Artykuł pochodzi z wydania: Styczeń 2024
Kradzież danych osobowych i jej skutki to temat, który niestety nie traci na aktualności. W obliczu nowych, poważnych wycieków warto przypomnieć, jakie znaczenie w tym kontekście ma rozporządzenie o ochronie danych osobowych.
Liczba ataków hakerskich typu ransomware, których celem jest wymuszenie okupu za odzyskanie danych, nieustająco rośnie. Wykradzione dane (takie jak hasła dostępowe, adresy e-mail, numery PESEL czy też inne numery identyfikacyjne) często zostają upublicznione, co skutkuje wysokim ryzykiem naruszenia praw i wolności osób, których te dane dotyczą. Warto przypomnieć, że prawną podstawą, która pozwala w takiej sytuacji reagować, jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo).
Naruszenie ochrony danych i jego skutki
Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszeniem będzie można nazwać zarówno wysyłkę e-maila z poufnym plikiem do niewłaściwego adresata, jak i atak cyberprzestępców, którego skutkiem jest utrata danych osobowych, np. w postaci baz danych.
Osobę, której dane zostaną naruszone, mogą dotknąć różne nieprzyjemności. Z tego względu rodo nakłada na administratorów danych osobowych i podmioty przetwarzające obowiązki nakazujące szybką reakcję w odpowiedzi na incydenty bezpieczeństwa. Przepisy są skonstruowane w taki sposób, aby informacja o tych najcięższych w skutkach naruszeniach trafiała do osób, do których dane należą, odpowiednio wcześnie, pozwalając na szybką reakcję. Choćby w motywie 87, który należy czytać w związku z art. 32 rodo ustanawiającym obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, nakazano administratorowi oraz podmiotowi przetwarzającemu nieustannie kontrolować, czy wdrożył odpowiednie środki, by w przypadku incydentu od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. Dodatkowo art. 34 rodo nakłada na administratora danych osobowych obowiązek (w stosownych przypadkach) przekazania do Urzędu Ochrony Danych Osobowych (dalej: UODO) zgłoszenia o stwierdzonym naruszeniu bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin.
Informowanie osób, których dane dotyczą, o wysokim ryzyku naruszenia praw i wolności powinno nastąpić bez zbędnej zwłoki. W praktyce zdarza się, że poinformowanie UODO lub osób, których dane dotyczą, z różnych względów następuje dużo później. Czasem nie następuje w ogóle. Na podjęcie decyzji o (nie)zawiadamianiu wpływa szereg czynników o charakterze biznesowym. Dla administratora, którego dotyczy zdarzenie (ostatecznie to administrator ma obowiązek zgłoszenia, nie podmiot przetwarzający), zgłoszenie czy poinformowanie o naruszeniu może oznaczać nie tylko stratę środków finansowych, ale i dodatkowe prace związane z obsługą zdarzenia, spadek zysków, wydatki na pomoc poszkodowanym, utratę reputacji marki, zaufania i wizerunku. Nierzadko to nie groźba kar finansowych, a pewność okołozdarzeniowych strat biznesowych, w tym w zakresie wizerunku, w większym stopniu wpływa na ostateczna decyzję o (nie)zgłoszeniu zdarzenia. Wielu podmiotom wykrycie niezgłoszonego zdarzenia przez Prezesa UODO i nałożenie w konsekwencji kary finansowej wciąż jawi się jako mało prawdopodobne. Niestety decyzja administratora o niezgłoszeniu może okazać się fatalna w skutkach dla osób, których dane dotyczą. Udostępnienie niektórych kategorii danych osobowych może doprowadzić do kradzieży tożsamości. Skutkiem takiej kradzieży są już nie tylko naruszenie prywatności osoby, której dane dotyczą, ale także straty finansowe. Wówczas najczęściej osoby, których dane dotyczą, prowadzą dialog z administratorami, by uzyskać rekompensatę za ich działania bądź zaniechania. Gdy rozmowy się nie powiodą, poszkodowani mogą szukać innych rozwiązań.
Możliwość złożenia skargi do UODO
Na podstawie art. 77 rodo każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza rodo. Każda ze skarg na wstępie analizowana jest pod kątem spełnienia warunków formalnych przewidzianych przepisami ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (tekst jedn. DzU z 2023 r., poz. 775 ze zm.). Jeśli skarga nie spełnia wymaganych warunków formalnych, wzywa się wnioskodawcę do uzupełnienia braków. W sprawach, w których nie uzupełniono braków, skargi pozostawia się bez rozpoznania.
Skarga powinna zawierać przede wszystkim takie dane jak imię, nazwisko, adres zamieszkania. Niezbędne jest dodatkowo wskazanie podmiotu, na który składana jest skarga, dokładny opis naruszenia, żądanie osoby, której dane dotyczą, oraz podpis. Prezes UODO w swoim sprawozdaniu za rok 2022 wskazał, że kierowane do niego skargi często nie zawierały precyzyjnego określenia żądania, a także że skarżący wskazywali na naruszenie ochrony danych osobowych osób trzecich, jak również składali skargi dotyczące przyszłego przetwarzania, które jeszcze nie zaistniało. Podstawowe żądania, które podmiot danych może złożyć do Prezesa UODO, to w szczególności żądanie usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych.
[…]
Justyna Majchrzak
Autorka na co dzień współpracuje z Kancelarią Prawną Schampera, Dubis, Zając i Wspólnicy sp.j. (SDZLEGAL Schindhelm) jako specjalistka ds. ochrony danych osobowych. Zdobyła uznawany na całym świecie certyfikat Certified Information Privacy Professional / Europe od IAPP.
