Dowód osobisty
W przypadku, gdy wycieknie numer Twojego dowodu osobistego (zgubisz dokument, zostanie skradziony, albo dane wyciekną na skutek niewłaściwego ich zabezpieczenia przez podmioty, które zgodnie z prawem takie dane przetwarzają):
- wskutek kradzieży – należy zgłosić sprawę na Policję. Czy jest to jednak równoważne z zastrzeżeniem dowodu? Na rządowej stronie dowiadujemy się, że tak. Nie musisz już wówczas udawać się do organu gminy – Policja przekaże informację;
- wskutek zgubienia – należy zgłosić utratę do najbliższego organu gminy lub placówki konsularnej (jeśli jesteś za granicą), organ/placówka dokonują zastrzeżenia dowodu (można to zrobić również przez internet za pomocą profilu zaufanego);
- wskutek zarówno kradzieży, jak i zgubienia – niezależnie od powyższego, należy zastrzec dowód w swoim banku lub jednym z banków, który przyjmuje zastrzeżenie także od osób niebędących jego klientami (szczegóły).
Powstały również narzędzia stworzone przez podmioty prywatne, pozwalające na zastrzeżenie danych z dowodu, jak to przygotowane przez Biuro Informacji Kredytowej S.A. czy CRIF Sp. z o.o.
Warto skorzystać również z możliwości ustawienia komunikatów/alertów w razie próby zaciągnięcia zobowiązań z wykorzystaniem Twoich danych (np. alerty BIK).
Karta płatnicza
W przypadku kradzieży/utraty/wycieku danych z karty płatniczej (numer karty oraz kod CVV znajdujący się na odwrocie karty) należy niezwłocznie zastrzec kartę, korzystając z bankowości elektronicznej lub dzwoniąc na infolinię swojego banku. W ten sposób można zastrzec kartę w dowolnym momencie, 24 godziny 7 dni w tygodniu. Można też wykorzystać uniwersalny, międzybankowy System Zastrzegania Kart, dzwoniąc pod (+48) 828 828 828.
Hasło do konta
Jeśli z jakiegoś powodu masz obawy, że mogło wyciec Twoje hasło wykorzystane do logowania na dowolnej stronie www, na stronie haveibeenpwned.com możesz sprawdzić, czy miało to miejsce w przypadku konkretnego maila lub numeru telefonu, wykorzystywanych jako login.
Krok prawny: żądanie informacji od administratora danych
Niezależnie od tego, jakie dane wyciekną, każda osoba, której dane osobowe były objęte wyciekiem, ma prawo żądać od administratora danych informacji i wyjaśnień z tym związanych, np. do kogo trafiły Twoje dane, czy wyciek był zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), jakie dokładnie dane wyciekły. Sama informacja na temat szczegółów wycieku pozwoli Ci ocenić, jakie ewentualnie jesteś w stanie podjąć kroki dla zminimalizowania zagrożeń dla Twoich interesów, Twojego wizerunku lub wszelkich innych praw i wolności.
Co może się okazać również ważne, korespondencję z administratorem, jak również wszelkie komunikaty publiczne wydane w związku z wyciekiem warto zachować na potrzeby złożenia skargi do PUODO, zgłoszenia sprawy na Policję bądź dochodzenia roszczeń na drodze cywilnej. W związku z wyciekiem można też zwrócić się do administratora o przyznanie jakiejś rekompensaty (np. rabatu na usługi), przy czym w tym przypadku decyzja należy do administratora. Podmiot, który dba o renomę, z pewnością rozważy jakąś formę zadośćuczynienia, jak to miało miejsce na przykład w przypadku H&M.
W internecie nic nie ginie?
Warto pamiętać, że np. wyszukiwarka Google umożliwia złożenie wniosku o usunięcie imienia i nazwiska z wyników wyszukiwania. Formularz umożliwiający zgłoszenie takiego żądania jest dostępny tutaj.
Krok prawny: skarga do PUODO
Nawet jeśli nie poniosłeś konkretnej straty materialnej lub niematerialnej w związku z wyciekiem, masz prawo złożyć skargę do PUODO. Ważne: PUODO nie ma kompetencji do wydania decyzji o rekompensacie finansowej dla Ciebie w związku z wyciekiem. Może jednak nakazać administratorowi danych wykonanie określonych czynności związanych z przetwarzaniem danych lub ich zakazać, jak również nałożyć karę pieniężną. Co w tym przypadku Ty sam zyskasz? Na pewno lepsze zabezpieczenie Twoich danych na przyszłość. Administrator zostanie bezpośrednio lub pośrednio zmuszony do wprowadzenia takich rozwiązań, które wyeliminują ryzyko wycieków w przyszłości. Zyskasz też zwykłą satysfakcję, że nieprawidłowości w przetwarzaniu danych nie przeszły bez echa i zostały zastosowane adekwatne sankcje.
Krok prawny: zgłoszenie sprawy na Policję
Jeśli w Twojej ocenie określona osoba dopuściła się czynu karalnego, możesz zgłosić podejrzenie popełnienia przestępstwa na Policję. W polskiej ustawie o ochronie danych osobowych z 2018 r. znajdują się przepisy karne, które stanowią, że kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 107 ust. 1), zaś jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego identyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech (art. 107 ust. 2). Pamiętaj też, że – jak stanowi art. 46 § 1 kodeksu karnego – w razie skazania sąd może orzec obowiązek naprawienia, w całości albo w części, wyrządzonej przestępstwem szkody lub zadośćuczynienia za doznaną krzywdę.
Krok prawny: dochodzenie odszkodowania lub zadośćuczynienia przed sądem
W samym RODO jest wyraźnie wskazana podstawa prawna do kierowania roszczeń wobec podmiotów odpowiedzialnych za nieprawidłowe przetwarzanie danych osobowych. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 ust. 1). Takie odszkodowania zasądził na przykład niemiecki organ nadzorczy w sprawie dotyczącej wysyłki newslettera. Co prawda, zasądzona kwota 50 euro nie zwala z nóg, to jednak ten przypadek pokazuje, że wskazany mechanizm działa. W Polsce również pojawiło się już orzeczenie zasądzające zadośćuczynienie w wysokości 1,5 tys. zł, bez względu na to, że dane osobowe powódki (PESEL, nr telefonu) nie zostały upublicznione lub wykorzystane w sposób niezgodny z prawem przez osobę niepowołaną, która znalazła się w ich posiadaniu. Pamiętaj jednak, że droga cywilna wiąże się z kosztami (opłata od pozwu, wynagrodzenie pełnomocnika), chyba że ze względu na swą sytuację materialną otrzymasz zwolnienie od kosztów sądowych lub pomoc adwokata/radcy prawnego z urzędu. Wzór pozwu znajdziesz tutaj.
Lepiej zapobiegać, niż leczyć
Jasne jest, że jeśli już powierzyłeś komuś swoje dane osobowe, to nie masz w zasadzie wpływu na sposób ich przetwarzania i stosowane zabezpieczenia. Częstokroć możesz jednak dokonać dobrego wyboru przed udostępnieniem swoich danych. Jeżeli planujesz skorzystać z usług, np. finansowych czy prywatnej opieki medycznej, warto dobrze przyjrzeć się stronie internetowej potencjalnego usługodawcy pod kątem informacji o przetwarzaniu danych. Sprawdź politykę prywatności oraz informacje na temat przetwarzania danych z cookies, a także formularz kontaktowy. Czy przekazywane informacje są przejrzyste i czy nie budzą Twoich wątpliwości? Taki prosty research pozwoli Ci przynajmniej zorientować się, na ile poważnie dany podmiot traktuje ochronę danych osobowych. Dopieszczona pod względem wymogów prawnych strona internetowa daje bowiem podstawę do przypuszczenia, że masz do czynienia z profesjonalistą, któremu zależy zarówno na stworzeniu, jak i utrzymaniu wizerunku zgodności z RODO.
Wyciek danych nie należy do najprzyjemniejszych sytuacji. Jeśli potrzebujesz specjalistycznego wsparcia, skontaktuj się z naszym doradcą ds. ochrony danych – Cezarym Lutyńskim. Podpowie Ci, co zrobić w Twojej sytuacji i wskaże najlepsze rozwiązania.