Polska Agencja Antydopingowa (POLADA) padła ofiarą ataku hakerskiego, a hakerzy wspierani przez służby wrogiego państwa wykradli wrażliwe dane polskich sportowców, a następnie opublikowali je w sieci 6 sierpnia. Jak podaje portal „Zaufana Trzecia Strona” do wycieku danych doszło najprawdopodobniej w ostatnich dniach kwietnia 2024 r. i jest on jednym z najgorszych w historii polskiego Internetu.
Wykradzione z infrastruktury POLADA dane to nie tylko zwykłe dane, tj. imię czy nazwisko, ale także wiele rekordów danych szczególnie chronionych, jak wyniki badań antydopingowych, wyniki badań medycznych, czy dokumentacja śledztw prowadzonych przez Agencję.
POLADA o wycieku danych sportowców zawiadomiła dopiero po tym, gdy dane wypłynęły już w sieci, a sama treść komunikatu nie informowała, że hakerzy uzyskali dostęp także do danych wrażliwych tych osób, ograniczając się jedynie do podania imienia i nazwiska, adresu zamieszkania, numeru telefonu i adresu e-mail jako ujawnionych danych.
Uzasadnione wątpliwości budzi także poinformowanie o incydencie prawie 3,5 miesiąca po jego wystąpieniu, i to dopiero wskutek ujawnienia tych danych przez hakerów w publicznej sieci.
Zgodnie z RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Ponadto, w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Czas reakcji jest tu niezwykle ważny nie tylko z uwagi na działania naprawcze, które może podjąć administrator w celu poprawy bezpieczeństwa danych i zapobieganiu wystąpienia takich zdarzeń w przyszłości, ale też pozwala organowi nadzorczemu na właściwą reakcję, która może ograniczyć skutki naruszenia. Co jednak najważniejsze – daje możliwość osobie dotkniętej naruszeniem sprawnie zareagować i zabezpieczyć swoje dane przed ich nieuprawnionym wykorzystaniem przez osoby postronne, chociażby poprzez zastrzeżenie numeru PESEL czy zmianę danych do logowania do różnych narzędzi czy aplikacji. Takiej reakcji w tej sytuacji zabrakło.