Co zrobić w przypadku wycieku danych i kradzieży tożsamości

Osoby, które padły lub mają podejrzenie, że mogły paść ofiarami kradzieży swoich dokumentów np. dowodu osobistego, powinny w pierwszej kolejności zgłaszać się na policję. Dowód zostanie unieważniony z dniem zgłoszenia. Nie trzeba wtedy zgłaszać utraty dokumentu w urzędzie gminy (tak jak w przypadku zgubienia dowodu osobistego).

Takich spraw nie należy zgłaszać do Prezesa UODO, ale organom ścigania, gdyż to one są uprawnione do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.

Czytaj też: Dane kandydatów na studentów zagrożone

Osoba, która padła ofiarą kradzieży dokumentu tożsamości lub po prostu go zgubiła, musi zgłosić ten fakt np. bankowi, w którym ma konto. Zastrzeżenie tego dokumentu uchroni przed nieuprawnionym użyciem przez oszustów.

Potem można się zgłosić do urzędu, aby wyrobić nowy dokument. W przypadku dowodu osobistego jest to dowolny urząd gminy, a w przypadku paszportu – punkt paszportowy (informacje o adresach takich punktów są na stronach internetowych urzędów wojewódzkich). Gdy utracisz prawo jazdy z wnioskiem o nowy dokument trzeba się udać do starostwa powiatowego.

Jak się zabezpieczyć, gdy już wiadomo, że nasze dane wyciekły?

Atak hakera, zgubiona korespondencja, niezabezpieczone dane na serwerze - to sytuacje, w których może dojść do wejścia w posiadanie cudzych danych osobowych przez osoby do tego nieuprawnione. Dużo zależy wówczas od administratora tych danych - jeśli uzna, że istnieje ryzyko wykorzystania danych i powiadomi nas o zaistniałym incydencie,  trzeba zrobić wszystko, by zminimalizować ewentualne negatywne konsekwencje wykorzystania danych.

Jeśli wyciekły dane widniejące np. w dowodzie osobistym, to oprócz  zastrzeżenia dokumentu w banku, możemy np. założyć  konto w systemie informacji kredytowej i gospodarczej, celem monitorowania swojej aktywności kredytowej.

Należy zachować dużą ostrożność podczas podawania danych przez Internet i dokładnie analizować kierowane do nas komunikaty, zawarte w wiadomościach SMS czy mailach.  Pozwoli to uniknąć ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług.

Co zrobić, gdy ktoś wziął pożyczkę lub kupił usługę na nasze nazwisko?

Osoby, które padły ofiarami przestępstwa lub mają podejrzenie, że mogło się tak stać, powinny jak najszybciej zgłosić się na policję, zwłaszcza gdy poniosły szkodę majątkową lub osobistą, np. na ich dane zaciągnięto jakieś zobowiązania. Należy też zawiadomić o takim zdarzeniu podmiot, u którego posłużono się danymi. Czyli trzeba się zgłosić do banku lub firmy pożyczkowej, w których oszust z użyciem cudzych danych wziął pożyczkę lub kredyt. Podobnie, gdy np. ktoś posłużył się danymi, celem podpisania umowy z operatorem telefonii komórkowej, by wyłudzić w ten sposób telefon.

Warto gromadzić i przechować dowody świadczące o tym, że sprawa została zgłoszona  organom ścigania. Będzie to pomocne w postępowaniu przed sądem, zwłaszcza w sprawach dotyczących szkód majątkowych. Dochodzenie praw może następować w trybie przewidzianym odrębnymi przepisami zarówno przed sądem w sprawach karnych jak i cywilnych.

W jakich sytuacjach można zwrócić się do Prezesa Urzędu Ochrony Danych Osobowych?

Każdy, kto  przypuszcza, że firma czy instytucja przetwarza jego dane bez podstawy prawnej, nie informuje skąd je ma i w jakim celu je przetwarza, powinien w pierwszej kolejności zwrócić się do tej firmy lub instytucji z żądaniem realizacji swoich praw, np. wyjaśnienia zasad na jakich dane są przetwarzane lub zaprzestania ich przetwarzania.

Skargę indywidualną do Prezesa UODO można złożyć w przypadku, gdy administrator zwleka z odpowiedzią albo nie respektuje żądania dotyczącego np. wycofania zgody na przetwarzanie danych (jeżeli to zgoda była podstawą przetwarzania), czy sprzeciwu wobec przetwarzania danych.

W skardze należy podać swoje dane, opisać sprawę i określić jakich działań się oczekuje od Prezesa UODO. Można np. wskazać, by organ nakazał administratorowi spełnienie obowiązku informacyjnego lub  usunięcie danych. Konieczne jest oczywiście wskazanie administratora, który dopuścił się naruszeń. Trzeba więc podać np. nazwę firmy, czy instytucji lub imię i nazwisko osoby oraz adres siedziby przetwarzających dane osobowe.

Do UODO można wystąpić z zawiadomieniem także w razie  podejrzenia, że dany podmiot narusza  ogólne zasady przetwarzania danych. Prezes UODO może wówczas przeprowadzić postępowanie z urzędu w celu wyjaśnienia, czy faktycznie zaszły nieprawidłowości. W takiej sytuacji zawiadamiający nie występuje w charakterze strony i nie będzie informowany o etapach takiego postępowania.

Czy Prezes UODO może ustalić sprawcę naruszenia, gdy podamy tylko jego numer telefonu?

Organ nadzoru nie zawsze ma możliwości prawne czy techniczne by ustalić tożsamość niedookreślonego administratora. Samo wskazanie np. numeru telefonu, z którego wykonywane jest połączenie, niezidentyfikowanego serwera, gdzie są np. ujawnione Twoje dane czy przedstawienie dokumentów zawierających dane bez wskazania źródła ich pochodzenia to za mało.

Prezes UODO nie jest organem ścigania i nie ma w związku z tym takich kompetencji jak policja, czy prokuratura. Działalność Prezesa UODO ma na celu zapewnienie, by wskazany administrator przetwarzał dane zgodnie z prawem. Dlatego, gdy składamy skargę indywidualną, konieczne jest precyzyjne wskazanie jakiego podmiotu ona dotyczy, by było możliwe wszczęcie postępowania administracyjnego i merytoryczne rozstrzygniecie sprawy poprzez wydanie decyzji administracyjnej.

Kiedy Prezes UODO może ukarać za wyciek?

Decyzję o nałożeniu kary finansowej na podmiot podejmuje Prezes UODO, analizując indywidualnie każdy przypadek. Nałożenie kary nie następuje na wniosek.

Kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie ogólnego rozporządzenia o ochronie danych osobowych. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych, osób, których dane są przetwarzane. W przypadku stwierdzenia naruszenia przepisów może to być m.in.: wydane ostrzeżenie odnoszące się do planowanych procesów przetwarzania, udzielone upomnienie w związku z uchybieniem o niewielkim charakterze, wydany nakaz dostosowania określonych działań do obowiązujących przepisów. Prezes UODO korzysta w pierwszej kolejności m.in. z tych rozwiązań. Kary są ostatecznością i są nakładane o ile wymagają tego okoliczności indywidualnego przypadku. Decyzje, mocą których kary takie są nakładane są poprzedzone bardzo dokładną i wnikliwą analizą zaistniałych okoliczności i wynikającą z nich konieczność nałożenia kary oraz na jej wysokość.

Przy wymierzaniu kary finansowej, Prezes UODO musi brać pod uwagę co najmniej 11 różnych czynników. Są to m.in.: charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny, czy nieumyślny, warunki, w jakich do niego doszło, liczba poszkodowanych osób, kategorie przetwarzanych danych, rozmiar poniesionej przez nie szkody. A także czy jest to pierwsze czy kolejne naruszenie , jak zachował się administrator (np. czy sam zgłosił wyciek danych oraz – o ile to konieczne – poinformował o tym osoby poszkodowane), wszelkie inne czynniki obciążające lub łagodzące zaistniałe w indywidualnym przypadku.

Finansową karę administracyjną z tytułu naruszenia przepisów o ochronie danych osobowych Prezes UODO nakłada w drodze decyzji administracyjnej po przeprowadzeniu postępowania administracyjnego w sprawie, analizując każdy przypadek indywidualnie.