Co zrobić, jeśli wyciekły nasze dane osobowe?

Co zrobić, jeśli wyciekły nasze dane osobowe?

Jak pokazuje doświadczenie choćby ostatniego kwartału wyciekają dane podmiotów tak publicznych jak i prywatnych. Tylko w ostatnim czasie miał miejsce wycieki danych z podmiotów takich jak MoneyMan.pl (ok. 240 tyś rekordów), czy Krajowa Szkoła Sądownictwa i Prokuratury (50 tyś rekordów w tym dane sędziów i prokuratorów). Pokazuje to, że taka sytuacja może dotknąć każdego z nas. Jak postępować w takich sytuacjach? Jakie kroki należy podjąć? Zapraszam do lektury.

W niniejszym artykule bazując na doświadczeniu, zdobytym m.in. w toku spraw, które przewinęły się przez naszą kancelarię postaram się możliwie dość syntetycznie przedstawić schemat postępowania w sytuacji, gdy stajemy się ofiarą wycieku danych osobowych od dowolnego administratora. Oczywiście zastrzec należy, że każda sytuacja jest inna i pewne kwestie mogą przebiegać odmiennie w zależności od konkretnej sprawy mam jednak nadzieję, że informacje zawarte w niniejszym tekście pozwolą czytelnikowi, który znalazł się w takiej sytuacji maksymalnie zabezpieczyć swój interes prawny.

Naruszenie ochrony danych

Wszystko zaczyna się od naruszenia ochrony danych. Jeśli do naruszenia doszło w przestrzeni informatycznej to sprowadza się ono zazwyczaj do wycieku lub utraty określonej bazy danych zawierającej np. dane osobowe użytkowników. Oczywiście naruszenie może dotyczyć także danych przetwarzanych i przechowywanych w innej formie np. na nośnikach lub z wersji papierowej zawsze jednak sprowadzać się będzie do tzw. utraty integralności lub poufności danych osobowych przetwarzanych przez administratora.

Administrator powinien podjąć decyzję o zawiadomieniu Prezesa UODO, gdy po przeanalizowaniu informacji o zdarzeniu uzyskał całkowitą pewność, że doszło do naruszenia. Pierwszym krokiem jest zbadanie czy naruszenie ochrony danych niesie za sobą prawdopodobieństwo ryzyka naruszenia praw i wolności osób, których dane były przedmiotem naruszenia. Należy więc rozważyć, czy naruszenie może wywołać skutek w postaci np. dyskryminacji, kradzieży lub sfałszowania tożsamości czy straty finansowej.

Jeżeli po przeanalizowaniu okoliczności incydentu dojdzie do wniosku, że ryzyko wystąpienia chociażby jednego z powyższych skutków jest prawdopodobne lub wysoce prawdopodobne, powinien dokonać zgłoszenia do Prezesa UODO.
Ponadto, jeśli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, konieczne jest dodatkowo zawiadomienia tych osób o zaistniałym zdarzeniu. Żelazną zasadą jest to, że zgłoszenie naruszenia powinno się odbyć w terminie 72 godzin od momentu, którym administrator się o nim dowiedział.

Powiadomienie osoby i prawo do dostępu

Jak już wspomniałem, jeśli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, administrator ma obowiązek zawiadomienia tych osób o zaistniałym zdarzeniu. Najczęściej realizowane jest to w formie stosownego pisma lub wiadomości e-mail. Ponadto administrator publikuje stosowny komunikat na swojej stronie www (o ile takową posiada).

Osoba, której dane dotyczą dowiaduje się o naruszeniu najczęściej właśnie z takiej wiadomości. Zawiadomienie powinno być sformułowane jasnym i prostym językiem. Musi ono opisywać charakter naruszenia, a ponadto powinno zawierać co najmniej informacje takie jak imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji, a także możliwe konsekwencje naruszenia ochrony danych osobowych i środki zastosowane lub proponowane przez administratora do zastosowania w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Może się jednak zdarzyć (z różnych przyczyn), że administrator nie zdoła dotrzeć z informacją o naruszeniu do wszystkich osób, których to dotyczy. Jeśli mamy uzasadnione podejrzenia, że naruszenie objęło także nas ponieważ na stronie internetowej administratora, który dysponował naszymi danymi jest informacja o wycieku, a ponadto wystąpiły inne „objawy” takie jak np. nadmiar spamu lub wzmożony telemarketing. To pomimo tego, że nie otrzymaliśmy żadnego maila, możemy zwrócić się do administratora z żądaniem informacji czy nasze dane także wyciekły. Taką możliwość daje nam m.in. art. 15 RODO gwarantujący nam tzw. „Prawo do dostępu”.

Policja? UODO?

Gdy mamy pewność, że doszło do naruszenia naszych danych w pierwszej kolejności powinniśmy zadbać o własne bezpieczeństwo. Sposób reakcji zależeć będzie od rodzaju danych, które wyciekły. Najczęściej będzie to zgłoszenie stosownych zastrzeżeń (w tym dokumentu tożsamości np. w banku). Możliwe jest także zgłoszenie zaistniałego zdarzenia organom ścigania.

Przede wszystkim jednak zależy zgłosić skargę Prezesowi Urzędu Ochrony Danych Osobowych (UODO). Zgłaszając skargę należy zwięźle opisać zaistniałe zdarzenie, zgłosić ewentualne żądania wobec administratora oraz przedstawić wszystkie dowody, które są w naszym posiadaniu.

Najczęściej Prezes UODO będzie już powiadomiony o zdarzeniu przez administratora i będzie prowadził postępowanie w sprawie. W takim wypadku osoba, której dane dotyczą może wystąpić w postępowaniu w charakterze strony.

Sąd Cywilny – odszkodowanie RODO

Możliwość uzyskania odszkodowania przez osobę poszkodowaną przez naruszenie ochrony danych osobowych daje art. 82 RODO. Stanowi on, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Przekładając powyższe na grunt prawa polskiego zapis „szkodę majątkową lub niemajątkową” oznacza możliwość domagania się tak odszkodowania jak i zadośćuczynienia za doznaną krzywdę.

Niestety Prezes UODO nie posiada kompetencji do nakazania administratorowi wypłacenia osobie, która została pokrzywdzona stosownego odszkodowania. Takie możliwości posiada tylko sąd. Stąd postępowanie przed prezesem UODO ma na celu przede wszystkim zabezpieczenie naszych danych u tego konkretnego administratora (Prezes UODO może nakazać administratorowi podjęcie określonych działań), zaś dla uzyskania odszkodowania RODO konieczne będzie skierowanie powództwa do Sądu.

Kierując powództwo warto mieć na uwadze to, że administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności tylko jeśli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Kluczowym będzie więc odpowiednie poprowadzenie sprawy przed sądem.

Skierowanie powództwa cywilnego może być jednak istotne, jeśli chodzi o ustalenie odpowiedzialności administratora za szkody, które w skutek wycieku powstaną w przyszłości (np. wyłudzenie tzw. chwilówki z wykorzystaniem utraconych danych).

Podsumowując

Jeśli zostaniemy dotknięci naruszeniem ochrony danych osobowych musimy przede wszystkim zadbać o swój interes prawny poprzez możliwie jak najlepsze zabezpieczenie danych (poprzez zastrzeżenia danych lub dokumentów). Warto w tym wypadku podejmować kroki, które rekomenduje nam administrator w informacji o wystąpieniu naruszenia.

Warto jednak pamiętać, że jeśli w skutek naruszenia doznamy szkody majątkowej lub niemajątkowej poprzez np. naruszenie dóbr osobistych, krzywdę w postaci chociażby nadmiernego stresu lub nawet choroby możemy domagać się o zasądzenie przez sąd stosownego odszkodowania i zadośćuczynienia.

Łukasz Rykowski

Autor artykułu:

Radca prawny. Interesuje się w szeroko pojętej tematyce obronności i bezpieczeństwa w szczególności w obszarze obrony cywilnej oraz ochrony danych osobowych (RODO). Doświadczenie zawodowe zdobywał już od pierwszych lat studiów, odbywając praktyki zarówno w kancelariach jak i w urzędach publicznych (m.in. Zachodniopomorski Urząd Wojewódzki, Instytut Pamięci Narodowej). Zaś po zakończeniu studiów m.in. jako Inspektor do spraw obronnych w Prokuraturze Okręgowej w Szczecinie, a także pełniąc funkcję Administratora Bezpieczeństwa Informacji, w administracji publicznej, a po wejściu w życie RODO Inspektora Ochrony Danych.