Cyfrowe.pl, czyli jak "tania sensacja” może zmienić się w poważne straty finansowe [OPINIA]

W nocy z czwartku na piątek klienci sklepu Cyfrowe.pl otrzymali informację o wycieku ich danych z serwisu. Gdy opisaliśmy tę sprawę, prezes firmy Jarosław Banacki odparł, iż szukamy "taniej sensacji w postaci apokaliptycznej wizji". Wyjaśnię więc, co tak naprawdę się stało.

Ale na początek powtórka z RODO, czyli europejskiego rozporządzenia o ochronie danych osobowych, którego przepisy zaimplementowane są we wszystkich krajach Unii. Dane osobowe to m.in. wszystkie te dane, które wyciekły z Cyfrowe.pl (imię i nazwisko oraz adres mailowy, jeśli na jego podstawie da się zidentyfikować jego właściciela) oraz wszystkie te, które mogły wyciec (numer telefonu i adres dostawy, jeśli jest adresem zamieszkania).

Dlaczego te dane są chronione? Trzy najprostsze wyjaśnienia to:

• ponieważ ktoś może naruszyć naszą prywatność i bezpieczeństwo, mając informacje o tym, gdzie mieszkamy lub przebywamy;
• ponieważ ktoś może naruszyć nasze finanse, mając odpowiednie danie i np. wyłudzając na nie pieniądze od innych podmiotów (tzw. kradzież tożsamości);
• ponieważ dane osobowe zawierają dużo informacji o człowieku – dlatego to największe paliwo, „ropa XXI wieku” i dlatego Google czy Facebook opierają na nich swoje biznesy.

I wygląda na to, że prezes Jarosław Banacki chyba nawet o tym wie. Serwis Cyfrowe.pl deklaruje bowiem, że profilaktycznie zmienił wszystkim użytkownikom hasła, rozpoczął natychmiastowy audyt technologiczny i zabezpieczył ślady po włamywaczach.

Dlaczego zatem to zdarzenie nazywa w mailu "tanią sensacją"? Być może przyjął, że wszyscy użytkownicy serwisu maila o włamaniu przeczytali, więc media nie muszą już nikogo alarmować. A może boi się, by "tania sensacja" nie stała się dużym tematem.

Bo temat jest. Za złamanie przepisów RODO, jakim jest wyciek danych klientów, grożą konkretne kary. Ich maksymalna stawka to 20 milionów euro lub 4 proc. globalnych światowych obrotów. Cyfrowe.pl nie wygląda, jakby zarabiało 20 mln euro, więc takiej kary nie dostanie. W tym przypadku maksymalnym wymiarem byłoby te 4 proc. obrotów.

Nie znam obrotów Cyfrowe.pl, ale w przypadku kary tanio pewnie by nie było. A czy sensacyjnie? Nie, firmy dostają kary za łamanie RODO i słusznie. Nie ma zmiłuj w przypadku szastania danymi. Ledwie 3 tygodnie temu Urząd Ochrony Danych Osobowych nałożył karę 20 tys. zł na… jedną z podstawówek w Gdańsku. W stołówce szkolnej gromadziła ona bowiem odciski palców uczniów. Tak, to też są dane osobowe.

Zawsze są okoliczności łagodzące – np. jeśli to pierwszy przypadek wycieku z Cyfrowe.pl. Tego nie wiemy. Ale zawsze są i okoliczności obciążające – np. jeśli Cyfrowe.pl o wycieku poinformowało później niż 72 godziny od zorientowania się, że wyciek był. Tego też nie wiemy.

W cyfrowym świecie nie dostaniemy w policzek, ani nikt nie ukradnie nam smartfona. Możemy za to dostać mocno po kieszeni, a gdy ktoś skradnie naszą tożsamość, może z nas zrobić kogo, zechce – hejtera, złodzieja, pedofila, każdego.

Ale ignorancja nie popłaca. Kiedyś Jeremy Clarkson (wtedy prowadzący "Top Gear") zadrwił, mówiąc, że może podać swoje dane np. do ubezpieczenia zdrowotnego. I podał. Skończyło się to tym, że co tydzień z jego konta bankowego wylatywała konkretna kwota pieniędzy na zewnętrzny podmiot. Po tej sytuacji docenił wartość danych i możliwości nadużyć. Tyle że to było w 2008 roku. A dziś mamy 2020 i dalej trzeba tłumaczyć, dlaczego wyciek nie jest „tanią sensacją”, lecz poważnym problemem.