Będzie więcej ataków takich, jak na Sony

Michał Sztąberek, prawnik i audytor, partner zarządzający, iSecure

Tak naprawdę ciężko jest sprawdzić, czy z danej firmy wyciekły dane osobowe. Najczęściej informacje o wycieku ogłasza albo sama firma, albo dowiadujemy się o tym z mediów. Jeżeli firma przykłada wagę do kwestii związanych z prywatnością, to dobrą praktyką byłoby niewątpliwie poinformowanie osób, których dane wyciekły o takim fakcie, a także wskazaniu, co taka osoba powinna zrobić np. zmienić hasło dostępowe, zastrzec kartę kredytową etc.

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Szczegóły w tym zakresie można znaleźć na stronie GIODO.
Ponadto, jeżeli będziemy w stanie wykazać, że wyciek danych przełożył się na naruszenie naszych dóbr osobistych, istnieje możliwość dochodzenia odszkodowania na drodze cywilnoprawnej.

Z punktu widzenia internauty ciężko obronić się przed wyciekiem danych osobowych. Kwestie związane z bezpieczeństwem danych to domena firmy, która te dane pozyskiwała (jest w stosunku do nich administratorem danych). Na pewno jednak można stosować się do jednej prostej zasady – stosować różne hasła do różnych serwisów www, gdzie tworzymy sobie profil lub zakładamy konto. Hasło takie nie powinno być łatwe do złamania, dobrze by było, żeby składało się ono z min. 8 znaków (kombinacja wielkich i małych liter, znaków specjalnych lub cyfr).

Sebastian Łuczak, właściciel, Łuczak PR

Wydaje się - i jest to bardzo zaskakujące - że Sony nie było dobrze przygotowane na tego typu ewentualność. A jest to przecież w sumie mało zaskakujące zdarzenie. W tym sensie, że należy do grupy kilku podstawowych potencjalnych kryzysów, które mogą dotknąć tego typu firmę.

Porządnie zarządzana organizacja powinna więc mieć na to przygotowaną procedurę - nie tylko schemat zachowania i reakcji, ale także komunikacji. A wydaje się (powtarzam, że wydaje, bo przecież nie wiemy na pewno), że Sony nie było komunikacyjnie przygotowane: za duże opóźnienia, wpadki typu tłumaczenie automatyczne - czyli na chybcika robione, a nie wcześniej przygotowane, bardzo mała interakcja z osobami dotkniętymi problemem lub zainteresowanymi głębiej tematem.

To są symptomy działania w panice i bez wcześniejszego przygotowania. To banalne dosyć stwierdzenie, ale naprawdę kluczową sprawą dla łagodnego przejścia kryzysu jest przygotowanie się do niego wcześniej, kiedy jest czas, można wszystko przemyśleć, dopieścić itd. I w razie czego "wyciągnąć z pudełka". Działanie na bieżąco, w nerwach, pod presją i przy dramatycznym braku czasu prawie nigdy nie jest wystarczająco skuteczne.