Wyciek danych osobowych – jak wygląda złamanie przepisów RODO?
Temat ochrony danych osobowych od samego początku budzi kontrowersje i wiąże się z wieloma niejasnościami. Dla wielu osób przepisy prawne związane z ochroną danych osobowych, w skrócie określanych jako RODO, wciąż jawią się jako trudne do zrozumienia. Co warto wiedzieć o kradzieży danych osobowych? Jakie prawa przysługują poszkodowanym wskutek wycieku danych osobowych i złamania przepisów RODO?
Czym są dane osobowe i jak zostają pozyskane?
Dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym powszechnie RODO, to w uproszczeniu takie dane, dzięki którym możliwe jest zidentyfikowanie konkretnej osoby. W szczególności do takich danych należą: imię i nazwisko, PESEL, adres zamieszkania lub zameldowania, numer paszportu, dowodu osobistego, adres e-mail, wizerunek, itp.
Dane osobowe pozyskiwane są w różnoraki sposób, najczęściej w zależności od relacji, jaka łączy osobę, której dane dotyczą oraz administratora danych osobowych, czyli osobę, która dane te przetwarza (zbiera, utrwala, zmienia, przegląda, udostępnia, itp.). W przypadku pracowników administratora danych osobowych pozyskiwanie danych zaczyna się już w momencie rekrutacji, a następnie jest kontynuowane w szerszym zakresie po zawarciu umowy o pracę lub innego stosunku cywilnoprawnego.
Dane pozyskiwane są również przy okazji zawierania różnego rodzaju transakcji, w szczególności umów sprzedaży, umów o świadczenie usług, umów o prowadzenie rachunków bankowych oraz wszelkich innych czynności. Innymi słowy, każde przekazanie przez nas danych osobowych wiąże się z ich przetwarzaniem, aczkolwiek na innej podstawie prawnej. W wyżej wymienionych przypadkach taką podstawą może być sama umowa, lecz nie tylko. Administrator może również przetwarzać dane osobowe na podstawie świadomie wyrażonej zgody osoby, której dane dotyczą lub realizując swoje prawnie uzasadnione cele (np. prowadzenie marketingu bezpośredniego czy badanie ruchu użytkowników na stronach internetowych).
Kto jest odpowiedzialny za wyciek bądź kradzież danych osobowych?
Obowiązkiem każdego administratora danych osobowych jest przetwarzanie danych zgodnie z wymaganiami, jakie nakładane są na niego przez RODO. Administrator musi więc przetwarzać dane zgodnie z prawem, rzetelnie i w przejrzysty sposób. Szereg działań, jakie powinien podjąć Administrator w celu zapewnienia bezpiecznego przetwarzania danych osobowych, ma na celu zapewnienie odpowiedniej ochrony przed m.in. utratą danych, ich niekontrolowaną zmianą lub co najważniejsze – wyciekiem. Co istotne samo RODO nie określa w sposób jednoznaczny konkretnych rozwiązań, które zapewnią, że dane przetwarzane będą zgodnie z przepisami. To na Administratorze ciąży obowiązek przeanalizowania swojej działalności w celu zastosowania środków, które w jego sytuacji będą adekwatne do ewentualnego ryzyka związane z przetwarzaniem danych osobowych.
Środki bezpieczeństwa podejmowane przez Administratora mogą polegać na technicznym zabezpieczeniu danych osobowych, np. archiwizacja dokumentacji, stosowanie zabezpieczeń w postaci szaf zamykanych na klucze, korzystanie z usług firm ochroniarskich lub monitoringu (zabezpieczenie obiektowe), stopniowanie dostępu do danych osobowych przez swoich pracowników lub kontrahentów itp. Oprócz tego najważniejsze działania zabezpieczające dane osobowe opierają się na zabezpieczeniach teleinformatycznych, takich jak wykorzystywanie oprogramowania antyphishingowego, regularne aktualizacje systemów informatycznych, stosowanie tzw. silnych haseł i regularne ich zmienianie, posiadanie zaktualizowanych programów antywirusowych i zwiększanie świadomości swoich pracowników w zakresie korzystania z sieci i oprogramowania.
Jakie szkody może spowodować wyciek lub kradzież danych osobowych?
Spektrum problemu związane z wyciekiem lub kradzieżą danych osobowych jest niezwykle szerokie. Informacje o imieniu, adresie e-mail czy numerze telefonu zwykle nie niosą za sobą dużego ryzyka poniesienia szkody. Często konsekwencją tego typu zdarzeń jest otrzymywanie niechcianego spamu lub ofert – jednak z pozoru nieszkodliwa, choć irytująca korespondencja w postaci maili czy wiadomości SMS, może w niektórych przypadkach stanowić ryzyko potencjalnej próby wyłudzenia dokładniejszych danych (w przypadku otrzymywania wiadomości zawierających złośliwe oprogramowanie lub zachęcających do zarejestrowania się na stronach internetowych fałszywych firm, które później pod pozorem rozwiązania problemu z korzystaniem z witryny uzyskują dostęp do urządzenia poszkodowanego).
Ponadto warto też wspomnieć, że wyciek danych osobowych może wiązać się z utratą haseł dostępu do rozmaitych serwisów internetowych, np. e-bankowości, profilu zaufanego czy portali społecznościowych – kradzież wirtualnej tożsamości stwarza sprawcom dogodne warunki, aby wykorzystać uzyskane dane do własnych celów. Zainfekowanie urządzeń, z których korzysta dana osoba, może z kolei wiązać się z poważnymi konsekwencjami – od dalszych wycieków danych osobowych tej osoby lub osób, których dane przechowywane są na jej urządzeniu, po uzyskiwaniu dostępów do portali społecznościowych, rachunków bankowych, itp. Niejednokrotnie konsekwencją wycieku danych osobowych jest m.in. wyczyszczenie konta internetowego z prywatnych oszczędności, wykupienie usługi na koszt poszkodowanego czy zaciągnięcie pożyczki w aplikacji mobilnej banku.
Poza bezpośrednimi konsekwencjami wycieku danych osobowych warto zwrócić uwagę, że urządzenia, z których korzystamy, służą nam często również do wykonywania obowiązków służbowych. Wówczas wyciek danych osobowych może wiązać się także z naruszeniem tajemnicy przedsiębiorstwa lub ujawnieniem innego rodzaju informacji poufnych, co w niektórych przypadkach może wiązać się dla danej firmy z ogromnymi stratami finansowymi czy wizerunkowymi.
Kiedy można domagać się odszkodowania za wyciek danych?
Wyciek danych osobowych może nastąpić z różnych przyczyn, m.in. może być wynikiem nieuwagi pracownika, niedostatecznej ochrony danych czy nieprzestrzegania procedur obowiązujących w firmie. Odszkodowania można domagać się w sytuacji, w której wyciek danych jest bezprawny (niezgodny z przepisami) i spowodował szkodę u osoby, której dane wyciekły (pomiędzy wyciekiem a szkodą musi istnieć związek przyczynowo skutkowy). Jak stanowi art. 82 ust. 1 i 2 RODO:
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”
„Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora, lub wbrew tym instrukcjom.”
Odszkodowania można domagać się w sytuacji, gdy działanie administratora danych osobowych jest zawinione i stanowi efekt niedopełnienia obowiązków, a wyciek doprowadził do powstania szkody majątkowej (np. w sytuacji gdy w wyniku wycieku dane osobowe zostały wykorzystane do zaciągnięcia pożyczki w imieniu poszkodowanego). Oprócz odszkodowania możliwe jest uzyskanie zadośćuczynienia, które zasądzane jest w sytuacji, kiedy po stronie poszkodowanego nie powstała żadna szkoda majątkowa, jednakże wyciek spowodował inne dolegliwości takie jak otrzymywanie uciążliwych połączeń telefonicznych, obawa przed wykorzystaniem danych osobowych w celu zaciągnięcia pożyczki lub obawa przed ujawnieniem innych danych czy informacji.
W takich sytuacjach podstawą zasądzenia odszkodowania lub zadośćuczynienie jest nie tylko art. 82 RODO, lecz również art. 23-24 w zw. z art. 448 kodeksu cywilnego, czyli przepisy odnoszące się do naruszenia dóbr osobistych.
Jaka jest wysokość odszkodowania za wyciek lub kradzież danych osobowych?
Wysokość odszkodowania za wyciek danych osobowych w każdym przypadku jest inna – wszystko bowiem zależy od poniesionej szkody, która co do zasady stanowi równoznaczność odszkodowania. Jeśli na przykład w wyniku wycieku danych osobowych osoba, która weszła w ich posiadanie, zrobiła przelew na własny rachunek bankowy kwoty w wysokości 30.000 zł, to tyle właśnie wynosi szkoda, a co za tym idzie – wartość odszkodowania.
Ciekawym zagadnieniem jest również kwestia zadośćuczynienia za wyciek danych osobowych. Tutaj wycena kwoty, jaką może zasądzić sąd, jest o wiele trudniejsza. Co więcej, sąd może zasądzić różne kwoty dwóm różnym osobom, które ucierpiały w wyniku tego samego wycieku. Wszystko zależy bowiem od skali uciążliwości, jakie dotknęły daną osobę. W tym kontekście warto odwołać się do wyroku warszawskiego sądu, który w 2020 r. uznał, że przekazane przez ubezpieczyciela dane osobowe Powódki, która była właścicielką pojazdu biorącego udział w stłuczce, były nadmiarowe i na tej podstawie sąd ten zasądził na jej rzecz 1,5 tysiąca złotych tytułem zadośćuczynienia. Powódka argumentowała bowiem, że musiała zmienić numer telefonu oraz żyje w ciągłej obawie, że jej dane osobowe zostaną wykorzystane w niewłaściwy sposób. Sąd uznał, że obawy są zasadne, jednakże nie jest to tak uciążliwe, aby zasądzać wyższą kwotę. Nie ulega więc wątpliwości, że kluczowe w procesach sądowych o odszkodowanie lub wyciek danych osobowych, jest przygotowanie zarówno właściwej podstawy prawnej swoich żądań, jak i opracowanie przemyślanej argumentacji.
Ujawnienie danych osobowych – konsekwencje
Ujawnienie danych osobowych w Internecie może mieć poważne konsekwencje dla osób dotkniętych wyciekiem. Przede wszystkim, może to prowadzić do naruszenia prywatności i utraty kontroli nad własnymi informacjami. Osoba, której dane zostały ujawnione, może stać się celem działań oszustów, którzy wykorzystując te informacje, mogą dokonywać kradzieży tożsamości, oszustw finansowych lub innych przestępstw. Ponadto, ujawnienie danych osobowych w Internecie może mieć negatywne skutki emocjonalne, takie jak utrata poczucia bezpieczeństwa i zaufania.
Ujawnienie danych osobowych – kara
W celu ochrony danych osobowych, wiele jurysdykcji wprowadziło przepisy prawne dotyczące ujawniania danych osobowych. Naruszenie tych przepisów może prowadzić do kar prawnych i administracyjnych dla podmiotów, które nie zapewniają odpowiedniego poziomu ochrony danych osobowych. Organizacje, które nieprawidłowo gromadzą, przetwarzają lub udostępniają dane osobowe, mogą być pociągnięte do odpowiedzialności prawnej i obciążone wysokimi karami finansowymi. Ponadto, jednostki, które świadomie ujawniają czy wykorzystują dane osobowe w sposób niezgodny z przepisami prawa, mogą również podlegać sankcjom karnym.
Kradzież danych osobowych a kodeks karny
Kradzież danych osobowych jest przestępstwem, które podlega karze zgodnie z przepisami Kodeksu Karnego. W ramach tych przepisów, naruszanie prywatności i nieuprawnione przejęcie danych osobowych są traktowane jako przestępstwa, które mogą mieć poważne konsekwencje dla sprawców. Kodeks Karny określa sankcje dla osób, które dokonują kradzieży danych osobowych, w celu ochrony praw jednostek i zapewnienia bezpieczeństwa informacji.
Wyciek danych z firmy – ryzyko dla klientów i reputacji
Wyciek danych z firmy stanowi poważne zagrożenie zarówno dla klientów, jak i dla samej organizacji. Gdy dochodzi do nieuprawnionego ujawnienia danych osobowych przechowywanych przez firmę, naraża to klientów na ryzyko kradzieży tożsamości, oszustw finansowych i innych nadużyć. Ponadto, taki wyciek danych z firmy ma negatywny wpływ na reputację firmy, która może stracić zaufanie klientów i doświadczyć spadku w sprzedaży oraz wartości marki. Dlatego ważne jest, aby organizacje podejmowały odpowiednie środki bezpieczeństwa, aby zapobiegać wyciekom danych i chronić poufność informacji.
Upublicznienie danych osobowych – naruszenie prywatności jednostki
Upublicznienie danych osobowych bez zgody osoby, której dane dotyczą, stanowi rażące naruszenie jej prywatności. Przetwarzanie danych osobowych powinno odbywać się zgodnie z przepisami prawa o ochronie danych osobowych, a ich upublicznienie bez zgody może prowadzić do poważnych konsekwencji prawnych. Każda osoba ma prawo do kontroli nad swoimi danymi osobowymi i oczekuje, że zostaną one chronione przed nieuprawnionym ujawnieniem.
Wykorzystywanie danych osobowych bez zgody – naruszenie zasad poufności
Wykorzystywanie danych osobowych bez zgody właściciela tych danych jest sprzeczne z zasadami poufności i ochrony prywatności. Bez zgody osoby, której dane dotyczą, nie wolno przetwarzać jej danych osobowych w żadnym celu. Wykorzystywanie danych osobowych bez zgody może prowadzić do poważnych konsekwencji prawnych, w tym kar finansowych oraz reputacyjnych strat dla podmiotu przetwarzającego te dane. Właściwa ochrona danych osobowych i przestrzeganie zasad prywatności są niezwykle istotne dla utrzymania zaufania klientów i partnerów biznesowych.
Bezprawne przetwarzanie danych osobowych – sankcje prawne
Bezprawne przetwarzanie danych osobowych stanowi naruszenie obowiązujących przepisów o ochronie danych osobowych. W przypadku naruszenia tych przepisów, organy nadzoru mają prawo nałożyć kary finansowe na podmioty, które nieprawidłowo przetwarzają dane osobowe. Wysokość kar zależy od rodzaju naruszenia i okoliczności sprawy. Sankcje te mają na celu odstraszenie od bezprawnego przetwarzania danych osobowych oraz ochronę praw jednostek. Dlatego należy przestrzegać przepisów dotyczących ochrony danych osobowych i stosować odpowiednie zabezpieczenia, aby uniknąć nieuprawnionego przetwarzania.
Odpowiedzialność za ochronę danych osobowych – rola podmiotów przetwarzających
Podmioty przetwarzające dane osobowe mają duże znaczenie w zapewnieniu ochrony tych danych. Mają obowiązek przestrzegania przepisów dotyczących ochrony danych osobowych i podejmowania odpowiednich środków bezpieczeństwa. W przypadku naruszenia ochrony danych osobowych, podmioty te ponoszą odpowiedzialność prawno-finansową. Dlatego ważne jest, aby podmioty przetwarzające działały zgodnie z obowiązującymi przepisami, implementowały odpowiednie procedury bezpieczeństwa i świadomie zarządzały danymi osobowymi. Tylko w ten sposób można zapewnić wysoki poziom ochrony danych osobowych i minimalizować ryzyko wycieku lub nieuprawnionego wykorzystania tych danych.
W przypadku ujawnienia danych osobowych lub naruszenia prywatności jednostki, osoba poszkodowana może mieć prawo do odszkodowania lub zadośćuczynienia. W takich sytuacjach istotne jest udowodnienie szkody, jaką osoba poniiosła w wyniku ujawnienia lub nieuprawnionego wykorzystania danych osobowych. W przypadku wystąpienia takiego naruszenia, ważne jest skontaktowanie się z profesjonalistami z zakresu prawa o ochronie danych osobowych w celu uzyskania porady prawnej i podjęcia odpowiednich działań.
Wnioskiem jest, że ochrona danych osobowych stanowi priorytetowe zagadnienie zarówno dla jednostek, jak i dla podmiotów przetwarzających te dane. Każdy podmiot powinien przestrzegać przepisów dotyczących ochrony danych osobowych, aby uniknąć naruszeń i niekorzystnych konsekwencji prawnych. W przypadku ujawnienia danych osobowych bez zgody lub bezprawnego przetwarzania, należy podjąć odpowiednie środki prawne i zwrócić się o pomoc do specjalistów w dziedzinie prawa o ochronie danych osobowych. Tylko w ten sposób można zapewnić ochronę prywatności jednostek oraz zachować zaufanie i wiarygodność w obszarze przetwarzania danych osobowych.
Bezprawne wykorzystanie danych osobowych – co powinien zrobić poszkodowany?
Jeśli doszło do wykorzystania danych osobowych bez zgody, poszkodowany powinien podjąć następujące kroki:
- Powinien skontaktować się z administratorem, u którego doszło do wykorzystania danych osobowych bez zgodny, następnie powinien poinformować go o incydencie. Zobowiązany jest on do udzielenia Ci informacji na temat wycieku, działań podjętych w celu naprawy sytuacji oraz ewentualnych środków naprawczych, które zostaną podjęte.
- Powinien skontaktować się z odpowiednim organem nadzorczym ds. ochrony danych osobowych, którym może być Urząd Ochrony Danych Osobowych (UODO) w Polsce. Powinien przekazać mu informacje o upublicznieniu danych osobowych i poprosić o wszczęcie postępowania w tej sprawie. Organ nadzorczy będzie miał możliwość prowadzenia dochodzenia za wyłudzenie danych osobowych. Kodeks karny zawiera spis ewentualnych kar administracyjnych wobec administratora danych.
- Jeśli poszkodowany poniósł szkodę w wyniku upublicznienia danych osobowych, powinien skontaktować się z prawnikiem. Specjalista pomoże mu w ocenieniu jego praw, zebraniu niezbędnych dowodów i reprezentować Cię w ewentualnym procesie dochodzeniowym.
Jak chronić swoje dane osobowe w Internecie?
Jeśli zależy Ci na zmniejszeniu ryzyka ujawnienia danych osobowych w Internecie, istnieje kilka praktycznych środków ostrożności, które możesz podjąć. Po pierwsze, musisz być świadomym informacji, które udostępniamy online i ograniczać ich udostępnianie tylko do niezbędnego minimum. Stosuj silne i unikalne hasła do kont internetowych oraz regularnie je zmieniać. Ważne jest również to, abyś unikał klikania w podejrzane linki i nieotwieranie załączników pochodzących od nieznanych nadawców. Dodatkowo, zainstaluj aktualne oprogramowanie antywirusowe i zaporę sieciową, dzięki nim będziesz mógł chronić swoje urządzenia przed atakami z zewnątrz.
Bezpieczeństwo danych osobowych a odpowiedzialność podmiotów przechowujących dane
Ważnym aspektem ochrony danych osobowych jest odpowiedzialność podmiotów przechowujących te informacje. Firmy i instytucje gromadzące dane osobowe mają obowiązek stosować odpowiednie środki bezpieczeństwa, aby chronić te informacje przed nieuprawnionym dostępem i ujawnieniem. W przypadku wycieku danych osobowych, powinny one podjąć natychmiastowe działania w celu zminimalizowania
Odszkodowanie RODO z pomocą Kancelarii CITI
W przypadku bezprawnego udostępnienia danych osobowych lub ich kradzieży warto więc jak najszybciej skontaktować się z doświadczoną kancelarią prawną. Kancelaria CITI oferuje kompleksowe wsparcie i fachową obsługę procesów o odszkodowanie za wyciek danych osobowych – zarówno na etapie postępowania administracyjnego przed prezesem UODO, jak i w trakcie przygotowań skarg do sądów administracyjnych czy reprezentowania Klientów w sprawach dotyczących naruszenia przepisów związanych z danymi osobowymi.
Źródła:
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2. Wyrok Sądu Okręgowego w Warszawie XXV Wydział Cywilny z dnia 6 sierpnia 2020 r., sygn. akt: XXV C 2596/19, Legalis nr 2508264