Dane o przeszło 11 tys. osób i firm

fot. DI - Dane nieruchomości znalezione na stronie Biedronki

Redakcja DI sprawdziła informacje przekazane przez Czytelnika. Faktycznie, wpisując odpowiedni - bardzo łatwy do skojarzenia z panelem administracyjnym - adres URL, otrzymywaliśmy dostęp do niezabezpieczonych danych. Jedynym "zabezpieczeniem" było to, że adres ten nie był podany publicznie na stronach Biedronki. Mogliśmy tam znaleźć informacje dotyczące niespełna 6000 dostawców Biedronki (branża, dane kontaktowe, liczbę pracowników oraz obroty w latach 2000, 2001, 2002).

fot. DI - Wyszukiwarka nieruchomości

Brak informacji od Biedronki

fot. - Szczegółowe dane działki

Rzecznik Biedronki potwierdził, że otrzymał e-mail. W trakcie rozmowy telefonicznej Dziennik Internautów poinformował przedstawiciela sieci sklepów o wrażliwych danych mnóstwa osób, jakie można znaleźć - zupełnie niezabezpieczone - na serwerze Biedronki. Niestety nasz rozmówca nie wykazał zainteresowania szybkim rozwiązaniem opisywanej sprawy. DI otrzymał od niego jedynie numer telefonu osoby, pod który pomimo kilkunastu prób nie udało nam się tego dnia dodzwonić.

Dostęp do panelu administracyjnego z danymi obecnych i potencjalnych kontrahentów tej firmy został zablokowany dopiero dziś, ok. godziny 14.50.

fot. DI - Przykładowe dane dostawcy

Dziennik Internautów wykonał kilka telefonów do przypadkowo wybranych osób, których dane znaleźliśmy na serwerze Biedronki. Odnieśliśmy wrażenie, że rozmówcy nie przejęli się zbytnio informacjami uzyskanymi od redakcji DI, że ich dane osobowe i kontaktowe oraz informacje majątkowe znajdowały się niezabezpieczone w serwisie sieci sklepów. Przyznali, że nie wiedzieli nic o zaistniałej sytuacji.

Z rozmów telefonicznych wynika, że osoby znajdujące się na wspomnianej liście danych raczej nie czują się poszkodowane przez Biedronkę. Jeden z rozmówców spytany czy czuje się pokrzywdzony mówi: "Tak bardzo to chyba nie. Liczę się z tym, że podaję te informacje, nie są jakieś utajnione."

Drugi rozmówca, którego dane znajdowały się na serwerze, stwierdził jedynie: "Nie jestem szczęśliwy z tego powodu, chociaż te dane (działki - przyp. red.) są ogólnodostępne. Ale z tego, co wiem, nie wyrażałem na to (ich udostępnienie - przyp. red.) zgody. Nie poniosłem jeszcze żadnej krzywdy z tego tytułu, ale nie jest to coś, czego bym się spodziewał i czego bym sobie życzył". Niektórzy z rozmówców zadeklarowali, że skontaktują się w tej sprawie z Biedronką w celu wyjaśnienia sytuacji.

Prawdopodobne uchybienia w zabezpieczeniach danych

Dziennik Internautów poprosił o opinię w opisywanej sprawie prawnika - Marcina Błaszyka z kancelarii Urowska i Wspólnicy/SLC, współautora bloga blaszyk-jarosinski.pl.

Marcin Błaszyk tłumaczy, że zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator tych danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zaś powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym.

Co istotne, zdaniem Błaszyka, "Fakt, iż jakakolwiek osoba, która nie posiada odpowiedniego upoważnienia, uzyskała dostęp do danych, świadczy o nie zastosowaniu przez administratora odpowiednich zabezpieczeń, które powinny być na tyle skuteczne, by zapewniały ochronę danych". Po czym dodaje:

Administrator ma również obowiązek prowadzenia stosownej dokumentacji, w której określa, jakimi środkami zabezpiecza dostęp do danych. W polityce bezpieczeństwa stanowiącej element tej dokumentacji, powinien określić między innymi zastosowane środki, które mają na celu zapewnienie poufności danych.

Dostęp do danych musi być chroniony

Marcin Błaszyk ponadto dodaje, że w ww. ustawie wprowadzono poziomy bezpieczeństwa danych osobowych i określono środki techniczne, jakie należy zachować dla odpowiednich poziomów:

W sytuacji, gdy co najmniej jedno urządzenie służące do przetwarzania danych jest połączone z siecią publiczną, a z taką sytuacją mamy najprawdopodobniej do czynienia, stosuje się wysoki poziom zabezpieczeń. Już najniższy poziom wymaga jednak kontroli dostępu poprzez system logowania przy użyciu unikalnych loginów i haseł.

Można więc przypuszczać, że w opisywanej sprawie nie zastosowano wymaganych zabezpieczeń.

Co ważne, osoba, której dane zostały udostępnione osobom nieupoważnionym, mogłaby domagać się od Biedronki, jako administratora danych, odszkodowania lub zadośćuczynienia za doznaną krzywdę na drodze postępowania cywilnego.

OPINIA GIODO

Dziennik Internautów skontaktował się również z biurem prasowym Generalnego Inspektora Danych Osobowych. Rzeczniczka GIODO poinformowała redakcję Dziennika Internautów, że Jeronimo Marins Dystrybucja S.A. z siedzibą w Kostrzynie właściciel sklepów sieci Biedronka, nadesłała do rejestracji następujące zgłoszenia zbiorów danych osobowych:

• „JDM – BAZA MARKETINGOWA” (zgłoszenie do rejestracji nr R 002289/00),
• „ZBIÓR REKRUTACYJNY JDM” (zgłoszenie do rejestracji nr R 000601/01),
• „OBDAROWANI” (zgłoszenie do rejestracji nr R 003244/08),
• „KLIENCI” (zgłoszenie do rejestracji nr R 003242/08, księga rejestrowa nr 076684),
• „KIEROWCY” (zgłoszenie do rejestracji nr R 003244/08).

Postępowania w sprawie zbiorów o nazwach „JDM – BAZA MARKETINGOWA” i „ZBIÓR REKRUTACYJNY JDM” zakończone zostały wydaniem decyzji o odmowie rejestracji zbioru oraz umorzeniu postępowania. Postępowanie dotyczące zbioru danych o nazwie „KLIENCI” zakończone zostało wpisem tego zbioru do rejestru zbiorów danych osobowych, natomiast postępowania w sprawie zbiorów o nazwach „OBDAROWANI” oraz „KIEROWCY” nadal pozostają w toku.

Ponadto GIODO poinformował, że zgodnie z ustawą o ochronie danych osobowych, każdy administrator przetwarzający dane osobowe powinien legitymować się jedną z przesłanek legalizujących przetwarzanie danych (art. 23 ust. 1 ustawy), np. zgodą osoby, której dane dotyczą, oraz obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zamianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy).

Drastyczny wzrost wycieków danych

Na przestrzeni ostatnich miesięcy, a nawet dni dochodziło do wycieku ważnych danych. Przypomnijmy chociażby głośną sprawę z lipca 2008 roku, kiedy to z serwera banku Pekao S.A. wyciekły dane z ponad tysiąca CV. Pomimo nagłośnienia sprawy i dużego rozpowszechnienia danych tydzień po nastąpieniu wycieku część poszkodowanych w ogóle o nim nie wiedziała.

Natomiast wczoraj, 23 kwietnia 2009 r., Dziennik Internautów informował o wycieku terabajtów danych dotyczących nowego amerykańskiego myśliwca. Skopiowano m.in. dane dotyczące projektu maszyny oraz informacje o jej systemach elektronicznych.

Powyższe sytuacje to tylko przykłady. Warto nadmienić, iż zgodnie z danymi opublikowanymi przez DI w lutym 2009 r. doszło do drastycznego wzrostu wycieków danych. Mając to na względzie, warto zadbać o odpowiednie bezpieczeństwo danych.