Wyciek danych osobowych może nieść za sobą poważne konsekwencje. W mediach można często spotkać doniesienia o wycieku danych z bazy rozmaitych firm. Czym jest wyciek danych osobowych i jakie może nieść za sobą konsekwencje?
Czym jest wyciek danych osobowych?
Wyciek danych osobowych to sytuacja, w której dochodzi do bezprawnego pozyskania personaliów zgromadzonych w wirtualnej bazie danych. Sytuacja taka może być efektem działań hakerskich i niewystarczających zabezpieczeń sieci lub skutkiem niedopatrzenia pracownika. Co ważne, naruszenie ochrony danych osobowych może dotyczyć zarówno takich informacji jak PESEL czy numer dowodu osobistego, jak również danych do logowania – np. w mediach społecznościowych lub sklepie internetowym.
Zgodnie z prawem, za bezpieczeństwo danych osobowych odpowiada ich administrator – czyli (w odniesieniu do wycieku) platforma internetowa (sklep, social media itp.), której dobrowolnie przekazaliśmy personalia w celu ich przetwarzania. Co za tym idzie, konsekwencje za ewentualny wyciek ponosi właśnie wspomniany administrator i to od niego można uzyskać odszkodowanie za ujawnienie danych osobowych lub zadośćuczynienie.
Zagrożenia wynikające z wycieku danych osobowych
Wyciek danych osobowych może nieść za sobą poważne w skutkach konsekwencje dla osoby, która padła jego ofiarą. Wśród tych, które są zdecydowanie mniej szkodliwe, choć z pewnością dolegliwe, można wskazać m.in. otrzymywanie dużej ilości telefonów z różnego rodzaju ofertami czy wiadomości e-mail, zawierających treści reklamowe lub odnośniki, które mogłyby prowadzić do dalszej kradzieży danych.
Można także mówić o zdecydowanie poważniejszych zagrożeniach, jakie wynikają z wycieku danych osobowych. Wśród nich wskazać można choćby ujawnienie danych do logowania w portalu społecznościowym. Choć wydaje się to niegroźne, nim poszkodowana osoba fizyczna odkryje, że nie tylko ona ma dostęp do konta – może dojść np. do wyłudzenia środków pieniężnych od znajomych lub rodziny okradzionego. Wyciek może dotyczyć także danych do logowania na zdecydowanie istotniejszych stronach, jak bankowość mobilna. Dodatkowo, jeśli wyciek dotyczy danych o wyższym stopniu wrażliwości (m.in. numer dowodu, PESEL itd.) – może dojść na przykład do pozyskania kredytu na dane wspomnianej osoby fizycznej.
W związku z powyższymi zagrożeniami płynącymi z pozyskania danych osobowych administratorzy dokładają wszelkich starań, aby ich bazy danych były odpowiednio chronione. Niestety, nie zawsze jest to możliwe, czy to z powodu błędu ludzkiego, czy przebiegłości hakerów.
Skutki wycieku danych osobowych
Skutkiem wycieku danych osobowych jest szereg działań, jakie musi podjąć ich administrator. Przede wszystkim, ma on obowiązek niezwłocznie powiadomić prezesa UODO (w ciągu maksymalnie 72 godzin od stwierdzenia wycieku), jeśli istnieje ryzyko naruszenia wolności oraz praw osób, których dane były przechowywane. Ocenę ryzyka pozostawia się administratorowi, przy czym jeśli będzie ona nieprawidłowa – niepoinformowanie prezesa UODO może wiązać się z karą administracyjną.
Kolejną czynnością, jaką administrator musi podjąć bez zbędnej zwłoki, jest zawiadomienie osób, których dane wyciekły. Podobnie jak w przypadku wyżej opisanego zawiadomienia, tutaj również konieczne jest dokonanie oceny, czy wyciek danych może wiązać się z naruszeniem wolności oraz praw osób fizycznych.
Jeśli pomimo dotrzymania powyższych obowiązków, nie uda się zapobiec wystąpieniu szkody po stronie osoby fizycznej, może ona wystąpić o odszkodowanie za ujawnienie danych osobowych.
Wyciek danych osobowych – jakie prawa ma poszkodowany?
Sam wyciek danych osobowych nie stanowi podstawy do podjęcia żadnych działań przez osobę fizyczną. Jeśli jednak uda się udowodnić, że doszło do straty finansowej (np. w wyniku kradzieży środków z konta bankowego) – może ona wystąpić o odszkodowanie za ujawnienie danych osobowych. Co ważne, aby zaistniała taka możliwość, należy udowodnić związek przyczynowo-skutkowy pomiędzy stratą finansową a wyciekiem danych osobowych.
Jednak co może zrobić osoba, która co prawda nie poniosła szkody finansowej, jednak jest nękana telefonami lub e-mailami? W takiej sytuacji ustawodawca przewidział możliwość wystąpienia o zadośćuczynienie na mocy kodeksu cywilnego lub rozporządzenia o ochronie danych osobowych. Jeśli poszkodowany jest w stanie wskazać, że połączenia telefoniczne (lub wiadomości e-mail) skutecznie obniżyły komfort jego życia – sąd może przyznać zadośćuczynienie. Wymaga to jednak odpowiedniej argumentacji, zatem chcąc osiągnąć sukces – warto skorzystać w tym zakresie ze wsparcia profesjonalistów.