W związku z aferą wycieku danych 533 mln użytkowników Facebooka, zapewne wiele osób ma wątpliwości, czy ich dane osobowe są należycie chronione. Ujawnione dane mogą zostać wykorzystane do podszywania się pod cudzą tożsamość oraz dokonywania oszustw.
„Luka w systemie” Facebooka wykorzystana przez cyberprzestępców
W ubiegły weekend na jednym z hakerskich forów internetowych pojawiły się dane personalne (imię, nazwisko, zawód, stan cywilny) oraz kontaktowe (adres e-mail, numer telefonu, miasto) użytkowników Facebooka ze 106 krajów (najwięcej z USA i Wielkiej Brytanii, z Polski – 2,6 mln Polaków). Już w styczniu wiadomo było, że dane użytkowników jednego z największych portali społecznościowych znalazły się w posiadaniu nieuprawnionych osób, ale dopiero teraz pojawiły się w Internecie. Oficjalnie poinformowano, że hakerzy wykorzystali „lukę w systemie”. Sytuacje takie zdają się coraz częściej powtarzać – z danych opublikowanych przez Privacy Rights Clearinghouse wynika, że w ostatnim dziesięcioleciu doszło do kradzieży lub przypadkowego ujawnienia ponad 4 mld rekordów. Doszło także do ok. 7 tys. naruszeń prawa związanych z ochrona danych osobowych, przy czym istnieje tendencja wzrostu skali przestępstw zagrażających dziesiątkom lub setkom mln ludzi[1].
Dlaczego warto sprawdzić czy doszło do wycieku naszych danych? Przede wszystkim dlatego, że mogą one zostać wykorzystane przez cyberprzestępców do popełniania przestępstw (np. wyłudzenia kredytu, dokonania transakcji finansowych pod cudzym imieniem). Z tego względu należy w pierwszej kolejności ustalić, czy dane zostały ujawnione. Eksperci polecają w tym celu skorzystanie z witryny HaveIBeenPwned.com, stworzonej przez analityka bezpieczeństwa Troya Hunta, która umożliwia sprawdzenie adresu e-mail, nr telefonu oraz hasła pod kątem wykorzystania przez hakerów. W przypadku należy zmienić hasło i wprowadzić uwierzytelnianie wieloskładnikowe do poczty e-mail.
Ochrona danych osobowych na przykładzie Facebooka – do czego uprawnia?
Facebook jako administrator oraz podmiot przetwarzający dane użytkowników, zapewnia ich przetwarzanie zgodnie ze standardami prawnymi wynikającymi z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO (w szczególności z art. 5 ust. 1 lit. f RODO[2], art. 25 ust. 2 RODO[3]). Unijne przepisy nakładają na Facebook obowiązek zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania danych (art. 32 RODO).
Wyciek danych użytkowników Facebooka stanowi naruszenie danych osobowych, co w świetle art. 33 ust. 1 RODO nakłada na ten podmiot, jako administratora danych, obowiązek zgłoszenia naruszenia organowi nadzorczemu w ciągu 72 godzin po jego stwierdzeniu. Dla użytkowników tego portalu społecznościowego istotne znaczenie praktyczne ma dyspozycja art. 34 RODO, zgodnie z którą administrator ma obowiązek informowania osób fizycznych o naruszeniu ich danych bez zbędnej zwłoki (nie określono jednak precyzyjnego terminu, co oznacz, że w każdym przypadku musi być on ustalany indywidualnie). Istnieje przy tym zastrzeżenie, że takie naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Administrator nie jest zobowiązany do zawiadamiania o naruszeniu, jeżeli:
- zostały wdrożone odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych
- zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
- wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób[4]
W przypadku Facebooka możliwość poinformowania o naruszeniu dotyczy tak dużej ilości osób, że wydano odpowiednie oświadczenie w mediach.
Profilaktyka ochrony danych osobowych
Sprawdzenie, czy dane wyciekły do Internetu na stronie HaveIBeenPwned.com jest niezbędne, ale nawet w przypadku, jeśli nie zostały one ujawnione, warto zadbać o zmniejszenie powstania takiego ryzyka. Każdy może samodzielnie wykonać kilka czynności zmniejszających ryzyko naruszenia poufności danych osobowych.
W pierwszej kolejności należy ustawić silne hasło, czyli takie, które składa się z kilkunastu znaków, zawiera małe i duże litery, cyfry i znaki specjalne. Zawsze należy posiadać oddzielne hasło do każdego konta. Kolejnym ważnym elementem jest zadbanie o bezpieczeństwo hasła – o tym,że nie należy go nikomu udostępnić wie chyba każdy, ale warto również pamiętać, by nie wysyłać go nigdy e-mailem ani nie zapisywać w miejscach publicznie dostępnych, a także w chmurze (Google, Docs, Evernote, Dropbox). W przypadku logowania się do poczty z przeglądarki internetowej (tzw. Webmail) należy upewnić się, czy połączenie z serwerem posiada szyfrowanie. Świadczy o tym skrót „http” od którego zaczyna się adres strony. Warto również kliknąć na symbol zielonej kłódki w lewym rogu paska adresu, by sprawdzić aktualność certyfikatu oraz tożsamość firmy – czy został wystawiony przedsiębiorstwu, z którego usługi się korzysta. Na koniec coś, o czym powinno się zawsze pamiętać: nie otwierać maili o podejrzanej treści, od nieznanych nadawców ani podawać loginów i haseł. W żadnym wypadku nie wolno otwierać załączników takich wiadomości – mogą zawierać złośliwe oprogramowanie, programy szpiegujące.
Roszczenia związane z naruszeniem danych osobowych w polskim prawie
2,6 mln Polaków, którzy padli ofiarą wycieku swoich poufnych informacji osobowych może dochodzić swych roszczeń na podstawie RODO, a także w oparciu o krajowy system prawny, ponieważ unijne przepisy nie regulują tej kwestii w sposób wyczerpujący. Przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – dalej u.o.d.o. definiują, że w sprawach o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 RODO, w zakresie nieuregulowanym tą ustawą stosuje się przepisy ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2021 r. poz. 11) – art. 100 u.o.d.o., a do rozpatrywania tego typu spraw właściwy jest sąd okręgowy (art. 93 u.o.d.o.).
Zgodnie z art. 77 RODO osoba, której dane zostały naruszone, ma prawo wniesienia skargi do organu nadzorczego (w Polsce jest nim Prezes Urzędu Ochrony danych Osobowych[5]).
Poza tym na podstawie art. 79 ust. 1 RODO ma ona prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. Podstawą wniesienia tego środka prawnego jest uznanie przez osobę fizyczną, że podczas przetwarzania jej danych osobowych doszło do naruszenia praw wynikających z RODO. Instytucja ta umożliwia wnioskowanie o dokonanie konkretnego działania przez administratora lub podmiotu przetwarzającego (np. sprostowanie, udostępnienie lub usunięcie danych) lub jego zaniechania[6]. Treść art. 79 ust. RODO koreluje z dyspozycją art. 23 i 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r. poz. 1740, 2320) – dalej k.c. dotyczącej roszczeń niemajątkowych (art. 24 § 1 zdanie pierwsze i drugie k.c.), tj. roszczeń dotyczących:
- żądanie zaniechania działania naruszającego lub zagrażającego dobru osobistemu (w tym przypadku – danym osobowym), chyba że nie jest ono bezprawne,
- żądanie, by osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, by złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie[7].
Uprawnie do dochodzenia odszkodowania za poniesienie szkody majątkowej lub niemajątkowej daje art. 82 RODO[8]. W doktrynie przyjmuje się, że przepis ten daje podstawę do wniesienia roszczeń majątkowych:
- żądania zadośćuczynienia za poniesioną szkodę niemajątkową w wyniku naruszenia przepisów o ochronie danych osobowych, w tym RODO (art. 82 ust. 1 RODO w zw. z art. 92 u.o.d.o. w zw. z art. 448 k.c.)
- żądania odszkodowania za szkodę majątkową poniesioną w wyniku naruszenia przepisów o ochronie danych osobowych, w tym RODO (art. 82 ust. 1 RODO w zw. z art. 92 u.o.d.o. w zw. z art. 415 k.c.)[9].
Osoby, które poniosą szkodę w związku z wyciekiem danych osobowych mogą zatem kierować roszczenia wobec Facebooka na podstawie przepisów RODO oraz Kodeksu cywilnego, choć w literaturze wskazuje się na możliwość wniesienia roszczeń odszkodowawczych (za szkodę majątkową lub krzywdę) bezpośrednio w oparciu o przepisy Kodeksu cywilnego, bez powoływania się na regulacje RODO. W takim wypadku podstawę prawna stanowiłby przepis przypadku art. 24 § 1 zdanie trzecie oraz art. 24 § 2 k.c., umożliwiające odpowiednio żądanie zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny (w przypadku szkody niemajątkowej) oraz żądanie naprawienia szkody (majątkowej) na zasadach ogólnych[10].
Taisa Plewa – Prawnik
Dr Marlena Wach – Radca Prawny
[1] A. Holmes, Gigantyczny wyciek danych z Facebooka. 15 tys. użytkowników z zawodem “Szlachta nie pracuje”. Sprawdź, co z Twoimi danymi, https://businessinsider.com.pl/media/gigantyczny-wyciek-danych-z-facebooka-15-tys-uzytkownikow-z-zawodem-szlachta-nie/vwhwlfv
[2] art. 5 ust. 1 lit. f RODO: Dane osobowe muszą być: przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
[3] art. 25 ust. 2 RODO: Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych
[4] Art. 34 ust. 3 RODO
[5] Zgodnie z art. 34 ust. 2 u.o.d.o.
[6] Zob. J. Łuczak [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, komentarz do art. 79, s. 1035–1040
[7] D. Lubasz (red.), Ustawa o ochronie danych osobowych. Komentarz Opublikowano: WKP 2019
[8] Art. 82 RODO: Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub pomiotu przetwarzającego odszkodowanie za poniesioną szkodę.
[9] M. Gumularz [w:] Ustawa o ochronie danych osobowych. Komentarz, red. M. Gumularz, K. Kozieł, P. Kozik, komentarz do art. 92, s. 436–437.
[10] D. Lubasz (red.), Ustawa o ochronie danych osobowych. Komentarz Opublikowano: WKP 2019.