UODO czeka na wyjaśnienia od ALAB ws. wycieku danych. Co mogą zrobić poszkodowani

Skutki upublicznienia danych medycznych mogą być poważniejsze, niż się początkowo wydawało. Firma ALAB bada tę sprawę.

Aktualizacja: 30.11.2023 06:01 Publikacja: 30.11.2023 03:00

Urząd Ochrony Danych Osobowych przy ul. Koszykowej w Warszawie

Urząd Ochrony Danych Osobowych przy ul. Koszykowej w Warszawie

Foto: PAP/Wojciech Olkuśnik

Urząd Ochrony Danych Osobowych czeka na dokładniejsze wyjaśnienia od firmy ALAB, ale jak nieoficjalnie dowiedziała się „Rzeczpospolita” – w tej sprawie raczej nie obejdzie się bez kontroli w spółce. Z dużym prawdopodobieństwem może zakończyć się nałożeniem kary pieniężnej. Na razie sam administrator bada sprawę we współpracy z firmą zewnętrzną. Wstępne zgłoszenie incydentu do UODO zostało złożone już 21 listopada, ale było dość lakoniczne. Spółka zobowiązała się uzupełnić je do końca stycznia przyszłego roku.

– W tej chwili działania kontrolne urzędu nie miałyby sensu, skoro sam administrator jeszcze ustala, co się dokładnie stało – mówi Adam Sanocki, rzecznik prasowy UODO. – Nie uzyskalibyśmy odpowiedzi na żadne pytanie. Czekamy więc na uzupełnienie zgłoszenia i informacje o wdrożonych procedurach. Dopiero wówczas, jeżeli będzie to konieczne, zaczniemy kontrolę – dodaje.

Więcej postępowań?

Jak wynika z naszych nieoficjalnych ustaleń, liczba utraconych danych może być większa niż początkowo deklarowanych 30 tys. osób.

– Największym problemem ochrony danych w tego typu sytuacjach nie jest sam fakt włamania – wskazuje Jakub Groszkowski, wiceprezes UODO. – To się po prostu dzieje i nie ma systemu, do którego nie można się włamać. Problemem jest natomiast, że administrator nie ma świadomości, że ktoś te dane pobiera – dodaje.

Z kolei radca prawny Mirosław Gumularz zwraca uwagę, że z informacji dostępnej na stronie spółki wynika, że incydentem objęte są też dane, których przetwarzanie zostało powierzone jej przez klientów.

Czytaj więcej

Jak chronić się po wycieku danych osobowych? Zastrzeżenie PESEL może nie wystarczyć

– To oznacza, że postępowanie w sprawie naruszenia może być wszczęte także wobec kontrahentów spółki, którzy jej powierzyli przetwarzanie danych – tłumaczy Mirosław Gumularz.

Nie tylko kara

W ewentualnych postępowaniach UODO może badać m.in., czy przeprowadzono ocenę ryzyka (przed zdarzeniem) i jakie były wnioski z niej; jakie środki zaplanowano i czy je wdrożono; czy testowano odporność systemów (m.in. na zagrożenia oprogramowaniem typu ransomware); jak spółka postępowała w momencie stwierdzenia naruszenia i jakie działania zaradcze oraz naprawcze wdrożono.

RODO zawiera całą gamę rozwiązań, które służą wzmocnieniu ochrony danych osobowych. W przypadku stwierdzenia naruszenia UODO może, oprócz kary pieniężnej, m.in. wydać ostrzeżenie, udzielić upomnienia czy nakazać dostosowanie działań do obowiązujących przepisów.

– Osoby, których dane dotyczą, mogą także dochodzić roszczeń na drodze cywilnoprawnej – tłumaczy Mirosław Gumularz. – Niemniej będą musieli wykazać, że doszło do szkody majątkowej lub niemajątkowej. Dużym utrudnieniem jest, że dziś nie da się dochodzić takich roszczeń w postępowaniu grupowym – dodaje.

– Jeżeli do szkody doszło z powodu nienależytego wykonania obowiązków prawnych, nie da się wykluczyć roszczeń przeciwko spółce będącej ofiarą ataku – mówi Jakub Kubalski, adwokat z  SW Pragmatic Solutions. – Można bowiem wykazać związek przyczynowy między naruszeniem dóbr osobistych w postaci upublicznienia danych a zaniechaniem ze strony firmy.

Urząd Ochrony Danych Osobowych czeka na dokładniejsze wyjaśnienia od firmy ALAB, ale jak nieoficjalnie dowiedziała się „Rzeczpospolita” – w tej sprawie raczej nie obejdzie się bez kontroli w spółce. Z dużym prawdopodobieństwem może zakończyć się nałożeniem kary pieniężnej. Na razie sam administrator bada sprawę we współpracy z firmą zewnętrzną. Wstępne zgłoszenie incydentu do UODO zostało złożone już 21 listopada, ale było dość lakoniczne. Spółka zobowiązała się uzupełnić je do końca stycznia przyszłego roku.

Pozostało 83% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Muzyk grupy Kult zatrzymany. W tle sfingowana śmierć w USA i wielkie pieniądze
Praca, Emerytury i renty
Od dziś wyższe emerytury i renty. Oto nowe kwoty brutto i na rękę [tabela]
Prawo dla Ciebie
Choroba Ziobry przeszkodą w stawieniu się przed komisją. Adwokat wyjaśnia
Edukacja i wychowanie
Sprawa Collegium Humanum. Eksperci mówią, co z lewymi dyplomami MBA
Materiał Promocyjny
PR&Media Days 2024 - trendy i wyzwania
Praca, Emerytury i renty
Renta alkoholowa w górę. Kto może na nią liczyć i ile dostanie od 1 marca
Prawo rodzinne
Sąd Najwyższy o patchworkowej rodzinie: pieniądze na dziecko bez zgody żony