, czy politycy będący "ofiarami wycieku" dowiedzieli się o tej sprawie (zob. The Guardian, Personal details of world leaders accidentally revealed by G20 organisers).

W tej sprawie jest kilka ciekawych rzeczy. Po pierwsze, doszło do poważnego wycieku. Nawet jeśli dane nie poszły daleko i nie mogły posłużyć do oszustw, to charakter wycieku jest poważny. Chodzi przecież o ujawnienie danych dotyczących ważnych polityków zagranicznych goszczących w Australii. Jeśli już dochodzi do takiej pomyłki, to kwestia ujawnienia informacji o wycieku powinna mieć charakter przynajmniej honorowy. Urzędnicy powinni mieć odwagę przyznania się do błędu. Jeśli światowi przywódcy dowiedzą się o wycieku z gazet, będzie to poważna gafa.

Po drugie, wyciek wyszedł na jaw akurat w momencie przyjęcia w Australii kontrowersyjnych przepisów w zakresie tzw. retencji danych. Już wcześniej mówiono, że w tych przepisach brakuje pewnych zabezpieczeń. Teraz przeciwnicy tych przepisów mają gotowy argument: skoro urzędnicy potrafią robić takie błędy i nie chcą się przyznać, jak można im zaufać?

Wycieki i prawo do informacji

W tym kontekście warto zwrócić uwagę na generalny problem, jakim jest informowanie o wyciekach danych osobowych. Obrońcy prywatności mówią, że instytucje i firmy powinny informować zainteresowanych o każdym wycieku. Nie powinno być chowania głowy w piasek i liczenia na to, że może się nie wyda. Zawsze może się wydać!

Teraz spójrzmy na to, co dzieje się z reformą ochrony danych w UE. Ta reforma miała zmusić firmy do informowania o wyciekach, ale teraz Rada UE chce, aby firmy informowały użytkowników tylko o wyciekach uznanych za szczególnie ryzykowne. Pytanie brzmi, czy instytucje lub firmy naprawdę są kompetentne do oceniania ryzykowności wycieku? Najlepiej byłoby, aby ludzie wiedzieli o każdym wycieku i wówczas mogliby sami ocenić ryzyko dla siebie. 

A może ten wyciek da do myślenia europejskim politykom?