Wyciek danych osobowych - obowiązki, kary RODO i obrona prawna w Polsce

Wyciek danych osobowych to dziś jeden z najczęstszych incydentów, z jakim mierzą się zarówno firmy, jak i zwykli użytkownicy. Skradziona baza klientów, błędnie zaadresowana korespondencja, atak ransomware, zgubiony laptop czy nieuprawniony dostęp pracownika - każde z tych zdarzeń może być naruszeniem ochrony danych w rozumieniu RODO. Po stronie administratora danych pojawia się wtedy presja czasu: ma tylko 72 godziny na zgłoszenie naruszenia do organu nadzorczego, a błędna reakcja grozi karą administracyjną, roszczeniami cywilnymi, a niekiedy odpowiedzialnością karną. Po stronie osoby poszkodowanej rodzą się pytania o odszkodowanie i ochronę przed kradzieżą tożsamości. Ten artykuł porządkuje prawa i obowiązki obu stron wyłącznie na gruncie prawa polskiego i unijnego (RODO oraz ustawy z 10 maja 2018 r. o ochronie danych osobowych) oraz pokazuje, w czym realnie pomaga prawnik.

Czym jest naruszenie ochrony danych w rozumieniu RODO

Zgodnie z art. 4 pkt 12 RODO naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych. "Wyciek" to potoczna nazwa najczęstszej postaci takiego naruszenia - utraty poufności. Rozróżnia się trzy typy: naruszenie poufności (dane trafiły do osoby nieuprawnionej), integralności (dane zostały zmienione) oraz dostępności (dane stały się niedostępne, np. po ataku ransomware). Nie każdy incydent rodzi obowiązek zgłoszenia - liczy się, czy naruszenie powoduje ryzyko dla praw i wolności osób, których dane dotyczą. Administrator musi tę ocenę przeprowadzić i udokumentować, nawet jeśli ostatecznie uzna, że zgłoszenie nie jest konieczne.

Obowiązek zgłoszenia do UODO w ciągu 72 godzin

To najczęściej naruszany obowiązek. Art. 33 RODO wymaga, by administrator zgłosił naruszenie Prezesowi Urzędu Ochrony Danych Osobowych (UODO) bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Zgłoszenia dokonuje się przez dedykowany formularz na stronie UODO. Wyjątek dotyczy sytuacji, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób fizycznych - wtedy zgłoszenie nie jest wymagane, ale decyzję trzeba udokumentować w wewnętrznym rejestrze naruszeń (art. 33 ust. 5 RODO). Jeśli administrator nie zdąży w 72 godziny, może zgłosić później, lecz musi wyjaśnić przyczyny opóźnienia. Brak lub spóźnione zgłoszenie to samodzielna podstawa kary, niezależnie od tego, czy sam wyciek wynikał z zaniedbania.

Kiedy trzeba powiadomić osoby, których dane wyciekły

Jeżeli naruszenie może powodować WYSOKIE ryzyko dla praw i wolności osób (np. wyciek numerów PESEL, danych logowania, dokumentów tożsamości, danych o zdrowiu), administrator ma na podstawie art. 34 RODO osobny obowiązek - musi bez zbędnej zwłoki zawiadomić same osoby, których dane dotyczą. Zawiadomienie powinno być napisane jasnym językiem, opisywać charakter naruszenia, możliwe konsekwencje i podjęte środki zaradcze oraz wskazywać kontakt do inspektora ochrony danych. Obowiązek odpada, jeśli dane były zaszyfrowane albo administrator podjął działania eliminujące wysokie ryzyko. Głośna decyzja UODO w sprawie spółki Morele.net (kara 2,8 mln zł, podtrzymana co do zasady przez sądy administracyjne) pokazała, że zaniechanie odpowiednich zabezpieczeń i reakcji jest realnie karane w Polsce.

Kary administracyjne, cywilne i karne - trzy reżimy odpowiedzialności

Odpowiedzialność za wyciek danych ma w Polsce trzy poziomy. Po pierwsze, kary administracyjne nakładane przez Prezesa UODO na podstawie art. 83 RODO - do 10 mln euro lub 2% rocznego światowego obrotu (np. naruszenie obowiązków zabezpieczenia i zgłoszenia) albo do 20 mln euro lub 4% obrotu (naruszenie podstawowych zasad przetwarzania). Górne pułapy dotyczą realnie dużych podmiotów; UODO miarkuje karę według wagi naruszenia i współpracy administratora. Po drugie, odpowiedzialność cywilna - art. 82 RODO daje każdej osobie, która poniosła szkodę majątkową lub niemajątkową, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Po trzecie, odpowiedzialność karna z ustawy z 10 maja 2018 r. o ochronie danych osobowych: art. 107 (przetwarzanie danych bez podstawy lub uprawnienia - grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2, a przy danych wrażliwych do lat 3) oraz art. 108 (udaremnianie lub utrudnianie kontroli UODO). W grę mogą też wejść przepisy Kodeksu karnego, gdy wyciek był skutkiem hakerskiego włamania (art. 267 i 269b k.k.).

Prawa osoby poszkodowanej i jak dochodzić odszkodowania

Jeśli to Twoje dane wyciekły, masz konkretne uprawnienia. Możesz złożyć skargę do Prezesa UODO (art. 77 RODO), który zbada zgodność przetwarzania z prawem. Niezależnie od tego masz prawo do odszkodowania na podstawie art. 82 RODO - i co istotne, polskie sądy oraz Trybunał Sprawiedliwości UE (wyrok C-300/21) potwierdziły, że zadośćuczynienia można żądać także za samą szkodę niemajątkową, np. obawę przed nadużyciem danych, stres czy utratę kontroli nad danymi, o ile szkoda jest realna i wykazana - sam wyciek nie wystarcza automatycznie. Pozew kierujesz do sądu cywilnego przeciwko administratorowi. W praktyce zasądzane kwoty wahają się zwykle od kilkuset do kilku tysięcy złotych za pojedynczy przypadek, choć w sprawach dotyczących danych wrażliwych bywają wyższe. Po wycieku numeru PESEL warto też ustanowić zastrzeżenie numeru PESEL (od listopada 2023 r. dostępne w aplikacji mObywatel i urzędzie gminy), co utrudnia zaciągnięcie kredytu na Twoje dane.

Pierwsze 72 godziny - co zrobić natychmiast po wykryciu wycieku

Reakcja administratora powinna być uporządkowana. Krok 1: zabezpiecz systemy - odetnij źródło wycieku, zmień hasła i klucze dostępu, zachowaj logi (są dowodem). Krok 2: oceń zakres - ustal, jakie kategorie danych i ilu osób dotyczy incydent, oraz poziom ryzyka. Krok 3: udokumentuj wszystko w wewnętrznym rejestrze naruszeń - data wykrycia, opis, ocena ryzyka, podjęte działania. Krok 4: jeśli ryzyko istnieje, zgłoś naruszenie do UODO w ciągu 72 godzin przez formularz. Krok 5: jeśli ryzyko jest wysokie, zawiadom osoby poszkodowane. Krok 6: wdróż środki naprawcze i zapobiegawcze. Dla osoby prywatnej, której dane wyciekły: zmień hasła (zwłaszcza powtarzane w wielu serwisach), włącz uwierzytelnianie dwuskładnikowe, monitoruj konto bankowe i raporty BIK, rozważ zastrzeżenie PESEL.

Jak prawnik pomaga administratorowi i poszkodowanemu

Rola prawnika zależy od strony sporu. Administratorowi danych prawnik pomaga przeprowadzić ocenę ryzyka i prawidłowo (oraz terminowo) zgłosić naruszenie do UODO, przygotować zawiadomienia dla osób poszkodowanych, reprezentować podmiot w postępowaniu kontrolnym i administracyjnym przed Prezesem UODO oraz - w razie kary - wnieść skargę do Wojewódzkiego Sądu Administracyjnego. W postępowaniu karnym z art. 107-108 ustawy o ochronie danych osobowych pełni rolę obrońcy. Osobie poszkodowanej prawnik pomaga sformułować skargę do UODO oraz pozew o zadośćuczynienie z art. 82 RODO, zgromadzić dowody szkody i wykazać związek przyczynowy. Wybierając prawnika, warto sprawdzić jego doświadczenie w sprawach RODO i administracyjnych, a koszty ustalić z góry: w Polsce dominują stawki godzinowe lub wynagrodzenie ryczałtowe; wynagrodzenie wyłącznie "od sukcesu" (success fee) jest dopuszczalne, ale uzależnienie CAŁOŚCI honorarium od wyniku sprawy jest etycznie ograniczone zasadami wykonywania zawodu adwokata i radcy prawnego.