Naruszenie ochrony danych osobowych w internecie - prawa, skargi i odszkodowanie (RODO)

Naruszenie ochrony danych osobowych w internecie - wyciek bazy klientów, publikacja Twoich danych bez zgody, kradzież tożsamości, nielegalny profiling - daje Ci konkretne narzędzia prawne. Możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), żądać od administratora realizacji praw z RODO, a także dochodzić odszkodowania za szkodę majątkową i niemajątkową na podstawie art. 82 RODO przed sądem cywilnym. W skrajnych przypadkach bezprawne przetwarzanie danych jest przestępstwem ściganym z art. 107-108 polskiej ustawy o ochronie danych osobowych z 2018 r. Ten artykuł wyjaśnia po kolei: jakie prawa Ci przysługują, jak je egzekwować, jak wygląda procedura skargi do UODO, kiedy i jak żądać odszkodowania oraz jakie obowiązki - i jaką obronę - ma administrator, któremu zarzucono naruszenie. Wszystkie odwołania dotyczą prawa obowiązującego w Polsce: RODO (rozporządzenie 2016/679) i krajowej ustawy z 10 maja 2018 r.

Twoje prawa wobec administratora danych (rozdział III RODO)

RODO przyznaje osobie, której dane dotyczą, zestaw egzekwowalnych praw, z których możesz skorzystać natychmiast i bezpłatnie. Najważniejsze to: prawo dostępu do danych i uzyskania ich kopii (art. 15), prawo do sprostowania nieprawidłowych danych (art. 16), prawo do usunięcia danych - tzw. prawo do bycia zapomnianym (art. 17), prawo do ograniczenia przetwarzania (art. 18), prawo do przenoszenia danych (art. 20) oraz prawo do sprzeciwu wobec przetwarzania, w tym wobec marketingu bezpośredniego i profilowania (art. 21). Administrator ma obowiązek odpowiedzieć na Twoje żądanie bez zbędnej zwłoki, co do zasady w ciągu miesiąca (art. 12 ust. 3). W praktyce pierwszym krokiem po podejrzeniu naruszenia jest właśnie żądanie dostępu (art. 15) - pozwala ustalić, jakie dane, w jakim celu i komu administrator udostępnił, co buduje materiał do dalszych kroków. Jeśli administrator nie reaguje lub odmawia bezpodstawnie, otwiera się droga skargi do UODO.

Skarga do Prezesa UODO - jak i kiedy ją złożyć

Zgodnie z art. 77 RODO każdy ma prawo wnieść skargę do organu nadzorczego, jeśli sądzi, że przetwarzanie jego danych narusza przepisy. W Polsce organem tym jest Prezes Urzędu Ochrony Danych Osobowych. Skargę można złożyć pisemnie, elektronicznie (ePUAP, formularz na uodo.gov.pl) lub osobiście; postępowanie prowadzone jest według Kodeksu postępowania administracyjnego oraz ustawy z 10 maja 2018 r. o ochronie danych osobowych. W skardze warto opisać stan faktyczny, wskazać administratora, naruszone przepisy i dołączyć dowody (korespondencję, zrzuty ekranu, kopię odpowiedzi administratora). Postępowanie przed UODO jest wolne od opłat. W wyniku kontroli Prezes UODO może m.in. nakazać dostosowanie przetwarzania do przepisów, ograniczyć lub zakazać przetwarzania, a także nałożyć administracyjną karę pieniężną (art. 83 RODO - do 20 mln euro lub 4% rocznego światowego obrotu). Od decyzji UODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego.

Odszkodowanie za naruszenie danych - art. 82 RODO

Skarga do UODO i odszkodowanie to dwie niezależne ścieżki - możesz skorzystać z obu. Podstawą roszczenia o odszkodowanie jest art. 82 RODO: każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Co istotne, RODO obejmuje także szkodę niemajątkową (krzywdę) - np. stres, utratę kontroli nad danymi, naruszenie prywatności. Ciężar dowodu jest korzystny dla poszkodowanego: to administrator musi wykazać, że nie ponosi winy za zdarzenie (art. 82 ust. 3). Roszczenie dochodzi się przed sądem cywilnym (powszechnym); w Polsce nie jest wymagane wcześniejsze rozstrzygnięcie UODO. Trybunał Sprawiedliwości UE potwierdził, że samo naruszenie nie wystarcza - trzeba wykazać realną szkodę i związek przyczynowy, ale nie ma minimalnego progu jej istotności. Pomocniczo zastosowanie mogą znaleźć przepisy Kodeksu cywilnego o ochronie dóbr osobistych (art. 23, 24 i 448 k.c.).

Obowiązki administratora przy naruszeniu - zgłoszenie do UODO i powiadomienie osób

Jeśli to Twoja firma jest administratorem i doszło do naruszenia ochrony danych (np. wyciek, atak ransomware, błędne udostępnienie), masz ścisłe obowiązki. Art. 33 RODO nakazuje zgłoszenie naruszenia Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, art. 34 RODO wymaga dodatkowo zawiadomienia samych osób, których dane dotyczą. Niezależnie od tego należy odnotować naruszenie w wewnętrznym rejestrze naruszeń (art. 33 ust. 5). Brak zgłoszenia w terminie lub jego zaniechanie sam w sobie stanowi naruszenie zagrożone karą administracyjną (art. 83 ust. 4 RODO - do 10 mln euro lub 2% obrotu). Dlatego procedura reagowania na incydenty, szybkie wykrywanie i jasny tryb eskalacji w organizacji to nie formalność, lecz realna tarcza prawna.

Kiedy naruszenie danych jest przestępstwem - art. 107-108 ustawy z 2018 r.

Poza odpowiedzialnością administracyjną (UODO) i cywilną (odszkodowanie) polskie prawo przewiduje odpowiedzialność karną za najpoważniejsze nadużycia. Art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych penalizuje przetwarzanie danych osobowych, gdy ich przetwarzanie nie jest dopuszczalne albo do którego przetwarzania nie jest się uprawnionym - grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2, a w przypadku danych szczególnych kategorii (np. zdrowotnych, o przekonaniach) - do 3 lat. Art. 108 penalizuje udaremnianie lub utrudnianie kontroli prowadzonej przez UODO (grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat). Odrębnie Kodeks karny chroni przed bezprawnym pozyskaniem cudzych danych: art. 267 k.k. (nielegalne uzyskanie informacji, hacking, podsłuch) czy przestępstwa przeciwko ochronie informacji. W praktyce internetowej najczęściej w grę wchodzą bezprawna publikacja danych (doxing), kradzież baz i nielegalny handel danymi.

Linia obrony administratora oskarżanego o naruszenie

Administrator, któremu zarzucono naruszenie, nie jest bezbronny. W postępowaniu przed UODO kluczowe jest wykazanie, że wdrożono odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO) - np. szyfrowanie, kontrola dostępu, kopie zapasowe, regularne aktualizacje i testy zabezpieczeń. Istotne jest też udokumentowanie podstawy prawnej przetwarzania (art. 6 RODO - zgoda, umowa, obowiązek prawny, prawnie uzasadniony interes), bo brak podstawy to częsty zarzut. W razie incydentu znaczenie ma terminowe zgłoszenie (art. 33), współpraca z organem i działania naprawcze - łagodzą one wymiar kary administracyjnej (art. 83 ust. 2 wymienia okoliczności, które UODO bierze pod uwagę: charakter, wagę i czas trwania naruszenia, stopień winy, działania minimalizujące szkodę). W sprawie cywilnej o odszkodowanie obrona opiera się na art. 82 ust. 3 - wykazaniu braku winy. W sprawie karnej - na braku znamion czynu, np. istnieniu uprawnienia do przetwarzania.

Praktyczne kroki - co zrobić zaraz po naruszeniu

Dla osoby poszkodowanej: 1) zabezpiecz dowody (zrzuty ekranu, adresy URL, korespondencję, datę i godzinę); 2) wyślij administratorowi żądanie z art. 15-17 RODO (dostęp, sprostowanie, usunięcie); 3) jeśli brak reakcji lub odmowa - złóż skargę do Prezesa UODO; 4) oszacuj szkodę i krzywdę i rozważ pozew o odszkodowanie z art. 82 RODO; 5) przy kradzieży tożsamości lub bezprawnej publikacji złóż zawiadomienie o przestępstwie (art. 107 ustawy o ochronie danych, art. 267 k.k.). Dla administratora po wykryciu incydentu: 1) natychmiast ogranicz skutki i zabezpiecz systemy; 2) oceń ryzyko dla praw i wolności osób; 3) zgłoś naruszenie do UODO w 72 godziny (art. 33), jeśli ryzyko istnieje; 4) przy wysokim ryzyku zawiadom osoby (art. 34); 5) odnotuj zdarzenie w rejestrze naruszeń i wdroż działania naprawcze. W obu przypadkach warto skonsultować się z prawnikiem specjalizującym się w ochronie danych.