Waldemar Nowak wpisał w Google imię i nazwisko jednego z kontrahentów swojej firmy, wśród wyników wyszukiwania natrafił na link do pliku XLS zawierającego poufne dane 1027 firm - dłużników PKO BP. Mężczyzna poinformował bank o swoim odkryciu. Jego przedstawiciele najpierw zbagatelizowali sprawę, a słysząc pytanie o ewentualną nagrodę... powiadomili prokuraturę, oskarżając Nowaka o złamanie zabezpieczeń i próbę szantażu.

Zaskutkowało to zarekwirowaniem jego sprzętu, m.in. komputerów, co nie pozostało bez wpływu na funkcjonowanie prowadzonej przez Nowaka firmy. Kilkumiesięczne postępowanie wykazało, że postawione mężczyźnie zarzuty są bezpodstawne. Prokuratura - mając na uwadze opinię biegłego oraz zebrane materiały dowodowe - umorzyła śledztwo. Nowak zamierza teraz ubiegać się o odszkodowanie za poniesione straty osobiste i materialne.

Najciekawsze w całej sprawie wydaje się tłumaczenie banku. Znalezione przez Nowaka dane przeznaczone były dla firm, którym PKO BP kilka lat wcześniej w ramach przetargu odsprzedał zadłużenie klientów. Ten plik został zabezpieczony w tak zwanym głębokim ukryciu, jak to mówią informatycy. Jak się okazało po czterech latach za pomocą wyszukiwarki można było do tego pliku dotrzeć. Udało się to jednej osobie - zapewnia w rozmowie z TVN24 Marek Ryczkowski, rzecznik banku.

Czy aby na pewno nikt więcej nie uzyskał dostępu do tych danych? Można mieć co do tego wątpliwości, skoro plik został zindeksowany przez Google. Wygląda na to, że "głębokie ukrycie" nie jest wystarczającym zabezpieczeniem dla poufnych informacji. Tymczasem ustawa o ochronie danych osobowych nakłada na administratorów takich danych obowiązek ich należytego zabezpieczenia.

Jak na łamach Dziennika Internautów tłumaczyła już Małgorzata Kałużyńska-Jasak, rzeczniczka Generalnego Inspektora Ochrony Danych Osobowych, każdy administrator musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych - w szczególności należy zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem ustawy oraz zamianą, utratą, uszkodzeniem lub zniszczeniem.

Czy GIODO przyjrzy się zabezpieczeniom PKO BP? Nie wiadomo. Dziennik Internautów wysłał dziś rano do Generalnego Inspektora prośbę o komentarz w tej sprawie. Odpowiedzi jeszcze nie otrzymaliśmy. Bank zapewnia tymczasem, że zmienił już procedury przechowywania wrażliwych danych.

Podobną wpadkę zaliczył dwa lata temu Pekao S.A. - doszło wówczas do wycieku ponad 1000 CV zawierających dane osób aplikujących na praktyki, staże oraz inne stanowiska w tym banku. GIODO wziął wówczas pod lupę najpierw Pekao S.A., później także firmy współpracujące z bankiem przy serwisie WWW, z którego wyciekły dane.

Aktualizacja 12.05
Temat kontynuujemy w artykule pt. GIODO nie weźmie pod lupę "głęboko ukrytych" plików PKO BP.