Autor : Anna Gumułka
2024-01-17 17:49
Co robić, kiedy mamy uzasadnione podejrzenie, że nasze dane osobowe trafiły w niepowołane ręce? Każdej osobie, która została dotknięta naruszeniem ochrony danych osobowych, przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO), który jest organem właściwym w sprawie ochrony danych osobowych. Nowego prezesa, bo właśnie powołano nową osobę na to stanowisko - Mirosława Wróblewskiego.
We wtorek wybrał go Sejm, w środę Senat zatwierdził tę decyzję. Zastąpi Jana Nowaka, pełniącego tę funkcję od kwietnia 2019 r. Prezesi UODO są powoływani na czteroletnią kadencję przez Sejm, za zgodą Senatu. Choć kadencja Jana Nowaka upłynęła w maju ubiegłego roku, dopiero teraz parlament zajął się wyborem jego następcy.
Mirosław Wróblewski jest radcą prawnym, dotąd zajmował stanowisko dyrektora Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego Biura Rzecznika Praw Obywatelskich. Ma w swoim dorobku ponad 50 artykułów i publikacji naukowych z zakresu prawa konstytucyjnego, międzynarodowego i europejskiego, w tym ochrony danych osobowych, m.in. jest współautorem komentarza do nowej ustawy o ochronie danych osobowych, poradnika i komentarza do ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Wykłada m.in. na studiach podyplomowych „Prawo nowoczesnych technologii” i „Ochrona danych osobowych” w Akademii im. Leona Koźmińskiego w Warszawie.
Nowy prezes będzie miał zapewne ręce pełne roboty, bo przypadki ujawniania wrażliwych danych są coraz częstsze, tymczasem świadomość w tym zakresie wciąż nie jest duża, skoro prawo naruszają nawet osoby, którym ochrona danych powinna szczególnie leżeć na sercu.
Wyciek danych medycznych? Do sieci trafiły wyniki badań pacjentów
Kolejny wyciek danych z placówki ochrony zdrowia
Do Rzecznika Praw Obywatelskich wpływają skargi osób zaniepokojonych przypadkami naruszeń ochrony danych osobowych, w tym związanych z wyciekiem danych osobowych, np. z laboratorium ALAB. Wnioskodawcy zwracają uwagę na naruszenie ich prawa do prywatności i ochrony danych osobowych. Pytają też o przysługujące im prawa.
Każdej osobie, która została dotknięta naruszeniem ochrony danych osobowych, przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych, który jest organem właściwym w sprawie ochrony danych osobowych - przypomina zatem Rzecznik Praw Obywatelskich.
To właśnie Prezes UODO prowadzi postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, w tym rozpatruje skargi wniesione przez osobę, której dane dotyczą (zob. art. 60 ustawy o ochronie danych osobowych, art. 57 ust. 1 pkt f RODO).
Zgodnie z przepisami RODO osobie, której dane dotyczą, przysługuje m.in. prawo do uzyskania od administratora dostępu do danych osobowych (art. 15 RODO).
W sytuacji wycieku danych każda osoba, której dane dotyczą, ma możliwość zwrócenia się do inspektora ochrony danych danego podmiotu z pytaniem, jakie dane były przetwarzane przez ten podmiot, a także jakie konkretne dane tej osoby wyciekły.
Co ważne, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu (art. 34 RODO).
Na stronie rządowej: https://bezpiecznedane.gov.pl/ można sprawdzić, czy nasze dane nie dostały się w niepowołane ręce.
UODO i Rzecznik Praw Pacjenta badają sprawę wycieku danych
Jeśli tak się jednak stało, to powstaje realne ryzyko, że danymi posłużą się osoby nieuprawnione. Poszkodowany ma kilka możliwości:
zastrzeżenie nr PESEL na portalu mobywatel.gov.pl albo za pomocą mobilnej aplikacji mObywatel (pamiętaj jednak, że pełna ochrona numeru PESEL nastąpi dopiero od dnia 1 czerwca 2024 r.);
zastrzeżenie w Biurze Informacji Kredytowej (BIK) – w ten sposób otrzymasz powiadomienie o próbie wykorzystania danych osobowych bez Twojej zgody. Informacje dotyczące monitorowania BIK dostępne są na stronie internetowej: https://www.bik.pl;
zadbanie o bezpieczne logowanie do serwisów internetowych, np. przez zmianę hasła do konta w systemie ALAB, a także w innych systemach, gdzie wykorzystywany był nr PESEL, a także przez zadbanie o bezpieczne hasła i dwuetapową weryfikację;
zachowanie ostrożności w przypadku podejrzanych maili czy smsów (tzw. phishing). Wiadomość sms z podejrzanym linkiem można zgłosić bezpośrednio pod nr tel. 8080. Informacje na ten temat dostępne są na stronie internetowej CERT NASK: https://cert.pl;
zachowanie ostrożności w przypadku kontaktu z podejrzanymi rozmówcami, którzy powołując się na ujawnione dane (nr PESEL, dane dotyczące zdrowia), próbują uzyskać dodatkowe dane, np. nr dowodu osobistego, nr konta, czy zaproponować dodatkową lub alternatywną metodę leczenia;
złożenie na Policji zawiadomienia o podejrzeniu popełnienia przestępstwa z art. 107 ust. 1 i 2 ustawy o ochronie danych osobowych – mając na uwadze kwestie dowodowe, gdyby w przyszłości okazało się, że osoba trzecia przy wykorzystaniu ujawnionych danych osobowych dokonała przestępstwa, podszywając się pod Twoją tożsamość. Ponadto należy zgłosić się na Policję w przypadku próby wykorzystania Twoich danych osobowych (np. w przypadku szantażu).
- Osoba, której dane osobowe są przetwarzane niezgodnie z prawem (np. zostały opublikowane), może żądać również ochrony prawnej w związku z naruszeniem jej dóbr osobistych (art. 23 i 24 Kodeksu cywilnego). W takim przypadku można dochodzić swoich praw na drodze postępowania sądowego - przypomina RPO.
Zwraca też uwagę na niedawny wyrok Trybunału Sprawiedliwości UE (TSUE) z dnia 14 grudnia 2023 r. w sprawie o sygn. akt C-340/21, w którym Trybunał, odpowiadając na pytanie prejudycjalne dotyczące interpretacji przepisów RODO, w tym art. 82 ust. 1 RODO, uznał, że „obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić «szkodę niemajątkową» w rozumieniu tego przepisu”.
Tym samym TSUE potwierdził, że już same obawy wynikające z wycieku danych umożliwiają dochodzenie odszkodowania. Trybunał zaznaczył jednocześnie, że „jeżeli osoba domagająca się odszkodowania powołuje się na tej podstawie na obawę, że w przyszłości dojdzie do wykorzystania w sposób stanowiący nadużycie jej danych osobowych ze względu na istnienie takiego naruszenia, sąd krajowy rozpatrujący sprawę powinien zbadać, czy obawę tę należy uznać za uzasadnioną w rozpatrywanych szczególnych okolicznościach i w odniesieniu do osoby, której dane dotyczą”.
Polecamy także:
Zespół trójstronny ds. zdrowia spotkał się z nowym wiceministrem
Dziennikarka z blisko 25-letnim doświadczeniem. W latach 1999-2022 w PAP relacjonowała wydarzenia na Śląsku i w kraju, specjalizując się w tematyce zdrowotnej, społecznej, naukowej i kulturalnej. W 2004 była korespondentką PAP w Londynie. Kontakt: anna.gumulka@cowzdrowiu.pl