Opisywana sprawa wyszła na jaw w sobotę 12. lipca. Jak twierdzi bank, "w skutek działania hakerskiego", katalog z CV i listami motywacyjnymi osób aplikujących w ramach programu www.zainwestujwprzyszlosc.pl (strona ponownie działa) był dostępny publicznie.

Dzięki szybkiej interwencji banku pliki zostały usunięte, jednak to nie wyeliminowało ich dalszego obiegu w sieci. Przez kilka dni całość była dostępna w pamięci cache wyszukiwarki Google oraz w serwisie plików torrent The Pirate Bay.

Istotny jest fakt, iż w kilka dni od nagłośnienia wycieku spora część poszkodowanych wciąż nie była świadoma, że opisywana sytuacja ich dotyczy.

Wkrótce po ujawnieniu sprawy przez media kontrolę w banku oraz firmach współpracujących wszczął Generalny Inspektor Ochrony Danych Osobowych. Wczoraj, na swoich stronach GIODO poinformował o wynikach kontroli w komunikacie, który cytujemy poniżej:

Zakończona kontrola GIODO w Banku Pekao S.A. i współpracujących z Bankiem instytucjach potwierdziła doniesienia prasowe, zgodnie z którymi wyciek danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone (podkreślenie redakcji).

Wyciek dotyczył bowiem danych osobowych osób, które starały się o pracę w Banku. Oprócz Banku Pekao S.A. kontroli poddane zostały również firmy, które z nim współpracowały. Jej wyniki wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie. Wobec powyższego GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.

Jak donosi alert24.pl, jednak to nie GIODO zawiadomił prokuraturę, tylko bank Pekao S.A. - śledztwo ma ustalić "kto i w jaki sposób włamał się na stronę zainwestujwprzyszlosc.pl". Sprawa dotycząca artykułów 49. i 50. Ustawy o ochronie danych osobowych trafiła do prokuratury ze Szczecina, bowiem tam znajduje się siedziba firmy home.pl, na której serwerach utrzymywany jest wspomniany serwis i z której serwerów nastąpił wyciek. Przedstawiciel Pekao S.A. poinformował także, że bank prowadzi swoje wewnętrzne śledztwo, które ma pomóc ustalić, dlaczego wspomniane informacje były dostępne w sieci.

Poprosiliśmy przedstawicieli home.pl o komentarz w sprawie prowadzonego śledztwa. Marcin Kuśmierz, Dyrektor Zarządzający home.pl wyjaśnił Dziennikowi Internautów, że firma nie posiada w obecnej chwili żadnych oficjalnych informacji o toczącym się postępowaniu prokuratury w tej sprawie.

Przedstawiciel firmy home.pl zapewnił ponadto, że:

platforma hostingowa home.pl była i jest bezpieczna. Nie możemy brać jednak odpowiedzialności za poprawne funkcjonowanie i bezpieczeństwo oprogramowania instalowanego na serwerach wirtualnych przez ich użytkowników. W tym przypadku prawdopodobnie nie została zachowana należyta staranność i procedury ze strony wykonawcy serwisu internetowego lub banku. Nie jesteśmy upoważnieni do wskazywania kto jest tej sytuacji winny - na pewno nie jest to home.pl, bo włamanie na platformę hostingową nie miało miejsca.

Skontaktowaliśmy się również z GIODO prosząc o informacje, jakich nieprawidłowości Inspektor dopatrzył się w home.pl podczas kontroli.

"Ponieważ sprawą zajmują się organy ścigania, nie możemy udzielać dodatkowych informacji poza tymi, zawartymi w ww. oświadczeniu" - wyjaśniła Dziennikowi Internautów pani Małgorzata Kałużyńska - Jasak z GIODO.