Odszkodowanie za wyciek danych osobowych

5 /5
(Ocen: 4)

Wiele osób nie zdaje sobie sprawy z przysługujących im praw po wycieku danych osobowych. Za każdy, nawet najdrobniejszy wyciek, można wystąpić na drogę sądową. Właśnie dlatego znajomość ich jest tak kluczowa. Po wejściu w życie RODO stało się to teoretycznie przejrzystsze, jednak czy każdy zna przysługujące mu w praktyce przywileje?

Bezpłatna Konsultacja z Ekspertem Odszkodowawczym

Odszkodowanie za wyciek danych osobowych

Coraz częściej dochodzi do włamań na serwery większych i małych firm, które gromadzą dane o swoich klientach. W większości przypadków dane te zawierają:

  • imię i nazwisko,
  • miejsce zamieszkania (lub adres do korespondencji),
  • PESEL,
  • numer telefonu,
  • datę urodzenia.

W związku z przechowywaniem danych, które mogą zostać wykorzystane w niepożądany sposób, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) wprowadziło nowe obowiązki dla podmiotów gromadzących dane osobowe. Od tamtego momentu każdy podmiot, który przetwarza lub przechowuje dane, musi zadbać o należytą ich ochronę. W przypadku naruszeń, firmy będą karane surowymi karami administracyjnymi w formie pieniężnej, ale też możliwymi odszkodowaniami na rzecz osoby lub osób, których dane udostępniono.

To tyle w teorii. W tym momencie można by było wstawić dowolny mem z opisem “oczekiwania kontra rzeczywistość” 🙂 Oczywiście są też wyjątki. Chociażby Sąd Okręgowy w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, w swoim wyroku określił wartość danych osobowych na… 1 500 złotych (więcej szczegółów napiszemy na końcu artykułu).

Zagrożenie jest duże, ponieważ wyciek danych osobowych może nieść bardzo przykre  konsekwencje – np. wzięcie kredytu “chwilówki” na osobę, której dane zostały opublikowane w internecie. 

O wycieku danych osobowych należy zgłosić zawiadomienie do UODO (Urząd Ochrony Danych Osobowych) w ciągu 72 godzin. Jeśli zgłoszenie zostanie wysłane po tym czasie, może mieć to wpływ na wymiar kary od UODO. Wyciek danych w firmie również musi zostać niezwłocznie zgłoszony, a następnie sprawdzane jest, czy doszło do naruszenia RODO.

Jeśli dane osobowe wyciekły, można zastrzec dowód osobisty, dokumenty bankowe, karty, a nawet całe konto. Dobrze jest też założyć konto w systemie informacji kredytowej i gospodarczej, celem monitorowania aktywności kredytowej.

Co to jest RODO?

RODO, czyli rozporządzenie o ochronie danych osobowych, zawiera zbiór przepisów chroniących osoby fizyczne przed rozpowszechnianiem ich tożsamości. Od momentu jego wprowadzenia każdy zyskuje prawo do między innymi; niezwłocznej informacji w razie wycieku danych w ręce hakerów, jaśniejszego komunikatu informującego o tym, w jaki sposób zostają użyte dane oraz ułatwionego wymazania danych. Ponadto, na każde użycie danych osobowych, musi zostać udzielona dobrowolna zgoda ich posiadacza. Jeżeli nie zostanie ona udzielona, a mimo to dane zostają użyte, nachodzi do naruszenia RODO, a poszkodowany może wystąpić o odszkodowanie za wyciek danych osobowych.

Kiedy za nadużycie RODO należy się odszkodowanie?

Odszkodowanie za naruszenie RODO należy się zawsze, kiedy do niego dochodzi. Nie jest to jednak tak oczywiste i nie każdy pozew kończy się otrzymaniem wysokiej rekompensaty. Szkody wynikające z wycieku można podzielić na dwa rodzaje; majątkowe i niemajątkowe.

W przypadku szkód majątkowych, czyli w sytuacji gdzie doszło na przykład do wycieku danych kart kredytowych, w wyniku czego poszkodowany stracił pieniądze, wystąpienie o odszkodowanie jest jak najbardziej uzasadnione. Wnoszący skargę ma też większe szanse powodzenia na rzeczywisty zwrot kosztów poniesionych w wyniku wycieku. Ma on też fizyczne dowody na swoje straty.

Szkody niemajątkowe są zdecydowanie trudniejsze do rozstrzygnięcia. Ciężej jest w takim przypadku przedstawić swoją krzywdę i faktycznie udowodnić, z czym dla poszkodowanego wiązało się złamanie rozporządzenia. Nie jest to jednak niemożliwe. Szkodą niemajątkową jest na przykład uszczerbek na zdrowiu psychicznym, a dowodem na tę krzywdę może być opinia psychologa lub psychiatry. Każdy przypadek wycieku danych osobowych wiąże się z innymi konsekwencjami i jest indywidualny. Dlatego kary za złamanie RODO nie są ściśle określone i dostosowuje je sąd.

Przed wstąpieniem na drogę sądową warto skonsultować swoją sprawę z osobą wykwalifikowaną, która realnie oceni szanse na satysfakcjonujące zakończenie sporu. Należy pamiętać również o opłacie za pozew o ochronę danych osobowych, którego cena wynosi minimum 600 złotych. W przypadku pozwu o odszkodowanie koszty będą zależne od wysokości kwoty, o którą potoczy się spór.

Bezpłatna Konsultacja z Ekspertem Odszkodowawczym

Odszkodowanie za wyciek danych osobowych w sklepie internetowym Morele

Największa dotychczas kara za złamanie obowiązku RODO w Polsce otrzymał sklep internetowy Morele. Kara wyniosła 2 830 410 złotych i jest wynikiem naruszenia przepisów Ogólnego rozporządzenia o ochronie danych, w zakresie:

  • 5 ust. 1 lit. a – zasady zgodności z prawem, rzetelności i przejrzystości,
  • 5 ust. 1 lit f – zasady integralności i poufności,
  • 5 ust. 2 – zasady rozliczalności,
  • 6 ust. 1 – podstaw prawnych przetwarzania danych osobowych,
  • 7 ust. 1 – obowiązku wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych,
  • 24 ust. 1 – obowiązku wdrażania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z Ogólnym rozporządzeniem o ochronie danych i wykazania podjętych działań w tym zakresie oraz w razie potrzeby poddawania tych środków przeglądom i uaktualnianiu,
  • 25 ust. 1 – zasady privacy by design,
  • 32 ust. 1 lit. b – zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • 32 ust. 1 lit lit. d – regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  • 32 ust. 2 – obowiązku oceny stopnia bezpieczeństwa przetwarzania przy uwzględnieniu, w szczególności ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Co ciekawe, kwotę, którą miała zapłacić firma, była oceniana przez urzędnika UODO, a nie biegłego.

Decyzja z dnia 10 września 2019 roku (ZSPR.421.2.2019) mówi wyraźnie, że: “Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes Urzędu Ochrony Danych Osobowych – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

  1. a) Spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów, co skutkowało dwukrotnym uzyskaniem dostępu do […] przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych wszystkich klientów Spółki w łącznej liczbie około 2 200 000 (około dwóch milionów dwustu tysięcy) osób; tym samym, poprzedzające wystąpienie naruszenia działania Spółki zmierzające do zapewnienia bezpieczeństwa przetwarzania danych należy uznać za nieskuteczne, albowiem nie przyczyniły się one do wyeliminowania ryzyka zaistnienia szkód;“

W ocenie prezesa UODO w Morele zawiódł środek uwierzytelniania, a także niewystarczająco i nieskutecznie monitorowano potencjalne zagrożenia. Zdecydowanie błędem ze strony Morele było też nierzetelne przetwarzanie danych oraz zawiadomienie poszkodowanych klientów, że nie wyciekły dane osób, które nie brały sprzętu w formie ratalnej – co było błędem.

Wielką niezrozumiałą rzeczą jest jednak to, że firma zapłaci UODO ogromną kwotę, a poszkodowani klienci do dziś nic nie otrzymali w ramach rekompensaty czy odszkodowania.

Bezpłatna Konsultacja z Ekspertem Odszkodowawczym

Wyciek danych osobowych w Tauron

Tauron potwierdził informacje o wycieku danych osobowych i nagrań, na których słychać konsultantów rozmawiających z klientami. Mogło dojść też do ujawnienia imienia, nazwiska, daty urodzenia, adresu e-mail, numeru telefonu i adresu poboru energii, a także numeru NIP i PESEL. To stwarza duże możliwości do wykorzystania danych w niewłaściwych celach.

Tauron ustosunkował się do zarzutów: “Bardzo przepraszamy za tę sytuację, która miała miejsce, mimo stosowanych przez nas zabezpieczeń. Ponieważ ujawnienie powyższych danych osobowych – zwłaszcza imienia i nazwiska oraz PESEL-u – może spowodować podszycie się pod Państwa obcej osoby, prosimy, aby zapoznali się Państwo z informacją na temat tego zdarzenia, możliwych konsekwencjach i środkach, jakie podjęliśmy, aby zabezpieczyć dane osobowe naszych klientów. Wszystkie na bieżąco aktualizowane informacje znajdą Państwo na stronie tauron.pl/komunikat-dane. Mogą także Państwo skontaktować się z nami telefonicznie pod numerem infolinii 32 606 0 606, która będzie czynna także w sobotę i niedzielę od 7:00 do 20:00”.

Co ciekawe, sam Tauron twierdzi, że dane mogą być bezpieczne, ponieważ rozmowy, które wyciekły prowadzone były przez “dwie firmy partnerskie“, a serwer, na którym były nagrania podobno był udostępniany dla wszystkich chętnych klientów. Haker o pseudonimie Edison twierdzi, że dane z serwera ściągnął w ramach zemsty na próbę ataku programistów z firmy współpracującej z Tauronem.

Odszkodowanie za wyciek danych osobowych wycenione na 1 500 zł

Jak wspomnieliśmy wcześniej, wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19 mówi wyraźnie, że w ramach odszkodowania za wyciek danych osobowych otrzymano 1 500 zł. Była to pierwsza walka w sądzie cywilnym, a nie z ramienia UODO.

Właścicielka pojazdu pozwała firmę ubezpieczeniową, ponieważ podczas dokumentacji dotyczącej szkody w wyniku kolizji, firma nie zadbała o animizację dokumentów. W efekcie, poszkodowany w kolizji otrzymał na tacy wszystkie dane właścicielki auta – imię i nazwisko, miejsce zamieszkania, PESEL, numer telefonu i dane o pojeździe. Kiedy firma zorientowała się, że doszło do wycieku danych osobowych, kobieta przestraszyła się konsekwencji i wystąpiła do ubezpieczyciela o 10 000 zadośćuczynienia za naruszenie danych osobowych. Sąd uznał, że kwota odszkodowania jest zbyt wysoka i wydał wyrok, aby firma zrekompensowała krzywdę kobiecie – musiała starczyć zatem kwota 1 500 zł.

Wyciek danych osobowych w Krajowej Szkole Sądownictwa i Prokuratury

Słynny wyciek danych osobowych ponad 50 000 prokuratorów, sędziów i asesorów. Naruszenie może dotyczyć takich danych, jak:

  • imię i nazwisko,
  • numer telefonu,
  • adres e-mail,
  • miejsce zamieszkania,
  • data ostatniego logowania się w serwisie szkoleniowych,
  • jednostka pracy,
  • hasło (zaszyfrowane).

Był to wyjątkowo niebezpieczny wyciek danych osobowych, który narusza bezpieczeństwo osób związanych z sądami i prokuraturą. Dane mogli przecież wykorzystać skazani lub oskarżeni, którzy mogli zapragnąć zemsty na prokuraturze lub sędzim. Warto dodać, że Krajowa Szkoła Sądownictwa i Prokuratury działa bezpośrednio pod nadzorem Ministerstwa Sprawiedliwości.

Wyciek danych osobowych w serwisie pożyczkowym MoneyMan

Niestety zabezpieczenia również nie uchroniły serwisu z szybką pożyczką pod szyldem MoneyMan.pl. Wyciek danych dotyczył 260 000 klientów. Wyciekły między innymi takie dane jak:

  • imię i nazwisko,
  • adres e-mail,
  • PESEL,
  • numer dowodu osobistego lub paszportu,
  • hasło,
  • numer rachunku bankowego.

Sprawa została zgłoszona do UODO, a sam portal zasugerował tylko zmianę hasła przez klientów. Co więcej, o samym wycieku danych poinformował  na Twitterze Bob Diachenko (specjalista w sprawach bezpieczeństwa baz danych). Jego Tweet poinformował nie tylko klientów o problemie, ale też… samych administratorów portalu.

Odszkodowanie za wyciek danych osobowych

Źródło: https://twitter.com/MayhemDayOne/status/1237313235185012736

Informacje o autorze

enerad.pl

enerad.pl to pierwsza porównywarka cen energii w Internecie. Dzisiaj działamy dla Was nie tylko w branży energetycznej! Dostarczamy Wam porady, opinie, recenzje i rankingi z różnych branż.

Dodaj komentarz
guest
0 komentarzy
Inline Feedbacks
View all comments