W związku z coraz liczniejszymi przypadkami przełamywania zabezpieczeń oraz nieuprawnionego dostępu do danych przez podmioty trzecie przygotowaliśmy informację na temat możliwych do podjęcia działań dla osób, które padły ofiarą takich naruszeń.

1. Prawo wniesienia skargi do organu nadzorczego

Jeżeli przetwarzanie Twoich danych osobowych przez administratora lub podmiot przetwarzający narusza przepisy RODO^[1] możesz wnieść skargę na działania tych podmiotów do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych^[2].

Skarga wszczyna postępowanie administracyjne, którego celem jest weryfikacja, czy dany podmiot dopuścił się naruszenia przepisów, a jeżeli tak to zastosowanie wobec niego odpowiednich środków mających na celu przywrócenie stanu zgodnego z prawem, w tym upomnienie, nakazanie określonego działania, bądź nałożenie sankcji pieniężnych. O zastosowaniu tych środków decyduje z urzędu organ i nie są one aplikowane na wniosek skarżącego. Organ bada naruszenie w granicach wynikających ze skargi.

Przedmiotem skargi może być, m. in., naruszenie przez dany podmiot zasad dotyczących bezpieczeństwa przetwarzania danych. Organ nadzorczy powinien rozpatrzyć skargę lub poinformować skarżącego w terminie 3 miesięcy o postępach lub efektach rozpatrywania skargi. Od decyzji organu można odwołać się do sądu administracyjnego.

Postępowanie to nie ma na celu przyznawania odszkodowań lub innych rekompensat osobom, których prawa zostały naruszone.

2. Roszczenia z tytułu naruszenia RODO - rozpoznawane w postępowaniu cywilnym

W przypadku naruszenia przepisów RODO możesz również złożyć pozew do sądu powszechnego w trybie postępowania cywilnego. Postępowanie to jest niezależne od ewentualnego złożenia skargi, o której mowa powyżej, tj. możesz zastosować tylko jedną z tych opcji lub obie na raz.

W toku postępowania zgłaszasz konkretne roszczenia, których domagasz się na swoją rzecz od administratora/podmiotu przetwarzającego w związku z naruszeniem i sąd zobowiązany jest je rozpatrzyć. Roszczenia te mogą dotyczyć odszkodowania za szkodę majątkową lub niemajątkową (krzywdę), a także, jak należy wnioskować z odesłań zawartych w aktach prawnych, nakazania odpowiednich działań mających na celu zaprzestanie naruszenia lub usunięcie jego skutków. W zakresie nieuregulowanym w RODO odpowiednie zastosowanie znajdą przepisy Kodeksu cywilnego, w tym te o ochronie dóbr osobistych, o których szerzej niżej. Jeżeli dochodzisz odszkodowania musisz wykazać jego wysokość. Pod kątem dowodowym zazwyczaj trudniejsza do wykazania jest konkretna wysokość krzywdy niż szkody rzeczywistej.

Jeżeli w danym przetwarzaniu uczestniczy zarówno administrator jak i podmiot przetwarzający, ponoszą oni solidarną odpowiedzialność za szkodę. Administrator odpowiada za wszelkie szkody spowodowane przetwarzaniem naruszającym RODO, a podmiot przetwarzający wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na niego, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Żeby zwolnić się od odpowiedzialności za szkodę oba podmioty muszą udowodnić, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

3. Roszczenia z tytułu naruszenia dóbr osobistych (KC) - również rozpoznawane w postępowaniu cywilnym

Naruszenie praw związanych z danymi osobowymi może (choć nie musi) skutkować naruszeniem dóbr osobistych, o których mowa w przepisach Kodeksu cywilnego, w postaci np. prawa do prywatności. Wówczas także przysługuje prawo do wystąpienia z pozwem cywilnym przeciwko administratorowi lub podmiotowi przetwarzającemu.

Możesz wówczas żądać:

• zaniechania działania zagrażającemu danemu dobru,
• w razie dokonanego naruszenia - dopełnienia czynności potrzebnych do usunięcia jego skutków (chyba, że dane działanie nie jest bezprawne, co zobowiązany jest wykazać pozwany),
• zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny – w przypadku szkody niemajątkowej (krzywdy),
• naprawienia ewentualnej szkody majątkowej.

4. Inne możliwe do podjęcia działania

W przypadku wycieku danych możesz podjąć jeszcze szereg innych działań faktycznych, które nie wiążą się z wszczynaniem spraw administracyjnych lub sądowych, opisanych wyżej. Doraźnymi działaniami, które mogą pomóc w następczej ochronie danych są:

• wzmożona czujność w kontaktach mailowych i telefonicznych, szczególnie jeżeli wiążą się one z podawaniem danych osobowych;
• regularne sprawdzanie stanu środków na rachunkach bankowych pod kątem nieuprawnionych transakcji;
• zastrzeżenie dowodów tożsamości, jeżeli zaistnieją po temu przesłanki;
• uzyskanie raportów i ustawienie alertów Ciebie dotyczących w biurach informacji kredytowej i gospodarczej, obejmujących system bankowy, ale też instytucje pozabankowe;
• zastrzeżenie numeru PESEL;
• wniesienie odpowiednich środków odwoławczych lub inne niezbędne działania w przypadku powzięcia wiedzy o wszczętych postępowaniach lub wyrokach/tytułach wykonawczych wydanych na skutek bezprawnego użycia Twoich danych;
• zmiana dotychczasowych haseł logowania do poszczególnych serwisów oraz zwrócenie szczególnej uwagi na informacje o nieznanych próbach logowania;
• sprawdzanie na dedykowanych stronach czy dane zostały upublicznione;
• sprawdzenie na dedykowanej stronie informacji na temat dotyczących Ciebie rachunków bankowych;
• zaktualizowany do najnowszej wersji i sprawdzony program antywirusowy oraz inne zabezpieczenia na komputerze, na którym będą podejmowane powyższe działania;
• zgłoszenie sprawy na Policję.

Wszystkie te działania warto rozważyć w szczególności w powiązaniu z rodzajem danych, którego naruszenie dotyczy oraz charakterem samego naruszenia. Nie wszystkie działania będę potrzebne w każdym przypadku. Powinieneś natomiast zachować czujność przy podejmowaniu tych działań, gdyż wiele z nich również wiąże się z podawaniem danych, także online. Każde takie działanie powinno być poprzedzone weryfikacją jego niezbędności oraz podmiotu, któremu dane są przekazywane.

W razie pytań lub wątpliwości odnośnie konkretnych stanów faktycznych - zapraszamy do kontaktu.

[1] Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Dane kontaktowe: https://uodo.gov.pl/pl/p/kontakt, Formularz skargi: https://uodo.gov.pl/pl/501/2271