Odszkodowanie za ujawnienie danych osobowych

Wyciek danych osobowych – jak wygląda złamanie przepisów RODO?

Temat ochrony danych osobowych od samego początku budzi kontrowersje i wiąże się z wieloma niejasnościami. Dla wielu osób przepisy prawne związane z ochroną danych osobowych, w skrócie określanych jako RODO, wciąż jawią się jako trudne do zrozumienia. Co warto wiedzieć o kradzieży danych osobowych? Jakie prawa przysługują poszkodowanym wskutek wycieku danych osobowych i złamania przepisów RODO?

Czym są dane osobowe i jak zostają pozyskane?

Dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym powszechnie RODO, to w uproszczeniu takie dane, dzięki którym możliwe jest zidentyfikowanie konkretnej osoby. W szczególności do takich danych należą: imię i nazwisko, PESEL, adres zamieszkania lub zameldowania, numer paszportu, dowodu osobistego, adres e-mail, wizerunek, itp.

Dane osobowe pozyskiwane są w różnoraki sposób, najczęściej w zależności od relacji, jaka łączy osobę, której dane dotyczą oraz administratora danych osobowych, czyli osobę, która dane te przetwarza (zbiera, utrwala, zmienia, przegląda, udostępnia, itp.). W przypadku pracowników administratora danych osobowych pozyskiwanie danych zaczyna się już w momencie rekrutacji, a następnie jest kontynuowane w szerszym zakresie po zawarciu umowy o pracę lub innego stosunku cywilnoprawnego.

Dane pozyskiwane są również przy okazji zawierania różnego rodzaju transakcji, w szczególności umów sprzedaży, umów o świadczenie usług, umów o prowadzenie rachunków bankowych oraz wszelkich innych czynności. Innymi słowy, każde przekazanie przez nas danych osobowych wiąże się z ich przetwarzaniem, aczkolwiek na innej podstawie prawnej. W wyżej wymienionych przypadkach taką podstawą może być sama umowa, lecz nie tylko. Administrator może również przetwarzać dane osobowe na podstawie świadomie wyrażonej zgody osoby, której dane dotyczą lub realizując swoje prawnie uzasadnione cele (np. prowadzenie marketingu bezpośredniego czy badanie ruchu użytkowników na stronach internetowych).

Kto jest odpowiedzialny za wyciek bądź kradzież danych osobowych?

Obowiązkiem każdego administratora danych osobowych jest przetwarzanie danych zgodnie z wymaganiami, jakie nakładane są na niego przez RODO. Administrator musi więc przetwarzać dane zgodnie z prawem, rzetelnie i w przejrzysty sposób. Szereg działań, jakie powinien podjąć Administrator w celu zapewnienia bezpiecznego przetwarzania danych osobowych, ma na celu zapewnienie odpowiedniej ochrony przed m.in. utratą danych, ich niekontrolowaną zmianą lub co najważniejsze – wyciekiem. Co istotne samo RODO nie określa w sposób jednoznaczny konkretnych rozwiązań, które zapewnią, że dane przetwarzane będą zgodnie z przepisami. To na Administratorze ciąży obowiązek przeanalizowania swojej działalności w celu zastosowania środków, które w jego sytuacji będą adekwatne do ewentualnego ryzyka związane z przetwarzaniem danych osobowych.

Środki bezpieczeństwa podejmowane przez Administratora mogą polegać na technicznym zabezpieczeniu danych osobowych, np. archiwizacja dokumentacji, stosowanie zabezpieczeń w postaci szaf zamykanych na klucze, korzystanie z usług firm ochroniarskich lub monitoringu (zabezpieczenie obiektowe), stopniowanie dostępu do danych osobowych przez swoich pracowników lub kontrahentów itp. Oprócz tego najważniejsze działania zabezpieczające dane osobowe opierają się na zabezpieczeniach teleinformatycznych, takich jak wykorzystywanie oprogramowania antyphishingowego, regularne aktualizacje systemów informatycznych, stosowanie tzw. silnych haseł i regularne ich zmienianie, posiadanie zaktualizowanych programów antywirusowych i zwiększanie świadomości swoich pracowników w zakresie korzystania z sieci i oprogramowania.

Jakie szkody może spowodować wyciek lub kradzież danych osobowych?

Spektrum problemu związane z wyciekiem lub kradzieżą danych osobowych jest niezwykle szerokie. Informacje o imieniu, adresie e-mail czy numerze telefonu zwykle nie niosą za sobą dużego ryzyka poniesienia szkody. Często konsekwencją tego typu zdarzeń jest otrzymywanie niechcianego spamu lub ofert – jednak z pozoru nieszkodliwa, choć irytująca korespondencja w postaci maili czy wiadomości SMS, może w niektórych przypadkach stanowić ryzyko potencjalnej próby wyłudzenia dokładniejszych danych (w przypadku otrzymywania wiadomości zawierających złośliwe oprogramowanie lub zachęcających do zarejestrowania się na stronach internetowych fałszywych firm, które później pod pozorem rozwiązania problemu z korzystaniem z witryny uzyskują dostęp do urządzenia poszkodowanego).

Ponadto warto też wspomnieć, że wyciek danych osobowych może wiązać się z utratą haseł dostępu do rozmaitych serwisów internetowych, np. e-bankowości, profilu zaufanego czy portali społecznościowych – kradzież wirtualnej tożsamości stwarza sprawcom dogodne warunki, aby wykorzystać uzyskane dane do własnych celów. Zainfekowanie urządzeń, z których korzysta dana osoba, może z kolei wiązać się z poważnymi konsekwencjami – od dalszych wycieków danych osobowych tej osoby lub osób, których dane przechowywane są na jej urządzeniu, po uzyskiwaniu dostępów do portali społecznościowych, rachunków bankowych, itp. Niejednokrotnie konsekwencją wycieku danych osobowych jest m.in. wyczyszczenie konta internetowego z prywatnych oszczędności, wykupienie usługi na koszt poszkodowanego czy zaciągnięcie pożyczki w aplikacji mobilnej banku.

Poza bezpośrednimi konsekwencjami wycieku danych osobowych warto zwrócić uwagę, że urządzenia, z których korzystamy, służą nam często również do wykonywania obowiązków służbowych. Wówczas wyciek danych osobowych może wiązać się także z naruszeniem tajemnicy przedsiębiorstwa lub ujawnieniem innego rodzaju informacji poufnych, co w niektórych przypadkach może wiązać się dla danej firmy z ogromnymi stratami finansowymi czy wizerunkowymi.

Kiedy można domagać się odszkodowania za wyciek danych?

Wyciek danych osobowych może nastąpić z różnych przyczyn, m.in. może być wynikiem nieuwagi pracownika, niedostatecznej ochrony danych czy nieprzestrzegania procedur obowiązujących w firmie. Odszkodowania można domagać się w sytuacji, w której wyciek danych jest bezprawny (niezgodny z przepisami) i spowodował szkodę u osoby, której dane wyciekły (pomiędzy wyciekiem a szkodą musi istnieć związek przyczynowo skutkowy). Jak stanowi art. 82 ust. 1 i 2 RODO:

„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”

„Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora, lub wbrew tym instrukcjom.”

Odszkodowania można domagać się w sytuacji, gdy działanie administratora danych osobowych jest zawinione i stanowi efekt niedopełnienia obowiązków, a wyciek doprowadził do powstania szkody majątkowej (np. w sytuacji gdy w wyniku wycieku dane osobowe zostały wykorzystane do zaciągnięcia pożyczki w imieniu poszkodowanego). Oprócz odszkodowania możliwe jest uzyskanie zadośćuczynienia, które zasądzane jest w sytuacji, kiedy po stronie poszkodowanego nie powstała żadna szkoda majątkowa, jednakże wyciek spowodował inne dolegliwości takie jak otrzymywanie uciążliwych połączeń telefonicznych, obawa przed wykorzystaniem danych osobowych w celu zaciągnięcia pożyczki lub obawa przed ujawnieniem innych danych czy informacji.

W takich sytuacjach podstawą zasądzenia odszkodowania lub zadośćuczynienie jest nie tylko art. 82 RODO, lecz również art. 23-24 w zw. z art. 448 kodeksu cywilnego, czyli przepisy odnoszące się do naruszenia dóbr osobistych.

Jaka jest wysokość odszkodowania za wyciek lub kradzież danych osobowych?

Wysokość odszkodowania za wyciek danych osobowych w każdym przypadku jest inna – wszystko bowiem zależy od poniesionej szkody, która co do zasady stanowi równoznaczność odszkodowania. Jeśli na przykład w wyniku wycieku danych osobowych osoba, która weszła w ich posiadanie, zrobiła przelew na własny rachunek bankowy kwoty w wysokości 30.000 zł, to tyle właśnie wynosi szkoda, a co za tym idzie – wartość odszkodowania.

Ciekawym zagadnieniem jest również kwestia zadośćuczynienia za wyciek danych osobowych. Tutaj wycena kwoty, jaką może zasądzić sąd, jest o wiele trudniejsza. Co więcej, sąd może zasądzić różne kwoty dwóm różnym osobom, które ucierpiały w wyniku tego samego wycieku. Wszystko zależy bowiem od skali uciążliwości, jakie dotknęły daną osobę. W tym kontekście warto odwołać się do wyroku warszawskiego sądu, który w 2020 r. uznał, że przekazane przez ubezpieczyciela dane osobowe Powódki, która była właścicielką pojazdu biorącego udział w stłuczce, były nadmiarowe i na tej podstawie sąd ten zasądził na jej rzecz 1,5 tysiąca złotych tytułem zadośćuczynienia. Powódka argumentowała bowiem, że musiała zmienić numer telefonu oraz żyje w ciągłej obawie, że jej dane osobowe zostaną wykorzystane w niewłaściwy sposób. Sąd uznał, że obawy są zasadne, jednakże nie jest to tak uciążliwe, aby zasądzać wyższą kwotę. Nie ulega więc wątpliwości, że kluczowe w procesach sądowych o odszkodowanie lub wyciek danych osobowych, jest przygotowanie zarówno właściwej podstawy prawnej swoich żądań, jak i opracowanie przemyślanej argumentacji.

Odszkodowanie RODO z pomocą Kancelarii CITI

W przypadku bezprawnego udostępnienia danych osobowych lub ich kradzieży warto więc jak najszybciej skontaktować się z doświadczoną kancelarią prawną. Kancelaria CITI oferuje kompleksowe wsparcie i fachową obsługę procesów o odszkodowanie za wyciek danych osobowych – zarówno na etapie postępowania administracyjnego przed prezesem UODO, jak i w trakcie przygotowań skarg do sądów administracyjnych czy reprezentowania Klientów w sprawach dotyczących naruszenia przepisów związanych z danymi osobowymi.

Źródła:
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2. Wyrok Sądu Okręgowego w Warszawie XXV Wydział Cywilny z dnia 6 sierpnia 2020 r., sygn. akt: XXV C 2596/19, Legalis nr 2508264