Ktoś ukradł Twoje dane w sieci? Oto, co możesz zrobić

Dodane:

Marcin Staniszewski Marcin Staniszewski

Ktoś ukradł Twoje dane w sieci? Oto, co możesz zrobić

Udostępnij:

Żyjemy w czasach, w których niemal każdy może stać się ofiarą kradzieży danych. Bardzo często dochodzi do ich wycieku, a także podszywania się lub bezprawnego wykorzystywania czyjegoś wizerunku. Ten rodzaj zagrożenia jest wynikiem zarówno celowych, świadomych działań hakerów, jak i braku dostatecznych zabezpieczeń czy ostrożności ze strony osób odpowiedzialnych za ochronę danych w przedsiębiorstwach i na portalach internetowych. Bywa też, że przyczyną kradzieży jest zwykła ludzka złośliwość. Jak sobie radzić w takiej sytuacji?

Naruszenie bezpieczeństwa danych osobowych

Kradzież danych może skutkować poważnymi szkodami materialnymi i osobistymi. Czasem prowadzi do utraty dobrego imienia czy wizerunku, innym razem do utraty klientów. Warto jednak pamiętać, że każdy z nas może skorzystać z pewnych możliwości, jakie daje prawo. W wielu sytuacjach będzie to choć częściową rekompensatą za poniesione straty.

Według rozporządzenia 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), naruszenie ochrony danych osobowych jest równoznaczne z naruszeniem bezpieczeństwa danych prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Zniszczenie danych polega w tym przypadku na ich unicestwieniu, czyli przestają one istnieć albo niemożliwe staje się ich dalsze wykorzystywanie.

Utrata danych sprawia np. że nie mamy do nich dostępu, za to modyfikacja oznacza naruszenie ich integralności. Jako nieuprawnione ujawnienie danych i nieuprawniony dostęp do nich rozumiemy przypadki ujawnienia bądź udostępnienia tych informacji odbiorcom, którzy nie są uprawnieni do ich otrzymania lub uzyskania do nich dostępu. Samo naruszenie nie musi mieć przy tym charakteru umyślnego.

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do identyfikacji żyjącej osoby fizycznej. Będą to np.

  • Imię i nazwisko
  • Numer dowodu osobistego
  • Dokumentacja medyczna
  • Numer pesel
  • Zdjęcie lub wizerunek pozwalające na identyfikację

Gdy dane osobowe zostaną ujawnione, zgodnie z RODO i ustawą o ochronie danych osobowych (UODO) obywatel może podjąć jedną z następujących dróg:

  • Administracyjną
  • Sądową

Każda z nich ma inne cechy i inne cele.

Rozwiązanie nr 1: skarga do Prezesa Urzędu Ochrony Danych Osobowych

Pierwsza możliwość to złożenie skargi do Prezesa UODO. Celem postępowania jest ustalenie, czy doszło do naruszenia przepisów o ochronie danych osobowych – jeśli tak, określa się działania, jakie należy podjąć, aby usunąć naruszenie i przywrócić stan zgodności z prawem. Postępowanie ma charakter administracyjny i kończy się wydaniem decyzji. Dlatego w skardze nie może zabraknąć elementów właściwych dla podania w postępowaniu administracyjnym.

Zaletą tego rozwiązania jest fakt, iż złożenie skargi jest całkowicie bezpłatne. Jedynym wydatkiem będzie ewentualna opłata za pełnomocnictwo.

W swojej decyzji Prezes UODO może nakazać przywrócenie stanu zgodnego z prawem. Dzieje się tak w przypadkach, w których naruszenie istnieje nadal w dniu wydawania decyzji. Jeśli nieprawidłowości zostały usunięte podczas postępowania, staje się ono bezprzedmiotowe (skutkuje to jego umorzeniem).

Mimo to, nawet w przypadku wcześniejszego usunięcia nieprawidłowości, Prezes UODO może nałożyć karę finansową za naruszenie przepisów o ochronie danych osobowych. Poza tym dysponuje on instrumentami zapewniającymi wykonanie decyzji przed podmiot, który naruszył owe przepisy. Wówczas stosuje środki egzekucyjne w celu przymuszenia do wykonania obowiązku, wskazane w ustawie o postępowaniu egzekucyjnym w administracji.

Z reguły tego typu sprawy są rozstrzygane w ciągu miesiąca. Jednak w praktyce takich postępowań jest wiele, dlatego oczekiwanie na decyzję może potrwać nawet wiele miesięcy. Prezes UODO zawiadamia strony o niezałatwieniu sprawy w terminie, a także o jej stanie i przeprowadzonych w jej toku czynnościach.
Istotne jest, że postępowanie przed Prezesem UODO jest jednoinstancyjne. W efekcie nie przysługuje od tej decyzji odwołanie, można tylko zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego.

Rozwiązanie nr 2: postępowanie o zadośćuczynienie lub odszkodowanie

Chociaż skarga do Prezesa UODO jest tania i wygodna, to pozwala wyłącznie na naprawdę stanu niezgodnego z prawem. Jej wynikiem jest więc usunięcie naruszenia przepisów o ochronie danych osobowych. Nie prowadzi jednak do materialnego lub niematerialnego wynagrodzenia szkody.

O naruszeniu oraz rekompensacie decyduje sąd. Aktualnie można skorzystać z dwóch możliwych podstaw uzyskania rekompensaty na drodze sądowej. Według artykułu 82 RODO, wszystko osoby ponoszące szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, mogą uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jako administrator występuje organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Podmiot przetwarzający to osoba dokonująca przetwarzania danych w imieniu administratora.

Druga potencjalna podstawa do uzyskania rekompensaty to artykuł 24 Kodeksu cywilnego – ten, którego dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że jest ono bezprawne. W kontekście tego przepisu mówi się o szkodach majątkowych i niemajątkowych. Należy pamiętać, że każda z wymienionych podstaw do złożenia pozwu jest odrębna i nie mogą być ze sobą łączone.

Oczywiście pozew generuje większe koszty niż złożenie skargi do prezesa UODO. Podlega opłacie stałej w wysokości 600 zł. Można złożyć go przed sąd właściwy dla siedziby administratora lub podmiotu przetwarzającego, albo przed sądem właściwym dla miejsca stałego pobytu osoby, której dane dotyczą. Sprawa jest rozpatrywana przez sąd okręgowy.

Kolejna ważna kwestia to przeniesienie ciężaru dowodowego w związku z artykułem 82 RODO. Ciąży on na pozwanym – czyli administrator lub przetwarzający dane musi dowieść, że naruszenie przepisów nie wynika z jego winy. Mówi o tym polska wersja RODO, w anglojęzycznym wariancie rozporządzenia bardziej zasadne jest postrzeganie tego w kontekście braku bezprawności w naruszeniu. Pozwala to na znaczne wzmocnienie pozycji powoda.

Przepisy RODO nie określają jednoznacznie, czy możliwa rekompensata musi mieć charakter pieniężny. Prawdopodobnie istnieje więc możliwość wystąpienia o inną formę naprawienia szkody, którą przewiduje polskie prawo.

Różnice: postępowanie przed sądem a Prezesem UODO

Relacje między obiema procedurami zostały opisane w przepisach ustawy o ochronie danych osobowych. Czytamy w nich, że złożenie pozwu nie wyklucza złożenia skargi do Prezesa UODO i na odwrót. Jeśli każde z tych postępowań toczy się w tym samym czasie, sąd i Prezes UODO są zobowiązani do wzajemnego przekazywania sobie informacji związanych z postępowaniami dotyczącymi tego samego naruszenia.

Wynika to z tego, że w artykule 95 ustawy o UODO znajduje się zapis, iż sąd musi zawiesić postępowanie jeśli w odniesieniu do tego samego naruszenia została wszczęta sprawa z prezesem UODO jako organem wyspecjalizowanym w tego typu sprawach. Może to doprowadzić do wydłużenia oczekiwania na wyrok sądu cywilnego. Postępowanie zawiesza się nie tylko na czas postępowania administracyjnego w I instancji, ale również ewentualnego postępowania sądowo-administracyjnego. Zawieszenie trwa do momentu wydania prawomocnego orzeczenia.

Sąd cywilny jest jednocześnie związany decyzją Prezesa UODO, w której stwierdzono naruszenie przepisów (art. 97 ustawy o UODO). Uzyskanie wcześniejszej decyzji Prezesa UODO może nieść więc pewne korzyści. W wyniku tego sąd będzie związany jego poglądem na naruszenie, co może ułatwić zdobycie odszkodowania.

Z drugiej strony sąd nie jest związany decyzją Prezesa UODO, w której nie stwierdza on naruszenia przepisów. Wówczas może zająć więc odmienne stanowisko niż urząd i uznać, że naruszenie miało jednak miejsce.

Wnioski. Jak chronić dane osobowe w sieci?

Wybór odpowiedniego rozwiązania zależy od celu, jaki nam przyświeca. Jeśli chcemy tylko usunięcia naruszenia danych, warto skierować się do Prezesa UODO. Kiedy jednak wolelibyśmy uzyskać zadośćuczynienie za poniesione straty, trzeba skierować sprawę do sądu.

Znaczenie ma również to, czy zależy nam na jak najszybszym załatwieniu sprawy. Wówczas zdecydowanie korzystniejszym posunięciem będzie wybór tylko jednej formy usunięcia naruszenia. Należy przy tym pamiętać, że odrzucenie skargi lub pozwu nie pozbawia nas możliwości upomnienia się o swoje prawa za pomocą drugiego, opisanego w tym tekście sposobu.

Autor: Marcin Staniszewski, kancelaria prawna RPMS Staniszewski & Wspólnicy