Co zrobić, gdy wyciekną Twoje dane?

Stało się – wyciekły Twoje dane osobowe. Bez względu na to, skąd pozyskałeś na ten temat informację (media, wiadomość przekazana przez administratora danych), a także bez względu na to, jak ważne z Twojej perspektywy były to dane (tylko numer telefonu, a może informacje o Twojej orientacji seksualnej), w związku z naruszeniem ochrony danych przysługują Ci określone prawa. Co robić? Przede wszystkim, podejmij wszelkie czynności, które uchronią Cię przez negatywnymi skutkami wycieku albo przynajmniej te skutki zminimalizują. W dalszej kolejności rozważ również kroki prawne.

Dowód osobisty

W przypadku, gdy wycieknie numer Twojego dowodu osobistego (zgubisz dokument, zostanie skradziony, albo dane wyciekną na skutek niewłaściwego ich zabezpieczenia przez podmioty, które zgodnie z prawem takie dane przetwarzają):

  • wskutek kradzieży – należy zgłosić sprawę na Policję. Czy jest to jednak równoważne z zastrzeżeniem dowodu? Na rządowej stronie dowiadujemy się, że tak. Nie musisz już wówczas udawać się do organu gminy – Policja przekaże informację;
  • wskutek zgubienia – należy zgłosić utratę do najbliższego organu gminy lub placówki konsularnej (jeśli jesteś za granicą), organ/placówka dokonują zastrzeżenia dowodu (można to zrobić również przez internet za pomocą profilu zaufanego);
  • wskutek zarówno kradzieży, jak i zgubienia – niezależnie od powyższego, należy zastrzec dowód w swoim banku lub jednym z banków, który przyjmuje zastrzeżenie także od osób niebędących jego klientami (szczegóły).

Powstały również narzędzia stworzone przez podmioty prywatne, pozwalające na zastrzeżenie danych z dowodu, jak to przygotowane przez Biuro Informacji Kredytowej S.A. czy CRIF Sp. z o.o.
Warto skorzystać również z możliwości ustawienia komunikatów/alertów w razie próby zaciągnięcia zobowiązań z wykorzystaniem Twoich danych (np. alerty BIK).

Karta płatnicza

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W przypadku kradzieży/utraty/wycieku danych z karty płatniczej (numer karty oraz kod CVV znajdujący się na odwrocie karty) należy niezwłocznie zastrzec kartę, korzystając z bankowości elektronicznej lub dzwoniąc na infolinię swojego banku. W ten sposób można zastrzec kartę w dowolnym momencie, 24 godziny 7 dni w tygodniu. Można też wykorzystać uniwersalny, międzybankowy System Zastrzegania Kart, dzwoniąc pod (+48) 828 828 828.

Hasło do konta

Jeśli z jakiegoś powodu masz obawy, że mogło wyciec Twoje hasło wykorzystane do logowania na dowolnej stronie www, na stronie haveibeenpwned.com możesz sprawdzić, czy miało to miejsce w przypadku konkretnego maila lub numeru telefonu, wykorzystywanych jako login.

Krok prawny: żądanie informacji od administratora danych

Niezależnie od tego, jakie dane wyciekną, każda osoba, której dane osobowe były objęte wyciekiem, ma prawo żądać od administratora danych informacji i wyjaśnień z tym związanych, np. do kogo trafiły Twoje dane, czy wyciek był zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), jakie dokładnie dane wyciekły. Sama informacja na temat szczegółów wycieku pozwoli Ci ocenić, jakie ewentualnie jesteś w stanie podjąć kroki dla zminimalizowania zagrożeń dla Twoich interesów, Twojego wizerunku lub wszelkich innych praw i wolności.

Co może się okazać również ważne, korespondencję z administratorem, jak również wszelkie komunikaty publiczne wydane w związku z wyciekiem warto zachować na potrzeby złożenia skargi do PUODO, zgłoszenia sprawy na Policję bądź dochodzenia roszczeń na drodze cywilnej. W związku z wyciekiem można też zwrócić się do administratora o przyznanie jakiejś rekompensaty (np. rabatu na usługi), przy czym w tym przypadku decyzja należy do administratora. Podmiot, który dba o renomę, z pewnością rozważy jakąś formę zadośćuczynienia, jak to miało miejsce na przykład w przypadku H&M.

CZYTAJ WIĘCEJ:35 milionów euro kary dla H&M

W internecie nic nie ginie?

 Warto pamiętać, że np. wyszukiwarka Google umożliwia złożenie wniosku o usunięcie imienia i nazwiska z wyników wyszukiwania. Formularz umożliwiający zgłoszenie takiego żądania jest dostępny tutaj.

Krok prawny: skarga do PUODO

Nawet jeśli nie poniosłeś konkretnej straty materialnej lub niematerialnej w związku z wyciekiem, masz prawo złożyć skargę do PUODO. Ważne: PUODO nie ma kompetencji do wydania decyzji o rekompensacie finansowej dla Ciebie w związku z wyciekiem. Może jednak nakazać administratorowi danych wykonanie określonych czynności związanych z przetwarzaniem danych lub ich zakazać, jak również nałożyć karę pieniężną. Co w tym przypadku Ty sam zyskasz? Na pewno lepsze zabezpieczenie Twoich danych na przyszłość. Administrator zostanie bezpośrednio lub pośrednio zmuszony do wprowadzenia takich rozwiązań, które wyeliminują ryzyko wycieków w przyszłości. Zyskasz też zwykłą satysfakcję, że nieprawidłowości w przetwarzaniu danych nie przeszły bez echa i zostały zastosowane adekwatne sankcje.

Krok prawny: zgłoszenie sprawy na Policję

Jeśli w Twojej ocenie określona osoba dopuściła się czynu karalnego, możesz zgłosić podejrzenie popełnienia przestępstwa na Policję. W polskiej ustawie o ochronie danych osobowych z 2018 r. znajdują się przepisy karne, które stanowią, że kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 107 ust. 1), zaś jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego identyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech (art. 107 ust. 2). Pamiętaj też, że – jak stanowi art. 46 § 1 kodeksu karnego – w razie skazania sąd może orzec obowiązek naprawienia, w całości albo w części, wyrządzonej przestępstwem szkody lub zadośćuczynienia za doznaną krzywdę.

RODO. Wspracie się przydaje!

Krok prawny: dochodzenie odszkodowania lub zadośćuczynienia przed sądem

W samym RODO jest wyraźnie wskazana podstawa prawna do kierowania roszczeń wobec podmiotów odpowiedzialnych za nieprawidłowe przetwarzanie danych osobowych. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 ust. 1). Takie odszkodowania zasądził na przykład niemiecki organ nadzorczy w sprawie dotyczącej wysyłki newslettera. Co prawda, zasądzona kwota 50 euro nie zwala z nóg, to jednak ten przypadek pokazuje, że wskazany mechanizm działa. W Polsce również pojawiło się już orzeczenie zasądzające zadośćuczynienie w wysokości 1,5 tys. zł, bez względu na to, że dane osobowe powódki (PESEL, nr telefonu) nie zostały upublicznione lub wykorzystane w sposób niezgodny z prawem przez osobę niepowołaną, która znalazła się w ich posiadaniu. Pamiętaj jednak, że droga cywilna wiąże się z kosztami (opłata od pozwu, wynagrodzenie pełnomocnika), chyba że ze względu na swą sytuację materialną otrzymasz zwolnienie od kosztów sądowych lub pomoc adwokata/radcy prawnego z urzędu. Wzór pozwu znajdziesz tutaj

Lepiej zapobiegać, niż leczyć

Jasne jest, że jeśli już powierzyłeś komuś swoje dane osobowe, to nie masz w zasadzie wpływu na sposób ich przetwarzania i stosowane zabezpieczenia. Częstokroć możesz jednak dokonać dobrego wyboru przed udostępnieniem swoich danych. Jeżeli planujesz skorzystać z usług, np. finansowych czy prywatnej opieki medycznej, warto dobrze przyjrzeć się stronie internetowej potencjalnego usługodawcy pod kątem informacji o przetwarzaniu danych. Sprawdź politykę prywatności oraz informacje na temat przetwarzania danych z cookies, a także formularz kontaktowy. Czy przekazywane informacje są przejrzyste i czy nie budzą Twoich wątpliwości? Taki prosty research pozwoli Ci przynajmniej zorientować się, na ile poważnie dany podmiot traktuje ochronę danych osobowych. Dopieszczona pod względem wymogów prawnych strona internetowa daje bowiem podstawę do przypuszczenia, że masz do czynienia z profesjonalistą, któremu zależy zarówno na stworzeniu, jak i utrzymaniu wizerunku zgodności z RODO.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".