Jestem ofiarą naruszenia ochrony danych – co mogę zrobić?

Świadomość tego, że ktoś obcy jest w stanie zaciągnąć na nas kredyt, nie należy do przyjemnych. Czasami powoduje podobny efekt psychologiczny do dalszego zamieszkiwania w domu, do którego ktoś wcześniej się włamał. Nie zawsze jednak naruszenie ochrony danych oznacza, że doświadczymy negatywnych skutków, choć czasem sami będziemy musieli im zapobiec. Jak zatem żyć z naruszeniem RODO? Co zrobić, by nie poddać się poczuciu nieustannego zagrożenia i beznadziei?

Co to jest naruszenie ochrony danych osobowych

Naruszeniem ochrony danych jest naruszenie bezpieczeństwa, które prowadzi do:

  • przypadkowego lub niezgodnego z prawem zniszczenia, utracenia danych osobowych (naruszenie dostępności),
  • przypadkowego lub niezgodnego z prawem zmodyfikowania danych osobowych (naruszenie integralności),
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (naruszenie poufności).

Naruszenie może wynikać zarówno z przyczyn leżących po stronie administratora, jak i z powodów od niego niezależnych.

Ważne jest, by administrator odpowiednio zabezpieczył dane, przewidując różne scenariusze.

Przykład

Pracownik wysyła załącznik z projektem umowy, który zawiera dane osobowe klienta, do innej osoby. W efekcie ta osoba mogła zapoznać się z danymi osobowymi klienta.

Tutaj trzeba położyć nacisk na słowo „odpowiednio", ponieważ administrator powinien dostosować poziom zabezpieczeń do:

  • stanu wiedzy technicznej,
  • kosztu wdrażania oraz
  • charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Znaczy to, że inne obowiązki ciążą na banku, który przetwarza szeroki zakres danych osobowych setek tysięcy osób, a inne na małej lokalnej firmie, która produkuje meble i przetwarza dane klientów niezbędne do wykonania zleceń.

Skąd dowiesz się o naruszeniu ochrony swoich danych osobowych

Najczęściej źródłem informacji o naruszeniu będą:

  • administrator, u którego doszło do naruszenia,
  • media,
  • osoba lub podmiot, który uzyskał Twoje dane osobowe w wyniku naruszenia.

Może być jednak i tak, że nie dowiesz się o naruszeniu ochrony Twoich danych osobowych. Co więcej, w niektórych przypadkach administrator nie ma obowiązku zawiadomić Cię o naruszeniu. Zależy to od tego, jak istotne ryzyko rodzi naruszenie.

Ważne

Administrator musi zweryfikować i ocenić wagę każdego naruszenia. Jeżeli ustali, że naruszenie powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, wówczas powinien Cię o nim zawiadomić.

Czasem administratorzy zawiadamiają osoby o mniej istotnych naruszeniach, dając im w ten sposób szansę na podjęcie kroków, które pomogą im zabezpieczyć ich interesy, pomimo ograniczonego ryzyka.

Czy musisz zgłosić naruszenie inspektorowi ochrony danych administratora albo do PUODO

Nie, na Tobie nie ciąży taki obowiązek. Jeżeli jednak masz informacje o naruszeniu, to inspektor ochrony danych może być dla Ciebie źródłem dodatkowych informacji. Może też pomóc rozwiać Twoje wątpliwości.

Jeżeli chodzi o poinformowanie PUODO - czyli Prezesa Urzędu Ochrony Danych Osobowych - to oczywiście możesz to zrobić. Nie jest jednak wykluczone, że administrator sam zgłosił naruszenie, choć trzeba pamiętać, że nie musi tego robić, jeżeli waga naruszenia jest niska.

Czy musisz podjąć dodatkowe czynności

Zasadniczo nie masz takiego obowiązku. Jednak niekiedy podjęcie dodatkowych kroków może zabezpieczyć Cię przed ewentualnymi skutkami naruszeń. Administrator podejmie (a przynajmniej powinien) kroki, które powinny zmniejszyć ryzyko naruszenia Twoich praw i wolności, jednak nie jest w stanie zapobiec wszystkim skutkom naruszenia ochrony danych. Może natomiast zaproponować Ci odpowiednie działania, zawiadamiając Cię o naruszeniu.

Przykład

Administrator zawiadomił Cię, że hakerzy uzyskali dostęp do przechowywanych przez niego danych, które są zawarte w umowach, w tym Twoich. Wśród nich są: imiona i nazwiska, adres zamieszkania, PESEL i numer dowodu osobistego. Przy takim zestawie ujawnionych danych powinno się rozważyć przede wszystkim niezwłoczne zastrzeżenie numeru PESEL i dowodu osobistego

Zakres czynności, które możesz podjąć, zależy przede wszystkim od tego:

  • co wiesz o naruszeniu,
  • jak istotny zakres danych został ujawniony, zmieniony lub utracony,
  • ile osób uzyskało dostęp do Twoich danych,
  • jakie są skutki zdarzenia dla Ciebie (np. brak możliwości korzystania z określonych usług),
  • czy osoby odpowiedzialne za naruszenie działały intencjonalnie.

Musisz także mieć na uwadze, że administrator może poinformować Cię o całym szeregu potencjalnych skutków naruszenia. Miej jednak świadomość tego, że nie każdy z nich rzeczywiście musi nastąpić.

Najgorsze, co możesz zrobić, to ulec panice i podejmować decyzje pod wpływem emocji.

Jakie działania możesz podjąć - przykłady

Katalog działań, które możesz podjąć, zależy od rodzaju naruszenia. Poniżej prezentujemy przykłady czynności, które mogą pomóc Ci zminimalizować skutki naruszenia, gdy wyciekną Twoje newralgiczne dane, takie jak:

Numer Twojego dowodu osobistego:

  • możesz zastrzec dowód osobisty w dowolnym banku lub korzystając z usługi Biura Informacji Kredytowej;

Twój PESEL:

  • możesz zastrzec swój PESEL w aplikacji mObywatel lub w urzędzie gminy;

Numer Twojej karty płatniczej oraz kod CVV:

  • możesz zastrzec kartę, korzystając z bankowości elektronicznej lub dzwoniąc na infolinię swojego banku. W ten sposób można zastrzec kartę w dowolnym momencie, 24 godziny 7 dni w tygodniu. Można też wykorzystać uniwersalny, międzybankowy System Zastrzegania Kart, dzwoniąc pod (+48) 828 828 828.

Czy przysługuje Ci rekompensata za naruszenie RODO

Wielu osobom wydaje się, że naruszenie ochrony danych skutkuje łatwą możliwością uzyskania zadośćuczynienia od administratora. Niestety, rzeczywistość jest zgoła odmienna. Szerzej o zadośćuczynieniach piszemy tutaj: Zadośćuczynienie z tytułu naruszenia RODO – czy to możliwe?

Ogólne wnioski są jednak takie, że krzywda osób, będących ofiarami naruszeń ochrony danych, jest wyceniana przez sądy relatywnie nisko. O ile oczekiwania z reguły oscylują w okolicach kilkudziesięciu tysięcy, o tyle ostatecznie zasądzane zadośćuczynienia raczej nie przekraczają kwoty 1-2 tysięcy złotych.

Podsumowanie

Gdy uzyskasz informację o naruszeniu, przydatne może być odpowiedzenie sobie na następujące pytania:

  1. W jaki sposób mogę odczuć skutki naruszenia?
  2. Co o mnie wie osoba, która otrzymała dane?
  3. Co może zrobić przy ich użyciu?
  4. W czym brak dostępu do danych utrudnia mi życie?
  5. Jakie znam metody, żeby temu zapobiec?
  6. Czy potrzebuję pomocy specjalisty?
quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Czy administrator zawsze musi podjąć wszelkie możliwe działania, by zapobiec naruszeniom?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>