Coraz częściej doświadczamy zjawiska kradzieży lub wycieku danych osobowych. Incydenty i naruszenia ochrony tych danych dotyczą i instytucji państwowych, czołowych portali społecznościowych, i mniejszych podmiotów. Trzeba mieć świadomość, że nawet najdoskonalsze zabezpieczenia lub procedury mogą zawieść. Ryzyko związane z uzyskaniem dostępu do danych przez osoby nieupoważnione jest wpisane w funkcjonowanie w życie w społeczeństwie informacyjnym.

Na kradzieży lub wycieku danych tracą przedsiębiorcy i osoby, których dane dotyczą. Wobec takiego zdarzenia nie wolno pozostawać biernym. W polskim porządku prawnym dysponujemy rozwiązaniami, dzięki którym możliwe jest uzyskanie rekompensaty za poniesione straty.

Czemu to tak ważne

Prawo do ochrony danych osobowych, jako wywodzące się z prawa do prywatności, zalicza się do dóbr osobistych człowieka. W związku z tym podlega ochronie na podstawie przepisów kodeksu cywilnego, niezależnie od przewidzianej w innych przepisach.

Naruszenia ochrony danych mogą mieć daleko idące, negatywne konsekwencje. Jeżeli nasze dane osobowe ulegną nieuprawnionemu ujawnieniu, to w najbardziej optymistycznym scenariuszu dostaniemy więcej spamowych e-maili niż zwykle. Ale mogą to też być telefony z automatem po drugiej stronie słuchawki. W scenariuszu mniej optymistycznym skradzione dane osobowe zostaną przez cyberprzestępców wykorzystane do zawierania w naszym imieniu różnego rodzaju umów, w tym nawet umów kredytu lub rachunku bankowego. Możemy zatem paść ofiarą kradzieży tożsamości. Jej skutki są często uciążliwe i trudne do odwrócenia. Walka o swoje prawa może się wiązać z wieloletnią batalią przed organami wymiaru sprawiedliwości.

Z tego względu to niezwykle istotne, aby przedsiębiorstwa przetwarzające dane osobowe wdrożyły odpowiednie środki techniczne i organizacyjne, zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Przy doborze takich środków należy kierować się stanem wiedzy technicznej, kosztem wdrożenia, a także charakterem, kontekstem i celem przetwarzania danych. Jednorazowe wdrożenie odpowiednich środków nie zagwarantuje dożywotniego bezpieczeństwa przetwarzania. Przedsiębiorcy powinni regularnie testować, mierzyć i oceniać skuteczność stosowanych zabezpieczeń.

Problem biznesu

Naruszenia ochrony danych osobowych zawsze stanowią dla przedsiębiorców niemałą dolegliwość. Firmy muszą w takich przypadkach mierzyć się przede wszystkim ze stratami wizerunkowymi, reakcją organów odpowiedzialnych za ochronę danych osobowych, a także ewentualnymi roszczeniami osób, których naruszenie dotyczy. Sprawcy kradzieży zazwyczaj doskonale wiedzą, jak ukryć swoją tożsamość i uciec od odpowiedzialności.

Co jednak w przypadku, gdy poszkodowanemu przedsiębiorcy uda się ustalić tożsamość cyberprzestępcy? Wówczas dysponuje on szerokim wachlarzem odszkodowawczych i represyjnych środków prawnych zarówno na gruncie przepisów prawa cywilnego, karnego, jak i ustawy o zwalczaniu nieuczciwej konkurencji.

Podstawowym źródłem odpowiedzialności odszkodowawczej są przepisy kodeksu cywilnego. To przede wszystkim na ich podstawie przedsiębiorca może żądać odszkodowania od sprawcy. Kto bowiem z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia. Odszkodowanie obejmuje przede wszystkim rzeczywiste straty, które poszkodowany poniósł w związku z kradzieżą. Jeżeli przedsiębiorca padł ofiarą nieuprawnionego uzyskania przez daną osobę dostępu do informacji, to zachowanie takiej osoby może być dodatkowo zakwalifikowane jako przestępstwo. Wówczas możliwe jest także podjęcie kroków na drodze prawnokarnej.

Ponadto, jeżeli za kradzież danych odpowiada konkurencja, firmie przysługują roszczenia przewidziane przez ustawę o zwalczaniu nieuczciwej konkurencji. Przedsiębiorca, którego interes został zagrożony lub naruszony, może żądać nie tylko naprawienia szkody na zasadach ogólnych, ale również zaniechania niedozwolonych działań, usunięcia ich skutków, złożenia jednokrotnego lub wielokrotnego oświadczenia w odpowiedniej formie czy nawet wydania bezpodstawnie uzyskanych korzyści. Przepisy tej ustawy przyznają zatem znacznie szersze możliwości naprawienia szkody wyrządzonej naruszeniem.

Środki prawne

Z powodu naruszeń w zakresie ochrony danych osobowych tracą nie tylko przedsiębiorstwa, ale też osoby, których dane są przetwarzane. Również one, jako poszkodowane cudzym działaniem lub zaniechaniem, mogą starać się o naprawienie szkody, z tą różnicą, że do odpowiedzialności może być pociągnięty nie sprawca kradzieży, a podmiot, który przetwarzał dane i padł ofiarą kradzieży.

Pierwszym krokiem w celu uzyskania naprawienia szkody wyrządzonej wyciekiem danych osobowych jest ustalenie źródła wycieku. Jeżeli źródło jest nam znane i jesteśmy przekonani, że podmiot ten zawinił w kwestii ochrony danych osobowych, możemy pociągnąć taki podmiot do odpowiedzialności.

Wiemy już, że prawo do ochrony danych osobowych mieści się w katalogu dóbr osobistych, a także że w związku z tym podlega ochronie na podstawie przepisów kodeksu cywilnego. W razie naruszenia dobra osobistego istnieje możliwość żądania zapłaty odpowiedniej sumy tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Ponadto, w razie dokonanego naruszenia, możliwe jest żądanie, ażeby podmiot, który dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

Dodatkową podstawę dochodzenia roszczeń przewiduje RODO. Zgodnie z przepisami tego rozporządzenia każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. To na administratorze lub podmiocie przetwarzającym spocznie ciężar dowiedzenia, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Wykazanie tego będzie wiązało się jednak przede wszystkim z koniecznością przedstawienia przez przedsiębiorcę dowodów wskazujących na zastosowanie odpowiednich środków i procedur mających na celu ochronę danych osobowych. Jeżeli okaże się, że przedsiębiorca środków takich nie stosował albo stosował środki niewystarczające, będzie on zobowiązany do naprawienia wynikłej stąd szkody.

Ostrożność to klucz

Należy zatem przede wszystkim pamiętać o ostrożności przy udostępnianiu swoich danych osobowych. Każde bowiem przekazanie danych osobowych wiąże się z ryzykiem, że osoby nieuprawnione uzyskają do nich dostęp. Jeżeli jednak do wycieku już dojdzie, prawo daje możliwość uzyskania w związku z tym odpowiedniej rekompensaty.

Przedsiębiorcy powinni z kolei rzeczywiście dbać o stan swoich zabezpieczeń zarówno od strony technicznej, jak i organizacyjnej. I choć nawet najlepsze zabezpieczenia nie uchronią przed atakiem cyberprzestępców, to mogą przynajmniej ograniczyć związane z tym szkody i uwolnić od ewentualnej odpowiedzialności w stosunku do organów ochrony danych osobowych i osób, których dane są przetwarzane.

Autor jest aplikantem adwokackim w Kancelarii Grube