Z największego na świecie serwisu społecznościowego Facebook wyciekły dane blisko 2,7 mln polskich użytkowników. Najnowsze doniesienia mówią, że podobny wyciek nastąpił z Linkedin. Facebook musi liczyć się z możliwością zapłacenia ogromnej kary. Ale czy również poszkodowani – którym „zdekonspirowano” adresy e-mail i numery telefonów komórkowych oraz dane profilowe – mogą walczyć o odszkodowanie za wyciek ich danych? Jak wysokie? I jak pozwać Facebooka?
Od kilku lat jest z nami RODO, czyli unijne rozporządzenie o ochronie danych osobowych. W kwestii finansowej odpowiedzialności za niewłaściwie zabezpieczenie naszych danych i za ich wycieki rozporządzenie jest bezlitosne dla firm i instytucji, które gromadzą i przetwarzają informacje na nasz temat. Oczywiście, wysokość kary zależy od skali „przewinienia”, ale w grę wchodzą miliony lub setki milionów złotych lub euro.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ostatnio dużo mówiło się o wielkim wycieku danych użytkowników Facebooka. W sumie z największego na świecie portalu społecznościowego wyciekły dane profilowe 533 mln użytkowników, w tym niespełna 2,7 mln z Polski. W dostępnym pliku z wykradzionymi informacjami – pochodzącymi podobno jeszcze z 2019 r. – znajdują się m.in. imię i nazwisko, numer telefonu komórkowego, adres e-mail, płeć, stan cywilny, zawód czy miasto użytkownika. W ostatnich godzinach pojawiły się informacje o tym, że na rynku są dostępne dane 500 mln użytkowników innego serwisu społecznościowego – Linkedin.
Czy jest się czego bać? Np. Rzecznik Finansowy wydał komunikat, w którym ostrzega, że dane mogą posłużyć przestępcom do dokonywania oszustw finansowych. A o tym, w jaki sposób mogą zostać wykorzystane, dowiedziecie się z artykułu Maćka Samcika. Ja natomiast chciałbym skupić się na innym wątku tej sprawy – czy użytkownicy Facebooka, których dane wyciekły, mogą domagać się odszkodowania od właściciela serwisu społecznościowego? O tej sprawie rozmawiałem z Wojciechem Klickim, prawnikiem Fundacji Panoptykon.
„W kwestii ochrony swoich praw za naruszenie przepisów o ochronie danych osobowych unijne rozporządzenie RODO przewiduje dwie ścieżki. Osoby poszkodowane, czyli w tym przypadku użytkownicy Facebooka, których dane wyciekły, mogą złożyć skargę do właściwego urzędu ochrony danych osobowych. Na tej podstawie urząd, czyli w Polsce Urząd Ochrony Danych Osobowych, może wszcząć postępowanie w tej sprawie lub wszcząć je z własnej inicjatywy”
– mówi Wojciech Klicki. RODO przewiduje dotkliwe kary finansowe dla podmiotów, które przyczyniły się do wycieku danych. W zależności od skali naruszenia – zgodnie z art. 83 RODO – mówimy o kwocie do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Tylko w czwartym kwartale 2020 r. Facebook osiągnął przychody na poziomie 28 mld dol. Łatwo można więc policzyć, ile potencjalnie może go kosztować wpadka z utratą danych użytkowników.
Przeczytaj też: Rok po wejściu w życie RODO pytamy banki: „co wiecie na nasz temat?”. Nie takich odpowiedzi się spodziewaliśmy
Odszkodowanie za wyciek danych z Facebooka. Jak wycenić szkodę?
W tym przypadku nie mówimy o odszkodowaniu, a o karze finansowej, która – jeśli zostanie prawomocnie nałożona i zapłacona – zasili budżet państwa. Ale również poszkodowanym użytkownikom RODO otwiera furtkę do walki o odszkodowanie przed sądem. Bo jeśli każdy rzezimieszek na świecie może znać mój numer telefonu oraz adres e-mail (być może te same, które służą mi do komunikacji np. z moim bankiem) to nie jest wesoło. Stosunkowo łatwiej bić się o pieniądze, gdy poniosłem wymierne straty, a nie tylko mam dyskomfort wynikający z wycieku (czyli, że np. nagle zaczynają do mnie dzwonić różni spamerzy):
„Pamiętajmy, że szkodę powstałą w wyniku wycieku danych, trzeba przed sądem precyzyjnie wycenić i ją udowodnić. Można wyobrazić sobie sytuację, kiedy na podstawie danych, które wyciekły, oszustom udało się wyłudzić kredyt. Wartość wyłudzonej kwoty mogłaby stanowić kwotę odszkodowania”
– mówi mój rozmówca. To oczywiście wiąże się z koniecznością udowodnienia, że to właśnie przez wpadkę Facebooka nasze dane trafiły w ręce przestępców, którzy wykorzystali je np. do wyłudzenia kredytu. A to nie takie proste? Pod koniec ubiegłego roku doszło do serii awarii w biurach maklerskich. Np. klienci ING byli odcięci od usługi przez kilka dni. Wówczas też zastanawiałem się, jaką szansę na odszkodowanie mają inwestorzy, którzy nie mogli składać np. zleceń kupna i sprzedaży akcji.
Rafał Wojciechowski, adwokat w kancelarii prawnej Sadkowski i Wspólnicy wyjaśniał, że wywalczenie odszkodowania jest możliwe, ale może oznaczać drogę przez mękę. Ale RODO przewiduje nie tylko odszkodowanie za konkretną, dającą się wycenić szkodę (np. wyłudzenie kredytu o określonej wartości) , ale również za krzywdę poniesioną w wyniku wycieku danych.
„Jeżeli nasze dane wyciekły, możemy czuć dyskomfort, żyć ze świadomością, że nasze dane trafiły w niepowołane ręce i nie znamy jeszcze skutków tego wycieku”
– mówi Wojciech Klicki. Tylko jak wycenić krzywdę wywołaną wyciekiem danych? Czy fakt, że wyciekł mój numer telefonu albo e-mail i czuję z tego powodu dyskomfort, powinienem wycenić na 500 zł, 1000 zł, a może na dziesięciokrotnie większą kwotę? O jakie pieniądze można by w ogóle walczyć? I jak pozwać Facebooka, żeby od tego nie zbankrutować?
Przeczytaj też: Działalność gospodarcza: po przekroczeniu tej granicy nie licz na bankowe miłosierdzie. Oto absurdy i niesprawiedliwości, z którymi się spotkasz
Sąd przyznaje rację, ale krzywdę wycenia taniej
Co ciekawe, są już pierwsze wyroki sądów w sprawach cywilnych z RODO w tle. Niedawno o prawdopodobnie pierwszym wyroku w Polsce, w którym zastosowano przepisy RODO pozwalające wprost żądać odszkodowania za naruszenie ochrony danych osobowych, napisał „Dziennik Gazeta Prawna”. Pozew złożyła kobieta, która wykupiła polisę OC samochodu, który w 2018 r. uczestniczył w kolizji (to nie ona prowadziła auto w chwili zdarzenia).
Poszkodowany wystąpił do ubezpieczyciela o przekazanie dokumentacji szkody, którą otrzymał bez jakiejkolwiek anonimizacji. Firma ubezpieczeniowa przekazała m.in. imię i nazwisko właścicielki samochodu, jej adres zamieszkania, numer PESEL, numer telefonu oraz dane pojazdu. A dowiedziała się tego… od ubezpieczyciela, który uznał, że przekazał zbyt dużo danych.
Kobieta najpierw wystąpiła do ubezpieczyciela o 10.000 zł zadośćuczynienia za naruszenie ochrony jej danych osobowych, a gdy firma odmówiła, poszła z tym do sądu, a ten przyznał jej rację, choć uznał, że żądana kwota jest zbyt wysoka i ostatecznie zasądził 1.500 zł zadośćuczynienia.
Sądowa ścieżka w sprawie o naruszenie ochrony danych osobowych już została przetarta, ale czy w sprawie wycieku danych z Facebooka sądy mogłyby orzekać podobnie, co w opisanej sprawie? Nie jestem sądem, ale widzę spore różnice. Dane osobowe przekazane przez ubezpieczyciela są bardziej „cenne”, żeby nie powiedzieć „wrażliwe”, niż te, które wypłynęły z Facebooka. Ale poczucie dyskomfortu czy doznanej krzywdy może być podobne w obydwu przypadkach.
Jak pozwać Facebooka? Niekoniecznie w Dublinie lub Kalifornii?
Jak pozwać Facebooka? Pewnym ograniczeniem wydaje się być fakt, że Facebook nie ma w Polsce siedziby, działa transgranicznie. Formalnie należałoby się pozwać go w Dublinie lub Kalifornii (co wydaje się być dość ekscentrycznym rozwiązaniem). Na szczęście jest już precedens. Sprawa dotycząca zbanowania przez Facebooka jednej z grup użytkowników jest rozpatrywana przez sąd w Polsce. Polski sąd uznał się za właściwy do rozpoznania sprawy w Polsce i na podstawie polskiego prawa. Więcej o tej sprawie poczytacie na stronie fundacji Panoptykon.
Polscy użytkownicy mogą więc w tego rodzaju sprawach próbować dochodzić swoich praw przed polskim sądem. Choć trzeba pamiętać, że sprawa, w której polski sąd zgodził się sądzić Facebooka dotyczyła czegoś innego, niż wyciek danych. W „naszym” przypadku decyzja sądu mogłaby być jednak podobna. Nie można wykluczyć, że za chwilę uaktywnią się kancelarie prawne, kuszące odszkodowaniem od Facebooka.
Źródło zdjęcia: Pixabay