Mamy nowe informacje w sprawie ujawnionego przez „PB” w grudniu 2013 r. wielkiego wycieku danych osobowych klientów Orange Polska. Generalny inspektor ochrony danych osobowych (GIODO) podjął już decyzję o wszczęciu kontroli w tej sprawie. Wyjaśniać będzie nie tylko, dlaczego doszło do naruszenia danych osobowych abonentów operatora, ale też, czy podjął on odpowiednią procedurę prawną w tej sprawie.
Orange zawiadomił GIODO o kradzieży 14 grudnia 2013 r., tuż po tym, jak policja udaremniła transakcję sprzedaży danych 135 tys. abonentów operatora i zatrzymała trzy osoby zamieszane w sprawę. Tymczasem, jak ujawniliśmy w „PB”, dane (imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy tradycyjne i e-mail) było można kupić w internecie już od kilku miesięcy.
— Sama wiedza, że ktoś oferuje bazę danych, nie stanowi podstawy zgłoszenia do GIODO. Dopiero zatrzymanie i przesłuchanie sprawców pozwoliło na potwierdzenie, że rzeczywiście chodziło o dane klientów Orange — tłumaczy Wojciech Jabczyński, rzecznik Orange.
Outsourcing danych
Firma nie zawiadomiła o sprawie klientów (jest taki obowiązek, gdy naruszenie danych może mieć niekorzystny wpływ na ich prawa), bo do skutecznej transakcji sprzedaży bazy danych nie doszło. Podobnie na razie twierdzi łódzka prokuratura, prowadząca śledztwo w tej sprawie, choć zastrzega, że „postępowanie dowodowe jest w toku”. Dodaje też, że choć śledztwo wszczęto w sprawie kradzieży danych, to „czynione są także ustalenia pod kątem prawidłowości zabezpieczenia danych osobowych przez Orange”. Co na to operator?
— Działania policji są absolutnie zrozumiałe i rutynowe, współpracujemy z nią w tej sprawie. GIODO ma zawsze prawo skontrolowania zgodności przetwarzania danych osobowych z wymogami prawa — komentuje Wojciech Jabczyński.
GIODO i prokuratura muszą m.in. odpowiedzieć na pytanie, jak to możliwe, że pracownik firmy outsourcingowej miał możliwość hurtowego eksportu danych osobowych. Orange zapewnia, że stosuje wiele surowych procedur bezpieczeństwa, a ten przypadek był niczyminnym jak pojedynczym przypadkiem złodziejstwa.
Konkurencja w tle
Tymczasem z informacji „PB” wynika, że Marcin P., główny podejrzany w sprawie, pracuje dla jednego z bezpośrednich konkurentów Orange. Czy jest możliwe, że dane abonentów trafiły do tego operatora? Marcin P., do którego dotarliśmy, nie chciał z nami rozmawiać. Prokuratura nie wyklucza takiego scenariusza, choć zaznacza, że na razie brak na to dowodów.
— Kwestia relacji Marcina P. z innymi operatorami jest w kręgu naszych zainteresowań — informuje Krzysztof Kopania, rzecznik Prokuratury Okręgowej w Łodzi. Wszyscy trzej zatrzymani mężczyźni przyznali się do kradzieży danych i wnioskowali o dobrowolne poddanie się karze.
— Deklaracje miały jednak charakter ogólny i na razie nie były przedmiotem szczegółowych uzgodnień czy akceptacji z naszej strony — mówi Krzysztof Kopania. [DTK]
Roczny wyciek
Obowiązek zgłaszania przez operatorów telekomunikacyjnych wycieku danych generalnemu inspektorowi ochrony danych osobowych został na nich nałożony stosunkowo niedawno, bo w marcu 2013 r. Od tego momentu zgłoszono do niego ponad 150 tego typu spraw. Jednym z największych i najgłośniejszych był wyciek danych aż 400 tys. abonentów notowanego na GPW Hyperiona.
GIODO i prokuratura muszą m.in. odpowiedzieć na pytanie, jak to możliwe, że pracownik firmy outsourcingowej miał możliwość hurtowego eksportu danych osobowych.