Rozporządzenie o ochronie danych osobowych (w skrócie RODO) zostało w prowadzone decyzją Rady Unii Europejskiej w 2016 roku, a więc stosunkowo niedawno. Dodatkowo – jak wskazują prawnicy – rozporządzenie nie jest do końca jasne i może budzić pewne kontrowersje. Nic więc dziwnego, że administratorzy danych popełniają błędy, które oczywiście mają swoje konsekwencje. W razie naruszenia przepisów RODO poszkodowany może starać się o odszkodowanie. Jak je uzyskać?
Jakich danych dotyczy RODO?
Na początek warto wyjaśnić sobie, czym właściwie są dane osobowe. Są to wszystkie dane, które pozwalają na zidentyfikowanie określonej osoby. Zaliczają się do nich: numer PESEL, numer dowodu, paszportu i innych dokumentów, numer telefonu i adres e-mail, ale również wizerunek. W dzisiejszych czasach danymi takimi posługujemy się na różne sposoby. Najwięcej informacji o nich znajduje się jednak w Internecie. Przekazywać możemy je firmom, z których usług korzystamy i sklepom, w których kupujemy. Dane udostępniane są instytucjom finansowym, dostawcom usług internetowych, placówkom medycznym i wielu innym. Bez przekazania swoich danych nie można w dzisiejszym świecie skorzystać z wielu oferowanych usług – firma je świadcząca nie będzie mogła po prostu zidentyfikować klienta (na przykład, żeby wysłać mu paczkę na właściwy adres, czy powiadomić o wykonanej usłudze). Pozyskują i przechowują je także pracodawcy. Przekazywanie swoich danych jest więc w praktyce całkowicie nieodzowne do funkcjonowania we współczesnym świecie. Firmę bądź instytucję przechowującą nasze dane nazywa się administratorem danych osobowych.
Jaki jest zakres obowiązków administratora danych osobowych?
W Internecie czyhają liczne zagrożenia. Jednym z nich jest możliwość wykradzenia danych osobowych. Narzędziem prawnym, które w założeniu ma zapobiegać kradzieży, jest RODO. Nakłada ono na administratorów danych osobowych konkretne obowiązki, których celem jest zwiększenie bezpieczeństwa przechowywania i przesyłania danych. Co ciekawe, rozporządzenie nie precyzuje dokładnie działań, które powinien podjąć administrator. Ma on po prostu sprawić, że dane będą bezpieczne. Wskazuje się natomiast na szereg możliwości i dobrych praktyk, które wskazane są dla bezpiecznego przechowywania informacji. Najważniejsze są tu przede wszystkim rozwiązania teleinformatyczne, które koncentrują się na stosowaniu nowoczesnych i na bieżąco aktualizowanych programów zabezpieczających dane przechowywane ma serwerach, stosowaniu wyłącznie aktualnego oprogramowania, a także bezpiecznych i często zmienianych haseł dostępu. Znaczenie ma również odpowiednie szkolenie osób pracujących z danymi i przestrzeganie zasad bezpieczeństwa związanych z ich przetwarzaniem. Wybór konkretnych metod zależny jest już od administratora. Ma on też obowiązek udostępnić informację o przechowywanych danych albo zaprzestać ich przechowywania na każde żądanie ich właściciela.
Konsekwencje wycieku albo kradzieży danych osobowych
Co można z takimi danymi zrobić? Wiele osób obawia się na przykład tego, że ktoś na ich dane weźmie pożyczkę, co oczywiście jest możliwe. Można też użyć ich do uzyskania dostępu do serwisów internetowych (na przykład bankowych). Prawdziwa wartość takich danych leży jednak gdzie indziej. Są one bardzo cenne przede wszystkim dla reklamodawców, którzy dzięki temu mogą kierować reklamy do konkretnych osób, czerpiąc z tego ogromne zyski. Jak więc widać, dane osobowe mają dużą wartość, więc ich kradzież jest realnym ryzykiem. W dzisiejszych czasach przestępcy zajmujący się kradzieżą danych działają, używając całkowicie zautomatyzowanych metod, pozyskując nieraz dane w hurtowych ilościach. Właśnie dla zabezpieczenia przed taką sytuacją powstało rozporządzenie RODO.
Naruszenie RODO odszkodowanie – komu przysługuje i jak je uzyskać?
Rozporządzenie RODO mówi wyraźnie, że każdy, kto na skutek wycieku danych doznał majątkowej, lub niemajątkowej (na przykład nękanie niechcianymi ofertami) szkody może starać się o odszkodowanie lub zadośćuczynienie. Może to nastąpić jednak jedynie wtedy, kiedy utrata danych nastąpiła wyłącznie z winy administratora – na przykład przez niedopatrzenie, użycie niewłaściwych środków zabezpieczających, czy błąd pracownika. Wysokość kwoty, którą można uzyskać, uzależniona jest od wielkości szkody, którą się poniosło. O ile w przypadku odniesienia szkody majątkowej jest to dość łatwe do ustalenia, to w przypadku szkody niemajątkowej sprawa jest o wiele trudniejsza. Konieczne jest też udowodnienie, że szkoda ta powstała na skutek wycieku danych od administratora i w związku z niedopełnieniem przez niego obowiązków wynikających z RODO. W praktyce konieczna jest do tego duża wiedza prawnicza i spore doświadczenie. Dlatego rozsądnym wyjściem w takiej sytuacji jest skorzystanie z oferty kancelarii prawnej. Kancelaria taka przeprowadzi całą sprawę od strony formalnej. Co ciekawe, nie zawsze musi mieć ona swoje rozwiązanie w sądzie. Czasami, w przypadku ewidentnej winy administratora danych, w wyniku których nastąpiło naruszenie RODO odszkodowanie wypłacane jest od razu, za porozumieniem stron.