Wyciek danych: to może się przydażyć nie tylko Ashley Madison

    •  Piotr Mikosik
    •  Maciej Rakowski
  • Komentarze

Artykuł Piotra Mikosika i Macieja Rakowskiego w Dzienniku Gazeta Prawna z dnia 8 września 2015 roku.

W połowie sierpnia bieżącego roku na prawie 40 milionów internautów na całym świecie padł blady strach ze względu na ujawnienie części ich danych osobowych, które zamieścili oni w serwisie dla osób szukających erotycznych uciech pozamałżeńskich – Ashley Madison.com. Obawy Praecellens Ltd. z siedzibą na Cyprze – operatora portalu – wcale nie są mniejsze niż jego klientów. Wyciek wrażliwych danych wiąże się dla niego nie tylko z możliwością zaprzestania funkcjonowania serwisu, ale z ogromnymi roszczeniami jego użytkowników i wnikliwym zainteresowaniem władz publicznych na całym świecie. W Polsce sprawa może dotyczyć około 20.000 użytkowników.

Także inni przedsiębiorcy zadają sobie pytanie: co może czekać podmiot prowadzący działalność w Polsce, w wypadku, gdy z prowadzonego przez niego serwisu wyciekną dane użytkowników. Jakiej wielkości roszczeń należy się spodziewać? Jak się zabezpieczyć? Czy przedsiębiorca może dzięki odpowiednim zapisom w umowach i regulaminach ograniczyć swoja odpowiedzialność?

Gdzie są granice odpowiedzialności właściciela portalu?

Przedsiębiorca będący operatorem serwisu społecznościowego czy innego serwisu gromadzącego dane swoich użytkowników jest w świetle ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratorem danych osobowych bez względu na to, czy ma on siedzibę na terenie Polski, czy poza nią. Ustawa stosowana jest bowiem m.in. do wszystkich podmiotów decydujących o celach i środkach przetwarzania danych osobowych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, bez względu na siedzibę albo miejsce zamieszkania, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.

Jak się zabezpieczyć przed ewentualnymi roszczeniami?

Skoro operator serwisu jest w świetle ustawy o ochronie danych osobowych administratorem danych, to spoczywają na nim przewidziane w niej obowiązki. Zapewnienie gwarancji ochrony danych osobowych swoich użytkowników stanowi podstawową formę zabezpieczenia się przed ewentualnymi roszczeniami. Zasadniczym obowiązkiem jest zastosowanie środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Serwisy społecznościowe przetwarzają różnego rodzaju dane osobowe. W świetle Ustawy o ochronie danych osobowych wyróżnia się dane zwykłe i dane wrażliwe. Do tych ostatnich należą dane ujawniające m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych. W serwisach, takich jak Facebook ujawnianie danych osobowych wrażliwych jest dobrowolne, jednak taki serwis staje się mimowolnie administratorem niniejszych danych, bo użytkownicy zamieszczają tam różne informacje, które są łączone z nimi w różnych konfiguracjach. W przypadku innych serwisów, aby zalogować się, musimy wskazać nasze oczekiwania co do użytkowania niniejszego portalu, które to mogą dotyczyć danych wrażliwych. Dla przykładu w trakcie rejestracji w Ashley Madison musimy wybrać, którąś z następujących opcji: „coś na krótko”, „coś na dłużej”, „cyberseks/erotyczny czat”, „cokolwiek mnie podnieci”, „cokolwiek”, „brak zdecydowania”, co mówi o naszych preferencjach i upodobaniach seksualnych.

Co może dać umowa powierzenia?

Najbezpieczniejszym i najbardziej rekomendowanym środkiem zabezpieczenia przedsiębiorcy, i tym samym danych osobowych przez niego przetwarzanych, jest powierzenie przechowywania danych osobowych wyspecjalizowanej firmie gwarantującej adekwatny poziom zabezpieczenia do rodzaju danych. Zawarcie umowy powierzenia przetwarzania danych osobowych nie zwolni wprawdzie przedsiębiorcy z odpowiedzialności w stosunku do swoich użytkowników za prawidłowe przetwarzanie ich danych osobowych, niemniej prawidłowo skonstruowana umowa powierzenia ryzyka związane z ewentualnymi roszczeniami użytkowników może ograniczać. By tak się stało konieczne jest zawarcie w umowie postanowień na mocy których, podmiot przetwarzający dane przyjmuje na siebie obowiązek zrekompensowania wszelkich szkód powstałych w wyniku niewłaściwego zabezpieczenia danych osobowych połączone ze zobowiązaniem do wstąpienia do postępowania cywilnego w charakterze interwenienta ubocznego w przypadku pozwania administratora danych. Bezpieczeństwo finansowe umowy powierzenia przetwarzania danych osobowych można uzyskać poprzez różnego rodzaju formy zabezpieczenia roszczeń pieniężnych, ze szczególnym uwzględnieniem gwarancji bankowej czy ubezpieczeniowej.

Z jakimi żądaniami moga wystąpić klienci?

Udostępnienie przez przedsiębiorcę naszych danych osobowych, szczególnie tych wrażliwych może stanowić naruszenie naszych dóbr osobistych, takich jak cześć, wizerunek, czy prawo do prywatności. W przypadku ich naruszenia użytkownik może żądać od przedsiębiorcy przetwarzającego jego dane osobowy, w myśl art. 24 w zw. z art. 448 Kodeksu Cywilnego, dopełnienia czynności potrzebnych do usunięcia jego skutków wycieku danych – w szczególności poprzez złożenie oświadczenia o odpowiedniej treści i w odpowiedniej formie – oraz zapłaty zadośćuczynienia za doznaną krzywdę. Alternatywnie użytkownik może żądać od przedsiębiorcy zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.Klient w celu uzyskania zadośćuczynienia pieniężnego nie musi wykazywać bezprawności i winy przedsiębiorcy, który dopuścił do tego, że niniejsze dane wyciekły z portalu. To na operatorze będzie spoczywał ciężar wykazania, że przestrzegał wszystkich wymagań prawnych przechowywania danych oraz dołożył należytej staranności, stosownej do charakteru tych danych, np. że dokonał prawidłowej oceny uwzględnienia doboru środków zabezpieczenia danych osobowych, stanu wiedzy w tej dziedzinie; kierował się aktualnymi, istniejącymi zagrożeniami dla bezpieczeństwa danych; dokonał analizy ryzyka wiążącego się z przetwarzaniem danych osobowych lub wdrożył odpowiednie fizyczne lub logiczne zabezpieczenia chroniące przed nieuprawnionym dostępem.Na użytkowniku będzie spoczywał ciężar wykazania związku przyczynowo-skutkowego oraz krzywdy jaką doznał w wyniku wycieku danych osobowych na zewnątrz. Sąd rozpatrując taką sprawę będzie badał rozmiar i intensywność doznanej krzywdy, która jest oceniana według miar zobiektywizowanych, stopnia negatywnych konsekwencji, w tym również tak niewymiernych jak utrata dobrego imienia skutkująca zmniejszeniem szans na realizację kariery zawodowej oraz stopień zawinienia po stronie sprawcy jak i jego sytuację majątkową.Wskazać należy również, że oprócz zadośćuczynienia, w przypadku doznania wymiernej szkody majątkowej, użytkownik serwisu mógł żądać odszkodowania na zasadach ogólnych.  W przypadku sądowego rozpatrywania sprawy wycieku sąd nie będzie skupiał szczególnej uwagi, dlaczego i jak dokładnie dane osobowe wyciekły, ale zbada, czy działaniu przedsiębiorcy można zarzucić naruszenie prawa bądź np. należytej staranności wymaganej od profesjonalisty.

Czy przedsiębiorcy grozi dodatkowo odpowiedzialność karna?

Na podstawie ustawy o ochronie danych osobowych, za udostępnienie lub umożliwienie dostępu do danych osobowych osobie nieupoważnionej administrator danych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. W przypadku gdy przedsiębiorca działał nieumyślnie, a więc można mu przypisać jedynie lekkomyślność lub rażące niedbalstwo, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Jakie działania podjąć w obliczu procesu?

Na gruncie prawa polskiego brak jest odpowiedzialności absolutnej, a więc niezależnej od jakichkolwiek czynników zewnętrznych. Dlatego też głównym zadaniem przedsiębiorcy w razie ewentualnego procesu powinno być wykazanie dochowania wszelkich możliwych standardów ochrony uzyskanych danych osobowych. Niezwykle pomocne w tym zakresie jest współuczestnictwo w procesie podmiotu, któremu przedsiębiorca powierzył przetwarzanie danych osobowych, dlatego tak istotne jest prawidłowe skonstruowanie umowy. Podstawową kwestią w przypadku przetwarzania danych osobowych jest prewencja. Chodzi o uprzednie zadbanie o dokumentację świadczącą o prawidłowym spełnieniu wszystkich ustawowych i pozaustawowych wymogów dotyczących przetwarzania danych osobowych oraz świadczącą o dołożeniu przez przedsiębiorcę należytej staranności. W przypadku ewentualnego procesu posiadanie dokumentacji w formie kompletnej  ułatwi zaprezentowanie jej sądowi w trakcie procesu.

Czy polski przedsiębiorca będzie musiał uczestniczyć w procesie poza krajem?

Sprawy wynikające z umów konsumenckich, należą według uznania konsumenta do jurysdykcji krajowej danego państwa członkowskiego bądź innego państwa UE – wynika to z Rozporządzenia Rady (WE) NR 44/2001 z dnia 22 grudnia 2000 r., które musi być stosowane przez każde Państwo członkowskie UE. Zatem np. angielski operator serwisu społecznościowego może być skutecznie pozwany przez konsumenta w Polsce przed polskim sądem, a polski operator serwisu np. przed słowackim. Takiej właściwości nie można zmienić umownie poprzez dodanie klauzuli derogacyjnej o poddanie jurysdykcji sądów państwa obcego wynikłych lub mogących wyniknąć z niego spraw o prawa majątkowe, wyłączając jurysdykcję sądów polskich. W przypadku, kiedy użytkownikiem serwisu będzie przedsiębiorca możliwe jest natomiast stosowanie klauzul derogacyjnych, a więc regulamin serwisu prowadzonego dla przedsiębiorców może przewidywać poddanie przyszłych sporów pod rozstrzygnięcie dowolnego sądu.

 Do góry