W dzisiejszym artykule omawiamy działania jakie możesz podjąć samodzielnie w przypadku, kiedy Twoje dane osobowe wyciekły. Trzecia rocznica obowiązywania RODO to dobry dzień na tego typu publikacje.
W związku z szybko postępującą cyfryzacją życia w warunkach pandemii jesteśmy coraz bardziej narażeni na ryzyko utraty danych osobowych. Tylko w ostatnim czasie media informowały o dwóch potężnych wyciekach danych. Pierwszy z nich, którego śmiało nazwać możemy globalnym, dotyczył aż 530 milionów kont użytkowników facebooka, z czego ok. 2 miliony należały do obywateli RP. (zob. https://www.geekweek.pl/news/2021-04-04/dane-530-milionow-uzytkownikow-facebooka-w-tym-2-milionow-z-polski-dostepnie-w-sieci/). W drugim przypadku, do Sieci wyciekły imiona, nazwiska, numery PESEL, adresy mailowe i adresy zatrudnienia ponad 20 tys. przedstawicieli polskich służb, agencji i instytucji państwowych ze strony Rządowego Centrum Bezpieczeństwa (sic!) (zob. https://spidersweb.pl/2021/04/rcb-wyciek-danych-funkcjonariuszy.html).
Gdy poweźmiesz wiadomość, że Twoje dane wyciekły, rozważ podjęcie następujących działań:
- zażądaj wyjaśnień,
- wystąp o odszkodowanie lub zadośćuczynienie,
- zgłoś sprawę na policję i ewentualnie zastrzeż swoje dokumenty,
- złóż skargę do PUODO.
Prawo do informacji
W pierwszej kolejności, jako osobie, której dane zostały ujawnione, przysługuje Ci prawo do uzyskania od Administratora danych wyjaśnień związanych z incydentem tj. w szczególności informacji jakie dokładnie dane wyciekły, do kogo te dane trafiły lub do kogo mogły trafić oraz czy wyciek został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO). Uzyskane w ten sposób informacje na temat szczegółów zdarzenia pozwolą Ci ocenić, jakie ewentualnie kroki w celu zminimalizowania zagrożeń dla Twoich interesów lub/i wizerunku jesteś w stanie podjąć w dalszym etapie.
Fundacja radzi…
Zachowaj korespondencję z Administratorem danych, jak również wszelkie komunikaty publiczne jakie uda Ci się znaleźć w związku z wyciekiem danych. Zgromadzony w ten sposób materiał okaże się niezwykle pomocny, bez względu na to, którą metodę działania obierzesz.
W trakcie wymiany zdań z Administratorem, możesz również wystąpić o przyznanie rekompensaty np. w formie rabatu na usługi. W takim przypadku decyzja ma charakter uznaniowy – pozostaje w gestii Administratora.
Kiedy należy się odszkodowanie za wyciek danych osobowych?
Jeżeli propozycja Administratora co do polubownego rozwiązania sprawy nie jest dla Ciebie zadowalająca, a w wyniku ujawnienia danych osobowych poniosłeś szkodę majątkową lub niemajątkową, możesz ubiegać się o uzyskanie odszkodowania lub zadośćuczynienia na drodze postępowania cywilnego.
Podstawą prawną takiego roszczenia są przepisy RODO oraz Kodeksu cywilnego o ochronie dóbr osobistych.
W myśl art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3).
W razie podjęcia decyzji o wystąpienie na drogę sądową musisz jednak liczyć się z kosztami operacyjnymi (opłata od pozwu, wynagrodzenie pełnomocnika), chyba że ze względu na swą sytuację materialną otrzymasz zwolnienie od kosztów sądowych lub pomoc adwokata z urzędu. Podstawowa opłata dla pozwu o ochronę danych osobowych wynosi 600 zł. Jeśli dodatkowo wnosisz o odszkodowanie, wysokość opłaty będzie uzależniona od wysokości dochodzonej kwoty.
W tym aspekcie możesz także zwrócić się po pomoc do fundacji. Nasi prawnicy posiadają niezbędną wiedzę i doświadczenie w zakresie prowadzenia spraw z tytułu naruszenia ochrony dóbr osobistych. Kontakt możliwy jest przez formularz:
Nie zwlekaj z zawiadomieniem organów ścigania
W sytuacji kiedy podejrzewasz, że związku z wyciekiem danych określona osoba dopuściła się czynu karalnego, o którym mowa w art. 107 ustawy o ochronie danych osobowych poprzez przetwarzanie danych osobowych przez osobę do tego nieuprawnioną lub przetwarzanie danych, których przetwarzanie było zabronione, możesz zgłosić zawiadomienie o podejrzeniu popełnienia przestępstwa na Policji.
Pamiętaj, że jeżeli sprawa zakończy się wyrokiem skazującym Sąd może może orzec obowiązek naprawienia w całości, lub w części wyrządzonej przestępstwem szkody lub zadośćuczynienia za doznaną krzywdę.
Jeżeli wyciekły Twoje dane wrażliwe, takie jak numer dowodu osobistego lub innego dokumentu tożsamości, numer PESEL, numer karty bankomatowej – pamiętaj, aby zastrzec je w odpowiedniej instytucji. Usługi takie oferują np. banki, policja, urząd gminy.
Czy wiesz, że…
Istnieje uniwersalny, międzybankowy System Zastrzegania Kart płatniczych? W przypadku kradzieży/utraty/wycieku danych z karty płatniczej (numer karty oraz kod CVV znajdujący się na odwrocie karty) możesz niezwłocznie zastrzec swoją kartę, pod numerem (+48) 828 828 828.
Poinformuj o wszystkim Prezesa Urzędu Ochrony Danych Osobowych
Nawet jeśli nie poniosłeś konkretnej straty materialnej lub niematerialnej w związku z wyciekiem danych osobowych do Sieci, możesz złożyć skargę do PUODO (strona urzędu: https://uodo.gov.pl/).
Prawo do wniesienia skargi jako jednego ze środków ochrony prawnej zostało uregulowane w art. 77 RODO. Zgodnie z przepisem art. 77 ust. 1, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. W tym przypadku musisz jednak pamiętać, że finansowo nic na tym nie zyskasz, ponieważ PUODO nie ma kompetencji do wydawania decyzji o rekompensacie pieniężnej na rzecz zgłaszającego. Pisaliśmy jednak wyżej, kiedy przysługuje Ci odszkodowanie za wyciek danych.
PUODO może jednakże zobowiązać w swojej decyzji Administratora danych do wykonania określonych czynności związanych z przetwarzaniem danych lub ich zakazać, jak również nałożyć nań dotkliwą karę pieniężną.
Gdzie możesz sprawdzić, czy Twoje dane wyciekły?
Co do zasady w przypadku wycieku danych każdy Administrator ma poinformować osoby, które ucierpiały na skutek takiego zdarzenia. Niestety nie wszyscy Administratorzy postępują rzetelnie i zgodnie z przepisami. Z pomocą przychodzą takie strony jak np. https://haveibeenpwned.com/, gdzie możemy zweryfikować czy nasz numer telefonu lub adres e-mail nie zostały wykradzione. Strona analizuje publicznie dostępne bazy danych i koreluje je z informacjami o wyciekach