9 kwietnia 2021

Wielki wyciek danych z Facebooka. Prawdopodobnie z Linkedin też. Wśród ofiar miliony Polaków. Czy możemy walczyć o odszkodowanie?

Wielki wyciek danych z Facebooka. Prawdopodobnie z Linkedin też. Wśród ofiar miliony Polaków. Czy możemy walczyć o odszkodowanie?

Z największego na świecie serwisu społecznościowego Facebook wyciekły dane blisko 2,7 mln polskich użytkowników. Najnowsze doniesienia mówią, że podobny wyciek nastąpił z Linkedin. Facebook musi liczyć się z możliwością zapłacenia ogromnej kary. Ale czy również poszkodowani – którym „zdekonspirowano” adresy e-mail i numery telefonów komórkowych oraz dane profilowe – mogą walczyć o odszkodowanie za wyciek ich danych? Jak wysokie? I jak pozwać Facebooka?

Od kilku lat jest z nami RODO, czyli unijne rozporządzenie o ochronie danych osobowych. W kwestii finansowej odpowiedzialności za niewłaściwie zabezpieczenie naszych danych i za ich wycieki rozporządzenie jest bezlitosne dla firm i instytucji, które gromadzą i przetwarzają informacje na nasz temat. Oczywiście, wysokość kary zależy od skali „przewinienia”, ale w grę wchodzą miliony lub setki milionów złotych lub euro.

Zobacz również:

Ostatnio dużo mówiło się o wielkim wycieku danych użytkowników Facebooka. W sumie z największego na świecie portalu społecznościowego wyciekły dane profilowe 533 mln użytkowników, w tym niespełna 2,7 mln z Polski. W dostępnym pliku z wykradzionymi informacjami – pochodzącymi podobno jeszcze z 2019 r. – znajdują się m.in. imię i nazwisko, numer telefonu komórkowego, adres e-mail, płeć, stan cywilny, zawód czy miasto użytkownika. W ostatnich godzinach pojawiły się informacje o tym, że na rynku są dostępne dane 500 mln użytkowników innego serwisu społecznościowego – Linkedin.

Czy jest się czego bać? Np. Rzecznik Finansowy wydał komunikat, w którym ostrzega, że dane mogą posłużyć przestępcom do dokonywania oszustw finansowych. A o tym, w jaki sposób mogą zostać wykorzystane, dowiedziecie się z artykułu Maćka Samcika. Ja natomiast chciałbym skupić się na innym wątku tej sprawy – czy użytkownicy Facebooka, których dane wyciekły, mogą domagać się odszkodowania od właściciela serwisu społecznościowego? O tej sprawie rozmawiałem z Wojciechem Klickim, prawnikiem Fundacji Panoptykon.

„W kwestii ochrony swoich praw za naruszenie przepisów o ochronie danych osobowych unijne rozporządzenie RODO przewiduje dwie ścieżki. Osoby poszkodowane, czyli w tym przypadku użytkownicy Facebooka, których dane wyciekły, mogą złożyć skargę do właściwego urzędu ochrony danych osobowych. Na tej podstawie urząd, czyli w Polsce Urząd Ochrony Danych Osobowych, może wszcząć postępowanie w tej sprawie lub wszcząć je z własnej inicjatywy”

– mówi Wojciech Klicki. RODO przewiduje dotkliwe kary finansowe dla podmiotów, które przyczyniły się do wycieku danych. W zależności od skali naruszenia – zgodnie z art. 83 RODO – mówimy o kwocie do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Tylko w czwartym kwartale 2020 r. Facebook osiągnął przychody na poziomie 28 mld dol. Łatwo można więc policzyć, ile potencjalnie może go kosztować wpadka z utratą danych użytkowników.

Przeczytaj też: Rok po wejściu w życie RODO pytamy banki: „co wiecie na nasz temat?”. Nie takich odpowiedzi się spodziewaliśmy

Odszkodowanie za wyciek danych z Facebooka. Jak wycenić szkodę?

W tym przypadku nie mówimy o odszkodowaniu, a o karze finansowej, która – jeśli zostanie prawomocnie nałożona i zapłacona – zasili budżet państwa. Ale również poszkodowanym użytkownikom RODO otwiera furtkę do walki o odszkodowanie przed sądem. Bo jeśli każdy rzezimieszek na świecie może znać mój numer telefonu oraz adres e-mail (być może te same, które służą mi do komunikacji np. z moim bankiem) to nie jest wesoło. Stosunkowo łatwiej bić się o pieniądze, gdy poniosłem wymierne straty, a nie tylko mam dyskomfort wynikający z wycieku (czyli, że np. nagle zaczynają do mnie dzwonić różni spamerzy):

„Pamiętajmy, że szkodę powstałą w wyniku wycieku danych, trzeba przed sądem precyzyjnie wycenić i ją udowodnić. Można wyobrazić sobie sytuację, kiedy na podstawie danych, które wyciekły, oszustom udało się wyłudzić kredyt. Wartość wyłudzonej kwoty mogłaby stanowić kwotę odszkodowania”

– mówi mój rozmówca. To oczywiście wiąże się z koniecznością udowodnienia, że to właśnie przez wpadkę Facebooka nasze dane trafiły w ręce przestępców, którzy wykorzystali je np. do wyłudzenia kredytu. A to nie takie proste? Pod koniec ubiegłego roku doszło do serii awarii w biurach maklerskich. Np. klienci ING byli odcięci od usługi przez kilka dni. Wówczas też zastanawiałem się, jaką szansę na odszkodowanie mają inwestorzy, którzy nie mogli składać np. zleceń kupna i sprzedaży akcji.

Rafał Wojciechowski, adwokat w kancelarii prawnej Sadkowski i Wspólnicy wyjaśniał, że wywalczenie odszkodowania jest możliwe, ale może oznaczać drogę przez mękę.  Ale RODO przewiduje nie tylko odszkodowanie za konkretną, dającą się wycenić szkodę (np. wyłudzenie kredytu o określonej wartości) , ale również za krzywdę poniesioną w wyniku wycieku danych.

„Jeżeli nasze dane wyciekły, możemy czuć dyskomfort, żyć ze świadomością, że nasze dane trafiły w niepowołane ręce i nie znamy jeszcze skutków tego wycieku”

– mówi Wojciech Klicki. Tylko jak wycenić krzywdę wywołaną wyciekiem danych? Czy fakt, że wyciekł mój numer telefonu albo e-mail i czuję z tego powodu dyskomfort, powinienem wycenić na 500 zł, 1000 zł, a może na dziesięciokrotnie większą kwotę? O jakie pieniądze można by w ogóle walczyć? I jak pozwać Facebooka, żeby od tego nie zbankrutować?

Przeczytaj też: Działalność gospodarcza: po przekroczeniu tej granicy nie licz na bankowe miłosierdzie. Oto absurdy i niesprawiedliwości, z którymi się spotkasz

Sąd przyznaje rację, ale krzywdę wycenia taniej 

Co ciekawe, są już pierwsze wyroki sądów w sprawach cywilnych z RODO w tle. Niedawno o prawdopodobnie pierwszym wyroku w Polsce, w którym zastosowano przepisy RODO pozwalające wprost żądać odszkodowania za naruszenie ochrony danych osobowych, napisał „Dziennik Gazeta Prawna”. Pozew złożyła kobieta, która wykupiła polisę OC samochodu, który w 2018 r. uczestniczył w kolizji (to nie ona prowadziła auto w chwili zdarzenia).

Poszkodowany wystąpił do ubezpieczyciela o przekazanie dokumentacji szkody, którą otrzymał bez jakiejkolwiek anonimizacji. Firma ubezpieczeniowa przekazała m.in. imię i nazwisko właścicielki samochodu, jej adres zamieszkania, numer PESEL, numer telefonu oraz dane pojazdu. A dowiedziała się tego… od ubezpieczyciela, który uznał, że przekazał zbyt dużo danych.

Kobieta najpierw wystąpiła do ubezpieczyciela o 10.000 zł zadośćuczynienia za naruszenie ochrony jej danych osobowych, a gdy firma odmówiła, poszła z tym do sądu, a ten przyznał jej rację, choć uznał, że żądana kwota jest zbyt wysoka i ostatecznie zasądził 1.500 zł zadośćuczynienia.

Sądowa ścieżka w sprawie o naruszenie ochrony danych osobowych już została przetarta, ale czy w sprawie wycieku danych z Facebooka sądy mogłyby orzekać podobnie, co w opisanej sprawie? Nie jestem sądem, ale widzę spore różnice. Dane osobowe przekazane przez ubezpieczyciela są bardziej „cenne”, żeby nie powiedzieć „wrażliwe”, niż te, które wypłynęły z Facebooka. Ale poczucie dyskomfortu czy doznanej krzywdy może być podobne w obydwu przypadkach.

Jak pozwać Facebooka? Niekoniecznie w Dublinie lub Kalifornii?

Jak pozwać Facebooka? Pewnym ograniczeniem wydaje się być fakt, że Facebook nie ma w Polsce siedziby, działa transgranicznie. Formalnie należałoby się pozwać go w Dublinie lub Kalifornii (co wydaje się być dość ekscentrycznym rozwiązaniem). Na szczęście jest już precedens. Sprawa dotycząca zbanowania przez Facebooka jednej z grup użytkowników jest rozpatrywana przez sąd w Polsce. Polski sąd uznał się za właściwy do rozpoznania sprawy w Polsce i na podstawie polskiego prawa. Więcej o tej sprawie poczytacie na stronie fundacji Panoptykon.

Polscy użytkownicy mogą więc w tego rodzaju sprawach próbować dochodzić swoich praw przed polskim sądem. Choć trzeba pamiętać, że sprawa, w której polski sąd zgodził się sądzić Facebooka dotyczyła czegoś innego, niż wyciek danych. W „naszym” przypadku decyzja sądu mogłaby być jednak podobna. Nie można wykluczyć, że za chwilę uaktywnią się kancelarie prawne, kuszące odszkodowaniem od Facebooka.

Źródło zdjęcia: Pixabay

Subscribe
Powiadom o
10 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
gosc
2 miesięcy temu

Przypomniała mi się sprawa Maxa Schremsa. Toczył batalie sądowe z Facebookiem w Wiedniu i Dublinie. https://en.wikipedia.org/wiki/Max_Schrems Austriak skarży Facebook w imieniu wszystkich Europejczyków https://www.dw.com/pl/austriak-skar%C5%BCy-facebook-w-imieniu-wszystkich-europejczyk%C3%B3w/a-17826794 „Złożenie sprawy w Sądzie Handlowym w Wiedniu jest możliwe, ponieważ wszyscy prywatni użytkownicy Facebooka poza USA i Kanadą zawarli umowę z irlandzkim Facebookiem, spółką-córką amerykańskiego serwisu. Ponieważ Schrems skarży jako konsument, zgodnie z prawem europejskim kompetentnym sądem jest sąd w jego rodzinnym mieście, w tym przypadku wiedeński Sąd Handlowy.” Poniższy artykuł zawiera chronologię sporu toczonego w Irlandii w latach 2013 – 2020. Court to rule on Facebook data sharing after Schrems drops legal challenge against Irish… Czytaj więcej »

Admin
2 miesięcy temu
Reply to  gosc

Bardzo dzięki za cenne uzupełnienie!

gosc
2 miesięcy temu

Pod poniższym adresem można sprawdzić czy nasze dane nie wyciekły z LinkedIn. Chodzi o tą część wycieku, która została już upubliczniona:
https://cybernews.com/personal-data-leak-check/

06.04.2021 Scraped data of 500 million LinkedIn users being sold online, 2 million records leaked as proof
https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/
„Updated on 07/04: We updated our personal data leak checker database with more than 780,000 email addresses associated with this leak. Use it to find out if your LinkedIn profile has been scraped by the threat actors.”

Admin
2 miesięcy temu
Reply to  gosc

Wielkie dzięki, przyda się!

Łukasz
2 miesięcy temu

Kolejny artykuł pana Bednarka, który nadaje się do kosza (może by poprzedzać jego artykuły notką – „uwaga może zawierać niesprawdzone informację i błędne interpretacje”) Czy „scraped data” nie spowodowało chęci sprawdzenia o co tak na prawdę chodzi o co to jest ten „Scraped data” i dlaczego jest to coś innego niż wyciek danych, czy ich kradzież???? Dane które są „wykradzione” to w przypadku: – LinkedIn – dane dostępne w profilach dla KAŻDEGO (po prostu ktoś napisał bota, który pobrał te PUBLICZNIE dostępne dane) – Facebook – spora część danych jest dostępna w profilu dla KAŻDEGO (kolejny raz PUBLICZNIE dostępne dane),… Czytaj więcej »

marianek
2 miesięcy temu
Reply to  Łukasz

od kiedy to wchodząc na czyjś profil FB widzę jego adres email czy numer telefonu?

DawidK
2 miesięcy temu
Reply to  Łukasz

proszę o kontrolę nad metaforycznością artykułów Pana Bednarka

Głupio z tą metaforycznością wyszło, trochę jakby kocioł garnkowi przyganiał. 🙂

xcv
2 miesięcy temu

kto „normalny ” ma tam konto na swoje „prawdziwe” dane ?

chennault
2 miesięcy temu

Na fejsbuniu zarejestrowałem się adresem e-mail założonym tylko w tym celu i nie podawałem mu numeru telefonu bo i po co. Jak i w każdym innym serwisie internetowym, z którego korzystam. Przecież to są elementarne zasady higieny 🙂

bartosz
2 miesięcy temu
Reply to  chennault

założyłem na FB konto fake’owe – zmienione nazwisko, bo chciałem obserwować swoje właściwe konto by widzieć co widać na moim koncie. FB doszedł do wniosku że musi sprawdzić moją tożsamość. Najpierw więc poprosił mój nr telefonu. Ok, zaryzykowałem i podałem. Po podaniu nr telefonu okazało się, że to nie wystarczy – zażądano ode mnie skanu dowodu tożsamości … Na to już się nie zgodziłem. Niemniej jednak, nr telefonu ode mnie wyłudzili. A powinni ostrzec od początku że będzie potrzebny dowód.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!