Wyciek danych z ALAB Laboratoria. Co można zrobić w przypadku naruszenia ochrony danych osobowych?
Do Rzecznika Praw Obywatelskich wpływają skargi osób zaniepokojonych przypadkami naruszeń ochrony danych osobowych, w tym związanych z wyciekiem danych osobowych, np. wyciekiem danych z laboratorium ALAB. Wnioskodawcy zwracają uwagę na naruszenie ich prawa do prywatności i ochrony danych osobowych. Pytają się też o przysługujące im prawa.
Skarga do Prezesa UODO
Każdej osobie, która została dotknięta naruszeniem ochrony danych osobowych, przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO), który jest organem właściwym w sprawie ochrony danych osobowych.
Prezes UODO prowadzi postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, w tym rozpatruje skargi wniesione przez osobę, której dane dotyczą (zob. art. 60 ustawy o ochronie danych osobowych, art. 57 ust. 1 pkt f RODO).
Informacji o tym, jak złożyć skargę na naruszenie przepisów o ochronie danych osobowych, a także o działaniach podejmowanych przez Prezesa UODO, należy szukać na stronach internetowych UODO: https://uodo.gov.pl/.
Dostęp do danych osobowych
Zgodnie z przepisami RODO osobie, której dane dotyczą, przysługuje m.in. prawo do uzyskania od administratora dostępu do danych osobowych (art. 15 RODO).
W sytuacji wycieku danych każda osoba, której dane dotyczą, ma możliwość zwrócenia się do inspektora ochrony danych danego podmiotu z pytaniem, jakie dane były przetwarzane przez ten podmiot, a także jakie konkretne dane tej osoby wyciekły.
Co ważne, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu (art. 34 RODO).
Sprawdź, czy Twoje dane zostały udostępnione
Informacje na temat wycieku danych z ALAB Laboratoria sp. z o.o., w tym także kontakt do inspektora ochrony danych osobowych, znajdują się na stronie internetowej: https://www.alablaboratoria.pl/20456-pismo-informacyjne-w-sprawie-naruszenia-danych-osobowych.
Ponadto na stronie rządowej: https://bezpiecznedane.gov.pl/ została udostępniona funkcjonalność pozwalająca sprawdzić, czy dane osobowe danej osoby zostały udostępnione.
Twoje dane wyciekły – co dalej?
Jeżeli okaże się, że Twoje dane wyciekły, pamiętaj, że istnieje ryzyko posłużenia się danymi osobowymi przez osoby nieuprawnione.
Należy zachować szczególną ostrożność i rozważyć podjęcie działań, które mogą przeciwdziałać potencjalnym negatywnym skutkom tego zdarzenia, przez:
- zastrzeżenie nr PESEL na portalu mobywatel.gov.pl albo za pomocą mobilnej aplikacji mObywatel (pamiętaj jednak, że pełna ochrona numeru PESEL nastąpi dopiero od dnia 1 czerwca 2024 r.);
- uruchomienie alertów w Biurze Informacji Kredytowej (BIK) – w ten sposób otrzymasz powiadomienie o próbie wykorzystania danych osobowych bez Twojej zgody. Informacje dotyczące monitorowania BIK dostępne są na stronie internetowej: https://www.bik.pl;
- zadbanie o bezpieczne logowanie do serwisów internetowych, np. przez zmianę hasła do konta w systemie ALAB, a także w innych systemach, gdzie wykorzystywany był nr PESEL, a także przez zadbanie o bezpieczne hasła i dwuetapową weryfikację;
- zachowanie ostrożności w przypadku podejrzanych maili czy smsów (tzw. phishing). Wiadomość sms z podejrzanym linkiem można zgłosić bezpośrednio pod nr tel. 8080. Informacje na ten temat dostępne są na stronie internetowej CERT NASK: https://cert.pl;
- zachowanie ostrożności w przypadku kontaktu z podejrzanymi rozmówcami, którzy powołując się na ujawnione dane (nr PESEL, dane dotyczące zdrowia), próbują uzyskać dodatkowe dane, np. nr dowodu osobistego, nr konta, czy zaproponować dodatkową lub alternatywną metodę leczenia;
- złożenie na Policji zawiadomienia o podejrzeniu popełnienia przestępstwa z art. 107 ust. 1 i 2 ustawy o ochronie danych osobowych – mając na uwadze kwestie dowodowe, gdyby w przyszłości okazało się, że osoba trzecia przy wykorzystaniu ujawnionych danych osobowych dokonała przestępstwa, podszywając się pod Twoją tożsamość. Ponadto należy zgłosić się na Policję w przypadku próby wykorzystania Twoich danych osobowych (np. w przypadku szantażu).
Dochodzenie praw na drodze postępowania sądowego
Ponadto osoba, której dane osobowe są przetwarzane niezgodnie z prawem (np. zostały opublikowane), może żądać również ochrony prawnej w związku z naruszeniem jej dóbr osobistych (art. 23 i 24 Kodeksu cywilnego). W takim przypadku można dochodzić swoich praw na drodze postępowania sądowego.
Warto zwrócić uwagę na wyrok Trybunału Sprawiedliwości UE (TSUE) z dnia 14 grudnia 2023 r. w sprawie o sygn. akt C-340/21, w którym Trybunał, odpowiadając na pytanie prejudycjalne dotyczące interpretacji przepisów RODO, w tym art. 82 ust. 1 RODO, uznał, że „obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić «szkodę niemajątkową» w rozumieniu tego przepisu”.
Tym samym TSUE potwierdził, że już same obawy wynikające z wycieku danych umożliwiają dochodzenie odszkodowania. Trybunał zaznaczył jednocześnie, że „jeżeli osoba domagająca się odszkodowania powołuje się na tej podstawie na obawę, że w przyszłości dojdzie do wykorzystania w sposób stanowiący nadużycie jej danych osobowych ze względu na istnienie takiego naruszenia, sąd krajowy rozpatrujący sprawę powinien zbadać, czy obawę tę należy uznać za uzasadnioną w rozpatrywanych szczególnych okolicznościach i w odniesieniu do osoby, której dane dotyczą”.
Dodatkowe pomocne informacje
Na stronach internetowych instytucji publicznych znajdują się informacje, którą mogą być pomocne w ochronie swoich praw:
- Jakie prawa daje Ci RODO? https://uodo.gov.pl/pl/504/2463
- Informacja o incydencie na stronie Państwowego Instytutu Medycznego MSWiA: https://www.gov.pl/web/cskmswia/incydent-alab-sp-z-oo